La publicación 140-3 del estándar federal de procesamiento de información ( FIPS PUB 140-3 ) [1] [2] es un estándar de seguridad informática del gobierno de los EE. UU. utilizado para aprobar módulos criptográficos . El título es Requisitos de seguridad para módulos criptográficos . La publicación inicial fue el 22 de marzo de 2019 y reemplaza al FIPS 140-2 .
El Instituto Nacional de Estándares y Tecnología (NIST) publicó la serie de publicaciones FIPS 140 para coordinar los requisitos y estándares para los módulos criptográficos que incluyen componentes de hardware y software. Las agencias y departamentos federales pueden validar que el módulo en uso esté cubierto por un certificado FIPS 140 existente que especifique el nombre exacto del módulo, el hardware, el software, el firmware y/o los números de versión del subprograma. Los módulos criptográficos son producidos por el sector privado o las comunidades de código abierto para su uso por parte del gobierno de los EE. UU. y otras industrias reguladas (como instituciones financieras y de atención médica) que recopilan, almacenan, transfieren, comparten y difunden información confidencial pero no clasificada (SBU).
Los esfuerzos por actualizar la norma FIPS 140 se remontan a principios de la década de 2000. El Secretario de Comercio programó la firma de la norma FIPS 140-3 (borrador de 2013) en agosto de 2013, pero eso nunca ocurrió y el borrador fue abandonado posteriormente. En 2014, el NIST publicó un borrador sustancialmente diferente de la norma FIPS 140-3; esta versión efectivamente ordenaba el uso de una norma de la Organización Internacional de Normalización/Comisión Electrotécnica Internacional (ISO/IEC), 19790:2012, como reemplazo de la norma FIPS 140-2 . El borrador de 2014 de la norma FIPS 140-3 también fue abandonado, aunque finalmente se concretó el uso de la norma ISO/IEC 19790 . El 12 de agosto de 2015, el NIST publicó formalmente una declaración en el Registro Federal solicitando comentarios sobre el posible uso de partes de la norma ISO/IEC 19790:2014 en la actualización de la norma FIPS 140-2 . La referencia a una versión 2014 de la norma ISO/IEC 19790 fue un error involuntario en la publicación del Registro Federal, ya que la versión 2012 es la más reciente. La norma ISO/IEC 19790 ha sido revisada y reconfirmada en 2018, pero sin cambios, por lo que se mantiene la nomenclatura de la versión 2012.
El proceso de actualización de FIPS 140 se vio obstaculizado por problemas técnicos profundos en temas como la seguridad del hardware [3] y un aparente desacuerdo en el gobierno de los EE. UU. sobre el camino a seguir. El borrador de 2013 de FIPS 140-3, ahora abandonado, exigía la mitigación de ataques no invasivos al validar a niveles de seguridad más altos, introducía el concepto de parámetro de seguridad pública, permitía la deferencia de ciertas pruebas automáticas hasta que se cumplieran condiciones específicas y reforzaba los requisitos sobre autenticación de usuarios y pruebas de integridad.
El estándar FIPS 140 estableció el Programa de Validación de Módulos Criptográficos (CMVP) como un esfuerzo conjunto del NIST y el Communications Security Establishment (CSEC) para el gobierno canadiense , ahora manejado por el CCCS, el Centro Canadiense para la Seguridad Cibernética, una nueva iniciativa centralizada dentro de la agencia CSEC. [4]
Los programas de seguridad supervisados por NIST y CCCS se centran en trabajar con el gobierno y la industria para establecer sistemas y redes más seguros mediante el desarrollo, la gestión y la promoción de herramientas, técnicas y servicios de evaluación de seguridad, y programas de apoyo para pruebas, evaluación y validación; y aborda áreas como: desarrollo y mantenimiento de métricas de seguridad, criterios de evaluación de seguridad y metodologías de evaluación, pruebas y métodos de prueba; criterios específicos de seguridad para la acreditación de laboratorios; orientación sobre el uso de productos evaluados y probados; investigación para abordar métodos de garantía y metodologías de seguridad y evaluación de todo el sistema; actividades de validación de protocolos de seguridad; y coordinación adecuada con actividades relacionadas con la evaluación de organismos de normalización industrial voluntarios y otros regímenes de evaluación.
El 22 de marzo de 2019, el Secretario de Comercio de los Estados Unidos , Wilbur Ross, aprobó FIPS 140-3, Requisitos de seguridad para módulos criptográficos para suceder a FIPS 140-2 . [5] FIPS 140-3 entró en vigencia el 22 de septiembre de 2019. [6] Las pruebas de FIPS 140-3 comenzaron el 22 de septiembre de 2020 y se han emitido una pequeña cantidad de certificados de validación. Las pruebas de FIPS 140-2 todavía están disponibles hasta el 21 de septiembre de 2021, lo que crea un período de transición superpuesto de un año. Los informes de prueba de FIPS 140-2 que permanezcan en la cola de CMVP seguirán recibiendo validaciones después de esa fecha, pero todas las validaciones de FIPS 140-2 se moverán a la Lista histórica el 21 de septiembre de 2026 independientemente de su fecha de validación final real. [7]