发布日期:2024-12-15 浏览次数:
在加密安全方面,遵守标准至关重要,以确保敏感数据的保护并满足合规性和监管需求。FIPS 140(联邦信息处理标准)是一组由美国国家标准与技术研究所 (NIST)定义并由美国和加拿大共同管理的加密模块安全要求,是加密模块验证程序 (CMVP)的一部分。经 FIPS 140 验证的模块对于保护加密密钥和执行许多政府应用程序的加密操作是必不可少的。
FIPS 140-2 是 FIPS 140-3 的前身,在过去二十年中被广泛采用,成为组织遵循的安全基准和最佳实践。它还成为北美以外许多其他国家/地区制定国内法规的事实标准,无论是政府部门还是私营部门。
FIPS 140-3 将允许对后量子密码 (PQC) 算法进行认证,因为它将确保加密模块做好准备,以应对量子攻击带来的挑战和威胁。实施经 FIPS 140-3 验证的安全解决方案是构建量子安全加密敏捷安全态势的重要组成部分,可确保组织在当前和未来都受到数据保护。
FIPS 140-3 是验证加密硬件有效性的最新版本,与国际ISO/IEC 19790 标准一致,并对 FIPS 140-2 标准的安全要求进行了新的增强,包括:
更严格的完整性测试要求。
新的必需服务:输出可映射到验证记录/证书的模块名称/标识符和版本。
所有级别的所有未受保护的“敏感安全参数”(SSP)(包括公钥)都需要进行密钥零化。
角色、服务和身份验证:必须通过加密模块的实现来满足(而不是通过策略、规则等),例如密码大小限制。
生命周期保证:除了验证实验室测试之外,供应商还需要证明模块已经进行了充分的内部测试。
组织应使用 FIPS 140-3 标准来确保所选硬件满足特定的安全要求。FIPS 140-2 认证标准定义了四个不断增加的定性安全级别,而 FIPS 140-3 中则保持不变。
目前遵守 FIPS 140-2 的组织需要规划向 FIPS 140-3 的过渡,以确保持续合规。FIPS 140-3 的目标是与国际 ISO/IEC 标准更加一致,并更好地适应当今的技术:
ISO/IEC 19790:2012:列出了用于保护计算机和电信系统中敏感信息的安全系统中使用的加密模块的安全要求。该国际标准为加密模块定义了四个安全级别,以应对广泛的数据敏感度(例如低价值的管理数据、数百万美元的资金转移、保护生命数据、个人身份信息和政府使用的敏感信息)和各种应用环境(例如受保护的设施、办公室、可移动媒体和完全不受保护的位置)。
ISO/IEC 24759:2017:概述了加密模块的测试要求。制定这些方法是为了在测试过程中提供高度的客观性,并确保测试实验室之间的一致性。
与国际标准的一致性可实现向 FIPS 140-3 的无缝过渡,提高互操作性并确保全球范围内的安全实践一致。现有的 FIPS 140-2 证书不会被撤销,但将于 2026 年 9 月 21 日移至历史列表。
Thales开发符合 FIPS 140-3 安全标准的加密产品和子系统。符合该标准的Thales解决方案包括 Luna HSM (硬件安全模块/加密机)、高速加密器 (HSE) 和身份验证解决方案。
经 FIPS 140-3 验证的硬件安全模块
Luna HSM 是业内首批获得 FIPS 140-3 Level 3 验证的产品,为安全加密处理、密钥生成和保护、加密等提供了强化的防篡改环境。
Thales Luna 7 HSM(Network、 PCIe、USB、Backup)现已全部通过 FIPS 140-3 Level 3 验证,为客户带来以下好处:
为 HSM 用户提供灵活性: FIPS 140-3 允许在同一平台上同时支持已批准和未批准的服务。这种灵活性使用户能够满足旧应用程序的限制,同时为新应用程序采用新标准。
增强模块自检:在第 3 级,FIPS 140-3 增加了对模块(如 HSM)的定期自检,这些模块的正常运行时间通常长达数年。这可确保持续安全运行。
实验室严格测试:该标准对测试实验室提出了更严格的要求,以审查并确保对模块进行充分的供应商测试。这使得不同实验室和不同国家之间的安全级别更加一致。
CVE 跟踪和代码质量: FIPS 140-3 要求展示审查和跟踪可能影响模块所用库的常见漏洞和暴露 (CVE) 的能力。这加强了维护内部代码质量的规则,即使它们不直接暴露在外部环境中,因此无法被 HSM 用户扫描和检测。
依靠经过FIPS 140-3 Level 3验证的 Luna HSM作为市场领先的加密敏捷数字信任基础,以降低风险、确保灵活性、轻松管理密钥并简化集成。
Thales Luna K7 加密模块(用于 Luna Network HSM 和 Luna PCIe HSM)现已通过 FIPS 140-3 Level 3 验证(NIST 证书编号 #4684)
经 FIPS 140-3 验证的高速加密解决方案
Thales网络加密解决方案提供单一平台,可对所有地点进行加密 — 从数据中心和总部之间的网络流量到备份和灾难恢复站点,无论是在本地还是在云端。Thales的网络加密解决方案经过严格测试和认证,已通过国防部信息系统局 (DoDIN APL) 和北约等组织的审查。
Thales高速加密器(HSE)已通过 FIPS 认证十多年,并继续满足 NIST 的先进标准,例如 FIPS 140-3 和后量子密码 (PQC)。网络加密解决方案已通过 FIPS 140-2 Level 3 验证,目前正在等待 FIPS 140-3 审核。
经 FIPS 140-3 验证* SafeNet IDCore 230/3230 基于 Java 的智能卡
使用 Java 操作系统的 SafeNet IDCore 智能卡集成了具有强大安全认证的先进微控制器。SafeNet IDCore Java Card OS 由业界领先的安全团队开发,旨在实施针对各种威胁的对策,包括侧通道、侵入、高级故障和其他类型的攻击。SafeNet IDCore Java Card OS 符合业界最严格的安全认证,例如 FIPS 140 和 CC EAL5+ / PP Javacard。
SafeNet IDCore 230/3230是公钥 Java 卡(支持 RSA 和椭圆曲线),可满足长期、多应用程序(包括大型全球组织部署的应用程序)的最高级安全要求,其中包括:
Java 卡 3.1.0
全球平台 2.2.1
ISO 7816
ISO 14443 仅适用于 SafeNet IDCore 3230
* NIST 认证正在进行中:Thales 的 IDCore 3230 / 230 平台
作为Thales的合作伙伴,揽阁信息与您一同解决合规性要求的各类问题,欢迎联系揽阁信息获取更多信息。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
