FIPS 140-3 e você

Views: 142
0 0
Read Time:3 Minute, 32 Second

Uma atualização do Federal Information Processing Standard (FIPS), FIPS 140-3, foi aprovado pela Secretaria de Comércio em março de 2019, definindo um novo padrão de segurança para credenciar módulos criptográficos. Mas com novos mandatos vem a incerteza – perguntando o que significa este padrão de segurança em evolução; como e quando você precisa cumprir; e como isso afetará seus dispositivos validados para FIPS 140-2 atuais.

Navegar pelas certificações é um desafio, para dizer o mínimo. Tendo passado por uma atualização do FIPS 140-2 do FIPS 140-1 em 2001, gostaria de compartilhar alguns insights com base em nossa experiência naquela época para ajudar a responder às suas perguntas e preocupações. Vamos começar.

Sobre FIPS 140

Como pano de fundo, os padrões FIPS 140 são um conjunto de requisitos de segurança para módulos criptográficos definidos pelo Instituto Nacional de Padrões e Tecnologia (NIST) , e são gerenciados pelos Estados Unidos e Canadá como parte do Programa de Validação de Módulo Criptográfico (CMVP) . Os módulos validados pelo FIPS 140 são obrigatórios para proteger as chaves e executar operações criptográficas para muitos aplicativos governamentais. Na verdade, ele se tornou o padrão de fato em muitos outros países e no setor privado (particularmente nos setores financeiro e de pagamento), pois os HSMs validados pelo FIPS 140 fornecem confiança e segurança ao proteger as infraestruturas criptográficas.

FIPS 140-2 é a versão atual e existe desde maio de 2001. Ele define um total de quatro níveis de segurança e 11 áreas de design e implementações de produtos criptográficos, incluindo gerenciamento de chaves, interfaces, funções, serviços e autenticação e sistemas operacionais. Mais informações sobre o FIPS 140-2 podem ser encontradas em nossa postagem no blog Landing Secured on Regulatory Compliance with Thales Luna HSMs .

Qual é a diferença?

O FIPS 140-3 substituirá o FIPS 140-2 e é baseado nos padrões internacionais existentes com algumas modificações. As publicações especiais do FIPS 140-3 incluem informações sobre uma variedade de requisitos, incluindo: testes derivados; documentação; políticas de segurança; funções de segurança; parâmetros de segurança; autenticação; e mitigação de ataques não invasivos. Deve-se notar que muitas dessas mudanças ainda não foram finalizadas.

Marcos importantes

Para colocar tudo isso em perspectiva, abaixo estão vários marcos importantes para o padrão:

  • 22 de março de 2019 – o secretário de comércio aprovou os requisitos de segurança FIPS 140-3 para módulos criptográficos
  • 22 de setembro de 2019 – FIPS 140-3 entrou em vigor
  • 22 de setembro de 2020 – o teste FIPS 140-3 começa por meio do CMVP
  • 22 de setembro de 2021 – apenas inscrições FIPS 140-3 aceitas

Transição para FIPS 140-3 e seu impacto

Embora seja bem entendido que FIPS 140-2 ainda existirá por um tempo, os módulos ainda podem ser enviados e validados para FIPS 140-2 até 22 de setembro de 2021. Os certificados FIPS 140-2 existentes não serão revogados como parte da transição . Na verdade, os módulos com certificação FIPS 140-2 serão válidos até setembro de 2026.

Além disso, o CMVP começará a aceitar inscrições FIPS 140-3 apenas em 22 de setembro de 2020. Depois de 22 de setembro de 2021, apenas inscrições FIPS 140-3 serão aceitas.

Qual é o próximo?

Por enquanto, não há ações necessárias de sua parte. No entanto, você pode contar com a Thales para ajudá-lo a navegar por essa transição quando for a hora certa. Entendemos suas necessidades e preocupações e estamos aqui para ajudar a esclarecer e desmistificar o FIPS 140-3. Nesse ínterim, iremos: 1) continuar trabalhando para a validação FIPS 140-3; 2) participar de fóruns e grupos de trabalho para ajudar a definir o FIPS 140-3 e identificar melhorias para o CMVP; 3) desenvolver documentos e mapear requisitos para a ISO 24759; e, 4) executar os testes e a implementação esperados que vêm por ser um dos primeiros a adotar.

Visite a página do nosso site do FIPS 140-3 para obter mais detalhes sobre as alterações de regulamentos específicos, modificações no padrão internacional existente e como podemos ajudar.

FONTE: THALES

Previous post Falha de segurança da Freepik vaza dados de 8 milhões de clientes
Next post Mapfre vai compensar clientes após estancar ciberataque

Deixe um comentário