Federal Information Processing Standardization 140 (FIPS 140) ist ein Sicherheitsstandard der US-Regierung, der zur Akkreditierung von kryptographischen Modulen verwendet wird. FIPS 140 wurde vom National Institute of Standards and Technology (NIST) entwickelt, um die Sicherheit von sensiblen Informationen in den Computersystemen der Regierung zu gewährleisten. Die Norm gilt sowohl für Software als auch für Hardware und schreibt vor, dass jedes in einem Regierungssystem verwendete kryptografische Modul bestimmte Sicherheitsanforderungen erfüllen muss.
FIPS 140 wurde 1994 als Reaktion auf das Cryptographic Module Validation Program (CMVP) der National Security Agency (NSA) geschaffen. Das CMVP wurde geschaffen, um sicherzustellen, dass die in Regierungssystemen verwendeten kryptografischen Algorithmen sicher sind. Seit seiner Einführung wurde FIPS 140 mehrmals überarbeitet, wobei die aktuelle Version FIPS 140-2 ist, die 2001 veröffentlicht wurde.
FIPS 140 verlangt, dass jedes kryptografische Modul, das in einem Regierungssystem verwendet wird, bestimmte Sicherheitsanforderungen erfüllt. Zu diesen Anforderungen gehören: Authentifizierung, Schlüsselverwaltung, kryptographische Algorithmen, physische Sicherheit, Datenschutz und kryptographische Operationen. FIPS 140 verlangt auch, dass das kryptografische Modul von einer unabhängigen dritten Partei, wie der NSA oder dem NIST, getestet und validiert wird.
FIPS 140 bietet eine Reihe von Vorteilen für Regierungsbehörden. Die Norm stellt sicher, dass die in Regierungssystemen verwendeten kryptografischen Algorithmen sicher sind und dass jedes in einem Regierungssystem verwendete kryptografische Modul von einer unabhängigen dritten Partei getestet und validiert wird. Dies trägt dazu bei, das Risiko eines Sicherheitsverstoßes zu verringern. Darüber hinaus trägt der Standard dazu bei, dass die Regierung aktuelle Sicherheitsprotokolle verwendet.
Um FIPS 140 zu implementieren, müssen Regierungsbehörden ein kryptographisches Modul verwenden, das von einer unabhängigen dritten Partei getestet und validiert wurde. Darüber hinaus muss die Behörde sicherstellen, dass das kryptografische Modul in Übereinstimmung mit den Anforderungen von FIPS 140 verwendet wird. Dies beinhaltet die Implementierung der erforderlichen Authentifizierung, Schlüsselverwaltung, kryptografischen Algorithmen, physischen Sicherheit, Datenschutz und kryptografischen Operationen.
Um sicherzustellen, dass ein Regierungssystem die Anforderungen von FIPS 140 erfüllt, muss die Behörde regelmäßige Audits ihres kryptographischen Moduls durchführen. Diese Audits sollten eine Überprüfung der Sicherheitsprotokolle des kryptographischen Moduls, der kryptographischen Algorithmen, der Schlüsselverwaltung und anderer Anforderungen von FIPS 140 beinhalten. Jede Nichteinhaltung sollte so schnell wie möglich behoben werden.
FIPS 140 hat einen erheblichen Einfluss auf die Sicherheitspraktiken von Regierungsbehörden gehabt. Der Standard hat dazu beigetragen, dass die in Regierungssystemen verwendeten kryptografischen Algorithmen sicher sind und dass jedes in einem Regierungssystem verwendete kryptografische Modul von einer unabhängigen dritten Partei getestet und validiert wird. Darüber hinaus hat die Norm dazu beigetragen, dass die Regierung aktuelle Sicherheitsprotokolle verwendet.
Die Implementierung von FIPS 140 kann ein komplexer und zeitaufwändiger Prozess sein. Darüber hinaus verlangt die Norm, dass das kryptografische Modul von einer unabhängigen dritten Partei getestet und validiert wird, was kostspielig sein kann. Schließlich können auch die von FIPS 140 geforderten regelmäßigen Audits zeitaufwendig sein, da sie eine Überprüfung der Sicherheitsprotokolle des kryptographischen Moduls, der kryptographischen Algorithmen, der Schlüsselverwaltung und anderer Anforderungen von FIPS 140 beinhalten müssen.
FIPS 140 ist ein wichtiger Sicherheitsstandard, der von der US-Regierung verwendet wird, um die Sicherheit der in ihren Computersystemen gespeicherten sensiblen Informationen zu gewährleisten. Der Standard verlangt, dass jedes kryptographische Modul, das in einem Regierungssystem verwendet wird, bestimmte Sicherheitsanforderungen erfüllt und von einer unabhängigen dritten Partei getestet und validiert wird. Die Implementierung von FIPS 140 kann ein komplexer und zeitaufwändiger Prozess sein, aber die Vorteile des Standards machen den Aufwand lohnenswert.
FIPS 140-1 ist die erste Version des Federal Information Processing Standard (FIPS) für kryptografische Module. FIPS 140-2 ist die zweite Version des FIPS und wurde im Jahr 2001 veröffentlicht. Der Hauptunterschied zwischen den beiden Standards besteht darin, dass FIPS 140-2 Anforderungen an die physische Sicherheit enthält, während dies bei FIPS 140-1 nicht der Fall war.
FIPS 140-2 ist ein Zertifizierungsstandard für kryptografische Module. FIPS 197 ist eine Spezifikation für den Advanced Encryption Standard (AES).
Bei der FIPS-Technologie handelt es sich um eine Reihe von Standards, die von der US-Bundesregierung für die Computersicherheit verwendet werden. FIPS steht für Federal Information Processing Standards. Diese Standards werden vom National Institute of Standards and Technology (NIST) entwickelt. Die FIPS-Standards sind für alle Bundesbehörden verbindlich und werden häufig auch von staatlichen und lokalen Behörden übernommen.
Der FIPS-Code wird für den Federal Information Processing Standard verwendet. Dieser Standard wird für Computersysteme verwendet, die von der Bundesregierung eingesetzt werden.
Nein, FIPS ist kein Rahmenwerk. FIPS ist eine Reihe von Sicherheitsstandards, die von der US-Regierung für den Einsatz in Computersystemen entwickelt wurden.