Nos damos cuenta de que está visitando el sitio del Reino Unido. ¿Le gustaría visitar nuestro sitio principal?

Sí, por favor
Un gráfico de escudo, rodeado de gráficos que significan tecnología y comunicación segura.

Por qué necesita actualizar a FIPS 140-3 de nivel 3, protección de datos móviles de grado militar

sep. 2024
Inicio del Blog

Cuando se trata de protección de datos y cifrado, el estándar global de facto está impulsado por el National Institute of Standards and Technology (NIST, Instituto Nacional de Normas y Tecnología). NIST es la agencia estadounidense que definió el estándar de cifrado avanzado (AES), donde el cifrado AES de 256 bits en modo XTS es el mejor cifrado comercial disponible para la protección de datos. El NIST publica normas para el gobierno y el ejército de EE. UU. denominadas FIPS (normas federales estadounidenses para el procesamiento de la información) para definir y aprobar normas criptográficas, y la serie FIPS 140 se utiliza para definir la seguridad del cifrado de hardware y software.

¿Por qué optar por soluciones con certificación FIPS? Como explica el NIST, «el NIST considera que la criptografía no validada no proporciona protección a la información o los datos; de hecho, los datos se considerarían texto sin formato no protegido».

FIPS 140-2 se aprobó en mayo de 2001 y lleva en vigor más de 20 años, mientras que la potencia informática ha aumentado exponencialmente en ese período de tiempo. Aunque FIPS 140-2 sigue considerándose una seguridad sólida de grado militar, el NIST publicó la norma FIPS 140-3** y la aprobó en septiembre de 2019. Para garantizar el cumplimiento, el NIST creó laboratorios certificados que realizan rigurosas revisiones y pruebas de software y unidades físicas para el sector, cuyos resultados son revisados por científicos del NIST antes de la concesión oficial de un certificado de la serie FIPS 140.

Las unidades de almacenamiento que cumplen la norma FIPS 140-3 se comercializan desde 2023, por lo que los gobiernos y las empresas deberían empezar a cambiar a unidades FIPS 140-3. Estas unidades vienen con niveles de protección mejorados, de los cuales el nivel 3 es el referente con resistencia antimanipulación para detectar intentos de intrusión física mediante epoxi especial en los circuitos físicos.

Mejoras de FIPS 140-3 con respecto a FIPS 140-2

Una estructura metálica iluminada en azul con el logotipo FIPS 140-3 de nivel 3 pendiente superpuesto.

Dado que FIPS 140-2 se definió en el siglo XX y se aprobó en 2001, era necesario definir la actualización del siglo XXI. FIPS 140-3 es la actualización para lo que queda de la década de 2020, y la próxima actualización para la década siguiente incluirá protecciones más sólidas para la informática cuántica.

El cifrado XTS-AES de 256 bits utilizado en las unidades de almacenamiento cifradas por hardware funciona de la siguiente manera: Un usuario crea una clave para una unidad nueva o recién formateada. El microprocesador seguro de la unidad genera una clave de cifrado AES por hardware utilizando su generador de números aleatorios siguiendo la norma NIST y algoritmos aprobados. Si el generador de números aleatorios no es verdaderamente aleatorio en el sentido matemático, puede crear una vulnerabilidad que puede ser explotada por superordenadores para intentar recrear esta clave de cifrado única.

FIPS 140-3 exigía a los fabricantes de microprocesadores seguros que mejoraran su generador interno de números aleatorios para aumentar la entropía (o aleatoriedad). Baste decir que esta única mejora criptográfica tiene importantes consecuencias matemáticas para garantizar que el cifrado XTS-AES siga siendo resistente al cracking informático durante años, si no décadas, incluida una protección suficiente contra los ordenadores cuánticos a corto plazo.

También se han añadido los siguientes cambios:

  • Longitud mínima de PIN o contraseña: las contraseñas se aumentaron de 7 a 8 caracteres para protegerlas mejor contra ataques de contraseña automatizados. Tenga en cuenta que la protección por contraseña de fuerza bruta también debe estar presente para cripto-borrar la unidad para detener tales ataques desde el principio.
  • No hay PIN ni contraseña preestablecidos de fábrica: todos los usuarios deben establecer un PIN o contraseña al utilizar la unidad por primera vez.
  • Autodiagnóstico periódico: cada unidad debe realizar un autodiagnóstico para garantizar que la seguridad sea totalmente funcional. Si se detecta un problema, debe apagarse la unidad. Esta protección puede detectar fallos y posibles ataques a los circuitos, que pueden manifestarse como averías.
  • Apagado automático en condiciones térmicas y de tensión excesivas: si una unidad supera los niveles preestablecidos, debe apagarse. Los hackers a veces utilizan ataques de canal lateral que provocan condiciones térmicas y de tensión extremas, esta respuesta puede bloquear ataques específicos.

Se trata de una simplificación masiva de la norma FIPS 140-3 de nivel 3, ya que también incluye muchas otras protecciones y salvaguardas, muchas de ellas con complejos fines criptográficos. Por lo general, una nueva norma FIPS 140 requiere hasta 2 años de esfuerzo por parte de los fabricantes para rediseñar sus microprocesadores seguros, mejorar el firmware de sus unidades y la forma en que procesa los parámetros críticos de seguridad (CSP), someterse a pruebas de laboratorio certificadas por el NIST que incluso incluyen revisiones del código fuente además de pruebas exhaustivas, y finalmente introducir sus unidades en el mercado.

Tenga en cuenta que las unidades se pueden designar como FIPS 140-3 de nivel 3 (pendiente) porque, una vez finalizadas las pruebas de laboratorio, el NIST puede tardar hasta 18 meses en emitir el certificado final debido a la acumulación de certificaciones de software y hardware en cola. Kingston solo comercializa sus unidades una vez finalizadas las pruebas de laboratorio. Puede ver las certificaciones pendientes en este sitio web del NIST.

Resumen

La protección de datos de grado militar sigue la norma FIPS 140 de nivel 3 definida por el NIST.

Durante las dos últimas décadas, FIPS 140-2 de nivel 3 ha sido la mejor norma comercial para unidades USB y SSD de almacenamiento portátil. Para la próxima década, FIPS 140-3 de nivel 3 es la mejor práctica para la protección más eficaz de los datos móviles.

Kingston ha invertido cientos de miles de dólares y varios años de esfuerzo en I+D para lanzar al mercado las unidades IronKey FIPS 140-3 de nivel 3 con cifrado de hardware. Estas unidades de almacenamiento se han diseñado desde cero con la protección de datos como principal objetivo de diseño.

Kingston ofrece la emblemática unidad USB IronKey D500S, así como la serie Keypad 200 en opciones USB-A o USB-C, que han superado las pruebas de conformidad FIPS 140-3 de nivel 3 y están pendientes de la aprobación final del NIST.

Vídeos relacionados

Trisha sosteniendo una unidad Flash USB DT2000 2:53

Explicación de unidades de memoria Flash USB cifradas

Las unidades Flash USB cifradas mantienen protegidos sus datos privados. Pero, ¿cómo funcionan?

Trisha sosteniendo una unidad IKVP80ES junto al icono de un escudo, una pantalla con código y un candado 5:38

La manera adecuada de almacenar sus archivos y acceder a los mismos de manera segura

En el caso de creativos que producen contenidos para clientes de alto perfil, el almacenamiento cifrado puede proteger sus archivos importantes y ayudarle a cumplir sus responsabilidades en materia de seguridad.

Trisha con una enorme unidad SSD de 2,5 pulgadas en la mano, junto a una unidad SSD M.2 con un candado y un icono de Windows 5:02

Comparación del cifrado por hardware y por software

¿Cuál es la diferencia entre el cifrado por hardware y por software?

Artículos relacionados