140 - FIPS 140

140 сериясы Федералдық ақпаратты өңдеу стандарттары (FIPS ) болып табылады АҚШ үкімет компьютердің қауіпсіздігі стандарттар талаптарын көрсететін криптография модульдер.

2020 жылдың қазан айындағы жағдай бойынша^{[жаңарту]}, FIPS 140-2 және FIPS 140-3 екеуі де ағымдағы және белсенді болып қабылданады.^[1]FIPS 140-3 мұрагері ретінде 2019 жылдың 22 наурызында бекітілді FIPS 140-2 және 2019 жылдың 22 қыркүйегінде күшіне енді.^[2] FIPS 140-3 тестілеуі 2020 жылдың 22 қыркүйегінде басталды, дегенмен FIPS 140-3 тексеру сертификаттары әлі берілмеген. FIPS 140-2 тестілеуі 2021 жылдың 21 қыркүйегіне дейін қол жетімді, бұл бір жылдық өтпелі кезеңді қайталайды. CMVP кезегінде тұрған FIPS 140-2 сынақ есептері сол күннен кейін де тексерулерге ие болады, бірақ барлық FIPS 140-2 тексерулер олардың түпкілікті түпкілікті тексеру күніне қарамастан 2026 жылдың 21 қыркүйегінде тарихи тізімге көшіріледі.^[3]

140. Тағайындалуы

The Ұлттық стандарттар және технологиялар институты (NIST) криптографиялық модульдерге қойылатын талаптар мен стандарттарды үйлестіру үшін 140 басылым сериясын шығарады. АҚШ федералды үкімет. FIPS 140 беруді көздемейді жеткілікті оның талаптарына сәйкес келетін модульдің қауіпсіздігіне кепілдік беретін жағдайлар, ондай модульдерді қолданып жасалған жүйенің қауіпсіздігінен аз. Талаптар криптографиялық модульдердің өзін ғана емес, сонымен бірге олардың құжаттамасын және (қауіпсіздік деңгейінде) бастапқы кодтағы түсініктемелердің кейбір аспектілерін қамтиды.

Криптографиялық модульдерді іске асырғысы келетін пайдаланушы агенттіктер олар қолданатын модуль қолданыстағы тексеру сертификатымен қамтылғанын растауы керек. FIPS 140-1 және FIPS 140-2 растау сертификаттары модульдің нақты атауын, жабдықты, бағдарламалық жасақтаманы, микробағдарламаны және / немесе апплет нұсқаларын көрсетеді. 2 және одан жоғары деңгейлерде тексеру қолданылатын операциялық платформа да келтірілген. Сатушылар өздерінің бастапқы тексерулерін әрдайым сақтай бермейді.

The Криптографиялық модульді растау бағдарламасы (CMVP) Америка Құрама Штаттарының үкіметімен бірлесіп басқарылады Ұлттық стандарттар және технологиялар институты (NIST) Компьютерлік қауіпсіздік бөлімі және Байланыс қауіпсіздігін құру Канада Үкіметінің (CSE). Жарамды криптографиялық модульдерді қолдануды АҚШ үкіметі криптографияның барлық жіктелмеген қолданулары үшін талап етеді. Канада Үкіметі сонымен бірге FIPS 140-та тексерілген криптографиялық модульдерді өзінің бөлімшелерінің жіктелмеген қосымшаларында қолдануға кеңес береді.

Қауіпсіздік деңгейлері

FIPS 140-2 қауіпсіздіктің төрт деңгейін анықтайды, жай «1 деңгей» мен «4 деңгей» деп аталады. Онда қандай-да бір қосымшаға қандай қауіпсіздік деңгейі қажет екендігі егжей-тегжейлі көрсетілмеген.

FIPS 140-2 1 деңгей ең төменгі, өте шектеулі талаптарды қояды; еркін түрде, барлық компоненттер «өндіріс деңгейінде» болуы керек және әр түрлі қатерлі қауіпсіздік болмауы керек.
FIPS 140-2 2 деңгейі заттай бұзушылыққа және рөлге негізделген аутентификацияға талаптарды қосады.
FIPS 140-2 3-деңгей физикалық бұзушылыққа төзімділікке (шабуылдаушыларға модульде қамтылған құпия ақпаратқа қол жеткізуді қиындатады) және сәйкестендіруге негізделген аутентификацияға және «маңызды» интерфейстер арасындағы физикалық немесе логикалық бөлінуге қойылатын талаптарды қосады. қауіпсіздік параметрлері »модульге және оның басқа интерфейстеріне енеді және кетеді.
FIPS 140-2 4 деңгей физикалық қауіпсіздік талаптарын қатал етеді және экологиялық шабуылдарға қарсы беріктік талап етеді.

Көрсетілген деңгейлерден басқа, сипаттаманың 4.1.1 бөлімінде қуаттың дифференциалды талдауы сияқты жеңілдетуді қажет етуі мүмкін қосымша шабуылдар сипатталған. Егер өнімде осы шабуылдарға қарсы шаралар болса, олар құжатталуы және тексерілуі керек, бірақ берілген деңгейге жету үшін қорғаныс қажет емес. Осылайша, FIPS 140-2-ге сын, бұл стандарт 2-ден және одан жоғары деңгейлерде қауіпсіздіктің жалған мағынасын береді, өйткені стандарт модульдердің бұрмаланатын және / немесе бұзылуға төзімді болатынын білдіреді, бірақ модульдердің бүйірлік каналы болуы мүмкін кілттерді қарапайым шығаруға мүмкіндік беретін осалдықтар.

Қойылатын талаптар

FIPS 140 он бір түрлі салада талап қояды:

Криптографиялық модульдің спецификациясы (не құжатталуы керек)
Криптографиялық модуль порттары мен интерфейстері (қандай ақпарат ағады және шығады, оны қалай бөлу керек)
Рөлдер, қызметтер және аутентификация (модульмен кім не істей алады және бұл қалай тексеріледі)
Соңғы мемлекеттік модель (модульдің болуы мүмкін және өтулер қалай жүретіндігі туралы жоғары деңгейдегі құжаттар)
Физикалық қауіпсіздік (айғақты бұрмалау және қарсылық және экстремалды жағдайларға қарсы тұрақтылық)
Операциялық орта (қандай операциялық жүйе модуль қолданады және қолданады)
Криптографиялық кілттерді басқару (кілттерді құру, енгізу, шығару, сақтау және жою)
EMI /ОӘК
Өзін-өзі тексеру (нені және қашан тексеру керек, егер сынақ сәтсіз болса, не істеу керек)
Дизайнды қамтамасыз ету (модульдің жақсы жасалғанын және іске асырылғандығын дәлелдеу үшін қандай құжаттар ұсынылуы керек)
Басқа шабуылдарды азайту (егер модуль азайтуға арналған болса, мысалы, TEMPEST шабуыл, содан кейін оның құжаттамасында қалай айтылуы керек)

Қысқа тарих

FIPS 140-1, 1994 жылы 11 қаңтарда шығарылған, криптографиялық жабдықты сатушылар мен пайдаланушылардан тұратын үкімет пен салалық жұмыс тобы әзірледі. Топ жоғарыда аталған төрт «қауіпсіздік деңгейін» және он бір «талап аймағын» анықтап, әр деңгейге әр салаға қойылатын талаптарды анықтады.

FIPS 140-2 2001 жылғы 25 мамырда шығарылған, 1994 жылдан бастап қолда бар технологиялар мен ресми стандарттардың өзгеруі және сатушыдан, сынаушыдан және пайдаланушылар қауымдастығынан алынған ескертулер ескерілген. Бұл халықаралық стандарттың негізгі құжаты болды ISO /IEC 19790:2006 Криптографиялық модульдерге қойылатын қауіпсіздік талаптары 2006 жылғы 1 наурызда шығарылды. NIST 800-29-дан бастап FIPS 140-1-ден FIPS 140-2-ге дейінгі маңызды өзгертулерді сипаттады.^[4]

FIPS 140-3, 2019 жылғы 22 наурызда шығарылған және жарияланды 2019 жылдың мамырында қазіргі уақытта FIPS 140-2-тің орнын ауыстыру кезеңі қайталанып жатыр және NIST басшылығының екі халықаралық стандарттың құжаттарына сәйкес келеді: ISO /IEC 19790: 2012 (Д) Ақпараттық технологиялар - Қауіпсіздік техникасы - Криптографиялық модульдерге қойылатын қауіпсіздік талаптары және ISO /IEC 24759: 2017 (Д) Ақпараттық технологиялар - Қауіпсіздік техникасы - Криптографиялық модульдерге қойылатын сынақ талаптары. Бірінші жоба нұсқасында^[5] FIPS 140-3 стандартына сәйкес NIST бағдарламалық қамтамасыздандырудың жаңа бөлімін, бір қосымша сенімділік деңгейін (5 деңгей) және жаңа нұсқасын енгізді Қарапайым қуат талдауы (SPA) және Дифференциалды қуат анализі (DPA) талаптары. 2009 жылғы 11 қыркүйекте шығарылған жоба төрт қауіпсіздік деңгейіне қайта оралды және бағдарламалық жасақтаманың қауіпсіздік деңгейлерін 1 және 2 деңгейлерімен шектеді.

Сын

Тексеру процесін орнату тәсіліне байланысты бағдарламалық жасақтама жеткізушісі өзінің FIPS-модульденген модулін бағдарламалық жасақтамаға қаншалықты аз болса да, әр өзгеріс үшін қайта растауы қажет; бұл қате тексеру немесе қауіпсіздікті түзету үшін де қажет. Тексеру қымбат процесс болғандықтан, бұл бағдарламалық жасақтама жеткізушілеріне бағдарламалық жасақтаманың өзгеруін кейінге қалдыруға ынталандырады және келесі тексеруге дейін қауіпсіздік жаңартуларын алмайтын бағдарламалық жасақтамаға әкелуі мүмкін. Нәтижесінде тексерілген бағдарламалық қамтамасыздандырудың расталмаған эквивалентке қарағанда қауіпсіздігі төмендеуі мүмкін.^[6]

Бұл сынды жақында кейбір саланың сарапшылары жоққа шығарды, оның орнына валидация шекарасын азайту үшін сатушыға жауапкершілік жүктеді. Қайта тексеру күштерінің көпшілігі негізгі криптографиялық операциялардан тыс қателер мен қауіпсіздік түзетулерінен туындағандықтан, тиісті ауқымды тексеру сипатталғанға сәйкес жалпы қайта тексеруге жатпайды.^[7]

Сондай-ақ қараңыз

Жалпы критерийлер
FIPS 140-2
FIPS 140-3
Санат: Компьютерлік қауіпсіздік стандарттары
Санат: Криптография стандарттары

Әдебиеттер тізімі

^ «FIPS жалпы ақпарат». NIST. 2010-10-05. Алынған 2013-05-18.
^ «FIPS 140-3, криптографиялық модульдерге қойылатын қауіпсіздік талаптарын бекіту және беру туралы хабарлау». www.nist.gov. Ұлттық стандарттар және технологиялар институты. 1 мамыр, 2019. Алынған 29 мамыр, 2019.
^ «FIPS 140-3 өту күші». www.nist.gov. Ұлттық стандарттар және технологиялар институты. 21 қыркүйек, 2020 жыл. Алынған 19 қазан, 2020.
^ «FIPS 140-1 және FIPS 140-2-дегі криптографиялық модульдерге қойылатын қауіпсіздік талаптарын салыстыру». NIST. 2001-06-01. Алынған 2018-02-14.
^ «FIPS-140 -3: криптографиялық модульдерге қауіпсіздік талаптарының жобасы (қайта қаралған жоба)». NIST. 2013-03-07. Алынған 2013-05-18.
^ «FIPS 140-2 бағдарламалық жасақтамаға белсенді түрде зиян тигізе ме?». Даррен Моффат, Oracle Solaris. 2014-04-16. Алынған 2017-03-18.
^ «Ішінде» FIPS ішіндегі'". Уолтер Пейли, SafeLogic. 2018-04-10. Алынған 2020-10-19.

Сыртқы сілтемелер

«Федералдық ақпаратты өңдеу стандарттары (FIPS)». NIST. 2013-02-05. Алынған 2013-05-18.
«FIPS 140-1 және FIPS 140-2 криптографиялық модульдері». NIST. 2013-05-17. Архивтелген түпнұсқа 2014-12-26. Алынған 2013-05-18.

[1] «FIPS жалпы ақпарат». NIST. 2010-10-05. Алынған 2013-05-18.

[2] «FIPS 140-3, криптографиялық модульдерге қойылатын қауіпсіздік талаптарын бекіту және беру туралы хабарлау». www.nist.gov. Ұлттық стандарттар және технологиялар институты. 1 мамыр, 2019. Алынған 29 мамыр, 2019.

[3] «FIPS 140-3 өту күші». www.nist.gov. Ұлттық стандарттар және технологиялар институты. 21 қыркүйек, 2020 жыл. Алынған 19 қазан, 2020.

[4] «FIPS 140-1 және FIPS 140-2-дегі криптографиялық модульдерге қойылатын қауіпсіздік талаптарын салыстыру». NIST. 2001-06-01. Алынған 2018-02-14.

[5] «FIPS-140 -3: криптографиялық модульдерге қауіпсіздік талаптарының жобасы (қайта қаралған жоба)». NIST. 2013-03-07. Алынған 2013-05-18.

[6] «FIPS 140-2 бағдарламалық жасақтамаға белсенді түрде зиян тигізе ме?». Даррен Моффат, Oracle Solaris. 2014-04-16. Алынған 2017-03-18.

[7] «Ішінде» FIPS ішіндегі'". Уолтер Пейли, SafeLogic. 2018-04-10. Алынған 2020-10-19.

[1]

[2]

[3]

[4]

[5]

[6]

[7]