För att vara FIPS-kompatibel måste en organisation följa de olika datasäkerhets- och datorsystemstandarderna som anges i Federal Information Processing Standards (FIPS).

Skapat av National Institute of Standards and Technology (NIST): s datorsäkerhetsavdelning, FIPS skapade en datasäkerhets- och datorsystemstandard som organisationer måste följa enligt Federal Information Security Management Act från 2002 (FISMA). FISMA kräver att amerikanska federala myndigheter minskar risken för informationsteknik till en acceptabel nivå till en rimlig kostnad.

2014 ersattes FISMA av Federal Information Security Modernization Act of 2014 (FISMA2014), som slog vissa delar från den ursprungliga FISMA och ändrade den för förändringarna i cybersäkerhetsbehov och nödvändig tillsyn.

För att bli FIPS-kompatibel måste en amerikansk myndighet eller entreprenörs datorsystem uppfylla kraven i FIPS-publikationerna 140, 180, 186, 197, 198, 199, 200, 201 och 202.

• FIPS 140 täcker kryptografisk modul och testkrav i både hårdvara och programvara.
• FIPS 180 anger hur organisationer kan vara FIPS-kompatibla när de använder säkra hashalgoritmer för beräkning av ett kondenserat meddelande.
• FIPS 186 är en grupp algoritmer för att skapa en digital signatur.
• FIPS 197 är en standard som skapade Advanced Encryption Standard, som är en allmänt tillgänglig chiffer godkänd av National Security Agency (NSA) för topphemlig information.
• FIPS 198 handlar om en mekanism för autentisering av meddelanden som använder kryptografiska hashfunktioner.
• FIPS 199 standardiserar hur federala organ kategoriserar och säkrar informations- och informationssystem byrån samlar in eller underhåller .
• FIPS 200 är en standard som hjälper federala myndigheter med riskhantering genom nivåer av informationssäkerhet baserat på risknivåer.
• FIPS 201 anger standarden för gemensam identifiering för federala anställda och entreprenörer.
• FIPS 202 ger specifikationerna för Secure Hash Algorithm-3 (SHA- 3) familj med fyra kryptografiska hashfunktioner och två utdragbara funktioner.

FIPS 140: ”Secur ity Requirements for Cryptographic Modules ”

FIPS 140-standarden används vid utformning, implementering och drift av kryptografiska moduler. En kryptografisk modul är uppsättningen hårdvara, programvara och / eller firmware som implementerar säkerhetsfunktioner, såsom algoritmer och nyckelgenerering. Standarden definierar också metoderna för testning och validering av modulerna.

Säkerhetskraven täcker kryptografiska modulgränssnitt; mjukvaru- och firmware-säkerhet; driftsmiljö, fysisk säkerhet; hantering av säkerhetsparametrar; självtester; lindring av attacker; och roller, tjänster och autentisering. Federala avdelningar och byråer som driver kryptografiska moduler eller har kontrakt för att få modulerna drivna för dem måste ha de moduler de använder för att klara dessa krav.

FIPS 140 beskriver fyra säkerhetsnivåer. När nivåerna ökar bygger de inte nödvändigtvis på toppen av det föregående. En högre nivå går igenom ytterligare tester för nivåens användningsfall. Vad som är tillämpligt på en nivå 2-modul kanske inte gäller för en nivå 4-modul. Moduler valideras utifrån hur väl de tillgodoser behoven i de scenarier de ska användas i.

Nivå 1 är den lägsta säkerhetsnivån. Den täcker de grundläggande säkerhetsfunktionerna i en kryptografisk modul. Nivå 1-system kan använda integrerade kretskort; dock är mjukvarufunktioner i en typisk persondator acceptabla.

Nivå 2 förbättrar de fysiska säkerhetsaspekterna hos kryptografiska moduler. Exempel på nödvändiga fysiska säkerhetsåtgärder är manipulationssäkra beläggningar, tätningar eller plåtsäkra lås. Rollbaserad autentisering ingår i denna säkerhetsnivå och säkerställer att operatören som har åtkomst till modulen är auktoriserad och är begränsad till deras tilldelade åtgärder. Nivå 2 möjliggör också mjukvarukryptering i en systemanvändning för flera användare. Det är där flera användare får åtkomst till ett enda system med ett operativsystem.

Nivå 3 kräver förbättrad fysisk säkerhet, eventuellt med produkter tillgängliga från den privata sektorn. En multi-chip inbäddad modul måste finnas i en stark kapsling som nollställer kritiska säkerhetsparametrar när den tas bort. Nollställning är praxis att vrida maskininställningar till ett nollvärde, vilket ändrar eller tar bort information. Denna säkerhetsnivå använder också identitetsbaserad autentisering.