O que é o Federal Information Processing Standard (FIPS)?

FIPS (Federal Information Processing Standard) 140-2 é a referência para validar a eficácia do hardware criptográfico. Se um produto tem um certificado pela FIPS 140‑2, sabemos que ele foi testado e formalmente validado pelos governos dos Estados Unidos e do Canadá. Embora a FIPS 140‑2 seja uma norma dos EUA/Canadá, ela tem sido amplamente adotada em todo o mundo, tanto no setor governamental quanto no não governamental, como referência prática de segurança e melhor prática realista. As organizações utilizam a norma FIPS 140‑2 para garantir que o hardware selecionado atenda às exigências específicas de segurança. A norma de certificação FIPS define quatro níveis crescentes e qualitativos de segurança: Nível 1: Requer equipamento de primeira qualidade e algoritmos testados externamente. Nível 2: Agrega requisitos de prova física de violação e autenticação baseada em funções. As implementações de software devem ser feitas em um sistema operacional aprovado de acordo com Common Criteria no EAL2. Nível 3: Adiciona requisitos de resistência física à violação e autenticação baseada em identidade. Também deve haver uma separação física ou lógica entre as interfaces pelas quais “parâmetros de segurança fundamentais” entram e saem do módulo. As chaves privadas só podem entrar ou sair em forma criptografada. Nível 4: Este nível torna os requisitos de segurança física mais rigorosos, exigindo a capacidade de ser ativo contra violações, apagando o conteúdo do dispositivo se ele detectar várias formas de ataque. A norma FIPS 140‑2 tecnicamente permite implementações somente de software no nível 3 ou 4, mas aplica requisitos tão rigorosos que nenhum foi validado. Para muitas organizações, exigir a certificação FIPS nível 3 do FIPS 140 é um bom compromisso entre segurança, conveniência operacional e escolha no mercado.

O que é FIPS-140-2? Saiba tudo sobre esta referência

- Setores
  - 1. História
    2. Saúde
    3. Varejo
- Soluções
  - Nossa experiência
  - Identidades fortes
  - Pagamentos seguros
  - Dados protegidos
- Produtos relacionados
  - Como produtos de serviço
- ID empresarial e emissão
  - Ficha técnica do Instant ID as a Service
  - Emissão instantânea
- Emissão de cartão financeiro
  - Folheto da solução de cartão digital
  - Banco digital
    1. Abertura de conta digital
    2. Solução de cartão digital
  - Emissão instantânea
  - Emissão central
- Emissão para governos
  - Cidadão digital
    1. Viagem perfeita como serviço
    2. Passaporte eletrônico como serviço
  - Emissão instantânea
    1. Outros IDs e licenças de cidadãos.
    2. Software do sistema
    3. Suprimentos
    4. Serviços
  - Emissão central
    1. Passaportes, identidades nacionais e carteiras de motorista.
    2. Sistemas de emissão de passaporte
    3. Sistemas de identidade nacional e carteira de motorista
    4. Envelopamento e entrega em série
    5. Envelopamento e entrega independentes
    6. Software do sistema
    7. Suprimentos
    8. Serviços
  - Verificação de identidade como um serviço (IDVaaS)
    Nossa solução IDVaaS permite a verificação remota da identidade alegada de um indivíduo para imigração, gerenciamento de fronteiras ou entrega de serviços digitais.
- Gerenciamento de postura de segurança em nuvem
  - Avaliação gratuita de 30 dias do CloudControl
    O Entrust CloudControl oferece segurança abrangente e conformidade automatizada através da virtualização, nuvem pública e plataformas de contêineres enquanto aumenta a visibilidade e diminui os riscos que podem levar a paradas não intencionais ou exposição de segurança.
    Iniciar avaliação gratuita
- Gerenciamento e criptografia de chaves
  - Criptografia KeyControl para VM
  - Avaliação gratuita de 30 dias do KeyControl
    A criptografia VMware vSphere e vSAN exige um gerenciador de chaves externo, e o KeyControl é certificado e recomendado para VMware Ready. O Entrust KeyControl permite que as empresas gerenciem facilmente todas as suas chaves de criptografia em escala, com que frequência elas as rotacionam e como são compartilhadas com segurança.
    Iniciar avaliação gratuita
- Módulos de segurança de hardware (HSM)
  - 1. nShield as a Service
  - HSMs nShield
  - Por que você precisa de um HSM
    Conheça todos os detalhes relacionados ao que os módulos de segurança de hardware oferecem em segurança e economia de custos...
    Saiba mais
- Certificados digitais
  - 1. Compre certificados
    2. Renovar certificados
  - Certificados TLS / SSL
  - Certificados digitais qualificados
    1. Certificados QWAC eIDAS
    2. Certificados QWAC PSD2
  - Vendas e serviços
- Gerenciamento de identificações e acessos (IAM)
  - Produtos
    1. Identity as a Service
      IAM baseado na nuvem
    2. Identity Enterprise
      IAM no local
    3. Identity Essentials
      Solução MFA no local para usuários Windows
    4. APIs e SDKs
  - Obtenha o Entrust Identity as a Service gratuitamente por 60 dias
    Explore a plataforma de Identidade como Serviço que oferece acesso ao melhor MFA, SSO, autenticação adaptável baseada em risco e vários recursos avançados que não apenas mantêm os usuários seguros, mas também contribuem para uma experiência ideal.
    Inicie o teste gratuito
- Assinatura eletrônica e digital
  - Assinatura digital como serviço
  - Certificados de assinatura digital
  - Infraestrutura de assinatura digital
  - Serviços de confiança qualificados da UE
    Além de nossa associação de longa data à Adobe Approved Trust List (AATL), somos um Provedor de Serviços de Confiança Qualificado Europeu para a emissão de certificados qualificados eIDAS para assinaturas qualificadas e selos avançados, para certificados PSD2 e para QWACs
    Saiba mais
- Infraestrutura de chaves públicas (PKI)
  - produtos de PKI.
  - Serviços gerenciados
  - Centro de soluções em criptografia
  - Experimente o Post-Quantum PKI como serviço agora
    Prepare-se para a computação PQ. O PKIaaS para PQ fornece aos clientes hierarquias quânticas de Autoridade de Certificação compostas e puras.
    Experimente agora
- Recursos
  - Base de conhecimento de sistemas de emissão
    Saiba mais
  - Base de conhecimento em segurança digital
    Saiba mais
  - Cybersecurity Institute
    Obtenha informações críticas e educação sobre conceitos de segurança em nosso boletim informativo Confiança é importante, vídeos explicativos e no Podcast do Cybersecurity Institute.
    Saiba mais
- Parceiros
  - Parceria com a Entrust
    Participe de um ou mais dos nossos programas de parceria e ajudaremos você a aumentar a lucratividade, expandir sua marca e atingir clientes estratégicos.
    Saiba mais
  - Diretório de Parceiros
    Pesquise parceiros com base na localização, ofertas, canal ou tecnologia.
    Procure por um parceiro
  - Programas
  - Logins de parceiros
- Comprar
  - Comprar serviços de certificados
    Compre novos certificados únicos.
    Saiba mais
  - Portal do cliente de serviços de certificados
    Os clientes dos Serviços de certificados Entrust podem fazer login para emitir e gerenciar certificados ou adquirir mais serviços.
    Saiba mais
  - Portal de parceiros de serviços de certificados
    Os parceiros podem fornecer novos clientes e gerenciar o estoque.
    Saiba mais
  - Suprimentos para emissão instantânea de cartões financeiros
    1. Login de cliente cadastrado
    2. Solicitar acesso
- Sobre a Entrust
  - Garantindo um mundo em movimento desde 1969
    Temos conexões seguras em todo o planeta e até mesmo no espaço sideral. Podemos fazer compras com cartão de débito e crédito de forma confiável com as tecnologias de impressão e emissão de cartões. Podemos fazer viagens internacionais protegidas com nossas soluções para controle de fronteiras. Temos experiências seguras na Internet com nossas tecnologias SSL. E redes e dispositivos protegidos com o pacote de produtos de autenticação.
    Conheça nossa história
  - Cybersecurity Institute
    Obtenha informações críticas e educação sobre conceitos de segurança em nosso boletim informativo Confiança é importante, vídeos explicativos e no Podcast do Cybersecurity Institute.
    Saiba mais
- Busca Entrust
  - Busca:

FIPS (Federal Information Processing Standard) 140-2 é a referência para validar a eficácia do hardware criptográfico. Se um produto tem um certificado pela FIPS 140‑2, sabemos que ele foi testado e formalmente validado pelos governos dos Estados Unidos e do Canadá. Embora a FIPS 140‑2 seja uma norma dos EUA/Canadá, ela tem sido amplamente adotada em todo o mundo, tanto no setor governamental quanto no não governamental, como referência prática de segurança e melhor prática realista.

FIPS 140-3 é a versão mais recente do padrão de segurança de computadores do governo dos EUA usado para validar módulos criptográficos. A partir de 1º de abril de 2022, os requisitos de segurança FIPS PUB 140-3 para módulos criptográficos substituem o FIPS 140-2 para novas submissões.

Os produtos certificados pelo FIPS 140-2 podem permanecer válidos por 5 anos após a validação. Consulte a página de transição do NIST para obter mais detalhes.

Níveis FIPS 140-2

As organizações utilizam a norma FIPS 140‑2 para garantir que o hardware selecionado atenda às exigências específicas de segurança. A norma de certificação FIPS define quatro níveis crescentes e qualitativos de segurança:

Nível 1: Requer equipamento de primeira qualidade e algoritmos testados externamente.
Nível 2: Agrega requisitos de prova física de violação e autenticação baseada em funções. As implementações de software devem ser feitas em um sistema operacional aprovado de acordo com Common Criteria no EAL2.
Nível 3: Adiciona requisitos de resistência física à violação e autenticação baseada em identidade. Também deve haver uma separação física ou lógica entre as interfaces pelas quais “parâmetros de segurança fundamentais” entram e saem do módulo. As chaves privadas só podem entrar ou sair em forma criptografada.
Nível 4: Este nível torna os requisitos de segurança física mais rigorosos, exigindo a capacidade de ser ativo contra violações, apagando o conteúdo do dispositivo se ele detectar várias formas de ataque.

O padrão FIPS 140-2 tecnicamente permite implementações somente de software no nível 3 ou 4, mas aplica requisitos tão rigorosos que poucos foram validados.

Para muitas organizações, exigir a certificação FIPS no nível 3 da FIPS 140-2 é um bom compromisso entre segurança efetiva, conveniência operacional e opções no mercado.

Por que o FIPS 140-2 é importante?

Profissionais de segurança de tecnologia da informação nos governos federal dos EUA e Canadá, bem como a indústria, reconhecem que um produto criptográfico pode ser usado com segurança para proteger informações confidenciais e não classificadas quando o produto é validado de acordo com os requisitos de segurança FIPS PUB 140-2. A maioria das organizações e agências exige que qualquer novo produto criptográfico usado para proteger suas informações possua validação FIPS PUB 140-2. Os governos federais dos Estados Unidos (NIST) e do Canadá (CSE) adotaram a FIPS PUB 140-2 validation. A seção “Aplicabilidade” da FIPS 140-2 afirma que:

“Este padrão é aplicável a todas as agências federais que usam sistemas de segurança baseados em criptografia para proteger informações confidenciais em sistemas de computador e telecomunicações (incluindo sistemas de voz), conforme definido na Seção 5131 do Information Technology Management Reform Act de 1996, Lei pública 104-106 . Este padrão deve ser usado no projeto e implementação de módulos criptográficos que departamentos e agências federais operam ou são operados por eles sob contrato. Os módulos criptográficos que foram aprovados para uso classificado podem ser usados no lugar dos módulos que foram validados de acordo com este padrão. A adoção e uso desta norma está disponível para organizações privadas e comerciais…”

O que envolve a validação?

O teste de validação para FIPS 140-2 se enquadra no Programa de validação do módulo criptográfico (CMVP), que é estabelecido pelo NIST e pelo Communications Security Establishment (CSE) do Governo do Canadá. Todos os testes sob o CMVP são realizados por laboratórios terceirizados que são credenciados pelo Programa Nacional de Acreditação de Laboratório Voluntário (NVLAP) para métodos de teste para FIPS 140-1 e FIPS 140-2. O fornecedor envia uma amostra do produto junto com a documentação do projeto. O laboratório executa uma série de testes no produto e examina a documentação para se certificar de que foi projetado de acordo com as regras estabelecidas na FIPS PUB 140-2.

Este processo envolve a análise dos seguintes aspectos do produto e da documentação:

Especificação do módulo criptográfico
Portas e interfaces do módulo criptográfico
Papéis, serviços e autenticação
Modelo de estado finito
Segurança física
Ambiente operacional
Gerenciamento de chave criptográfica
Interferência eletromagnética/compatibilidade eletromagnética (EMC/EMI)
Autoteste
Garantia de design
Mitigação de outros ataques

A validação aplica-se ao software?

Sim. A validação se aplica ao módulo criptográfico como um todo. No caso de um PC executando o programa do módulo criptográfico Entrust, o próprio PC, o sistema operacional e o software criptográfico são considerados parte do módulo e são testados em conjunto.

Qual valor a validação oferece?

Devido à natureza complexa dos produtos criptográficos, o usuário tradicionalmente tem pouca escolha a não ser confiar que o produto está funcionando conforme anunciado e, na verdade, protegendo seus dados de maneira segura. A validação oferece o conforto de que um terceiro independente examinou o produto em detalhes e garante que ele esteja em conformidade com os rígidos requisitos de segurança.

Quais versões têm validação FIPS 140?

A Entrust é uma das primeiras a adotar o padrão. Entrust Cryptographic Kernel V. 1.9 foi o primeiro produto validado; o certificado oficial foi concedido em 12 de outubro de 1995, na National Information Systems Security Conference, em Baltimore, Maryland. No momento em que este artigo foi escrito, o Entrust tinha 21 módulos criptográficos listados na lista de validação.

Quanto tempo leva o processo?

Normalmente, uma validação pode levar de três meses a um ano ou mais. Isso depende muito da natureza do produto sendo avaliado (por exemplo, hardware, firmware ou software, quão complexo, quantos algoritmos, qual linguagem de programação, etc.).

Informações adicionais sobre FIPS 140-2

O padrão FIPS 140-2, os requisitos de teste derivados e os detalhes do processo de validação podem ser encontrados no site da CygnaCom Solutions.