Un gráfico de escudo, rodeado de gráficos que significan tecnología y comunicación segura.

Por qué necesita actualizar a FIPS 140-3 de nivel 3, protección de datos móviles de grado militar

sep. 2024
Inicio del Blog

Cuando se trata de protección de datos y encriptado, el estándar global de facto es impulsado por el Instituto Nacional de Estándares y Medidas (NIST o National Institute of Standards and Measures). NIST es la agencia estadounidense que definió el Estándar de encriptación avanzado (AES), donde la encriptación AES de 256 bits en modo XTS es la mejor encriptación comercial disponible para la protección de datos. El NIST publica estándares para el gobierno y el ejército de los Estados Unidos llamados FIPS (Federal Information Processing Standard) para definir y aprobar estándares criptográficos, y la serie FIPS 140 se utiliza para definir la seguridad del encriptado por hardware y software.

¿Por qué uno debe optar por soluciones validadas por FIPS? Como explica el NIST, “el NIST considera que la criptografía no validada no ofrece protección a la información o los datos, ya que éstos se considerarían texto sin formato no protegido.”

FIPS 140-2 se aprobó en mayo de 2001 y ha estado en vigor durante más de 20 años, mientras que el poder de la computación ha aumentado exponencialmente en ese período de tiempo. Si bien FIPS 140-2 todavía se considera una fuerte seguridad de grado militar, el NIST publicó el estándar FIPS 140-3 y lo aprobó en septiembre de 2019. Para garantizar el cumplimiento, el NIST estableció laboratorios certificados que realizan revisiones y pruebas rigurosas de software y unidades físicas para la industria, y los resultados son revisados por científicos del NIST antes de la concesión oficial de un certificado de la serie FIPS 140.

Las unidades de almacenamiento que cumplen con FIPS 140-3 se han lanzado desde 2023, por lo que los gobiernos y las empresas deben comenzar a cambiar a las unidades FIPS 140-3. Estas unidades vienen con niveles de protección mejorados, de los cuales el nivel 3 es el estándar de oro con resistencia a la manipulación para detectar intentos de intrusión física utilizando epoxi especial en los circuitos físicos.

Mejoras de FIPS 140-3 sobre FIPS 140-2

Un marco iluminado en azul con el logotipo FIPS 140-3 de nivel 3 pendiente superpuesto.

Dado que FIPS 140-2 se definió en el siglo XX y se aprobó en 2001, era necesario definir la actualización del siglo XXI. FIPS 140-3 es la actualización para lo que queda de la década de 2020, y la próxima actualización para la década siguiente incluirá protecciones más fuertes para la computación cuántica.

El encriptado XTS-AES de 256 bits utilizado en las unidades de almacenamiento encriptadas por hardware funciona de la siguiente manera: Un usuario crea una contraseña para una unidad nueva o recién formateada. El microprocesador seguro en la unidad genera una clave de encriptado AES de hardware utilizando su generador de números aleatorios siguiendo el estándar NIST y los algoritmos aprobados. Si el generador de números aleatorios no es verdaderamente aleatorio en el sentido matemático, puede crear una vulnerabilidad que puede ser explotada por las supercomputadoras para intentar recrear esta clave de encriptado única.

FIPS 140-3 requería que los fabricantes de microprocesadores seguros mejoraran su generador interno de números aleatorios para aumentar la entropía (o aleatoriedad). Basta con decir que esta mejora criptográfica única tiene importantes consecuencias matemáticas para garantizar que el encriptado XTS-AES siga siendo resistente a las violaciones informáticas durante años, si no décadas, incluida una protección suficiente contra las computadoras cuánticas a corto plazo.

También se agregaron los siguientes cambios:

  • Longitud mínima de PIN o contraseña: Las contraseñas se aumentaron de 7 a 8 caracteres para una protección más sólida contra los ataques automatizados de contraseñas. Tenga en cuenta que la protección de contraseña contra fuerza bruta también debe estar presente para cripto-borrar la unidad y así detener tales ataques desde el principio.
  • No hay PIN o contraseña preestablecidos en la fábrica: Todos los usuarios deben establecer un PIN o contraseña al usar la unidad por primera vez.
  • Autoevaluación periódica: Cada unidad debe realizar una autoevaluación para garantizar que la seguridad esté completamente funcional. Si se detecta un problema, la unidad debe apagarse. Esta protección puede detectar fallos de funcionamiento y posibles ataques a los circuitos, que pueden manifestarse como fallos de funcionamiento.
  • Apagado automático en condiciones térmicas y de tensión excesivas: Si una unidad supera los niveles preestablecidos, debe apagarse. Los hackers a veces usan ataques de canal lateral que resultan en condiciones térmicas y de voltaje extremas, esta respuesta puede bloquear ataques específicos.

Esta es una simplificación masiva del estándar FIPS 140-3 de nivel 3, ya que también incluye muchas otras protecciones y salvaguardas, muchas de ellas con fines criptográficos complejos. Por lo general, un nuevo estándar FIPS 140 requiere hasta 2 años de esfuerzo por parte de los fabricantes para rediseñar sus microprocesadores seguros, mejorar el firmware de sus unidades y la forma en que procesa los Parámetros Críticos de Seguridad (CSP o Critical Security Parameters), pasar por pruebas de laboratorio certificadas por el NIST que incluso incluyen revisiones del código fuente además de pruebas exhaustivas y, finalmente, introducir sus unidades en el mercado.

Tenga en cuenta que las unidades pueden designarse como FIPS 140-3 Nivel 3 (Pendiente) porque, una vez finalizadas las pruebas de laboratorio, el NIST puede tardar hasta 18 meses en emitir el certificado final debido a la acumulación de certificaciones de software y hardware en su cola. Kingston solo comercializa sus unidades una vez finalizadas las pruebas de laboratorio. Puede ver las certificaciones pendientes en este sitio web del NIST.

Resumen

La protección de datos de grado militar sigue el estándar de nivel 3 FIPS 140 definido por el NIST.

Durante las últimas dos décadas, FIPS 140-2 Nivel 3 ha sido el mejor estándar comercial para unidades USB y SSD de almacenamiento portátil. Para la próxima década, FIPS 140-3 de nivel 3 es la mejor práctica para la protección más efectiva de los datos móviles.

Kingston ha gastado cientos de miles de dólares y varios años de esfuerzo de Investigación y desarrollo para llevar al mercado unidades IronKey FIPS 140-3 de nivel 3 encriptadas por hardware. Estas unidades de almacenamiento están diseñadas desde cero con la protección de datos como su principal objetivo de diseño.

Kingston ofrece la unidad USB IronKey D500S, así como la serie Keypad 200 en opciones USB-A o USB-C que han superado las pruebas de cumplimiento FIPS 140-3 de nivel 3 y están pendientes de la aprobación final del NIST.

Videos Relacionados

Trisha sosteniendo el dispositivo Flash USB DT2000 2:53

Explicación de los dispositivos Flash USB encriptados

Los dispositivos flash USB encriptados mantienen seguros sus datos privados, pero ¿cómo funcionan?

Trisha sosteniendo un IKVP80ES junto a unos gráficos de un escudo, una pantalla con código y un candado 5:38

La forma correcta de almacenar y acceder de forma segura a sus archivos

Para los creativos que producen contenido para clientes de alto perfil, el almacenamiento encriptado puede proteger sus archivos importantes y ayudarlo a cumplir con sus responsabilidades de seguridad.

Trisha holding una SSD gigante de 2,5” junto a una SSD M.2 con un candado y un icono de Windows 5:02

Cifrado basado en hardware frente a basado en software

¿Cuál es la diferencia entre el cifrado de hardware y software?

Artículos relacionados