Federal Information Processing Standardization (FIPS) 140 é uma norma do governo dos EUA que especifica os requisitos de segurança para módulos criptográficos. A FIPS 140 faz parte de uma série de padrões que definem os requisitos de interface de módulos criptográficos (CMIR) e os níveis de segurança.
A FIPS 140-2 é a versão atual da norma, e foi publicada pela primeira vez em 2001. Ela substitui a FIPS 140-1, que foi publicada em 1994.
O FIPS 140-2 define quatro níveis de segurança, dependendo do nível de segurança exigido pelo usuário: Nível 1, Nível 2, Nível 3, e Nível 4.
Nível 1 é o nível de segurança mais baixo, e é adequado para uso em aplicações não-críticas. O Nível 2 adiciona embalagens resistentes à violação e funções adicionais de segurança, e é adequado para uso em aplicações moderadamente críticas.
O Nível 3 acrescenta características de segurança física, tais como hardware à prova de violação, e é adequado para uso em aplicações críticas. O nível 4 adiciona características de segurança física abrangentes, tais como hardware à prova de violação, caixas de segurança e acesso físico restrito, e é adequado para uso em aplicações de missão crítica.
FIPS 140-2 também define uma série de requisitos de segurança que devem ser atendidos por módulos criptográficos, independentemente do nível de segurança. Estes requisitos cobrem áreas como a implementação de algoritmos criptográficos, gerenciamento de chaves e segurança física. O FIPS é necessário? O Federal Information Processing Standard (FIPS) é um conjunto de padrões que são exigidos para qualquer sistema de computador que seja usado pelo governo federal dos EUA. Isto inclui todos os sistemas que são usados pelos militares, agências de inteligência e quaisquer outras agências federais. As normas FIPS também são necessárias para qualquer sistema de computador que seja usado por empreiteiros ou outras entidades que estejam trabalhando em nome do governo federal.
Qual é o propósito do FIPS 140-2?
O FIPS 140-2 é uma norma do governo federal dos EUA que define os requisitos para módulos criptográficos usados em operações criptográficas. O padrão é usado pelas agências federais dos EUA para garantir que os módulos criptográficos usados em seus sistemas atendam aos requisitos mínimos de segurança.
A norma cobre uma ampla gama de tópicos, incluindo design de módulos, segurança física, algoritmos criptográficos, gerenciamento de chaves e políticas de segurança. O objetivo é fornecer uma estrutura abrangente e flexível que possa ser adaptada às necessidades de cada organização.
O FIPS 140-2 foi publicado pela primeira vez em 2001 e foi atualizado pela última vez em 2017. É desenvolvido e mantido pelo US National Institute of Standards and Technology (NIST).
Devo activar os Padrões Federais de Processamento de Informação?
Não há uma resposta única para esta pergunta, pois a adequação de habilitar os Padrões Federais de Processamento de Informações (FIPS) depende do ambiente específico de TI em questão. Entretanto, em geral, os FIPS devem ser ativados em ambientes de TI governamentais onde a segurança e a conformidade são preocupações primordiais. O FIPS é um padrão de segurança desenvolvido pelo governo dos EUA para uso em produtos de tecnologia da informação, e habilitá-lo pode ajudar a garantir que os dados sejam protegidos de acordo com os padrões governamentais.
Como posso verificar a conformidade FIPS 140-2?
O FIPS 140-2 é uma norma do governo dos EUA que define os requisitos para módulos criptográficos. Para verificar a conformidade, você precisa obter uma cópia da norma do site do National Institute of Standards and Technology (NIST) e depois avaliar o seu módulo criptográfico em relação aos requisitos estabelecidos na norma.
Existem quatro níveis de segurança definidos no FIPS 140-2, sendo o Nível 1 o mais baixo e o Nível 4 o mais alto. Para alcançar a conformidade, o seu módulo criptográfico deve cumprir todos os requisitos para o nível que você está visando.
Além do padrão em si, o NIST também fornece um Programa de Validação do Módulo Criptográfico (CMVP) que define o processo para laboratórios de terceiros testarem e validarem módulos criptográficos contra o FIPS 140-2.
Se quiser que o seu módulo criptográfico seja formalmente validado por um laboratório acreditado pelo CMVP, terá de o submeter ao laboratório para testes. Este pode ser um processo dispendioso e demorado, por isso é importante certificar-se de que o seu módulo está realmente em conformidade antes de começar.
Uma vez que o seu módulo criptográfico tenha sido validado, você receberá um Certificado de Validação que pode ser usado para mostrar que o seu módulo atende aos requisitos FIPS 140-2.