- 30/11/2020
- 4 minutter at læse
-
- r
FIPS 140-2 standardoversigt
Federal Information Processing Standard (FIPS) offentliggørelse 140-2 er en amerikansk regeringsstandard, der definerer mindstekrav til sikkerhedskrav for kryptografiske moduler i informationsteknologiprodukter som defineret i afsnit 5131 i reformteknologien til informationsteknologi fra 1996.
Cryptographic Module Validation Program (CMVP), en fælles indsats fra US National Institute of Standards and Technology (NIST) og Canadian Center for Cyber Security (CCCS), validerer kryptografiske moduler til sikkerhedskrav til kryptografiske moduler (dvs. , FIPS 140-2) og relaterede FIPS-kryptografistandarder. FIPS 140-2 sikkerhedskravene dækker 11 områder relateret til design og implementering af et kryptografisk modul. NIST Information Technology Laboratory driver et relateret program, der validerer de FIPS-godkendte kryptografiske algoritmer i modulet.
Microsofts tilgang til FIPS 140-2-validering
Microsoft opretholder en aktiv forpligtelse til at opfylde 140-2 krav, der har validerede kryptografiske moduler siden standardens start i 2001. Microsoft validerer sine kryptografiske moduler under National Institute of Standards and Technology (NIST) Cryptographic Module Validation Program (CMVP). Flere Microsoft-produkter, inklusive mange cloudtjenester, bruger disse kryptografiske moduler.
For tekniske oplysninger om Microsoft Windows-kryptografiske moduler, sikkerhedspolitikken for hvert modul og kataloget over CMVP-certifikatoplysninger, se Windows og Windows Server FIPS 140-2 indhold.
Microsofts cloud-tjenester inden for omfanget
Mens den nuværende CMVP FIPS 140-2-vejledning til implementering udelukker en FIPS 140-2-validering for selve en cloud-tjeneste; cloud-tjenesteudbydere kan vælge at hente og betjene FIPS 140-validerede kryptografiske moduler til de computerelementer, der omfatter deres cloud-tjeneste. Microsofts onlinetjenester, der inkluderer komponenter, der er FIPS 140-2 valideret, inkluderer blandt andet:
- Azure og Azure Government
- Dynamics 365 og Dynamics 365 Government
- Office 365, Office 365 US Government og Office 365 US Government Defense
Ofte stillede spørgsmål
Hvad er forskellen mellem “FIPS 140 Validated” og “FIPS 140-kompatibel”?
“FIPS 140 Valideret” betyder, at det kryptografiske modul eller et produkt, der integrerer modulet, er valideret (“certificeret”) af CMVP som opfylder FIPS 140-2-kravene . “FIPS 140-kompatibel” er en brancheterm for it-produkter, der er afhængige af FIPS 140-validerede produkter for kryptografisk funktionalitet.
Hvornår foretager Microsoft en FIPS 140-validering?
Kadence til start et modulvalidering tilpasser sig funktionsopdateringerne til Windows 10 og Windows Server. Efterhånden som softwareindustrien udviklede sig, frigives operativsystemer oftere med månedlige softwareopdateringer. Microsoft foretager validering af funktionsudgivelser, men imellem udgivelser søger at minimere ændringerne til de kryptografiske moduler.
Hvilke computere er inkluderet i en FIPS 140-validering?
Microsoft validerer kryptografiske moduler på en repræsentativ prøve af hardwarekonfigurationer, der kører Windows 10 og Windows Server. Det er almindeligt branchepraksis til at acceptere denne FIPS 140-2-validering, når et miljø bruger hardware, der svarer til de prøver, der bruges til valideringsprocessen.
Der er mange moduler opført på NIST-webstedet. Hvordan gør jeg ved, hvilken der gælder for mit bureau?
Hvis du skal bruge kryptografiske moduler valideret via FIPS 140-2, skal du kontrollere, at den version, du bruger, vises på valideringslisten. CMVP og Microsoft opretholder en liste over validerede kryptografiske moduler, organiseret efter produktudgivelse sammen med instruktioner til identifikation af, hvilke moduler der er installeret på et Windows-system. For mere information om konfiguration af systemer, der skal være kompatible, se Windows 140 og Windows Server 140-2-indholdet.
Hvad betyder “Når det betjenes i FIPS-tilstand” på et certifikat?
Denne advarsel informerer læseren om, at de krævede konfigurations- og sikkerhedsregler skal følges for at bruge det kryptografiske modul på en måde, der er i overensstemmelse med dets FIPS 140-2 sikkerhedspolitik. Hvert modul har sin egen sikkerhedspolitik – en præcis specifikation af de sikkerhedsregler, som det fungerer under – og anvender godkendte kryptografiske algoritmer, kryptografisk nøglehåndtering og godkendelsesteknikker. Sikkerhedsreglerne er defineret i sikkerhedspolitikken for hvert modul.For mere information, herunder links til sikkerhedspolitikken for hvert modul, der er valideret gennem CMVP, se Windows 140 og Windows Server-indholdet.
Kræver FedRAMP FIPS 140-2-validering?
Ja, Federal Risk and Authorization Management Program (FedRAMP) er afhængig af kontrolbaselinjer defineret af NIST SP 800-53 Revision 4, inklusive SC-13 Cryptographic Protection, der pålægger brugen af FIPS-valideret kryptografi eller NSA-godkendt kryptografi.
Hvordan understøtter Microsoft Azure FIPS 140-2?
Azure er bygget med en kombination af hardware, kommercielt tilgængelige operativsystemer (Linux og Windows) og Azure-specifik version af Windows . Gennem Microsofts sikkerhedsudviklingslivscyklus (SDL) bruger alle Azure-tjenester FIPS 140-2-godkendte algoritmer til datasikkerhed, fordi operativsystemet bruger FIPS 140-2-godkendte algoritmer, mens de kører i en hyperskala.
Kan Jeg bruger Microsofts overholdelse af FIPS 140-2 i mit bureaus certificeringsproces?
For at overholde FIPS 140-2 skal dit system være konfigureret til at køre i en FIPS-godkendt driftsform, som inkluderer at sikre, at kryptografisk modul bruger kun FIPS-godkendte algoritmer. For mere information om konfiguration af systemer, der skal være kompatible, se FIPS 140-2-indholdet i Windows og Windows Server.
Hvad er forholdet mellem FIPS 140-2 og Common Criteria?
Disse er to separate sikkerhedsstandarder med forskellige, men supplerende formål. FIPS 140-2 er designet specielt til validering af software- og hardwarekryptografiske moduler, mens Common Criteria er designet til at evaluere sikkerhedsfunktioner i IT-software og hardwareprodukter. Almindelige kriterievurderinger er ofte afhængige af FIPS 140-2-valideringer for at sikre, at grundlæggende kryptografisk funktionalitet er implementeret korrekt.