FIPS 140-3

Национальный институт стандартов и технологий (NIST) выпустил серию публикаций FIPS 140 для координации требований и стандартов к криптографическим модулям, включающим как аппаратные, так и программные компоненты. Федеральные ведомства и агентства могут удостовериться, что используемый модуль подтверждён действующим сертификатом FIPS 140, который указывает точное название модуля, аппаратные, программные, микропрограммные компоненты и/или версии апплетов. Криптографические модули разрабатываются частным сектором или сообществом открытого программного обеспечения для использования правительством США и другими регулируемыми отраслями (такими как финансовые и медицинские учреждения), которые собирают, хранят, передают, обрабатывают и распространяют информацию, чувствительную, но не относящуюся к государственной тайне (SBU).

Попытки обновления стандарта FIPS 140 ведутся с начала 2000-х годов. Вариант FIPS 140-3 (черновик 2013 года) должен был быть подписан министром торговли в августе 2013 года, однако этого не произошло, и черновик был впоследствии отклонён. В 2014 году NIST выпустил существенно иной черновик FIPS 140-3, фактически предлагающий использовать международный стандарт ISO/IEC 19790:2012 в качестве замены FIPS 140-2. Черновик 2014 года также был отклонён, хотя применение стандарта ISO/IEC 19790 в итоге было реализовано. 12 августа 2015 года NIST официально опубликовал заявление в Федеральном реестре с просьбой высказать мнения по поводу потенциального применения некоторых положений ISO/IEC 19790:2014 в обновлении FIPS 140-2. Указание в реестре на версию ISO/IEC 19790 от 2014 года было ошибочным, так как наиболее актуальной версией на тот момент была редакция 2012 года. Стандарт ISO/IEC 19790 проходил пересмотр и был подтверждён в 2018 году без изменений, в связи с чем сохранил обозначение версии 2012 года.

Процесс обновления FIPS 140 сталкивался со значительными техническими сложностями в таких вопросах, как аппаратная безопасность^[3] и противоречиями между подразделениями правительства США относительно дальнейших шагов. Отклонённый черновик FIPS 140-3 2013 года предусматривал требования по предотвращению неинвазивных атак на старших уровнях безопасности, вводил понятие публичного параметра безопасности, позволял отсрочить выполнение некоторых самотестов до наступления определённых условий, а также усиливал требования к аутентификации пользователя и проверке целостности.

Стандарт FIPS 140 утвердил Программу проверки криптографических модулей (CMVP), осуществляемую совместно NIST и Управлением по обеспечению защищённости связи Канады (CSEC), ныне — Канадским центром кибербезопасности (CCCS), созданным в рамках CSEC централизованным подразделением^[4].

Программы обеспечения безопасности, курируемые NIST и CCCS, направлены на развитие совместных усилий государства и промышленности по созданию более защищённых информационных систем и сетей посредством разработки, внедрения и развития инструментов оценки безопасности, методов, сервисов и поддерживающих программ для тестирования, оценки и сертификации. Это включает: разработку и поддержку метрик безопасности, критериев и методик оценки, тестов и методов тестирования; критериев для аккредитации лабораторий; рекомендации по использованию сертифицированных продуктов; исследования в области методов повышения доверия и комплексной оценки защищённости; валидацию протоколов безопасности; а также координацию с деятельностью добровольных отраслевых организаций по стандартизации и других оценочных инициатив.

22 марта 2019 года министр торговли США Уилбур Росс одобрил стандарт FIPS 140-3, «Технические требования к криптографическим модулям», в качестве преемника FIPS 140-2^[5]. Стандарт FIPS 140-3 вступил в силу 22 сентября 2019 года^[5]. Тестирование по стандарту FIPS 140-3 началось 22 сентября 2020 года; к настоящему времени выдано ограниченное число сертификатов. Тестирование по FIPS 140-2 было доступно до 21 сентября 2021 года, что обеспечило годовой переходный период. Протоколы тестирования FIPS 140-2, находящиеся в очереди CMVP, рассматриваются и после этой даты, однако все сертификаты FIPS 140-2 будут перенесены в Исторический список 21 сентября 2026 года, вне зависимости от конечной даты валидации^[6].