FIPS 140-3加密模块验证程序的文档和管理方法概述
联邦信息处理标准出版物(FIPS) 140-3于2019年9月22日生效,允许CMVP从2020年9月开始接受新计划下的验证提交。FIPS 140-3标准对以前的标准在管理方面进行了一些重大更改。FIPS 140-3没有直接包含模块要求,而是参考了国际标准化组织/国际电工委员会(ISO/IEC) 1979:2012(E)。这些要求的测试将按照ISO/IEC 24759:2017(E)进行。
一、认证流程介绍
ISO文件的使用要求在管理和执行验证过程中对现行有效的现有FIPS 140-2过程进行了几项程序更改。下图展示了FIPS 140-3流程的要求。
ISO/IEC 19790以及通过附件发布的相关指南规定了加密模块的要求。ISO/IEC 24759提取了ISO/IEC 19790的要求,将供应商信息和实验室程序联系起来,以确保满足要求。
CMVP通过SP 800-140x文件管理ISO/IEC 19790和ISO/IEC 24759中允许的差异。具体来说,SP 800-140提供了额外的证据和测试,以满足CMVP加密模块要求的证据,同时还提供了ISO/IEC在下次审查时对现有标准的建议调整。其余的SP 800-140A到SP 800-140F对供应商证据、安全策略、批准的加密和密钥管理、身份验证和非侵入性物理安全要求提供了额外的要求。
对需求和保证措施的澄清或解释包括在实施指南中,这通常是特定于技术的。一份独立的文件,FIPS 140-3 CMVP管理手册,阐述了该过程的程序性程序和要求。此外,NVLAP手册150-17确定了CMVP特定的NVLAP要求,包括质量体系、人员、环境条件、测试和校准方法、设备、测试质量保证和报告结果控制方面的要求。拥有适当的NVLAP认证的独立测试实验室,管理和执行测试过程。
实验室创建一个包含评估结果的提交包,CMVP对其进行审查,并与实验室协调任何结果评论。在达成满意的协议后,将发布验证并将其添加到CMVP网站上托管的验证模块数据库中。
二、标准文档列表
三、标准文档简介
FIPS 140-3 联邦信息处理标准FIPS 140-3确定了加密模块验证程序(CMVP),作为使用ISO/IEC 19790:2012要求标准和ISO/IEC 24755:2017衍生测试方法实施程序的验证机构。该标准还建立了CMVP技术要求,包含在NIST特别出版物中:SP 800-140, SP 800-140A, SP 800-140B, SP 800-140C, SP 800-140D, SP 800-140E和SP 800-140F。这些安全要求必须通过安全系统中使用的加密模块来满足,以保护敏感但未分类的信息(以下简称敏感信息)。本标准将完全取代FIPS 140-2《加密模块的安全要求》。 | |
ISO/IEC 19790:2012 ISO/IEC 19790:2012指定安全系统中使用的加密模块的安全要求,该模块保护计算机和电信系统中的敏感信息。该国际标准定义了密码模块的四个安全级别,以提供广泛的数据敏感性(例如,价值低的行政数据,百万美元基金转移,保护数据,个人身份信息和政府使用的敏感信息)和应用程序环境(例如,受保护的设施,办公室,可移动媒体和完全未受保护的位置)的多样性。本国际标准为11个要求领域中的每一个规定了四个安全级别,每一个安全级别在前一个安全级别之上增强了安全要求。 | |
ISO/IEC 24759:2017 ISO/IEC 24759:2017规定了测试实验室用于测试加密模块是否符合ISO/IEC 19790:2012规定的要求的方法。开发这些方法是为了在测试过程中提供高度的客观性,并确保测试实验室之间的一致性。本文件还规定了供应商向测试实验室提供的信息要求,作为支持证据,以证明其加密模块符合ISO/IEC 19790:2012规定的要求。 |
SP 800-140 NIST特别出版物(SP) 800-140规定了联邦信息处理标准(FIPS) 140-3的衍生测试要求(DTR)。SP 800-140修改了ISO/IEC 24759的测试(TE)和供应商(VE)证据要求。作为验证机构,加密模块验证程序(CMVP)可以根据ISO/IEC 24759第5.2段的规定修改、添加或删除te和/或ve。本NIST特别出版物应与ISO/IEC 24759一起使用,因为它只修改了本文件中确定的那些要求。 | |
SP 800-140A NIST特别出版物(SP) 800-140A修改了ISO/IEC 19790附录a的供应商文档要求。作为验证机构,加密模块验证程序(CMVP)可以修改、添加或删除ISO/IEC 19790第5.2段规定的供应商证据(VE)和/或测试证据(TE)。本文件应与ISO/IEC 19790附录A和ISO/IEC 24759第6.13段一起使用,因为它只修改了本文件中确定的要求。 | |
SP 800-140B NIST特别出版物(SP) 800-140B将与ISO/IEC 19790附件B和ISO/IEC 24759 6.14一起使用。特别发布仅修改本文档中确定的要求。SP 800-140B还规定了ISO/IEC 19790附件b中要求的表格和图形信息的内容。作为验证机构,加密模块验证程序(CMVP)可以修改、添加或删除ISO/IEC 24759第6.14段和ISO/IEC 19790第B.1段规定的供应商证据(VE)和/或测试证据(TE)。 |
SP 800-140C NIST特别出版物(SP) 800-140C取代了ISO/IEC 19790附录c中批准的安全功能。作为验证机构,加密模块验证程序(CMVP)可以完全取代本附录。本文件取代ISO/IEC 19790附录C和ISO/IEC 24759第6.15段。 | |
SP 800-140D NIST特别出版物(SP) 800-140D取代了ISO/IEC 19790附件d中批准的敏感参数生成和建立方法要求。作为验证机构,加密模块验证程序(CMVP)可以完全取代本附件。本文件取代ISO/IEC 19790附件D和ISO/IEC 24759第6.16段。 | |
SP 800-140E NIST特别出版物(SP) 800-140E取代了ISO/IEC 19790附件e中批准的认证机制要求。作为验证机构,加密模块验证程序(CMVP)可以用其自己的批准认证机制列表取代本附件的全部内容。本文件取代ISO/IEC 19790附录E和ISO/IEC 24759第6.17段。 |
10 SP 800-140F
NIST特别出版物(SP) 800-140F取代了ISO/IEC 19790附件f中批准的非侵入性攻击缓解测试度量要求。作为验证机构,加密模块验证程序(CMVP)可以完全取代本附件。本文件取代ISO/IEC 19790附件F和ISO/IEC 24759第6.18段。
![一对一专属客服 扫码获取认证资料](javascript:Site.hoverQrCode("//32759191.s21i.faiusr.com/2/ABUIABACGAAg_MWCxAYotOX9OzC2Bji2Bg.jpg",this,{"tips":"请使用微信扫一扫"});){kind=link}