EL CMVP está experimentando, desde hace tiempo, una cola de espera de proyectos pendientes de evaluar en lo concierne a FIPS 140-2 y FIPS 140-3. Con la idea de subsanar esta problemática e intentar acortar los tiempos de espera, el CMVP apuesta por la creación de herramientas cuya finalidad sea automatizar los procesos y procedimientos relacionados con la evaluación y las pruebas de estos módulos criptográficos.
¿Qué es el CMVP y por qué es tan importante dentro del proceso de certificación de módulos criptográficos?
EL CMVP (Cryptographic Module Validation Program por sus siglas en inglés) surge de una alianza promovida entre Estados Unidos y Canadá para dar soporte a la certificación de módulos criptográficos bajo las metodologías FIPS. Tiene como objetivo promover el uso de módulos criptográficos validados y proporcionar una escala de seguridad para utilizar en la adquisición de productos que contengan módulos criptográficos. EL CMVP forma parte del NIST (National Institute of Standards and Technology), la agencia gubernamental que asume el rol de Organismo de Certificación en Estados Unidos.
CMVP se ha convertido en el esquema usado a nivel internacional para evaluar los módulos criptográficos.
Herramientas para automatizar procesos como solución para agilizar el proceso de certificación en FIPS.
Esta no es la primera vez que el CMVP recurre a la creación de herramientas para automatizar procesos, ya que recientemente implementó un cambio en los métodos para probar algoritmos dentro del Programa de Validación de Algoritmos Criptográficos (CAVP).
Para solventar el problema de los dilatados tiempos de espera, el CMVP ha creado un documento para identificar ideas y recomendaciones sobre cómo automatizar algunas de las tareas manuales más tediosas durante el proceso de validación FIPS, con la idea de ser más eficaces y reducir los plazos de espera para conseguir que los productos estén en el mercado en un tiempo y forma óptimos. Los nuevos mecanismos que se implanten serán testados por laboratorios acreditados perteneciente al National Voluntary Laboratory Accreditation Program (NVLAP).
*Fuente original https://www.nccoe.nist.gov/sites/default/files/library/project-descriptions/cmvp-project-description-draft.pdf
La automatización, parte del ADN de jtsec
Desde jtsec aplaudimos este tipo de iniciativas, potenciar la automatización en los procesos utilizados en las certificaciones de ciberseguridad está en el ADN de jtsec desde nuestro nacimiento. Hemos desarrollado herramientas únicas en el mercado tales como CCToolbox, para Common Criteria y LinceToolbox para evaluaciones LINCE. Estas herramientas permiten automatizar una serie de procesos tanto en la parte de consultoría como de evaluación de ambas metodologías. Además, gracias a la financiación de la Comisión Europea en el marco del programa Connecting Europe Facility (CEF), estamos desarrollando CCCAB (Common Criteria Conformity Assessment Body), que será una herramienta gratuita de código abierto que permitirá a los CABs de Common Criteria del nuevo esquema EUCC agilizar el proceso de certificación de los productos TIC.
El “time-to-market” es una de las prioridades de jtsec a la hora de afrontar una evaluación. Ayudar a nuestros clientes a que su producto certificado esté en el mercado en el momento preciso supone una ventaja competitiva para nuestros clientes. Gracias a la utilización de estas herramientas, podemos afrontar con solvencia que el producto esté en el mercado en el tiempo marcado.
