FIPS 140 / FIPS 140-3
O que é FIPS 140 / FIPS 140-3?
FIPS 140 / FIPS 140-3Norma federal dos EUA mantida pelo NIST que define requisitos de seguranca para modulos criptograficos e a sua certificacao por laboratorios acreditados.
FIPS 140 e a familia de normas federais dos EUA (FIPS 140-2 e a atual FIPS 140-3, alinhada com a ISO/IEC 19790) que define requisitos de seguranca para modulos criptograficos: algoritmos aprovados, autenticacao por papeis, gestao de chaves, autotestes, seguranca fisica, resistencia a canais laterais e ambiente operacional. Os modulos sao validados por laboratorios CMVP acreditados em quatro niveis, do 1 (software com algoritmos aprovados) ao 4 (detecao total de violacao do envoltorio). E obrigatoria para criptografia que trata dados federais e largamente exigida por FedRAMP, DoD, reguladores financeiros, saude e muitos compradores empresariais mundialmente.
● Exemplos
- 01
HSM validado FIPS 140-3 nivel 3 a proteger a chave privada de uma CA raiz.
- 02
Biblioteca TLS validada FIPS 140-2 nivel 1 exigida para vender a agencias federais dos EUA.
● Perguntas frequentes
O que é FIPS 140 / FIPS 140-3?
Norma federal dos EUA mantida pelo NIST que define requisitos de seguranca para modulos criptograficos e a sua certificacao por laboratorios acreditados. Pertence à categoria Criptografia da cibersegurança.
O que significa FIPS 140 / FIPS 140-3?
Norma federal dos EUA mantida pelo NIST que define requisitos de seguranca para modulos criptograficos e a sua certificacao por laboratorios acreditados.
Como funciona FIPS 140 / FIPS 140-3?
FIPS 140 e a familia de normas federais dos EUA (FIPS 140-2 e a atual FIPS 140-3, alinhada com a ISO/IEC 19790) que define requisitos de seguranca para modulos criptograficos: algoritmos aprovados, autenticacao por papeis, gestao de chaves, autotestes, seguranca fisica, resistencia a canais laterais e ambiente operacional. Os modulos sao validados por laboratorios CMVP acreditados em quatro niveis, do 1 (software com algoritmos aprovados) ao 4 (detecao total de violacao do envoltorio). E obrigatoria para criptografia que trata dados federais e largamente exigida por FedRAMP, DoD, reguladores financeiros, saude e muitos compradores empresariais mundialmente.
Como se defender contra FIPS 140 / FIPS 140-3?
As defesas contra FIPS 140 / FIPS 140-3 costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para FIPS 140 / FIPS 140-3?
Nomes alternativos comuns: FIPS 140-2, FIPS 140-3.
● Termos relacionados
- cryptography№ 461
Modulo de seguranca de hardware (HSM)
Equipamento resistente a violacao que gera, guarda e usa chaves criptograficas sem nunca expor o material da chave em claro ao sistema operativo.
- cryptography№ 1178
Trusted Platform Module (TPM)
Chip de seguranca padronizado soldado a placa principal ou implementado em firmware que oferece armazenamento de chaves ancorado em hardware, atestacao e measured boot.
- cryptography№ 248
Chave criptográfica
Valor secreto ou público de alta entropia que parametriza um algoritmo criptográfico para cifrar, decifrar, assinar ou autenticar dados.
- compliance№ 411
FedRAMP
Programa do governo dos EUA que padroniza a avaliação de segurança, autorização e monitorização contínua dos serviços cloud usados pelas agências federais.
- compliance№ 423
FISMA
Lei federal dos EUA que obriga as agências federais e os seus contratantes a implementar programas de segurança da informação baseados em risco para sistemas que tratam dados governamentais.
- cryptography№ 172
Suíte criptográfica
Combinação nomeada de algoritmos criptográficos — troca de chaves, autenticação, cifragem e integridade — negociada por protocolos como o TLS para uma dada sessão.