FIPS 140-3 e Você

Views: 692
0 0
Read Time:3 Minute, 21 Second

Uma norma do Federal Information Processing Standard (FIPS) atualizada, FIPS 140-3, foi aprovada pela Secretaria de Comércio em março de 2019, definindo um novo padrão de segurança para credenciar módulos criptográficos. Mas com novos mandatos vem a incerteza – imaginando o que esse padrão de segurança em evolução significa; como e quando você precisa cumprir; e como isso afetará seus aparelhos validados FIPS 140-2 atuais.

Navegar através de certificações é um desafio, para dizer o mínimo. Tendo passado por uma atualização para FIPS 140-2 da FIPS 140-1 em 2001, gostaria de compartilhar algumas informações com base em nossa experiência na época para ajudar a responder suas perguntas e preocupações. Vamos começar.

Sobre o FIPS 140

Como segundo plano, os padrões FIPS 140 são um conjunto de requisitos de segurança para módulos criptográficos definidos pelo Instituto Nacional de Normas e Tecnologia (NIST), e são gerenciados pelos Estados Unidos e Canadá como parte do Programa de Validação de Módulos Criptográficos (CMVP). Os módulos validados pelo FIPS 140 são obrigatórios para proteger chaves e realizar operações criptográficas para muitas aplicações governamentais. De fato, tornou-se o padrão de fato em muitos outros países e no setor privado (particularmente nos setores financeiro e de pagamento) como OS HSMs validados FIPS 140 fornecem confiança e confiança ao proteger infraestruturas criptográficas.

FIPS 140-2 é a versão atual, e existe desde maio de 2001. Ele define um total de quatro níveis de segurança e 11 áreas de design e implementações de produtos criptográficos, incluindo gerenciamento de chaves, interfaces, funções, serviços e autenticação e sistemas operacionais. Mais informações sobre FIPS 140-2 podem ser encontradas em nosso Aterrissando com segurança na conformidade regulatória com os HSMs da Thales Luna Blog.

Qual é a diferença?

O FIPS 140-3 substituirá o FIPS 140-2 e se baseia nos padrões internacionais existentes com algumas modificações. FIPS 140-3 publicações especiais incluir informações sobre uma variedade de requisitos, incluindo: testes derivados; documentação; políticas de segurança; funções de segurança; parâmetros de segurança; autenticação; e mitigação de ataques não invasivos. Deve-se notar que muitas dessas mudanças ainda não estão finalizadas.

Marcos importantes

Para colocar tudo isso em perspectiva, abaixo estão vários marcos fundamentais para o padrão:

  • 22 de março de 2019 – o Secretário de Comércio aprovou os Requisitos de Segurança FIPS 140-3 para Módulos Criptográficos
  • 22 de setembro de 2019 – FIPS 140-3 entrou em vigor
  • 22 de setembro de 2020 – Começa o teste fipsa 140-3 através do CMVP
  • 22 de setembro de 2021 – apenas as submissões fips 140-3 aceitas

Transição para FIPS 140-3 e seu impacto

Embora seja bem entendido que o FIPS 140-2 estará por aí por um tempo, os módulos ainda podem ser submetidos e validados para FIPS 140-2 até 22 de setembro de 2021. Os certificados FIPS 140-2 existentes não serão revogados como parte da transição. De fato, os módulos certificados FIPS 140-2 serão válidos até setembro de 2026.

Além disso, o CMVP começará a aceitar as submissões fips 140-3 somente em 22 de setembro de 2020. A partir de 22 de setembro de 2021, serão aceitas apenas as submissões fips 140-3.

O que vem depois?

Por enquanto, não há ações necessárias de sua parte. No entanto, você pode contar com Thales para ajudá-lo a navegar através desta transição quando for a hora certa. Entendemos suas necessidades e preocupações e estamos aqui para ajudar a esclarecer e desmistificar o FIPS 140-3. Enquanto isso, continuaremos: 1) trabalhando para a validação da FIPS 140-3; 2) participar de fóruns e grupos de trabalho para ajudar a definir a FIPS 140-3 e identificar melhorias para o CMVP; 3) desenvolver documentos e requisitos de mapas para iso 24759; e, 4) executar através dos testes e implementação esperados que vem de ser um adotante precoce.

Visite nossa Página do site FIPS 140-3 para mais detalhes sobre as alterações específicas da regulamentação, modificações no padrão internacional existente e como podemos ajudar.

FONTE: THALES

POSTS RELACIONADOS