Co to jest FIPS 140-2?


Co to jest FIPS 140-2?

FIPS (Federal Information Processing Standard) 140-2 jest punktem odniesienia dla weryfikacji skuteczności sprzęt kryptograficzny. Jeśli produkt ma certyfikat FIPS 140-2, wiesz, że został przetestowany i formalnie zatwierdzony przez rządy Stanów Zjednoczonych i Kanady. Chociaż FIPS 140-2 jest amerykańskim / kanadyjskim standardem federalnym, zgodność ze standardem FIPS 140-2 jest szeroko stosowana na całym świecie zarówno w sektorach rządowych, jak i pozarządowych jako praktyczny punkt odniesienia dla bezpieczeństwa i realistyczna najlepsza praktyka.

Organizacje używają standardu FIPS 140-2, aby upewnić się, że wybrany sprzęt spełnia określone wymagania dotyczące bezpieczeństwa. Standard certyfikacji FIPS definiuje cztery rosnące jakościowe poziomy bezpieczeństwa:

Poziom 1: wymaga sprzętu klasy produkcyjnej i algorytmów testowanych zewnętrznie.

Poziom 2: Dodaje wymagania dotyczące fizycznego zabezpieczenia przed manipulacją i uwierzytelnianie oparte na rolach. Implementacje oprogramowania muszą działać w systemie operacyjnym zatwierdzonym przez Common Criteria na poziomie EAL2.

Poziom 3: Dodaje wymagania dotyczące odporności na ingerencję fizyczną i uwierzytelniania opartego na tożsamości. Musi również istnieć fizyczna lub logiczna separacja między interfejsami, przez które „krytyczne parametry bezpieczeństwa” wchodzą i wychodzą z modułu. Klucze prywatne mogą wchodzić i wychodzić tylko w postaci zaszyfrowanej.

Poziom 4: Ten poziom sprawia, że wymagania bezpieczeństwa są bardziej rygorystyczne, wymagające możliwości bycia manipulowanym, kasowania zawartości urządzenia, jeśli wykryje ono różne formy ataku środowiskowego.

Standard FIPS 140-2 technicznie dopuszcza implementacje wyłącznie programowe w poziom 3 lub 4, ale stosuje tak surowe wymagania, że żadne z nich nie zostało zatwierdzone.

Dla wielu organizacji wymaganie certyfikacji FIPS na poziomie FIPS 140 na poziomie 3 jest dobrym kompromisem między skutecznym bezpieczeństwem, wygodą obsługi i wyborem na rynku .

Zabezpiecz swoje dane, przestrzegaj norm i standardów branżowych oraz chroń reputację swojej organizacji. Dowiedz się, jak Thales może pomóc.

  • Thales FIPS 140-2 Zgodność
  • Sprzętowe moduły bezpieczeństwa Thales
  • Strategie zarządzania ryzykiem w procesach cyfrowych z zespołami HSM – biała księga
  • HSM oparty na chmurze z wykorzystaniem DPoD a HSM lokalny: porównanie całkowitego kosztu posiadania – biała księga

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *