什么是 FIPS 140-2?
联邦信息处理标准 140-2 (FIPS 140-2) 是美国和加拿大共同发起的硬件、软件和固件解决方案安全标准。在美国政府的采购中,所有使用加密技术的解决方案都必须完成 FIPS 140-2 验证,以确保最终用户获得高度的安全性、保障性和可靠性。
标准:FIPS 140-2
使用经 FIPS 140-2 验证的产品是 1996 年《信息技术管理改革法》第 5131 条的规定。
如果向美国联邦机构出售的所有产品在处理敏感非加密 (SBU) 信息的安全系统中使用加密技术,则必须完成 FIPS 140-2 验证。
在 NISTFIPS 140-2 PUB 中详细列出了安全要求。.
等级:安全要求
等级 1
验证至少一个已批准的加密演算法或安全功能
生产级评估要素
等级 2
所有等级 1 的要求
针对篡改证据的基于角色的身份验证和物理安全要求
等级 3
所有等级 1 和 2 的要求
用于篡改检测和篡改响应的基于身份的验证和物理安全机制
等级 4
所有等级 1、2 和 3 的要求
检测和回应篡改的物理安全机制,包括环境攻击
过程:只做一次,一次做好
Corsec 的三步方法有助于降低风险,提高安全性并促进销售,保证验证成功 – 只做一次,一次做好!
评估
评估您的公司和产品,确定有效的验证途径
巩固
设计咨询团队根据 FIPS 要求强化您的产品
验证
端对端支持,指导您完成整个验证过程
为您的 FIPS 140-2 验证确定适合的方法至关重要;根据您的产品、要求的等级、制定的界限,以及所需的工程更改,您的认证途径可能会大不相同。
参考资料:
https://www.corsec.com/fips-140-2/?lang=zh-hans#theprocess
来源:CSDN
作者:@David Liu
链接:https://blog.csdn.net/u012842630/article/details/104198753