Certificação FIPS 140-3

As normas FIPS 140 são um conjunto de requisitos de segurança para módulos criptográficos definidos pelo National Institute of Standards and Technology (NIST) e controladas tanto pelos Estados Unidos como pelo Canadá como parte do Cryptographic Module Validation Program (CMVP). Os módulos com validação FIPS 140 são obrigatórios para proteger chaves e realizar operações criptográficas para muitos aplicativos governamentais. Na verdade, tornou-se o padrão de fato em muitos outros países e no setor privado, particularmente nos setores financeiro e de pagamentos, já que os HSMs com validação FIPS 140 proporcionam confiança e segurança protegendo infraestruturas criptográficas.

A FIPS 140-2 é a versão atual, e existe desde maio de 2001. A norma define um total de 4 níveis de segurança e 11 áreas de design e implementação de produtos criptográficos, incluindo gerenciamento de chaves; interfaces; funções; serviços e autenticação; e sistemas operacionais. Mais informações sobre a FIPS 140-2 podem ser encontradas no post Landing Securely on Regulatory Compliance with Thales Luna HSMs de nosso blog.

A FIPS 140-3 substituirá a FIPS 140-2 e é baseada nas normas internacionais existentes com algumas modificações:

• O padrão ISO/IEC 19790:2012
  Security Requirements for Cryptographic Modules
  
  ISO/IEC 19790:2012 relaciona os requisitos de segurança para um módulo criptográfico utilizado dentro de um sistema de segurança que protege informações confidenciais em sistemas informáticos e de telecomunicações. Esta norma internacional define quatro níveis de segurança para módulos criptográficos a fim de proporcionar um amplo espectro de sensibilidade aos dados (por exemplo, dados administrativos de baixo valor, transferências de fundos de milhões de dólares, dados de proteção à vida, informações de identidade pessoal e informações confidenciais usadas pelo governo) e uma diversidade de ambientes de aplicação (por exemplo, um local vigiado, um escritório, mídia removível e um local completamente desprotegido).
   
• O padrão ISO/IEC 24759:2017
  Test Requirements for Cryptographic Modules
  
  ISO/IEC 24759:2017 especifica os métodos a serem usados por laboratórios credenciados para testar se o módulo criptográfico está em conformidade com os requisitos especificados no padrão ISO/IEC 19790:2012 Os métodos são desenvolvidos para proporcionar um alto grau de objetividade durante o processo de teste e para garantir a consistência em todos os laboratórios de teste.

Qual é a diferença?

As publicações especiais FIPS 140-3 incluem informações sobre diversos requisitos, incluindo: testes derivados; documentação; políticas de segurança; funções de segurança; parâmetros de segurança; autenticação; e mitigação de ataques não invasivos. Muitas dessas mudanças ainda não estão concluídas, mas algumas das mais interessantes incluem:

• Requisitos mais rigorosos de teste de integridade:
  • Os módulos de nível 2 devem fornecer testes de integridade de software/firmware usando assinaturas digitais ou HMAC (código de autenticação de mensagem baseado em hash)
  • Os módulos de nível 3 e nível 4 devem fornecer integridade usando somente assinaturas digitais
• Novo serviço necessário - para emitir o nome/identificador do módulo e a versão que pode ser mapeada para registros/certificados de validação
• A zeragem da chave é necessária - para TODOS os "parâmetros de segurança sensível" (SSP) desprotegidos em todos os níveis, incluindo chaves públicas
  • O nível 2+ requer um indicador de status quando o processo de zeragem for concluído
  • A zeragem dos SSPs desprotegidos ainda pode ser feita de forma processual apenas no nível 1
• Funções, serviços e autenticação – devem ser cumpridos pela implementação de um módulo criptográfico (não através de políticas, regras, etc.), por exemplo, restrições de tamanho de senha
• Segurança não invasiva – é obrigatória para os componentes de hardware e firmware de um módulo, opcional para módulos de software que operam em um ambiente operacional modificável, e o módulo deve proteger contra uma lista de ataques não invasivos
• Ciclo de vida com garantia - testes de fornecedores - os fornecedores precisam realizar seus próprios testes em um módulo, em adição aos testes de laboratório de validação
• Ambiente operacional - os módulos de software não precisam mais operar em um sistema operacional com certificação Common Criteria (CC) ou de "sistema operacional confiável" para atender aos requisitos do nível 2; entretanto, esses ambientes operacionais modificáveis de nível 2 devem ter um mecanismo de auditoria

Marcos importantes

• 22 de março de 2019 –o secretário do comércio aprova os requisitos de segurança FIPS 140-3 para módulos criptográficos
• 22 de setembro de 2019 - a FIPS 140-3 entra em vigor
• 22 de setembro de 2020 - o teste FIPS 140-3 inicia com o CMVP
• 22 de setembro de 2021 – apenas submissões com FIPS 140-3 são aceitas

Transição para FIPS 140-3

A FIPS 140-2 permanecerá em vigor por um tempo. Os módulos ainda podem ser submetidos e validados ao FIPS 140-2 até 22 de setembro de 2021. Os certificados FIPS 140-2 existentes não serão revogados como parte da transição. Na verdade, os módulos com certificação FIPS 140-2 serão válidos por mais cinco anos, até setembro de 2026.

O CMVP começará a aceitar as submissões com FIPS 140-3 somente em 22 de setembro de 2020. Após 22 de setembro de 2021, apenas submissões com FIPS 140-3 serão aceitas

A conformidade FIPS é fundamental para trabalhar em qualquer indústria regulamentada que armazena ou coleta informações confidenciais. A Thales compreende sua importância e tem estado ativamente envolvida em fóruns e grupos de trabalho para ajudar a definir a FIPS 140-3, como o Cryptographic Module User Forum (CMUF) - um grupo estabelecido entre laboratórios, fornecedores e o CMVP para ajudar a identificar melhorias para o CMVP, desenvolver documentos e mapear os requisitos de teste detalhados de acordo com o padrão ISO 24759.

O que acontecerá a seguir?

Por enquanto, não são necessárias ações de sua parte. Atualmente, todos os HSMs Thales Luna têm certificação FIPS 140-2 de nível 3, oferecendo chaves de criptografia de alta segurança e proteção de identidade digital em hardware com fatores de confiança invioláveis. A Thales continuará trabalhando para a validação da FIPS 140-3 e seus clientes e parceiros poderão se beneficiar com isso. Como no passado, espera-se que os primeiros a adotar a FIPS 140-3 enfrentem desafios em testes e implementação, mas estamos empenhados em ajudar a esclarecer e desmistificar essa norma. Uma vez que os HSMs Luna tenham sido validados de acordo com a nova norma, garantiremos uma migração fácil.

Podemos ajudar

A conformidade e as certificações sempre formaram uma parte crítica da oferta de produtos da Thales, validamos nossos HSMs Luna não apenas com FIPS 140, mas também com Common Criteria (CC), Electronic Identification, Authentication and Trust Services (eIDAS), Singapore National Information Technology Security Evaluation Scheme (NITES), Brazil ITI e muito mais.

Entre em contato conosco para discutir como a Thales pode auxiliar sua migração para novos produtos validados com FIPS 140-3, e fique atento para mais blogs e informações à medida que os marcos da FIPS 140-3 forem cumpridas.