FIPS 140-3, el nuevo estándar para módulos criptográficos

Blog

28
- Oct
2020
Publicado por: Juan Martínez
[Investigación ciberseguridad]
FIPS 140-3, el nuevo estándar para módulos criptográficos

El nuevo estándar de ciberseguridad para módulos criptográficos FIPS 140-3 está a la vuelta de la esquina. EL CMVP ya acepta informes basados en FIPS 140-3. Así que en los próximos 12 meses (hasta septiembre de 2021), los fabricantes pueden testar su tecnología contra FIPS 140-2 o FIPS 140-3.

Esto supone una ventana temporal en la que, los productos que actualmente se encuentran certificándose bajo FIPS 140-2, pueden terminar su certificación en dicho estándar, aunque es cierto que, para los fabricantes que estén valorando certificarse en los próximos meses, es recomendable hacerlo contra FIPS 140-3, ya que será el nuevo estándar que se imponga en el mercado.

FIPS 140-2 vs FIPS 140-3, principales diferencias

Aunque bien es cierto que, en algunas funcionalidades son similares,existen diferencias considerables entre ambos estándares que explicamos a continuación:

  • Mientras que en FIPS 140-2 los módulos criptográficos pueden funcionar en modo aprobado y modo no aprobado, comúnmente llamados modo FIPS y modo no FIPS, en el caso de FIPS 140-3 un módulo puede operar en modo normal para llevar a cabo las funcionalidades criptográficas aprobadas por el NIST o el modo “degraded” en el que el módulo es capaz de operar con un subconjunto de su funcionalidad criptográfica tras alcanzar un estado de error.

  • En relación a los interfaces, FIPS 140-3 define un nuevo interfaz llamado “Control Output inteface” para poder enviar comandos a otros módulos criptográficos y además define la necesidad de hacer uso de “Trusted channel” para nivel 3 (haciendo uso de Identity based authenticaiton) y para nivel 4 (haciendo uso de Multi-Factor Identity Based Authentication).

  • En el apartado de los servicios, los mayores cambios se observan en cuanto a la definición de un nuevo servicio que debe mostrar la información referente a la versión del módulo, así como a la definición de requisitos específicos para la carga de actualizaciones del firmware.

  • En el caso de la autenticación, los cambios se han introducido para niveles iguales o superiores al SL2, definiendo los mecanismos a usar en cada nivel, así como los requisitos a cumplir dependiendo del mecanismo escogido, teniendo en cuenta que como se ha comentado anteriormente, en el caso de un SL4 es necesario hacer uso de Multi-Factor Identity Based Authentication.

  • Los requisitos relacionados con la seguridad física no se han visto muy afectados, salvo por la necesidad de usar sellos anti tamper numerados o identificados holográficamente para SL3 y la necesidad de incorporar medidas de protección contra posibles inducciones a fallos.

  • También se requiere que el módulo sea capaz de mitigar los ataques no invasivos aun sin definir y que se incluirán en el anexo F del estándar.

  • En el apartado de los self-test, llama la atención que ya no es necesario llevar a cabo los known answer test asociados a cada función criptográfica durante los pre-operational self-test (antiguos power-up self-test), si no que ahora pasan a ser parte de los conditional self-test. Por otro lado, también es importante destacar la necesidad de implementar un log de errores que muestre al menos el último error conocido para los módulos con un nivel SL3 o superior.

    Consultoría y taller práctico FIPS 140-3

    Dadas las circunstancias actuales y la imposibilidad de ofrecer los talleres prácticos de forma presencial, en jtsec continuamos con nuestro servicio de consultoría de forma online.

    Nuestros expertos en FIPS 140-3 ya han realizado varios proyectos de consultoría en los que al cliente se le facilita una formación online para explicar el proceso de consultoría que se va a realizar y los pasos que contiene.

    Así, proporcionamos un material imprescindible para que el cliente entienda el alcance del proyecto, la duración y dificultad del mismo. Atendiendo a las posibles preguntas que le puedan surgir resolviéndolas al instante. Con ello, la toma de contacto con la consultoría FIPS 140-3 es mucho más cercano y comprensible.

    Si aún tienes dudas relativas al nuevo estándar de certificación para módulos criptográficos FIPS 140-3, estaremos encantados de resolver todas tus dudas.

    • tags
    Juan Martínez/Consultor Senior

    Ingeniero de telecomunicaciones y Máster en ciberseguridad por la Universidad de Granada. Trabajando como consultor en jtsec desde julio de 2017 en proyectos relacionados con Common Criteria, certificaciones LINCE y estándares FIPS 140-2, FIPS 140-3, PCI-PTS y PCI-CPoC.

    Aunque su actividad principal se centra en la consultoría, también ha participado en proyectos como evaluador LINCE y como analista de seguridad hardware gracias a la experiencia adquirida durante su participación en la tercera y cuarta edición del concurso llamado “Desafío tecnológico UGR” durante su tapa universitaria, donde obtuvo el tercer y primer premio respectivamente.

    Juan forma parte de la primera promoción de alumnos certificados como CriptoCert Certified Crypto Analyst, cuya calidad, relevancia y utilidad es reconocida por el Centro Criptológico Nacional español.

    Su principal motivación es continuar mejorando sus habilidades en ciberseguridad con el objetivo de poder participar activamente en la protección de los datos de usuarios y para ayudar a las compañías a conseguir las certificaciones de sus productos.


    Contacto

    ¡Envíanos tus dudas o sugerencias!

    Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.
    ÚLTIMAS ENTRADAS
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    Abril 23, 2024
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    jtsec - Nuestro LINCE 2023
    Febr 6, 2024
    jtsec - Nuestro LINCE 2023
    Les deseamos un feliz y ciberseguro 2024
    Dic 19, 2023
    Les deseamos un feliz y ciberseguro 2024
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Dic 14, 2023
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Cómo incluir tu producto o servicio en ENS ALTA.
    Oct 31, 2023
    Cómo incluir tu producto o servicio en ENS ALTA.
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    Sept 19, 2023
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    ENS & CPSTIC – Juntos somos más fuertes
    Ago 23, 2023
    ENS & CPSTIC – Juntos somos más fuertes
    Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
    Mayo 9, 2023
    Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
    jtsec obtiene la certificación ENS Alta.
    Mayo 1, 2023
    jtsec obtiene la certificación ENS Alta.
    Common Criteria Statistics Report para 2022
    Marzo 20, 2023
    Common Criteria Statistics Report para 2022
    CATEGORÍAS