Cumplimiento de FIPS 140-2 frente a Validación y productos frente a módulos frente a cifrados

5

Algunos proveedores parecen anunciar que sus productos utilizan "algoritmos y cifrados compatibles con FIPS 140-2". Sin embargo, algunos de estos productos no se pueden encontrar en el sitio web del NIST que enumera los módulos criptográficos validados. ¿Qué significa esto realmente para los clientes que desean usar el producto?

¿El uso de un producto de "algoritmos y cifrados compatibles con FIPS 140-2" es suficiente para cumplir con los requisitos de una organización gubernamental o contratista? ¿O es que el NIST tiene que validar realmente un producto para cumplir con los requisitos de protección de datos del gobierno?

    
pregunta Iszi 01.09.2015 - 21:46
fuente

2 respuestas

6

Creo que la respuesta viene directamente de este párrafo citado ( Listas de validación de módulos ) -I Enfatiza lo importante en negrita:

  

Un producto o implementación no cumple con FIPS 140-1 o FIPS   Requisitos de aplicabilidad 140-2 simplemente implementando un Aprobado   Función de seguridad y adquisición de certificados de validación de algoritmos.   Solo los módulos probados y validados a FIPS 140-1 o FIPS 140-2 cumplen con los   Requisitos de aplicabilidad para módulos criptográficos a proteger.   información sensible.

En cuanto a:

  

¿Qué significa esto realmente para los clientes que desean usar el producto?

NIST aconseja:

  

Se recomienda a los usuarios de las organizaciones del Gobierno Federal que consulten el   Lista de validación FIPS 140-1 y FIPS 140-2

Lista de validación .

    
respondido por el user45139 01.09.2015 - 22:12
fuente
4

Aquí es donde debes leer cuidadosamente.

  • Cumple significa que el proveedor cree que ha seguido los requisitos de cifrado FIPS y que su producto cumple con los requisitos específicos.
  • Certified significa que el producto ha sido realmente probado por NIST y emitido un número de certificado.

La certificación es un proceso costoso y que requiere mucho tiempo, y se debe volver a realizar después de los cambios, para que las empresas tomen la ruta "compatible".

FISMA y las RFI / RFP específicas, etc. indicarán los requisitos en torno a los módulos / hardware / etc certificados y durante la revisión requerirán el número de certificado NIST, así que asegúrese de leer los requisitos con cuidado y ser específico al enviar los requisitos al proveedor. Acepte productos compatibles en lugar de certificados.

Editar: también asegúrese de que está viendo la versión correcta de un producto. La certificación FIPS se aplica a un conjunto específico de código. Por lo general, también hay requisitos operativos sobre la configuración del sistema operativo, etc., por lo que la terminología dirá algunas veces "Modo certificado por FIPS 140-2".

Por lo tanto, FooLock 1.0 puede estar certificado, pero FooLock 1.1 no lo es porque a pesar de que es el mismo código fuente, utiliza un CLR de MS .NET diferente.

El editor de FooLock puede (sin ninguna intención de engañar) decir que FooLock 1.1 es compatible con FIPS porque el módulo criptográfico es "el mismo código" pero no está certificado, y si usa FooLock 1.1 para un solución que requería un producto certificado, como dice South Park, vas a tener un mal momento.

    
respondido por el lonstar 01.09.2015 - 22:06
fuente

Lea otras preguntas en las etiquetas