FIPS 140 / FIPS 140-3
Qu'est-ce que FIPS 140 / FIPS 140-3 ?
FIPS 140 / FIPS 140-3Norme federale americaine, maintenue par le NIST, qui definit les exigences de securite pour les modules cryptographiques et leur certification par laboratoires accredites.
FIPS 140 est la famille de normes federales US (FIPS 140-2 et l'actuelle FIPS 140-3, alignee sur ISO/IEC 19790) specifiant les exigences de securite des modules cryptographiques: algorithmes approuves, authentification basee sur les roles, gestion de cles, autotests, securite physique, resistance aux canaux auxiliaires et environnement d'execution. Les modules sont valides par des laboratoires CMVP accredites a quatre niveaux, du niveau 1 (logiciel avec algorithmes approuves) au niveau 4 (detection d'intrusion complete). FIPS 140 est obligatoire pour la cryptographie traitant des donnees federales US et largement exige par FedRAMP, DoD, regulateurs financiers, sante et de nombreux acheteurs entreprise dans le monde.
● Exemples
- 01
Un HSM valide FIPS 140-3 niveau 3 protegeant la cle privee d'une AC racine.
- 02
Bibliotheque TLS validee FIPS 140-2 niveau 1 exigee pour vendre aux agences federales US.
● Questions fréquentes
Qu'est-ce que FIPS 140 / FIPS 140-3 ?
Norme federale americaine, maintenue par le NIST, qui definit les exigences de securite pour les modules cryptographiques et leur certification par laboratoires accredites. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie FIPS 140 / FIPS 140-3 ?
Norme federale americaine, maintenue par le NIST, qui definit les exigences de securite pour les modules cryptographiques et leur certification par laboratoires accredites.
Comment fonctionne FIPS 140 / FIPS 140-3 ?
FIPS 140 est la famille de normes federales US (FIPS 140-2 et l'actuelle FIPS 140-3, alignee sur ISO/IEC 19790) specifiant les exigences de securite des modules cryptographiques: algorithmes approuves, authentification basee sur les roles, gestion de cles, autotests, securite physique, resistance aux canaux auxiliaires et environnement d'execution. Les modules sont valides par des laboratoires CMVP accredites a quatre niveaux, du niveau 1 (logiciel avec algorithmes approuves) au niveau 4 (detection d'intrusion complete). FIPS 140 est obligatoire pour la cryptographie traitant des donnees federales US et largement exige par FedRAMP, DoD, regulateurs financiers, sante et de nombreux acheteurs entreprise dans le monde.
Comment se défendre contre FIPS 140 / FIPS 140-3 ?
Les défenses contre FIPS 140 / FIPS 140-3 combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de FIPS 140 / FIPS 140-3 ?
Noms alternatifs courants : FIPS 140-2, FIPS 140-3.
● Termes liés
- cryptography№ 461
Module de securite materiel (HSM)
Appareil materiel inviolable qui genere, stocke et utilise les cles cryptographiques sans jamais exposer le materiel cle en clair au systeme d'exploitation.
- cryptography№ 1178
Trusted Platform Module (TPM)
Puce de securite standardisee soudee a la carte mere ou implementee en firmware, fournissant stockage de cles ancre materiellement, attestation et measured boot.
- cryptography№ 248
Clé cryptographique
Valeur secrète ou publique à haute entropie qui paramètre un algorithme cryptographique pour chiffrer, déchiffrer, signer ou authentifier des données.
- compliance№ 411
FedRAMP
Programme du gouvernement américain qui standardise l'évaluation de sécurité, l'autorisation et la surveillance continue des services cloud utilisés par les agences fédérales.
- compliance№ 423
FISMA
Loi fédérale américaine qui impose aux agences fédérales et à leurs prestataires de mettre en place des programmes de sécurité de l'information fondés sur les risques pour les systèmes traitant des données gouvernementales.
- cryptography№ 172
Suite cryptographique
Combinaison nommée d'algorithmes — échange de clés, authentification, chiffrement, intégrité — négociée par des protocoles comme TLS pour une session donnée.