您当前的位置:   首页 > 新闻中心
Thales Luna HSM与FIPS 140-3
发布时间:2020-08-31 20:54:16   阅读次数:

Thales Luna HSM与FIPS 140-3(图1)

美国商务部长于2019年3月批准了更新的联邦信息处理标准(FIPS)140-3,该标准定义了用于认证密码模块的新安全标准。


在2001年从FIPS 140-1对FIPS 140-2进行了更新;作为第一家通过硬件安全模块HSM),加密加速器以及组合密钥管理实现FIPS 140-2 3级验证的公司;作为拥有最多NIST FIPS认证的HSM供应商,泰雷兹(Thales)在这里可以帮助您导航和揭开这个未来FIPS标准的神秘面纱。


关于FIPS 140

FIPS 140标准是由美国国家标准技术研究院(NIST)定义并由美国和加拿大共同管理的密码模块的一组安全要求,作为密码模块验证计划(CMVP)的一部分。经过FIPS 140验证的模块对于保护密钥和执行许多政府应用程序的加密操作是必不可少的。实际上,由于FIPS 140验证的HSM在保护密码基础结构时提供了信任和信任,因此它已成为许多其他国家和私营部门(尤其是金融和支付行业)的事实上的标准。


FIPS 140-2是当前版本,自2001年5月以来一直存在。它定义了总共4个安全级别,以及11个加密产品设计和实现领域,其中包括密钥管理。接口;角色;服务和认证;和操作系统。有关FIPS 140-2的更多信息,请参见《通过Thales Luna HSM的法规遵从,实现信息安全软着陆》。


FIPS 140-2与FIPS 140-3有何不同?

FIPS 140-3将取代FIPS 140-2,它基于现有的国际标准并进行了一些修改:

  • ISO / IEC 19790:2012

    加密模块的安全要求


    ISO / IEC 19790:2012列出 了在安全系统中使用的加密模块的安全要求,该安全系统可保护计算机和电信系统中的敏感信息。该国际标准为密码模块定义了四个安全级别,以提供广泛的数据敏感性(例如,低价值管理数据、数百万美元的资金转移、生命保护数据、个人身份信息以及政府使用的敏感信息)以及应用程序环境(例如,受保护的设施、办公室、可移动媒体以及完全不受保护的位置)。

     

  • ISO / IEC 24759:2017

    加密模块的测试要求


    ISO / IEC 24759:2017指定了认可实验室用来测试加密模块是否符合ISO / IEC 19790:2012中指定要求的方法。开发这些方法是为了在测试过程中提供高度的客观性,并确保整个测试实验室的一致性。


有什么不同?

FIPS 140-3 特殊出版物包括有关各种要求的信息,包括:衍生测试;文件;安全政策;安全功能;安全参数;认证;和非侵入式攻击缓解。这些更改中的许多更改仍未完成,但是一些更有趣的更改包括:

  • 更严格的完整性测试要求:

    • 级别2模块必须使用数字签名或HMAC(基于哈希的消息身份验证代码)提供软件/固件完整性测试。

    • 3级和4级模块必须仅使用数字签名提供完整性


  • 所需的新服务:输出可以映射到验证记录/证书的模块名称/标识符和版本

  • 要求密钥归零:所有级别的所有不受保护的“敏感安全参数”(SSP),包括公用密钥

    • 归零过程完成后,级别2+需要状态指示器

    • 未受保护的SSP的归零仍只能在一级程序上进行


  • 角色、服务和身份验证:必须通过加密模块的实现来满足(而不是通过策略、规则等),例如密码大小限制

  • 非侵入性安全性:模块的硬件和固件组件是必需的,在可修改的操作环境中运行的软件模块是可选的,并且该模块必须防止一系列非侵入性攻击

  • 生命周期保证:供应商测试——供应商除了验证实验室测试外,还需要在模块上执行自己的测试

  • 操作环境:为了满足2级要求,软件模块不再需要在经过通用标准(CC)评估的OS或“受信任的操作系统”中运行,但是,这些2级可修改的操作环境需要审核机制


重要里程碑
  • 2019年3月22日:美国商务部长批准了FIPS 140-3加密模块的安全要求

  • 2019年9月22日:FIPS 140-3生效

  • 2020年9月22日:FIPS 140-3测试通过CMVP开始

  • 2021年9月22日:仅接受FIPS 140-3提交


过渡到FIPS 140-3

FIPS 140-2将推出一段时间。在2021年9月22日之前,仍可以将模块提交给FIPS 140-2并通过FIPS 140-2进行验证,而现有的FIPS 140-2证书将不会在过渡期间被吊销。实际上,经过FIPS 140-2认证的模块将再有效期五年,直到2026年9月。


CMVP仅在2020年9月22日开始接受FIPS 140-3提交。在2021年9月22日之后,将仅接受FIPS 140-3提交。


Thales与FIPS 140-3

FIPS合规性对于在任何存储或收集敏感信息的受监管行业中工作都是至关重要的。Thales意识到了其重要性,并一直积极参与帮助定义FIPS 140-3的论坛和工作组,例如密码模块用户论坛(CMUF)–由实验室,供应商和CMVP之间建立的小组,以帮助确定CMVP的改进,以及开发文档并将详细测试要求映射到ISO 24759。


下一步是什么?

目前,您无需采取任何措施。如今,所有Thales Luna HSM均已通过FIPS 140-2 3级认证,可在篡改显而易见的信任硬件根源中提供高度保证的加密密钥和数字身份保护。泰雷兹将继续致力于FIPS 140-3验证,并使其客户和合作伙伴从验证中受益。与过去一样,早期采用FIPS 140-3的人可能会在测试和实施中面临挑战,但我们致力于帮助澄清和揭开FIPS 140-3的神秘面纱。一旦Luna HSM经过验证符合新标准,我们将确保轻松迁移。


我们可以帮忙

合规性和认证一直是Thales产品系列的重要组成部分,不仅使我们的Thales Luna HSM不仅符合FIPS 140的要求,而且还符合通用标准(CC)、电子识别、认证和信任服务(eIDAS)、新加坡国家信息技术安全评估计划(NITES)、巴西ITI等。


关注揽阁信息,我们将持续为您来带FIPS 140-3的更多动态。



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609