資訊安全的最底層是資料安全,而資料安全最仰賴的技術是加密。 而 FIPS 140 即是加密安全的標準。目前最熱騰騰的版本是第三版,為了因應最新的量子計算而來。
何謂FIPS 140
FIPS 140標準是由美國國家標準與技術研究院(NIST)定義加密模組的安全條件,並由美國和加拿大共同管理,是加密模組驗證計劃(CMVP)的其中一部分。經FIPS 140驗證的模組對於保護金鑰並執行許多政府應用程序的加密操作是強制性的。事實上,它已經成為許多其他國家和私企單位(尤其是在金融和支付行業)的實務標準,因為FIPS 140驗證的HSM提供了在保護加密基礎設施時的信心和信任。
目前是FIPS 140-2及FIPS 140-3 併行中,但FIPS 140-2 的認證將在2026年9月21日退役。FIPS 140-2 自2001年5月以來應用至今,它定義了總共4個安全級別,以及11個加密產品設計和實現的領域,包括金鑰管理、接口、角色、服務和身份驗證以及操作系統。
FIPS 140-3
而FIPS 140-3是用於驗證加密硬體效能的最新版本,與國際ISO/IEC 19790標準保持一致,並引入了FIPS 140-2標準中對安全要求的新增強功能,包括:
- 更嚴格的完整性測試要求。
- 新的必要服務:輸出可映射到驗證記錄/證書的模組名稱/識別符合版本。
- 必須對所有未受保護的“敏感安全參數”(SSP)執行密鑰清零操作,包括公鑰,並在所有層級上進行。
- 角色、服務和身份驗證:必須由加密模組的實施方式滿足(而非通過策略、規則等),例如密碼大小限制。
- 周期保證:供應商需要展示對模組進行足夠內部測試,除了驗證實驗室測試之外。 組織應該使用FIPS 140-3標準來確保所選擇的硬體符合特定的安規要求。FIPS 140-2認證標準定義了四個增加的、定性的安全等級,這些等級在FIPS 140-3中保持不變。
