FIPS를 준수하려면 조직은 FIPS (Federal Information Processing Standards)에 요약 된 다양한 데이터 보안 및 컴퓨터 시스템 표준을 준수해야합니다.

NIST (National Institute of Standards and Technology)의 컴퓨터 보안 부서에서 만든 FIPS는 조직이 2002 년 연방 정보 보안 관리법 (FISMA)에 따라 준수해야하는 데이터 보안 및 컴퓨터 시스템 표준을 제정했습니다. FISMA는 미국 연방 정부 기관이 합리적인 비용으로 정보 기술 위험을 허용 가능한 수준으로 줄 이도록 요구합니다.

2014 년 FISMA는 일부 요소에 영향을 미치는 2014 년 연방 정보 보안 현대 화법 (FISMA2014)으로 대체되었습니다. 원본 FISMA에서 수정하고 사이버 보안 요구 사항의 변화에 맞게 수정했으며 감독이 필요했습니다.

FIPS를 준수하려면 미국 정부 기관 또는 계약 업체의 컴퓨터 시스템이 FIPS 간행물 140, 180, 186, 197, 198, 199, 200, 201 및 202.

• FIPS 140은 하드웨어와 소프트웨어 모두에서 암호화 모듈 및 테스트 요구 사항을 다룹니다.

  li>

• FIPS 180은 압축 된 메시지를 계산하기 위해 보안 해시 알고리즘을 사용할 때 조직이 FIPS를 준수 할 수있는 방법을 지정합니다.
• FIPS 186은 디지털 서명을 생성하기위한 알고리즘 그룹입니다.
• FIPS 197은 NSA (National Security Agency)에서 일급 비밀 정보에 대해 승인 한 공개적으로 액세스 할 수있는 암호 인 고급 암호화 표준을 만든 표준입니다.
• FIPS 198은 암호화 해시 기능을 활용하는 메시지 인증 메커니즘에 관한 것입니다.
• FIPS 199는 연방 기관이 기관이 수집하거나 유지하는 정보 및 정보 시스템을 분류하고 보호하는 방법을 표준화합니다. .
• FIPS 200은 위험 수준에 따라 정보 보안 수준을 통해 연방 기관의 위험 관리를 지원하는 표준입니다.
• FIPS 201은 연방 직원 및 계약 업체를위한 공통 식별 표준을 지정합니다.
• FIPS 202는 보안 해시 알고리즘 -3 (SHA- 3) 4 개의 암호화 해시 함수와 2 개의 확장 가능한 출력 함수로 구성된 제품군

FIPS 140 : “보안 암호화 모듈에 대한 ity 요구 사항”

FIPS 140 표준은 암호화 모듈을 설계, 구현 및 운영하는 데 사용됩니다. 암호화 모듈은 알고리즘 및 키 생성과 같은 보안 기능을 구현하는 하드웨어, 소프트웨어 및 / 또는 펌웨어의 집합입니다. 표준은 또한 모듈의 테스트 및 유효성 검사 방법을 정의합니다.

보안 요구 사항은 암호화 모듈 인터페이스를 포함합니다. 소프트웨어 및 펌웨어 보안; 운영 환경, 물리적 보안; 보안 매개 변수 관리; 자가 테스트; 공격 완화; 및 역할, 서비스 및 인증. 암호화 모듈을 운영하거나 모듈을 운영하는 계약을 맺은 연방 부서 및 기관은 이러한 요구 사항에 대해 테스트를 통과하는 데 사용하는 모듈을 보유해야합니다.

FIPS 140은 네 가지 보안 수준을 설명합니다. 레벨이 증가함에 따라 반드시 이전 레벨 위에 구축되는 것은 아닙니다. 더 높은 레벨은 레벨의 사용 사례에 대한 추가 테스트를 거칩니다. 레벨 2 모듈에 적용되는 사항은 레벨 4 모듈에 적용되지 않을 수 있습니다. 모듈은 사용될 시나리오의 요구 사항을 얼마나 잘 충족하는지에 따라 검증됩니다.

수준 1은 가장 낮은 수준의 보안입니다. 암호화 모듈의 기본 보안 기능을 다룹니다. 레벨 1 시스템은 집적 회로 카드를 사용할 수 있습니다. 그러나 일반적인 개인용 컴퓨터의 소프트웨어 기능은 허용됩니다.

레벨 2는 암호화 모듈의 물리적 보안 측면을 향상시킵니다. 필요한 물리적 보안 조치의 예로는 변조 방지 코팅, 씰 또는 픽 방지 잠금 장치가 있습니다. 역할 기반 인증은이 보안 수준에 포함되며 모듈에 액세스하는 운영자에게 권한이 부여되고 할당 된 작업으로 제한되도록합니다. 레벨 2는 또한 다중 사용자 시스템 환경에서 소프트웨어 암호화를 허용합니다. 여기에서 여러 사용자가 하나의 운영 체제 (OS)로 단일 시스템에 액세스합니다.

레벨 3은 잠재적으로 민간 부문에서 사용할 수있는 제품과 함께 향상된 물리적 보안을 필요로합니다. 멀티 칩 임베디드 모듈은 제거시 중요한 보안 매개 변수를 0으로 만드는 강력한 인클로저에 포함되어야합니다. 제로화는 정보를 변경하거나 삭제하는 기계 설정을 제로 값으로 바꾸는 방법입니다. 이 보안 수준은 ID 기반 인증도 사용합니다.