Um FIPS-konform zu sein, muss eine Organisation die verschiedenen Standards für Datensicherheit und Computersysteme einhalten, die in den Federal Information Processing Standards (FIPS) festgelegt sind.

FIPS wurde von der Abteilung für Computersicherheit des Nationalen Instituts für Standards und Technologie (NIST) gegründet und hat einen Standard für Datensicherheit und Computersysteme festgelegt, den Unternehmen gemäß dem Federal Information Security Management Act von 2002 (FISMA) einhalten müssen. Die FISMA verlangt von den US-Bundesbehörden, dass das Risiko der Informationstechnologie zu angemessenen Kosten auf ein akzeptables Maß reduziert wird.

2014 wurde die FISMA durch das Federal Information Security Modernization Act von 2014 (FISMA2014) abgelöst, das einige Elemente traf Um die FIPS-Konformität zu gewährleisten, müssen die Computersysteme einer US-Regierungsbehörde oder eines Auftragnehmers die Anforderungen erfüllen, die in den FIPS-Veröffentlichungen mit den Nummern 140, 180, 1 und 2 aufgeführt sind. 186, 197, 198, 199, 200, 201 und 202.

• FIPS 140 behandelt kryptografische Modul- und Testanforderungen sowohl in Hardware als auch in Software.
• FIPS 180 gibt an, wie Organisationen FIPS-konform sein können, wenn sichere Hash-Algorithmen zum Berechnen einer komprimierten Nachricht verwendet werden.
• FIPS 186 ist eine Gruppe von Algorithmen zum Erzeugen einer digitalen Signatur.
• FIPS 197 ist ein Standard, der den Advanced Encryption Standard erstellt hat, eine öffentlich zugängliche Verschlüsselung, die von der National Security Agency (NSA) für streng geheime Informationen genehmigt wurde.
• In FIPS 198 geht es um einen Mechanismus zur Nachrichtenauthentifizierung, der kryptografische Hash-Funktionen verwendet.
• FIPS 199 standardisiert, wie Bundesbehörden Informationen und Informationssysteme, die die Agentur sammelt oder verwaltet, kategorisieren und sichern .
• FIPS 200 ist ein Standard, der Bundesbehörden beim Risikomanagement durch Informationssicherheitsstufen unterstützt, die auf Risikostufen basieren.
• FIPS 201 legt den Standard für die gemeinsame Identifizierung von Bundesangestellten und Auftragnehmern fest.
• FIPS 202 gibt die Spezifikationen für den Secure Hash-Algorithmus-3 (SHA-) an. 3) Familie von vier kryptografischen Hash-Funktionen und zwei Funktionen mit erweiterbarer Ausgabe.

FIPS 140: „Secur Anforderungen an kryptografische Module “

Der FIPS 140-Standard wird beim Entwerfen, Implementieren und Betreiben von kryptografischen Modulen verwendet. Ein kryptografisches Modul ist ein Satz von Hardware, Software und / oder Firmware, die Sicherheitsfunktionen wie Algorithmen und Schlüsselgenerierung implementiert. Der Standard definiert auch die Methoden zum Testen und Validieren der Module.

Die Sicherheitsanforderungen gelten für kryptografische Modulschnittstellen. Software- und Firmware-Sicherheit; Betriebsumgebung, physische Sicherheit; Verwaltung von Sicherheitsparametern; Selbsttests; Abschwächung von Angriffen; und Rollen, Dienste und Authentifizierung. Bundesabteilungen und -behörden, die kryptografische Module betreiben oder Verträge haben, um die Module für sie betreiben zu lassen, müssen die Module, die sie verwenden, für diese Anforderungen bestehen.

FIPS 140 beschreibt vier Sicherheitsstufen. Wenn die Level steigen, bauen sie nicht unbedingt auf den vorherigen auf. Eine höhere Ebene durchläuft zusätzliche Tests für den Anwendungsfall der Ebene. Was für ein Level 2-Modul gilt, gilt möglicherweise nicht für ein Level 4-Modul. Module werden basierend darauf validiert, wie gut sie die Anforderungen der Szenarien erfüllen, in denen sie verwendet werden.

Stufe 1 ist die niedrigste Sicherheitsstufe. Es behandelt die grundlegenden Sicherheitsfunktionen eines kryptografischen Moduls. Level 1-Systeme können Karten mit integrierten Schaltkreisen verwenden. Softwarefunktionen in einem typischen Personal Computer sind jedoch akzeptabel.

Stufe 2 verbessert die physischen Sicherheitsaspekte von kryptografischen Modulen. Beispiele für erforderliche physische Sicherheitsmaßnahmen sind manipulationssichere Beschichtungen, Dichtungen oder pickfeste Schlösser. Die rollenbasierte Authentifizierung ist in dieser Sicherheitsstufe enthalten und stellt sicher, dass der Bediener, der auf das Modul zugreift, autorisiert ist und auf die ihm zugewiesenen Aktionen beschränkt ist. Stufe 2 ermöglicht auch die Softwarekryptografie in einer Mehrbenutzersystemumgebung. Hier greifen mehrere Benutzer mit einem Betriebssystem auf ein einziges System zu.

Stufe 3 erfordert eine verbesserte physische Sicherheit, möglicherweise mit Produkten, die aus dem privaten Sektor erhältlich sind. Ein eingebettetes Multi-Chip-Modul muss in einem starken Gehäuse enthalten sein, das kritische Sicherheitsparameter auf Null setzt, wenn es entfernt wird. Beim Nullstellen werden die Maschineneinstellungen auf einen Nullwert gesetzt, wodurch Informationen geändert oder gelöscht werden. Diese Sicherheitsstufe verwendet auch die identitätsbasierte Authentifizierung.