FIPS (Estándar Federal de Procesamiento de Información) 140-2 es un conjunto de normas establecidas por la Instituto Nacional de Estándares y Tecnología (NIST) Para los requisitos de seguridad de los módulos criptográficos utilizados en sistemas gubernamentales. Los módulos criptográficos son hardware o software informático que protegen los datos mediante cifrado u otros métodos criptográficos. El propósito del estándar FIPS 140-2 es garantizar la seguridad de estos módulos criptográficos y la protección de la información confidencial contra el acceso no autorizado o la manipulación.
Niveles de seguridad FIPS 140-2
El estándar define cuatro niveles de seguridad, cada uno de los cuales representa un nivel de seguridad superior. Los niveles abarcan desde la protección mínima hasta el máximo nivel de seguridad disponible. Su objetivo es proporcionar a las organizaciones la posibilidad de elegir un módulo criptográfico que satisfaga sus necesidades de seguridad específicas. Los cuatro niveles de seguridad son los siguientes:
-
Nivel 1
Este nivel proporciona protección básica y se utiliza para aplicaciones donde el coste es un factor clave. Los requisitos de seguridad en este nivel son mínimos y están diseñados para prevenir los ataques más básicos.
-
Nivel 2
Este nivel ofrece mayor seguridad que el Nivel 1 y se utiliza en aplicaciones donde la seguridad es más importante que el coste. Incluye requisitos de seguridad adicionales, como la generación de claves, el almacenamiento y la seguridad operativa.
-
Nivel 3
Este nivel ofrece el máximo nivel de seguridad disponible bajo el estándar FIPS 140-2 y se utiliza para aplicaciones que requieren el máximo nivel de seguridad. En este nivel, los módulos criptográficos deben proporcionar múltiples capas de seguridad y deben probarse contra un conjunto completo de ataques.
-
Nivel 4
Este nivel proporciona el máximo nivel de seguridad y se utiliza para aplicaciones que requieren la protección de información clasificada. Los módulos criptográficos de este nivel deben cumplir estrictos requisitos de seguridad y ser probados contra diversos ataques sofisticados.
| Nivel | Fecha de lanzamiento | Seguridad Física | Gestión de claves criptográficas | Algoritmos aprobados |
|---|---|---|---|---|
| 1 | 25 de Mayo de 2006 | Básico | Limitada | AES, DES/3DES, RC2, RC4, SHA-1/224/256/384/512, DSA, ECDSA |
| 2 | 25 de Mayo de 2006 | Intermedio | Disposición | AES, DES/3DES, RC2, RC4, SHA-1/224/256/384/512, DSA, ECDSA |
| 3 | 25 de Mayo de 2006 | Alto | Robusto | AES, DES/3DES, RC2, RC4, SHA-1/224/256/384/512, DSA, ECDSA |
| 4 | 25 de Mayo de 2006 | Alto | Robusto | AES, DES/3DES, RC2, RC4, SHA-1/224/256/384/512, DSA, ECDSA |
Comparación de niveles de seguridad según
Seguridad Física
-
Nivel 1
Se han establecido mecanismos básicos de seguridad física, como embalajes a prueba de manipulaciones.
-
Nivel 2
Se han establecido mecanismos de seguridad física intermedios, como embalajes a prueba de manipulaciones y controles seguros de encendido y reinicio.
-
Nivel 3
Se han implementado mecanismos de alta seguridad física, como embalajes a prueba de manipulaciones, controles seguros de energía y reinicio, y protección física contra la manipulación y el acceso no autorizado.
-
Nivel 4
El más alto nivel de seguridad física, con protección física contra manipulaciones y accesos no autorizados y un entorno seguro para el módulo.
Gestión de claves criptográficas
-
Nivel 1
Limitada gestión de claves, con las claves generadas y utilizadas dentro del módulo.
-
Nivel 2
Gestión de claves mejorada, con claves generadas, almacenadas y utilizadas dentro del módulo, y la capacidad de actualizar claves de forma segura.
-
Nivel 3
Gestión de claves robusta, con generación, almacenamiento y uso seguros de claves, y la capacidad de actualizar claves de forma segura.
-
Nivel 4
El nivel más alto de gestión de claves, con generación, almacenamiento y uso seguros de claves, así como la capacidad de actualizar claves de forma segura y un entorno seguro para el módulo.
Algoritmos aprobados
-
Nivel 1, 2 y 3
AES, DES/3DES, RC2, RC4, SHA-1/224/256/384/512, DSA, ECDSA Los algoritmos están aprobados para su uso en cada nivel.
-
Nivel 4
Los algoritmos AES, DES/3DES, RC2, RC4, SHA-1/224/256/384/512, DSA, ECDSA están aprobados para su uso en este nivel.
Es importante tener en cuenta que los requisitos de seguridad específicos para cada nivel y los algoritmos aprobados para su uso en cada nivel pueden estar sujetos a cambios a medida que evolucionan la tecnología y las necesidades de seguridad.
Características clave de los niveles de seguridad FIPS 140-2
Algoritmos criptográficos
Los algoritmos criptográficos desempeñan un papel crucial en la protección de la información confidencial y son un factor importante a considerar al elegir un módulo criptográfico. FIPS 140-2 exige que todos los algoritmos criptográficos utilizados en módulos criptográficos estén aprobados por el NIST y sean lo suficientemente robustos como para proporcionar el nivel de seguridad requerido. Además, el estándar exige que los algoritmos criptográficos se implementen correctamente en el módulo criptográfico para garantizar el nivel de seguridad deseado.
Gestión de claves
La gestión de claves es un componente vital de cualquier sistema criptográfico, y FIPS 140-2 exige que todos los módulos criptográficos implementen procesos seguros de gestión de claves. El estándar especifica los requisitos de generación, almacenamiento y transmisión de claves para garantizar que las claves criptográficas estén protegidas contra el acceso no autorizado o la manipulación. Esto incluye requisitos para el almacenamiento seguro de claves, la transmisión segura de claves y el uso de procesos seguros de custodia de claves.
Seguridad física
La seguridad física es un aspecto vital para la protección de los módulos criptográficos, y el estándar FIPS 140-2 especifica los requisitos para la seguridad física de los módulos criptográficos. Esto incluye requisitos para el entorno en el que debe operar el módulo criptográfico, como la temperatura, la humedad y las interferencias electromagnéticas, así como para la protección física contra la manipulación o el robo.
Seguridad operacional
La seguridad operativa se refiere a la seguridad del módulo criptográfico durante su funcionamiento normal, y el estándar FIPS 140-2 especifica los requisitos para dicha seguridad. Esto incluye la autenticación de usuarios, el control de acceso, el registro de auditoría y la protección del módulo criptográfico contra accesos no autorizados, manipulación o modificación.
Pruebas y certificaciones
Para garantizar el cumplimiento del estándar FIPS 140-2, los módulos criptográficos deben someterse a pruebas exhaustivas por parte de un laboratorio externo acreditado. El laboratorio debe estar acreditado por el NIST y seguir los procedimientos especificados en el estándar. Una vez que el módulo criptográfico haya sido probado y certificado como conforme con el estándar, podrá utilizarse en sistemas gubernamentales que utilicen módulos criptográficos que cumplan con los requisitos de seguridad FIPS 140-2.
Conclusión
En conclusión, el uso de módulos criptográficos FIPS 140-2 garantiza a las organizaciones que sus sistemas criptográficos cumplen rigurosos requisitos de seguridad y son adecuados para proteger información confidencial. Al exigir estrictos requisitos de seguridad para la gestión de claves, la seguridad física, la seguridad operativa, las pruebas y la certificación, el estándar FIPS 140-2 garantiza la seguridad de sus sistemas criptográficos y la protección de la información confidencial contra el acceso no autorizado o la manipulación.
El estándar proporciona un marco claro para evaluar módulos criptográficos y ayuda a las organizaciones a elegir un módulo criptográfico que satisfaga sus necesidades de seguridad específicas.
Es importante que las organizaciones conozcan los requisitos de seguridad especificados por el estándar FIPS 140-2 y elijan módulos criptográficos que los cumplan. Esto garantizará la seguridad de sus sistemas criptográficos y el nivel de protección requerido para la información confidencial.
