0
0
Uma atualização do Federal Information Processing Standard (FIPS), FIPS 140-3, foi aprovado pela Secretaria de Comércio em março de 2019, definindo um novo padrão de segurança para credenciar módulos criptográficos. Mas com novos mandatos vem a incerteza – perguntando o que significa este padrão de segurança em evolução; como e quando você precisa cumprir; e como isso afetará seus dispositivos validados para FIPS 140-2 atuais.
Navegar pelas certificações é um desafio, para dizer o mínimo. Tendo passado por uma atualização do FIPS 140-2 do FIPS 140-1 em 2001, gostaria de compartilhar alguns insights com base em nossa experiência naquela época para ajudar a responder às suas perguntas e preocupações. Vamos começar.
Sobre FIPS 140
Como pano de fundo, os padrões FIPS 140 são um conjunto de requisitos de segurança para módulos criptográficos definidos pelo Instituto Nacional de Padrões e Tecnologia (NIST) , e são gerenciados pelos Estados Unidos e Canadá como parte do Programa de Validação de Módulo Criptográfico (CMVP) . Os módulos validados pelo FIPS 140 são obrigatórios para proteger as chaves e executar operações criptográficas para muitos aplicativos governamentais. Na verdade, ele se tornou o padrão de fato em muitos outros países e no setor privado (particularmente nos setores financeiro e de pagamento), pois os HSMs validados pelo FIPS 140 fornecem confiança e segurança ao proteger as infraestruturas criptográficas.
FIPS 140-2 é a versão atual e existe desde maio de 2001. Ele define um total de quatro níveis de segurança e 11 áreas de design e implementações de produtos criptográficos, incluindo gerenciamento de chaves, interfaces, funções, serviços e autenticação e sistemas operacionais. Mais informações sobre o FIPS 140-2 podem ser encontradas em nossa postagem no blog Landing Secured on Regulatory Compliance with Thales Luna HSMs .
Qual é a diferença?
O FIPS 140-3 substituirá o FIPS 140-2 e é baseado nos padrões internacionais existentes com algumas modificações. As publicações especiais do FIPS 140-3 incluem informações sobre uma variedade de requisitos, incluindo: testes derivados; documentação; políticas de segurança; funções de segurança; parâmetros de segurança; autenticação; e mitigação de ataques não invasivos. Deve-se notar que muitas dessas mudanças ainda não foram finalizadas.
Marcos importantes
Para colocar tudo isso em perspectiva, abaixo estão vários marcos importantes para o padrão:
- 22 de março de 2019 – o secretário de comércio aprovou os requisitos de segurança FIPS 140-3 para módulos criptográficos
- 22 de setembro de 2019 – FIPS 140-3 entrou em vigor
- 22 de setembro de 2020 – o teste FIPS 140-3 começa por meio do CMVP
- 22 de setembro de 2021 – apenas inscrições FIPS 140-3 aceitas
Transição para FIPS 140-3 e seu impacto
Embora seja bem entendido que FIPS 140-2 ainda existirá por um tempo, os módulos ainda podem ser enviados e validados para FIPS 140-2 até 22 de setembro de 2021. Os certificados FIPS 140-2 existentes não serão revogados como parte da transição . Na verdade, os módulos com certificação FIPS 140-2 serão válidos até setembro de 2026.
Além disso, o CMVP começará a aceitar inscrições FIPS 140-3 apenas em 22 de setembro de 2020. Depois de 22 de setembro de 2021, apenas inscrições FIPS 140-3 serão aceitas.
Qual é o próximo?
Por enquanto, não há ações necessárias de sua parte. No entanto, você pode contar com a Thales para ajudá-lo a navegar por essa transição quando for a hora certa. Entendemos suas necessidades e preocupações e estamos aqui para ajudar a esclarecer e desmistificar o FIPS 140-3. Nesse ínterim, iremos: 1) continuar trabalhando para a validação FIPS 140-3; 2) participar de fóruns e grupos de trabalho para ajudar a definir o FIPS 140-3 e identificar melhorias para o CMVP; 3) desenvolver documentos e mapear requisitos para a ISO 24759; e, 4) executar os testes e a implementação esperados que vêm por ser um dos primeiros a adotar.
Visite a página do nosso site do FIPS 140-3 para obter mais detalhes sobre as alterações de regulamentos específicos, modificações no padrão internacional existente e como podemos ajudar.
FONTE: THALES