FIPS 140-2 (Federal Information Processing Standards Publication 140-2), což je norma vydaná Národním institutem pro standardy a technologii (NIST), představuje klíčový standard pro zabezpečení kryptografických modulů, který používají jak vládní organizace, tak soukromý sektor ve Spojených státech a dalších zemích. Tento standard definuje požadavky na bezpečnostní vlastnosti kryptografických modulů včetně hardwaru, softwaru a/nebo firmware, které zpracovávají citlivé, ale neklasifikované informace.
Historie a vývoj
FIPS 140-2 byl poprvé publikován 25. května 2001 jako náhrada za původní FIPS 140-1 s cílem zlepšit a aktualizovat bezpečnostní požadavky pro kryptografické moduly. Od té doby se stal de facto standardem pro zabezpečení kryptografických implementací v mnoha vládních a průmyslových aplikacích.
Požadavky FIPS 140-2
FIPS 140-2 se skládá z několika klíčových oblastí požadavků, které zahrnují:
- Kryptografické moduly: Specifikuje, jaké typy modulů (hardware, software, firmware) jsou pod jeho působností.
- Bezpečnostní úrovně: Definuje čtyři úrovně bezpečnosti (1 až 4), přičemž každá vyšší úroveň přináší přísnější požadavky. Tyto úrovně určují, jaký stupeň fyzické bezpečnosti, role, autentizace a další bezpečnostní mechanismy jsou vyžadovány.
- Oblasti bezpečnosti: Zahrnuje 11 různých oblastí, jako jsou kryptografické operace, identifikace a autentizace, fyzická bezpečnost, a další, na které se standard vztahuje.
- Testování: FIPS 140-2 vyžaduje, aby kryptografické moduly prošly certifikačním procesem v akreditovaných laboratořích pro ověření souladu se standardem.
Certifikační proces
Pro získání certifikace FIPS 140-2 musí výrobci nebo dodavatelé kryptografických modulů podstoupit proces, který zahrnuje předložení svých produktů do nezávislých akreditovaných testovacích laboratoří. Tyto laboratoře provádějí testy podle pevně stanovených kritérií a pokud produkt splňuje všechny požadavky, je mu udělena certifikace FIPS 140-2.
Význam a aplikace
Certifikace FIPS 140-2 je často vyžadována pro všechny produkty, které zpracovávají citlivé informace v rámci vládních projektů ve Spojených státech. Tento standard se však používá i mimo vládní sektor, protože poskytuje silnou záruku bezpečnosti a je považován za známku důvěry a spolehlivosti kryptografických produktů.
FIPS 140-2 představuje základní kámen pro zabezpečení kryptografických modulů, který má zásadní význam pro ochranu informací v digitálním věku. Jeho význam a aplikace přesahují vládní sektor, činí jej klíčovým standardem pro širokou škálu aplikací v oblasti informační bezpečnosti. S postupným vývojem a aktualizací tohoto standardu se očekává, že bude i nadále hrát klíčovou roli ve vývoji bezpečných kryptografických technologií.