Cosè FIPS 140-2?
FIPS (Federal Information Processing Standard) 140-2 è il punto di riferimento per convalidare lefficacia di hardware crittografico. Se un prodotto ha un certificato FIPS 140-2, sai che è stato testato e convalidato formalmente dai governi degli Stati Uniti e del Canada. Sebbene FIPS 140-2 sia uno standard federale statunitense / canadese, la conformità FIPS 140-2 è stata ampiamente adottata in tutto il mondo sia nel settore governativo che in quello non governativo come benchmark di sicurezza pratico e best practice realistica.
Le organizzazioni utilizzano lo standard FIPS 140-2 per garantire che lhardware selezionato soddisfi requisiti di sicurezza specifici. Lo standard di certificazione FIPS definisce quattro livelli di sicurezza qualitativi crescenti:
Livello 1: richiede apparecchiature di livello produttivo e algoritmi testati esternamente.
Livello 2: aggiunge requisiti per prove di manomissione fisica e autenticazione basata sui ruoli. Le implementazioni software devono essere eseguite su un sistema operativo approvato per Common Criteria a EAL2.
Livello 3: aggiunge requisiti per la resistenza fisica alla manomissione e lautenticazione basata sullidentità. Deve anche esserci una separazione fisica o logica tra le interfacce in base alla quale “parametri di sicurezza critici” entrano ed escono dal modulo. Le chiavi private possono entrare o uscire solo in forma crittografata.
Livello 4: questo livello rende requisiti di sicurezza più severi, che richiedono la capacità di essere antimanomissione, cancellando il contenuto del dispositivo se rileva varie forme di attacco ambientale.
Lo standard FIPS 140-2 tecnicamente consente implementazioni solo software a livello 3 o 4 ma applica requisiti così rigorosi che nessuno è stato convalidato.
Per molte organizzazioni, richiedere la certificazione FIPS a FIPS 140 livello 3 è un buon compromesso tra sicurezza efficace, praticità operativa e scelta sul mercato .
Proteggi i tuoi dati, rispetta gli standard normativi e di settore e proteggi la reputazione della tua organizzazione. Scopri come Thales può aiutarti.
- Conformità FIPS 140-2 di Thales
- Moduli di protezione hardware Thales
- Strategie di gestione del rischio per processi digitali con HSM – White paper
- HSM basato su cloud che utilizza DPoD e HSM in sede: un confronto TCO – White paper