O que é FIPS 140‑2?
O que é o Federal Information Processing Standard (FIPS)?
FIPS (Federal Information Processing Standard) 140-2 é a referência para validar a eficácia do hardware criptográfico. Se um produto tem um certificado pela FIPS 140‑2, sabemos que ele foi testado e formalmente validado pelos governos dos Estados Unidos e do Canadá. Embora a FIPS 140‑2 seja uma norma dos EUA/Canadá, ela tem sido amplamente adotada em todo o mundo, tanto no setor governamental quanto no não governamental, como referência prática de segurança e melhor prática realista.
Níveis FIPS 140-2
As organizações utilizam a norma FIPS 140‑2 para garantir que o hardware selecionado atenda às exigências específicas de segurança. A norma de certificação FIPS define quatro níveis crescentes e qualitativos de segurança:
- Nível 1: Requer equipamento de primeira qualidade e algoritmos testados externamente.
- Nível 2: Agrega requisitos de prova física de violação e autenticação baseada em funções. As implementações de software devem ser feitas em um sistema operacional aprovado de acordo com Common Criteria no EAL2.
- Nível 3: Adiciona requisitos de resistência física à violação e autenticação baseada em identidade. Também deve haver uma separação física ou lógica entre as interfaces pelas quais “parâmetros de segurança fundamentais” entram e saem do módulo. As chaves privadas só podem entrar ou sair em forma criptografada.
- Nível 4: Este nível torna os requisitos de segurança física mais rigorosos, exigindo a capacidade de ser ativo contra violações, apagando o conteúdo do dispositivo se ele detectar várias formas de ataque.
A norma FIPS 140‑2 tecnicamente permite implementações somente de software no nível 3 ou 4, mas aplica requisitos tão rigorosos que nenhum foi validado.
Para muitas organizações, exigir a certificação FIPS nível 3 do FIPS 140 é um bom compromisso entre segurança, conveniência operacional e escolha no mercado.