FIPS 140 / FIPS 140-3
Was ist FIPS 140 / FIPS 140-3?
FIPS 140 / FIPS 140-3Vom NIST gepflegter US-Bundesstandard, der Sicherheitsanforderungen an kryptografische Module und deren Zertifizierung durch akkreditierte Labore definiert.
FIPS 140 ist die Familie US-amerikanischer Bundesstandards (FIPS 140-2 und das aktuelle FIPS 140-3, angeglichen an ISO/IEC 19790), die Sicherheitsanforderungen an kryptografische Module festlegt: zugelassene Algorithmen, rollenbasierte Authentifizierung, Schlusselmanagement, Selbsttests, physische Sicherheit, Side-Channel-Resistenz und Betriebsumgebung. Module werden in akkreditierten CMVP-Laboren auf vier Stufen validiert: von Level 1 (Software mit zugelassenen Algorithmen) bis Level 4 (vollstandige Tamper Detection). FIPS 140 ist Pflicht fur Kryptografie, die US-Bundesdaten verarbeitet, und wird von FedRAMP, DoD, Finanzaufsicht, Healthcare sowie vielen Enterprise-Einkaufern weltweit gefordert.
● Beispiele
- 01
Ein HSM mit FIPS 140-3 Level 3, das einen Root-CA-Private-Key schutzt.
- 02
FIPS-140-2-Level-1-validierte TLS-Bibliothek, Voraussetzung fur Verkauf an US-Bundesbehorden.
● Häufige Fragen
Was ist FIPS 140 / FIPS 140-3?
Vom NIST gepflegter US-Bundesstandard, der Sicherheitsanforderungen an kryptografische Module und deren Zertifizierung durch akkreditierte Labore definiert. Es gehört zur Kategorie Kryptografie der Cybersicherheit.
Was bedeutet FIPS 140 / FIPS 140-3?
Vom NIST gepflegter US-Bundesstandard, der Sicherheitsanforderungen an kryptografische Module und deren Zertifizierung durch akkreditierte Labore definiert.
Wie funktioniert FIPS 140 / FIPS 140-3?
FIPS 140 ist die Familie US-amerikanischer Bundesstandards (FIPS 140-2 und das aktuelle FIPS 140-3, angeglichen an ISO/IEC 19790), die Sicherheitsanforderungen an kryptografische Module festlegt: zugelassene Algorithmen, rollenbasierte Authentifizierung, Schlusselmanagement, Selbsttests, physische Sicherheit, Side-Channel-Resistenz und Betriebsumgebung. Module werden in akkreditierten CMVP-Laboren auf vier Stufen validiert: von Level 1 (Software mit zugelassenen Algorithmen) bis Level 4 (vollstandige Tamper Detection). FIPS 140 ist Pflicht fur Kryptografie, die US-Bundesdaten verarbeitet, und wird von FedRAMP, DoD, Finanzaufsicht, Healthcare sowie vielen Enterprise-Einkaufern weltweit gefordert.
Wie schützt man sich gegen FIPS 140 / FIPS 140-3?
Schutzmaßnahmen gegen FIPS 140 / FIPS 140-3 kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für FIPS 140 / FIPS 140-3?
Übliche alternative Bezeichnungen: FIPS 140-2, FIPS 140-3.
● Verwandte Begriffe
- cryptography№ 461
Hardware Security Module (HSM)
Manipulationssicheres Hardware-Gerat, das kryptografische Schlussel erzeugt, speichert und nutzt, ohne das Schlusselmaterial je dem Betriebssystem preiszugeben.
- cryptography№ 1178
Trusted Platform Module (TPM)
Standardisierter Sicherheits-Chip, aufgelotet oder als Firmware, der Hardware-verankerte Schlusselablage, Attestation und Measured Boot bereitstellt.
- cryptography№ 248
Kryptografischer Schlüssel
Hochentroper geheimer oder öffentlicher Wert, der einen kryptografischen Algorithmus zum Verschlüsseln, Entschlüsseln, Signieren oder Authentifizieren parametrisiert.
- compliance№ 411
FedRAMP
US-Regierungsprogramm, das die Sicherheitsbewertung, Zulassung und kontinuierliche Überwachung von Cloud-Diensten für Bundesbehörden standardisiert.
- compliance№ 423
FISMA
US-Bundesgesetz, das Bundesbehörden und ihre Auftragnehmer verpflichtet, risikobasierte Informationssicherheitsprogramme für Systeme mit staatlichen Daten zu betreiben.
- cryptography№ 172
Cipher Suite
Benannte Kombination kryptographischer Algorithmen – Schlüsseltausch, Authentifizierung, Verschlüsselung und Integrität –, die Protokolle wie TLS pro Sitzung aushandeln.