Pour être conforme à la norme FIPS, une organisation doit adhérer aux diverses normes de sécurité des données et de système informatique décrites dans les normes FIPS (Federal Information Processing Standards).

Créée par la division de la sécurité informatique du National Institute of Standards and Technology (NIST), la FIPS a établi une norme de sécurité des données et de système informatique que les organisations doivent respecter conformément à la loi fédérale de 2002 sur la gestion de la sécurité de l’information (FISMA). La FISMA exige que les agences du gouvernement fédéral des États-Unis réduisent les risques liés aux technologies de l’information à un niveau acceptable à un coût raisonnable.

En 2014, la FISMA a été remplacée par la Federal Information Security Modernization Act de 2014 (FISMA2014), qui a frappé certains éléments à partir de la FISMA d’origine et l’a modifiée pour tenir compte des changements dans les besoins de cybersécurité et de la surveillance nécessaire.

Pour devenir conforme à la norme FIPS, les systèmes informatiques d’une agence gouvernementale américaine ou d’un entrepreneur doivent répondre aux exigences énoncées dans les publications FIPS numérotées 140, 180, 186, 197, 198, 199, 200, 201 et 202.

• FIPS 140 couvre les modules cryptographiques et les exigences de test tant au niveau matériel que logiciel.
• FIPS 180 spécifie comment les organisations peuvent être conformes FIPS lors de l’utilisation d’algorithmes de hachage sécurisé pour le calcul d’un message condensé.
• FIPS 186 est un groupe d’algorithmes pour générer une signature numérique.
• FIPS 197 est une norme qui a créé la norme de chiffrement avancé, qui est un chiffrement accessible au public approuvé par la National Security Agency (NSA) pour les informations top secret.
• FIPS 198 concerne un mécanisme d’authentification des messages qui utilise des fonctions de hachage cryptographique.
• FIPS 199 standardise la manière dont les agences fédérales catégorisent et sécurisent les informations et les systèmes d’information que l’agence collecte ou maintient .
• FIPS 200 est une norme qui aide les agences fédérales à gérer les risques grâce à des niveaux de sécurité de l’information basés sur les niveaux de risque.
• FIPS 201 spécifie la norme d’identification commune pour les employés et sous-traitants fédéraux.
• FIPS 202 donne les spécifications de l’algorithme de hachage sécurisé-3 (SHA- 3) famille de quatre fonctions de hachage cryptographique et de deux fonctions de sortie extensible.

FIPS 140: « Secur ity Requirements for Cryptographic Modules »

La norme FIPS 140 est utilisée dans la conception, l’implémentation et l’exploitation des modules cryptographiques. Un module cryptographique est l’ensemble du matériel, des logiciels et / ou des micrologiciels qui implémentent des fonctions de sécurité, telles que des algorithmes et la génération de clés. La norme définit également les méthodes de test et de validation des modules.

Les exigences de sécurité couvrent les interfaces des modules cryptographiques; sécurité des logiciels et micrologiciels; environnement d’exploitation, sécurité physique; gestion des paramètres de sécurité; auto-tests; atténuation des attaques; et les rôles, les services et l’authentification. Les départements et agences fédéraux qui exploitent des modules cryptographiques ou ont des contrats pour faire fonctionner les modules pour eux doivent avoir les modules qu’ils utilisent passer des tests pour ces exigences.

FIPS 140 décrit quatre niveaux de sécurité. Au fur et à mesure que les niveaux augmentent, ils ne s’ajoutent pas nécessairement aux précédents. Un niveau supérieur passe par des tests supplémentaires pour le cas d’utilisation du niveau. Ce qui s’applique à un module de niveau 2 peut ne pas s’appliquer à un module de niveau 4. Les modules sont validés en fonction de leur capacité à répondre aux besoins des scénarios dans lesquels ils seront utilisés.

Le niveau 1 est le niveau de sécurité le plus bas. Il couvre les fonctionnalités de sécurité de base dans un module cryptographique. Les systèmes de niveau 1 peuvent utiliser des cartes à circuits intégrés; cependant, les fonctions logicielles d’un ordinateur personnel typique sont acceptables.

Le niveau 2 améliore les aspects de sécurité physique des modules cryptographiques. Des exemples de mesures de sécurité physique requises sont les revêtements inviolables, les scellés ou les serrures anti-crochetage. L’authentification basée sur les rôles est incluse dans ce niveau de sécurité et garantit que l’opérateur accédant au module est autorisé et limité aux actions qui lui sont attribuées. Le niveau 2 permet également la cryptographie logicielle dans un environnement système multi-utilisateurs. C’est là que plusieurs utilisateurs accèdent à un seul système avec un seul système d’exploitation (OS).

Le niveau 3 nécessite une sécurité physique renforcée, potentiellement avec des produits disponibles dans le secteur privé. Un module intégré à puces multiples doit être contenu dans un boîtier solide qui remet à zéro les paramètres de sécurité critiques lorsqu’il est retiré. La mise à zéro est la pratique consistant à ramener les paramètres de la machine à une valeur nulle, ce qui modifie ou supprime les informations. Ce niveau de sécurité utilise également l’authentification basée sur l’identité.