Федеральный стандарт по обработке информации (FIPS)

Федеральный стандарт по обработке информации (FIPS) 140-2 является эталоном для подтверждения эффективности криптографических аппаратных средств. Продукты с сертификатами FIPS 140-2 были протестированы и официально одобрены правительствами США и Канады. Хотя стандарт FIPS 140-2 является федеральным стандартом США/Канады, правительственные и частные организации во всем мире часто используют соответствие стандарту FIPS 140-2 в качестве объективной оценки безопасности и актуальной передовой практики.
Организации используют стандарт FIPS 140-2 для обеспечения соответствия выбранного ими оборудования конкретным требованиям безопасности. Стандарт сертификации FIPS определяет четыре качественных уровня безопасности:

  • Уровень 1: требуется оборудование производственного класса и проверенные алгоритмы.
  • Уровень 2: добавляются требования к физическим признакам взлома и аутентификации на основе ролей. Внедрение программного обеспечения должно выполняться в операционной системе, одобренной в соответствии с Общими критериями на уровне EAL2.
  • Уровень 3: добавляются требования к физической защите от взлома и аутентификации на основе идентификации личности. Также необходимо наличие физического или логического разделения между интерфейсами, с учетом которого «критические параметры безопасности» входят в модуль и выходят из него. Закрытые ключи могут входить и выходить только в зашифрованном виде.
  • Уровень 4: требования физической безопасности становятся более строгими, добавляется требование к активному поведению при взломе, т. е. стиранию содержимого устройства при обнаружении какой-либо атаки на среду.
Стандарт FIPS 140-2 технически допускает внедрение исключительно программных решений на уровне 3 или 4, но выдвигает настолько строгие требования, что ни одно из таких решений не было одобрено.
Для многих организаций сертификат FIPS 140 уровня 3 является хорошим компромиссом между эффективной безопасностью, удобством эксплуатации и доступностью на рынке.