אימות FIPS 140-2 הוא חובה לשימוש ב- מחלקות ממשלתיות פדרליות שאוספות, מאחסנות, מעבירות, משתפות ומפיצות מידע רגיש אך לא מסווג (SBU) זה חל על כל הפדרלי סוכנויות כמו גם הקבלנים וספקי השירות שלהן, כולל ספקי רשתות ושירותי ענן.
מהן דרישות FIPS 140-2?
FIPS 140-2 דורש ש- כל מודול קריפטוגרפי של חומרה או תוכנה יממש אלגוריתמים מתוך רשימה מאושרת. האלגוריתמים מאומת FIPS מכסים טכניקות הצפנה סימטריות ואסימטריות, כמו גם שימוש בתקני Hash ואימות הודעות.
האם אני צריך לעמוד בתקן FIPS?
כל המחלקות והסוכנויות הפדרליות חייבות להשתמש ב- FIPS 180 כדי להגן על מידע רגיש לא מסווג ויישומים פדרליים.ניתן להשתמש באלגוריתמי Hash מאובטחים עם אלגוריתמים קריפטוגרפיים אחרים, כמו קודי אימות של הודעות עם מפתח-hash או מחוללי מספרים אקראיים.
מה ההבדל בין FIPS 140-2 ל- FIPS 140 3?
בעוד שגם FIPS 140-2 וגם FIPS 140-3 כוללים את ארבעת קלט הנתונים של ממשק לוגי, פלט נתונים, קלט בקרה ופלט סטטוס … במקום לדרוש תמיכת מודול עבור תפקידי קצין קריפטו ותפקידי משתמש עם תפקיד התחזוקה כאופציונלי, FIPS 140-3 דורש רק את תפקיד קצין ההצפנה.
איך אני מאמת תאימות ל- FIPS 140-2?
ישנן שתי דרכים להבטיח להנהלה שלך כי FIPS 140-2 מיושם. האחת היא לשכור יועץ המתמחה בתקן, כגון Rycombe Consulting או Corsec Security חברות אלו מספקות את התיעוד הדרוש להליך ההסמכה, שבו תוכל להשתמש כדי להוכיח יישום.