- 30.11.2020
- 4 Minuten zum Lesen
-
- r
FIPS 140-2-Standardübersicht
Die Veröffentlichung 140-2 des Federal Information Processing Standard (FIPS) ist ein Standard der US-Regierung, der Mindestsicherheitsanforderungen für kryptografische Module in Produkten der Informationstechnologie definiert, wie in Abschnitt 5131 des Information Technology Management Reform Act von 1996 definiert.
Das Cryptographic Module Validation Program (CMVP), eine gemeinsame Anstrengung des US-amerikanischen Nationalen Instituts für Standards und Technologie (NIST) und des kanadischen Zentrums für Cybersicherheit (CCCS), validiert kryptografische Module gemäß dem Standard für Sicherheitsanforderungen für kryptografische Module (d. h , FIPS 140-2) und verwandte FIPS-Kryptografiestandards. Die Sicherheitsanforderungen für FIPS 140-2 decken 11 Bereiche ab, die sich auf den Entwurf und die Implementierung eines kryptografischen Moduls beziehen. Das NIST Information Technology Laboratory betreibt ein verwandtes Programm, das die von FIPS genehmigten kryptografischen Algorithmen im Modul validiert.
Microsofts Ansatz zur FIPS 140-2-Validierung
Microsoft setzt sich aktiv für die Einhaltung der Anforderungen ein 140-2 Anforderungen, die seit Einführung des Standards im Jahr 2001 kryptografische Module validiert haben. Microsoft validiert seine kryptografischen Module im Rahmen des Cryptographic Module Validation Program (CMVP) des Nationalen Instituts für Standards und Technologie (NIST). Mehrere Microsoft-Produkte, einschließlich vieler Cloud-Dienste, verwenden diese kryptografischen Module.
Technische Informationen zu kryptografischen Microsoft Windows-Modulen, die Sicherheitsrichtlinie für jedes Modul und den Katalog mit CMVP-Zertifikatdetails finden Sie unter Windows und Windows Server-FIPS 140-2-Inhalt.
Microsoft-In-Scope-Cloud-Dienste
Während die aktuelle Implementierungsanleitung für CMVP FIPS 140-2 eine FIPS 140-2-Validierung für einen Cloud-Dienst selbst ausschließt; Cloud-Dienstanbieter können FIPS 140-validierte kryptografische Module für die Computerelemente erhalten und betreiben, aus denen ihr Cloud-Dienst besteht. Zu den Microsoft-Onlinediensten, die Komponenten enthalten, die nach FIPS 140-2 validiert wurden, gehören unter anderem:
- Azure und Azure Government
- Dynamics 365 und Dynamics 365 Government
- Office 365, Office 365 US-Regierung und Office 365 US-Regierung Verteidigung
Häufig gestellte Fragen
Was ist der Unterschied zwischen „FIPS 140 Validated“ und „FIPS 140-konform“?
„FIPS 140-validiert“ bedeutet, dass das kryptografische Modul oder ein Produkt, in das das Modul eingebettet ist, vom CMVP als den FIPS 140-2-Anforderungen entsprechend validiert („zertifiziert“) wurde . „FIPS 140-konform“ ist ein Branchenbegriff für IT-Produkte, deren kryptografische Funktionalität auf FIPS 140-validierten Produkten basiert.
Wann führt Microsoft eine FIPS 140-Validierung durch?
Die Trittfrequenz für den Start Eine Modulvalidierung wird an den Funktionsupdates von Windows 10 und Windows Server ausgerichtet. Mit der Entwicklung der Softwareindustrie werden Betriebssysteme häufiger mit monatlichen Softwareupdates veröffentlicht. Microsoft führt eine Validierung für Funktionsversionen durch, versucht jedoch zwischen den Versionen, die Änderungen zu minimieren zu den kryptografischen Modulen.
Welche Computer sind in einer FIPS 140-Validierung enthalten?
Microsoft validiert kryptografische Module anhand eines repräsentativen Beispiels von Hardwarekonfigurationen unter Windows 10 und Windows Server In der Industrie wird diese FIPS 140-2-Validierung akzeptiert, wenn in einer Umgebung Hardware verwendet wird, die den für den Validierungsprozess verwendeten Beispielen ähnelt.
Auf der NIST-Website sind viele Module aufgeführt Wissen Sie, welche für meine Agentur gilt?
Wenn Sie kryptografische Module verwenden müssen, die durch FIPS 140-2 validiert wurden, müssen Sie überprüfen, ob die von Ihnen verwendete Version in der Validierungsliste angezeigt wird. CMVP und Microsoft führen eine Liste validierter kryptografischer Module, die nach Produktversionen geordnet sind, sowie Anweisungen zum Identifizieren, welche Module auf einem Windows-System installiert sind. Weitere Informationen zum Konfigurieren von Systemen für die Kompatibilität finden Sie im Windows- und Windows Server-FIPS 140-2-Inhalt.
Was bedeutet „Im FIPS-Modus betrieben“ für ein Zertifikat?
Diese Einschränkung informiert den Leser darüber, dass die erforderlichen Konfigurations- und Sicherheitsregeln befolgt werden müssen, um das kryptografische Modul in einer Weise zu verwenden, die mit der Sicherheitsrichtlinie FIPS 140-2 übereinstimmt. Jedes Modul verfügt über eine eigene Sicherheitsrichtlinie – eine genaue Spezifikation der Sicherheitsregeln, nach denen es ausgeführt wird – und verwendet zugelassene kryptografische Algorithmen, Verwaltung kryptografischer Schlüssel und Authentifizierungstechniken. Die Sicherheitsregeln sind in der Sicherheitsrichtlinie für jedes Modul definiert.Weitere Informationen, einschließlich Links zur Sicherheitsrichtlinie für jedes durch CMVP validierte Modul, finden Sie im Windows- und Windows Server-FIPS 140-2-Inhalt.
Benötigt FedRAMP eine FIPS 140-2-Validierung?
Ja, das Federal Risk and Authorization Management-Programm (FedRAMP) stützt sich auf Kontrollgrundlagen, die in NIST SP 800-53 Revision 4 definiert sind, einschließlich des SC-13-Kryptografieschutzes, der die Verwendung von FIPS-validierter Kryptografie oder von der NSA genehmigter Kryptografie vorschreibt.
Wie unterstützt Microsoft Azure FIPS 140-2?
Azure wird mit einer Kombination aus Hardware, handelsüblichen Betriebssystemen (Linux und Windows) und Azure-spezifischer Windows-Version erstellt . Während des Microsoft Security Development Lifecycle (SDL) verwenden alle Azure-Dienste FIPS 140-2-genehmigte Algorithmen für die Datensicherheit, da das Betriebssystem FIPS 140-2-genehmigte Algorithmen verwendet, während es in einer Hyper-Scale-Cloud arbeitet.
Can Ich verwende die Einhaltung von FIPS 140-2 durch Microsoft im Zertifizierungsprozess meiner Agentur.
Um FIPS 140-2 zu erfüllen, muss Ihr System so konfiguriert sein, dass es in einem von FIPS genehmigten Betriebsmodus ausgeführt wird. Dazu gehört auch, dass a Das kryptografische Modul verwendet nur von FIPS genehmigte Algorithmen. Weitere Informationen zum Konfigurieren von Systemen für die Kompatibilität finden Sie im Inhalt von Windows und Windows Server FIPS 140-2.
Welche Beziehung besteht zwischen FIPS 140-2 und allgemeinen Kriterien?
Diese sind zwei separate Sicherheitsstandards mit unterschiedlichen, aber komplementären Zwecken. FIPS 140-2 wurde speziell für die Validierung von Software- und Hardware-Kryptografiemodulen entwickelt, während die allgemeinen Kriterien zur Bewertung von Sicherheitsfunktionen in IT-Software- und Hardwareprodukten entwickelt wurden. Common Criteria-Bewertungen stützen sich häufig auf FIPS 140-2-Validierungen, um sicherzustellen, dass die grundlegenden kryptografischen Funktionen ordnungsgemäß implementiert sind.