Para ser compatível com FIPS, uma organização deve aderir aos vários padrões de segurança de dados e sistema de computador descritos nos Federal Information Processing Standards (FIPS).

Criado pela Divisão de Segurança do Computador do Instituto Nacional de Padrões e Tecnologia (NIST), o FIPS estabeleceu um padrão de segurança de dados e sistema de computador que as organizações devem aderir de acordo com a Lei Federal de Gerenciamento de Segurança da Informação de 2002 (FISMA). A FISMA exige que as agências do governo federal dos Estados Unidos reduzam o risco de tecnologia da informação a um nível aceitável a um custo razoável.

Em 2014, a FISMA foi substituída pela Lei de Modernização da Segurança da Informação Federal de 2014 (FISMA2014), que atingiu alguns elementos do FISMA original e emendado para as mudanças nas necessidades de segurança cibernética e supervisão necessária.

Para se tornar compatível com FIPS, uma agência governamental dos EUA ou sistemas de computador de um contratado devem atender aos requisitos descritos nas publicações FIPS numeradas 140, 180, 186, 197, 198, 199, 200, 201 e 202.

• FIPS 140 cobre o módulo criptográfico e os requisitos de teste em hardware e software.
• FIPS 180 especifica como as organizações podem ser compatíveis com FIPS ao usar algoritmos de hash seguros para calcular uma mensagem condensada.
• FIPS 186 é um grupo de algoritmos para gerar uma assinatura digital.
• FIPS 197 é um padrão que criou o Advanced Encryption Standard, que é uma cifra acessível ao público aprovada pela National Security Agency (NSA) para informações ultrassecretas.
• FIPS 198 é sobre um mecanismo para autenticação de mensagem que utiliza funções criptográficas de hash.
• FIPS 199 padroniza como agências federais categorizam e protegem informações e sistemas de informação que a agência coleta ou mantém .
• FIPS 200 é um padrão que ajuda as agências federais na gestão de risco por meio de níveis de segurança da informação baseados em níveis de risco.
• FIPS 201 especifica o padrão para identificação comum para funcionários federais e contratados.
• FIPS 202 fornece as especificações para o Secure Hash Algorithm-3 (SHA- 3) família de quatro funções criptográficas de hash e duas funções de saída extensível.

FIPS 140: “Secur Requisitos para módulos criptográficos ”

O padrão FIPS 140 é usado no projeto, implementação e operação de módulos criptográficos. Um módulo criptográfico é o conjunto de hardware, software e / ou firmware que implementa funções de segurança, como algoritmos e geração de chaves. A norma também define os métodos de teste e validação dos módulos.

Os requisitos de segurança cobrem as interfaces dos módulos criptográficos; segurança de software e firmware; ambiente operacional, segurança física; gerenciamento de parâmetros de segurança; autotestes; mitigação de ataques; e funções, serviços e autenticação. Departamentos e agências federais que operam módulos criptográficos ou têm contratos para que os módulos sejam operados por eles devem ter os módulos que usam para passar nos testes para esses requisitos.

FIPS 140 descreve quatro níveis de segurança. À medida que os níveis aumentam, eles não são necessariamente construídos em cima do anterior. Um nível mais alto passa por testes adicionais para o caso de uso do nível. O que é aplicável a um módulo de nível 2 pode não se aplicar a um módulo de nível 4. Os módulos são validados com base em quão bem atendem às necessidades dos cenários nos quais serão usados.

O nível 1 é o nível mais baixo de segurança. Ele cobre os recursos básicos de segurança em um módulo criptográfico. Os sistemas de nível 1 podem usar placas de circuito integrado; entretanto, as funções do software em um computador pessoal típico são aceitáveis.

O nível 2 melhora os aspectos de segurança física dos módulos criptográficos. Exemplos de medidas de segurança física exigidas são revestimentos à prova de violação, selos ou fechaduras resistentes a pick. A autenticação baseada em função está incluída neste nível de segurança e garante que o operador que acessa o módulo seja autorizado e limitado às suas ações atribuídas. O nível 2 também permite a criptografia de software em um ambiente de sistema multiusuário. É onde vários usuários acessam um único sistema com um sistema operacional (SO).

O nível 3 requer segurança física aprimorada, potencialmente com produtos disponíveis no setor privado. Um módulo integrado de vários chips deve estar contido em um invólucro forte que zera os parâmetros de segurança críticos quando é removido. Zerar é a prática de girar as configurações da máquina para um valor zero, o que altera ou exclui informações. Este nível de segurança também usa autenticação baseada em identidade.