了解更多

    什么是 FIPS PUB 140-2?

    “FIPS PUB”是 Federal Information Processing Standards Publication(联邦信息处理标准发布)的缩写;“140-2”表示题为“加密模块安全要求”的标准。FIPS 140-2 认证是较早的 FIPS 140-1 的替代标准。由美国国家标准与技术研究所 (NIST) 制定,概述计算机和电信系统中加密模块的一般要求。加密模块被定义为硬件、固件或软件的任意组合,实施的加密功能包括加密、解密、电子签名、身份验证技术和随机数生成。FIPS PUB 140-2 安全要求涵盖与加密模块设计和实施相关的 11 个领域。在大多数领域,加密模块获得安全水平评级(1-4 级,从最低到最高),取决于满足了哪些要求。

    为什么很重要?

    美国和加拿大联邦政府以及业界的信息技术安全专业人员都认识到,当产品根据 FIPS PUB 140-2 安全要求验证时,加密产品可以安全地用于保护敏感、未分类信息。 大多数组织和机构都要求用于保护其信息的新加密产品都必须通过 FIPS PUB 140-2 验证。 美国 (NIST) 和加拿大 (CSE) 联邦政府都采用了 FIPS PUB 140-2。 FIPS 140-2 的“适用性”部分指出:

    “该标准适用于所有使用加密安全系统来保护计算机和电信系统(包括语音系统)中敏感信息的联邦机构(正如 1996 年《信息技术管理改革法》(第 104-106 号公法)第 5131 条所定义的)。 该标准应用于设计和实施由各联邦部门和机构运营或根据合同运营的加密模块。 已批准用于分类使用的加密模块可用来代替已根据此标准验证的模块。 私营和商业机构都可以采用和使用此标准…”

    验证涉及什么?

    FIPS 140-2 的验证测试属于加密模块验证计划 (CMVP),该计划由 NIST 和加拿大政府的通信安全机构 (CSE) 制定。 根据 CMVP 进行的所有测试均由获得国家实验室自愿认可程序 (NVLAP) 认证的第三方实验室处理 FIPS 140-1 和 FIPS 140-2 的测试方法。供应商将产品样本和设计文档一起提交。 该实验室对产品进行了一系列测试,并检查文档,确保设计符合 FIPS PUB 140-2 列出的规则。

    此流程涉及查看产品和文档的以下方面:

    • 加密模块规范
    • 加密模块端口和接口
    • 角色、服务和身份验证
    • 有限状态模型
    • 物理安全
    • 操作环境
    • 加密密钥管理
    • 电磁干扰/电磁兼容性 (EMC/EMI)
    • 自检情况
    • 设计保证
    • 减少其他攻击

    验证是否适用于软件?

    是。 验证适用于整个加密模块。 在个人电脑运行 Entrust 加密模块程序的情况下,个人电脑本身、操作系统和加密软件都被视为模块的一部分,一起进行测试。

     

    验证可带来什么样的价值?

    由于加密产品的复杂性,用户传统上别无选择,只能相信产品正在按广告方式作用,实际上是以安全的方式保护他/她的数据。 验证提供独立第三方详细检查产品的舒适性,并确保产品符合严格的安全要求。

     

    哪些版本有 FIPS 140 验证?

    Entrust 是该标准的早期采用者。 Entrust Cryptographic Kernel V. 1.9 是有史以来第一款经过验证的产品;官方证书于 1995 年 10 月 12 日在马里兰州巴尔的摩举行的国家信息系统安全会议上颁发。 撰写本文时,Entrust 在验证列表中列出了 21 个加密模块。

     

    此流程需要多长时间?

    通常情况下,验证可能需要三个月至一年,甚至更长的时间。 这在很大程度上取决于被评估产品的性质(如硬件、固件或软件、复杂程度、算法数量、编程语言等)。

    有关 FIPS 140-2 的更多信息

    有关 FIPS 140-2 标准、衍生测试要求和验证流程的详细信息,请访问 CygnaCom Solutions 网站。