Después de 22 años, el Instituto Nacional de Normas y Tecnología (NIST) ha publicado una actualización de la Norma Federal para el Tratamiento de la Información (FIPS). La actualización pone al día la serie de normas con la evolución de los módulos criptográficos que se ha producido desde la última actualización en 2001.
FIPS 140-3 a cualquier entidad que maneje información sensible para los gobiernos de Estados Unidos o Canadá y sus departamentos.
¿Qué es FIPS 140-3?
La serie de normas FIPS es un producto del Programa de Validación de Módulos Criptográficos (CMVP), un esfuerzo coordinado entre el NIST y el Centro Canadiense de Seguridad Cibernética.
La serie de normas FIPS es un mandato de los gobiernos de Estados Unidos y Canadá para garantizar la protección de la información sensible pero no clasificada (SBU) por parte de sus socios, proveedores y tecnologías. La serie FIPS 140 impone un esquema de validación universal para todos los módulos criptográficos implicados en programas tecnológicos utilizados por el gobierno y las industrias altamente reguladas.
Técnicamente, el cumplimiento de la norma FIPS es obligatorio para las agencias gubernamentales, sus contratistas y socios externos, y las organizaciones de ciberseguridad que venden a industrias de alto nivel de gobierno. Sin embargo, la norma ha sido ampliamente adoptada en todo el mundo como marco de seguridad razonable y mejor práctica.
El predecesor de la nueva norma, FIPS 140-2, está en vías de desaparición. La CMVP dejó de aceptar presentaciones de FIPS 140-2 para nuevos certificados de validación en 2022 y trasladará los módulos FIPS 140-2 activos a la lista histórica en 2026.
A medida que FIPS 140-3 se convierte en la norma, las organizaciones deben cumplirla para seguir prestando servicio y evitar las fuertes sanciones impuestas por el NIST.
FIPS 140-2 frente a FIPS 140-3: ¿Cuál es la diferencia?
FIPS 140-2 y 140-3 difieren en algunos aspectos significativos. Principalmente, FIPS 140-3 especifica los requisitos de seguridad en cada etapa de la creación de un módulo criptográfico -fases de diseño, implementación y despliegue- y no solo después de su finalización.
Hay algunas otras actualizaciones a tener en cuenta:
- Mientras que FIPS 140-2 asumía que todos los módulos eran módulos hardware , FIPS 140-3 abordará los módulos hardware, firmware, software, híbridos software, e híbridos firmware.
- FIPS140-2 IG 1.9 restringía los módulos híbridos a una validación FIPS 140-2 de nivel 1, pero en FIPS 140-3 no hay restricciones en cuanto al nivel al que se puede validar un módulo híbrido.
- FIPS 140-2 exigía que los módulos soportasen una función de cifrado y una función de usuario, con una función de mantenimiento opcional. En FIPS 140-3, la única función requerida es la de oficial de cifrado.
- Para los niveles 1-3, FIPS 140-2 y 140-3 son bastante similares. Sin embargo, FIPS 140-3 exige autenticación multifactor en el nivel 4.
Niveles de FIPS 140-3
Para garantizar que la tecnología cumple el nivel de seguridad necesario, la certificación FIPS 140-3 evalúa cuatro niveles de seguridad. Cada nivel establece sus propios criterios para los algoritmos criptográficos.
Nivel 1
Este es el nivel más bajo de seguridad y requiere las capacidades más básicas de cifrado y gestión de claves. Es el nivel en el que están certificados los módulos de software.
Nivel 2
El nivel 2 comienza a abordar las medidas de seguridad física destinadas a proteger contra el acceso no autorizado al módulo (acceso basado en funciones) y detectar la manipulación física.
Nivel 3
Este nivel requiere un grado más intenso de seguridad física, en este nivel se espera que hardware impida la manipulación y el acceso debe basarse en la identidad.
Nivel 4
El más alto nivel de controles de seguridad físicos y logísticos, el Nivel 4 está diseñado para prevenir los ataques más sofisticados y para que el módulo destruya activamente cualquier clave privada y otros parámetros de seguridad si detecta algún ataque.
Futuras actualizaciones de la serie FIPS 140
FIPS 140-3 aborda los módulos hardware, de firmware, software, híbridos software, e híbridos de firmware. La mejora de FIPS 140-2 ofrece una vía clara para implementar y certificar módulos híbridos que puedan hacer uso de tecnologías como Java Native Interface (JNI) para soportar la aceleración de hardware al tiempo que permiten que el módulo siga siendo funcional utilizando Java puro si la aceleración de hardware no está disponible.
La criptografía poscuántica (PQC) se ha convertido en un tema de tendencia, y se espera que la ronda inicial de normas PQC se publique a principios de 2024. Aunque FIPS 140-3 en sí no trata sobre PQC, cualquiera que desee certificar cualquiera de los algoritmos PQC, incluido el SP 800-208, tendrá que estar haciendo FIPS 140-3. Aparte del cese oficial de las pruebas de nuevos módulos 140-2, la única guía de implementación sobre algo de PQC aparece para 140-3. Si un módulo desea ser compatible con cualquiera de las normas PQC en modo aprobado por FIPS, tiene que tener la certificación FIPS 140-3. Es muy importante que los proveedores de módulos criptográficos que deseen certificarse con los nuevos algoritmos PQC y estar preparados para la cuántica desarrollen ya una estrategia de migración a FIPS 140-3.
Más información
¿Necesita ayuda para implantar la criptografía? Los expertos están a su disposición con Crypto Workshop by Keyfactor. Bouncy Castle Las API son open-source y propiedad de la organización benéfica con sede en Australia software , Legión de la Bouncy Castle. Crypto Workshop es el brazo comercial del proyecto Bouncy Castle , comprometido con el desarrollo continuo, la certificación FIPS y los servicios de asistencia.
Conéctese con nosotros para obtener más información:
Experiencia en criptografía
Obtenga orientación para la implantación y asistencia técnica directamente de los desarrolladores de Bouncy Castle, con el respaldo de acuerdos de nivel de servicio.
Certificación FIPS
Acceda al conjunto completo de pruebas y obtenga la certificación FIPS con el nombre de la empresa y el producto del cliente admitido.
Preparación postcuántica
Empiece a trabajar con algoritmos poscuánticos en su entorno de pruebas con la ayuda de nuestros expertos.
