FIPS 140-3, el nuevo estándar para módulos criptográficos
El nuevo estándar de ciberseguridad para módulos criptográficos FIPS 140-3 está a la vuelta de la esquina. EL CMVP ya acepta informes basados en FIPS 140-3. Así que en los próximos 12 meses (hasta septiembre de 2021), los fabricantes pueden testar su tecnología contra FIPS 140-2 o FIPS 140-3.
Esto supone una ventana temporal en la que, los productos que actualmente se encuentran certificándose bajo FIPS 140-2, pueden terminar su certificación en dicho estándar, aunque es cierto que, para los fabricantes que estén valorando certificarse en los próximos meses, es recomendable hacerlo contra FIPS 140-3, ya que será el nuevo estándar que se imponga en el mercado.
FIPS 140-2 vs FIPS 140-3, principales diferencias
Aunque bien es cierto que, en algunas funcionalidades son similares,existen diferencias considerables entre ambos estándares que explicamos a continuación:
Mientras que en FIPS 140-2 los módulos criptográficos pueden funcionar en modo aprobado y modo no aprobado, comúnmente llamados modo FIPS y modo no FIPS, en el caso de FIPS 140-3 un módulo puede operar en modo normal para llevar a cabo las funcionalidades criptográficas aprobadas por el NIST o el modo “degraded” en el que el módulo es capaz de operar con un subconjunto de su funcionalidad criptográfica tras alcanzar un estado de error.
En relación a los interfaces, FIPS 140-3 define un nuevo interfaz llamado “Control Output inteface” para poder enviar comandos a otros módulos criptográficos y además define la necesidad de hacer uso de “Trusted channel” para nivel 3 (haciendo uso de Identity based authenticaiton) y para nivel 4 (haciendo uso de Multi-Factor Identity Based Authentication).
En el apartado de los servicios, los mayores cambios se observan en cuanto a la definición de un nuevo servicio que debe mostrar la información referente a la versión del módulo, así como a la definición de requisitos específicos para la carga de actualizaciones del firmware.
En el caso de la autenticación, los cambios se han introducido para niveles iguales o superiores al SL2, definiendo los mecanismos a usar en cada nivel, así como los requisitos a cumplir dependiendo del mecanismo escogido, teniendo en cuenta que como se ha comentado anteriormente, en el caso de un SL4 es necesario hacer uso de Multi-Factor Identity Based Authentication.
Los requisitos relacionados con la seguridad física no se han visto muy afectados, salvo por la necesidad de usar sellos anti tamper numerados o identificados holográficamente para SL3 y la necesidad de incorporar medidas de protección contra posibles inducciones a fallos.
También se requiere que el módulo sea capaz de mitigar los ataques no invasivos aun sin definir y que se incluirán en el anexo F del estándar.
En el apartado de los self-test, llama la atención que ya no es necesario llevar a cabo los known answer test asociados a cada función criptográfica durante los pre-operational self-test (antiguos power-up self-test), si no que ahora pasan a ser parte de los conditional self-test. Por otro lado, también es importante destacar la necesidad de implementar un log de errores que muestre al menos el último error conocido para los módulos con un nivel SL3 o superior.
Consultoría y taller práctico FIPS 140-3
Dadas las circunstancias actuales y la imposibilidad de ofrecer los talleres prácticos de forma presencial, en jtsec continuamos con nuestro servicio de consultoría de forma online.
Nuestros expertos en FIPS 140-3 ya han realizado varios proyectos de consultoría en los que al cliente se le facilita una formación online para explicar el proceso de consultoría que se va a realizar y los pasos que contiene.
Así, proporcionamos un material imprescindible para que el cliente entienda el alcance del proyecto, la duración y dificultad del mismo. Atendiendo a las posibles preguntas que le puedan surgir resolviéndolas al instante. Con ello, la toma de contacto con la consultoría FIPS 140-3 es mucho más cercano y comprensible.
Si aún tienes dudas relativas al nuevo estándar de certificación para módulos criptográficos FIPS 140-3, estaremos encantados de resolver todas tus dudas.
