FIPS 140 / FIPS 140-3
¿Qué es FIPS 140 / FIPS 140-3?
FIPS 140 / FIPS 140-3Norma federal de EE. UU., mantenida por NIST, que define los requisitos de seguridad para modulos criptograficos y su certificacion en laboratorios acreditados.
FIPS 140 es la familia de normas FIPS (FIPS 140-2 y la actual FIPS 140-3, alineada con ISO/IEC 19790) que especifica requisitos de seguridad para modulos criptograficos: algoritmos aprobados, autenticacion por roles, gestion de claves, autopruebas, seguridad fisica, resistencia a canales laterales y entorno operativo. Los modulos se validan en laboratorios CMVP acreditados en cuatro niveles, desde el 1 (software con algoritmos aprobados) al 4 (deteccion completa de manipulacion). Es obligatoria para criptografia que trate datos federales y la exigen FedRAMP, el DoD, reguladores financieros, salud y muchas grandes empresas a nivel global.
● Ejemplos
- 01
HSM validado FIPS 140-3 nivel 3 que protege la clave privada de una CA raiz.
- 02
Biblioteca TLS validada FIPS 140-2 nivel 1 requerida para vender a agencias federales de EE. UU.
● Preguntas frecuentes
¿Qué es FIPS 140 / FIPS 140-3?
Norma federal de EE. UU., mantenida por NIST, que define los requisitos de seguridad para modulos criptograficos y su certificacion en laboratorios acreditados. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa FIPS 140 / FIPS 140-3?
Norma federal de EE. UU., mantenida por NIST, que define los requisitos de seguridad para modulos criptograficos y su certificacion en laboratorios acreditados.
¿Cómo funciona FIPS 140 / FIPS 140-3?
FIPS 140 es la familia de normas FIPS (FIPS 140-2 y la actual FIPS 140-3, alineada con ISO/IEC 19790) que especifica requisitos de seguridad para modulos criptograficos: algoritmos aprobados, autenticacion por roles, gestion de claves, autopruebas, seguridad fisica, resistencia a canales laterales y entorno operativo. Los modulos se validan en laboratorios CMVP acreditados en cuatro niveles, desde el 1 (software con algoritmos aprobados) al 4 (deteccion completa de manipulacion). Es obligatoria para criptografia que trate datos federales y la exigen FedRAMP, el DoD, reguladores financieros, salud y muchas grandes empresas a nivel global.
¿Cómo defenderse de FIPS 140 / FIPS 140-3?
Las defensas contra FIPS 140 / FIPS 140-3 combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para FIPS 140 / FIPS 140-3?
Nombres alternativos comunes: FIPS 140-2, FIPS 140-3.
● Términos relacionados
- cryptography№ 461
Modulo de seguridad por hardware (HSM)
Dispositivo a prueba de manipulacion que genera, almacena y usa claves criptograficas sin exponer nunca el material clave en claro al sistema operativo.
- cryptography№ 1178
Modulo de plataforma confiable (TPM)
Chip de seguridad estandar soldado a la placa o implementado en firmware que aporta almacenamiento de claves anclado en hardware, atestiguacion y arranque medido.
- cryptography№ 248
Clave criptográfica
Valor secreto o público de alta entropía que parametriza un algoritmo criptográfico para cifrar, descifrar, firmar o autenticar datos.
- compliance№ 411
FedRAMP
Programa del Gobierno de EE. UU. que estandariza la evaluación de seguridad, la autorización y la monitorización continua de los servicios cloud utilizados por las agencias federales.
- compliance№ 423
FISMA
Ley federal de EE. UU. que obliga a las agencias federales y a sus contratistas a implantar programas de seguridad de la información basados en riesgos para los sistemas que manejan datos del Gobierno.
- cryptography№ 172
Suite de cifrado
Combinación nombrada de algoritmos criptográficos —intercambio de claves, autenticación, cifrado de datos e integridad— negociada por protocolos como TLS para una sesión.