14 prosince, 2020

Co je to shoda s FIPS 140-2?

Pokud vaše práce zahrnuje spolupráci s americkými vládními IT, nebo vy vyrábět hardwarová a / nebo softwarová řešení, která doufáte, že dodáte vládě USA, pravděpodobně jste již slyšeli o shodě se standardem FIPS 140-2, ale co to znamená být v souladu se standardem FIPS a mělo by vám na tom záležet?

Co znamená FIPS?

Zkratka „FIPS“ označuje „Federal Information Processing Standards“. Řada FIPS 140 jsou standardy zabezpečení počítače stanovené Národním institutem pro standardy & Technology (NIST) pro vládu USA.

Slovník pojmů

Standard shody FIPS 140-2 se velmi zabývá šifrovacími klíči a jejich fyzickou ochranou. Pro ty, kteří chtějí pochopit, co to všechno znamená, ale nejsou sami kryptografickými profesionály, je zde rozpis některých základních pojmů.

  • Kryptologie – zabývá se výzkumem a vývojem bezpečných komunikačních metod, včetně vývoj a zdokonalování šifrování a dalších metod zachování a zabezpečení dat
  • kryptografický klíč – holá řada znaků používaná šifrovacím algoritmem k šifrování nebo dešifrování textu
  • kryptografický modul – Zařízení, které zpracovává šifrování, dešifrování, digitální podpisy, ověřování uživatelů a generování náhodných čísel
  • Critical Security Parameter (CSP) – podle slovníku NIST zahrnují CSP informace týkající se zabezpečení, jejichž zveřejnění nebo úprava může ohrozit bezpečnost kryptografického modulu
  • Common Criteria (CC) – známá také jako Common Criteria for Information Technology Security Evaluation. Slouží jako technická základna pro Common Criteria Recognition Arrangement (CCRA), mezinárodní dohodu zajišťující, aby bezpečnostní produkty byly adekvátně testovány nezávislými licencovanými laboratořemi.
  • Šifrování – Proces kódování zprávy nebo souboru, obvykle pomocí algoritmus navržený tak, aby byl nepraktický pro zpětnou analýzu, aby jej mohli zobrazit pouze oprávněné strany
  • Plaintext – text, který nebyl hašován ani zamlžován šifrovacím algoritmem. Jakýkoli náhodný divák může zobrazit a číst nezajištěný a / nebo nezašifrovaný prostý text

Co je řada FIPS 140?

FIPS 140 je sada požadavků a standardů pro kryptografické moduly pro softwarové i hardwarové komponenty pro použití vládními úřady a agenturami USA. FIPS 140-2 je druhá a aktuální (k datu vydání tohoto blogu) sada standardů FIPS 140 vydaná NIST. Vydáno 25. května 2001, FIPS 140-2 expanduje na FIPS 140-1 (vydáno 11. ledna 1994), ke stanovení úrovně zabezpečení využívá úrovně hodnocení zabezpečení podle Common Criteria (CC) (EAL) a zohledňuje zpětnou vazbu komunity i nové Vývoj a technologie IT od roku 1994.

Je důležité si uvědomit, že zatímco tyto standardy řeší kryptografické a bezpečnostní standardy pro hardware i software, dodržování standardu FIPS 140-2 u produktu nezaručuje bezpečnost. FIPS 140-2 je určen pouze pro kryptografické moduly, které interagují s úlohami spravujícími citlivé, ale neklasifikované (SBU) informace.

Jaké jsou úrovně Assurance hodnocení?

Společná kritéria stanoví sedm ( 7) různé úrovně zajištění hodnocení (EAL) příhodně pojmenované EAL1-EAL7. Je také běžné vidět „+“ vedle daného EAL (např. EAL5 +), což znamená, že dané zařízení splnilo určité požadavky nad rámec minima pro daný EAL. Protože nejvyšší úroveň FIPS 140-2 vyžaduje pouze EAL4, bude v tomto blogu diskutovat pouze o EAL1-EAL4.

  • EAL1: Určeno pro cíle hodnocení (TOE), kde hrozby pro bezpečnost nejsou považovány za vážné, ale je potřeba důvěry v implementované zabezpečení funguje, jak bylo zamýšleno. EAL1 je cenný pro podporu tvrzení, že daná organizace věnovala náležitou péči ochraně osobních údajů.
  • EAL2: Ideální pro produkty, které vyžadují přiměřenou záruku bezpečnosti, když vývojový záznam pro TOE není k dispozici, jako je tomu u dlouholetých starších IT prostředí
  • EAL3: Navrženo pro zajištění střední úrovně zajištěného zabezpečení. EAL3 se na TOE dívá hlouběji, včetně jeho vývoje. Tato úroveň je ideální pro organizace solidní bezpečnostní inženýrské postupy pečené v desig n úroveň a kdo neočekává, že bude nutné výrazně přepracovat TOE
  • EAL4: Nejvyšší úroveň, která je ekonomicky proveditelná pro dovybavení stávající produktové řady (tj. testování a re-engineering produktů, které nebyly postaveny s ohledem na vyšší EAL, budou pravděpodobně příliš nákladné a časově náročné). EAL4 je navržen tak, aby poskytoval maximální bezpečnost na základě osvědčených postupů vývoje.

Jaké jsou různé úrovně FIPS 140-2?

Publikace FIPS 140-2 stanoví čtyři různé úrovně zabezpečení.Úroveň 1 má nejnižší úroveň požadavků na zabezpečení, zatímco úroveň 4 poskytuje nejvyšší úroveň zabezpečení.

FIPS 140-2 úroveň 1
Nejnižší úroveň požadavků na zabezpečení specifikovaná pro kryptografický modul. Úroveň zabezpečení 1 nevyžaduje žádné fyzické bezpečnostní mechanismy nad rámec základních požadavků na komponenty na úrovni výroby a umožňuje spuštění kryptografického modulu v počítači pro všeobecné účely pomocí neoceneného operačního systému.

Příklad Kryptografický modul úrovně zabezpečení 1 je šifrovací karta v osobním počítači (PC).

FIPS 140-2 úroveň 2
Úroveň zabezpečení 2 rozšiřuje úroveň zabezpečení 1 přidáním tří hlavních požadavků:

  • Důkazy o neoprávněné manipulaci na kryptografických modulech: To může zahrnovat povlaky, plomby nebo zámky odolné proti vyztužení, které jsou zjevné proti neoprávněné manipulaci. Opatření proti neoprávněné manipulaci musí být použita takovým způsobem, aby bylo nutné porušit těsnění a / nebo povlaky, aby se získal fyzický přístup ke kryptografickým klíčům prostého textu a kritickým bezpečnostním parametrům (CSP).
  • Ověřování na základě rolí: minimální požadavek na úroveň zabezpečení 2 uvádí, že daný uživatel musí mít svou konkrétní roli a úroveň autorizace ověřenou kryptografickým modulem
  • požadavky operačního systému: úroveň zabezpečení 2 umožňuje spuštění kryptografického modulu pro obecné účely PC využívající schválený nebo vyhodnocený důvěryhodný operační systém. Operační systémy musí být hodnoceny na úrovni zabezpečování hodnocení Common Criteria (CC) EAL2 nebo vyšší. Další informace najdete v části 1.2 publikace FIPS 140-2.

FIPS 140-2 úroveň 3
Bezpečnostní požadavky stanovené úrovní zabezpečení 3 se rozšiřují na požadavky stanovené úrovní 2 ve čtyřech klíčových oblastech:

  • Prevence narušení: Přesahující důkazy o neoprávněné manipulaci implementované v úrovni zabezpečení 2 vyžaduje úroveň zabezpečení 3 mechanismy fyzického zabezpečení navržené tak, aby zabránily útočníkovi získat přístup k CSP v kryptografické modul. Účelem těchto mechanismů je vysoká pravděpodobnost detekce a reakce na pokusy o fyzický přístup, manipulaci nebo použití kryptografického modulu bez povolení. Příkladné mechanismy zahrnují silné skříně a obvody navržené k nulování (mazání) prostých textů CSP při manipulaci s modulem.
  • Ověřování založené na totožnosti: Podrobnější metoda ověřování, ověřování založené na totožnosti se zlepšuje na základě role požadavek na ověření na úrovni zabezpečení 2. Toho je dosaženo autentizací identity daného uživatele, spíše než autentizací jeho role. Příkladem rozdílu by byla síť, která vyžaduje konkrétní přihlašovací údaje uživatelů namísto sítě, která může mít obecné použití nebo účty hosta plus obecný účet správce.
  • Fyzické (nebo logické) oddělení: Pro zajištění souladu s úrovní zabezpečení 3 musí být vstup a / nebo výstup CSP ve formátu prostého textu prováděny pomocí portů, které jsou fyzicky (nebo logicky oddělené rozhraní, je-li virtuální prostředí) odděleny od ostatních portů. Plaintext CSP lze do kryptografického modulu zadávat nebo z něj odesílat prostřednictvím uzavírajícího nebo zasahujícího systému, pouze pokud jsou v zašifrované podobě.
  • Požadavky operačního systému: Podobně jako úroveň zabezpečení 2, úroveň zabezpečení 3 umožňuje kryptografický modul, který má být spuštěn na univerzálním počítači pomocí operačního systému splňujícího minimální požadavky. Požadavky na úroveň zabezpečení 3 jsou přísnější než úroveň 2 a zahrnují úroveň zabezpečení CC hodnocení EAL3 nebo vyšší. Další informace o požadavcích na operační systém úrovně 3 najdete v části 1.3 publikace FIPS 140-2.

FIPS 140-2 úroveň 4
Úroveň zabezpečení 4 poskytuje nejvyšší úroveň zabezpečení ze čtyř úrovní zabezpečení FIPS 140-2 a je ideální pro kryptografické moduly pracující ve fyzicky nechráněných prostředích. Chcete-li získat představu o tom, co představuje fyzicky nechráněné prostředí, zvažte, kdekoli mohou být zpracovávány, ukládány nebo procházeny vládní informace nebo komunikace, jako jsou satelity a bezpilotní prostředky. Účelem úrovně zabezpečení 4 je, aby mechanismy fyzického zabezpečení úplně obalily a chránily kryptografický modul před všemi neoprávněnými pokusy o fyzický přístup. Mechanismy musí poskytovat velmi vysokou pravděpodobnost detekce narušení a musí být navrženy tak, aby okamžitě vynulovaly všechny prosté CSP v případě detekce narušení.

Pro zajištění souladu s FIPS 140-2 úroveň 4, daný kryptografický modul musí být také chráněn proti okolním podmínkám, které by mohly modul tlačit mimo jeho normální provozní rozsahy. Je běžné, že potenciální vetřelci tlačí kryptografický modul mimo jeho normální napětí a teplotu, aby narušili bezpečnost modulu.Mezi příklady patří přehřátí nebo zmrazení kontejneru modulu ve snaze učinit jej křehkým (zvažte oblíbený filmový motiv špiona, který ke zmrazení a rozbití zámku používá tekutý dusík).

Ochrana životního prostředí může forma funkcí, které vynulovávají CSP, pokud kryptografický modul detekuje výkyvy mimo normální provozní rozsah. Pomocí výše uvedeného příkladu, pokud by špión ve filmu zmrazil zámek kryptografickému modulu, aby jej rozbil, opatření na ochranu životního prostředí by detekovala, že zámek je vystaven teplotám pod stanovenou prahovou hodnotou a vynuluje modul. Díky tomu je špión k ničemu, i když je modul nakonec získán.

Alternativně lze požadavek na ochranu životního prostředí splnit prostřednictvím přiměřené záruky, že výkyvy mimo normální provozní rozsah neohrozí zabezpečení modulu.

Stejně jako úrovně zabezpečení 2 a 3 vyžaduje úroveň zabezpečení 4 také operační systém, který splňuje určitou úroveň zajištění CC hodnocení. Aby kryptografický modul vyhovoval standardu FIPS 140-2 úrovně 4, musí operační systém, na kterém běží, obdržet CC hodnocení EAL4 nebo vyšší.

Získání certifikátu FIPS 140-2

Aby mohl být daný kryptografický modul ověřen jako vyhovující FIPS 140-2, musí organizace tento modul odeslat do Programu ověřování kryptografických modulů (CMVP). CMVP je společným úsilím NIST a Communications Security Establishment (CSE) pro kanadskou vládu.

Chcete-li, aby jejich modul vyhodnotil CMVP, musí organizace předložit modul akreditovanému testování kryptografických modulů Laboratoř. Akreditované laboratoře jsou laboratoře třetích stran, které byly certifikovány Národním dobrovolnickým laboratorním akreditačním programem (NVLAP).

Udržování certifikace FIPS 140-2

Certifikace FIPS 140-2 může být dlouhá a časově náročný proces, který obvykle trvá několik měsíců až více než rok od začátku do konce. Kromě toho musí být modul přehodnocen pro každou změnu provedenou v softwaru, bez ohledu na to, jak malá. V případě, že se v modulu kompatibilním se standardem FIPS objeví problém, řešení ztratí certifikaci FIPS, dokud nebude znovu posouzeno a certifikováno. Během tohoto období nebude organizace schopna dodávat svůj modul prodejcům a agenturám vyžadujícím standard.

Kritika FIPS 140-2

Při ověření jako vyhovující FIPS 140-2 je nezbytnou součástí práce s americkým vládním IT, proces validace vede k některé platné kritice FIPS 140-2.

Hlavní bod kritiky souvisí s zdlouhavým procesem validace. Vzhledem k několikaměsíčnímu procesu validace a skutečnosti, že organizace musí prodloužit platnost svého produktu pro každou změnu, bez ohledu na to, jak je malá, mnoho společností se zdráhá aktualizovat nebo upgradovat software, i když je zjištěna chyba. To může mít za následek zaostávání u důležitých aktualizací a může to dokonce motivovat organizace, aby ve svém kódu skryly drobné chyby.

Organizace objevily chyby a chyby zabezpečení ve svém softwaru, ale narazily na potíže a nejasný proces pro rychlé získání oprava ověřená jako kompatibilní se standardem FIPS 140-2. V jednom příkladu organizace objevila chybu zabezpečení v certifikovaném modulu a měla opravu připravenou k nasazení ve stejný den, ale nemohla dostat opravu ověřenou ve vhodném časovém rámci. Výsledkem bylo, že organizace oznámila zranitelnost svého softwaru a CMVP téměř okamžitě zrušila ověření modulu FIPS 140-2 a ponechala je i jejich zákazníky v limbu, dokud nebylo dokončeno nové ověření.

Co dělá tento případ obzvláště pozoruhodné je, že zranitelnost byla nalezena v open source derivátu OpenSSL, na kterém byla založena jejich vlastní validace. I když existovalo několik dalších proprietárních validací založených na stejném kódu, jen málokdo obdržel odvolání. Důvodem je, že jiné organizace mírně upravily a znovu ověřily kód pod jiným názvem, než aby využily kód identifikovaný jako otevřený zdroj. Tím se účinně skryl původ kódu a ostatní společnosti se dokázaly vyhnout odvolání vyplývajícímu ze zranitelnosti nalezené v otevřeném zdrojovém kódu.

Otázky, které byste se měli zeptat

S ohledem na kritiku FIPS Proces validace 140-2, každá organizace, která si přeje, aby vláda používala svůj kryptografický modul, by měla tvůrci modulu položit několik důležitých otázek:

  • Kdy byla kryptografická jednotka naposledy aktualizována / ověřeno?
  • Existuje nová verze kryptografického modulu, která aktuálně prochází ověřováním?
  • Existují nějaké známé chyby nebo chyby zabezpečení v modulu nebo jeho základním kódu, které nemusí být zveřejněny?
  • Existují plány na aktualizaci a / nebo opětovné ověření kryptografického modulu v blízké budoucnosti?
  • Jak vypadá proces / kadence aktualizace modulu vyhovujícího standardu FIPS?
  • Prošel kryptografický modul nějakým testováním nebo ověřováním mimo CMVP?

***

O společnosti XMedius

XMedius je světový lídr v oblasti podnikových komunikačních řešení. Jeho sada podnikových řešení pro místní a cloudovou komunikaci umožňuje podnikům těžit ze zabezpečené a jednotné komunikace a také si vyměňovat citlivá a důvěrná data, která splňují a překračují požadavky průmyslových předpisů. Společnost se sídlem v Montrealu (Kanada) s kancelářemi v Seattlu (USA) a Paříži (Francie) slouží podnikům, podnikům a poskytovatelům služeb prostřednictvím globálního týmu zaměstnanců zaměřených na zákazníky. Její řešení jsou celosvětově nasazena v řadě odvětví, včetně vzdělávání, financí, státní správy, zdravotnictví, výroby, maloobchodu a právních služeb. Další informace o společnosti XMedius a jejích řešeních najdete na www.xmedius.com a připojte se na LinkedIn a Twitteru.

admin
0

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Archivy

Nejnovější příspěvky