- 20/11/2020
- 4 minuter att läsa
-
-
r
-
FIPS 140-2 standardöversikt
Federal Information Processing Standard (FIPS) -publikation 140-2 är en amerikansk regeringsstandard som definierar minimikrav för säkerhet för kryptografiska moduler i informationsteknologiprodukter, enligt definitionen i avsnitt 5131 i reformlagen för informationsteknik från 1996.
Cryptographic Module Validation Program (CMVP), en gemensam insats av US National Institute of Standards and Technology (NIST) och Canadian Center for Cyber Security (CCCS), validerar kryptografiska moduler till standardkraven för säkerhetskrav för kryptografiska moduler (dvs. , FIPS 140-2) och relaterade FIPS-kryptografistandarder. FIPS 140-2 säkerhetskrav täcker 11 områden relaterade till design och implementering av en kryptografisk modul. NIST Information Technology Laboratory driver ett relaterat program som validerar de FIPS-godkända kryptografiska algoritmerna i modulen.
Microsofts strategi för FIPS 140-2-validering
Microsoft upprätthåller ett aktivt åtagande att möta 140-2 krav, med validerade kryptografiska moduler sedan standarden startade 2001. Microsoft validerar sina kryptografiska moduler under National Institute of Standards and Technology (NIST) Cryptographic Module Validation Program (CMVP). Flera Microsoft-produkter, inklusive många molntjänster, använder dessa kryptografiska moduler.
För teknisk information om Microsoft Windows-kryptografiska moduler, säkerhetspolicyn för varje modul och katalogen över CMVP-certifikatinformation, se Windows och Windows Server FIPS 140-2-innehåll.
Microsofts molntjänster inom omfattningen
Medan den nuvarande CMVP FIPS 140-2-implementeringsanvisningen utesluter en FIPS 140-2-validering för en molntjänst själv; molntjänstleverantörer kan välja att skaffa och driva FIPS 140-validerade kryptografiska moduler för datalementen som omfattar deras molntjänst. Microsofts onlinetjänster som innehåller komponenter som har validerats FIPS 140-2 inkluderar bland annat:
- Azure och Azure Government
- Dynamics 365 och Dynamics 365 Government
- Office 365, Office 365 US Government och Office 365 US Government Defense
Vanliga frågor
Vad är skillnaden mellan ”FIPS 140 Validated” och ”FIPS 140-kompatibel”?
”FIPS 140 Validated” betyder att den kryptografiska modulen eller en produkt som bäddar in modulen har validerats (”certifierad”) av CMVP som uppfyller FIPS 140-2-kraven . ”FIPS 140-kompatibel” är en branschbegrepp för IT-produkter som är beroende av FIPS 140 Validerade produkter för kryptografisk funktionalitet.
När gör Microsoft en FIPS 140-validering?
Kadens för start en modulvalidering stämmer överens med funktionsuppdateringarna för Windows 10 och Windows Server. När mjukvaruindustrin utvecklats släpps operativsystem oftare med månatliga programuppdateringar. Microsoft genomför validering för funktionsutgåvor, men mellan versionerna försöker minimera förändringarna till de kryptografiska modulerna.
Vilka datorer ingår i en FIPS 140-validering?
Microsoft validerar kryptografiska moduler på ett representativt exempel på hårdvarukonfigurationer som kör Windows 10 och Windows Server. Det är vanligt branschpraxis att acceptera denna FIPS 140-2-validering när en miljö använder hårdvara, vilket liknar de prover som används för valideringsprocessen.
Det finns många moduler listade på NIST-webbplatsen. Hur gör jag vet vilken som gäller för min byrå?
Om du måste använda kryptografiska moduler validerade via FIPS 140-2 måste du verifiera att den version du använder visas i valideringslistan. CMVP och Microsoft upprätthåller en lista över validerade kryptografiska moduler, organiserade av produktrelease, tillsammans med instruktioner för att identifiera vilka moduler som är installerade på ett Windows-system. Mer information om hur du konfigurerar system som är kompatibla finns i innehållet i Windows och Windows Server FIPS 140-2.
Vad betyder ”När det används i FIPS-läge” på ett certifikat?
Denna varning informerar läsaren om att nödvändiga konfigurations- och säkerhetsregler måste följas för att använda den kryptografiska modulen på ett sätt som överensstämmer med dess FIPS 140-2 säkerhetspolicy. Varje modul har sin egen säkerhetspolicy – en exakt specifikation av säkerhetsreglerna enligt vilka den ska fungera – och använder godkända kryptografiska algoritmer, kryptografisk nyckelhantering och autentiseringstekniker. Säkerhetsreglerna definieras i säkerhetspolicyn för varje modul.Mer information, inklusive länkar till säkerhetspolicyn för varje modul som validerats via CMVP, finns i Windows 140-2-innehåll.
Kräver FedRAMP FIPS 140-2-validering?
Ja, Federal Risk and Authorization Management Program (FedRAMP) är beroende av kontrollbaslinjer definierade av NIST SP 800-53 Revision 4, inklusive SC-13 Cryptographic Protection som kräver användning av FIPS-validerad kryptografi eller NSA-godkänd kryptografi.
Hur stöder Microsoft Azure FIPS 140-2?
Azure är byggt med en kombination av hårdvara, kommersiellt tillgängliga operativsystem (Linux och Windows) och Azure-specifik version av Windows . Genom Microsofts säkerhetsutvecklingslivscykel (SDL) använder alla Azure-tjänster FIPS 140-2-godkända algoritmer för datasäkerhet eftersom operativsystemet använder FIPS 140-2-godkända algoritmer medan de körs i ett hyperskalamoln.
Kan Jag använder Microsofts efterlevnad av FIPS 140-2 i min byråns certifieringsprocess?
För att följa FIPS 140-2 måste ditt system konfigureras för att köras i ett FIPS-godkänt driftsätt, vilket inkluderar att säkerställa att en kryptografisk modul använder endast FIPS-godkända algoritmer. Mer information om hur du konfigurerar system som ska vara kompatibla finns i innehållet i Windows 140 och Windows Server FIPS 140-2.
Vad är förhållandet mellan FIPS 140-2 och Common Criteria?
Dessa är två separata säkerhetsstandarder med olika men kompletterande syften. FIPS 140-2 är utformat speciellt för validering av kryptografiska moduler för programvara och hårdvara, medan Common Criteria är utformat för att utvärdera säkerhetsfunktioner i IT-programvara och hårdvaruprodukter. Utvärderingar av vanliga kriterier är ofta beroende av FIPS 140-2-valideringar för att säkerställa att grundläggande kryptografisk funktionalitet är korrekt implementerad.