Federal Information Processing Standardization 140 Definición / explicación

La Federal Information Processing Standardization 140 (FIPS 140) es una norma del gobierno estadounidense que define los requisitos de seguridad para los módulos criptográficos utilizados por el gobierno federal. FIPS 140 es parte de la serie de Normas Federales de Procesamiento de Información (FIPS), que es un conjunto de normas que definen las directrices para los sistemas informáticos utilizados por el gobierno federal.
FIPS 140 se publicó por primera vez en 1994 y se actualizó por última vez en 2017. El estándar es mantenido por el Instituto Nacional de Estándares y Tecnología (NIST).

FIPS 140 define cuatro niveles de seguridad, desde el nivel 1 (el más bajo) hasta el nivel 4 (el más alto). Los módulos criptográficos deben cumplir los requisitos de al menos un nivel para ser certificados por el NIST.
Nivel 1: El módulo criptográfico debe implementar al menos un algoritmo aprobado.
Nivel 2: Además de los requisitos del nivel 1, el módulo criptográfico debe proporcionar pruebas de manipulación y resistir los ataques físicos.
Nivel 3: Además de los requisitos del nivel 2, el módulo criptográfico debe ser resistente a la manipulación por parte de un usuario autorizado.
Nivel 4: Además de los requisitos del nivel 3, el módulo criptográfico debe resistir todo tipo de ataques físicos.

¿Cómo se habilita el FIPS?

Para habilitar FIPS, es necesario instalar un módulo criptográfico compatible con FIPS y habilitarlo en la configuración del servidor. Los módulos criptográficos que cumplen con FIPS están disponibles en una variedad de proveedores; tendrá que elegir uno que sea compatible con su plataforma de servidor.
Una vez que haya instalado el módulo, tendrá que editar la configuración del servidor para activarlo. Los pasos exactos variarán dependiendo del software de su servidor, pero en general, tendrá que añadir una línea al archivo de configuración del servidor especificando la ruta a la biblioteca compartida del módulo. Por ejemplo, si utiliza el servidor web Apache, deberá añadir una línea como la siguiente
Cargar módulo fips_module /ruta/a/mod_fips.so
Después de añadir esa línea, tendrá que reiniciar el servidor para que el cambio surta efecto.
Una vez habilitado FIPS, todas las operaciones criptográficas realizadas por el servidor estarán sujetas a la validación FIPS. Esto incluye operaciones como el cifrado SSL/TLS, el hash de la contraseña, etc. ¿Cuánto tiempo dura la validación FIPS? La validación es válida durante 5 años de acuerdo con la Norma Federal de Procesamiento de Información 140-2 Requisitos de Seguridad para Módulos Criptográficos.

¿Cómo se obtiene la certificación FIPS?

No existe una única "certificación FIPS". Más bien, la certificación FIPS es un proceso por el que debe pasar un producto o servicio para cumplir con los Estándares Federales de Procesamiento de Información (FIPS).
Para obtener la certificación FIPS, un producto o servicio debe ser evaluado primero por un laboratorio independiente y acreditado. El laboratorio probará el producto o servicio para garantizar que cumple todos los requisitos establecidos en la norma FIPS correspondiente.
Una vez que el producto o servicio haya sido evaluado y considerado conforme, el laboratorio emitirá un certificado. Este certificado puede utilizarse para demostrar que el producto o servicio está certificado por FIPS.
Cabe señalar que la certificación FIPS no es necesaria para todos los productos o servicios utilizados por la administración pública. Sin embargo, para los productos o servicios que sí requieren la certificación FIPS, es un paso necesario en el proceso de adquisición. ¿Cuánto tiempo dura la validación FIPS? Según la Norma Federal de Procesamiento de la Información (FIPS) 140-2, Requisitos de seguridad para módulos criptográficos, la validación es válida durante cinco años. ¿Es obligatorio el FIPS? Sí, la norma FIPS es obligatoria para los sistemas informáticos gubernamentales. FIPS 140-2 es la norma del gobierno de EE.UU. para los módulos criptográficos, y es necesaria para cualquier módulo criptográfico que se utilice en un sistema gubernamental.

Deja un comentario