O que é o Federal Information Processing Standard (FIPS)?

FIPS (Federal Information Processing Standard) 140-2 é a referência para validar a eficácia do hardware criptográfico. Se um produto tem um certificado pela FIPS 140‑2, sabemos que ele foi testado e formalmente validado pelos governos dos Estados Unidos e do Canadá. Embora a FIPS 140‑2 seja uma norma dos EUA/Canadá, ela tem sido amplamente adotada em todo o mundo, tanto no setor governamental quanto no não governamental, como referência prática de segurança e melhor prática realista.

Níveis FIPS 140-2

As organizações utilizam a norma FIPS 140‑2 para garantir que o hardware selecionado atenda às exigências específicas de segurança. A norma de certificação FIPS define quatro níveis crescentes e qualitativos de segurança:

  • Nível 1: Requer equipamento de primeira qualidade e algoritmos testados externamente.
  • Nível 2: Agrega requisitos de prova física de violação e autenticação baseada em funções. As implementações de software devem ser feitas em um sistema operacional aprovado de acordo com Common Criteria no EAL2.
  • Nível 3: Adiciona requisitos de resistência física à violação e autenticação baseada em identidade. Também deve haver uma separação física ou lógica entre as interfaces pelas quais “parâmetros de segurança fundamentais” entram e saem do módulo. As chaves privadas só podem entrar ou sair em forma criptografada.
  • Nível 4: Este nível torna os requisitos de segurança física mais rigorosos, exigindo a capacidade de ser ativo contra violações, apagando o conteúdo do dispositivo se ele detectar várias formas de ataque.

A norma FIPS 140‑2 tecnicamente permite implementações somente de software no nível 3 ou 4, mas aplica requisitos tão rigorosos que nenhum foi validado.

Para muitas organizações, exigir a certificação FIPS nível 3 do FIPS 140 é um bom compromisso entre segurança, conveniência operacional e escolha no mercado.