- 2020.11.30.
- 4 perc olvasásra
-
-
r
-
FIPS 140-2 szabvány áttekintése
A Federal Information Processing Standard (FIPS) 140-2 publikáció egy amerikai kormányzati szabvány, amely meghatározza az informatikai termékek kriptográfiai moduljainak minimális biztonsági követelményeit, az 1996-os Informatikai Menedzsment Reformtörvény 5131. szakaszában meghatározottak szerint.
A Cryptographic Module Validation Program (CMVP), az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézetének (NIST) és a Kanadai Kiberbiztonsági Központnak (CCCS) közös erőfeszítésével a kriptográfiai modulokat a kriptográfiai modulok biztonsági követelményeinek (azaz , FIPS 140-2) és a kapcsolódó FIPS kriptográfiai szabványok. A FIPS 140-2 biztonsági követelmények 11 területre vonatkoznak, amelyek a kriptográfiai modul tervezéséhez és megvalósításához kapcsolódnak. A NIST Informatikai Laboratórium egy kapcsolódó programot működtet, amely ellenőrzi a modulban a FIPS által jóváhagyott kriptográfiai algoritmusokat. 140–2 követelmény, a kriptográfiai modulok validálása a szabvány 2001-es indulása óta megtörtént. A Microsoft kriptográfiai moduljait a Nemzeti Szabványügyi és Technológiai Intézet (NIST) kriptográfiai modul-hitelesítő programja (CMVP) keretében validálja. Több Microsoft-termék, köztük számos felhőszolgáltatás, használja ezeket a kriptográfiai modulokat.
A Microsoft Windows kriptográfiai moduljaival kapcsolatos technikai információkért, az egyes modulok biztonsági házirendjéért és a CMVP-tanúsítvány részleteinek katalógusáért lásd: Windows és Windows Kiszolgáló FIPS 140-2 tartalma.
Microsoft hatókörű felhőszolgáltatások
Míg a jelenlegi CMVP FIPS 140-2 bevezetési útmutató kizárja a FIPS 140-2 érvényesítését magának a felhőszolgáltatásnak; a felhőszolgáltatók választhatják, hogy beszerzik-e és működtetik-e a FIPS 140 validált kriptográfiai modulokat a számítási elemek számára, amelyek felhőszolgáltatásukat tartalmazzák. A Microsoft online szolgáltatásai, amelyek tartalmazzák a FIPS 140-2 validált összetevőket, többek között a következőket tartalmazzák:
- Azure és Azure Government
- Dynamics 365 és Dynamics 365 Government
- Office 365, Office 365 US Government és Office 365 US Government Defense
Gyakran feltett kérdések
Mi a különbség a “FIPS 140 Validated” és a “FIPS 140 kompatibilis”?
“FIPS 140 érvényesítve” azt jelenti, hogy a kriptográfiai modult vagy a modult beágyazó terméket a CMVP hitelesítette (“hitelesítette”), hogy megfelel a FIPS 140-2 követelményeknek . A “FIPS 140-kompatibilis” az IT-termékek iparági elnevezése, amelyek a kriptográfiai funkcionalitáshoz a FIPS 140 Validated termékekre támaszkodnak.
Mikor vállalja a Microsoft a FIPS 140 ellenőrzést?
Az indítás lépése egy modulellenőrzés igazodik a Windows 10 és a Windows Server szolgáltatásfrissítéseihez. A szoftveripar fejlődésével az operációs rendszerek gyakrabban, havi szoftverfrissítésekkel kerülnek kiadásra. A Microsoft ellenőrzi a szolgáltatáskiadásokat, de a kiadások között igyekszik minimalizálni a változásokat a kriptográfiai modulokhoz.
Mely számítógépek szerepelnek a FIPS 140 érvényesítésben?
A Microsoft a kriptográfiai modulokat a Windows 10 és a Windows Server rendszert futtató hardverkonfigurációk reprezentatív mintáján ellenőrzi. Gyakori az ipari gyakorlat elfogadja ezt a FIPS 140-2 érvényesítést, amikor egy környezet hardvert használ, ami hasonló az érvényesítési folyamathoz használt mintákhoz.
A NIST webhelyen sok modul szerepel. tudja, melyik vonatkozik az ügynökségemre?
Ha a FIPS 140-2-vel hitelesített kriptográfiai modulokat kell használnia, akkor ellenőriznie kell, hogy az Ön által használt verzió megjelenik-e az érvényesítési listán. A CMVP és a Microsoft karbantartja az érvényesített kriptográfiai modulok listáját, termékkiadás szerint rendezve, valamint utasításokat tartalmaz a Windows rendszerre telepített modulok azonosítására. A rendszerek megfelelőségre történő konfigurálásával kapcsolatos további információkért tekintse meg a Windows és a Windows Server FIPS 140-2 tartalmát.
Mit jelent a tanúsítványon az „Amikor FIPS módban működtetjük?”
Ez a figyelmeztetés arról tájékoztatja az olvasót, hogy a kriptográfiai modulnak a FIPS 140-2 biztonsági házirendjével összhangban történő használatához be kell tartani a szükséges konfigurációs és biztonsági szabályokat. Minden modulnak megvan a saját biztonsági házirendje – a biztonsági szabályok pontos meghatározása, amelyek alapján működni fog -, és jóváhagyott kriptográfiai algoritmusokat, kriptográfiai kulcsok kezelését és hitelesítési technikákat alkalmaz. A biztonsági szabályokat az egyes modulok biztonsági házirendje határozza meg.További információkért, beleértve a CMVP-n keresztül ellenőrzött modulok biztonsági házirendjeire mutató linkeket, olvassa el a Windows és a Windows Server FIPS 140-2 tartalmát.
Szükséges-e a FedRAMP FIPS 140-2 érvényesítésre?
Igen, a szövetségi kockázat- és engedélykezelő program (FedRAMP) a NIST SP 800-53 4. változat által meghatározott ellenőrzési alapvonalakra támaszkodik, beleértve az SC-13 kriptográfiai védelmet, amely FIPS-val validált kriptográfia vagy NSA által jóváhagyott kriptográfia használatát írja elő.
Hogyan támogatja a Microsoft Azure a FIPS 140-2 használatát?
Az Azure hardver, kereskedelemben kapható operációs rendszerek (Linux és Windows) és a Windows Azure-specifikus verziójának kombinációjával épül fel . A Microsoft Security Development Lifecycle (SDL) révén az összes Azure-szolgáltatás a FIPS 140-2 által jóváhagyott algoritmusokat használja az adatbiztonsághoz, mert az operációs rendszer FIPS 140-2 által jóváhagyott algoritmusokat használ, miközben hiper léptékű felhőben működik.
Ügynökségem tanúsítási folyamata során a Microsoft betartja a FIPS 140-2-t?
A FIPS 140-2 betartásához a rendszerét úgy kell beállítani, hogy FIPS jóváhagyott működési módban fusson, ideértve annak biztosítását is, hogy a kriptográfiai modul csak FIPS által jóváhagyott algoritmusokat használ. A rendszerek megfelelőségre történő konfigurálásával kapcsolatos további információkért tekintse meg a Windows és a Windows Server FIPS 140-2 tartalmát.
Mi a kapcsolat a FIPS 140-2 és a Common Criteria között?
Ezek két különálló biztonsági szabvány különböző, de kiegészítő célokkal. A FIPS 140-2 kifejezetten a szoftveres és hardveres kriptográfiai modulok hitelesítésére szolgál, míg a Common Criteria az informatikai szoftverek és hardvertermékek biztonsági funkcióinak értékelésére szolgál. A Common Criteria értékelések gyakran a FIPS 140-2 validációkra támaszkodnak annak biztosítása érdekében, hogy az alapvető kriptográfiai funkciókat megfelelően valósítsák meg.