¿Qué impulsa el cumplimiento con FIPS140-2?

5

Supongo que estas preguntas están dirigidas a los Product Managers, pero estaría muy interesado en saber qué piensan las personas que saben.

¿Cuáles son los factores más comunes que impulsan el cumplimiento de FIPS140-2 para los módulos de hardware? ¿Por qué quiere / necesita implementar la seguridad compatible con FIPS140 en sus productos?

Aquí hay algunas razones que se me ocurren:

  • Demanda del mercado:

  • Demanda del cliente (gobierno)

  • Demanda del cliente (individuos)

  • Demanda del cliente (empresa)

  • Aceptación / expectativa del mercado

  • Marketing

  • Política de seguridad de TI corporativa / Postura de seguridad; (por ejemplo, es menos probable que sea pirateado si utiliza módulos compatibles con FIPS140)

  • Para mitigar los ataques presentes / futuros; co mitigar los agujeros de seguridad pasados

  • Derechos de presumir; sólo porque puedes; para demostrar que puedes hacerlo

  • Porque es fácil cumplir con las normas

  • Debido a que no es costoso ponerlo en conformidad

pregunta Drew Lex 30.06.2012 - 03:47
fuente

2 respuestas

1

Cuando está protegiendo más que su cuenta de Twitter, sería bueno saber que cualquier algoritmo que se use para proteger las credenciales, los intercambios de claves, o cualquier otro cripto que se esté utilizando, está protegido de una manera profesional agradable. Hay MUCHOS proveedores a los que no les importa lo bien que se implemente algo, siempre que se venda bien. A la gran mayoría de los usuarios no les importa, o no saben cómo verificar la "corrección" de todos los dispositivos / mecanismos que están usando.

Para obtener el certificado FIPS, el producto pasa por un proceso de verificación largo, costoso y bastante profundo. Eso obliga a los proveedores a hacer un mejor trabajo desarrollando y probando sus productos, que simplemente abofeteando '¡Ahora con más seguridad!' pegatina en ella

De esta manera, un personal no capacitado en criptografía puede comprar productos, y si viene con un certificado FIPS, significa que la garantía proviene de un laboratorio que somete al producto a una verificación mínima, y no al marketing del vendedor. departamento.

No, no es perfecto, y es costoso y consume mucho tiempo, pero algunas cosas exigen la seguridad 'no es broma'.

    
respondido por el Marcin 02.07.2012 - 18:57
fuente
3

Es impulsado completamente por la demanda del gobierno de los Estados Unidos.

FIPS significa estándares federales de procesamiento de información que son estándares del gobierno de EE. UU.

A nadie más le importa, excepto a ellos. Otros afirman que se preocupan por eso solo porque es ampliamente adoptado por los "niños grandes". Mire a su alrededor en los requisitos de FIPS 140-2 en otras naciones. No hay prácticamente ninguno, excepto para aquellos que desean vender productos electrónicos o software al mercado de América del Norte. Otros países imponen requisitos criptográficos para la adquisición localizada y la extensión de esos requisitos puede ser un gran préstamo de trabajos anteriores que agrupan los FIPS, pero son programas diferentes y en gran medida no intercambiables.

    
respondido por el logicalscope 30.06.2012 - 03:58
fuente

Lea otras preguntas en las etiquetas