¿Qué es la norma FIPS 140-2?

La serie 140 de FIPS son las normas que se ocupan de los módulos criptográficos informáticos, lo que implica tanto componentes de hardware como de software utilizados por los departamentos y organismos del Gobierno Federal de Estados Unidos. FIPS 140-2 es la norma actual del sector. FIPS 140-2 establece normas para la resistencia física a la manipulación, la autenticación basada en roles y la separación física y lógica de las interfaces por las que pasan los "parámetros críticos de seguridad".

FIPS 140-2 tiene cuatro niveles, cada uno de los cuales es más estricto que el anterior:

• El nivel 1 de FIPS 140-2, el más bajo, impone unos requisitos muy limitados; en términos generales, todos los componentes deben ser de "nivel de producción" y no deben existir varios tipos de inseguridad atroces.
• El nivel 2 de FIPS 140-2 añade requisitos sobre pruebas físicas de manipulación y autenticación basada en funciones.
• FIPS 140-2 Level 3 añade requisitos de resistencia física a la manipulación (dificultando a los atacantes el acceso a la información sensible contenida en el módulo) y de autenticación basada en la identidad, así como de separación física o lógica entre las interfaces por las que los "parámetros críticos de seguridad" entran y salen del módulo, y sus demás interfaces.
• El nivel 4 de FIPS 140-2 hace más estrictos los requisitos de seguridad física y exige robustez frente a ataques ambientales.

Para certificar un módulo criptográfico como un HSM, los proveedores privados deben someterse primero a una serie de pruebas FIPS por parte de un laboratorio independiente y acreditado de Pruebas Criptográficas y de Seguridad (CST), como el Programa Nacional Voluntario de Acreditación de Laboratorios.

Utimaco ha validado varios módulos criptográficos conforme a la norma FIPS 140-2.