Federal Information Processing Standard (FIPS)

FIPS (Federal Information Processing Standard) 140-2 ist der Maßstab für die Validierung der Effektivität kryptographischer Hardware. Wenn ein Produkt ein FIPS 140-2-Zertifikat hat, wissen Sie, dass es von der US-Regierung und der Regierung Kanadas getestet und formell validiert wurde. Obwohl FIPS 140-2 ein Bundesstandard der US-Regierung/Regierung Kanadas ist, hat sich die FIPS 140-2-Compliance weltweit sowohl im staatlichen als auch im nichtstaatlichen Sektor als praktischer Sicherheitsmaßstab und realistische Best Practice durchgesetzt.
Organisationen nutzen den FIPS 140-2-Standard, um sicherzustellen, dass die von ihnen ausgewählte Hardware bestimmte Sicherheitsanforderungen erfüllt. Der FIPS-Zertifizierungsstandard definiert vier zunehmende, qualitative Sicherheitslevel:

  • Level 1: Fordert produktionstaugliche Geräte und extern getestete Algorithmen.
  • Level 2: Fügt Anforderungen für physischen Manipulationsnachweis und rollenbasierte Authentifizierung hinzu. Software-Implementierungen müssen auf einem Betriebssystem laufen, das nach Common Criteria EAL2 zugelassen ist.
  • Level 3: Fügt Anforderungen für physische Manipulationssicherheit und identitätsbasierte Authentifizierung hinzu. Außerdem muss eine physische oder logische Trennung zwischen den Schnittstellen bestehen, über die „kritische Sicherheitsparameter“ beim Modul ein- und abgehen. Private Schlüssel können nur in verschlüsselter Form eingehen bzw. abgehen.
  • Level 4: Dieses Level erhöht die Anforderungen an die physische Sicherheit und fordert ein aktives Vorgehen gegen Manipulation und das Löschen der Inhalte des Geräts, wenn verschiedene Formen von Angriffen auf die Umgebung erkannt werden.
Der FIPS 140-2-Standard erlaubt technisch gesehen reine Software-Implementierungen auf Level 3 oder 4, stellt aber so strenge Anforderungen, dass keine davon validiert wurde.
Für viele Organisationen ist die Forderung nach einer FIPS-Zertifizierung nach FIPS 140 Level 3 ein guter Kompromiss zwischen effektiver Sicherheit, Benutzerfreundlichkeit und Auswahlmöglichkeiten auf dem Markt.