Mikä on FIPS 140-2 -yhteensopivuus?
Jos työhösi liittyy yhteydenpitoa Yhdysvaltain hallituksen IT-palveluun tai sinuun tuottaa laitteisto- ja / tai ohjelmistoratkaisuja, jotka toivot toimittaa Yhdysvaltain hallitukselle, olet todennäköisesti kuullut FIPS 140-2 -yhteensopivuudesta, mutta mitä se tarkoittaa FIPS-yhteensopivuuden ja onko sillä merkitystä sinulle?
Mitä FIPS tarkoittaa?
Lyhenne ”FIPS” viittaa ”Federal Information Processing Standardsiin”. FIPS 140 -sarja on tietoturvastandardi, jonka National Institute of Standards & Technology (NIST) on asettanut Yhdysvaltain hallitukselle.
Sanasto termeistä
FIPS 140-2 -yhteensopivuusstandardi käsittelee vahvasti salausavaimia ja niiden fyysistä suojausta. Niille, jotka haluavat ymmärtää, mitä tämä kaikki tarkoittaa, mutta jotka eivät itse ole salauksen ammattilaisia, tässä on erittely keskeisistä termeistä.
- Salaus – käsittelee turvallisten viestintämenetelmien tutkimusta ja kehittämistä, mukaan lukien salauksen ja muiden tietojen yksityisyyden ja suojauksen säilyttämismenetelmien kehittäminen ja edistäminen
- Salausavain – selkokielinen merkkisarja, jota salausalgoritmi käyttää salaamaan tai purkamaan salausta
- Salausmoduuli – Laite, joka käsittelee salauksen, salauksen purkamisen, digitaaliset allekirjoitukset, käyttäjän todennuksen ja satunnaislukujen generoinnin.
- Kriittiset suojausparametrit (CSP) – NIST-sanaston mukaan palveluntarjoajat sisältävät turvallisuuteen liittyviä tietoja, joiden paljastaminen tai muokkaaminen voi vaarantaa salausmoduulin turvallisuus
- Common Criteria (CC) – tunnetaan myös nimellä Common Criteria for Information Technology Security Evaluation. Toimii teknisenä perustana yhteiselle kriteerien tunnustamisjärjestelylle (CCRA), kansainväliselle sopimukselle, jolla varmistetaan, että riippumattomat lisensoidut laboratoriot testaavat turvatuotteet asianmukaisesti.
- Salaus – Viestin tai tiedoston koodausprosessi, tyypillisesti algoritmi, joka on suunniteltu epäkäytännölliseksi käänteisen insinööritoiminnan suhteen, jotta vain valtuutetut osapuolet voivat tarkastella sitä
- Selkäteksti – teksti, jota ei ole tiivistetty tai peitetty salausalgoritmilla. Kuka tahansa rento katsoja voi tarkastella ja lukea suojaamatonta ja / tai salaamatonta tekstiä
Mikä on FIPS 140 -sarja?
FIPS 140 on joukko salausmoduuleja koskevia vaatimuksia ja standardeja sekä ohjelmisto- että laitteistokomponenteille Yhdysvaltojen ministeriöiden ja virastojen käyttöön. FIPS 140-2 on toinen ja nykyinen (tämän blogin julkaisupäivämäärän mukaan) NIST: n julkaisema FIPS 140 -standardien joukko. Julkaistu 25. toukokuuta 2001, FIPS 140-2 laajenee FIPS 140-1: een (julkaistu 11. tammikuuta 1994), hyödyntää Common Criteria (CC) Evaluation Assurance Level (EAL) -tasoa määritettäessä suojaustasoa ja ottaa huomioon yhteisön palautteen sekä uuden IT-kehitys ja -teknologiat vuodesta 1994 lähtien.
On tärkeää huomata, että vaikka nämä standardit koskevat sekä laitteiston että ohjelmiston salaus- ja tietoturvastandardeja, tuotteen noudattaminen FIPS 140-2: een ei takaa tietoturvaa. FIPS 140-2 on tarkoitettu vain salausmoduuleihin, jotka ovat vuorovaikutuksessa arkaluonteisia mutta luokittelemattomia (SBU) tietoja hallitsevien kuormitusten kanssa.
Mitkä ovat arvioinnin varmuuden tasot?
Common Criteria asettaa seitsemän ( 7) eri arvioinnin varmuuden tasot (EAL), nimeltään sopivasti EAL1-EAL7. On myös tavallista nähdä ”+” tietyn EAL: n (esim. EAL5 +) vieressä merkitsevän, että tietty laite on täyttänyt tietyt vaatimukset, jotka ylittävät tietyn EAL: n vähimmäisvaatimukset. Koska FIPS 140-2: n korkein taso vaatii vain EAL4: n, keskustelee tässä blogissa vain EAL1-EAL4: stä.
- EAL1: Tarkoitettu arvioinnin tavoitteisiin (TOE), joissa turvallisuuteen kohdistuvia uhkia ei pidetä vakavina, mutta toteutettu turvallisuus tarvitsee luottamusta. toimii tarkoitetulla tavalla. EAL1 on arvokas tukemaan väitettä siitä, että tietty organisaatio on huolehtinut henkilötietojen suojasta asianmukaisesti
- EAL2: ihanteellinen tuotteille, jotka tarvitsevat kohtuullisen varmuuden turvallisuudesta, kun TOE: n kehitystietue ei ole saatavana, kuten pitkäaikaisissa vanhoissa IT-ympäristöissä.
- EAL3: Suunniteltu tarjoamaan kohtuullinen turvallisen suojaustaso. EAL3 tarkastelee TOE: tä syvällisemmin, mukaan lukien sen kehitys. Tämä taso on ihanteellinen organisaatioille, joilla on vankat turvallisuustekniikan käytännöt, jotka on leivottu suunnittelussa n taso ja joiden ei odoteta tarvitsevan merkittävää uudelleensuunnittelua TOE: lle
- EAL4: Korkein taso, joka on taloudellisesti toteutettavissa jo olemassa olevan tuotelinjan jälkiasennukseen (ts. testaus ja uudelleensuunnittelu) Tuotteet, joita ei ole rakennettu korkeamman EAL-arvon huomioon ottamiseksi, ovat todennäköisesti liian kalliita ja aikaa vieviä). EAL4 on suunniteltu antamaan maksimaalisen turvallisuuden varmuuden kehityksen parhaiden käytäntöjen perusteella
Mitkä ovat FIPS 140-2: n eri tasot?
FIPS 140-2 -julkaisussa perustetaan neljä turvallisuuden eri tasoilla.Tasolla 1 on matalimmat suojausvaatimukset, kun taas tasolla 4 on korkein suojaustaso.
FIPS 140-2 Taso 1
Salausmoduulille määritetty alin suojausvaatimus. Suojaustaso 1 ei vaadi fyysisiä suojausmekanismeja, jotka ylittävät tuotantotason komponenttien perusvaatimukset, ja sallii salausmoduulin suorittamisen yleiskäyttöisessä tietokoneessa, jossa ei ole arvioitua käyttöjärjestelmää.
Esimerkki Suojaustason 1 salausmoduuli on henkilökohtaisen tietokoneen salauskortti.
FIPS 140-2, taso 2
suojaustaso 2 laajenee suojaustasolla 1 lisäämällä kolme päävaatimusta:
- Salausnäyttö salausmoduuleissa: Tähän voi sisältyä peukalointia osoittavat pinnoitteet, sinetit tai poimimiskestävät lukot. Peukalointitodistuksia on sovellettava tavalla, että sinetit ja / tai päällysteet on rikottava fyysisen pääsyn saamiseksi selkokielisiin salausavaimiin ja kriittisiin suojausparametreihin.
- Roolipohjainen todennus: Suojaustason 2 vähimmäisvaatimus sanoo, että tietyllä käyttäjällä on oltava salausmoduulin todentama erityinen rooli ja käyttöoikeustaso.
- Käyttöjärjestelmän vaatimukset: Suojaustaso 2 sallii salausmoduulin suorittamisen yleiskäyttöön Tietokone hyödyntämällä hyväksyttyä tai arvioitua luotettua käyttöjärjestelmää. Käyttöjärjestelmät on arvioitava Common Criteria (CC) -arvioinnin varmuuden tasolla EAL2 tai korkeampi. Lisätietoja on FIPS 140-2 -julkaisun osiossa 1.2.
FIPS 140-2, taso 3
Suojaustason 3 asettamat turvallisuusvaatimukset laajentuvat tason 2 asettamiin. neljällä avainalueella:
- Tunkeutumisen estäminen: Turvatasolla 2, turvatasolla 3 toteutettujen väärinkäytösten ylittäminen edellyttää fyysisiä turvamekanismeja, jotka on suunniteltu estämään tunkeilijoita pääsemästä CSP-palveluihin salauksen sisällä moduuli. Näiden mekanismien on tarkoitus olla suuri todennäköisyys havaita ja reagoida yrityksiin päästä salausmoduuliin fyysisesti, manipuloida tai käyttää ilman lupaa. Esimerkkimekanismeihin kuuluvat vahvat kotelot ja piirit, jotka on suunniteltu nollaamaan (poistamaan) selkokieliset CSP: t, kun moduulia manipuloidaan.
- Identiteettipohjainen todennus: Rakeisempi todennusmenetelmä, identiteettipohjainen todennus parantaa roolipohjaista todentamisvaatimus suojaustasolla 2. Tämä saavutetaan todentamalla tietyn käyttäjän henkilöllisyys sen sijaan, että todentaisit kyseisen käyttäjän roolin. Esimerkki erosta olisi verkko, joka vaatii erityisiä kirjautumisia sen verkon sijaan, jolla voi olla yleinen käyttö- tai vierastili sekä yleinen järjestelmänvalvojan tili.
- Fyysinen (tai looginen) erottelu: Noudattaa vaatimuksia Suojaustasolla 3 selkeätekstisten palveluntarjoajien syöttö ja / tai lähtö on suoritettava käyttämällä portteja, jotka ovat fyysisesti (tai rajapinnat loogisesti erotettuina, jos virtuaalinen ympäristö on erotettu) muista porteista. Selkokieliset CSP: t voidaan syöttää tai tulostaa salausmoduulista sulkevan tai väliintulevan järjestelmän kautta vain, jos ne ovat salatussa muodossa.
- Käyttöjärjestelmävaatimukset: Aivan kuten suojaustaso 2, suojaustaso 3 sallii salausmoduuli, joka suoritetaan yleiskäyttöisessä tietokoneessa käyttäen vähimmäisvaatimuksia vastaavaa käyttöjärjestelmää. Turvatason 3 vaatimukset ovat tiukempia kuin taso 2, ja niihin sisältyy CC-arvioinnin varmuuden taso EAL3 tai korkeampi. Lisätietoja suojaustason 3 käyttöjärjestelmän vaatimuksista löytyy FIPS 140-2 -julkaisun osiosta 1.3.
FIPS 140-2 Taso 4
Suojaustaso 4 tarjoaa neljän FIPS 140-2 -tason korkein turvallisuustaso ja sopii erinomaisesti fyysisesti suojaamattomissa ympäristöissä toimiville salausmoduuleille. Saadaksesi käsityksen siitä, mikä on fyysisesti suojaamaton ympäristö, harkitse missä tahansa valtion tietoja tai viestintää, kuten satelliitteja ja miehittämättömiä ilma-aluksia, voidaan käsitellä, tallentaa tai siirtää läpi. Suojaustason 4 tarkoituksena on, että fyysiset turvamekanismit peittävät ja suojaavat salausmoduulin kokonaan kaikilta luvattomilta yrityksiltä käyttää sitä fyysisesti. Mekanismien on tarjottava erittäin suuri todennäköisyys havaita tunkeutuminen, ja ne on suunniteltava nollaamaan kaikki selväkieliset CSP: t, jos tunkeutuminen havaitaan.
Jotta FIPS 140-2: n taso 4 olisi yhteensopiva, annettu salaus moduuli on myös suojattava ympäristöolosuhteilta, jotka saattavat ajaa moduulin normaalin toiminta-alueen ulkopuolelle. On tavallista, että mahdolliset tunkeilijat työntävät salausmoduulin normaalin jännitteen ja lämpötilan ulkopuolelle moduulin turvallisuuden vaarantamiseksi.Esimerkkeinä voidaan mainita moduulisäiliön ylikuumeneminen tai pakastaminen pyrkimyksenä tehdä siitä hauras (harkitse suosittua elokuvamotiiveja vakoojasta, joka käyttää nestemäistä typpeä jäädyttämään ja rikkomaan lukon).
Ympäristönsuojelu voi tulla sellaisten ominaisuuksien muoto, jotka nollaavat CSP: t, jos salausmoduuli havaitsee vaihtelut normaalin toiminta-alueen ulkopuolella. Yllä olevaa esimerkkiä käyttämällä, jos elokuvan vakoojien olisi pakastettava lukitus salausmoduuliin sen rikkomiseksi, ympäristönsuojelutoimilla havaittaisiin, että lukkoon kohdistuu lämpötiloja, jotka ovat alle asetetun kynnyksen, ja nollattaisivat moduulin. Tämä tekee siitä vakoojalle hyödytön, vaikka moduuli lopulta saataisiin.
Vaihtoehtoisesti ympäristönsuojeluvaatimus voidaan täyttää kohtuullisella varmuudella, että normaalin toiminta-alueen ulkopuolella olevat vaihtelut eivät vaaranna moduulin turvallisuutta.
Aivan kuten suojaustasot 2 ja 3, turvataso 4 vaatii myös käyttöjärjestelmän, joka täyttää tietyn CC-arvioinnin varmuuden tason. Jotta salausmoduuli olisi FIPS 140-2 -tason 4 mukainen, sen käyttöjärjestelmän on saatava CC-arvio EAL4: stä tai uudemmasta.
FIPS 140-2 -sertifioitu
Jotta tietty salausmoduuli voidaan vahvistaa FIPS 140-2 -yhteensopivaksi, organisaation on toimitettava kyseinen moduuli Cryptographic Module Validation Programme (CMVP) -ohjelmaan. CMVP on NIST: n ja Communications Security Establishment (CSE) yhteistyö Kanadan hallitukselle.
Saadakseen CMVP: n arvioimaan moduulinsa organisaation on toimitettava moduuli akkreditoituun kryptografisen moduulin testaukseen. Laboratorio. Akkreditoidut laboratoriot ovat kolmannen osapuolen laboratorioita, jotka on sertifioinut kansallisen vapaaehtoisten laboratorioiden akkreditointiohjelman (NVLAP) kautta.
FIPS 140-2 -sertifikaatin ylläpitäminen
FIPS 140-2 -sertifikaatti voi olla pitkä ja aikaa vievä prosessi, joka kestää yleensä useita kuukausia yli vuoden alusta loppuun. Lisäksi moduuli on arvioitava uudelleen jokaiselle ohjelmistoon tehdylle muutokselle riippumatta siitä, kuinka pieni se on. Jos ongelma havaitaan FIPS-yhteensopivassa moduulissa, ratkaisu menettää FIPS-sertifikaatinsa, kunnes se on arvioitu uudelleen ja sertifioitu. Tänä aikana organisaatio ei pysty toimittamaan moduuliaan standardia vaativille toimittajille ja toimistoille.
FIPS 140-2: n kritiikki
Vahvistettuna FIPS 140-2 -yhteensopivaksi on olennainen osa työskentelyä Yhdysvaltain hallituksen IT-palvelun kanssa, vahvistusprosessi johtaa joihinkin päteviin arvosteluihin FIPS 140-2: sta.
Kritiikin johtava kohta liittyy pitkään validointiprosessiin. Kuukausien ja vuoden kestäneen vahvistusprosessin ja sen takia, että organisaation on tarkistettava tuotteensa uudelleen jokaisesta muutoksesta riippumatta siitä, kuinka pieni se on, monet yritykset ovat haluttomia päivittämään tai päivittämään ohjelmistoa, vaikka virhe havaittaisiin. Tämä voi johtaa myöhästymiseen kriittisissä päivityksissä ja voi jopa kannustaa organisaatioita piilottamaan pienet virheet koodissaan.
Organisaatiot ovat löytäneet ohjelmistostaan vikoja ja heikkouksia, mutta niiden kohtaaminen on ollut vaikeaa ja epäselvä. korjaus, joka on validoitu FIPS 140-2 -yhteensopivaksi. Yhdessä esimerkissä organisaatio löysi haavoittuvuuden sertifioidusta moduulista ja piti korjaustiedoston valmiina käyttöönottoa varten samana päivänä, mutta ei pystynyt saamaan korjaustiedostoa vahvistetuksi sopivassa ajassa. Tuloksena oli, että organisaatio ilmoitti ohjelmistojensa haavoittuvuudesta ja CMVP peruutti melkein välittömästi moduulin FIPS 140-2 -tarkistuksen, jättäen heidät ja heidän asiakkaansa hämmennykseen, kunnes uusi vahvistus oli valmis.
Mikä tekee tästä tapauksesta Erityisen huomionarvoista on, että haavoittuvuus löydettiin OpenSSL: n avoimen lähdekoodin johdannaisesta, johon heidän omistama validointinsa perustui. Vaikka samaan koodiin perustui useita muita omistettuja validointeja, harvat eivät kukaan saaneet peruutusta. Tämä johtuu siitä, että muut organisaatiot muokkaivat ja vahvistivat koodin hieman uudella nimellä sen sijaan, että hyödyntäisivät avoimen lähdekoodin tunnistettua koodia. Tämä kätki tehokkaasti koodin alkuperän, ja muut yritykset pystyivät välttämään kumoamisen, joka johtui avoimen lähdekoodin haavoittuvuudesta.
Kysymyksiä, jotka sinun pitäisi kysyä
FIPS-kriittinen huomiointi 140-2 -vahvistusprosessin kaikkien organisaatioiden, jotka haluavat Yhdysvaltojen hallituksen käyttävän kryptografiamoduuliaan, tulisi kysyä moduulin luojalta muutama tärkeä kysymys:
- milloin salausmoduuli viimeksi päivitettiin / Vahvistettu?
- Onko olemassa uutta versiota salausmoduulista, joka on parhaillaan tarkistuksessa?
- Onko moduulissa tai sen taustakoodissa tunnettuja virheitä tai haavoittuvuuksia, joita ei ehkä ole paljastettu?
- Aiotaanko päivittää ja / tai vahvistaa uudelleen salausmoduuli lähitulevaisuudessa?
- Miltä näyttää FIPS-yhteensopivan moduulin päivitysprosessi / poljinnopeus?
- Onko salausmoduuli testattu tai validoitu CMVP: n ulkopuolella?
***
Tietoja XMediusista
XMedius on globaali johtaja yritysviestintäratkaisujen alalla. Yritysluokan paikallisten ja pilvipalveluratkaisujen avulla yritykset voivat hyötyä turvallisesta ja yhtenäisestä viestinnästä sekä vaihtaa arkaluonteisia ja luottamuksellisia tietoja, jotka täyttävät ja ylittävät alan lakien mukaiset vaatimukset. Montrealissa (Kanada) sijaitsevan toimipaikan Seattlessa (USA) ja Pariisissa (Ranska) tarjoava yritys palvelee yrityksiä, yrityksiä ja palveluntarjoajia globaalin asiakaslähtöisen henkilökunnan kautta. Sen ratkaisuja käytetään maailmanlaajuisesti useilla aloilla, mukaan lukien koulutus, rahoitus, hallinto, terveydenhuolto, valmistus, vähittäiskauppa ja lakipalvelut. Lisätietoja XMediusista ja sen ratkaisuista on osoitteessa www.xmedius.com ja muodosta yhteys LinkedIniin ja Twitteriin.