주요 콘텐츠로 건너뛰기
이미지
보라색 육각형 패턴

연방 정보 처리 표준(FIPS)이란 무엇입니까?

FIPS(연방 정보 처리 표준) 140-2는 암호화 하드웨어의 효율성을 검증하기 위한 기준점입니다. 제품에 FIPS 140-2 인증서가 있다면 미국 및 캐나다 정부에서 이를 테스트하고 공식적으로 확인했다는 것입니다. FIPS 140-2는 미국/캐나다 연방 표준이지만, FIPS 140-2 규정 준수는 실용적인 보안 벤치마크이자 현실적인 모범 사례로 전 세계 정부 및 비정부 부문 모두에서 널리 도입되어 왔습니다.

FIPS 140-3은 암호화 모듈을 검증하는 데 사용되는 최신 버전의 미국 정부 컴퓨터 보안 표준입니다. 2022년 4월 1일부터, 새로운 제출에 대해서는 암호화 모듈에 대한 FIPS PUB 140-3 보안 요구 사항이 FIPS 140-2를 대체합니다.

FIPS 140-2 인증을 받은 제품은 검증 후 5년 동안 유효합니다. 자세한 내용은 NIST 전환 페이지를 참조하십시오.

FIPS 140-2 수준

조직은 FIPS 140-2 표준을 사용하여 선택한 하드웨어가 특정 보안 요건을 충족하는지 확인합니다. FIPS 인증 표준은 증가하는 질적 보안 수준을 다음 네 가지로 정의합니다.

  • Level 1: 생산 등급 장비 및 외부에서 테스트한 알고리즘이 필요합니다.
  • 레벨 2: 물리적 변조 증거 및 역할 기반 인증에 대한 요건을 추가합니다. 소프트웨어 구현은 EAL2에서 공통 기준에 대해 승인된 운영 체제에서 실행되어야 합니다.
  • 레벨 3: 물리적 변조 방지 및 ID 기반 인증에 대한 요건을 추가합니다. 또한 "중요한 보안 매개 변수"가 모듈에 들어오고 나가는 인터페이스 간에 물리적 또는 논리적 분리가 있어야 합니다. 개인 키는 암호화된 형식으로만 들어가거나 나갈 수 있습니다.
  • 레벨 4: 이 레벨은 물리적 보안 요건을 더욱 엄격하게 만들어 다양한 형태의 환경 공격이 탐지될 경우 장치의 내용을 삭제하고 변조할 수 있는 기능을 요구합니다.

FIPS 140-2 표준은 기술적으로 Level 3 또는 4에서 소프트웨어 전용 구현을 허용하기는 하지만 매우 엄격한 요건을 적용하여 검증을 받은 제품은 아주 소수에 불과합니다.

많은 조직의 입장에서 FIPS 140-2 Level 3에서 FIPS 인증을 요구하는 것은 효과적인 보안, 운영 편의성 및 시장에서의 선택 사이에서 좋은 절충안이 될 수 있습니다.

FIPS 140-2가 중요한 이유는 무엇입니까?

미국 및 캐나다 연방 정부와 업계의 정보 기술 보안 전문가는 제품이 FIPS PUB 140-2 보안 요구사항에 따라 검증된 경우 민감한 미분류 정보를 보호하기 위해 암호화 제품을 안전하게 사용할 수 있음을 인지하고 있습니다. 대부분의 조직 및 기관은 정보를 보호하는 데 사용되는 모든 새로운 암호화 제품을 FIPS PUB 140-2에 따라 검증하도록 요구합니다. 미국(NIST)과 캐나다(CSE) 연방 정부 모두 FIPS PUB 140-2를 채택했습니다. FIPS 140-2의 "적용 가능성" 절은 다음과 같은 내용을 명시하고 있습니다.

“이 표준은 1996년 정보 기술 관리 개혁법, 공법 104-106의 5131절에 정의된 대로 컴퓨터 및 통신 시스템(음성 시스템 포함)의 민감한 정보를 보호하기 위해 암호화 기반 보안 시스템을 사용하는 모든 연방 기관에 적용됩니다. 이 표준은 연방 부서 및 기관이 운영하거나 계약에 따라 운영되는 암호화 모듈을 설계하고 구현하는 데 사용됩니다. 이 표준에 따라 검증된 모듈 대신에 분류된 용도로 승인된 암호화 모듈을 사용할 수 있습니다. 이 표준은 민간 및 상업 조직에서 채택 및 사용할 수 있습니다…"

검증에는 무엇이 포함됩니까?

FIPS 140-2의 검증 테스트는 NIST에서 확립한 CMVP(Cryptographic Module Validation Program)와 캐나다 정부의 CSE(Communications Security Establishment)에 속합니다. CMVP에 따른 모든 테스트는 FIPS 140-1 및 FIPS 140-2의 테스트 방법에 대해 NVLAP(National Voluntary Laboratory Accreditation Program)에 따라 인증을 받은 타사 연구소에서 처리합니다. 공급업체는 설계 문서와 함께 제품 샘플을 제출합니다. 연구소에서는 제품에 대한 일련의 테스트를 실행하고 문서를 검토하여 FIPS PUB 140-2에 명시된 규칙에 따라 설계되었는지 확인합니다.

이 프로세스에는 제품 및 문서의 다음 측면을 살펴보는 과정이 수반됩니다.

  • 암호화 모듈 사양
  • 암호화 모듈 포트 및 인터페이스
  • 역할, 서비스 및 인증
  • 유한 상태 모델
  • 물리적 보안
  • 운영 환경
  • 암호화 키 관리
  • 전자파 장애/전자파 적합성(EMC/EMI)
  • 자가 테스트
  • 설계 보증
  • 다른 공격의 완화

검증이 소프트웨어에 적용됩니까?

예. 검증은 암호화 모듈 전체에 적용됩니다. Entrust 암호화 모듈 프로그램을 실행하는 PC의 경우 PC 자체, 운영 체제 및 암호화 소프트웨어는 모두 모듈의 일부로 간주되며 함께 테스트됩니다.

검증은 어떤 가치를 제공합니까?

암호화 제품의 복잡한 특성으로 인해 사용자는 전통적으로 제품이 광고된 대로 작동하고 실제로 자신의 데이터를 안전한 방식으로 보호하고 있다고 믿을 수밖에 없습니다. 검증은 독립적인 제3자가 제품을 자세히 검사하고 엄격한 보안 요구사항을 준수하는지 확인하여 사용자가 안심할 수 있습니다.

FIPS 140 검증이 있는 버전은 무엇입니까?

Entrust는 조기에 표준을 수용합니다. Entrust Cryptographic Kernel V. 1.9는 최초로 검증된 제품입니다. 공식 인증서는 1995년 10월 12일 메릴랜드 주 볼티모어에서 열린 National Information Systems Security Conference에서 수여되었습니다. 작성 당시 Entrust의 검증 목록에는 21개의 암호화 모듈이 나열되어 있습니다.

이 프로세스는 얼마나 걸립니까?

일반적으로 검증에는 3개월에서 1년 이상이 소요될 수 있습니다. 이는 평가 대상 제품의 특성(예: 하드웨어, 펌웨어 또는 소프트웨어, 복잡도, 알고리즘 수, 프로그래밍 언어 등)에 따라 크게 달라집니다.

FIPS 140-2에 대한 추가 정보

FIPS 140-2 표준, 파생 테스트 요구 사항 및 검증 프로세스 세부 정보는 CygnaCom Solutions 웹사이트에서 확인할 수 있습니다.