FIPS 140(“联邦信息处理标准”)是美国政府发布的一系列安全标准,它们指定了评估密码模块的安全要求。本文探讨了FIPS 140-3最新版本的各个方面。
该标准涵盖了硬件安全模块(HSM)的实现,包括硬件和/或软件模块或两者的组合。在美国,加拿大和其他一些国家/地区,必须将FIPS 140认证/验证的密码模块仅包含在业务解决方案中。全球从事金融和支付行业的许多公司组织都遵循相同的标准做法。本文启发了FIPS 140-3最新版本的各个方面(请参阅联邦信息处理标准FIPS)。
FIPS系列标准中定义的安全性要求是基于美国联邦政府和企业私营部门提供的指南。这些要求的核心目的是提供防御恶意攻击的帮助。FIPS 140-1的第一个发行版于1994年1月11日发布。FIPS140-2于2001年5月25日发布,最后一次更新于2002年12月3日。 2019年3月22日。FIPS140-3的发布和实施时间表(以及其他建议的里程碑)如下:
日期 | 事件 |
2019.3.22 | FIPS 140-3发布 |
2019.9.22 | FIPS 140-3生效日期 |
2019.10.9 | SP 800-140文档的草案已发布,以征询公众意见。评论期为60天,即10月9日至12月9日 |
2020.3.22 | CMVP程序更新已完成:
|
2020.9.22 | FIPS 140-3测试开始 |
2021.9.22 | NIST将停止接受FIPS 140-2验证/测试提交。 |
FIPS 140-3不会立即替换FIPS 140-2。它将与FIPS 140-2一起使用。FIPS 140-3验证开始后,FIPS 140-2的验证过程将进行一年。
FIPS 140-3的最终确定和启动代表了两个现有国际标准的正式采用以及对其附件的一些修改:
ISO / IEC 19790:2012-加密模块的安全要求
它规定了对加密模块进行安全评估以保护敏感信息的详细要求。ISO / IEC 19790:2012标准为11个需求区域中的每一个定义了四个安全级别,每个安全级别都提高了先前级别的安全性。
ISO 24759:2017-加密模块的测试要求。
这指定了测试实验室要使用的机制和程序,以确保加密模块遵循ISO / IEC 19790:2012的指定要求。制定此标准的核心目的是使测试过程的真实性和一致性在所有测试实验室中都相同。它还重点介绍了供应商/开发人员向测试实验室提供的信息格式(证明符合ISO / IEC 19790:2012的辅助证据)。
由于FIPS 140-3现在与国际ISO / IEC标准更加完全一致,因此供应商和组织受到的更改/更新影响较小,他们可以轻松应对。与FIPS 140-2一样,FIPS 140-3也提供了四个安全级别,旨在涵盖各种潜在的应用程序体系结构和部署平台。FIPS 140-2一旦完成就解决了安全要求,但是FIPS 140-3涵盖了从密码模块的设计阶段,实施和最终操作部署开始的安全要求。FIPS 140-3中确定的安全要求纯粹是为特定加密模块提供的安全性而设计的,而不是针对其中部署了加密模块的体系结构的整体安全性。
NIST SP | SP标题 |
FIPS 140-3衍生测试要求(DTR) | |
CMVP文档要求 | |
CMVP安全策略要求 | |
CMVP批准的安全功能 | |
CMVP批准的敏感安全参数生成和建立方法 | |
CMVP批准的身份验证机制 | |
CMVP批准的非侵入式攻击缓解测试指标 |
FIPS 140-3最终被批准并发布为加密模块安全评估的最新标准。它定义了从最初的设计阶段到最终的加密模块操作部署的安全要求,涵盖了广泛的威胁和漏洞。FIPS 140-3要求主要基于两个先前存在的国际标准ISO / IEC 19790:2012“加密模块的安全要求”和ISO 24759:2017“加密模块的测试要求”。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!