什么是 FIPS 140

FIPS（联邦信息处理标准）140-2 是验证加密硬件有效性的基准。如果产品具有 FIPS 140-2 证书，则您知道它已通过了美国和加拿大政府的测试和正式验证。 虽然 FIPS 140-2 是美国/加拿大联邦标准，但是 FIPS 140-2 合规性已被世界各地政府和非政府部门广泛用作实用的安全基准和现实的最佳实践。

FIPS 140-3 是美国政府计算机安全标准的最新版本，用于验证加密模块。自 2022 年 4 月 1 日起，对于新提交的加密模块，FIPS PUB 140-3 加密模块安全要求将取代 FIPS 140-2。

通过 FIPS 140-2 认证的产品在验证后可保持 5 年有效期。 有关更多信息，请参阅 NIST 过渡页面 。

组织使用 FIPS 140-2 标准来确保他们选择的硬件满足特定安全要求。FIPS 认证标准定义了四种不断提高的定性安全级别：

FIPS 140-2 标准在技术上允许在第 3 级或第 4 级进行纯软件实施，但要求非常严格，只有极少数软件通过了验证。

对于许多组织来说，要求 FIPS 140-2 第 3 级 FIPS 认证是在有效安全性、操作便利性和市场选择之间的良好折衷。

美国和加拿大联邦政府以及业界的信息技术安全专业人员都认识到，当产品根据 FIPS PUB 140-2 安全要求验证时，加密产品可以安全地用于保护敏感、未分类信息。大多数组织和机构都要求用于保护其信息的新加密产品都必须通过 FIPS PUB 140-2 验证。 美国 (NIST) 和加拿大 (CSE) 联邦政府都采用了 FIPS PUB 140-2。 FIPS 140-2 的“适用性”部分指出：

“该标准适用于所有使用加密安全系统来保护计算机和电信系统（包括语音系统）中敏感信息的联邦机构（正如 1996 年《信息技术管理改革法》（第 104-106 号公法）第 5131 条所定义的）。该标准应用于设计和实施由各联邦部门和机构运营或根据合同运营的加密模块。 已批准用于分类使用的加密模块可用来代替已根据此标准验证的模块。 私营和商业机构都可以采用和使用此标准…”

FIPS 140-2 的验证测试属于加密模块验证计划 (CMVP)，该计划由 NIST 和加拿大政府的通信安全机构 (CSE) 制定。根据 CMVP 进行的所有测试均由获得国家实验室自愿认可程序 (NVLAP) 认证的第三方实验室处理 FIPS 140-1 和 FIPS 140-2 的测试方法。 供应商将产品样本和设计文档一起提交。 该实验室对产品进行了一系列测试，并检查文档，确保设计符合 FIPS PUB 140-2 列出的规则。

此流程涉及查看产品和文档的以下方面：

是。 验证适用于整个加密模块。 在个人电脑运行 Entrust 加密模块程序的情况下，个人电脑本身、操作系统和加密软件都被视为模块的一部分，一起进行测试。

由于加密产品的复杂性，用户传统上别无选择，只能相信产品正在按广告方式作用，实际上是以安全的方式保护他/她的数据。验证提供独立第三方详细检查产品的舒适性，并确保产品符合严格的安全要求。

Entrust 是该标准的早期采用者。Entrust Cryptographic Kernel V. 1.9 是有史以来第一款经过验证的产品；官方证书于 1995 年 10 月 12 日在马里兰州巴尔的摩举行的国家信息系统安全会议上颁发。 撰写本文时，Entrust 在验证列表中列出了 21 个加密模块。

通常情况下，验证可能需要三个月至一年，甚至更长的时间。这在很大程度上取决于被评估产品的性质（如硬件、固件或软件、复杂程度、算法数量、编程语言等）。

有关 FIPS 140-2 标准、衍生测试要求和验证流程的详细信息，请访问 CygnaCom Solutions 网站。