FIPS 140-3

Certificación FIPS 140-3

Thales le ayuda a satisfacer sus necesidades en materia de cumplimiento en seguridad de datos, con productos certificados por FIPS 140-3.

FIPS 140-3

Prueba

Un Estándar Federal de Procesamiento de Información (FIPS) actualizado, FIPS 140-3, fue aprobado por el Secretario de Comercio en marzo de 2019, definiendo un nuevo estándar de seguridad para acreditar módulos criptográficos.

Habiendo sido actualizado a FIPS 140-2 desde FIPS 140-1 en 2001: siendo la primera empresa en lograr una validación FIPS 140-2 Nivel 3 para un Módulo de seguridad de hardware (HSM), un acelerador criptográfico junto con una administración combinada de claves y, como el proveedor de HSMs con la mayor cantidad de validaciones NIST FIPS, Thales está aquí para ayudarle a navegar y desmitificar este futuro estándar FIPS.

  • Acerca de FIPS 140
  • ¿Cuál es la diferencia?
  • Thales ayuda a crear el FIPS 140-3

Los estándares FIPS 140 son un conjunto de requisitos de seguridad para módulos criptográficos definidos por el Instituto Nacional de Estándares y Tecnología (NIST) y son gestionados por Estados Unidos y Canadá, como parte del Programa de validación de módulos criptográficos (CMVP). Los módulos validados por FIPS 140 son obligatorios para proteger claves y realizar operaciones criptográficas para muchas aplicaciones gubernamentales. De hecho, se ha convertido en el estándar de facto en muchos otros países y en el sector privado, particularmente en las industrias financiera y de pagos, ya que los HSMs validados por FIPS 140 brindan confianza al asegurar las infraestructuras criptográficas.

FIPS 140-2 es la versión actual y existe desde mayo de 2001. Define un total de 4 niveles de seguridad y 11 áreas de diseño e implementación de productos criptográficos que incluyen la administración de claves; interfaces; roles; servicios y autenticación; así como sistemas operativos. Puede encontrar más información sobre FIPS 140-2 en la publicación del blog Landing Securely on Regulatory Compliance with Thales Luna HSMs.

FIPS 140-3 sustituirá a FIPS 140-2 y se basa en estándares internacionales existentes con algunas modificaciones:

  • ISO/IEC 19790:2012
    Los Requisitos de seguridad para módulos criptográficos

    ISO/IEC 19790:2012 listan los requisitos de seguridad para un módulo criptográfico utilizado dentro de un sistema de seguridad que protege información confidencial en sistemas informáticos y de telecomunicaciones. Esta Norma Internacional define cuatro niveles de seguridad para los módulos criptográficos y de ese modo proporcionar un amplio espectro de confidencialidad de datos (por ejemplo, datos administrativos de bajo valor, transferencias de fondos de millones de dólares, datos de protección de vida, información de identidad personal e información confidencial utilizada por el gobierno), así como una diversidad de entornos de aplicación (por ejemplo, una instalación vigilada, una oficina, medios extraíbles y una ubicación completamente desprotegida).
     
  • ISO/IEC 24759:2017
    Los Requisitos de prueba para módulos criptográficos

    ISO/IEC 24759:2017 especifican los métodos que deben utilizar los laboratorios acreditados para comprobar si el módulo criptográfico cumple con los requisitos especificados en ISO/IEC 19790: 2012. Los métodos se desarrollan para proporcionar un alto grado de objetividad durante el proceso de prueba y para garantizar la coherencia en todos los laboratorios de prueba.

¿Cuál es la diferencia?

Las publicaciones especiales de FIPS 140-3 incluyen información sobre una variedad de requisitos que incluyen: pruebas derivadas; documentación; políticas de seguridad; funciones de seguridad; parámetros de seguridad; autenticación; y mitigación de ataques no invasivos. Muchos de estos cambios aún no están finalizados, pero algunos de los cambios más interesantes incluyen:

  • Requisitos de prueba de integridad más estrictos:
    • Los módulos de nivel 2 deben proporcionar pruebas de integridad de software/firmware mediante firmas digitales o HMAC (código de autenticación de mensajes basado en hash)
    • Los módulos de nivel 3 y nivel 4 deben proporcionar integridad mediante firmas digitales solamente
  • Nuevo servicio requerido: para generar el nombre/identificador del módulo y la versión que se puede asignar a los registros/certificados de validación
  • Se requiere la puesta a cero clave: para TODOS los "Parámetros de seguridad sensibles" (SSP) no protegidos en todos los niveles, incluidas las claves públicas
    • El nivel 2+ requiere un indicador de estado cuando se completa el proceso de puesta a cero
    • La puesta a cero de los SSP desprotegidos todavía se puede realizar de forma procedimental solo en el Nivel 1
  • Roles, servicios y autenticación: Debe cumplirse con la implementación de un módulo criptográfico (no a través de políticas, reglas, etc.), por ejemplo, restricciones de tamaño de contraseña
  • Seguridad no invasiva: Resulta necesaria para los componentes de hardware y firmware de un módulo, opcional para los módulos de software que operan en un entorno operativo modificable y el módulo debe proteger contra una lista de ataques no invasivos
  • Aseguramiento del ciclo de vida: Pruebas de proveedores: los proveedores deben realizar sus propias pruebas en un módulo, además de las pruebas de laboratorio de validación
  • Entorno operativo: Los módulos de software ya no necesitan operar en un SO evaluado por Criterios Comunes (CC) o 'sistema operativo confiable' para cumplir con los requisitos de Nivel 2; sin embargo, estos entornos operativos modificables de Nivel 2 requieren un mecanismo de auditoría

Hitos importantes

  • 22 de marzo de 2019: el Secretario de Comercio aprobó los requisitos de seguridad FIPS 140-3 para módulos criptográficos
  • 22 de septiembre de 2019: FIPS 140-3 entró en vigor
  • 22 de septiembre de 2020: comienzan las pruebas FIPS 140-3 a través del CMVP
  • 22 de septiembre de 2021: solo se aceptan presentaciones de FIPS 140-3

Transición a FIPS 140-3

FIPS 140-2 estará disponible por un tiempo. Los módulos aún se pueden enviar y validar a FIPS 140-2 hasta el 22 de septiembre de 2021. Los certificados FIPS 140-2 existentes no se revocarán como parte de la transición. De hecho, los módulos con certificación FIPS 140-2 serán válidos durante cinco años más hasta septiembre de 2026.

CMVP comenzará a aceptar presentaciones FIPS 140-3 solo el 22 de septiembre de 2020. Después del 22 de septiembre de 2021, solo se aceptarán presentaciones FIPS 140-3.

El cumplimiento de FIPS es fundamental para trabajar en cualquier industria regulada que almacene o recopile información confidencial. Thales es consciente de su importancia y ha participado activamente en foros y grupos de trabajo para ayudar a definir FIPS 140-3, como el Foro de usuarios del módulo criptográfico (CMUF), un grupo establecido entre laboratorios, proveedores y CMVP para ayudar a identificar mejoras para CMVP, así como desarrollar documentos y mapear Requisitos de prueba detallados en ISO 24759.

¿Qué sigue?

Por el momento, no es necesario que se realice ninguna acción. Hoy día, cada uno de los HSMs Luna de Thales se encuentra validado por FIPS 140-2 Nivel 3, lo que ofrece una clave de cifrado de alta seguridad y protección de identidad digital en raíces de confianza de hardware a prueba de manipulaciones indebidas. Thales continuará trabajando hacia la validación FIPS 140-3 y permitirá que sus clientes y socios se beneficien de la validación. Igual que en el pasado, se espera que los primeros usuarios de FIPS 140-3 enfrenten desafíos en las pruebas y la implementación, pero estamos comprometidos a ayudar a aclarar y desmitificar el FIPS 140-3. Una vez que los HSMs de Luna hayan sido validados con el nuevo estándar, aseguraremos una migración fácil.

Podemos ayudar

El cumplimiento y las certificaciones siempre han formado una parte fundamental de la oferta de productos de Thales, validando nuestros HSMs Thales Luna no solo para FIPS 140, sino también para Common Criteria (CC), Identificación Electrónica, Autenticación y Servicios de Confianza (eIDAS), Seguridad Nacional de Tecnología de la Información de Singapur Esquema de evaluación (NITES), ITI de Brasil y más.

Comuníquese con nosotros para analizar cómo Thales puede respaldar su migración a nuevos productos validados por FIPS 140-3 y busque más blogs e información a medida que se cumplen las metas de FIPS 140-3. 

Otras normativas clave de protección de datos y seguridad

RGPD

REGLAMENTO
ACTIVA AHORA

El RGPD es tal vez la norma de privacidad de datos más completa hasta la fecha. Afecta a cualquier organización que procese los datos personales de los ciudadanos de la UE, independientemente de la ubicación de la sede de la organización.

Saber más

PCI DSS

MANDATO
ACTIVA AHORA

Cualquier organización que desempeñe un papel en el procesamiento de pagos con tarjetas de crédito y débito debe cumplir con los estrictos requisitos de cumplimiento de PCI DSS para el procesamiento, el almacenamiento y la transmisión de datos de cuentas.

Saber más

Leyes de notificación de brechas de datos

REGLAMENTO
ACTIVA AHORA

Los países de todo el mundo han promulgado requisitos de notificación de brechas de datos tras la pérdida de información personal. Varían según la jurisdicción, pero casi siempre incluyen una cláusula de "safe harbour".

Saber más
man with laptop

Póngase en contacto con un especialista en cumplimiento normativo

Contactar con nosotros
laptop

¿Está usted preparado para el RGPD?

Explore
two men

Lea el Manual de Soluciones de Cumplimiento Normativo

Descargar ahora

Soluciones relacionadas

Partners Resources Blogs Sentinel Drivers