Was ist FIPS 140-2?


Was ist FIPS 140-2?

FIPS (Federal Information Processing Standard) 140-2 ist der Maßstab für die Validierung der Wirksamkeit von kryptografische Hardware. Wenn ein Produkt über ein FIPS 140-2-Zertifikat verfügt, wissen Sie, dass es von der US-Regierung und der kanadischen Regierung getestet und offiziell validiert wurde. Obwohl FIPS 140-2 ein US / kanadischer Bundesstandard ist, wurde die Einhaltung von FIPS 140-2 weltweit sowohl im staatlichen als auch im nichtstaatlichen Bereich als praktischer Sicherheitsmaßstab und realistische Best Practice weit verbreitet.

Unternehmen verwenden den FIPS 140-2-Standard, um sicherzustellen, dass die von ihnen ausgewählte Hardware bestimmten Sicherheitsanforderungen entspricht. Der FIPS-Zertifizierungsstandard definiert vier zunehmende qualitative Sicherheitsstufen:

Stufe 1: Erfordert Geräte in Produktionsqualität und extern getestete Algorithmen.

Stufe 2: Fügt Anforderungen für physische Manipulationsnachweise hinzu und rollenbasierte Authentifizierung. Software-Implementierungen müssen auf einem Betriebssystem ausgeführt werden, das gemäß Common Criteria bei EAL2 genehmigt wurde.

Stufe 3: Fügt Anforderungen für physische Manipulationssicherheit und identitätsbasierte Authentifizierung hinzu. Es muss auch eine physische oder logische Trennung zwischen den Schnittstellen bestehen, über die „kritische Sicherheitsparameter“ das Modul betreten und verlassen. Private Schlüssel können nur in verschlüsselter Form eingegeben oder verlassen werden.

Stufe 4: Diese Stufe macht die physische Die Sicherheitsanforderungen sind strenger und erfordern die Fähigkeit, manipulationsaktiv zu sein und den Inhalt des Geräts zu löschen, wenn verschiedene Formen von Umgebungsangriffen erkannt werden.

Der FIPS 140-2-Standard ermöglicht technisch nur Software-Implementierungen bei Stufe 3 oder 4, wendet jedoch so strenge Anforderungen an, dass keine validiert wurden.

Für viele Unternehmen ist die Anforderung einer FIPS-Zertifizierung auf Stufe 3 von FIPS 140 ein guter Kompromiss zwischen effektiver Sicherheit, Betriebskomfort und Auswahl auf dem Markt

Sichern Sie Ihre Daten, halten Sie die gesetzlichen und branchenüblichen Standards ein und schützen Sie den Ruf Ihres Unternehmens. Erfahren Sie, wie Thales helfen kann.

  • Thales FIPS 140-2 Compliance
  • Thales Hardware-Sicherheitsmodule
  • Risikomanagementstrategien für digitale Prozesse mit HSMs – White Paper
  • Cloud-basiertes HSM mit DPoD im Vergleich zu lokalem HSM: Ein TCO-Vergleich – White Paper

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.