Om FIPS-compliant te zijn, moet een organisatie zich houden aan de verschillende standaarden voor gegevensbeveiliging en computersysteem zoals uiteengezet in de Federal Information Processing Standards (FIPS).

Gemaakt door de Computer Security Division van het National Institute of Standards and Technology (NIST), heeft FIPS een standaard voor gegevensbeveiliging en computersystemen opgesteld waaraan organisaties zich moeten houden volgens de Federal Information Security Management Act van 2002 (FISMA). FISMA vereist dat federale overheidsinstanties van de Verenigde Staten het informatietechnologierisico tegen redelijke kosten tot een aanvaardbaar niveau terugbrengen.

In 2014 werd FISMA vervangen door de Federal Information Security Modernization Act van 2014 (FISMA2014), die enkele elementen trof van de oorspronkelijke FISMA en aangepast voor de veranderingen in cyberbeveiligingsbehoeften en het benodigde toezicht.

Om FIPS-compliant te worden, moeten de computersystemen van een Amerikaanse overheidsinstantie of aannemer voldoen aan de vereisten die zijn uiteengezet in de FIPS-publicaties met nummers 140, 180, 186, 197, 198, 199, 200, 201 en 202.

• FIPS 140 dekt cryptografische module- en testvereisten in zowel hardware als software.
• FIPS 180 specificeert hoe organisaties FIPS-compatibel kunnen zijn wanneer ze veilige hash-algoritmen gebruiken voor het berekenen van een beknopt bericht.
• FIPS 186 is een groep algoritmen voor het genereren van een digitale handtekening.
• FIPS 197 is een standaard die de Advanced Encryption Standard heeft ontwikkeld, een openbaar toegankelijke codering die is goedgekeurd door de National Security Agency (NSA) voor uiterst geheime informatie.
• FIPS 198 gaat over een mechanisme voor berichtverificatie dat gebruikmaakt van cryptografische hashfuncties.
• FIPS 199 standaardiseert hoe federale agentschappen informatie en informatiesystemen die het agentschap verzamelt of onderhoudt, categoriseren en beveiligen .
• FIPS 200 is een standaard die federale agentschappen helpt met risicobeheer via niveaus van informatiebeveiliging op basis van risiconiveaus.
• FIPS 201 specificeert de standaard voor algemene identificatie voor federale werknemers en aannemers.
• FIPS 202 geeft de specificaties voor het Secure Hash Algorithm-3 (SHA- 3) familie van vier cryptografische hash-functies en twee uitbreidbare outputfuncties.

FIPS 140: “Secur iteitsvereisten voor cryptografische modules ”

De FIPS 140-standaard wordt gebruikt bij het ontwerpen, implementeren en bedienen van cryptografische modules. Een cryptografische module is de set hardware, software en / of firmware die beveiligingsfuncties implementeert, zoals algoritmen en sleutelgeneratie. De standaard definieert ook de methoden voor het testen en valideren van de modules.

De beveiligingseisen hebben betrekking op cryptografische module-interfaces; software- en firmwarebeveiliging; werkomgeving, fysieke beveiliging; beheer van beveiligingsparameters; zelftests; beperking van aanvallen; en rollen, services en authenticatie. Federale afdelingen en agentschappen die cryptografische modules gebruiken of contracten hebben om de modules voor hen te laten werken, moeten de modules die ze gebruiken slagen voor tests voor deze vereisten.

FIPS 140 schetst vier beveiligingsniveaus. Naarmate de niveaus toenemen, bouwen ze niet noodzakelijkerwijs bovenop het vorige. Een hoger niveau doorloopt aanvullende tests voor het gebruik van het niveau. Wat van toepassing is op een module van niveau 2, is mogelijk niet van toepassing op een module van niveau 4. Modules worden gevalideerd op basis van hoe goed ze voldoen aan de behoeften van de scenario’s waarin ze zullen worden gebruikt.

Niveau 1 is het laagste beveiligingsniveau. Het behandelt de basisbeveiligingsfuncties in een cryptografische module. Level 1-systemen kunnen Integrated Circuit-kaarten gebruiken; softwarefuncties op een typische personal computer zijn echter acceptabel.

Niveau 2 verbetert de fysieke beveiligingsaspecten van cryptografische modules. Voorbeelden van vereiste fysieke beveiligingsmaatregelen zijn fraudebestendige coatings, zegels of krasvaste sloten. Op rollen gebaseerde authenticatie is inbegrepen in dit beveiligingsniveau en zorgt ervoor dat de operator die toegang heeft tot de module geautoriseerd is en beperkt is tot de toegewezen acties. Niveau 2 maakt ook softwarecryptografie mogelijk in een systeemomgeving met meerdere gebruikers. Dat is waar meerdere gebruikers toegang hebben tot een enkel systeem met één besturingssysteem (OS).

Niveau 3 vereist verbeterde fysieke beveiliging, mogelijk met producten die beschikbaar zijn uit de particuliere sector. Een ingebouwde multi-chip module moet worden opgenomen in een sterke behuizing die kritieke beveiligingsparameters op nul stelt wanneer deze wordt verwijderd. Op nul zetten is de praktijk waarbij machine-instellingen op een nulwaarde worden omgezet, waardoor informatie wordt gewijzigd of verwijderd. Dit beveiligingsniveau maakt ook gebruik van identiteitsverificatie.