La Agencia de Seguridad Nacional de los Estados Unidos (NSA) solía clasificar los productos criptográficos o algoritmos mediante una certificación denominada tipos de productos . Los tipos de productos se definieron en el Glosario de Garantía de la Información Nacional (CNSSI No. 4009, 2010), que solía definir los productos de tipo 1, 2, 3 y 4. [1] Las definiciones de productos de tipo numérico se han eliminado del léxico gubernamental [2] y ya no se utilizan en las iniciativas de contratación pública.
Un producto de tipo 1 era un dispositivo o sistema certificado por la NSA para su uso en la protección criptográfica de información clasificada del gobierno de los EE. UU . Un producto de tipo 1 se definía como:
Equipo, conjunto o componente criptográfico clasificado o certificado por la NSA para cifrar y descifrar información confidencial y clasificada de seguridad nacional cuando se utiliza la clave adecuada. Desarrollado utilizando procesos comerciales establecidos por la NSA y que contiene algoritmos aprobados por la NSA. Se utiliza para proteger sistemas que requieren los mecanismos de protección más estrictos.
Estaban disponibles para usuarios del Gobierno de los EE. UU. , sus contratistas y actividades patrocinadas por el gobierno federal no pertenecientes al gobierno de los EE. UU. sujetas a restricciones de exportación de conformidad con el Reglamento sobre el Tráfico Internacional de Armas .
La certificación tipo 1 fue un proceso riguroso que incluyó pruebas y análisis formales de (entre otras cosas) seguridad criptográfica, seguridad funcional, resistencia a la manipulación , seguridad de emisiones ( EMSEC / TEMPEST ) y seguridad del proceso de fabricación y distribución del producto. [3]
Un producto Tipo 2 era un equipo, conjunto o componente criptográfico no clasificado, aprobado por la NSA, para su uso en telecomunicaciones y sistemas de información automatizados para la protección de información de seguridad nacional , tal como se define como:
Equipo, conjunto o componente criptográfico certificado por la NSA para cifrar o descifrar información confidencial de seguridad nacional cuando se utiliza la clave adecuada. Desarrollado utilizando procesos comerciales establecidos por la NSA y que contiene algoritmos aprobados por la NSA. Se utiliza para proteger sistemas que requieren mecanismos de protección que excedan las mejores prácticas comerciales, incluidos los sistemas utilizados para la protección de información de seguridad nacional no clasificada.
Un producto Tipo 3 era un dispositivo para su uso con información sensible pero no clasificada (SBU) en sistemas de seguridad no nacionales, definidos como:
Equipo, conjunto o componente criptográfico no clasificado que se utiliza, cuando tiene la clave adecuada, para cifrar o descifrar información comercial o del gobierno de los EE. UU. confidencial no clasificada y para proteger sistemas que requieren mecanismos de protección que sean compatibles con las prácticas comerciales estándar. Desarrollado utilizando estándares comerciales establecidos y que contiene algoritmos o módulos criptográficos aprobados por el NIST o evaluados con éxito por la Asociación Nacional de Garantía de la Información (NIAP).
Los algoritmos de cifrado aprobados incluían Triple DES de tres claves y AES (aunque AES también se puede utilizar en productos de tipo 1 certificados por la NSA [ cita requerida ] ). Las aprobaciones para DES , Triple DES de dos claves y Skipjack se retiraron a partir de 2015. [4]
Un producto Tipo 4 era un algoritmo de cifrado que estaba registrado en el NIST pero no es un Estándar Federal de Procesamiento de Información (FIPS), definido como:
Equipos, conjuntos o componentes criptográficos comerciales no evaluados que ni la NSA ni el NIST certifican para uso gubernamental. Estos productos se entregan normalmente como parte de ofertas comerciales y son acordes con las prácticas comerciales del proveedor. Estos productos pueden contener algoritmos patentados del proveedor, algoritmos registrados por el NIST o algoritmos registrados por el NIST y publicados en un FIPS.
Partes de este artículo se han derivado del Estándar Federal 1037C , el Glosario Nacional de Seguridad de Sistemas de Información y 40 USC 1452.