FIPS 140-2 มีผลบังคับใช้สำหรับการใช้งานใน หน่วยงานของรัฐบาลกลางที่รวบรวม จัดเก็บ โอน แบ่งปัน และเผยแพร่ข้อมูลที่ละเอียดอ่อนแต่ไม่ได้จัดประเภท (SBU) สิ่งนี้ใช้กับรัฐบาลกลางทั้งหมด หน่วยงาน ตลอดจนผู้รับเหมาและผู้ให้บริการ รวมถึงผู้ให้บริการเครือข่ายและคลาวด์
ข้อกำหนด FIPS 140-2 คืออะไร
FIPS 140-2 กำหนดให้ โมดูลการเข้ารหัสฮาร์ดแวร์หรือซอฟต์แวร์ใด ๆ ที่ใช้อัลกอริทึมจากรายการที่ได้รับอนุมัติ อัลกอริธึมที่ผ่านการตรวจสอบ FIPS ครอบคลุมเทคนิคการเข้ารหัสแบบสมมาตรและไม่สมมาตร ตลอดจนการใช้มาตรฐานแฮชและการตรวจสอบข้อความ
ฉันต้องเป็นไปตาม FIPS หรือไม่
หน่วยงานและหน่วยงานของรัฐบาลกลางทั้งหมดต้องใช้ FIPS 180 เพื่อปกป้องข้อมูลที่ละเอียดอ่อนที่ไม่จัดประเภทและแอปพลิเคชันของรัฐบาลกลางสามารถใช้อัลกอริธึมแฮชที่ปลอดภัยกับอัลกอริธึมการเข้ารหัสอื่น ๆ เช่น รหัสตรวจสอบข้อความแฮชแบบคีย์หรือโปรแกรมสร้างตัวเลขสุ่ม
FIPS 140-2 และ FIPS 140 3 แตกต่างกันอย่างไร
ในขณะที่ทั้ง FIPS 140-2 และ FIPS 140-3 รวม สี่ อินพุตข้อมูลอินเทอร์เฟซเชิงตรรกะ เอาต์พุตข้อมูล อินพุตควบคุม และเอาต์พุตสถานะ … แทนที่จะต้องการการสนับสนุนโมดูลสำหรับ บทบาทของเจ้าหน้าที่ crypto และผู้ใช้ที่มีบทบาทการบำรุงรักษาเป็นตัวเลือก FIPS 140-3 ต้องการเพียงบทบาทเจ้าหน้าที่ crypto เท่านั้น
ฉันจะตรวจสอบการปฏิบัติตาม FIPS 140-2 ได้อย่างไร
มีสองวิธีที่จะรับรองการจัดการของคุณว่ากำลังดำเนินการ FIPS 140-2 หนึ่งคือการจ้างที่ปรึกษาที่เชี่ยวชาญด้านมาตรฐาน เช่น Rycombe Consulting หรือ Corsec Security บริษัทเหล่านี้จัดเตรียมเอกสารที่จำเป็นสำหรับขั้นตอนการรับรอง ซึ่งคุณสามารถใช้เพื่อพิสูจน์การใช้งาน