FIPS (Federal Information Processing Standard )140-2 es uno de los estándares de ciberseguridad más rigurosos que existen en la actualidad para la evaluación de módulos criptográficos, cuya certificación corresponde al NIST (National Institute of Standards and Technology). Por eso, nos complace comunicar que, tras trabajar codo con codo con Anqlave, el producto Anqlave Data Vault (ADV) ha obtenido la certificación FIPS 140-2.
Una integración pionera, reto aceptado.
Anqlave es un fabricante de productos dedicados a la elaboración de productos de seguridad nativa utilizando hardware que sigue un esquema RoT (Root of Trust) y querían ser el primer HSM virtual almacenado en Azure Cloud que aprovecha la tecnología Intel® Software Guard Extensions (Intel® SGX).
Anqlave nunca había evaluado ningún producto según los exigentes estándares de FIPS 140-2. Sin experiencia previa en certificación, decidió apostar por trabajar con jtsec para que le ofreciésemos todo nuestro expertise en certificaciones de nivel alto, tales como Common Criteria o FIPS 140-2.
El principal reto consistía en que ninguna empresa había realizado antes una integración OpenSSL a la tecnología Intel® Software Guard Extensions (Intel® SGX) lo que suponía una motivación añadida para jtsec como consultora especializada en el ámbito de la ciberseguridad.
Gestión del proyecto: cliente, consultoría y laboratorio.
Todo proyecto que afrontamos comienza con un exhaustivo GAP Analysis del producto, en este caso Anqlave Data Vault (ADV), donde se detectaron diferentes requisitos que el producto debía implementar para cumplir la norma.
Los expertos de jtsec apoyaron al equipo de Anqlave en la adaptación de su módulo de cifrado para cumplir con los requisitos FIPS 140-2 exigidos para el Nivel de Seguridad 1.
En base a los requisitos exigidos para el Nivel de Seguridad 1, jtsec realizó una primera versión de la documentación, posteriormente revisada por Anqlave, un paso clave antes de la entrada del producto al laboratorio.
Una vez contamos con una versión consistente de la documentación, comienza el trabajo con el laboratorio, en este caso Intertek EWA Canada, el laboratorio que mejor encajaba con las necesidades el proyecto y uno de los referentes en la certificación FIPS 140-2.
Aquí comienza un trabajo paralelo, el laboratorio comienza con la evaluación de la documentación a la vez que realiza el CAVP para la evaluación de los algoritmos implementados por Anqlave en el producto.
❝Gracias a la ayuda de jtsec el proceso de certificación ha sido todo un éxito, colaborando en todo momento y contribuyendo con su valiosa experiencia. Assaf Cohen, CEO de Anqlave
Durante todo este proceso, jtsec realizó un trabajo colaborativo, tanto con el laboratorio como con el cliente para subsanar las posibles inconsistencias encontradas en la documentación, así como los posibles errores de implementación en los algoritmos criptográficos. Cabe destacar que en el caso de Anqlave, tanto la documentación como la implementación no requirieron de excesivas modificaciones.
Una vez finalizado este proceso, se envía al NIST para realizar el CMVP, un largo proceso que puede dilatarse alrededor de un año hasta la publicación oficial del certificado por parte de dicho organismo.
