Nach 22 Jahren hat das Nationale Institut für Standards und Technologie (NIST) eine Aktualisierung des Federal Information Processing Standard (FIPS) veröffentlicht. Die Aktualisierung bringt die Standardreihe auf den neuesten Stand der Entwicklung von kryptografischen Modulen, die seit der letzten Aktualisierung im Jahr 2001 stattgefunden hat.
FIPS 140-3 für alle Einrichtungen, die mit sensiblen Informationen für die Regierungen der Vereinigten Staaten oder Kanadas und deren Behörden umgehen.
Was ist FIPS 140-3?
Die FIPS-Normenreihe ist ein Produkt des Cryptographic Module Validation Program (CMVP), einer koordinierten Anstrengung zwischen NIST und dem Canadian Centre for Cyber Security.
Die FIPS-Normenreihe wurde von den Regierungen der USA und Kanadas in Auftrag gegeben, um den Schutz sensibler, aber nicht klassifizierter (SBU) Informationen durch ihre Partner, Anbieter und Technologien zu gewährleisten. Die FIPS 140-Reihe schreibt ein universelles Validierungsschema für alle kryptografischen Module vor, die in Technologieprogrammen zum Einsatz kommen, die von der Regierung und stark regulierten Branchen verwendet werden.
Technisch gesehen ist die Einhaltung des FIPS-Standards für Regierungsbehörden, deren Auftragnehmer und Drittpartner sowie für Cybersicherheitsunternehmen, die an Branchen mit hoher Regierungsverantwortung verkaufen, obligatorisch. Der Standard hat sich jedoch weltweit als angemessener Sicherheitsrahmen und bewährte Praxis durchgesetzt.
Der Vorgänger des neuen Standards, FIPS 140-2, wird bald auslaufen. Das CMVP nimmt seit 2022 keine FIPS 140-2-Anträge für neue Validierungszertifikate mehr an und wird aktive FIPS 140-2-Module 2026 auf die historische Liste verschieben.
Da FIPS 140-3 zur Norm wird, müssen Unternehmen die Anforderungen erfüllen, um ihre Dienstleistungen fortzusetzen und hohe Strafen des NIST zu vermeiden.
FIPS 140-2 vs. FIPS 140-3: Was ist der Unterschied?
FIPS 140-2 und 140-3 unterscheiden sich in einigen wesentlichen Punkten. Hauptsächlich spezifiziert FIPS 140-3 die Sicherheitsanforderungen in jeder Phase der Erstellung von kryptografischen Modulen - in der Entwurfs-, Implementierungs- und Einsatzphase - und nicht nur nach der Fertigstellung.
Es gibt noch ein paar andere Aktualisierungen, die Sie beachten sollten:
- Während FIPS 140-2 davon ausging, dass es sich bei allen Modulen um hardware Module handelt, wird FIPS 140-3 hardware, Firmware, software, hybride software und hybride Firmware-Module behandeln.
- FIPS140-2 IG 1.9 beschränkte hybride Module auf eine FIPS 140-2 Level 1 Validierung, aber in FIPS 140-3 gibt es keine Beschränkung auf den Level, auf dem ein hybrides Modul validiert werden kann.
- FIPS 140-2 verlangte von den Modulen die Unterstützung einer Krypto-Officer-Rolle und einer Benutzerrolle, mit einer optionalen Wartungsrolle. In FIPS 140-3 ist die Krypto-Officer-Rolle die einzige erforderliche Rolle.
- Für die Stufen 1-3 sind FIPS 140-2 und 140-3 ziemlich ähnlich. Allerdings verlangt FIPS 140-3 auf Stufe 4 eine mehrstufige Authentifizierung.
Stufen von FIPS 140-3
Um sicherzustellen, dass die Technologie den erforderlichen Sicherheitsstandard erfüllt, werden bei der FIPS 140-3-Zertifizierung vier Sicherheitsstufen bewertet. Jede Stufe legt eigene Kriterien für kryptografische Algorithmen fest.
Stufe 1
Dies ist die niedrigste Sicherheitsstufe und erfordert die grundlegendsten Verschlüsselungs- und Schlüsselverwaltungsfunktionen. Auf dieser Stufe sind nur die software-only Module zertifiziert.
Stufe 2
Stufe 2 befasst sich mit physischen Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf das Modul (rollenbasierter Zugriff) und zur Erkennung physischer Manipulationen.
Stufe 3
Diese Stufe erfordert ein höheres Maß an physischer Sicherheit. Auf dieser Stufe wird von hardware erwartet, dass es Manipulationen verhindert, und der Zugang muss identitätsbasiert sein.
Stufe 4
Stufe 4 ist die höchste Stufe der physischen und logistischen Sicherheitskontrollen und soll die raffiniertesten Angriffe verhindern und das Modul dazu veranlassen, private Schlüssel und andere Sicherheitsparameter aktiv zu zerstören, wenn es Angriffe entdeckt.
Zukünftige Aktualisierungen der FIPS 140-Serie
FIPS 140-3 behandelt hardware, Firmware, software, hybride software und hybride Firmware-Module. Die Verbesserung von FIPS 140-2 bietet einen klaren Weg zur Implementierung und Zertifizierung von hybriden Modulen, die Technologien wie Java Native Interface (JNI) zur Unterstützung der hardware Beschleunigung nutzen können, während das Modul auch mit reinem Java funktionsfähig bleibt, wenn die hardware Beschleunigung nicht verfügbar ist.
Post-Quantum-Kryptographie (PQC) ist zu einem Trendthema geworden, und die erste Runde von PQC-Standards wird voraussichtlich Anfang 2024 veröffentlicht werden. FIPS 140-3 selbst befasst sich zwar nicht mit PQC, aber jeder, der einen der PQC-Algorithmen, einschließlich SP 800-208, zertifizieren möchte, muss sich mit FIPS 140-3 befassen. Abgesehen von der offiziellen Einstellung des Testens neuer 140-2-Module, erscheint die einzige Implementierungsanleitung für PQC für 140-3. Wenn ein Modul einen der PQC-Standards im FIPS-zugelassenen Modus unterstützen möchte, muss es nach FIPS 140-3 zertifiziert sein. Für Anbieter von Kryptographiemodulen, die sich mit den neuen PQC-Algorithmen zertifizieren lassen wollen, ist es sehr wichtig, jetzt eine Strategie für die Migration zu FIPS 140-3 zu entwickeln.
Mehr erfahren
Brauchen Sie Hilfe bei der Implementierung von Kryptografie? Mit dem Crypto Workshop von Keyfactor stehen Experten bereit. Bouncy Castle APIs sind open-source und Eigentum der in Australien ansässigen Wohltätigkeitsorganisation software , Legion der Bouncy Castle. Crypto Workshop ist der kommerzielle Zweig des Bouncy Castle Projekts, der sich der laufenden Entwicklung, der FIPS-Zertifizierung und den Support-Diensten verschrieben hat.
Verbinden Sie sich mit uns um mehr zu erfahren:
Fachwissen über Kryptographie
Lassen Sie sich von den Entwicklern von Bouncy Castle bei der Implementierung beraten und erhalten Sie technischen Support, der durch SLAs abgesichert ist.
FIPS-Zertifizierung
Greifen Sie auf die vollständige Testsuite zu und lassen Sie sich unter dem Produkt- und Firmennamen des unterstützten Kunden FIPS-zertifizieren.
Post-Quantum-Bereitschaft
Beginnen Sie die Arbeit mit Post-Quantum-Algorithmen in Ihrer Testumgebung mit der Unterstützung unserer Experten.
