La Publicación del Estándar Federal de Procesamiento de Información 140-3 , ( FIPS PUB 140-3 ), [1] [2] es un estándar de seguridad informática del gobierno de EE. UU . Que se utiliza para aprobar módulos criptográficos . El título es Requisitos de seguridad para módulos criptográficos . La publicación inicial fue el 22 de marzo de 2019 y reemplaza a FIPS 140-2 .
Propósito
El Instituto Nacional de Estándares y Tecnología (NIST) emitió la serie de publicaciones FIPS 140 para coordinar los requisitos y estándares para los módulos de criptografía que incluyen componentes de hardware y software. Las agencias y departamentos federales pueden validar que el módulo en uso está cubierto por un certificado FIPS 140 existente que especifica el nombre exacto del módulo, hardware, software, firmware y / o números de versión del subprograma. Los módulos criptográficos son producidos por el sector privado o comunidades de código abierto para su uso por el gobierno de los EE. UU. Y otras industrias reguladas (como instituciones financieras y de atención médica) que recopilan, almacenan, transfieren, comparten y difunden información confidencial pero no clasificada (SBU). .
Historia
Los esfuerzos para actualizar el estándar FIPS 140 se remontan a principios de la década de 2000. La FIPS 140-3 (Borrador de 2013) estaba programada para la firma del Secretario de Comercio en agosto de 2013, sin embargo, eso nunca sucedió y el borrador fue posteriormente abandonado. En 2014, NIST publicó un borrador sustancialmente diferente de FIPS 140-3, esta versión dirigiendo efectivamente el uso de un estándar de la Organización Internacional de Normalización / Comisión Electrotécnica Internacional (ISO / IEC), 19790: 2012, como reemplazo de FIPS 140-2 . El borrador de 2014 de FIPS 140-3 también se abandonó, aunque el uso de ISO / IEC 19790 finalmente se hizo realidad. El 12 de agosto de 2015, NIST publicó formalmente una declaración en el Registro Federal solicitando comentarios sobre el uso potencial de partes de ISO / IEC 19790: 2014 en la actualización de FIPS 140-2 . La referencia a una versión 2014 de ISO / IEC 19790 fue un error inadvertido en la publicación del Registro Federal, ya que 2012 es la versión más reciente. ISO / IEC 19790 se ha revisado y vuelto a confirmar en 2018, pero sin cambios, por lo que se conserva la nomenclatura de la versión 2012.
El proceso de actualización de FIPS 140 se vio obstaculizado por profundos problemas técnicos en temas como la seguridad del hardware [3] y el aparente desacuerdo en el gobierno de EE. UU. Sobre el camino a seguir. El borrador de 2013, ahora abandonado, de FIPS 140-3 había requerido la mitigación de ataques no invasivos al validar en niveles de seguridad más altos, introdujo el concepto de parámetro de seguridad pública, permitió la deferencia de ciertas autopruebas hasta que se cumplan condiciones específicas y fortaleció el requisitos sobre autenticación de usuarios y pruebas de integridad.
Programa de validación de módulos criptográficos
El estándar FIPS 140 estableció el Programa de Validación de Módulos Criptográficos (CMVP) como un esfuerzo conjunto del NIST y el Establecimiento de Seguridad de las Comunicaciones (CSEC) para el gobierno canadiense , ahora manejado por el CCCS, el Centro Canadiense de Seguridad Cibernética, una nueva iniciativa centralizada dentro de la agencia ESCNNA. [4]
Los programas de seguridad supervisados por NIST y CCCS se centran en trabajar con el gobierno y la industria para establecer sistemas y redes más seguros mediante el desarrollo, la gestión y la promoción de herramientas, técnicas, servicios y programas de apoyo de evaluación de seguridad para pruebas, evaluación y validación; y aborda áreas tales como: desarrollo y mantenimiento de métricas de seguridad, criterios de evaluación de seguridad y metodologías de evaluación, pruebas y métodos de prueba; criterios específicos de seguridad para la acreditación de laboratorios; orientación sobre el uso de productos evaluados y probados; investigación para abordar métodos de garantía y metodologías de evaluación y seguridad en todo el sistema; actividades de validación del protocolo de seguridad; y una coordinación adecuada con las actividades relacionadas con la evaluación de los organismos de normalización voluntarios de la industria y otros regímenes de evaluación.
Aprobación y emisión
El 22 de marzo de 2019, el Secretario de Comercio de los Estados Unidos, Wilbur Ross, aprobó FIPS 140-3, Requisitos de seguridad para módulos criptográficos para suceder a FIPS 140-2 . [5] FIPS 140-3 entró en vigor el 22 de septiembre de 2019. [6] Las pruebas de FIPS 140-3 comenzaron el 22 de septiembre de 2020, aunque todavía no se han emitido certificados de validación de FIPS 140-3. Las pruebas de FIPS 140-2 todavía están disponibles hasta el 21 de septiembre de 2021, lo que crea un período de transición superpuesto de un año. Los informes de prueba FIPS 140-2 que permanezcan en la cola de CMVP aún recibirán validaciones después de esa fecha, pero todas las validaciones FIPS 140-2 se moverán a la Lista histórica el 21 de septiembre de 2026, independientemente de su fecha de validación final real. [7]
Ver también
Referencias
- ^ "FIPS PUB 140-3: requisitos de seguridad para módulos criptográficos" (PDF) . NIST . 2019-03-22.
- ^ "Publicaciones de estándares federales de procesamiento de información (FIPS): FIPS 140-3, requisitos de seguridad para módulos criptográficos" . NIST. Marzo de 2019 . Consultado el 19 de octubre de 2020 .
- ^ "Actas del taller de pruebas de seguridad física NIST" . NIST . 2005-09-26. Archivado desde el original el 4 de marzo de 2016 . Consultado el 10 de enero de 2016 .
- ^ "Programa de validación de módulos criptográficos" . csrc.nist.gov . Instituto Nacional de Estándares y Tecnología. 8 de mayo de 2019 . Consultado el 29 de mayo de 2019 .
- ^ "Anuncio de aprobación y emisión de FIPS 140-3, requisitos de seguridad para módulos criptográficos" . www.nist.gov . Instituto Nacional de Estándares y Tecnología. 1 de mayo de 2019 . Consultado el 29 de mayo de 2019 .
- ^ "Anuncio de aprobación y emisión de FIPS 140-3, requisitos de seguridad para módulos criptográficos" . www.nist.gov . Instituto Nacional de Estándares y Tecnología. 1 de mayo de 2019 . Consultado el 29 de mayo de 2019 .
- ^ "Esfuerzo de transición FIPS 140-3" . www.nist.gov . Instituto Nacional de Estándares y Tecnología. 21 de septiembre de 2020 . Consultado el 19 de octubre de 2020 .
enlaces externos
- "Actas del taller de pruebas de seguridad física NIST" . NIST . 2005-09-26. Archivado desde el original el 4 de marzo de 2016 . Consultado el 10 de enero de 2016 .
- "Desarrollo de FIPS 140-3 PUB" . NIST. 2013-04-30 . Consultado el 18 de mayo de 2013 .
- "Programa de validación del módulo criptográfico (CMVP)" . NIST. 2013-04-05 . Consultado el 18 de mayo de 2013 .