发布日期:2025-01-07 浏览次数:
联邦信息处理标准出版物 140-2 ( FIPS PUB 140-2 )是美国政府用于批准加密模块的计算机安全 标准。标题为“加密模块的安全要求”。首次发布于 2001年5月25日,最后更新于 2002年12月3日。
其继任者FIPS 140-3于 2019年3月22日获得批准,并于 2019年9月22日生效。FIPS 140-3 测试于 2020年9月22日开始,首批 FIPS 140-3 验证证书于 2022年12月颁发。
FIPS 140-2 测试仍可进行至 2021年9月21日(对于已经在进行的申请,后来更改为 2022年4月1日),从而形成超过一年的重叠过渡期。 CMVP 队列中剩余的 FIPS 140-2 测试报告仍将在该日期之后获得验证,但所有 FIPS 140-2 验证都将于 2026年9月21日移至历史列表(过期状态),无论其实际的最终验证日期如何。
揽阁信息提供的 Thales HSM 和 HSE 等产品,已经拥有 FIPS 140-3 认证。欢迎联系我们获取更多信息。
美国国家标准与技术研究院( NIST) 发布了FIPS 140出版物系列,以协调包含硬件和软件组件的加密模块的要求和标准。在安全系统中保护加密模块对于维护模块所保护信息的机密性和完整性是必不可少的。此标准规定了加密模块应满足的安全要求。该标准提供了四个逐渐增加的定性安全Level,旨在涵盖广泛的潜在应用和环境。安全要求涵盖与加密模块的安全设计和实现相关的领域。这些领域包括加密模块规范;加密模块端口和接口;角色、服务和身份验证;有限状态模型;物理安全;操作环境;加密密钥管理;电磁干扰/电磁兼容性 (EMI/EMC);自检;设计保证;以及缓解其他攻击。
联邦机构和部门可以验证正在使用的模块是否受现有FIPS 140-1或 FIPS 140-2 证书的保护,该证书指定了确切的模块名称、硬件、软件、固件和/或小程序版本号。加密模块由私营部门或开源社区生产,供美国政府和其他受监管行业(如金融和医疗保健机构)使用,这些行业收集、存储、传输、共享和传播敏感但非机密(SBU) 信息。商业加密模块通常也称为硬件安全模块(HSM)。
FIPS 140-2 定义了四个安全等级,简称为“Level 1”至“Level 4”。它没有详细指定任何特定应用程序需要什么Level的安全。
Level 1 提供最低Level的安全性。加密模块指定了基本安全要求(例如,应使用至少一种经批准的算法或经批准的安全功能)。除了生产级组件的基本要求外,安全Level 1 加密模块不需要任何特定的物理安全机制。安全Level 1 加密模块的一个例子是个人计算机 (PC) 加密板。
安全Level 2 改进了安全Level 1 加密模块的物理安全机制,要求具有显示篡改证据的功能,包括必须破坏防篡改涂层或封条才能物理访问模块内的纯文本加密密钥和关键安全参数(CSP),或者盖子或门上的防撬锁以防止未经授权的物理访问。
除了安全Level 2 所需的防篡改物理安全机制外,安全Level 3 还试图阻止入侵者访问加密模块内的 CSP。安全Level 3 所需的物理安全机制旨在以高概率检测和响应对加密模块的物理访问、使用或修改尝试。物理安全机制可能包括使用坚固的外壳和篡改检测/响应电路,当加密模块的可拆卸盖/门被打开时,该电路会将所有纯文本 CSP 归零。
安全Level 4 提供最高Level的安全性。在此安全Level下,物理安全机制为加密模块提供完整的保护,旨在检测和响应所有未经授权的物理访问尝试。从任何方向侵入加密模块外壳都有很高的概率被检测到,从而立即删除所有明文 CSP。
安全Level 4 加密模块适用于在物理上不受保护的环境中运行。安全Level 4 还可以保护加密模块免受环境条件或模块电压和温度正常工作范围之外的波动造成的安全损害。攻击者可能会故意超出正常工作范围,以破坏加密模块的防御。加密模块必须包含特殊的环境保护功能,旨在检测波动并删除 CSP,或者经过严格的环境故障测试,以合理保证模块不会受到正常工作范围之外的波动的影响,从而损害模块的安全性。
点击此处,查看《Thales HSM/CipherTrust产品 安全认证信息汇总》
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
