FIPS 140-3란 무엇입니까?

FIPS(Federal Information Processing Standard) 140-3은 암호화 하드웨어의 효율성을 검증하기 위한 최신 기준입니다. 제품에 FIPS 140-3 인증서가 있다면 미국 및 캐나다 정부에서 이를 테스트하고 공식적으로 확인했다는 것입니다. FIPS 140-3은 비교적 최근의 미국/캐나다 연방 표준이지만, 그 이전 표준인 FIPS 140-2는 실용적인 보안 기준이자 현실적인 모범 사례로 전 세계 정부/비정부 부문에서 모두 널리 도입되어 왔습니다.

FIPS 140-3은 암호화 모듈을 검증하는 데 사용되는 최신 버전의 미국 정부 컴퓨터 보안 표준입니다. FIPS 140-3은 ISO/IEC 19790 표준과 일치하며, 다음을 비롯해 FIPS 140-2 표준 관련 보안 요건에 대한 새로운 개선 사항을 도입했습니다.

• 승인된 작동 모드 표시기는 모든 수준에 적용할 수 있으며, 모듈에서 제공하는 각 서비스별로 보고되어야 합니다.
• CSP(핵심 보안 매개변수)에 대한 더욱 엄격한 제로화 요건을 충족해야 합니다.
• 인증 데이터 복잡성은 더 이상 절차적 수단에 따라 시행할 수 없고 모듈에 따라 시행해야 합니다.
• Level 3 물리적 보안의 경우 모듈이 범위를 벗어난 전압 또는 온도(Environmental Failure Protection, EFP)를 감지하고 이에 대응하거나, EFT(Environmental Failure Testing)를 받아야 합니다. Level 4의 경우 이제 EFP를 시행하고 오류 주입을 차단할 수 있어야 합니다.
• Level 4의 새로운 다중 인증(MFA) 요건을 충족해야 합니다.
• 모듈의 개발자 테스트 및 자동화된 보안 진단 도구(예: 정적 분석)의 사용 같은 주요 보안 사례를 도입하는 등 모듈의 새로운 개발 수명주기 보증 요건을 충족해야 합니다.
• 비침해 보안이 선택적 요건으로 도입되었으며, 부채널 공격에 대한 테스트 지침을 포함할 예정입니다.

2022년 4월 1일부터, 새로운 제출에 대해서는 암호화 모듈에 대한 FIPS PUB 140-3 보안 요구 사항이 FIPS 140-2를 대체합니다.

FIPS 140-2 인증을 받은 제품은 검증 후 5년 동안 유효합니다. 자세한 내용은 NIST 전환 페이지를 참조하십시오.

조직은 FIPS 140-3 표준을 사용하여 선택한 하드웨어가 특정 보안 요건을 충족하는지 확인합니다. FIPS 인증 표준은 증가하는 질적 보안 수준을 다음 네 가지로 정의합니다.

• Level 1: 생산 등급 장비 및 외부에서 테스트한 알고리즘이 필요합니다.
• Level 2: 물리적 변조 증거 및 역할 기반 인증에 대한 요건을 추가합니다.
• Level 3: 물리적 변조 방지 및 ID 기반 인증에 대한 요건을 추가합니다. 또한 "중요한 보안 매개 변수"가 모듈에 들어오고 나가는 인터페이스 간에 물리적 또는 논리적 분리가 있어야 합니다. 개인 키는 암호화된 형식으로만 들어가거나 나갈 수 있습니다. 또한 Level 3의 경우 모듈이 범위를 벗어난 전압 또는 온도(Environmental Failure Protection, EFP)를 감지하고 이에 대응하거나, EFT(Environmental Failure Testing)를 받아야 합니다.
• Level 4: 이 레벨은 물리적 보안 요건을 더욱 엄격하게 만들어 다양한 형태의 환경 공격이 탐지될 경우 장치의 내용을 삭제하고 변조할 수 있는 기능을 요구합니다. EFP를 시행하고 오류 주입을 차단할 뿐만 아니라, 다중 인증을 사용해야 합니다.

많은 조직의 입장에서 FIPS 140-2/FIPS 140-3 Level 3의 FIPS 인증을 요구하는 것은 효과적인 보안과 운영 편의성, 시장에서의 선택 사이에서 좋은 절충안이 될 수 있습니다.

2019년에 FIPS 140-3이 공표되었을 때 FIPS 140-2 인증서 5개년 종료 계획이 발표되었습니다.