Quest-ce que la FIPS 140-2?
FIPS (Federal Information Processing Standard) 140-2 est la référence pour valider lefficacité de matériel cryptographique. Si un produit possède un certificat FIPS 140-2, vous savez quil a été testé et officiellement validé par les gouvernements américain et canadien. Bien que FIPS 140-2 soit une norme fédérale américaine / canadienne, la conformité FIPS 140-2 a été largement adoptée dans le monde entier dans les secteurs gouvernementaux et non gouvernementaux en tant que référence de sécurité pratique et meilleure pratique réaliste.
Les organisations utilisent la norme FIPS 140-2 pour sassurer que le matériel quelles sélectionnent répond aux exigences de sécurité spécifiques. La norme de certification FIPS définit quatre niveaux de sécurité qualitatifs croissants:
Niveau 1: nécessite un équipement de production et des algorithmes testés en externe.
Niveau 2: ajoute des exigences en matière de preuve de falsification physique et lauthentification basée sur les rôles. Les implémentations logicielles doivent sexécuter sur un système dexploitation approuvé selon les critères communs à EAL2.
Niveau 3: ajoute des exigences pour la résistance physique à la falsification et lauthentification basée sur lidentité. Il doit également y avoir une séparation physique ou logique entre les interfaces par lesquelles les « paramètres de sécurité critiques » entrent et sortent du module. Les clés privées ne peuvent entrer ou sortir que sous forme chiffrée.
Niveau 4: Ce niveau rend le physique exigences de sécurité plus strictes, nécessitant la capacité dêtre actif contre les falsifications, effaçant le contenu de lappareil sil détecte diverses formes dattaque environnementale.
La norme FIPS 140-2 permet techniquement des implémentations logicielles uniquement à niveau 3 ou 4 mais applique des exigences tellement strictes quaucune na été validée.
Pour de nombreuses organisations, exiger la certification FIPS au niveau FIPS 140 niveau 3 est un bon compromis entre sécurité efficace, commodité opérationnelle et choix sur le marché .
Sécurisez vos données, respectez les normes réglementaires et industrielles et protégez la réputation de votre organisation. Découvrez comment Thales peut vous aider.
- Conformité Thales FIPS 140-2
- Modules de sécurité matérielle Thales
- Stratégies de gestion des risques pour les processus numériques avec HSM – Livre blanc
- HSM basé sur le cloud utilisant DPoD vs HSM sur site: une comparaison TCO – Livre blanc