FIPS 140-3

Publikacja Federal Information Processing Standard Publication 140-3 ( FIPS PUB 140-3 ) to amerykański standard bezpieczeństwa komputerowego używany do zatwierdzania modułów kryptograficznych . Tytuł to Wymagania bezpieczeństwa dla modułów kryptograficznych . Pierwsza publikacja miała miejsce 22 marca 2019 r. i zastępuje FIPS 140-2 .

Zamiar

Narodowy Instytut Standardów i Technologii (NIST) wydał serię publikacji FIPS 140 , aby skoordynować wymagania i standardy dla modułów kryptograficznych, które obejmują zarówno komponenty sprzętowe, jak i programowe. Agencje i departamenty federalne mogą sprawdzić, czy używany moduł jest objęty istniejącym FIPS 140 , który określa dokładną nazwę modułu, sprzęt, oprogramowanie, oprogramowanie układowe i/lub numery wersji apletów. Moduły kryptograficzne są produkowane przez sektor prywatny lub społeczności open source do użytku przez rząd USA i inne branże podlegające regulacjom (takie jak instytucje finansowe i służby zdrowia), które zbierają, przechowują, przekazują, udostępniają i rozpowszechniają poufne, ale jawne informacje (SBU) .

Historia

Wysiłki mające na celu aktualizację standardu FIPS 140 sięgają wczesnych lat 2000. FIPS 140-3 (projekt z 2013 r.) miał zostać podpisany przez Sekretarza Handlu w sierpniu 2013 r., jednak tak się nie stało i projekt został następnie porzucony. W 2014 roku NIST wydał zasadniczo inny projekt FIPS 140-3, ta wersja skutecznie kieruje wykorzystaniem standardu Międzynarodowej Organizacji Normalizacyjnej / Międzynarodowej Komisji Elektrotechnicznej (ISO / IEC), 19790: 2012, jako zamiennika FIPS 140-2 . Zrezygnowano również z projektu FIPS 140-3 z 2014 r., chociaż ostatecznie zastosowano ISO / IEC 19790. W dniu 12 sierpnia 2015 r. NIST oficjalnie opublikował oświadczenie w Rejestrze Federalnym z prośbą o komentarze dotyczące potencjalnego wykorzystania części ISO / IEC 19790: 2014 w aktualizacji FIPS 140-2 . Odniesienie do wersji ISO/IEC 19790 z 2014 r. było niezamierzonym błędem w wpisie do Rejestru Federalnego, ponieważ wersja 2012 jest najnowszą wersją. Norma ISO/IEC 19790 została poddana przeglądowi i ponownie potwierdzona dopiero w 2018 r., ale bez zmian, dlatego zachowano nazewnictwo wersji z 2012 r.

Proces aktualizacji FIPS 140 był utrudniony przez poważne problemy techniczne w takich tematach, jak bezpieczeństwo sprzętu i widoczny brak porozumienia w rządzie USA co do dalszych działań. Zarzucony obecnie projekt standardu FIPS 140-3 z 2013 r. wymagał łagodzenia ataków nieinwazyjnych podczas sprawdzania poprawności na wyższych poziomach bezpieczeństwa, wprowadził koncepcję parametru bezpieczeństwa publicznego, umożliwił odłożenie pewnych autotestów do czasu spełnienia określonych warunków i wzmocnił wymagania dotyczące uwierzytelniania użytkowników i testowania integralności.

Program sprawdzania poprawności modułów kryptograficznych

Standard FIPS 140 ustanowił Cryptographic Module Validation Program (CMVP) jako wspólny wysiłek NIST i Communications Security Establishment (CSEC) dla kanadyjskiego rządu, obecnie obsługiwany przez CCCS, Canadian Center for Cyber ​​Security, nową scentralizowaną inicjatywę w agencji CSEC.

Programy bezpieczeństwa nadzorowane przez NIST i CCCS koncentrują się na współpracy z rządem i przemysłem w celu ustanowienia bezpieczniejszych systemów i sieci poprzez rozwój, zarządzanie i promowanie narzędzi oceny bezpieczeństwa, technik, usług oraz programów wspierających testowanie, ocenę i walidację; i dotyczy takich obszarów, jak: rozwój i utrzymanie metryk bezpieczeństwa, kryteriów oceny bezpieczeństwa i metodologii oceny, testów i metod testowania; specyficzne dla bezpieczeństwa kryteria akredytacji laboratoriów; wytyczne dotyczące stosowania ocenianych i testowanych produktów; badania nad metodami zapewniania bezpieczeństwa oraz ogólnosystemowymi metodologiami bezpieczeństwa i oceny; działania związane z walidacją protokołów bezpieczeństwa; oraz odpowiednia koordynacja z działaniami związanymi z oceną dobrowolnych branżowych organów normalizacyjnych i innych systemów oceny.

Zatwierdzenie i wydanie

22 marca 2019 r. Sekretarz Handlu Stanów Zjednoczonych Wilbur Ross zatwierdził FIPS 140-3, Wymagania bezpieczeństwa dla modułów kryptograficznych , które zastąpią FIPS 140-2 . FIPS 140-3 wszedł w życie 22 września 2019 r. Testy FIPS 140-3 rozpoczęły się 22 września 2020 r., chociaż nie wydano jeszcze żadnych certyfikatów walidacji FIPS 140-3. Testy FIPS 140-2 są nadal dostępne do 21 września 2021 r., tworząc nakładający się roczny okres przejściowy. Raporty z testów FIPS 140-2, które pozostają w kolejce CMVP, nadal będą podlegały weryfikacji po tej dacie, ale wszystkie walidacje FIPS 140-2 zostaną przeniesione na Listę historyczną 21 września 2026 r., niezależnie od faktycznej ostatecznej daty walidacji.

Zobacz też

• wspólne kryteria
• Odporność na manipulacje
• FIPS 140
• FIPS 140-2
• Moduł bezpieczeństwa sprzętowego

Linki zewnętrzne

• „Materiały warsztatów testowania bezpieczeństwa fizycznego NIST” . NIST . 2005-09-26. Zarchiwizowane od oryginału w dniu 04.03.2016 . Źródło 2016-01-10 .
• „Rozwój FIPS 140-3 PUB” . NIST. 2013-04-30 . Źródło 2013-05-18 .
• „Program sprawdzania poprawności modułów kryptograficznych (CMVP)” . NIST. 2013-04-05 . Źródło 2013-05-18 .