O que é o Federal Information Processing Standard (FIPS)?

FIPS (Federal Information Processing Standard) 140-2 é a referência para validar a eficácia do hardware criptográfico. Se um produto tem um certificado pela FIPS 140‑2, sabemos que ele foi testado e formalmente validado pelos governos dos Estados Unidos e do Canadá. Embora a FIPS 140‑2 seja uma norma dos EUA/Canadá, ela tem sido amplamente adotada em todo o mundo, tanto no setor governamental quanto no não governamental, como referência prática de segurança e melhor prática realista. As organizações utilizam a norma FIPS 140‑2 para garantir que o hardware selecionado atenda às exigências específicas de segurança. A norma de certificação FIPS define quatro níveis crescentes e qualitativos de segurança: Nível 1: Requer equipamento de primeira qualidade e algoritmos testados externamente. Nível 2: Agrega requisitos de prova física de violação e autenticação baseada em funções. As implementações de software devem ser feitas em um sistema operacional aprovado de acordo com Common Criteria no EAL2. Nível 3: Adiciona requisitos de resistência física à violação e autenticação baseada em identidade. Também deve haver uma separação física ou lógica entre as interfaces pelas quais “parâmetros de segurança fundamentais” entram e saem do módulo. As chaves privadas só podem entrar ou sair em forma criptografada. Nível 4: Este nível torna os requisitos de segurança física mais rigorosos, exigindo a capacidade de ser ativo contra violações, apagando o conteúdo do dispositivo se ele detectar várias formas de ataque. A norma FIPS 140‑2 tecnicamente permite implementações somente de software no nível 3 ou 4, mas aplica requisitos tão rigorosos que nenhum foi validado. Para muitas organizações, exigir a certificação FIPS nível 3 do FIPS 140 é um bom compromisso entre segurança, conveniência operacional e escolha no mercado.

O que é FIPS-140-2? Saiba tudo sobre esta referência

- Soluções
  - Identidades fortes
    1. Verificação de identidade
      Permite identidades de alta segurança que capacitam os cidadãos.
    2. Emissão de identificação
      Emita IDs digitais e físicos seguros em grandes volumes ou instantaneamente.
    3. Identidade do usuário
      Aumenta a confiança, protegendo as identidades com uma ampla gama de autenticadores.
    4. Identidades de máquina
      Emite e gerencia identidades fortes de máquinas para Internet das Coisas e transformação digital seguras.
    5. Assinatura digital
      Uso de assinaturas e selos seguros e verificáveis para documentos digitais.
  - Pagamentos seguros
    1. Emissão financeira
      Emita identidades e credenciais financeiras digitais e físicas instantaneamente ou em escala.
    2. Solução de cartão digital
      Emite credenciais de pagamento digital diretamente aos titulares de cartões do aplicativo móvel do banco.
  - Infraestrutura digital
    1. Segurança de banco de dados
      Bancos de dados seguros com criptografia, gerenciamento de chaves e política e controle de acesso fortes.
    2. Segurança de nuvem múltipla
      Chaves de criptografia seguras, contêineres e dados em ambientes multinuvem.
- Setor
  - 1. História
    2. Saúde
    3. Varejo
- Conformidade
  - 1. PSD2
    2. HIPAA
    3. LGPD
  - 1. CMMC
    2. eIDAS
- Segurança em nuvem, criptografia e gerenciamento de chaves
  - Gerenciamento de postura de segurança na nuvem
  - Criptografia multinuvem
  - Gerenciamento de chaves
- Certificados digitais
  - Certificados TLS / SSL
  - Certificados digitais qualificados
  - Vendas e serviços
  - Certificados de Marca Verificada (VMC) para BIMI
    Exiba seu logotipo oficial nas comunicações por e-mail. Baixe o nosso white paper para acessar tudo o que você precisa saber sobre VMCs e o padrão BIMI.
    Saiba mais
- Assinatura digital
  - Assinatura digital como serviço
    1. Serviço de automação de assinatura
    2. Serviço de Assinatura Remota
  - Certificados de assinatura
  - Servidores de assinatura
- Módulos de segurança de hardware (HSM)
  - HSMs nShield
    1. nShield Connect
      Aparelhos em rede que fornecem serviços de chave criptográfica para aplicativos distribuídos.
    2. nShield Edge
      HSMs de desktops pessoais, conectados por USB.
    3. nShield Solo
      HSMs baseados em cartões PCI-Express.
    4. nShield as a Service
      Acesso por assinatura aos HSMs nShield dedicados.
    5. HSMi nShield
  - Software nShield
  - Gestão e monitoramento de HSMs nShield
    1. Monitoramento do nShield
    2. Administração remota do nShield
  - Compliance
    1. FIPS 140-2
    2. LGPD
    3. PSD2
    4. NIST 800-53 Fedramp
    5. Common Criteria
    6. eIDAS
    7. HIPAA
    8. PCI-DSS
    9. Américas
    10. EMEA
    11. APAC
    12. Global
  - Casos de uso
  - 1. Ver todos os casos de uso
- Gerenciamento de identificações e acessos (IAM)
  - Produtos
    1. Identity as a Service
      IAM baseado na nuvem
    2. Identity Enterprise
      IAM no local
    3. Identity Essentials
      Solução MFA no local para usuários Windows
  - Depoimentos
  - Capacidades do portfólio
  - Identidades da força de trabalho
  - Para consumidores e cidadãos
- Infraestrutura de chaves públicas (PKI)
  - Produtos
  - Serviços gerenciados
- Emissão central
  - Cartões financeiros
  - Cartões governamentais
- Emissão instantânea
  - Cartões financeiros
  - Cartões de identificação
- Emissão de passaporte
  - Passaportes
  - Experimente nosso Criador de credenciais de passaporte
    Saiba mais
- Parceiros
  - Torne-se um parceiro da Entrust
    Nossos programas de parceria podem ajudá-lo a se destacar da concorrência, aumentar a receita e fidelizar os clientes. Participe de um ou mais programas de parceiros da Entrust e posicione sua empresa e marca estrategicamente para o maior número possível de potenciais clientes.
    Saiba mais
  - Diretório de Parceiros
    Procure por parceiros com base em localização, ofertas, canais ou parceiros de aliança tecnológica.
    Procure por um parceiro
  - Programas
  - Logins de parceiros
- Suporte e serviços
  - Contatar suporte técnico Entrust
  - TrustedCare
    Downloads de produtos, suporte técnico, fundos de desenvolvimento de marketing.
    Saiba mais
  - Base de conhecimento em segurança digital
    Guias, publicações técnicas, ajuda na instalação, perguntas frequentes e ferramentas de serviços de certificados.
    Saiba mais
  - Base de conhecimento de sistemas de emissão
    Notas técnicas, boletins de produtos, guias de usuário, registro de produtos, códigos de erro e muito mais.
    Saiba mais
  - Serviços profissionais PKI
  - Centro de excelência de criptografia
    Desenvolva as melhores práticas e defina as estratégias que funcionem em seu ambiente único de TI.
    Saiba mais
  - Soluções em criptografia personalizadas
    1. Code signing
    2. Serviço de integração para aplicativos HSM
  - Serviços de implantação de produtos
  - Pacotes de serviços
  - Treinamento
- Recursos
  - Base de conhecimento de sistemas de emissão
    Notas técnicas, boletins de produtos, guias de usuário, registro de produtos, códigos de erro e muito mais.
    Saiba mais
  - Base de conhecimento em segurança digital
    Guias, publicações técnicas, ajuda na instalação, perguntas frequentes e ferramentas de serviços de certificados.
    Saiba mais
- Sobre a Entrust
  - Garantindo um mundo em movimento desde 1969
    Temos conexões seguras em todo o planeta e até mesmo no espaço sideral. Podemos fazer compras com cartão de débito e crédito de forma confiável com as tecnologias de impressão e emissão de cartões. Podemos fazer viagens internacionais protegidas com nossas soluções para controle de fronteiras. Temos experiências seguras na Internet com nossas tecnologias SSL. E redes e dispositivos protegidos com o pacote de produtos de autenticação.
    Conheça nossa história
  - 1. Liderança
    2. Blog
    3. Vagas
    4. Eventos
    5. Webinars
    6. Podcasts
    7. Notícias
    8. Notícias na imprensa
  - Cybersecurity Institute
    Obtenha informações críticas e educação sobre conceitos de segurança em nosso boletim informativo Confiança é importante, vídeos explicativos e no Podcast do Cybersecurity Institute.
    Saiba mais
- Loja
  - Portal de Serviços de certificados Entrust
    Os clientes dos Serviços de certificados Entrust podem fazer login para emitir e gerenciar certificados ou adquirir mais serviços.
    Saiba mais
  - Serviços de certificados Entrust para varejo
    Compre novos certificados únicos.
    Saiba mais
  - Portal do parceiro de Serviços de certificados Entrust
    Os parceiros podem fornecer novos clientes e gerenciar o estoque.
    Saiba mais
  - Suprimentos para emissão instantânea de cartões financeiros
    1. Login de cliente cadastrado
    2. Solicitar acesso
- Busca Entrust
  - Busca:

FIPS (Federal Information Processing Standard) 140-2 é a referência para validar a eficácia do hardware criptográfico. Se um produto tem um certificado pela FIPS 140‑2, sabemos que ele foi testado e formalmente validado pelos governos dos Estados Unidos e do Canadá. Embora a FIPS 140‑2 seja uma norma dos EUA/Canadá, ela tem sido amplamente adotada em todo o mundo, tanto no setor governamental quanto no não governamental, como referência prática de segurança e melhor prática realista.

FIPS 140-3 é a versão mais recente do padrão de segurança de computadores do governo dos EUA usado para validar módulos criptográficos. A partir de 1º de abril de 2022, os requisitos de segurança FIPS PUB 140-3 para módulos criptográficos substituem o FIPS 140-2 para novas submissões.

Os produtos certificados pelo FIPS 140-2 podem permanecer válidos por 5 anos após a validação. Consulte a página de transição do NIST para obter mais detalhes.

Níveis FIPS 140-2

As organizações utilizam a norma FIPS 140‑2 para garantir que o hardware selecionado atenda às exigências específicas de segurança. A norma de certificação FIPS define quatro níveis crescentes e qualitativos de segurança:

Nível 1: Requer equipamento de primeira qualidade e algoritmos testados externamente.
Nível 2: Agrega requisitos de prova física de violação e autenticação baseada em funções. As implementações de software devem ser feitas em um sistema operacional aprovado de acordo com Common Criteria no EAL2.
Nível 3: Adiciona requisitos de resistência física à violação e autenticação baseada em identidade. Também deve haver uma separação física ou lógica entre as interfaces pelas quais “parâmetros de segurança fundamentais” entram e saem do módulo. As chaves privadas só podem entrar ou sair em forma criptografada.
Nível 4: Este nível torna os requisitos de segurança física mais rigorosos, exigindo a capacidade de ser ativo contra violações, apagando o conteúdo do dispositivo se ele detectar várias formas de ataque.

O padrão FIPS 140-2 tecnicamente permite implementações somente de software no nível 3 ou 4, mas aplica requisitos tão rigorosos que poucos foram validados.

Para muitas organizações, exigir a certificação FIPS no nível 3 da FIPS 140-2 é um bom compromisso entre segurança efetiva, conveniência operacional e opções no mercado.

Por que o FIPS 140-2 é importante?

Profissionais de segurança de tecnologia da informação nos governos federal dos EUA e Canadá, bem como a indústria, reconhecem que um produto criptográfico pode ser usado com segurança para proteger informações confidenciais e não classificadas quando o produto é validado de acordo com os requisitos de segurança FIPS PUB 140-2. A maioria das organizações e agências exige que qualquer novo produto criptográfico usado para proteger suas informações possua validação FIPS PUB 140-2. Os governos federais dos Estados Unidos (NIST) e do Canadá (CSE) adotaram a FIPS PUB 140-2 validation. A seção “Aplicabilidade” da FIPS 140-2 afirma que:

“Este padrão é aplicável a todas as agências federais que usam sistemas de segurança baseados em criptografia para proteger informações confidenciais em sistemas de computador e telecomunicações (incluindo sistemas de voz), conforme definido na Seção 5131 do Information Technology Management Reform Act de 1996, Lei pública 104-106 . Este padrão deve ser usado no projeto e implementação de módulos criptográficos que departamentos e agências federais operam ou são operados por eles sob contrato. Os módulos criptográficos que foram aprovados para uso classificado podem ser usados no lugar dos módulos que foram validados de acordo com este padrão. A adoção e uso desta norma está disponível para organizações privadas e comerciais…”

O que envolve a validação?

O teste de validação para FIPS 140-2 se enquadra no Programa de validação do módulo criptográfico (CMVP), que é estabelecido pelo NIST e pelo Communications Security Establishment (CSE) do Governo do Canadá. Todos os testes sob o CMVP são realizados por laboratórios terceirizados que são credenciados pelo Programa Nacional de Acreditação de Laboratório Voluntário (NVLAP) para métodos de teste para FIPS 140-1 e FIPS 140-2. O fornecedor envia uma amostra do produto junto com a documentação do projeto. O laboratório executa uma série de testes no produto e examina a documentação para se certificar de que foi projetado de acordo com as regras estabelecidas na FIPS PUB 140-2.

Este processo envolve a análise dos seguintes aspectos do produto e da documentação:

Especificação do módulo criptográfico
Portas e interfaces do módulo criptográfico
Papéis, serviços e autenticação
Modelo de estado finito
Segurança física
Ambiente operacional
Gerenciamento de chave criptográfica
Interferência eletromagnética/compatibilidade eletromagnética (EMC/EMI)
Autoteste
Garantia de design
Mitigação de outros ataques

A validação aplica-se ao software?

Sim. A validação se aplica ao módulo criptográfico como um todo. No caso de um PC executando o programa do módulo criptográfico Entrust, o próprio PC, o sistema operacional e o software criptográfico são considerados parte do módulo e são testados em conjunto.

Qual valor a validação oferece?

Devido à natureza complexa dos produtos criptográficos, o usuário tradicionalmente tem pouca escolha a não ser confiar que o produto está funcionando conforme anunciado e, na verdade, protegendo seus dados de maneira segura. A validação oferece o conforto de que um terceiro independente examinou o produto em detalhes e garante que ele esteja em conformidade com os rígidos requisitos de segurança.

Quais versões têm validação FIPS 140?

A Entrust é uma das primeiras a adotar o padrão. Entrust Cryptographic Kernel V. 1.9 foi o primeiro produto validado; o certificado oficial foi concedido em 12 de outubro de 1995, na National Information Systems Security Conference, em Baltimore, Maryland. No momento em que este artigo foi escrito, o Entrust tinha 21 módulos criptográficos listados na lista de validação.

Quanto tempo leva o processo?

Normalmente, uma validação pode levar de três meses a um ano ou mais. Isso depende muito da natureza do produto sendo avaliado (por exemplo, hardware, firmware ou software, quão complexo, quantos algoritmos, qual linguagem de programação, etc.).

Informações adicionais sobre FIPS 140-2

O padrão FIPS 140-2, os requisitos de teste derivados e os detalhes do processo de validação podem ser encontrados no site da CygnaCom Solutions.