FIPS 140-3

Federal Information Processing Standard Публикация 140-3 ( FIPS PUB 140-3 ), ^[1]^[2] является США правительство компьютерной безопасности стандарт используется для утверждения криптографических модулей. Заголовок - Требования безопасности для криптографических модулей . Первоначальная публикация состоялась 22 марта 2019 г. и заменяет FIPS 140-2 .

Цель [ править ]

Национальный институт стандартов и технологии (NIST) издали FIPS 140 публикаций серии согласовывать требования и стандарты для модулей шифрования , которые включают в себя как аппаратные и программные компоненты. Федеральные агентства и ведомства могут подтвердить, что используемый модуль покрывается существующим сертификатом FIPS 140, в котором указывается точное имя модуля, номера версий аппаратного, программного обеспечения, прошивки и / или апплета. Криптографические модули производятся частным сектором или сообществами с открытым исходным кодом для использования правительством США и другими регулируемыми отраслями (такими как финансовые и медицинские учреждения), которые собирают, хранят, передают, делятся и распространяютконфиденциальная, но несекретная (SBU) информация.

История [ править ]

Попытки обновить стандарт FIPS 140 относятся к началу 2000-х годов. FIPS 140-3 (проект 2013 г.) был намечен к подписанию министром торговли в августе 2013 г., однако этого не произошло, и проект был впоследствии оставлен. В 2014 году NIST выпустил существенно другой проект FIPS 140-3, эта версия эффективно направляет использование стандарта Международной организации по стандартизации / Международной электротехнической комиссии (ISO / IEC) 19790: 2012 в качестве замены FIPS 140-2. . От проекта FIPS 140-3 2014 года также отказались, хотя использование ISO / IEC 19790 в конечном итоге принесло свои плоды. 12 августа 2015 года NIST официально опубликовал заявление в Федеральном реестре с просьбой прокомментировать возможное использование частей ISO / IEC 19790: 2014 в обновленииFIPS 140-2 . Ссылка на версию ISO / IEC 19790 от 2014 г. была непреднамеренной ошибкой в публикации в Федеральном реестре, поскольку 2012 г. является самой последней версией. Стандарт ISO / IEC 19790 был пересмотрен и повторно подтвержден совсем недавно, в 2018 году, но без изменений, поэтому с сохранением номенклатуры версии 2012 года.

Процесс обновления FIPS 140 был затруднен из-за глубоких технических проблем в таких темах, как аппаратная безопасность ^[3], и явных разногласий в правительстве США относительно дальнейших действий. Отказ от проекта FIPS 140-3 2013 года требовал смягчения неинвазивных атак при проверке на более высоких уровнях безопасности, вводил концепцию параметра общественной безопасности, допускал соблюдение определенных самотестирования до тех пор, пока не будут выполнены определенные условия, и усилил требования к аутентификации пользователей и тестированию целостности.

Программа проверки криптографических модулей [ править ]

Стандарт FIPS 140 учредил Программу проверки криптографических модулей (CMVP) как совместную работу NIST и Службы безопасности связи (CSEC) для правительства Канады , которая теперь находится в ведении CCCS, Канадского центра кибербезопасности, новой централизованной инициативы. в рамках агентства CSEC. ^[4]

Программы безопасности, контролируемые NIST и CCCS, сосредоточены на работе с правительством и промышленностью для создания более безопасных систем и сетей путем разработки, управления и продвижения инструментов, методов, услуг и вспомогательных программ оценки безопасности для тестирования, оценки и валидации; и затрагивает такие области, как: разработка и поддержание показателей безопасности, критериев оценки безопасности и методологий оценки, тестов и методов тестирования; критерии безопасности для аккредитации лабораторий; руководство по использованию оцененных и протестированных продуктов; исследования, посвященные методам обеспечения безопасности и общесистемной безопасности и методологиям оценки; деятельность по валидации протокола безопасности; и надлежащая координация с деятельностью добровольных отраслевых органов по стандартизации, связанной с оценкой, и другими режимами оценки.

Утверждение и выдача [ править ]

22 марта 2019 года министр торговли США Уилбур Росс утвердил FIPS 140-3, Требования безопасности для криптографических модулей, чтобы заменить FIPS 140-2 . ^[5] FIPS 140-3 вступил в силу 22 сентября 2019 г. ^[6] Тестирование FIPS 140-3 началось 22 сентября 2020 г., хотя сертификаты проверки FIPS 140-3 еще не выданы. Тестирование FIPS 140-2 по-прежнему доступно до 21 сентября 2021 года, создавая перекрывающийся переходный период в один год. Отчеты об испытаниях FIPS 140-2, которые остаются в очереди CMVP, по-прежнему будут получать проверки после этой даты, но все проверки FIPS 140-2 будут перемещены в Исторический список 21 сентября 2026 года, независимо от их фактической даты окончательной проверки.^[7]

См. Также [ править ]

Ссылки [ править ]

^ «FIPS PUB 140-3: Требования безопасности для криптографических модулей» (PDF) . NIST . 2019-03-22.
^ «Публикации Федеральных стандартов обработки информации (FIPS): FIPS 140-3, Требования безопасности для криптографических модулей» . NIST. Март 2019 . Проверено 19 октября 2020 .
^ "Труды семинара по тестированию физической безопасности NIST" . NIST . 2005-09-26. Архивировано из оригинала на 2016-03-04 . Проверено 10 января 2016 .
^ «Программа проверки криптографических модулей» . csrc.nist.gov . Национальный институт стандартов и технологий. 8 мая 2019 . Проверено 29 мая 2019 года .
^ «Объявление об утверждении и выпуске FIPS 140-3, Требования безопасности для криптографических модулей» . www.nist.gov . Национальный институт стандартов и технологий. 1 мая 2019 . Проверено 29 мая 2019 года .
^ «Объявление об утверждении и выпуске FIPS 140-3, Требования безопасности для криптографических модулей» . www.nist.gov . Национальный институт стандартов и технологий. 1 мая 2019 . Проверено 29 мая 2019 года .
^ "Переходное усилие FIPS 140-3" . www.nist.gov . Национальный институт стандартов и технологий. 21 сентября 2020 . Проверено 19 октября 2020 года .

Внешние ссылки [ править ]

"Труды семинара по тестированию физической безопасности NIST" . NIST . 2005-09-26. Архивировано из оригинала на 2016-03-04 . Проверено 10 января 2016 .
«Разработка FIPS 140-3 PUB» . NIST. 2013-04-30 . Проверено 18 мая 2013 .
«Программа проверки криптографических модулей (CMVP)» . NIST. 2013-04-05 . Проверено 18 мая 2013 .

[1] «FIPS PUB 140-3: Требования безопасности для криптографических модулей» (PDF) . NIST . 2019-03-22.

[2] «Публикации Федеральных стандартов обработки информации (FIPS): FIPS 140-3, Требования безопасности для криптографических модулей» . NIST. Март 2019 . Проверено 19 октября 2020 .

[3] "Труды семинара по тестированию физической безопасности NIST" . NIST . 2005-09-26. Архивировано из оригинала на 2016-03-04 . Проверено 10 января 2016 .

[4] «Программа проверки криптографических модулей» . csrc.nist.gov . Национальный институт стандартов и технологий. 8 мая 2019 . Проверено 29 мая 2019 года .

[5] «Объявление об утверждении и выпуске FIPS 140-3, Требования безопасности для криптографических модулей» . www.nist.gov . Национальный институт стандартов и технологий. 1 мая 2019 . Проверено 29 мая 2019 года .

[6] «Объявление об утверждении и выпуске FIPS 140-3, Требования безопасности для криптографических модулей» . www.nist.gov . Национальный институт стандартов и технологий. 1 мая 2019 . Проверено 29 мая 2019 года .

[7] "Переходное усилие FIPS 140-3" . www.nist.gov . Национальный институт стандартов и технологий. 21 сентября 2020 . Проверено 19 октября 2020 года .

[1]