ФИПС 140-3

Публикация Федерального стандарта обработки информации 140-3 ( FIPS PUB 140-3 ). ^{[ 1 ] [ 2 ]} — это США правительства компьютерной безопасности стандарт , используемый для утверждения криптографических модулей . Название: Требования безопасности для криптографических модулей . Первоначальная публикация состоялась 22 марта 2019 г. и заменяет FIPS 140-2 .

Национальный институт стандартов и технологий (NIST) выпустил серию публикаций FIPS 140 для координации требований и стандартов для модулей шифрования, которые включают как аппаратные, так и программные компоненты. Федеральные агентства и ведомства могут подтвердить, что используемый модуль имеет существующий сертификат FIPS 140 , в котором указаны точное имя модуля, номера версий оборудования, программного обеспечения, встроенного ПО и/или апплета. Криптографические модули производятся частным сектором или сообществами с открытым исходным кодом для использования правительством США и другими регулируемыми отраслями (например, финансовыми и медицинскими учреждениями), которые собирают, хранят, передают, совместно используют и распространяют конфиденциальную, но несекретную (SBU) информацию. .

Попытки обновить стандарт FIPS 140 начались еще в начале 2000-х годов. FIPS 140-3 (проект 2013 г.) должен был быть подписан министром торговли в августе 2013 г., однако этого не произошло, и впоследствии проект был отменен. В 2014 году NIST выпустил существенно измененный проект FIPS 140-3, эта версия фактически определяет использование стандарта Международной организации по стандартизации/Международной электротехнической комиссии (ISO/IEC) 19790:2012 в качестве замены FIPS 140-2. . От проекта FIPS 140-3 2014 года также отказались, хотя использование ISO/IEC 19790 в конечном итоге принесло свои плоды. 12 августа 2015 года NIST официально опубликовал заявление в Федеральном реестре с просьбой прокомментировать потенциальное использование частей ISO/IEC 19790:2014 в обновлении FIPS 140-2 . Ссылка на версию ISO/IEC 19790 2014 года была непреднамеренной ошибкой в ​​публикации Федерального реестра, поскольку самой последней версией является версия 2012 года. ISO/IEC 19790 был рассмотрен и повторно подтвержден совсем недавно, в 2018 году, но без изменений, следовательно, была сохранена номенклатура версий 2012 года.

Процесс обновления до FIPS 140 был затруднен из-за серьезных технических проблем в таких областях, как аппаратная безопасность. ^{[ 3 ]} и очевидные разногласия в правительстве США по поводу дальнейших действий. Ныне заброшенный проект FIPS 140-3 2013 года требовал смягчения неинвазивных атак при проверке на более высоких уровнях безопасности, вводил концепцию параметра общественной безопасности, позволял откладывать определенные самотестирования до тех пор, пока не будут выполнены определенные условия, и усиливал требования к аутентификации пользователей и тестированию целостности.

Стандарт FIPS 140 установил Программу проверки криптографических модулей (CMVP) как совместную работу NIST и Управления безопасности связи (CSEC) для правительства Канады , которой теперь управляет CCCS, Канадский центр кибербезопасности, новая централизованная инициатива. в рамках агентства CSEC. ^{[ 4 ]}

Программы безопасности, контролируемые NIST и CCCS, сосредоточены на работе с правительством и промышленностью над созданием более безопасных систем и сетей путем разработки, управления и продвижения инструментов, методов, услуг и поддержки программ для тестирования, оценки и проверки безопасности; и затрагивает такие области, как: разработка и поддержание показателей безопасности, критериев оценки безопасности и методологий оценки, тестов и методов тестирования; критерии безопасности для аккредитации лабораторий; руководство по использованию оцененных и протестированных продуктов; исследования по методам обеспечения безопасности и методологиям общесистемной безопасности и оценки; деятельность по проверке протокола безопасности; и соответствующую координацию с деятельностью добровольных органов по отраслевым стандартизациям и других режимов оценки, связанных с оценкой.

22 марта 2019 года министр торговли США Уилбур Росс утвердил FIPS 140-3 « Требования к безопасности для криптографических модулей», пришедший на смену FIPS 140-2 . ^{[ 5 ]} FIPS 140-3 вступил в силу 22 сентября 2019 г. ^{[ 6 ]} Тестирование FIPS 140-3 началось 22 сентября 2020 г., и было выдано небольшое количество сертификатов проверки. Тестирование FIPS 140-2 по-прежнему доступно до 21 сентября 2021 г., что создает перекрывающийся переходный период продолжительностью в один год. Отчеты об испытаниях FIPS 140-2, которые остаются в очереди CMVP, по-прежнему будут проходить проверки после этой даты, но все проверки FIPS 140-2 будут перемещены в исторический список 21 сентября 2026 г. независимо от их фактической окончательной даты проверки. ^{[ 7 ]}

• Общие критерии
• Защита от несанкционированного доступа
• ФИПС 140
• ФИПС 140-2
• Аппаратный модуль безопасности

• «Материалы семинара NIST по тестированию физической безопасности» . НИСТ . 26 сентября 2005 г. Архивировано из оригинала 4 марта 2016 г. Проверено 10 января 2016 г.
• «Разработка FIPS 140-3 PUB» . НИСТ. 30 апреля 2013 г. Проверено 18 мая 2013 г.
• «Программа проверки криптографических модулей (CMVP)» . НИСТ. 05 апреля 2013 г. Проверено 18 мая 2013 г.