Per essere conforme a FIPS, un’organizzazione deve aderire ai vari standard di sicurezza dei dati e di sistema informatico delineati nei Federal Information Processing Standards (FIPS).

Creato dalla divisione Computer Security del National Institute of Standards and Technology (NIST), FIPS ha stabilito uno standard di sicurezza dei dati e di sistema informatico a cui le organizzazioni devono aderire in base al Federal Information Security Management Act del 2002 (FISMA). La FISMA richiede che le agenzie del governo federale degli Stati Uniti riducano il rischio della tecnologia dell’informazione a un livello accettabile a un costo ragionevole.

Nel 2014, la FISMA è stata sostituita dal Federal Information Security Modernization Act del 2014 (FISMA2014), che ha colpito alcuni elementi dalla FISMA originale e modificato per i cambiamenti nelle esigenze di sicurezza informatica e la necessaria supervisione.

Per diventare conforme a FIPS, i sistemi informatici di un’agenzia governativa statunitense o di un appaltatore devono soddisfare i requisiti delineati nelle pubblicazioni FIPS numerate 140, 180, 186, 197, 198, 199, 200, 201 e 202.

• FIPS 140 copre i requisiti del modulo crittografico e dei test sia hardware che software.
• FIPS 180 specifica in che modo le organizzazioni possono essere conformi a FIPS quando utilizzano algoritmi hash sicuri per l’elaborazione di un messaggio condensato.
• FIPS 186 è un gruppo di algoritmi per la generazione di una firma digitale.
• FIPS 197 è uno standard che ha creato l’Advanced Encryption Standard, che è un codice accessibile pubblicamente approvato dalla National Security Agency (NSA) per le informazioni top secret.
• FIPS 198 riguarda un meccanismo per l’autenticazione dei messaggi che utilizza funzioni hash crittografiche.
• FIPS 199 standardizza il modo in cui le agenzie federali classificano e proteggono le informazioni e i sistemi informativi che l’agenzia raccoglie o gestisce .
• FIPS 200 è uno standard che aiuta le agenzie federali con la gestione del rischio attraverso livelli di sicurezza delle informazioni basati sui livelli di rischio.
• FIPS 201 specifica lo standard per l’identificazione comune per dipendenti e appaltatori federali.
• FIPS 202 fornisce le specifiche per Secure Hash Algorithm-3 (SHA- 3) famiglia di quattro funzioni hash crittografiche e due funzioni di output estendibili.

FIPS 140: “Secur ity Requirements for Cryptographic Modules “

Lo standard FIPS 140 viene utilizzato nella progettazione, implementazione e funzionamento dei moduli crittografici. Un modulo crittografico è l’insieme di hardware, software e / o firmware che implementa funzioni di sicurezza, come algoritmi e generazione di chiavi. Lo standard definisce anche i metodi per testare e convalidare i moduli.

I requisiti di sicurezza coprono le interfacce dei moduli crittografici; sicurezza del software e del firmware; ambiente operativo, sicurezza fisica; gestione dei parametri di sicurezza; autotest; mitigazione degli attacchi; e ruoli, servizi e autenticazione. I dipartimenti e le agenzie federali che gestiscono moduli crittografici o hanno contratti per far funzionare i moduli per loro devono avere i moduli che usano per superare i test per questi requisiti.

FIPS 140 delinea quattro livelli di sicurezza. Man mano che i livelli aumentano, non si stanno necessariamente costruendo sopra il precedente. Un livello superiore viene sottoposto a test aggiuntivi per il caso d’uso del livello. Ciò che è applicabile a un modulo di livello 2 potrebbe non applicarsi a un modulo di livello 4. I moduli vengono convalidati in base a quanto soddisfano le esigenze degli scenari in cui verranno utilizzati.

Il livello 1 è il livello di sicurezza più basso. Copre le funzionalità di sicurezza di base in un modulo crittografico. I sistemi di livello 1 possono utilizzare schede a circuito integrato; tuttavia, le funzioni software di un tipico personal computer sono accettabili.

Il livello 2 migliora gli aspetti di sicurezza fisica dei moduli crittografici. Esempi di misure di sicurezza fisica richieste sono rivestimenti, sigilli o serrature anti-manomissione. L’autenticazione basata sui ruoli è inclusa in questo livello di sicurezza e garantisce che l’operatore che accede al modulo sia autorizzato e limitato alle azioni assegnate. Il livello 2 consente anche la crittografia del software in un ambiente di sistema multiutente. È qui che più utenti accedono a un singolo sistema con un sistema operativo (OS).

Il livello 3 richiede una maggiore sicurezza fisica, potenzialmente con prodotti disponibili dal settore privato. Un modulo integrato multi-chip deve essere contenuto in una custodia robusta che azzeri i parametri di sicurezza critici quando viene rimosso. L’azzeramento è la pratica di trasformare le impostazioni della macchina su un valore zero, che altera o elimina le informazioni. Questo livello di sicurezza utilizza anche l’autenticazione basata sull’identità.