FIPS-140-3-Zertifizierung

Thales kann Ihnen dabei helfen, Ihre Anforderungen an die Datensicherheit mit gemäß FIPS 140-3 zertifizierten Lösungen zu erfüllen.

Was ist FIPS 140?

In der kryptographischen Sicherheit ist die Einhaltung von Standards von größter Bedeutung, um den Schutz vertraulicher Daten zu gewährleisten und Compliance- und gesetzliche Anforderungen zu erfüllen. FIPS 140 (Federal Information Processing Standard) ist ein Satz von Sicherheitsanforderungen für kryptographische Module, der vom National Institute of Standards and Technology (NIST) definiert und von den Vereinigten Staaten und Kanada als Teil des Cryptographic Module Validation Program (CMVP)verwaltet wird. Für den Schutz kryptographischer Schlüssel und die Durchführung kryptographischer Vorgänge sind für viele staatliche Anwendungen gemäß FIPS 140 validierte Module obligatorisch.

FIPS 140-2, der Vorgänger von FIPS 140-3, wurde in den letzten zwei Jahrzehnten allgemein als Sicherheitsmaßstab und bewährte Methode für Unternehmen übernommen. Darüber hinaus ist es auch in vielen anderen Ländern außerhalb Nordamerikas zum De-facto-Standard für die Festlegung landesinterner Vorschriften geworden, sowohl im öffentlichen als auch im privaten Sektor.

Was ist FIPS 140-3?

FIPS 140-3 ist ein Standard, den jedes Unternehmen einhalten muss, das vertrauliche Daten verwaltet, sammelt oder speichert, insbesondere diejenigen, die in stark regulierten Branchen tätig sind.

FIPS 140-3 Badge

FIPS 140-3 ermöglicht die Zertifizierung von Post-Quantum Cryptography-Algorithmen (PQC), da es sicherstellt, dass kryptographische Module auf die Herausforderungen und Bedrohungen durch Quantenangriffe vorbereitet sind. Die Implementierung von gemäß FIPS 140-3 validierten Sicherheitslösungen ist ein wesentlicher Bestandteil der Entwicklung einer quantensicheren, agilen Krypto-Sicherheit und gewährleistet, dass die Daten von Unternehmen heute und in Zukunft geschützt bleiben.

Was ist der Unterschied zwischen FIPS 140-2 und FIPS 140-3?

FIPS 140-3 ist die neueste Version zur Validierung der Wirksamkeit kryptographischer Hardware. Sie entspricht den internationalen Standards ISO/IEC 19790 und führt neue Verbesserungen der Sicherheitsanforderungen des FIPS 140-2-Standards ein, darunter:

  1. Strengere Anforderungen an Integritätstests.
  2. Neuer erforderlicher Dienst: Zur Ausgabe des Modulnamens/der Modulkennung und der Version, die den Validierungsdatensätzen/-zertifikaten zugeordnet werden können.
  3. Die Schlüssel-Nullung ist für ALLE ungeschützten „Sensitive Security Parameters“ (SSP) auf allen Ebenen erforderlich, einschließlich öffentlicher Schlüssel.
  4. Rollen, Dienste und Authentifizierung: müssen durch die Implementierung eines kryptographischen Moduls erfüllt werden (nicht durch Richtlinien, Regeln usw.), z. B. Beschränkungen der Passwortgröße.
  5. Lebenszyklussicherung: Anbieter müssen zusätzlich zu den Validierungstests im Labor nachweisen, dass sie ausreichende interne Tests an einem Modul durchgeführt haben.

Unternehmen sollten FIPS 140-3 verwenden, um sicherzustellen, dass die von ihnen ausgewählte Hardware bestimmte Sicherheitsanforderungen erfüllt. Der Zertifizierungsstandard FIPS 140-2 definiert vier ansteigende qualitative Sicherheitsstufen, die bei FIPS 140-3 unverändert bleiben.

Umstellung auf FIPS 140-3

Unternehmen, die derzeit FIPS 140-2 einhalten, müssen ihren Übergang zu FIPS 140-3 planen, um eine fortlaufende Konformität sicherzustellen. Das Ziel von FIPS 140-3 ist eine stärkere Angleichung an die internationale ISO-/IEC-Standards und besser an die heutigen Technologien angepasst:

ISO/IEC 19790:2012: Gibt die Sicherheitsanforderungen für ein kryptographisches Modul an, das in einem Sicherheitssystem zum Schutz vertraulicher Informationen in Computer- und Telekommunikationssystemen verwendet wird. Dieser internationale Standard definiert vier Sicherheitsstufen für kryptographische Module, um ein breites Spektrum vertraulicher Daten (z. B. Verwaltungsdaten mit geringem Wert, Geldtransfers in Millionenhöhe, lebenswichtige Daten, persönliche Identitätsinformationen und vertrauliche Informationen, die von Behörden verwendet werden) und eine Vielfalt von Anwendungsumgebungen (z. B. eine bewachte Einrichtung, ein Büro, Wechseldatenträger und ein völlig ungeschützter Standort) abzudecken.

ISO/IEC 24759:2017: Beschreibt die Testanforderungen für kryptographische Module. Die Methoden werden entwickelt, um ein hohes Maß an Objektivität während des Testprozesses zu gewährleisten und die Konsistenz zwischen den Testlabors sicherzustellen.

Diese Ausrichtung an internationalen Standards ermöglicht einen nahtlosen Übergang zu FIPS 140-3, eine bessere Interoperabilität und gewährleistet einheitliche Sicherheitspraktiken auf der ganzen Welt. Vorhandene FIPS-140-2-Zertifikate werden nicht widerrufen, sondern ab dem 21. September 2026 in die historische Liste verschoben.

Thales-Unterstützung für den Sicherheitsstandard FIPS 140-3

Thales entwickelt kryptographische Produkte und Subsysteme, die dem Sicherheitsstandard FIPS 140-3 entsprechen. Zu den Thales-Lösungen, die dem Standard entsprechen, gehören Luna Hardware Security Modules (HSM), High Speed Encryptors (HSE) und Authentication Solutions.

HSM

FIPS-140-3-validierte Hardware-Sicherheitsmodule

Luna-HSM sind die ersten in der Branche, die die Validierung gemäß FIPS 140-3 Level 3 erhalten und eine gehärtete, manipulationssichere Umgebung für sichere kryptographische Verarbeitung, Schlüsselgenerierung und -schutz, Verschlüsselung und mehr bieten.

Thales-Luna-7-HSM (Netzwerk und PCIe*) sind jetzt gemäß FIPS 140-3 Level 3 validiert und bieten Kunden die folgenden Vorteile:

  • Flexibilität für HSM-Benutzer: FIPS 140-3 ermöglicht die gleichzeitige Unterstützung von genehmigten und nicht genehmigten Diensten auf derselben Plattform. Diese Flexibilität ermöglicht es Benutzern, die Einschränkungen älterer Anwendungen zu erfüllen und gleichzeitig neue Standards für neue Anwendungen zu übernehmen.
  • Verbesserter Selbsttest des Moduls: Auf Stufe 3 fügt FIPS 140-3 regelmäßige Selbsttests für Module wie HSM hinzu, die oft lange Betriebszeiträume von mehreren Jahren haben. Dadurch ist ein dauerhaft sicherer Betrieb gewährleistet.
  • Strenge Labortests: Der Standard stellt strengere Anforderungen an Testlabors, um eine angemessene Überprüfung der Module durch den Anbieter sicherzustellen. Dies führt zu einem einheitlicheren Sicherheitsniveau in verschiedenen Laboren und Ländern.
  • CVE-Tracking und Code-Qualität: FIPS 140-3 erfordert den Nachweis der Fähigkeit, Common Vulnerabilities and Exposures (CVE) zu überprüfen und zu verfolgen, die sich auf die vom Modul verwendeten Bibliotheken auswirken können. Dadurch werden die Regeln zur Aufrechterhaltung der Qualität interner Codes gestärkt, auch wenn diese nicht direkt der externen Umgebung ausgesetzt sind und daher von HSM-Benutzern nicht gescannt und erkannt werden können.

Verlassen Sie sich auf die gemäß FIPS 140-3 Level 3 validierten Luna-HSM als marktführende, kryptoagile Grundlage für digitales Vertrauen, um Risiken zu reduzieren, Flexibilität zu gewährleisten, Schlüssel einfach zu verwalten und Integrationen zu vereinfachen.

* FIPS 140-3 Level 3 wird derzeit für Luna-USB- und Luna-Backup-HSM geprüft.

Thales Luna K7 Cryptographic Module (verwendet in Luna-Network- und Luna-PCIe-HSM) ist jetzt gemäß FIPS 140-3 Level 3 validiert (NIST-Zertifikat #4684)

HSE

Gemäß FIPS 140-3 validierte Hochgeschwindigkeits-Verschlüsselungslösungen

Die Network-Encryption-Lösungen von Thales bieten eine einzige Plattform für standortunabhängige Verschlüsselung bereit – vom Datenverkehr in den Netzwerken zwischen Rechenzentrum und den Niederlassungen bis hin zu Backup- und Disaster-Recovery-Sites on premises oder in der Cloud. Die Netzwerkverschlüsselungslösungen von Thales wurden strengen Tests und Zertifizierungen unterzogen und von Organisationen wie der Department of Defense Information Systems Agency (DoDIN APL) und der NATO geprüft.

Die Hochgeschwindigkeitsverschlüsseler von Thales sind seit über einem Jahrzehnt FIPS-zertifiziert und erfüllen weiterhin die Anforderungen von NIST, beispielsweise FIPS 140-3 und Post Quantum Cryptography (PQC). Die Netzwerkverschlüsselungslösungen sind gemäß FIPS 140-2 Level 3 validiert und warten derzeit auf die Überprüfung für FIPS 140-3.

Smartcards

Gemäß FIPS 140-3 validiert* SafeNet IDCore 230/3230 Java-basierte Smart Cards

SafeNet IDCore Smart Cards, die Java Operating System nutzen, enthalten moderne Mikrocontroller mit strenger Sicherheitszertifizierung. Die SafeNet IDCore Java Card OS wurde von einem branchenführenden Sicherheitsteam entwickelt, um Maßnahmen gegen unterschiedliche Arten von Angriffen wie Seitenkanal-, Fehler- und sonstiger Angriffe zu ergreifen. Das SafeNet IDCore Java Card OS erfüllt die strengsten Sicherheitszertifizierungen der Branche, wie FIPS 140 und CC EAL5+/PP Javacard.

SafeNet IDCore 230/3230 sind Java Cards mit öffentlichem Schlüssel (die sowohl RSA als auch elliptische Kurven unterstützen), die die fortschrittlichsten Sicherheitsanforderungen langfristiger Programme mit mehreren Anwendungen erfüllen, einschließlich derjenigen, die von großen globalen Unternehmen eingesetzt werden, darunter:

  • Java Card 3.1.0
  • Global Platform 2.2.1
  • ISO 7816
  • ISO 14443 nur für SafeNet IDCore 3230

* NIST-Zertifizierung ist in Bearbeitung: IDCore 3230/230 Plattform von Thales

Sprechen Sie mit einem Spezialisten über FIPS-140-3-Lösungen
Kontakt

Globale Ausgabe

2024 Thales Data Threat Report

Lesen Sie mehr über den Umgang mit neuen Bedrohungen und die Überwindung alter Herausforderungen

2024 Data Threat Report

Zugehörige Ressourcen

Partners Resources Blogs Sentinel Drivers