什麼是 FIPS 140-3？

什麼是 FIPS 140-3？

FIPS 140-3 綜合指南

FIPS（聯邦資訊處理標準）140-3 是驗證加密硬體有效性的最新基準。如果產品具有 FIPS 140-3 證書，您就知道它已經過美國和加拿大政府的測試和正式驗證。儘管 FIPS 140-3 是一項相對較新的美國/加拿大聯邦標準，但其前身FIPS 140-2 合規性已在世界各地的政府和非政府部門中廣泛採用，作為實用的安全基準和現實的最佳實踐。

FIPS 140-3 有哪些 FIPS 140-2 沒有的功能？

FIPS 140-3 是用於驗證加密模組的美國政府電腦安全標準的最新版本。 FIPS 140-3 與 ISO/IEC 19790 標準保持一致，並針對 FIPS 140-2 標準的安全要求引入了多項新的增強功能，包括：

經批准的操作模式指標適用於所有級別，並且必須由模組提供的每項服務進行報告。
對關鍵安全參數 (CSP) 更嚴格的歸零要求。
認證資料複雜性不再允許透過程序手段強制執行，而必須由模組強制執行。
等級3 (Level 3) 實體安全現在要求模組能夠偵測超出範圍的電壓或溫度並做出反應（環境故障保護或 EFP），或接受環境故障測試 (EFT)。對於等級4，現在需要 EFP 和故障注入的保護。
等級4 新的多重身分驗證 (MFA) 要求。
模組開發生命週期的新保證要求引入了關鍵安全實踐，例如模組的開發人員測試和自動安全診斷工具的使用（例如靜態分析）
非侵入式安全性作為可選要求引入，並將涵蓋針對側通道攻擊的測試指南。

自 2022 年 4 月 1 日起，對於新提交的內容，FIPS PUB 140-3 加密模組安全要求將取代 FIPS 140-2。
通過 FIPS 140-2 認證的產品在驗證後可維持 5 年內有效。有關更多詳細信息，請參閱NIST 過渡頁面https://csrc.nist.gov/projects/fips-140-3-transition-effort。

FIPS 140-3 等級 (Level)

組織使用 FIPS 140-3 標準來確保他們選擇的硬體符合特定的安全要求。 FIPS 認證標準定義了四個不斷增加的定性安全等級：

等級1：需要生產級設備和經過外部測試的演算法。
等級2：新增實體防篡改和基於角色的身份驗證的要求。
等級3：增加實體防篡改和基於身分的身份驗證的要求。「關鍵安全參數」進入和離開模組的介面之間也必須存在物理或邏輯分離。私鑰只能以加密形式進入或離開。等級3還要求模組能夠偵測超出範圍的電壓或溫度並做出反應（環境故障保護或 EFP），或進行環境故障測試 (EFT)。
等級4：此等級使實體安全要求更加嚴格，要求具有防篡改能力，如果偵測到各種形式的環境攻擊，就會擦除裝置的內容。需要 EFP 和針對故障注入的保護以及多因素身份驗證。

對於許多組織來說，要求獲得 FIPS 140-2 和 FIPS 140-3 等級3 FIPS 認證是有效安全性、操作便利性和市場選擇之間的良好折衷方案。
2019 年發布 FIPS 140-3 時，宣布了 FIPS 140-2 證書的五年日落期。

資料來源: https://www.entrust.com/resources/learn/what-fips-140-3

nShield 5s/5c HSM 取得 FIPS 140-3 Level 3 認證