Certificazione FIPS 140-3

Thales può aiutarti a soddisfare i tuoi requisiti di conformità relativi alla sicurezza dei dati offrendo soluzioni certificate FIPS 140-3.

Cos'è lo standard FIPS 140?

Nell’ambito della sicurezza crittografica, il rispetto degli standard è fondamentale per garantire la protezione dei dati sensibili e soddisfare i requisiti normativi e di conformità. Il FIPS 140 (Federal Information Processing Standard), definisce una serie di requisiti di sicurezza per i moduli crittografici definiti dal NIST (National Institute of Standards and Technology) e gestiti sia dagli Stati Uniti che dal Canada nell’ambito del CMVP (Cryptographic Module Validation Program). La certificazione FIPS 140 è obbligatoria nei moduli di molte applicazioni governative al fine di proteggere le chiavi crittografiche ed eseguire operazioni crittografiche.

La conformità a FIPS 140-2, predecessore di FIPS 140-3, è stata ampiamente adottata negli ultimi vent’anni come parametro di sicurezza e migliore pratica. È diventato anche lo standard de facto in molti altri Paesi al di fuori del Nord America per la definizione delle normative nazionali, sia nel settore governativo che in quello privato.

Cos'è lo standard FIPS 140-3?

FIPS 140-3 è uno standard a cui probabilmente dovrà conformarsi qualsiasi organizzazione che gestisce, raccoglie o archivia dati sensibili, in particolare se appartenenti a settori altamente regolamentati.

FIPS 140-3 Badge

FIPS 140-3 consentirà la certificazione di algoritmi PQC (Post-Quantum Cryptography), poiché garantirà che i moduli crittografici siano preparati ad affrontare le sfide e le minacce poste dagli attacchi quantistici. L'implementazione di soluzioni di sicurezza con certificazione FIPS 140-3 è una parte essenziale della creazione di un approccio alla sicurezza agile e quantum-safe per garantire una protezione continuativa dei dati aziendali.

Qual è la differenza tra FIPS 140-2 e FIPS 140-3?

FIPS 140-3 è l'ultima versione dello standard utilizzato per convalidare l'efficacia dell'hardware crittografico. È conforme agli standard internazionali ISO/IEC 19790 e introduce nuovi miglioramenti ai requisiti di sicurezza dello standard FIPS 140-2, ad esempio:

  1. Requisiti più severi per i test di integrità.
  2. Nuovo obbligo di produrre il nome/identificatore del modulo e la versione da mappare nei registri/certificati di convalida.
  3. L'azzeramento delle chiavi è richiesto per OGNI "Parametro di sicurezza sensibile" (SSP) non protetto a tutti i livelli, comprese le chiavi pubbliche.
  4. Ruoli, servizi e autenticazione: devono essere soddisfatti dall'implementazione di un modulo crittografico (non tramite criteri, norme, ecc.), ad esempio con limitazioni sulla lunghezza della password.
  5. Garanzia del ciclo di vita: i fornitori devono dimostrare di aver effettuato test interni adeguati su un modulo, oltre ai test di convalida in laboratorio.

Le organizzazioni dovrebbero utilizzare lo standard FIPS 140-3 per garantire che l'hardware selezionato soddisfi requisiti di sicurezza specifici. Lo standard di certificazione FIPS 140-2 definisce quattro livelli di sicurezza qualitativi crescenti, che rimangono gli stessi in FIPS 140-3.

Il passaggio verso FIPS 140-3

Le organizzazioni che attualmente aderiscono a FIPS 140-2 devono pianificare la propria transizione a FIPS 140-3 per garantire una conformità continuativa. L'obiettivo di FIPS 140-3 è una maggiore conformità agli standard internazionali ISO / IEC con un migliore adattamento alle tecnologie odierne:

ISO/IEC 19790:2012: elenca i requisiti di sicurezza che un modulo crittografico utilizzato in un sistema di sicurezza deve rispettare per proteggere le informazioni sensibili nei sistemi informatici e di telecomunicazione. Questo standard internazionale definisce quattro livelli di sicurezza per i moduli crittografici al fine di provvedere a un ampio spettro di sensibilità dei dati (ad es. dati amministrativi di basso valore, trasferimenti di fondi da milioni di dollari, dati sulla protezione della vita, informazioni sull'identità personale e informazioni sensibili utilizzate dal governo) e a una varietà di ambienti applicativi (ad es. una struttura sorvegliata, un ufficio, supporti rimovibili e un luogo completamente esposto e non protetto).

ISO/IEC 24759:2017: delinea i requisiti di testing per i moduli crittografici. I metodi sono sviluppati per fornire un elevato grado di obiettività durante il processo di testing e per garantire la coerenza tra i laboratori.

Questo allineamento agli standard internazionali consente una facile transizione verso FIPS 140-3, una maggiore interoperabilità e garantisce pratiche di sicurezza coerenti in tutto il mondo. I certificati FIPS 140-2 esistenti non verranno revocati ma verranno spostati nel cosiddetto Elenco storico a partire dal 21 settembre 2026.

Supporto di Thales per lo standard di sicurezza FIPS 140-3

Thales sviluppa prodotti e sottosistemi crittografici conformi allo standard di sicurezza FIPS 140-3. Le soluzioni Thales che soddisfano lo standard includono gli HSM (Hardware Security Module) Luna, gli HSE (High Speed Encryptor) e le soluzioni di autenticazione.

HSM

HSM dotati di certificazione FIPS 140-3

Gli HSM Luna sono i primi nel settore a ricevere la certificazione FIPS 140-3 livello 3 e forniscono un ambiente temprato a prova di manomissione per eseguire attività sicure di elaborazione crittografica, generazione e protezione delle chiavi, crittografia e altro.

Gli HSM Luna 7 di Thales (Network e PCIe*) sono ora dotati di certificazione FIPS 140-3 livello 3, fornendo i vantaggi seguenti:

  • Flessibilità per gli utenti degli HSM: grazie alla certificazione FIPS 140-3 la stessa piattaforma può supportare simultaneamente servizi approvati e non. Questa flessibilità consente agli utenti di soddisfare i vincoli delle applicazioni legacy adottando al contempo nuovi standard per le nuove applicazioni.
  • Autotest avanzati per i moduli: al livello 3, FIPS 140-3 aggiunge autotest periodici per i moduli, come gli HSM, che spesso hanno lunghi periodi di attività che si estendono per anni. Ciò garantisce una continuità operativa sicura.
  • Test rigorosi in laboratorio: lo standard impone requisiti più rigorosi ai laboratori di testing per assicurare revisione e test adeguati dei moduli da parte dei fornitori. Ciò si traduce in un livello di sicurezza più coerente tra diversi laboratori e Paesi.
  • Monitoraggio di CVE e qualità del codice: il FIPS 140-3 richiede che venga dimostrata la capacità di rivedere e monitorare le Common Vulnerabilities and Exposures (CVE) che potrebbero avere un impatto sulle librerie utilizzate dal modulo. Questo rafforza i doveri legati al mantenimento della qualità dei codici interni, anche se non sono direttamente esposti all’ambiente esterno e quindi non possono essere scansionati e rilevati dagli utenti degli HSM.

Affidati agli HSM Luna con certificazione FIPS 140-3 livello 3, la nostra base crittografica agile e leader di mercato per la fiducia digitale per ridurre i rischi, garantire flessibilità, gestire facilmente le chiavi e semplificare le integrazioni.

*La certificazione FIPS 140-3 livello 3 è in fase di valutazione per gli HSM USB Luna e gli HSM backup Luna.

Il modulo crittografico Luna K7 di Thales (utilizzato negli HSM Luna Network e Luna PCIe) è ora dotato di certificazione FIPS 140-3 livello 3 (certificato NIST n. 4684)

HSE

Soluzioni HSE con certificazione FIPS 140-3

Le soluzioni di crittografia di rete di Thales forniscono un’unica piattaforma per eseguire operazioni crittografiche in qualunque luogo: dal traffico di rete tra data center e sedi centrali ai siti di backup e disaster recovery, on-premises o nel cloud. Le nostre soluzioni di crittografia di rete, rigorosamente testate e certificate, sono state esaminate da organizzazioni come la NATO e la Defense Information System Agency, con la sua certificazione DoDIN APL.

Gli HSE di Thales sono dotati di certificazioni FIPS da oltre un decennio e continuano a soddisfare i progressi NIST come il FIPS 140-3 e la Post-Quantum Cryptography (PQC). Le soluzioni di crittografia di rete vantano una certificazione FIPS 140-2 livello 3 e sono attualmente in fase di valutazione per il FIPS 140-3.

Smartcards

Smart card basate su Java SafeNet IDCore 230/3230 con certificazione FIPS 140-3*

Le smart card SafeNet IDCore che utilizzano un sistema operativo Java incorporano microcontrollori avanzati con certificazioni di sicurezza avanzate. Il sistema operativo Java Card SafeNet IDCore è stato sviluppato da un team di sicurezza leader del settore che lo ha concepito per attuare contromisure contro varie minacce come SCA (side-channel attack - attacco al canale laterale), attacchi invasivi, guasti avanzati e altro. Il sistema operativo Java Card SafeNet IDCore soddisfa le certificazioni di sicurezza più stringenti del settore come FIPS 140 e CC EAL5+ / PP Javacard.

SafeNet IDCore 230/3230 sono Java Card a chiave pubblica (con supporto per curve sia RSA che ellittiche) che soddisfano i requisiti più avanzati di sicurezza dei programmi a lungo termine con applicazioni multiple, compresi quelli impiegati da organizzazioni globali di grandi dimensioni, ad esempio:

  • Java Card 3.1.0
  • Global Platform 2.2.1
  • ISO 7816
  • ISO 14443 esclusivamente per SafeNet IDCore 3230

* In procinto di ottenere la certificazione NIST: IDCore 3230/230 Platform di Thales

Parla con uno specialista delle soluzioni FIPS 140-3
Contattaci

Edizione globale

Relazione sulle minacce verso i dati di Thales del 2024

Scopri di più su come affrontare nuove minacce e superare vecchie sfide

Relazione sulle minacce verso i dati del 2024

Risorse correlate

Partners Resources Blogs Sentinel Drivers