A FIPS-kompatibilitás érdekében a szervezetnek be kell tartania a szövetségi információfeldolgozási szabványokban (FIPS) meghatározott különféle adatbiztonsági és számítógépes rendszer-szabványokat.

A Nemzeti Szabványügyi és Technológiai Intézet (NIST) Számítógépes Biztonsági Osztálya által létrehozott FIPS létrehozott egy adatbiztonsági és számítógépes rendszerszabványt, amelyet a szervezeteknek be kell tartaniuk a 2002. évi szövetségi információbiztonsági irányítási törvény (FISMA) szerint. A FISMA előírja, hogy az Egyesült Államok szövetségi kormányzati szervei elfogadható szintre csökkentsék elfogadható szintre az informatikai kockázatokat ésszerű költségekkel.

2014-ben a FISMA-t felváltotta a 2014. évi szövetségi információbiztonsági modernizációs törvény (FISMA2014), amely néhány elemet felvetett. az eredeti FISMA-tól, és módosította a kiberbiztonsági igények és a szükséges felügyelet változásai miatt.

A FIPS-kompatibilitás érdekében az Egyesült Államok kormányzati ügynökségének vagy vállalkozójának számítógépes rendszereinek meg kell felelniük a FIPS, 140, 180, 186., 197., 198., 199., 200., 201. és 202.

• A FIPS 140 lefedi a titkosítási modult és a tesztelési követelményeket mind a hardverben, mind a szoftverben.
• A FIPS 180 meghatározza, hogy a szervezetek miként lehetnek FIPS-kompatibilisek, ha biztonságos hash algoritmusokat használnak egy sűrített üzenet kiszámításához.
• A FIPS 186 egy algoritmuscsoport a digitális aláírás előállításához.
• A FIPS 197 egy olyan szabvány, amely létrehozta az Advanced Encryption Standard szabványt, amely egy nyilvánosan elérhető titkosítás, amelyet a Nemzetbiztonsági Ügynökség (NSA) hagyott jóvá a szigorúan titkos információk számára.
• A FIPS 198 az üzenet hitelesítésének mechanizmusáról szól, amely kriptográfiai kivonatolási funkciókat használ fel.
• A FIPS 199 szabványosítja, hogy a szövetségi ügynökségek hogyan kategorizálják és védik az ügynökség által gyűjtött vagy fenntartott információkat és információs rendszereket. .
• A FIPS 200 olyan szabvány, amely a szövetségi ügynökségek számára a kockázatkezelésben segíti a kockázati szinteken alapuló információbiztonsági szinteket.
• A FIPS 201 meghatározza a szövetségi alkalmazottak és vállalkozók közös azonosításának szabványát.
• A FIPS 202 a Secure Hash Algorithm-3 (SHA- 3) négy kriptográfiai kivonatoló funkció és két kiterjeszthető kimeneti funkció.

FIPS 140: “Secur A kriptográfiai modulok követelményei ”

A FIPS 140 szabványt a kriptográfiai modulok tervezésében, megvalósításában és üzemeltetésében használják. A kriptográfiai modul az a hardver-, szoftver- és / vagy firmware-készlet, amely biztonsági funkciókat valósít meg, például algoritmusokat és kulcsgenerálást. A szabvány meghatározza a modulok tesztelésének és validálásának módszereit is.

A biztonsági követelmények a kriptográfiai modul interfészekre vonatkoznak; szoftver és firmware biztonság; működési környezet, fizikai biztonság; biztonsági paraméterek kezelése; öntesztek; a támadások enyhítése; és szerepek, szolgáltatások és hitelesítés. A kriptográfiai modulokat működtető szövetségi részlegeknek és ügynökségeknek, amelyek szerződéssel rendelkeznek a modulok üzemeltetésére, rendelkezniük kell az általuk használt modulokkal, amelyek megfelelnek a követelményeknek.

A FIPS 140 a biztonság négy szintjét vázolja fel. A szintek növekedésével nem feltétlenül építenek az előző szintre. Egy magasabb szint további tesztelésen megy keresztül a szint használati esetére. Ami alkalmazható a 2. szintű modulra, lehet, hogy nem a 4. szintű modulra. A modulokat az alapján validálják, hogy mennyire felelnek meg azoknak a szcenárióknak az igényeiről, amelyekben használni fogják őket.

Az 1. szint a legalacsonyabb szintű biztonság. Ez lefedi a kriptográfiai modul alapvető biztonsági jellemzőit. Az 1. szintű rendszerek integrált áramköri kártyákat használhatnak; ugyanakkor a tipikus személyi számítógép szoftverfunkciói elfogadhatók.

A 2. szint javítja a kriptográfiai modulok fizikai biztonsági szempontjait. A szükséges fizikai biztonsági intézkedésekre példa a manipulációra utaló bevonatok, tömítések vagy szedésálló zárak. A szerepalapú hitelesítés szerepel ebben a biztonsági szinten, és biztosítja, hogy a modult elérő operátor jogosult legyen, és csak a hozzárendelt műveletekre korlátozódjon. A 2. szint lehetővé teszi a szoftveres titkosítást többfelhasználós rendszerben is. Ebben az esetben több felhasználó fér hozzá egyetlen rendszerhez egyetlen operációs rendszerrel (OS).

A 3. szint fokozott fizikai biztonságot igényel, potenciálisan a magánszektorból elérhető termékekkel. A több chipes beágyazott modult erős házban kell elhelyezni, amely nullázza a kritikus biztonsági paramétereket, amikor eltávolítják. A nullázás az a gyakorlat, amikor a gép beállításait nullára változtatja, ami megváltoztatja vagy törli az információkat. Ez a biztonsági szint identitásalapú hitelesítést is használ.