Saltar al contenido principal

¿Qué es FIPS?

FIPS 140-2 es la referencia para validar la eficacia de hardware criptográfico. Un producto certificado FIPS 140-2 ha sido probado y validado formalmente por los gobiernos de EE. UU. y Canadá. Aunque es un estándar federal de EE. UU. y Canadá, sectores gubernamentales y no gubernamentales de todo el mundo han adoptado FIPS 140-2 como referencia de seguridad realista.

FIPS Niveles 140-2

Las organizaciones utilizan FIPS 140-2 para garantizar que su hardware cumple requisitos de seguridad específicos. FIPS define cuatro niveles de seguridad incrementales:

  • Nivel 1: Requiere equipos de producción y algoritmos verificados externamente.
  • Nivel 2: Añade autenticación basada en roles y requisitos para detectar manipulaciones. Las implementaciones software deben ejecutarse en un sistema operativo conforme a Common Criteria en EAL2.
  • Nivel 3: Añade autenticación basada en roles y requisitos para detectar manipulaciones. También debe existir una separación física o lógica entre las interfaces por donde entran y salen “parámetros críticos de seguridad”. Las claves privadas solo pueden entrar o salir cifradas.
  • Nivel 4: Este nivel hace más estrictos los requisitos de seguridad física. Requiere acciones contra la manipulación como borrar el contenido del dispositivo ante un ataque ambiental.

Aunque FIPS 140-2 permite implementar niveles 3 o 4 mediante software, aplica requisitos tan estrictos que ninguno ha sido validado.

Para muchas organizaciones, exigir FIPS 140 nivel 3 es un buen compromiso entre seguridad, conveniencia y mercado.