Qu’est-ce que la norme FIPS 140-2 ?

La certification FIPS (Federal Information Processing Standard) 1402 est la référence pour valider l’efficacité du matériel cryptographique. Si un produit dispose d’un certificat FIPS 140-2, vous savez qu’il a été testé et formellement validé par les gouvernements américain et canadien. Bien que la FIPS 140-2 soit une norme fédérale américaine/canadienne, la conformité FIPS 140-2 a été largement adoptée dans le monde entier dans les secteurs gouvernementaux et non gouvernementaux en tant que référence de sécurité pratique et meilleure pratique réaliste.

FIPS 140-3 est la dernière version de la norme de sécurité informatique du gouvernement américain utilisée pour valider les modules cryptographiques. À partir du 1er avril 2022, la norme FIPS PUB 140-3 Security Requirements for Cryptographic Modules remplacera la norme FIPS 140-2 pour les nouvelles soumissions.

Les produits certifiés selon la norme FIPS 140-2 peuvent rester valides pendant 5 ans après leur validation. Voir la page de transition du NIST pour plus d’informations.

Niveaux de la FIPS 140-2

Les organisations utilisent la norme FIPS 140-2 pour s’assurer que le matériel qu’elles sélectionnent répond à des exigences de sécurité spécifiques. La norme de certification FIPS définit quatre niveaux de sécurité qualitatifs croissants :

• Niveau 1 : Requiert un équipement de production et des algorithmes testés en externe.
• Niveau 2 : Ajoute des exigences pour la preuve de falsification physique et l’authentification basée sur les rôles. Les implémentations logicielles doivent s’exécuter sur un système d’exploitation approuvé selon les critères communs à EAL2.
• Niveau 3 : Ajoute des exigences pour la résistance à la falsification physique et l’authentification basée sur l’identité. Une séparation physique ou logique doit également exister entre les interfaces par lesquelles les « paramètres de sécurité critiques » entrent et sortent du module. Les clés privées ne peuvent entrer ou sortir que sous forme cryptée.
• Niveau 4 : Ce niveau rend les exigences de sécurité physique plus strictes, ce qui implique la capacité de réagir contre la falsification, effaçant le contenu de l’appareil s’il détecte diverses formes d’attaque environnementale.

La norme FIPS 140-2 autorise techniquement des implémentations logicielles uniquement au niveau 3 ou 4, mais applique des exigences tellement strictes qu’aucune n’a été validée.

Pour de nombreuses organisations, exiger la certification FIPS 140 de niveau 3 est un bon compromis entre sécurité efficace, commodité opérationnelle et choix sur le marché.

Pourquoi la norme FIPS 140-2 est-elle importante ?

Les professionnels de la sécurité des technologies de l’information des gouvernements fédéraux américains et canadiens, ainsi que de l’industrie, reconnaissent qu’un produit cryptographique peut être utilisé en toute sécurité pour protéger des informations sensibles et non classifiées lorsque le produit est validé par rapport aux exigences de sécurité FIPS PUB 140-2. La plupart des organisations et agences exigent que tout nouveau produit cryptographique utilisé pour protéger leurs informations soit conforme à la FIPS PUB 140-2. Les gouvernements fédéraux des États-Unis (NIST) et du Canada (CSE) ont adopté la FIPS PUB 140-2. La section « Applicabilité » de la norme FIPS 140-2 stipule que :

« Cette norme est applicable à toutes les agences fédérales qui utilisent des systèmes de sécurité cryptographiques pour protéger les informations sensibles dans les systèmes informatiques et de télécommunication (y compris les systèmes vocaux) tels que définis dans la section 5131 de la loi de réforme de la gestion des technologies de l’information (Information Technology Management Reform Act) de 1996, loi publique 104-106. Cette norme devra être utilisée dans la conception et la mise en œuvre de modules cryptographiques que les ministères et organismes fédéraux exploitent ou avec lesquels ils sont exploités sous contrat. Les modules cryptographiques qui ont été approuvés pour une utilisation classifiée peuvent être utilisés à la place des modules qui ont été validés avec cette norme. L’adoption et l’utilisation de cette norme sont accessibles aux organisations privées et commerciales… »

Qu’implique la validation ?

Les tests de validation pour se conformer à la FIPS 140-2 relèvent du Programme de validation des modules cryptographiques (CMVP), qui est établi par le NIST et le Centre de la sécurité des télécommunications (CSE) du gouvernement du Canada. Tous les tests du CMVP sont effectués par des laboratoires tiers accrédités par le National Voluntary Laboratory Accreditation Program (NVLAP) pour les méthodes de test des normes FIPS 140-1 et FIPS 140-2. Le vendeur soumet un échantillon du produit ainsi que la documentation de conception. Le laboratoire effectue une série de tests sur le produit et examine la documentation pour s’assurer qu’il a été conçu conformément aux règles énoncées dans la FIPS PUB 140-2.

Ce processus implique d’examiner les aspects suivants du produit et de la documentation :

• La spécification du module cryptographique
• Les ports et interfaces du module cryptographique
• Les rôles, services et authentification
• Le modèle d’état fini
• Sécurité physique
• L’environnement d’exploitation
• La gestion des clés cryptographiques
• Les interférences électromagnétiques/compatibilité électromagnétique (CEM/EMI)
• Les autodiagnostics
• L’assurance de la conception
• L’atténuation d’autres attaques

La validation s’applique-t-elle aux logiciels ?

Oui. La validation s’applique au module cryptographique dans son ensemble. Dans le cas d’un PC exécutant le programme du module cryptographique Entrust, le PC lui-même, le système d’exploitation et le logiciel cryptographique sont tous considérés comme faisant partie du module et sont testés ensemble.

Quelle valeur offre la validation ?

En raison de la nature complexe des produits cryptographiques, un utilisateur n’a traditionnellement guère d’autre choix que de croire que le produit fonctionne comme annoncé et protège réellement ses données de manière sécurisée. La validation offre le confort qu’un tiers indépendant a examiné le produit en détail et s’est assuré qu’il est conforme à des exigences de sécurité strictes.

Quelles versions reçoivent la validation FIPS 140 ?

Entrust est l’un des premiers à adopter cette norme. Le noyau cryptographique Entrust V. 1.9 a été le premier produit jamais validé ; le certificat officiel a été décerné le 12 octobre 1995, lors de la Conférence nationale sur la sécurité des systèmes d’information à Baltimore, dans le Maryland. Au moment de la rédaction de cet article, Entrust possède 21 modules cryptographiques répertoriés sur la liste de validation.

Combien de temps dure le processus ?

En règle générale, une validation peut prendre entre trois mois et un an ou plus. Cela dépend grandement de la nature du produit évalué (par exemple, le matériel, le micrologiciel ou le logiciel, la complexité, le nombre d’algorithmes, le langage de programmation, etc.).

Informations supplémentaires sur FIPS 140-2

La norme FIPS 140-2, les exigences de test dérivées et les détails du processus de validation sont disponibles sur le site Web de CygnaCom Solutions.