For å være FIPS-kompatibel må en organisasjon overholde de forskjellige datasikkerhets- og datasystemstandardene som er beskrevet i Federal Information Processing Standards (FIPS).

Opprettet av National Institute of Standards and Technology (NIST) Computer Security Division, etablerte FIPS en datasikkerhets- og datasystemstandard som organisasjoner må overholde i henhold til Federal Information Security Management Act of 2002 (FISMA). FISMA krever at amerikanske føderale myndigheter reduserer risikoen for informasjonsteknologi til et akseptabelt nivå til en rimelig pris.

I 2014 ble FISMA erstattet av Federal Information Security Modernization Act of 2014 (FISMA2014), som slo noen elementer fra den opprinnelige FISMA og endret den for endringene i cybersikkerhetsbehov og nødvendig tilsyn.

For å bli FIPS-kompatibel må et amerikansk regjeringsbyrå eller entreprenørens datasystemer oppfylle kravene i FIPS-publikasjonene nummerert 140, 180, 186, 197, 198, 199, 200, 201 og 202.

• FIPS 140 dekker krypteringsmodul og testkrav i både maskinvare og programvare.
• FIPS 180 spesifiserer hvordan organisasjoner kan være FIPS-kompatible når de bruker sikre hash-algoritmer for å beregne en kondensert melding.
• FIPS 186 er en gruppe algoritmer for å generere en digital signatur.
• FIPS 197 er en standard som opprettet Advanced Encryption Standard, som er en offentlig tilgjengelig kryptering som er godkjent av National Security Agency (NSA) for topphemmelig informasjon.
• FIPS 198 handler om en mekanisme for meldingsautentisering som bruker kryptografiske hashfunksjoner.
• FIPS 199 standardiserer hvordan føderale byråer kategoriserer og sikrer informasjons- og informasjonssystemer byrået samler inn eller vedlikeholder .
• FIPS 200 er en standard som hjelper føderale byråer med risikostyring gjennom nivåer av informasjonssikkerhet basert på risikonivåer.
• FIPS 201 spesifiserer standarden for felles identifikasjon for føderale ansatte og entreprenører.
• FIPS 202 gir spesifikasjonene for Secure Hash Algorithm-3 (SHA- 3) familie med fire kryptografiske hashfunksjoner og to funksjoner som kan utvides.

FIPS 140: «Secur it Krav til kryptografiske moduler ”

FIPS 140-standarden brukes til å designe, implementere og betjene kryptografiske moduler. En kryptografisk modul er settet med maskinvare, programvare og / eller fastvare som implementerer sikkerhetsfunksjoner, for eksempel algoritmer og generering av nøkler. Standarden definerer også metodene for testing og validering av modulene.

Sikkerhetskravene dekker kryptografiske modulgrensesnitt; programvare og fastvaresikkerhet; driftsmiljø, fysisk sikkerhet; sikkerhet parameter management; selvtester; avbøtende angrep; og roller, tjenester og autentisering. Føderale avdelinger og byråer som driver kryptografiske moduler eller har kontrakter for å få modulene operert for dem, må ha modulene de bruker bestått tester for disse kravene.

FIPS 140 skisserer fire sikkerhetsnivåer. Når nivåene øker, bygger de ikke nødvendigvis på toppen av det forrige. Et høyere nivå gjennomgår ytterligere testing for brukssaken til nivået. Hva som gjelder for en nivå 2-modul, gjelder kanskje ikke for en nivå 4-modul. Moduler er validert basert på hvor godt de oppfyller behovene til scenariene de skal brukes i.

Nivå 1 er det laveste sikkerhetsnivået. Den dekker de grunnleggende sikkerhetsfunksjonene i en kryptografisk modul. Nivå 1-systemer kan bruke integrerte kretskort; imidlertid er programvarefunksjoner i en typisk personlig datamaskin akseptable.

Nivå 2 forbedrer de fysiske sikkerhetsaspektene til kryptografiske moduler. Eksempler på nødvendige fysiske sikkerhetstiltak er belegg som ikke kan manipuleres, tetninger eller låsemotstandsdyktige låser. Rollebasert autentisering er inkludert i dette sikkerhetsnivået og sikrer at operatøren som har tilgang til modulen er autorisert og er begrenset til deres tildelte handlinger. Nivå 2 tillater også programvarekryptering i et flerbruker-systemmiljø. Det er der flere brukere får tilgang til et enkelt system med ett operativsystem (OS).

Nivå 3 krever forbedret fysisk sikkerhet, potensielt med produkter tilgjengelig fra privat sektor. En innebygd modul med flere brikker må være inneholdt i et sterkt kabinett som nullstiller kritiske sikkerhetsparametere når den fjernes. Nullstilling er praksisen med å sette maskininnstillinger til en nullverdi, som endrer eller sletter informasjon. Dette sikkerhetsnivået bruker også identitetsbasert autentisering.