Federal Information Processing Standardization (FIPS) 140 est une norme du gouvernement américain qui spécifie les exigences de sécurité pour les modules cryptographiques utilisés dans les systèmes informatiques du gouvernement fédéral. FIPS 140-2 est la version actuelle de la norme, publiée en 2001.
FIPS 140-2 définit quatre niveaux de sécurité, du niveau 1 (le plus bas) au niveau 4 (le plus élevé). Pour atteindre un niveau de sécurité particulier, un module cryptographique doit satisfaire aux exigences de ce niveau et de tous les niveaux inférieurs. Par exemple, un module cryptographique de niveau 3 doit satisfaire aux exigences des niveaux 1, 2 et 3.
Niveau 1 :
Les exigences de sécurité à ce niveau sont minimales. Un module cryptographique de niveau 1 doit mettre en œuvre au moins un algorithme approuvé, et il doit fournir des services cryptographiques de base tels que le chiffrement et le déchiffrement.
Niveau 2 :
Les exigences de sécurité de ce niveau sont plus strictes que celles du niveau 1. En plus des exigences du niveau 1, un module cryptographique de niveau 2 doit mettre en œuvre au moins un algorithme approuvé et doit fournir des services cryptographiques tels que la génération et la vérification de signatures numériques.
Niveau 3 :
Les exigences de sécurité de ce niveau sont plus strictes que celles du niveau 2. En plus des exigences du niveau 2, un module cryptographique de niveau 3 doit mettre en œuvre au moins un algorithme approuvé et doit fournir des services cryptographiques tels que la génération et la gestion de clés.
Niveau 4 :
Les exigences de sécurité de ce niveau sont les plus strictes
Quel est l'objectif de la norme FIPS 140-2 ?
FIPS 140-2 est une norme du gouvernement fédéral américain qui définit les exigences relatives aux modules cryptographiques utilisés dans les opérations cryptographiques. La norme est utilisée par les agences fédérales américaines pour garantir que les modules cryptographiques utilisés dans leurs systèmes répondent à des exigences de sécurité minimales.
La norme couvre un large éventail de sujets, notamment la conception des modules, la sécurité physique, les algorithmes cryptographiques, la gestion des clés et les politiques de sécurité. Elle vise à fournir un cadre complet et flexible qui peut être adapté aux besoins de chaque organisation.
La norme FIPS 140-2 a été publiée pour la première fois en 2001 et a été mise à jour pour la dernière fois en 2017. Elle est développée et maintenue par l'Institut national américain des normes et de la technologie (NIST).
La norme FIPS est-elle obligatoire ?
La norme FIPS (Federal Information Processing Standard) est un ensemble de normes requises pour tout système informatique utilisé par le gouvernement fédéral américain. Cela inclut tous les systèmes utilisés par l'armée, les agences de renseignement et toutes les autres agences fédérales. Les normes FIPS sont également requises pour tous les systèmes informatiques utilisés par les contractants ou autres entités travaillant pour le compte du gouvernement fédéral. Dois-je activer les normes FIPS ? Il n'existe pas de réponse unique à cette question, car l'opportunité d'activer les normes FIPS (Federal Information Processing Standards) dépend de l'environnement informatique spécifique en question. Cependant, en général, FIPS devrait être activé dans les environnements informatiques gouvernementaux où la sécurité et la conformité sont des préoccupations primordiales. FIPS est une norme de sécurité développée par le gouvernement américain pour être utilisée dans les produits de technologie de l'information, et son activation peut contribuer à garantir que les données sont protégées conformément aux normes gouvernementales.
Comment puis-je vérifier la conformité à la norme FIPS 140-2 ?
FIPS 140-2 est une norme du gouvernement américain qui définit les exigences relatives aux modules cryptographiques. Pour vérifier la conformité, vous devez obtenir une copie de la norme sur le site Web du National Institute of Standards and Technology (NIST), puis évaluer votre module cryptographique par rapport aux exigences définies dans la norme.
Il existe quatre niveaux de sécurité définis dans la norme FIPS 140-2, le niveau 1 étant le plus bas et le niveau 4 le plus élevé. Pour être conforme, votre module cryptographique doit répondre à toutes les exigences du niveau que vous visez.
Outre la norme elle-même, le NIST propose également un programme de validation des modules cryptographiques (CMVP) qui définit le processus permettant aux laboratoires tiers de tester et de valider les modules cryptographiques par rapport à la norme FIPS 140-2.
Si vous souhaitez que votre module cryptographique soit officiellement validé par un laboratoire accrédité par le CMVP, vous devrez le soumettre au laboratoire pour qu'il le teste. Ce processus peut être long et coûteux, il est donc important de s'assurer que votre module est effectivement conforme avant de commencer.
Une fois que votre module cryptographique aura été validé, vous recevrez un certificat de validation qui pourra être utilisé pour montrer que votre module répond aux exigences de la norme FIPS 140-2.