Um gráfico de escudo, rodeado de gráficos que significam tecnologia e comunicação segura.

Por que você precisa do upgrade para a Proteção de Dados Móveis de Nível Militar FIPS 140-3 Nível 3

set 2024
Blog Home

Quando se trata de proteção e criptografia de dados, o padrão global na prática é conduzido pelo Instituto Nacional de Padrões e Medidas (NIST). O NIST é a agência norte-americana que definiu o Advanced Encryption Standard (AES), onde a criptografia de 256 bits no modo XTS é a melhor criptografia comercial disponível para proteção de dados. O NIST publica padrões para o governo dos EUA e militares chamadas FIPS (Federal Information Processing Standard) para definir e aprovar normas criptográficas, e a série FIPS 140 é usada para definir segurança de criptografia de hardware e software.

Por que devemos optar por soluções validadas pelo FIPS? Como o NIST explica, "a criptografia não validada é vista pelo NIST como não fornecendo proteção às informações ou dados - na verdade, os dados seriam considerados texto sem proteção."

A FIPS 140-2 foi aprovado em maio de 2001 e está em vigor há mais de 20 anos, enquanto o poder computacional aumentou exponencialmente nesse período de tempo. Embora o FIPS 140-2 ainda seja considerada uma forte segurança militar, o NIST publicou o padrão FIPS 140-3 e aprovou-o em setembro de 2019. Para garantir a conformidade, o NIST criou laboratórios certificados que realizam análises rigorosas e testes de software e drives físicos para o setor, com resultados sendo revistos por cientistas do NIST antes da atribuição oficial de um certificado da série FIPS 140.

Os drives de armazenamento que são compatíveis com o FIPS 140-3 foram lançadas desde 2023, por isso governos e empresas devem começar a mudar para drives FIPS 140-3. Estes drives vêm com níveis melhorados de proteção, dos quais o nível 3 é o padrão-ouro com resistência contra adulteração para detectar tentativas de invasão física usando epóxi especial nos circuitos físicos.

Melhorias do FIPS 140-3 em relação ao FIPS 140-2

Um wireframe iluminado em azul com o logotipo FIPS 140-3 Nível 3 Pendente sobreposto.

Como o FIPS 140-2 foi definida no século XX e aprovada em 2001, houve a necessidade de definir a atualização do século XXI. O FIPS 140-3 é a atualização para o resto da década de 2020, e a próxima atualização para a década seguinte incluirá proteções mais fortes para a computação quântica.

A criptografia XTS-AES de 256 bits usada em drives de armazenamento criptografados por hardware funciona da seguinte maneira: Um usuário cria uma senha para um drive novo ou recém-formatado. O microprocessador seguro no drive gera uma chave de criptografia de hardware AES utilizando o seu gerador de números aleatórios seguindo o padrão NIST e algoritmos aprovados. Se o gerador de números aleatórios não for realmente aleatório no sentido matemático, pode criar uma vulnerabilidade que pode ser explorada por supercomputadores para tentar recriar esta chave de criptografia única.

O FIPS 140-3 exigiu que os fabricantes de microprocessadores seguros melhorassem o seu gerador de números aleatórios interno para aumentar a entropia (ou aleatoriedade). Basta dizer que este único aprimoramento criptográfico tem grandes consequências matemáticas para garantir que a criptografia XTS-AES permaneça resiliente à invasão de computadores por anos, ou até décadas - incluindo proteção suficiente contra computadores quânticos de curto prazo.

As seguintes alterações também foram acrescentadas:

  • Tamanho mínimo de PIN ou senha: As senhas foram aumentadas de 7 para 8 caracteres para uma proteção mais forte contra ataques automáticos de senha. Note que a proteção contra ataques a senhas por força bruta também deve estar presente para apagar criptograficamente o drive para parar esses ataques logo no início.
  • Sem PIN ou senha pré-definidos de fábrica: Todos os usuários precisam definir um PIN ou uma senha após a primeira utilização do drive.
  • Autoteste periódico: Cada drive precisa fazer um autoteste para garantir que a segurança esteja totalmente funcional. Se for detectado um problema, o drive deve ser desligado. Esta proteção pode detectar mau-funcionamento e potenciais ataques aos circuitos, que podem manifestar-se como mau-funcionamento.
  • Desligamento automático sob condições térmicas e de tensão excessivas: Se um drive ultrapassar os níveis pré-definidos, ele deve ser desligado. Os hackers às vezes usam ataques de canal lateral que resultam em condições térmicas e de tensão extremas, esta resposta pode bloquear ataques específicos.

Esta é uma simplificação massiva do padrão FIPS 140-3 nível 3, uma vez que também inclui muitas outras proteções e salvaguardas, muitas delas com propósitos criptográficos complexos. Normalmente, um FIPS 140 requer até 2 anos de esforço dos fabricantes para reprojetarem os seus microprocessadores seguros, melhorar o firmware do seu drive e como ele processa parâmetros críticos de segurança (CSPs), passar por testes laboratoriais certificados pelo NIST que incluem até análises de código-fonte, além de testes minuciosos, e, finalmente, introduzir os seus drives no mercado.

Note que os drives podem ser designados como FIPS 140-3 Nível 3 (Pendente) porque, após a conclusão dos testes de laboratório, o NIST pode levar até 18 meses para emitir o certificado final devido ao backlog de certificações de software e hardware na sua fila. A Kingston só comercializa as suas campanhas depois dos testes laboratoriais serem concluídos. Podem ver certificações pendentes neste site NIST.

Resumo

A proteção de dados de nível militar segue o padrão FIPS 140 nível 3 definido pelo NIST.

Nas últimas duas décadas, o FIPS 140-2 Nível 3 tem sido o melhor padrão comercial para pendrives e SSD de armazenamento portátil. Para a próxima década, o FIPS 140-3 Nível 3 é a melhor prática para a proteção mais eficaz dos dados móveis.

A Kingston gastou centenas de milhares de dólares e vários anos de esforços de P&D para levar ao mercado as unidades de nível 3 do IronKey FIPS 140-3 criptografadas por hardware. Esses drives de armazenamento são projetados desde o início com a proteção de dados como o seu principal objetivo de design.

A Kingston oferece o principal pendrive IronKey D500S, bem como o Keypad 200 em opções USB-A ou USB-C que passaram nos testes de conformidade FIPS 140-3 Nível 3 e estão pendentes da aprovação final do NIST.

Vídeos relacionados

Trisha segurando o Pendrive DT2000 2:53

Pendrives Criptografados Explicados

Pendrives Criptografados mantém seus dados privados seguros, mas como eles funcionam?

Trisha segurando um IKVP80ES próximo a algumas imagens de escudo, uma tela com código e um cadeado 5:38

A maneira certa de armazenar e acessar seus arquivos com segurança

Para criadores produzindo conteúdos para clientes de alto nível, o armazenamento criptografado pode proteger seus arquivos importantes e te ajudar a cumprir suas responsabilidades de segurança.

Trisha segurando um SSD gigante de 2,5 pol. ao lado de um SSD M.2 com um cadeado e ícone do Windows 5:02

Criptografia baseada em hardware versus baseada em software

Qual a diferença entre criptografia baseada em hardware e a baseada em software?

Artigos relacionados