FIPS PUB 140-3, 加解密演算法 (CAVP) 及 加解密模組 (CMVP) 驗證服務
介紹
選擇適當的技術和保護程序保護電腦與通訊系統的安全,是每個聯邦機構重要的責任。FIPS PUB 140-3 標準適用於所有使用基於演算法加密的安全系統來保護電腦和通訊系統(包括語音系統)中的敏感資料的聯邦機構,例如如下列法律中所定義的電腦與通訊系統:
- Section 5131 of the Information Technology Management Reform Act of 1996,
- Public Law 104-106 and the Federal Information Security Management Act of 2002,
- Public Law 107-347.
該標準規定了在保護敏感但未涉及國家機密的資訊(以下稱為敏感資訊)的安全系統中,使用的加密碼模組將滿足的安全要求。該標準提供了四個漸進的、定性的安全等級:第 1 級、2 級、3 級和 4 級。(詳細資料請參考最新版 ISO/IEC 19790)
分級Levels | 摘要 | |
---|---|---|
Level 1 | the lowest level, imposes very limited requirements; loosely, all components must be "production-grade" and various egregious kinds of insecurity must be absent. | |
Level 2 | adds requirements for physical tamper-evidence and role-based authentication. | |
Level 3 | adds requirements for physical tamper-resistance (making it difficult for attackers to gain access to the sensitive information contained in the module) and identity-based authentication and for a physical or logical separation between the interfaces by which "critical security parameters" enter and leave the module, and its other interfaces. | |
Level 4 | makes the physical security requirements more stringent, and requires robustness against environmental attacks. |
該標準沒有詳細說明任何特定應用環境所需的安全等級。這些等級的目的,在於涵蓋可能採用加密模組的各種潛在應用和環境。
該標準的安全要求涵蓋與加密模組的安全設計 (design) 和實現 (implementation) 相關的領域。這些領域包括:
- 加密模組規格;
- 加密模組介面;
- 角色、服務和身份驗證;
- 軟體/韌體安全;
- 操作還境;
- 實體安全;
- 非侵入式安全;
- 敏感安全參數管理;
- 自我測試;
- 生命週期保證; 及
- 降低其他攻擊的能力.
誰適合申請
FIPS PUB 140-3 是眾所周知的加密模組測試標準,特別適用於美國和加拿大公務機構。因此,想要在美國銷售帶有加密模組的 IT 產品開發商,通常需要取得 FIPS PUB 140-3 認證。
美國公務機構應使用密碼模組通過 FIPS PUB 140-3 認證的 ICT 產品。但是,不僅是美國的公務機構,各國銀行和金融產業,也要求使用相同的認證對關鍵數據進行加密保護。
幾乎所有 ICT 產品都使用加密機制來保護關鍵信息。除了典型的硬體安全模組 (HSM, hardware security module) 外,帶有硬體加密的存儲媒體、軟件模組、VPN 解決方案和智能卡通常也通過 FIPS PUB 140-3 認證。這不僅涉及密碼算法的安全要求,還涉及實體安全。
服務內容
我們提供包含下列服務,如果您有其他的需求,也請讓我們知道:- 密碼算法驗證測試服務 - 密碼算法驗證方案 Cryptographic Algorithm Validation Program (CAVP) - 根據 US FIPS PUB 140-3 對加解密演算法進行驗證測試
- 加解密模組驗證服務 - 加解密模組驗證方案 Cryptographic Module Validation Program (CMVP) - 根據 US FIPS PUB 140-3 對加解密模組(硬體、韌體、軟體或混合)進行驗證測試
- 服務內容包含,但不限於下列:
- 前期驗證研討諮詢,以澄清現有或計劃中的加解密模組滿足要求的程度,或需要改進的方向。
- 專案協助、諮詢與驗證文件準備。
- (選項), 漏洞分析 - 側信道 (side-channel) 弱點分析
討論與聯絡
為為了盡快瞭解您的需求,釐清加密模組驗證的可行性,請預先準備下列資料,便於討論:
- 加密模組設計或開發進度
- 加密演算法、模組技術規格
Philip KU
philip.ku@tksg.global [ PGP Public Key ]
(PGP Fingerprint: BE11 C1CC BFE2 A3A9 4929 3D1C 10FF C3BE A51C 92F7)