¿Qué es el cumplimiento de FIPS 140-2?

Si su trabajo implica un enlace con el departamento de TI del gobierno de EE. UU. O usted producir soluciones de hardware y / o software que espera suministrar al gobierno de los EE. UU., es probable que haya oído hablar del cumplimiento de FIPS 140-2, pero ¿qué significa ser compatible con FIPS? ¿Debería importarle?

¿Qué significa FIPS?

El acrónimo «FIPS» se refiere a «Normas federales de procesamiento de información». La serie FIPS 140 son estándares de seguridad informática establecidos por el Instituto Nacional de & Tecnología (NIST) para el gobierno de EE. UU.

Glosario de términos

El estándar de cumplimiento FIPS 140-2 se ocupa en gran medida de las claves de cifrado y su protección física. Para aquellos que buscan comprender qué significa todo esto, pero no son profesionales de la criptografía, aquí hay un desglose de algunos términos esenciales.

  • Criptología: se ocupa de la investigación y el desarrollo de métodos de comunicación seguros, que incluyen el desarrollo y avance del cifrado y otros métodos para mantener la privacidad y seguridad de los datos
  • Clave criptográfica: una serie de caracteres de texto sin formato que utiliza un algoritmo de cifrado para cifrar o descifrar texto
  • Módulo criptográfico – Un dispositivo que maneja cifrado, descifrado, firmas digitales, autenticación de usuario y generación de números aleatorios
  • Parámetro crítico de seguridad (CSP): según el glosario del NIST, los CSP incluyen información relacionada con la seguridad cuya divulgación o modificación puede comprometer la seguridad de un módulo criptográfico
  • Common Criteria (CC): también conocido como Common Criteria for Information Technology Security Evaluation. Sirve como base técnica para el Acuerdo de reconocimiento de criterios comunes (CCRA), un acuerdo internacional que garantiza que los productos de seguridad sean probados adecuadamente por laboratorios independientes con licencia
  • Cifrado: el proceso de codificación de un mensaje o archivo, generalmente con un algoritmo diseñado para que no sea práctico para la ingeniería inversa, de modo que solo las partes autorizadas puedan verlo
  • Texto sin formato: texto que no ha sido modificado ni ocultado por un algoritmo de cifrado. Cualquier espectador casual puede ver y leer texto plano no seguro y / o no cifrado

¿Qué es la serie FIPS 140?

FIPS 140 es el conjunto de requisitos y estándares para módulos criptográficos para componentes de software y hardware para uso de departamentos y agencias gubernamentales de EE. UU. FIPS 140-2 es el segundo y actual (a la fecha de publicación de este blog) conjunto de estándares FIPS 140 emitidos por NIST. Lanzado el 25 de mayo de 2001, FIPS 140-2 amplía FIPS 140-1 (publicado el 11 de enero de 1994), aprovecha los niveles de garantía de evaluación (EAL) de los criterios comunes (CC) para determinar el nivel de seguridad y considera los comentarios de la comunidad, así como los nuevos Desarrollos y tecnologías de TI desde 1994.

Es importante tener en cuenta que, si bien estos estándares abordan los estándares criptográficos y de seguridad tanto para hardware como para software, la adhesión de un producto a FIPS 140-2 no garantiza la seguridad. FIPS 140-2 solo está destinado a aplicarse a módulos criptográficos que interactúan con cargas de trabajo que administran información confidencial pero no clasificada (SBU).

¿Cuáles son los niveles de garantía de evaluación?

Los criterios comunes establecen siete ( 7) diferentes niveles de garantía de evaluación (EAL), adecuadamente denominados EAL1-EAL7. También es común ver un «+» junto a un EAL determinado (por ejemplo, EAL5 +) para indicar que un dispositivo determinado ha cumplido con ciertos requisitos más allá del mínimo para un EAL determinado. Dado que el nivel más alto de FIPS 140-2 solo requiere EAL4, solo discutiremos EAL1-EAL4 en este blog.

  • EAL1: Destinado a Objetivos de Evaluación (TOE) donde las amenazas a la seguridad no se consideran serias, pero existe la necesidad de confiar en la seguridad implementada funciona según lo previsto. EAL1 es valioso para respaldar la afirmación de que una organización determinada ha puesto el debido cuidado en la protección de la información personal
  • EAL2: ideal para productos que necesitan una garantía razonable de seguridad cuando el registro de desarrollo de un TOE no está disponible, como en entornos de TI heredados de larga data
  • EAL3: diseñado para proporcionar un nivel moderado de seguridad garantizada. EAL3 analiza el TOE con más profundidad, incluido su desarrollo. Este nivel es ideal para organizaciones con prácticas sólidas de ingeniería de seguridad integradas en el diseño n nivel y que no esperan tener que rediseñar significativamente el TOE
  • EAL4: El nivel más alto que es económicamente factible de adaptar a una línea de productos existente (es decir, las pruebas y la reingeniería de los productos que no se fabrican con EAL más altos en mente probablemente sean demasiado costosos y consuman mucho tiempo). EAL4 está diseñado para otorgar la máxima garantía de seguridad basada en las mejores prácticas de desarrollo

¿Cuáles son los diferentes niveles de FIPS 140-2?

La publicación FIPS 140-2 establece cuatro diferentes niveles de seguridad.El nivel 1 tiene el nivel más bajo de requisitos de seguridad, mientras que el nivel 4 proporciona el nivel más alto de seguridad.

FIPS 140-2 Nivel 1
El nivel más bajo de requisitos de seguridad especificado para un módulo criptográfico. El nivel de seguridad 1 no requiere ningún mecanismo de seguridad física más allá de los requisitos básicos para los componentes de grado de producción y permite que un módulo criptográfico se ejecute en una computadora de propósito general utilizando un sistema operativo no evaluado.

Un ejemplo de un El módulo criptográfico de nivel de seguridad 1 es una placa de cifrado en una computadora personal (PC).

FIPS 140-2 Nivel 2
El nivel de seguridad 2 amplía el nivel de seguridad 1 al agregar tres requisitos principales:

  • Evidencia de manipulación en módulos criptográficos: Esto puede incluir revestimientos, sellos o cerraduras resistentes a la manipulación a prueba de manipulaciones. Las medidas de evidencia de manipulación deben aplicarse de manera que los sellos y / o recubrimientos deban romperse para obtener acceso físico a las claves criptográficas de texto plano y los parámetros de seguridad críticos (CSP).
  • Autenticación basada en roles: La El requisito mínimo para el nivel de seguridad 2 establece que un usuario determinado debe tener su rol específico y nivel de autorización autenticado por el módulo criptográfico
  • Requisitos del sistema operativo: el nivel de seguridad 2 permite que un módulo criptográfico se ejecute en un uso general PC que aprovecha un sistema operativo confiable aprobado o evaluado. Los sistemas operativos deben ser evaluados en el nivel de garantía de evaluación de Criterios Comunes (CC) EAL2 o superior. Para obtener más información, consulte la Sección 1.2 de la publicación FIPS 140-2.

FIPS 140-2 Nivel 3
Los requisitos de seguridad establecidos por el Nivel de seguridad 3 amplían los establecidos por el Nivel 2 en cuatro áreas clave:

  • Prevención de intrusiones: más allá de la evidencia de manipulación implementada en el nivel de seguridad 2, el nivel de seguridad 3 requiere mecanismos de seguridad física diseñados para evitar que un intruso obtenga acceso a los CSP dentro del sistema criptográfico módulo. Estos mecanismos están destinados a tener una alta probabilidad de detectar y reaccionar a los intentos de acceder físicamente, manipular o utilizar un módulo criptográfico sin autorización. Los mecanismos de ejemplo incluyen cajas fuertes y circuitos diseñados para poner a cero (borrar) los CSP de texto plano cuando se manipula un módulo.
  • Autenticación basada en identidad: un método de autenticación más granular, la autenticación basada en identidad mejora la autenticación basada en roles requisito de autenticación en el nivel de seguridad 2. Esto se logra autenticando la identidad de un usuario dado en lugar de autenticar el rol de ese usuario. Un ejemplo de la diferencia sería una red que requiere inicios de sesión de usuarios específicos en lugar de una red que puede tener cuentas de uso general o de invitado más una cuenta de administrador genérica.
  • Separación física (o lógica): para cumplir con el nivel de seguridad 3, la entrada y / o salida de CSP de texto sin formato debe realizarse utilizando puertos que estén físicamente (o interfaces separados lógicamente, si se trata de un entorno virtual) separados de otros puertos. Los CSP de texto sin formato se pueden ingresar o generar desde el módulo criptográfico a través de un sistema adjunto o intermedio solo si están en forma encriptada.
  • Requisitos del sistema operativo: al igual que el nivel de seguridad 2, el nivel de seguridad 3 permite un módulo criptográfico para ser ejecutado en una PC de uso general usando un sistema operativo que cumpla con los requisitos mínimos. Los requisitos para el nivel de seguridad 3 son más estrictos que el nivel 2 e incluyen un nivel de garantía de evaluación CC EAL3 o superior. Puede encontrar más información sobre los requisitos del sistema operativo del nivel de seguridad 3 en la sección 1.3 de la publicación FIPS 140-2.

FIPS 140-2 nivel 4
El nivel de seguridad 4 proporciona el más alto nivel de seguridad de los cuatro niveles de seguridad FIPS 140-2 y es ideal para módulos criptográficos que operan en entornos físicamente desprotegidos. Para tener una idea de lo que constituye un entorno físicamente desprotegido, considere cualquier lugar donde se pueda procesar, almacenar o transitar información o comunicaciones gubernamentales, como satélites y vehículos aéreos no tripulados. La intención del Nivel de seguridad 4 es que los mecanismos de seguridad física envuelvan y protejan completamente el módulo criptográfico de todos los intentos no autorizados de acceder físicamente a él. Los mecanismos deben proporcionar una probabilidad muy alta de detectar una intrusión y deben estar diseñados para poner a cero inmediatamente todos los CSP de texto sin formato en caso de que se detecte una intrusión.

Para cumplir con FIPS 140-2 Nivel 4, un criptográfico determinado El módulo también debe estar protegido contra condiciones ambientales que puedan empujar al módulo fuera de sus rangos de operación normales. Es común que posibles intrusos empujen un módulo criptográfico fuera de su voltaje y temperatura normales para comprometer la seguridad del módulo.Los ejemplos incluirían sobrecalentamiento o congelación del contenedor del módulo en un esfuerzo por hacerlo quebradizo (considere el popular motivo de la película de un espía que usa nitrógeno líquido para congelar y romper una cerradura).

La protección ambiental puede venir en el forma de características que ponen a cero los CSP si el módulo criptográfico detecta fluctuaciones fuera del rango de operación normal. Usando el ejemplo anterior, si el espía en la película congelara un candado de un módulo criptográfico para romperlo, las medidas de protección ambiental detectarían que el candado está sujeto a temperaturas por debajo de un umbral establecido y pondría a cero el módulo. Esto lo hace inútil para el espía, incluso si el módulo finalmente se obtiene.

Alternativamente, el requisito de protección ambiental se puede cumplir con una garantía razonable de que las fluctuaciones fuera del rango operativo normal no comprometerán la seguridad del módulo.

Al igual que los niveles de seguridad 2 y 3, el nivel de seguridad 4 también requiere un sistema operativo que cumpla con un cierto nivel de garantía de evaluación CC. Para que un módulo criptográfico sea compatible con FIPS 140-2 Nivel 4, el sistema operativo en el que se ejecuta debe recibir una evaluación CC de EAL4 o superior.

Obtener la certificación FIPS 140-2

Para que un módulo criptográfico determinado sea validado como compatible con FIPS 140-2, una organización debe enviar ese módulo al Programa de validación del módulo criptográfico (CMVP). El CMVP es un esfuerzo conjunto del NIST y el Communications Security Establishment (CSE) para el gobierno canadiense.

Para que su módulo sea evaluado por el CMVP, una organización debe enviar el módulo a una prueba acreditada de módulos criptográficos. Laboratorio. Los laboratorios acreditados son laboratorios de terceros que han sido certificados por el Programa Nacional de Acreditación de Laboratorios Voluntarios (NVLAP).

Mantener la certificación FIPS 140-2

La certificación FIPS 140-2 puede ser una larga y proceso que requiere mucho tiempo, por lo general toma de varios meses a más de un año de principio a fin. Además, se debe reevaluar un módulo por cada cambio realizado en el software, por pequeño que sea. En caso de que se descubra un problema en un módulo compatible con FIPS, la solución perderá su certificación FIPS hasta que se haya reevaluado y certificado. Durante este período, la organización no podrá suministrar su módulo a proveedores y agencias que requieran el estándar.

Críticas a FIPS 140-2

Mientras se valida como compatible con FIPS 140-2 es una parte esencial del trabajo con TI del gobierno de EE. UU., el proceso de validación conduce a algunas críticas válidas de FIPS 140-2.

El punto principal de la crítica está relacionado con el largo proceso de validación. Debido al proceso de validación de meses a un año y al hecho de que una organización debe revalidar su producto para cada cambio, sin importar cuán pequeño sea, muchas empresas se muestran reacias a actualizar o actualizar el software incluso si se detecta un error. Esto puede resultar en un retraso en las actualizaciones críticas e incluso puede incentivar a las organizaciones a ocultar errores menores en su código.

Las organizaciones han descubierto errores y vulnerabilidades en su software, pero se encontraron con dificultades y un proceso poco claro para obtener rápidamente una corrección validada como compatible con FIPS 140-2. En un ejemplo, una organización descubrió una vulnerabilidad en un módulo certificado y tenía el parche listo para su implementación el mismo día, pero no pudo validarlo dentro de un período de tiempo adecuado. El resultado fue que la organización anunció la vulnerabilidad en su software y CMVP revocó casi de inmediato la validación FIPS 140-2 del módulo, dejándolos a ellos y a sus clientes en el limbo hasta que se completara la nueva validación.

Lo que hace este caso Especialmente digno de mención es que la vulnerabilidad se encontró en un derivado de código abierto de OpenSSL, en el que se basó su validación patentada. Si bien hubo varias otras validaciones patentadas basadas en ese mismo código, pocas o ninguna recibió una revocación. Esto se debe a que otras organizaciones modificaron ligeramente y volvieron a validar el código con un nombre diferente, en lugar de aprovechar el código identificado como fuente abierta. Esto ocultó efectivamente el origen del código y otras empresas pudieron evitar la revocación resultante de una vulnerabilidad encontrada en el código fuente abierto.

Preguntas que debe hacer

Considerando las críticas de FIPS 140-2 proceso de validación, cualquier organización que desee que su módulo criptográfico sea utilizado por el gobierno de EE. UU. Debe hacer algunas preguntas importantes al creador del módulo:

  • ¿Cuándo fue la última vez que se actualizó el módulo criptográfico? ¿Validado?
  • ¿Existe una nueva versión del módulo criptográfico actualmente en proceso de validación?
  • ¿Existe algún error o vulnerabilidad conocida en el módulo o en su código subyacente que no se haya revelado?
  • ¿Hay planes para actualizar y / o revalidar el módulo criptográfico en un futuro próximo?
  • ¿Cómo es el proceso / cadencia de actualización para el módulo compatible con FIPS?
  • ¿Se ha sometido el módulo criptográfico a alguna prueba o validación fuera del CMVP?

***

Acerca de XMedius

XMedius es un líder mundial en el campo de las soluciones de comunicaciones empresariales. Su conjunto de soluciones de comunicaciones en la nube y en las instalaciones de nivel empresarial permite a las empresas beneficiarse de una comunicación segura y unificada, así como intercambiar datos sensibles y confidenciales que cumplen y superan los requisitos de cumplimiento normativo de la industria. Con sede en Montreal (Canadá) y oficinas en Seattle (EE. UU.) Y París (Francia), la empresa presta servicios a empresas, empresas y proveedores de servicios a través de un equipo global de empleados centrados en el cliente. Sus soluciones se implementan en todo el mundo en varios sectores, incluidos educación, finanzas, gobierno, salud, manufactura, comercio minorista y servicios legales. Para obtener más información sobre XMedius y sus soluciones, visite www.xmedius.com y conéctese en LinkedIn y Twitter.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *