¿Por qué no hay dispositivos FIPS nivel 4 en el mercado?

3

Mientras buscaba un USB seguro para usar, encontré la clave segura de Aegis, que tiene seguridad FIPS Nivel 3 (140-2). Creo que es la unidad flash más segura del mercado. Descubrí que el nivel más alto es en realidad el nivel 4, que solo está disponible para los trabajadores del gobierno. ¿Por qué solo está disponible para ellos y está el nivel 3 de FIPS a salvo del gobierno que intenta piratearlo?

    
pregunta Matt 25.06.2016 - 03:59
fuente

3 respuestas

5

Cuando se basa en un estándar, especialmente en aquellos tan estrictos como FIPS 140-2, tiene que pasar por los siguientes procesos (que requieren mucho tiempo y son caros):

  • diseño
  • Pruebas
  • Certificación

Si echa un vistazo a la Guía de implementación del NIST para FIPS PUB 140-2 , junto con los otros documentos, puede buscar la implementación del Nivel 4, que detalla que esto está diseñado para ser a prueba de manipulaciones.

Se considera "excesivo" para la mayoría de las empresas e incluso para uso personal porque protege contra "taladrar, fresar, cortar, quemar, fundir, moler o disolver el material epóxico o encapsulado, para poder acceder a los circuitos subyacentes. " También está destinado a proteger contra los factores ambientales. Este es su estándar USB del día del juicio final, donde en ningún caso puede perder o filtrar los datos.

Es un conjunto de requisitos muy agresivo que probablemente no sea muy económico si pretende venderlo a un consumidor, por la misma razón que un automóvil a prueba de choques es factible, pero su persona promedio no está dispuesta a pagar precio o trato con las complejidades involucradas.

Esto explica por qué las entidades gubernamentales pueden tener este tipo de tecnología:

  • No son una entidad con fines de lucro, técnicamente.
  • No están restringidos por los requisitos para hacer que un producto sea comercializable, son sus propios clientes (y también otros gobiernos).
  • Tienen escuelas, laboratorios de renombre e instalaciones dedicadas a su entera disposición para construir cosas "geniales" en nombre de la seguridad, el servicio público, la defensa o lo que sea.

Tenga en cuenta que la creación de dispositivos criptográficos, especialmente a nivel de hardware, no es una tarea de tontos.

    
respondido por el Signus 25.06.2016 - 05:26
fuente
2
  

¿Está el nivel 3 de FIPS a salvo del government alguien que intenta piratearlo?

Tenga en cuenta que la publicación 140-2 de los Estándares Federales de Procesamiento de la Información es una especificación de que algo está diseñado y construido para que luego obtenga esa certificación. Según su pregunta, FIPS 140-2 nivel 3 protege contra la piratería, yo diría que la respuesta del mundo real es NO . Porque es hasta la honestidad y amp; integridad y amp; la capacidad del fabricante construyendo el dispositivo, y al final la verdad es que no hay honestidad ni ética en el ámbito de la seguridad informática (entre otras cosas), y el nivel FIPS 140-2 x Puede ser utilizado como una táctica de marketing. Tendríamos que tener una gran discusión abierta y buscar los orificios de los bucles en la redacción de la norma, así como la verificación de antecedentes y supervisar a todos los que firmen, indicando que cualquier dispositivo es compatible con FIPS.

En lugar de tomar alguna hoja de certificación a su valor nominal, un ejemplo: VW dijo que sus vehículos diésel cumplían con los estándares de emisión y en un momento se certificaron para la venta, pero sabemos cómo resultó - el escándalo de emisiones de Volkswagen 2015 . El fraude no tiene límites.

    
respondido por el ron 04.05.2017 - 05:07
fuente
1

Sí, hay dispositivos de nivel 4 disponibles en el mercado hoy en día, luego de la tarjeta PCI Crypto Express certificada FIPS 140-2 Nivel 4, de IBM está disponible para su compra para la mayoría de los países y empresas, y funciona con x86, Power and por supuesto z Systems.

enlace

    
respondido por el A.Kim 26.07.2017 - 06:28
fuente

Lea otras preguntas en las etiquetas