Certificação FIPS 140-3

A Thales pode ajudar a atender às suas necessidades de conformidade de segurança de dados com soluções certificadas FIPS 140-3.

O que é FIPS 140?

Na segurança criptográfica, a adesão aos padrões é fundamental para garantir a proteção de dados confidenciais e para atender às necessidades regulatórias e de conformidade. O FIPS 140 (Federal Information Processing Standard) é um conjunto de requisitos de segurança para módulos criptográficos definidos pelo Instituto Nacional de Padrões e Tecnologia (NIST) e gerenciado pelos Estados Unidos e Canadá, como parte do Programa de validação de módulo criptográfico (CMVP). Os módulos validados pelo FIPS 140 são obrigatórios para proteger chaves criptográficas e realizar operações criptográficas para muitas aplicações governamentais.

O FIPS 140-2, o antecessor do FIPS 140-3, foi amplamente adotado como referência de segurança e melhores práticas a serem seguidas pelas organizações nas últimas duas décadas. Tornou-se também o padrão em muitos outros países fora da América do Norte para o estabelecimento de regulamentações nacionais, tanto nos setores governamentais como privados.

O que é o FIPS 140-3?

O FIPS 140-3 é um padrão que qualquer organização que gerencia, coleta ou armazena dados confidenciais provavelmente precisará cumprir, especialmente aquelas que operam em setores altamente regulamentados.

FIPS 140-3 Badge

O FIPS 140-3 permitirá a certificação de algoritmos de criptografia pós-quântica (PQC), pois garantirá que os módulos criptográficos estejam preparados para enfrentar os desafios e ameaças representados por ataques quânticos. A implementação de soluções de segurança validadas pelo FIPS 140-3 é uma parte essencial da construção de uma postura de segurança ágil e criptografada com segurança quântica, garantindo que as organizações permaneçam os dados protegidos hoje e no futuro.

Qual é a diferença entre o FIPS 140-2 e o FIPS 140-3?

O FIPS 140-3 é a iteração mais recente para validar a eficácia do hardware criptográfico, alinhado com padrões internacionais ISO/IEC 19790 e introduz novos aprimoramentos nos requisitos de segurança do padrão FIPS 140-2, incluindo:

  1. Requisitos de teste de integridade mais rigorosos.
  2. Novo serviço obrigatório: para gerar o nome/identificador e a versão do módulo que podem ser mapeados para registros/certificados de validação.
  3. A eliminação de parâmetros confidenciais (zeroization) da chave é necessária para TODOS os "Parâmetros de Segurança Sensíveis" (SSP) desprotegidos em todos os níveis, incluindo chaves públicas.
  4. Funções, serviços e autenticação: devem ser atendidos pela implementação de um módulo criptográfico (não por meio de políticas, regras etc.), por exemplo, restrições de tamanho de senha.
  5. Garantia do ciclo de vida: os fornecedores precisam demonstrar testes internos adequados em um módulo, além dos testes de laboratório de validação.

As organizações devem usar o padrão FIPS 140-3 para garantir que o hardware selecionado atenda aos requisitos de segurança específicos. O padrão certificação FIPS 140-2 define quatro níveis qualitativos crescentes de segurança, que permanecem os mesmos no FIPS 140-3.

Transição para o FIPS 140-3

As organizações que atualmente seguem o FIPS 140-2 precisam planejar sua transição para o FIPS 140-3 para garantir a conformidade contínua. O objetivo do FIPS 140-3 é estar mais alinhado com os padrões internacionais ISO/IEC e mais ajustado às tecnologias atuais:

ISO/IEC 19790:2012: lista os requisitos de segurança para um módulo criptográfico utilizado em um sistema de segurança que protege informações confidenciais em sistemas de informática e telecomunicações. Este Padrão Internacional define quatro níveis de segurança para módulos criptográficos para fornecer um amplo espectro de sensibilidade de dados (por exemplo, dados administrativos de baixo valor, transferências de fundos de milhões de dólares, dados de proteção de vida, informações de identidade pessoal e informações confidenciais usadas pelo governo) e uma diversidade de ambientes de aplicação (por exemplo, uma instalação protegida, um escritório, mídia removível e um local completamente desprotegido).

ISO/IEC 24759:2017: de acordo com os requisitos de teste para módulos criptográficos. Os métodos são desenvolvidos para proporcionar um alto grau de objetividade durante o processo de teste e para garantir a consistência em todos os laboratórios de teste.

Este alinhamento com os padrões internacionais permite uma transição perfeita para o FIPS 140-3, maior interoperabilidade e garante práticas de segurança consistentes em todo o mundo. Os certificados FIPS 140-2 existentes não serão revogados, mas serão movidos para o Histórico a partir de 21 de setembro de 2026.

Suporte da Thales para padrão de seguranço FIPS 140-3

A Thales desenvolve produtos e subsistemas criptográficos em conformidade com o padrão de seguranço FIPS 140-3. As soluções da Thales que atendem ao padrão incluem Módulos de segurança de hardware (HSM) Luna, High Speed Encryptors (HSE) e soluções de autenticação.

HSM

Módulos de segurança de hardware validados pelo FIPS 140-3

Os HSM Luna são os primeiros do setor a receber a validação FIPS 140-3 Nível 3 e fornecem um ambiente robusto e resistente a violações para processamento criptográfico seguro, geração e proteção de chaves, criptografia e muito mais.

Os HSM Thales Luna 7 (rede e PCIe*) agora são validados pelo FIPS 140-3 Nível 3, proporcionando aos clientes os seguintes benefícios:

  • Flexibilidade para usuários de HSM: o FIPS 140-3 permite o suporte simultâneo de serviços aprovados e não aprovados na mesma plataforma. Essa flexibilidade permite que os usuários atendam às restrições de aplicativos legados e, ao mesmo tempo, adotem novos padrões para novos aplicativos.
  • Autoteste de módulo aprimorado: no nível 3, o FIPS 140-3 adiciona autotestes periódicos para módulos, como HSM, que geralmente têm longos períodos de atividade que se estendem por anos. Isso garante uma operação segura contínua.
  • Testes rigorosos por laboratórios: o padrão impõe requisitos mais rigorosos aos laboratórios de teste para avaliar e garantir testes adequados de módulos pelos fornecedores. Isso resulta em um nível de segurança mais consistente em diferentes laboratórios e países.
  • Rastreamento de CVE e qualidade de código: o FIPS 140-3 exige a demonstração da capacidade de avaliar e rastrear vulnerabilidades e exposições comuns (CVE) que podem impactar as bibliotecas usadas pelo módulo. Isso fortalece as regras para manutenção da qualidade dos códigos internos, mesmo que não estejam diretamente expostos ao ambiente externo e, portanto, não possam ser escaneados e detectados pelos usuários do HSM.

Confie nos HSM Luna validados pelo FIPS 140-3 Nível 3 como a base cripto-ágil de confiança digital líder de mercado para reduzir riscos, garantir flexibilidade, gerenciar facilmente chaves e simplificar integrações.

*O FIPS 140-3 Nível 3 está atualmente em revisão para os HSM Luna USB e Luna Backup.

O módulo criptográfico Thales Luna K7 (usado nos HSM Luna Network e Luna PCIe) agora é validado pelo FIPS 140-3 Nível 3 (certificado NIST núm. 4684)

HSE

Soluções de criptografia de alta velocidade validadas pelo FIPS 140-3

As soluções de criptografia de rede da Thales fornecem uma plataforma única para criptografar em qualquer lugar — desde o tráfego de rede entre data centers e a sede até locais de backup e recuperação de desastres, seja no local ou na nuvem. Rigorosamente testadas e certificadas, as soluções de criptografia de rede da Thales foram avaliadas por organizações como a Agência de Sistemas de Informação do Departamento de Defesa (DoDIN APL) e a OTAN.

Os criptografadores de alta velocidade da Thales são certificados pelo FIPS há mais de uma década e continuam a atender aos avanços do NIST, como o FIPS 140-3 e a criptografia pós-quântica (PQC). As soluções de criptografia de rede são validadas pelo FIPS 140-2 Nível 3 e atualmente aguardam avaliação para o FIPS 140-3.

Smartcards

FIPS 140-3 Validado* SafeNet IDCore 230/3230 Cartões inteligentes baseados em Java

Os cartões SafeNet IDCore usam o sistema operacional Java, incorporam microcontroladores avançados com certificado de segurança forte. O cartão SafeNet IDCore com sistema operacional Java foi desenvolvido por uma equipe de segurança líder da indústria que o projetou para implementar medidas contra várias ameaças, incluindo canal lateral, falha invasivo ou avançada e outros tipos de ataques. O SafeNet IDCore Java Card OS atende às certificações de segurança mais rigorosas do setor, como FIPS 140 e CC EAL5+ / Javacard PP.

SafeNet IDCore 230/3230 são Java Cards de chave pública (suportando curvas RSA e elípticas) que atendem aos requisitos de segurança mais avançados de programas multiaplicativos de longo prazo, incluindo aqueles implantados por grandes organizações globais, incluindo:

  • Cartão Java 3.1.0
  • Plataforma Global 2.2.1
  • ISO 7816
  • ISO 14443 apenas para SafeNet IDCore 3230

*A certificação NIST está em andamento: IDCore 3230/Plataforma 230 da Thales

Fale com um especialista sobre as soluções com FIPS 140-3

Edição Global

Relatório de ameaças de dados da Thales de 2024

Leia mais sobre como combater novas ameaças e superar velhos desafios

Relatório de ameaças de dados de 2024