Saiba mais

    O que é FIPS PUB 140-2?

    “FIPS PUB” é uma abreviatura de Federal Information Processing Standards Publication; “140-2” designa um padrão intitulado “Requisitos de segurança para módulos criptográficos”. FIPS 140-2 é uma substituição do FIPS 140-1 anterior. Foi produzido pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos para delinear os requisitos gerais para módulos criptográficos em sistemas de computador e telecomunicações. Um módulo criptográfico é definido como qualquer combinação de hardware, firmware ou software que implementa funções criptográficas, como criptografia, descriptografia, assinaturas digitais, técnicas de autenticação e geração de números aleatórios. Os requisitos de segurança da validação FIPS PUB 140-2 cobrem 11 áreas relacionadas ao projeto e implementação de um criptomódulo. Na maioria das áreas, um criptomódulo recebe uma classificação de nível de segurança (ou seja, 1-4, do mais baixo para o mais alto), dependendo de quais requisitos são atendidos.

    Por que isso é importante?

    Profissionais de segurança de tecnologia da informação nos governos federal dos EUA e Canadá, bem como a indústria, reconhecem que um produto criptográfico pode ser usado com segurança para proteger informações confidenciais e não classificadas quando o produto é validado de acordo com os requisitos de segurança FIPS PUB 140-2. A maioria das organizações e agências exige que qualquer novo produto criptográfico usado para proteger suas informações possua validação FIPS PUB 140-2. Os governos federais dos Estados Unidos (NIST) e do Canadá (CSE) adotaram a FIPS PUB 140-2 validation. A seção “Aplicabilidade” da FIPS 140-2 afirma que:

    “Este padrão é aplicável a todas as agências federais que usam sistemas de segurança baseados em criptografia para proteger informações confidenciais em sistemas de computador e telecomunicações (incluindo sistemas de voz), conforme definido na Seção 5131 do Information Technology Management Reform Act de 1996, Lei pública 104-106 . Este padrão deve ser usado no projeto e implementação de módulos criptográficos que departamentos e agências federais operam ou são operados por eles sob contrato. Os módulos criptográficos que foram aprovados para uso classificado podem ser usados no lugar dos módulos que foram validados de acordo com este padrão. A adoção e uso desta norma está disponível para organizações privadas e comerciais…”

    O que envolve a validação?

    O teste de validação para FIPS 140-2 se enquadra no Programa de validação do módulo criptográfico (CMVP), que é estabelecido pelo NIST e pelo Communications Security Establishment (CSE) do Governo do Canadá. Todos os testes de acordo com o CMVP são realizados por laboratórios terceirizados que são credenciados pelo Programa nacional de credenciamento de laboratórios voluntários (NVLAP) para métodos de teste para FIPS 140-1 e FIPS 140-2. O fornecedor envia uma amostra do produto junto com o design documentação. O laboratório executa uma série de testes no produto e examina a documentação para se certificar de que foi projetado de acordo com as regras estabelecidas na FIPS PUB 140-2.

    Este processo envolve a análise dos seguintes aspectos do produto e da documentação:

    • Especificação do módulo criptográfico
    • Portas e interfaces do módulo criptográfico
    • Papéis, serviços e autenticação
    • Modelo de estado finito
    • Segurança física
    • Ambiente operacional
    • Gerenciamento de chave criptográfica
    • Interferência eletromagnética/compatibilidade eletromagnética (EMC/EMI)
    • Autoteste
    • Garantia de design
    • Mitigação de outros ataques

    A validação aplica-se ao software?

    Sim. A validação se aplica ao módulo criptográfico como um todo. No caso de um PC executando o programa do módulo criptográfico Entrust, o próprio PC, o sistema operacional e o software criptográfico são considerados parte do módulo e são testados em conjunto.

     

    Qual valor a validação oferece?

    Devido à natureza complexa dos produtos criptográficos, o usuário tradicionalmente tem pouca escolha a não ser confiar que o produto está funcionando conforme anunciado e, na verdade, protegendo seus dados de maneira segura. A validação oferece o conforto de que um terceiro independente examinou o produto em detalhes e garante que ele esteja em conformidade com os rígidos requisitos de segurança.

     

    Quais versões têm validação FIPS 140?

    A Entrust é uma das primeiras a adotar o padrão. Entrust Cryptographic Kernel V. 1.9 foi o primeiro produto validado; o certificado oficial foi concedido em 12 de outubro de 1995, na National Information Systems Security Conference, em Baltimore, Maryland. No momento em que este artigo foi escrito, o Entrust tinha 21 módulos criptográficos listados na lista de validação.

     

    Quanto tempo leva o processo?

    Normalmente, uma validação pode levar de três meses a um ano ou mais. Isso depende muito da natureza do produto sendo avaliado (por exemplo, hardware, firmware ou software, quão complexo, quantos algoritmos, qual linguagem de programação, etc.).

    Informações adicionais sobre FIPS 140-2

    O padrão FIPS 140-2, os Requisitos de Teste Derivados e os detalhes do processo de validação podem ser encontrados no site da CygnaCom Solutions.