FIPS 140-3-övergångshandboken: Hur man blir kompatibel före den 21 september 2026 

Snabbt svar: En komplett FIPS 140-3-övergång sker i fyra faser: Discover (skapa den kryptografiska materiallistan), Remediate (sex parallella spår som täcker algoritmer, HSM:er, FIPS-läge, moln-KMS, leverantörer och dokumentation), Verify (skanning efter åtgärd och bevispaketet för efterlevnad) och Sustain (det pågående programmet som håller efterlevnaden vid liv). Ramverket fungerar när identifieringen startar omedelbart, och spåren med längst ledtid, HSM-ersättning och leverantörseskalering, löper från dag ett.

Viktiga takeaways

• Del 1 och 2 behandlade vad och varför; detta är hur: ett ramverk i fyra faser som tar en organisation från okänd kryptografisk position till försvarbar, evidensbaserad efterlevnad.
• Ocuco-landskapet Kryptografisk materialförteckning Inbyggt i fas 1 avgör allt nedströms. De tillgångar som missas, öst-västliga TLS, skuggcertifikat, moln-KMS-nivåer och SaaS-plattformar, ligger utanför standardverktygets omfattning.
• Alla sex reparationsspår måste starta samtidigt, eftersom tidslinjerna för utbyte av HSM-hårdvara och leverantörens CMVP inte kan vänta på att kortare spår ska slutföras.
• Efterlevnad kan endast styrkas med bevis: CMVP-register verifierade på csrc.nist.gov, konfigurationsexporter, viktiga ceremoniregister, testresultat och uppdaterade policyer.
• Checklistan med åtta punkter i slutet definierar hur ett utfört projekt faktiskt ser ut, bekräftat genom direkt verifiering, inte antaget utifrån leverantörens påståenden.

Detta är del 3 i en serie i tre delar. del 1 täcker vad FIPS 140-3 kräver och vad som har ändrats från FIPS 140-2. del 2 täcker de åtta utmaningar som ständigt spårar ur övergångsprogram. Var och en av dessa utmaningar, CMVP-eftersläpningen, FIPS-lägesgapet, HSM ledtider, standardinställningar för moln-KMS, komplexitet i leverantörsekosystem, har en känd lösning. Det som varierar mellan organisationer är inte huruvida lösningarna finns, utan om det finns tillräckligt med struktur och återstående tid för att genomföra dem före den 21 september 2026.

För organisationer som börjar nu är den ungefär fjorton veckor långa processen fungerande men har ingen spelrumseffekt. Den slutar fungera om de första veckorna ägnas åt att bestämma hur man ska börja, om de svåra aktiviteterna skjuts upp tills de enkla är klara, eller om leverantörsengagemanget väntar på att den interna utvärderingen ska vara klar. Ramverket som fungerar sekvenserar aktiviteter korrekt, kör spåren med längst ledtid från dag ett och behandlar hela insatsen som ett samordnat program snarare än en sekventiell checklista.

Hur ser ramverket med fyra faser ut?

Fas	Tidpunkten	Vad den producerar
1. Upptäck	Vecka 1–4	En komplett kryptografisk materiallista: varje kryptografisk tillgång, dess konfiguration, dess FIPS-certifikatstatus och dess riskklassificering.
2. Åtgärda	Vecka 3–12	Sex parallella spår: algoritmsanering, HSM-uppgraderingar, aktivering av FIPS-läge, omkonfigurering av moln-KMS, leverantörseskalering och dokumentation.
3. Verifiera	Vecka 11–14	Skanning efter åtgärdande, intern testning, paketet med bevis för efterlevnad och den formella efterlevnadsförklaringen.
4. Hålla	Pågående	Det operativa programmet som kontinuerligt säkerställer efterlevnaden: övervakning, säkra uppdateringar, tillämpning av nyckelhantering och årlig revision.

Varje fas producerar vad nästa behöver, och inom fas 2 löper varje spår parallellt, eftersom olika aktiviteter har olika ledtider och det enda sättet att få plats med allt inom fönstret är att starta allt på en gång.

Fas 1: Hur bygger man den kryptografiska materiallistan?

CBOM är grunden för allt annat. Dess fullständighet avgör om åtgärdsprogrammet faktiskt är heltäckande, eller om det åtgärdar de synliga luckorna samtidigt som de osynliga lämnas orörda. De tillgångar som oftast missas är inte obskyra; de ligger helt enkelt utanför standardräckvidden för de verktyg som de flesta organisationer använder först.

• Säkerhetsmoduler för hårdvara kräver direkt leverantörskontakt för att bekräfta om den specifika firmwareversionen som körs för närvarande har ett aktivt FIPS 140-3-certifikat, och om det finns en uppgraderingsväg om det inte finns. Denna fråga har den längsta nedströmskonsekvensen, vilket är anledningen till att den hör hemma i fas 1, inte fas 2.
• TLS-slutpunktsinventering behöver täcka öst-västlig trafik mellan applikationsnivåer och databaser, inte bara perimetertjänster. Interna anslutningar förhandlar vad än applikationen ursprungligen var kodad för att förhandla, och det är konsekvent där de viktigaste fynden från föråldrade algoritmer finns.
• Loggar för certifikattransparens är den mest underutnyttjade identifieringskällan som finns tillgänglig. Varje offentligt betrodd certifikatutfärdare måste skicka in alla certifikat till CT-loggar, som är offentligt sökbara. Att jämföra CT-loggutdata för dina domäner med ditt certifikathanteringssystem visar alla skuggcertifikat som någonsin utfärdats, vilka alla omfattas av reglering, oavsett om de visas i ditt hanterade inventarium eller inte.
• Cloud KMS-konfigurationer kräver att man granskar slutpunktskonfiguration och val av nyckelnivå, särskilt inte bara om moln-KMS används. Som del 2 behandlade beror FIPS-efterlevnad vid molnnyckelhantering på konfigurationsval som inte är standard hos någon större leverantör.
• SaaS-plattformar och anpassade applikationer Kräv strukturerade leverantörsfrågeformulär med direkt CMVP-certifikatverifiering som valideringssteg. Självintyg är inte tillräckligt; be om specifika certifikatnummer och verifiera varje nummer på csrc.nist.gov.

Fas 2: Vilka är de sex saneringsspåren?

Det är här övergången faktiskt sker. Alla sex spåren börjar tillsammans i vecka 3 och 4, eftersom det är det enda schemat som fungerar inom fönstret.

• Algoritmspår (veckor 4–8): ta bort Trippel-DES, SHA-1, RSA-1024, TLS 1.0 och TLS 1.1 från varje aktiv krypteringsväg. Återutfärda SHA-1-certifikat genom hela kedjan, från rot till löv. Testa i icke-produktion före övergång: applikationer med hårdkodade algoritmreferenser bryts när den underliggande modulen växlar till endast FIPS-drift.
• HSM-spåret (veckorna 4–12): För HSM:er med uppgraderingsvägar för firmware, koordinera uppgraderingen med icke-produktionstestning, ändringshantering och verifiering efter uppgradering; budgetera minst fyra till sex veckor. För HSM:er utan uppgraderingsväg, påbörja ersättningsanskaffning omedelbart: det är en process på tre till sex månader, och om den börjar i vecka 8 slutförs den inte före den 21 september.
• Aktiveringsspår för FIPS-läge (veckor 5–10): Aktivera FIPS-läge på varje modul inom scopet, verifiera att självtester körs korrekt, testa kompatibilitet mellan beroende applikationer och dokumentera konfigurationstillståndet som bevis på efterlevnad. Att skicka FIPS-läge till produktion utan testning producerar rutinmässigt kompatibilitetsfel som skjuter tillbaka hela tidslinjen.
• Cloud KMS-spår (veckor 5–9): Migrera till FIPS-slutpunkter på AWS, HSM-baserade nivåer på Azure och Cloud HSM-nyckelringar på GCPMappa nedströmsberoenden före övergången och uppdatera varje applikation som anropar standardslutpunkter. Detta är en migrering med applikationsberoenden, inte en inställningsändring.
• Leverantörsspår (veckor 3–12, från dag ett): Kräv CMVP-certifikatnummer från varje leverantör med moduler som ingår och verifiera var och en på csrc.nist.gov. För moduler i kön, få förväntade slutförandedatum och övervaka listan över pågående moduler. För leverantörer som inte kan certifiera före september, gör ett beredskapsbeslut tidigt: riskacceptans med kompenserande kontroller för lågrisksystem, ersättning för system med reglerade data.
• Dokumentationsspår (veckor 6–12): Uppdatera kryptografiska policyer, säkerhetspolicydokument, nyckelhanteringsprocedurer och operativa runbooks allt eftersom ändringar görs, inte efter att fas 2 har avslutats. Dokumentation som produceras under implementeringen är korrekt; dokumentation som produceras efteråt rekonstrueras och luckorna visas under granskning.

Fas 3: Hur verifierar och bevisar du efterlevnad?

Att åtgärda och verifiera är olika aktiviteter. Att ändra en konfiguration är inte detsamma som att bekräfta att den gav det avsedda resultatet. Fas 3 täcker den luckan och bygger det bevispaket som gör efterlevnaden påvisbar.

• Skanning efter sanering kör om identifieringen på alla system inom scopet och bekräftar att föråldrade algoritmer saknas i alla aktiva krypteringsvägar och att FIPS-läget är aktivt på varje modul. Dessa resultat är dokumentära bevis på att programmet uppnådde sina mål.
• Intern testning bekräftar att självtester körs vid start och under angivna förhållanden, FIPS-läget fungerar enligt varje moduls säkerhetspolicy och moduler avvisar icke-godkända algoritmförfrågningar snarare än att tyst försämras. För hårdvarumoduler på nivå 3 och högre krävs även verifiering av fysisk säkerhet och hantering av känsliga säkerhetsparametrar.
• Paketet med bevis för efterlevnad bör inkludera CMVP-certifikatposter med aktiv status bekräftad på csrc.nist.gov, konfigurationsexporter som visar FIPS-läge aktiverat, viktiga ceremoniposter för CA privata nycklar och huvudnycklar, interna testresultat, leverantörsdokumentation och uppdaterade policydokument. Detta är vad en FedRAMP-bedömning, en OCR-revision, en granskning av en finansiell granskare eller ett samtal om cyberförsäkringsunderwriting kommer att efterfråga.

Fas 4: Hur upprätthåller ni efterlevnaden?

De organisationer som genomför denna process med några års mellanrum behandlar FIPS 140-3 som ett projekt. De organisationer som inte behandlar det som ett program. Fas 4 är skillnaden.

• Certifikatövervakning: Spåra CMVP-status för varje leverantörsmodul inom scopet kontinuerligt, inte vid årliga granskningscykler. En modul kan gå från Aktiv till Historisk när en version ersätts; ett certifikat kan återkallas när ett säkerhetsproblem upptäcks. Dessa händelser meddelar inte sig själva.
• Säker uppdateringshantering: Alla firmware- och programuppdateringar till kryptografiska moduler genomgår FIPS-kompatibilitetstestning före produktion. Leveranskedjans scenario, där skadlig firmware i tysthet komprometterar en modul, är precis vad FIPS 140-3:s krav på programvaruintegritet adresserar; att verifiera uppdateringar innan de tillämpas är den kompletterande operativa kontrollen.
• Tillämpning av nyckelhantering: Kryptoperioder, dubbel kontroll för CA:s privata nycklar och huvudnycklar, HSM-baserad nyckellagring och dokumenterad nollställning som tillämpas kontinuerligt. Nyckelhanteringsmetoder är den vanligast identifierade FIPS-efterlevnadsbristen i produktionsmiljöer, och de återgår efter åtgärd utan aktiv tillämpning.
• Årlig kryptografisk granskning: En fullständig CBOM-granskning varje år som upptäcker luckor som uppstått genom systemändringar, nya leverantörsprodukter, ändringar i certifikatstatus och utvecklande NIST-riktlinjer.

Checklista för efterlevnad: hur ser det ut som gjorts?

Innan någon organisation på ett trovärdigt sätt kan hävda att de uppfyller FIPS 140-3-kraven till en tillsynsmyndighet, revisor eller försäkringsgivare, måste vart och ett av följande vara verifierbart sant, bekräftat genom direkt verifiering snarare än antaget enbart utifrån leverantörspåståenden eller innehav av certifikat.

• Aktivt FIPS 140-3 CMVP-certifikat för varje modul som ingår, verifierad på csrc.nist.gov: Aktiv status, korrekt modulversion matchar vad som är distribuerat, lämplig säkerhetsnivå för användningsfallet.
• FIPS-läge aktivt aktiverat i produktion, inte bara FIPS-kompatibelt: självtester körs, algoritmbegränsningar tillämpas, kryptografiska gränser respekteras enligt varje moduls säkerhetspolicy.
• Inga föråldrade algoritmer i någon aktiv krypteringsväg: ingen Triple-DES, ingen SHA-1 i nya implementeringar, ingen RSA-1024, ingen TLS 1.0 eller 1.1 på någon aktiv slutpunkt.
• Moln-KMS konfigurerat korrekt: FIPS-slutpunkter för AWS, HSM-baserade nivåer för Azure, moln-HSM-nyckelringar för GCP, verifierade genom slutpunktstester snarare än utdragna från leverantörsdokumentation.
• Nyckelhanteringspraxis som uppfyller FIPS 140-3: generering inom FIPS-validerade HSM:er, definierade kryptoperioder som tillämpas, dubbel kontroll för CA:s privata nycklar och huvudnycklar, och dokumenterade nollställningsprocedurer.
• Alla leverantörer verifierade genom direkt CMVP-verifiering; certifikatnummer bekräftade för varje modul som ingår. Självintyg är inte tillräckligt.
• Sammanställt och bevarat paket med efterlevnadsbevis: CMVP-register, konfigurationsexporter, viktiga register över ceremonier, testresultat, leverantörsdokumentation, uppdaterade policyer.
• Löpande efterlevnadsprogram i drift: certifikatövervakning, säker uppdateringshantering, nyckelhantering verkställighet, årlig kryptografisk granskning och planering av förnyelse.

Vilka misstag spårar ur programmen?

• Behandlar detta som ett dokumentationsprojekt: Efterlevnad av FIPS 140-3 kräver rejält ingenjörsarbete inom alla elva säkerhetsområden. Policyuppdateringar och certifikatinsamling lämnar konsekvent väsentliga brister oåtgärdade.
• För sent att börja upptäcka det: HSM-ersättning, inlämning av leverantörs-CMVP och återutgivning av certifikat har alla ledtider som inte kan komprimeras. Upptäckten som börjar i juli ger inte tid att agera utifrån vad den hittar.
• Accepterar leverantörsintyg istället för CMVP-verifiering: En leverantör som påstår sig uppfylla FIPS 140-3 utan ett certifikatnummer gör ett påstående som inte kan verifieras. Kräv numret; verifiera det.
• Omfattning av bedömningen kring den infrastruktur du redan känner till: SaaS-plattformar, anpassade applikationer och uppkopplade enheter är de kategorier som oftast förbises. En komplett CBOM kräver medveten ansträngning för att få fram alla tre.
• Att skjuta upp leverantörssamtal tills det interna arbetet är klart: Leverantörernas tidslinjer ligger utanför din kontroll. Att starta dessa samtal parallellt med fas 1 är den enda metoden som sparar tid ifall svaret visar sig vara komplicerat.

Hur krypteringskonsulting kan hjälpa

Krypteringskonsultföretagets FIPS 140-3 rådgivningstjänster för efterlevnad leverera det kompletta programmet som beskrivs i det här inlägget, från initial kryptografisk identifiering till efterlevnadsattester, med den fokuserade kryptografiska expertis som övergången kräver. Våra konsulter har årtionden av praktisk erfarenhet av PKI-arkitektur, HSM-distribution, design av nyckelhanteringsprogram och kryptografisk efterlevnad inom hälso- och sjukvård, federala, finansiella och företagsmiljöer.

• FIPS 140-3-efterlevnadsbedömning: Fullständig kryptografisk identifiering som producerar en komplett kryptografisk materiallista, med varje lucka klassificerad efter risknivå och varje leverantörsmodul verifierad på csrc.nist.gov. Omfattningen är granskad för att hitta vad infrastrukturbedömningar missar: SaaS-plattformar, anpassade applikationer, molnbaserade KMS-konfigurationer och anslutna enheter.
• Analys av gap inom alla elva säkerhetsområden: Programvaruintegritet, icke-invasiv säkerhet, hantering av känsliga säkerhetsparametrar, livscykelsäkring och FIPS-lägeskonfiguration, inte bara de två områden som de flesta bedömningar kontrollerar.
• FIPS 140-3 Övergångsstrategi: En riskprioriterad, sekvenserad åtgärdsplan som återspeglar de faktiska begränsningarna i din miljö, kalibrerad till deadline den 21 september 2026.
• Rådgivning och certifiering om efterlevnad: Rapportering av efterlevnadsstatus på chefsnivå och attesteringsdokumentation strukturerad för att hålla måttet vid regulatorisk granskning, FedRAMP-bedömning, OCR-revision och cyberförsäkringsunderwriting.

Vanliga frågor och svar

Hur lång tid tar en övergång till FIPS 140-3?

Ett strukturerat program löper ungefär fjorton till sexton veckor: två till fyra veckor för identifiering, två till tre veckor för gapanalys och sju till tio veckor för parallell åtgärd och verifiering. Utbyte av HSM-hårdvara, där det behövs, sträcker sig över tre till sex månader, vilket är anledningen till att det börjar i fas 1.

Vad är en kryptografisk materiallista?

En komplett, maskinläsbar inventering av varje kryptografisk tillgång i miljön: nycklar, certifikat, algoritmer, protokoll och moduler, var och en med sin egen konfiguration, FIPS certifikatstatus och riskklassificering. Det är grunden som varje saneringsbeslut bygger på.

Vilka bevis bör efterlevnadspaketet innehålla?

CMVP-certifikatposter med verifierad aktiv status, konfigurationsexporter som bevisar FIPS-läge, viktiga ceremoniposter, interna testresultat, leverantörsdokumentation och uppdaterade policydokument.

Varför är CT-loggar viktiga för FIPS-efterlevnad?

Certifikattransparensloggar registrerar alla certifikat som offentligt betrodda CA:er någonsin har utfärdat för dina domäner, inklusive skuggcertifikat som aldrig har kommit in i ditt hanteringssystem. Alla omfattas av reglering, och att jämföra CT-utdata med ditt lager är det snabbaste sättet att hitta dem.

Vad händer efter den 21 september 2026?

FIPS 140-2-certifikat är historiska och efterlevnadsramverk som refererar till aktiv validering, federal upphandling, HIPAA safe harbor-förväntningar, och FedRAMP erkänner dem inte längre. Hållbarhetsfasen i detta ramverk håller den nya hållningen aktuell, så att nästa övergång aldrig blir en ny nödsituation.

Slutsats

Den 21 september 2026 är ett fast datum. Ramverket i fyra faser i det här inlägget är utformat för att ta vilken organisation som helst från en okänd kryptografisk position till försvarbar, evidensbaserad FIPS 140-3-efterlevnad inom de ungefär fjorton veckor som är tillgängliga för organisationer från och med nu. Det fungerar när fas 1 startar omedelbart, leverantörseskalering sker från dag ett och alla sex åtgärdsspår sker samtidigt när gapanalysen är klar.

Kryptografisk efterlevnad är säkerhet på infrastrukturnivå: ingen märker det när det fungerar, och alla märker det när det misslyckas, vid en utredning av säkerhetsintrång, en OCR-revision, en federal kontraktsgranskning eller ett underwriting-samtal. Migreringen från SHA-1 till SHA-256 beräknades ta fem år och tog mer än tio. FIPS 140-3 Övergången har en deadline; postkvantmigrationen har inte det, och de organisationer som behandlar den som den tvingande funktion den är kommer att vara bättre positionerade för allt som följer.

Redo att komma igång? Kontakta oss Krypteringskonsulting at [e-postskyddad] för att boka ditt personliga konsultationssamtal. Vi kan ha din kryptografiska materiallista och gapanalys klara inom fyra veckor, tillräckligt med tid för ett komplett övergångsprogram före den 21 september 2026.