Att hålla känsliga uppgifter, såsom personligt identifierbar information (PII), säkra i varje skede av deras livscykel är en viktig uppgift för alla organisationer. För att förenkla denna process har standarder, regler och bästa praxis skapats för att bättre skydda data. Federal Information Protection Standard, eller FIPS, är en av dessa standarder. Dessa standarder skapades av Nationella institutet för vetenskap och teknik (NIST) för att skydda myndighetsdata och säkerställa att de som arbetar med myndigheterna följer vissa säkerhetsstandarder innan de får tillgång till data. FIPS har ett antal standarder släppta, men den här artikeln diskuterar FIPS 140-2.
Vad är FIPS 140-2?
FIPS 140-2 är en standard som hanterar kryptografiska moduler och de som organisationer använder för att kryptera data i vila och data i rörelse. För att säkerställa efterlevnad av kryptografiska standarder specificerar FIPS 140-2 användningen av FIPS 140-2-kompatibla algoritmer för datakryptering. FIPS 140-2 har fyra säkerhetsnivåer, där nivå 1 är den minst säkra och nivå 4 den säkraste:
- FIPS 140-2 Nivå 1 – Nivå 1 har de enklaste kraven. Den kräver utrustning av produktionskvalitet och minst en testad krypteringsalgoritm. Detta måste vara en fungerande, 140-2-validerad krypteringsalgoritm, vilket innebär att den har testats noggrant och godkänts för användning.
- FIPS 140-2 Nivå 2 – Nivå 2 höjer ribban något och kräver att alla krav från nivå 1 används tillsammans med rollbaserad autentisering och manipuleringssäkra fysiska enheter. Den bör också köras på ett operativsystem som har godkänts enligt Common Criteria på EAL2.
- FIPS 140-2 Nivå 3 – FIPS 140-2 nivå 3 är den nivå som majoriteten av organisationer följer, eftersom den är säker men inte svår att använda på grund av den säkerheten. Denna nivå tar alla krav från nivå 2 och lägger till manipulationssäkra enheter, en separation av de logiska och fysiska gränssnitten som har "kritiska säkerhetsparametrar" som kommer in i eller lämnar systemet, och identitetsbaserad autentisering. Privata nycklar som lämnar eller kommer in i systemet måste också krypteras med FIPS 140-2-klagomålsalgoritmer, såsom AES, 3DES, RSA, DSA, ECDSA etc., innan de kan flyttas till eller från systemet.
- FIPS 140-2 Nivå 4 – Den säkraste nivån i FIPS 140-2 använder samma krav som nivå 3 och vill att den kompatibla enheten ska kunna vara manipuleringsaktiv och att enhetens innehåll ska kunna raderas om vissa miljöattacker upptäcks. Ett annat fokus för FIPS 140-2 nivå 4 är att operativsystemen som används av kryptografimodulen måste vara säkrare än tidigare nivåer. Om flera användare använder ett system ställs en ännu högre standard på operativsystemet.
Varför är det viktigt att vara FIPS 140-2-kompatibel?
En av de många anledningarna att bli FIPS-kompatibel är regeringens krav att alla organisationer som arbetar med dem måste vara FIPS 140-2-kompatibla. Detta krav säkerställer att myndighetsdata som hanteras av tredjepartsorganisationer lagras och krypteras säkert och med rätt nivåer av sekretess, integritet och autenticitet. Företag som vill skapa kryptografiska moduler, såsom nCipher eller Thales, måste bli FIPS-kompatibla om de vill att den stora majoriteten av företag ska använda deras enhet, särskilt regeringen. Många organisationer har utvecklat policyn att bli FIPS 140-2-kompatibla, eftersom det gör att deras organisation och tjänster verkar säkrare och mer pålitliga.
En annan anledning att vara FIPS-kompatibel är de rigorösa tester som har genomgåtts för att verifiera styrkan bakom kraven i FIPS 140-2. Kraven för varje nivå av FIPS 140-2 har valts ut efter en mängd olika tester för konfidentialitet, integritet, obestridlighet och äkthet. Eftersom regeringen har en del av den mest känsliga informationen i landet måste enheter, tjänster och andra produkter som används av dem alltid vara på högsta säkerhetsnivå. Att använda tjänster eller programvara utan dessa testade metoder på plats kan leda till ett massivt säkerhetsintrång, vilket orsakar problem för varje person i landet.
Vem behöver vara FIPS-kompatibel?
De huvudsakliga organisationer som måste vara FIPS 140-2-kompatibla är federala myndigheter som antingen samlar in, lagrar, delar, överför eller sprider känsliga uppgifter, såsom personligt identifierbar information. Alla federala myndigheter, deras entreprenörer och tjänsteleverantörer måste också vara kompatibla med FIPS. Dessutom måste alla system som distribueras i en federal miljö vara FIPS 140-2-kompatibla. Detta inkluderar de krypteringssystem som används av Cloud Service Providers (CSP:er), datorlösningar, programvara och andra relaterade system. Det betyder att endast de tjänster, enheter och programvara som är FIPS-kompatibla kan övervägas för användning av den federala regeringen, vilket är en av anledningarna till att så många teknikföretag vill se till att de är FIPS 140-2-kompatibla.
FIPS-efterlevnad är också erkänt runt om i världen som ett av de bästa sätten att säkerställa att kryptografiska moduler är säkra. Många organisationer följer FIPS för att säkerställa att deras egen säkerhet är i nivå med regeringens säkerhet. Många andra organisationer blir FIPS 140-2 efterlevnad för att distribuera sina produkter och tjänster inte bara i USA utan även internationellt. Eftersom FIPS är erkänt över hela världen kommer alla organisationer som uppfyller FIPS-kraven att ses som en betrodd leverantör av tjänster, produkter och programvara. Vissa områden, såsom tillverkning, hälso- och sjukvård och finanssektorn, tillsammans med lokala myndigheter, kräver också efterlevnad av FIPS 140-2.
Windows FIPS-läge
Windows FIPS-läge är en konfigurationsinställning i Windows-operativsystem som kräver användning av FIPS 140-2-verifierade kryptografiska metoder. När det är aktiverat garanterar det att krypterings- och dekrypteringsprocedurer endast använder auktoriserade kryptografiska metoder och nyckellängder.
Vad är FIPS-kod?
En FIPS-kod är en numerisk kod som unikt identifierar geografiska områden i USA. Antalet siffror i FIPS-koder varierar beroende på geografisk nivå. FIPS-koder på delstatsnivå har två siffror, FIPS-koder på länsnivå har fem siffror, varav de två första är FIPS-koden för den delstat som länet tillhör. Till exempel: FIPS-koden 06071 representerar Kalifornien (-06) och San Bernardino County (-071).