- 30/11/2020
- 4 minutter å lese
-
-
r
-
FIPS 140-2 standardoversikt
Federal Information Processing Standard (FIPS) -publikasjon 140-2 er en amerikansk myndighetsstandard som definerer minimumskrav til sikkerhet for kryptografiske moduler i informasjonsteknologiprodukter, som definert i seksjon 5131 i reformloven for informasjonsteknologi fra 1996.
p> Cryptographic Module Validation Program (CMVP), en felles innsats av US National Institute of Standards and Technology (NIST) og Canadian Center for Cyber Security (CCCS), validerer kryptografiske moduler til sikkerhetskravene for kryptografiske moduler (dvs. , FIPS 140-2) og relaterte FIPS-kryptografistandarder. FIPS 140-2 sikkerhetskravene dekker 11 områder knyttet til utforming og implementering av en kryptografisk modul. NIST Information Technology Laboratory driver et relatert program som validerer de FIPS-godkjente kryptografiske algoritmene i modulen.
Microsofts tilnærming til FIPS 140-2-validering
Microsoft opprettholder en aktiv forpliktelse til å møte 140-2 krav, som har validert kryptografiske moduler siden standardens start i 2001. Microsoft validerer sine kryptografiske moduler under National Institute of Standards and Technology (NIST) Cryptographic Module Validation Program (CMVP). Flere Microsoft-produkter, inkludert mange skytjenester, bruker disse kryptografiske modulene.
For teknisk informasjon om Microsoft Windows-kryptografiske moduler, sikkerhetspolicy for hver modul og katalogen over CMVP-sertifikatdetaljer, se Windows og Windows Server FIPS 140-2-innhold.
Microsofts skytjenester i omfang
Mens den nåværende CMVP FIPS 140-2-implementeringsveiledningen utelukker en FIPS 140-2-validering for selve skytjenesten; leverandører av skytjenester kan velge å skaffe og betjene FIPS 140-validerte kryptografiske moduler for databehandlingselementene som omfatter deres skytjeneste. Microsofts elektroniske tjenester som inkluderer komponenter som er FIPS 140-2 validert inkluderer blant annet:
- Azure og Azure Government
- Dynamics 365 og Dynamics 365 Government
- Office 365, Office 365 US Government og Office 365 US Government Defense
Ofte stilte spørsmål
Hva er forskjellen mellom «FIPS 140 Validated» og «FIPS 140-kompatibel»?
«FIPS 140 Validert» betyr at den kryptografiske modulen, eller et produkt som bygger inn modulen, er validert («sertifisert») av CMVP som oppfyller FIPS 140-2-kravene . «FIPS 140-kompatibel» er et industriuttrykk for IT-produkter som er avhengige av FIPS 140-validerte produkter for kryptografisk funksjonalitet.
Når foretar Microsoft en FIPS 140-validering?
Kadens for start en modulvalidering er i tråd med funksjonsoppdateringene til Windows 10 og Windows Server. Etter hvert som programvareindustrien utviklet seg, blir operativsystemene utgitt oftere, med månedlige programvareoppdateringer. Microsoft foretar validering for funksjonsutgivelser, men i mellom utgivelser, prøver å minimere endringene til de kryptografiske modulene.
Hvilke datamaskiner er inkludert i en FIPS 140-validering?
Microsoft validerer kryptografiske moduler på et representativt utvalg av maskinvarekonfigurasjoner som kjører Windows 10 og Windows Server. Det er vanlig bransjepraksis for å godta denne FIPS 140-2-valideringen når et miljø bruker maskinvare, som ligner på prøvene som ble brukt til valideringsprosessen.
Det er mange moduler oppført på nettstedet til NIST. Hvordan gjør jeg vet du hvilken som gjelder for byrået mitt?
Hvis du må bruke kryptografiske moduler validert gjennom FIPS 140-2, må du bekrefte at versjonen du bruker vises i valideringslisten. CMVP og Microsoft fører en liste over validerte kryptografiske moduler, organisert av produktutgivelse, sammen med instruksjoner for å identifisere hvilke moduler som er installert på et Windows-system. Hvis du vil ha mer informasjon om konfigurering av systemer som skal være kompatible, kan du se innholdet i Windows 140 og FIPS 140-1.
Hva betyr «Når det brukes i FIPS-modus» på et sertifikat?
Denne advarselen informerer leseren om at nødvendige konfigurasjons- og sikkerhetsregler må følges for å bruke den kryptografiske modulen på en måte som er i samsvar med FIPS 140-2-sikkerhetspolitikken. Hver modul har sin egen sikkerhetspolicy – en presis spesifikasjon av sikkerhetsreglene som den skal operere under – og bruker godkjente kryptografiske algoritmer, kryptografisk nøkkeladministrasjon og autentiseringsteknikker. Sikkerhetsreglene er definert i sikkerhetspolitikken for hver modul.For mer informasjon, inkludert lenker til sikkerhetsretningslinjene for hver modul som er validert gjennom CMVP, kan du se Windows 140-2-innholdet i FIPS.
Krever FedRAMP FIPS 140-2-validering?
Ja, Federal Risk and Authorization Management Program (FedRAMP) er avhengig av kontrollbaselinjer definert av NIST SP 800-53 revisjon 4, inkludert SC-13 kryptografisk beskyttelse som krever bruk av FIPS-validert kryptografi eller NSA-godkjent kryptografi.
Hvordan støtter Microsoft Azure FIPS 140-2?
Azure er bygget med en kombinasjon av maskinvare, kommersielt tilgjengelige operativsystemer (Linux og Windows) og Azure-spesifikk versjon av Windows . Gjennom Microsofts sikkerhetsutviklingslivssyklus (SDL) bruker alle Azure-tjenester FIPS 140-2-godkjente algoritmer for datasikkerhet fordi operativsystemet bruker FIPS 140-2-godkjente algoritmer mens de opererer i en hyperskala.
Kan Jeg bruker Microsofts overholdelse av FIPS 140-2 i byråets sertifiseringsprosess?
For å overholde FIPS 140-2, må systemet ditt være konfigurert til å kjøre i en FIPS-godkjent driftsmåte, som inkluderer å sikre at en kryptografisk modul bruker bare FIPS-godkjente algoritmer. Hvis du vil ha mer informasjon om konfigurering av systemer som skal være kompatible, kan du se FIPS 140-2-innholdet i Windows og Windows Server.
Hva er forholdet mellom FIPS 140-2 og Common Criteria?
Disse er to separate sikkerhetsstandarder med forskjellige, men utfyllende, formål. FIPS 140-2 er designet spesielt for validering av kryptografiske moduler for programvare og maskinvare, mens Common Criteria er designet for å evaluere sikkerhetsfunksjoner i IT-programvare og maskinvareprodukter. Vanlige kriterier er ofte avhengig av FIPS 140-2-valideringer for å sikre at grunnleggende kryptografisk funksjonalitet er riktig implementert.