연방 정보 처리 표준(FIPS)이란 무엇입니까?

FIPS(연방 정보 처리 표준) 140-2는 암호화 하드웨어의 효율성을 검증하기 위한 기준점입니다. 제품에 FIPS 140-2 인증서가 있다면 미국 및 캐나다 정부에서 이를 테스트하고 공식적으로 확인했다는 것입니다. FIPS 140-2는 미국/캐나다 연방 표준이지만, FIPS 140-2 규정 준수는 실용적인 보안 벤치마크이자 현실적인 모범 사례로 전 세계 정부 및 비정부 부문 모두에서 널리 도입되어 왔습니다.

FIPS 140-2 수준

조직은 FIPS 140-2 표준을 사용하여 선택한 하드웨어가 특정 보안 요건을 충족하는지 확인합니다. FIPS 인증 표준은 증가하는 질적 보안 수준을 다음 네 가지로 정의합니다.

  • 레벨 1: 생산 등급 장비 및 외부에서 테스트한 알고리즘이 필요합니다.
  • 레벨 2: 물리적 변조 증거 및 역할 기반 인증에 대한 요건을 추가합니다. 소프트웨어 구현은 EAL2에서 공통 기준에 대해 승인된 운영 체제에서 실행되어야 합니다.
  • 레벨 3: 물리적 변조 방지 및 ID 기반 인증에 대한 요건을 추가합니다. 또한 "중요한 보안 매개 변수"가 모듈에 들어오고 나가는 인터페이스 간에 물리적 또는 논리적 분리가 있어야 합니다. 개인 키는 암호화된 형식으로만 들어가거나 나갈 수 있습니다.
  • 레벨 4: 이 레벨은 물리적 보안 요건을 더욱 엄격하게 만들어 다양한 형태의 환경 공격이 탐지될 경우 장치의 내용을 삭제하고 변조할 수 있는 기능을 요구합니다.

FIPS 140-2 표준은 기술적으로 레벨 3 또는 4에서 소프트웨어 전용 구현을 허용하기는 하지만 매우 엄격한 요건을 적용하여 아무도 검증된 적이 없습니다.

많은 조직의 입장에서 FIPS 140 레벨 3에서 FIPS 인증을 요구하는 것은 효과적인 보안, 운영 편의성 및 시장에서의 선택 사이에서 좋은 절충안이 될 수 있습니다.