El porqué de FIPS 140-3
El 1 de mayo de 2019, el Registro Federal anunció que el secretario de comercio había aprobado el 22 de marzo de 2019 FIPS 140-3 que es el estándar que sustituye a FIPS 140-2.
FIPS 140-3 actualiza el estándar indicando a los fabricantes que ahora deben usar la ISO/IEC 19790:2012(E), la cual el NIST ha contribuido a desarrollar de manera internacional trabajando codo con codo con la industria internacional para unificar varios estándares de seguridad criptográfica. Esto implica que, cuando un módulo criptográfico sea validado conforme a FIPS 140-3 pueda tener una mayor aceptación internacional que cuando se valida conforme a FIPS 140-2.
Además, los requisitos de test especificados en este estándar serán acordes con la ISO/IEC 24759:2017€ y con todas las modificaciones que conlleva FIPS 140-3.
Cronograma
Después de que se haya aprobado FIPS 140-3, estas son las fechas importantes a marcar en el calendario de cara a su implementación:
- 22 de marzo de 2019: FIPS 140-3 Approved
- 22 de septiembre de 2019: Es la fecha limite en la que los laboratorios deben haber terminado de desarrollar las herramientas de test para llevar a cabo validaciones FIPS 140-3 y el NIST debe publicar la documentación SP 800-140.
- 22 de septiembre de 2020: Comienzo de las evaluaciones usando FIPS 140-3.
- 22 de septiembre de 2021: Fin de las evaluaciones haciendo uso de FIPS 140-2. Los certificados de FIPS 140-2 serán validos hasta su fecha de expiración (Normalmente 5 años tras la fecha de validación)
FIPS 140-3
Como se ha especificado anteriormente, FIPS 140-3 es conforme con una versión modificada de los siguientes estándares:
- ISO/IEC 19790:2012(E): Information Technology – Security techniques – Security Requirements for Cryptographic Modules
- ISO/IEC 24759:2017(E): Information Technology – Security techniques – Test Requirements for Cryptographic Modules
Las modificaciones que FIPS 140-3 realiza sobre los estándares a través de la documentación SP 800-140 desarrollada por el NIST son las siguientes:
Publication del NIST | Titulo | ISO/IEC 19790:2012(E) | ISO/IEC 24759:2017(E) | |
|---|---|---|---|---|
SP 800-140 | FIPS 140-3 Derived Test Requirements (DTR) | Modifies | -- | De la sección 6.1 a la 6.12 |
SP 800-140A | CMVP Documentation Requirements | Anexo A | Sección 6.13 | |
SP 800-140B | CMVP Security Policy Requirements | Anexo B | Sección 6.14 | |
SP 800-140C | CMVP Approved Security Functions | Anexo C | Sección 6.15 | |
SP 800-140D | CMVP Approved Sensitive Security Parameter Generation and Establishment Methods | Anexo D |
Sección 6.16 | |
SP 800-140E | CMVP Approved Authentication Mechanisms | Anexo E | Sección 6.17 | |
SP 800-140F | CMVP Approved Non-Invasive Attack Mitigation Test Metrics | Anexo F | Sección 6.17 |
FIPS 140-2 vs FIPS 140-3
La documentación SP 800.140x esta siendo desarrollada actualmente, por lo que los cambios con respecto a FIPS 140-2 todavía no son definitivos.
Sin embargo, como se especifica en la página del NIST y en la documentación publicada de FIPS 140-3 (Security Requirements for Cryptographic Modules), la mayoría de los cambios que se producirán estarán relacionados con la introducción de requisitos físicos no invasivos y la mejora de los auto test (self-test).
Conclusión
Aunque FIPS 140-3 ha sido aprobado oficialmente, es pronto aun para conocer los cambios que implicará con respecto a su predecesor, sin embargo, no hay dudas de que son buenas noticias para el estándar después de tantos años.
Esperemos saber más detalles en la próxima ICMC la siguiente semana en Vancouver.
