blog data security upgrade fips 140 level

Warum für Datenschutz nach Militärstandard die Aufrüstung auf FIPS 140-3 Level 3 erforderlich ist

Sep 2024
Blog-Startseite

Wenn es um Datenschutz und Verschlüsselung geht, wird der weltweite Standard de facto vom National Institute of Standards and Measures (NIST) bestimmt. Das NIST ist die US-Behörde, die den Advanced Encryption Standard (AES) definiert hat, wobei die AES-256-Bit-Verschlüsselung im XTS-Modus die beste kommerzielle Verschlüsselung ist, die für den Datenschutz verfügbar ist. Das NIST veröffentlicht Normen für die US-Regierung und das Militär unter der Bezeichnung FIPS (Federal Information Processing Standard), um kryptografische Standards zu definieren und zuzulassen. Die FIPS 140-Serie wird zur Definition der Sicherheit von Hard- und Software-Verschlüsselung verwendet.

Warum sollte man sich für FIPS-validierte Lösungen entscheiden? Das NIST erklärt, dass „nicht validierte Kryptographie nach Ansicht des NIST keinen Schutz für die Informationen oder Daten bietet – die Daten würden als ungeschützter Klartext betrachtet werden.“

FIPS 140-2 wurde im Mai 2001 zugelassen und ist seit über 20 Jahren in Kraft, während die Rechenleistung in dieser Zeit exponentiell gestiegen ist. Während FIPS 140-2 immer noch als starke militärische Sicherheitsstufe gilt, hat das NIST den Standard FIPS 140-3 veröffentlicht und im September 2019 zugelassen. Für die Gewährleistung der Konformität hat das NIST zertifizierte Labors eingerichtet, die strenge Prüfungen und Tests von Software und physischen Laufwerken für die Industrie durchführen. Die Ergebnisse werden von NIST-Wissenschaftlern geprüft, bevor ein offizielles Zertifikat der FIPS-140-Serie vergeben wird.

Speicherlaufwerke, die mit FIPS 140-3 konform sind, wurden ab 2023 auf den Markt gebracht, weshalb Behörden und Unternehmen mit der Umstellung auf FIPS 140-3-Laufwerke beginnen sollten. Diese Laufwerke verfügen über erweiterte Schutzstufen, von denen Stufe 3 der Goldstandard ist, mit einem Manipulationsschutz, der physische Einbruchsversuche mithilfe von speziellem Epoxid auf den physikalischen Schaltkreisen erkennt.

Erweiterungen von FIPS 140-3 gegenüber FIPS 140-2

Ein blau beleuchtetes Drahtgitter mit dem Logo FIPS 140-3 Level 3 Pending darüber.

Da FIPS 140-2 im 20. Jahrhundert definiert und 2001 zugelassen wurde, war es notwendig, eine Aktualisierung für das 21. Jahrhundert zu definieren. FIPS 140-3 ist die Aktualisierung für den Rest des Jahrzehnts bis 2020, und die nächste Aktualisierung für das folgende Jahrzehnt wird stärkere Schutzmaßnahmen für Quantencomputer enthalten.

Die in hardwareverschlüsselten Speicherlaufwerken verwendete XTS-AES 256-Bit-Verschlüsselung funktioniert wie folgt: Ein Benutzer erstellt ein Passwort für ein brandneues oder neu formatiertes Laufwerk. Der sichere Mikroprozessor im Laufwerk erzeugt einen Hardware-AES-Verschlüsselungsschlüssel mit seinem Zufallszahlengenerator, der dem NIST-Standard und zugelassenen Algorithmen folgt. Wenn der Zufallszahlengenerator nicht wirklich zufällig im mathematischen Sinne ist, kann er eine Schwachstelle bilden, die von Supercomputern ausgenutzt werden kann, um zu versuchen, diesen einzigartigen Verschlüsselungsschlüssel zu berechnen.

FIPS 140-3 verlangt von den Herstellern sicherer Mikroprozessoren, ihren internen Zufallszahlengenerator zu verbessern, um die Entropie (oder Zufälligkeit) zu erhöhen. Wichtig ist, zu verstehen, dass diese einzelne kryptografische Verbesserung bedeutende mathematische Konsequenzen hat, um sicherzustellen, dass die XTS-AES-Verschlüsselung noch Jahre, wenn nicht Jahrzehnte länger, gegen das Knacken von Computern resistent bleibt – einschließlich eines ausreichenden Schutzes gegen Quantencomputer in naher Zukunft.

Die folgenden Änderungen wurden ebenfalls hinzugefügt:

  • Mindestlänge der PIN oder des Passworts: Die Passwörter wurden von 7 auf 8 Zeichen verlängert, um einen besseren Schutz gegen automatische Passwortangriffe zu gewährleisten. Beachten Sie, dass auch ein Brute-Force-Passwortschutz vorhanden sein muss, um das Laufwerk zu verschlüsseln und solche Angriffe frühzeitig zu unterbinden.
  • Werksseitig ist keine PIN und kein Passwort voreingestellt: Alle Benutzer müssen bei der ersten Benutzung des Laufwerks eine PIN oder ein Passwort festlegen.
  • Regelmäßige Selbsttests: Jedes Laufwerk muss Selbsttests durchführen, um sicherzustellen, dass die Sicherheit gewährleistet ist. Wenn ein Problem festgestellt wird, muss das Laufwerk abschalten. Dieser Schutz kann Fehlfunktionen und potenzielle Angriffe auf die Schaltkreise erkennen, die sich in Form von Fehlfunktionen äußern können.
  • Automatische Abschaltung bei zu hohen Temperaturen und Spannungen: Überschreitet ein Laufwerk die voreingestellten Werte, muss es sich abschalten. Hacker verwenden manchmal Seitenkanalangriffe, die zu extremen Temperaturen und Spannungen führen. Dann kann diese Reaktion bestimmte Angriffe blockieren.

Dies ist eine massive Vereinfachung des FIPS 140-3 Level 3-Standards, da er auch viele andere Schutzmaßnahmen und Sicherheitsvorkehrungen umfasst, von denen viele komplexe kryptografische Zwecke verfolgen. In der Regel erfordert ein neuer FIPS 140-Standard bis zu zwei Jahre Aufwand für die Hersteller, um ihre sicheren Mikroprozessoren aufzurüsten, ihre Laufwerksfirmware und die Verarbeitung kritischer Sicherheitsparameter (CSPs) zu verbessern, NIST-zertifizierte Labortests zu durchlaufen, die neben gründlichen Tests auch Quellcodeprüfungen umfassen, und am Ende ihre Laufwerke auf den Markt zu bringen.

Beachten Sie, dass Laufwerke als FIPS 140-3 Level 3 (ausstehend) bezeichnet werden können, da es nach Abschluss der Labortests bis zu 18 Monate dauern kann, bis das NIST das endgültige Zertifikat ausstellt, da es einen Rückstau an Software- und Hardwarezertifizierungen in seiner Warteschlange gibt. Kingston bringt seine Laufwerke erst nach Abschluss der Labortests auf den Markt. Die ausstehenden Zertifizierungen sind auf dieser NIST-Website zu finden..

Fazit

Der militärische Datenschutz entspricht dem vom NIST definierten Standard FIPS 140 Level 3.

In den vergangenen zwei Jahrzehnten war FIPS 140-2 Level 3 der beste kommerzielle Standard für tragbare USB- und SSD-Laufwerke. Für das nächste Jahrzehnt ist FIPS 140-3 Level 3 die beste Praxis für den effektivsten Schutz mobiler Daten.

Kingston hat Hunderttausende von Dollar und mehrere Jahre Forschungs- und Entwicklungsarbeit investiert, um hardwareverschlüsselte IronKey Laufwerke nach FIPS 140-3 Level 3 auf den Markt zu bringen. Diese Speicherlaufwerke sind von Grund auf mit dem Ziel der Datensicherheit entwickelt worden.

Kingston bietet das Flaggschiff, den IronKey D500S USB-Stick sowie die Keypad 200 Serie als USB-A- oder USB-C-Variante an, die den FIPS 140-3 Level 3-Konformitätstest bestanden haben, aber noch nicht endgültig vom NIST zugelassen sind.

Zugehörige Videos

Trisha hält den DT2000 USB-Stick 2:53

Verschlüsselte USB-Sticks erklärt

Verschlüsselte USB-Sticks schützen Ihre privaten Daten, aber wie funktionieren sie?

Trisha hält eine IKVP80ES neben einer Grafik mit einem Schild, einem Bildschirm mit einem Code und einem Vorhängeschloss 5:38

Der richtige Weg, um Ihre Dateien geschützt zu speichern und sicher darauf zuzugreifen

Kreativgestalter, die Inhalte für anspruchsvolle Kunden produzieren, können mit verschlüsselten Speichern ihre wichtigen Dateien schützen und ihrer Verantwortung für die Sicherheit gerecht werden.

Trisha hält eine riesige 2,5-Zoll-SSD neben einer M.2-SSD mit einem Schloss und einem Windows-Symbol 5:02

Hardware- oder softwarebasierte Verschlüsselung?

Worin unterscheiden sich software- und hardwarebasierter Verschlüsselung voneinander?

Zugehörige Artikel