P. ¿Qué es FIPS 140?
R. El Estándar Federal del Proceso de Información 140-1 (FIPS 140-1) y su sucesor FIPS 140-2 US son los estándares de gobierno de los Estados Unidos que proporcionan un patrón para implementar el software criptográfico. Estos estándares especifican las mejores prácticas para implementar los cripto-algoritmos, manejarel material clave y los almacenadores intermediarios, así como para trabajar con el sistema operativo.
P. ¿Quién administra el proceso de evaluación del FIPS 140?
R. La evaluación es administrada por el Módulo de Validación Criptográfica (CMV), Programa del Instituto Nacional de Estándares y Tecnología (NIST) en los Estados Unidos y por el Establecimiento de la Seguridad en Comunicaciones (CSE) en Canadá. El programa CMV se estableció en Julio de 1995. Todas las pruebas realizadas por el programa CMV son realizadas por los laboratorios externos acreditados.
P. ¿Cuál es la diferencia entre FIPS 140-1 y FIPS 140-2?
R. FIPS 140-1, define los requerimientos de seguridad para los módulos criptográficos, entró en vigor el 4 de enero de 1994. Estos requerimientos fueron actualizados en el 2001,y el estándar FIPS 140-2 fue publicado. En mayo de 2002, NIST y CMV comenzaron a aceptar los reportes de prueba para la validación de los módulos criptográficos FIPS 140-2 únicamente. Sin embargo, de acuerdo a la página Web del programa CMV, “las agencias pueden continuar comprando, conservando y utilizando productos validados como el FIPS 140-1 después del 25 de Mayo de 2002”.
FIPS 140-2 especifica los requerimientos de seguridad que serán satisfechos por un modulo criptográfico, proporcionando cuatro niveles cualitativos previstos para cubrir una amplia gama de aplicaciones y ambientes potenciales. Las áreas cubiertas, relacionadas con el diseño de seguridad y la implementación de un modulo criptográfico, incluyen la especificación, puertos e interfaces, roles, servicios y autentificación; seguridad física; ambiente operacional; administración criptográfica; interferencia electromecánica/compatibilidad electromecánica (EMI/EMC); auto pruebas, aseguramiento del diseño; y mitigación de otros ataques.
P. ¿Cuáles son los diferentes niveles (nivel 1, 2, 3 y 4) de la validación FIPS 140?
R. Dentro de la mayoría de las áreas, un modulo criptográfico recibe una tasa de nivel de seguridad (1-4, del más bajo al más alto), dependiendo de qué requerimientos se satisfacen. Para otras áreas que no proporcionan niveles de seguridad, un módulo criptográfico recibe un grado que refleja el cumplimiento de todos los requerimientos para esa área.
Nivel 1 restringe la máquina donde el módulo funciona sobre un modo operativo en “single-user”. Esto significa que solo un usuario puede activar la máquina en cualquier momento. Esto es aceptable para las máquinas que funcionan con Client Software, pero no tiene sentido para el software del servidor SSH.
Nivel 2 la certificación es notablemente más difícil de conseguir. Lo difícil no está en el código del módulo criptográfico por si mismo,sino con las formalidades y el hecho de que los módulos del nivel 2 deben funcionar en el hardware validado en los Sistemas Operativos. F-Secure fue el primer proveedor de SSH en recibir la validación del nivel 2 de FIPS 140-2. (F-Secure SSH ahora se llama Reflection for Secure IT).
Niveles 3 y 4 cuentan con requerimiento físicos de protección que son para los sistemas hardware y no son aplicables para el software.
P. ¿Cuáles son los requisitos para obtener una validación FIPS 140?
R. Los requisitos de seguridad cubren 11 áreas relacionadas con el diseño y la implementación de un módulo criptográfico, incluyendo seguridad del sistema operativo, seguridad del software, administrador, algoritmos criptográficos, y auto pruebas.
P. ¿Qué significa validación FIPS 140?
R. La validación FIPS 140 es una prueba adicional hecha por laboratorios externos que demuestra una implementación del software de seguridad para estar dentro de los más altos estándares de calidad. Esta validación ubica a Reflection for Secure IT en otra categoría diferente a software de código abierto, el cual no es validado.
P. ¿Qué significa la validación FIPS 140 para el gobierno de los Estados Unidos?
R. FIPS 140-1 y FIPS 140-2 son dos de una serie de Publicaciones Estándares del Proceso de Información Federal (Publicaciones FIPS) que han sido publicadas por el gobierno de los Estados Unidos; las Publicaciones FIPS son creadas por NIST (generalmente después de un periodo de comentario público) y son publicadas después de la aprobación oficial de la Secretaría de Comercio de los Estados Unidos. Las Publicaciones FIPS se están comprometiendo con las agencies gubernamentales de los Estados Unidos (a menos de que estén oficialmente exentas de cumplir con este requisito), y los productos vendidos al gobierno de los Estados Unidos deben conformarse a menudo con uno ó más de los estándares de las Publicaciones FIPS.
P. ¿Qué significa la validación FIPS 140 para las organizaciones no gubernamentales?
R. Las Publicaciones FIPS no son estándares obligatorios para individuos u organizaciones no asociadas con el gobierno de los Estados Unidos. Sin embargo, muchas compañías que hacen negocios con el gobierno adoptan los estándares de las Publicaciones FIPS para su propio uso. Esto puede ser debido a requerimientos contractuales, regulaciones del gobierno o simplemente porque las compañías deciden que ciertas publicaciones FIPS tienen valor como estándares para uso interno.
P. ¿Qué validaciones FIPS tienen Reflection for Secure IT?
R. Reflection for Secure IT tiene ambas validaciones: FIPS 140-1 nivel 1 y FIPS 140-2 nivel 2.
P. ¿Dónde puedo ver la validación FIPS para Reflection for Secure IT?
R. Cuando usted selecciona seguridad de datos o productos de criptografía relacionados, los usuarios en Estados Unidos y los Gobiernos Federales Canadienses son aconsejados por NIST/CSE para referirse a la validación FIPS 140-1 y a la lista de validación FIPS 140-2. (vea http://csrc.nist.gov/cryptval)
P. ¿Qué productos Reflection for Secure IT son o serán validados por FIPS-140?
R. Técnicamente hablando, son las bibliotecas criptográficas utilizadas por productos Reflection for Secure IT, no los productos mismos, las que son validadas. Reflection for Secure IT, servidor Windows, y servidor y cliente UNIX están utilizando las bibliotecas criptográficas validadas FIPS-140, y los productos funcionarán en modo FIPS 140 (restrinja los algoritmos disponibles a los algoritmos autorizados por FIPS140).
Para más información sobre FIPS 140 del NIST, por favor consulte: http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf.
Para más información sobre el proceso de FIPS 140-2 usted puede revisar los documentos relacionados 140-2 en http://csrc.ncsl.nist.gov/cryptval/.