FIPS 140-3
Альфапедия

FIPS 140-3

Публикация Федерального стандарта обработки информации 140-3, (FIPS PUB 140-3 ), является US правительством стандартом компьютерной безопасности , используемым для утверждения криптографических модули. Заголовок - Требования безопасности для криптографических модулей. Первоначальная публикация состоялась 22 марта 2019 г. и заменяет FIPS 140-2.

Содержание
  • 1 Цель
  • 2 История
  • 3 Программа валидации криптографических модулей
  • 4 Утверждение и выпуск
  • 5 См. Также
  • 6 Ссылки
  • 7 Внешние ссылки
Цель

Национальный институт стандартов и технологий (NIST) выпустил FIPS 140 Серия публикаций для координации требований и стандартов для модулей криптографии, которые включают как аппаратные, так и программные компоненты. Федеральные агентства и ведомства могут подтвердить, что используемый модуль покрывается существующим сертификатом FIPS 140, в котором указано точное имя модуля, номера версий аппаратного, программного обеспечения, встроенного ПО и / или апплета. Криптографические модули производятся частным сектором или сообществами с открытым исходным кодом для использования правительством США и другими регулируемыми отраслями (такими как финансовые и медицинские учреждения), которые собирают, хранят, передавать, делиться и распространять конфиденциальную, но несекретную информацию (SBU).

История

Попытки обновить стандарт FIPS 140 относятся к началу 2000-х годов. FIPS 140-3 (проект 2013 г.) был намечен к подписанию министром торговли в августе 2013 г., однако этого не произошло, и впоследствии от проекта отказались. В 2014 году NIST выпустил существенно иной проект стандарта FIPS 140-3, эта версия фактически направляет использование стандарта Международной организации по стандартизации / Международной электротехнической комиссии (ISO / IEC) 19790: 2012 в качестве замены FIPS. 140-2. От проекта FIPS 140-3 от 2014 г. также отказались, хотя использование ISO / IEC 19790 в конечном итоге принесло свои плоды. 12 августа 2015 года NIST официально опубликовал заявление в Федеральном реестре с просьбой прокомментировать возможное использование частей ISO / IEC 19790: 2014 в обновлении FIPS 140-2. Ссылка на версию ISO / IEC 19790 от 2014 г. была непреднамеренной ошибкой в ​​публикации в Федеральном реестре, поскольку 2012 г. является самой последней версией. Стандарт ISO / IEC 19790 был пересмотрен и повторно подтвержден совсем недавно, в 2018 году, но без изменений, поэтому с сохранением номенклатуры версии 2012 года.

Процесс обновления FIPS 140 был затруднен из-за глубоких технических проблем в таких темах, как безопасность оборудования и очевидные разногласия в правительстве США относительно дальнейших действий. Отвергнутый проект стандарта FIPS 140-3 2013 года требовал смягчения неинвазивных атак при проверке на более высоких уровнях безопасности, вводил концепцию параметра общественной безопасности, позволял выполнять определенные самотестирования до тех пор, пока не будут выполнены определенные условия, и усилил требования к аутентификации пользователей и проверке целостности.

Программа валидации криптографических модулей

Стандарт FIPS 140 установил Программу валидации криптографических модулей (CMVP) как совместные усилия NIST и организации по обеспечению безопасности связи. (CSEC) для правительства Канады, теперь находится в ведении CCCS, Канадского центра кибербезопасности, новой централизованной инициативы в рамках агентства CSEC.

Программы безопасности под контролем NIST и CCCS сосредоточены на работе с правительством и промышленностью для создания более безопасных систем и сетей путем разработки, управления и продвижения инструментов, методов, услуг и вспомогательных программ оценки безопасности для тестирования, оценки и проверки; и затрагивает такие области, как: разработка и поддержка показателей безопасности, критериев оценки безопасности и методологий оценки, тестов и методов тестирования; критерии безопасности для аккредитации лабораторий; руководство по использованию оцененных и протестированных продуктов; исследования, посвященные методам обеспечения безопасности и общесистемной безопасности и методологиям оценки; деятельность по валидации протокола безопасности; и надлежащая координация с деятельностью добровольных отраслевых органов по стандартизации, связанной с оценкой, и другими режимами оценки.

Утверждение и выдача

22 марта 2019 г. министр торговли США Уилбур Росс утвердил FIPS 140-3, Требования безопасности для Криптографические модули для успешного выполнения FIPS 140-2. FIPS 140-3 вступил в силу 22 сентября 2019 года. Тестирование FIPS 140-3 началось 22 сентября 2020 года, хотя сертификаты проверки FIPS 140-3 еще не выданы. Тестирование FIPS 140-2 по-прежнему доступно до 21 сентября 2021 года, создавая перекрывающийся переходный период в один год. Отчеты об испытаниях FIPS 140-2, которые остаются в очереди CMVP, по-прежнему будут получать проверки после этой даты, но все проверки FIPS 140-2 будут перемещены в Исторический список 21 сентября 2026 года, независимо от их фактической даты окончательной проверки.

См. Также
Справочная информация
Внешние ссылки
Последняя правка сделана 2021-05-20 07:40:53
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Соглашение О проекте Обратная связь
2026, Альфапедия. Список материалов:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24