For at være FIPS-kompatibel skal en organisation overholde de forskellige datasikkerheds- og computersystemstandarder beskrevet i Federal Information Processing Standards (FIPS).

Oprettet af National Institute of Standards and Technology (NISTs) Computersikkerhedsafdeling etablerede FIPS en datasikkerheds- og computersystemstandard, som organisationer skal overholde i henhold til Federal Information Security Management Act of 2002 (FISMA). FISMA kræver, at amerikanske føderale regeringsorganer reducerer informationsteknologirisikoen til et acceptabelt niveau til en rimelig pris.

I 2014 blev FISMA afløst af Federal Information Security Modernization Act of 2014 (FISMA2014), som ramte nogle elementer fra den oprindelige FISMA og ændrede den for ændringer i cybersikkerhedsbehov og behov for tilsyn.

For at blive FIPS-kompatibel skal et amerikansk regeringsagentur eller entreprenørs computersystemer opfylde kravene i FIPS-publikationer nummereret 140, 180, 186, 197, 198, 199, 200, 201 og 202.

• FIPS 140 dækker krypteringsmodul og testkrav i både hardware og software.
• FIPS 180 angiver, hvordan organisationer kan være FIPS-kompatible, når de bruger sikre hash-algoritmer til beregning af en kondenseret besked.
• FIPS 186 er en gruppe algoritmer til generering af en digital signatur.
• FIPS 197 er en standard, der oprettede Advanced Encryption Standard, som er en offentligt tilgængelig chiffer, der er godkendt af National Security Agency (NSA) til tophemmelig information.
• FIPS 198 handler om en mekanisme til meddelelsesgodkendelse, der bruger kryptografiske hashfunktioner.
• FIPS 199 standardiserer, hvordan føderale agenturer kategoriserer og beskytter informations- og informationssystemer, som agenturet indsamler eller vedligeholder .
• FIPS 200 er en standard, der hjælper føderale agenturer med risikostyring gennem niveauer af informationssikkerhed baseret på risikoniveauer.
• FIPS 201 specificerer standarden for fælles identifikation for føderale medarbejdere og entreprenører.
• FIPS 202 giver specifikationerne for Secure Hash Algorithm-3 (SHA- 3) familie på fire kryptografiske hashfunktioner og to funktioner, der kan udvides.

FIPS 140: “Secur it Krav til kryptografiske moduler ”

FIPS 140-standarden bruges til at designe, implementere og betjene kryptografiske moduler. Et kryptografisk modul er det sæt hardware, software og / eller firmware, der implementerer sikkerhedsfunktioner, såsom algoritmer og generering af nøgler. Standarden definerer også metoderne til test og validering af modulerne.

Sikkerhedskravene dækker kryptografiske modulgrænseflader; software og firmwaresikkerhed; driftsmiljø, fysisk sikkerhed; styring af sikkerhedsparametre; selvtest; afbødning af angreb og roller, tjenester og godkendelse. Føderale afdelinger og agenturer, der driver kryptografiske moduler eller har kontrakter om, at modulerne skal betjenes for dem, skal have de moduler, de bruger, bestå test for disse krav.

FIPS 140 skitserer fire sikkerhedsniveauer. Da niveauerne stiger, bygger de ikke nødvendigvis oven på det foregående. Et højere niveau gennemgår yderligere test for niveauets brugssag. Hvad der gælder for et niveau 2-modul, gælder muligvis ikke for et niveau 4-modul. Moduler valideres ud fra, hvor godt de opfylder behovene i de scenarier, de vil blive brugt i.

Niveau 1 er det laveste sikkerhedsniveau. Det dækker de grundlæggende sikkerhedsfunktioner i et kryptografisk modul. Niveau 1-systemer kan bruge integrerede kredsløbskort; dog er softwarefunktioner i en typisk personlig computer acceptabel.

Niveau 2 forbedrer de fysiske sikkerhedsaspekter ved kryptografiske moduler. Eksempler på krævede fysiske sikkerhedsforanstaltninger er manipulationssikre belægninger, tætninger eller låse, der kan modstå pluk. Rollebaseret godkendelse er inkluderet i dette sikkerhedsniveau og sikrer, at operatøren, der får adgang til modulet, er autoriseret og er begrænset til deres tildelte handlinger. Niveau 2 giver også mulighed for softwarekryptografi i et system med flere brugere. Det er her flere brugere får adgang til et enkelt system med et operativsystem (OS).

Niveau 3 kræver forbedret fysisk sikkerhed, potentielt med produkter tilgængelige fra den private sektor. Et multi-chip integreret modul skal være indeholdt i et stærkt kabinet, der nulstiller kritiske sikkerhedsparametre, når det fjernes. Nulstilling er praksis at dreje maskinindstillinger til en nulværdi, som ændrer eller sletter information. Dette sikkerhedsniveau bruger også identitetsbaseret godkendelse.