Après 22 ans, le National Institute of Standards and Technology (NIST) a publié une mise à jour de la norme FIPS (Federal Information Processing Standard). Cette mise à jour permet d'adapter la série de normes à l'évolution des modules cryptographiques qui s'est produite depuis la dernière mise à jour en 2001.
FIPS 140-3 à toutes les entités qui traitent des informations sensibles pour les gouvernements des États-Unis ou du Canada et leurs services.
Qu'est-ce que la norme FIPS 140-3 ?
La série de normes FIPS est un produit du programme de validation des modules cryptographiques (CMVP), un effort coordonné entre le NIST et le Centre canadien pour la cybersécurité.
La série de normes FIPS est mandatée par les gouvernements américain et canadien pour garantir la protection des informations sensibles mais non classifiées (SBU) par leurs partenaires, fournisseurs et technologies. La série FIPS 140 impose un schéma de validation universel pour tous les modules cryptographiques impliqués dans les programmes technologiques utilisés par le gouvernement et les industries hautement réglementées.
Techniquement, la conformité à la norme FIPS est obligatoire pour les agences gouvernementales, leurs sous-traitants et partenaires tiers, ainsi que pour les organisations de cybersécurité qui vendent aux industries de haute gouvernance. Toutefois, la norme a été largement adoptée dans le monde entier en tant que cadre de sécurité raisonnable et meilleure pratique.
Le prédécesseur de la nouvelle norme, FIPS 140-2, est en voie de disparition. Le CMVP a cessé d'accepter les soumissions FIPS 140-2 pour les nouveaux certificats de validation en 2022 et déplacera les modules FIPS 140-2 actifs vers la liste historique en 2026.
La norme FIPS 140-3 devenant la norme, les organisations doivent s'y conformer pour continuer à offrir leurs services et éviter les lourdes pénalités imposées par le NIST.
FIPS 140-2 vs FIPS 140-3 : Quelle est la différence ?
Les normes FIPS 140-2 et 140-3 diffèrent sur quelques points importants. Principalement, la FIPS 140-3 spécifie les exigences de sécurité à chaque étape de la création d'un module cryptographique - phases de conception, d'implémentation et de déploiement - et pas seulement après l'achèvement.
Il y a quelques autres mises à jour à prendre en compte :
- Alors que la norme FIPS 140-2 partait du principe que tous les modules étaient des modules hardware , la norme FIPS 140-3 portera sur les modules hardware, firmware, software, hybrides software et hybrides firmware.
- La norme FIPS140-2 IG 1.9 limitait les modules hybrides à une validation FIPS 140-2 de niveau 1, mais dans la norme FIPS 140-3, il n'y a aucune restriction quant au niveau auquel un module hybride peut être validé.
- La norme FIPS 140-2 exigeait que les modules prennent en charge un rôle d'agent de chiffrement et un rôle d'utilisateur, ainsi qu'un rôle de maintenance facultatif. Dans la norme FIPS 140-3, le rôle d'agent de chiffrement est le seul rôle requis.
- Pour les niveaux 1 à 3, les normes FIPS 140-2 et 140-3 sont relativement similaires. Toutefois, la FIPS 140-3 exige une authentification multifactorielle au niveau 4.
Niveaux de la norme FIPS 140-3
Pour s'assurer que la technologie répond aux normes de sécurité nécessaires, la certification FIPS 140-3 évalue quatre niveaux de sécurité. Chaque niveau établit ses propres critères pour les algorithmes cryptographiques.
Niveau 1
Il s'agit du niveau de sécurité le plus bas, qui requiert les capacités de cryptage et de gestion des clés les plus élémentaires. C'est le niveau auquel les modules software sont certifiés.
Niveau 2
Le niveau 2 commence à aborder les mesures de sécurité physique destinées à empêcher l'accès non autorisé au module (accès basé sur les rôles) et à détecter les altérations physiques.
Niveau 3
Ce niveau exige un degré plus élevé de sécurité physique. À ce niveau, le site hardware est censé empêcher toute altération et l'accès doit être basé sur l'identité.
Niveau 4
Le niveau 4, le plus élevé des contrôles de sécurité physiques et logistiques, est conçu pour empêcher les attaques les plus sophistiquées et pour que le module détruise activement toutes les clés privées et autres paramètres de sécurité s'il détecte des attaques.
Futures mises à jour de la série FIPS 140
La norme FIPS 140-3 concerne les modules hardware, firmware, software, hybrides software, et hybrides firmware. L'amélioration de la norme FIPS 140-2 offre une voie claire pour la mise en œuvre et la certification de modules hybrides qui peuvent utiliser des technologies telles que Java Native Interface (JNI) pour prendre en charge l'accélération hardware tout en permettant au module d'être fonctionnel en utilisant purement Java si l'accélération hardware n'est pas disponible.
La cryptographie post-quantique (PQC) est devenue un sujet à la mode, la première série de normes PQC devant être publiée au début de l'année 2024. Bien que la norme FIPS 140-3 elle-même ne concerne pas la PQC, toute personne souhaitant certifier l'un des algorithmes PQC, y compris la norme SP 800-208, devra se conformer à la norme FIPS 140-3. Hormis l'arrêt officiel des tests des nouveaux modules 140-2, les seuls conseils de mise en œuvre relatifs à la CQP concernent la norme 140-3. Si un module souhaite prendre en charge l'une des normes PQC en mode approuvé par la FIPS, il doit être certifié FIPS 140-3. Il est très important que les fournisseurs de modules de cryptographie qui souhaitent obtenir la certification avec les nouveaux algorithmes PQC et être prêts pour le quantique élaborent dès maintenant une stratégie de migration vers la norme FIPS 140-3.
En savoir plus
Besoin d'aide pour mettre en œuvre la cryptographie ? Des experts sont à votre disposition avec l'atelier Crypto de Keyfactor. Bouncy Castle Les API sont open-source et appartiennent à l'organisation caritative software basée en Australie, Legion of the Bouncy Castle. Crypto Workshop est l'aile commerciale du projet Bouncy Castle - engagé dans le développement continu, la certification FIPS et les services d'assistance.
Connectez-vous avec nous pour en savoir plus :
L'expertise en cryptographie
Obtenez des conseils de mise en œuvre et une assistance technique de la part des développeurs de Bouncy Castle, garantis par des accords de niveau de service (SLA).
Certification FIPS
Accédez à la suite de tests complète et obtenez la certification FIPS sous le nom du produit et de l'entreprise du client.
Préparation post-quantique
Commencez à travailler avec des algorithmes post-quantiques dans votre environnement de test avec l'aide de nos experts.
