Zauważyliśmy, że obecnie odwiedzasz witrynę w Wielkiej Brytanii. Czy zamiast tego chcesz odwiedzić naszą główną stronę?

Grafika z tarczą otoczoną elementami symbolizującymi technologię i bezpieczną komunikację.

Dlaczego warto chronić dane, stosując zabezpieczenia klasy wojskowej FIPS 140-3 Level 3

Jeśli chodzi o ochronę i szyfrowanie danych, w praktyce ogólnoświatowe standardy definiuje National Institute of Standards and Measures (NIST). NIST to amerykańska agencja federalna, która zdefiniowała standard Advanced Encryption Standard (AES), a 256-bitowe szyfrowanie AES w trybie XTS uznaje się za najlepszą dostępną na rynku komercyjnym metodę ochrony danych. NIST publikuje standardy dla rządu i armii USA, znane pod nazwą Federal Information Processing Standard (FIPS), które służą definiowaniu i zatwierdzaniu standardów kryptograficznych. Standardy FIPS serii 140 definiują zabezpieczenia oparte na szyfrowaniu sprzętowym i programowym.

Dlaczego warto wybierać rozwiązania z certyfikatem FIPS? Jak wyjaśnia NIST, „niezweryfikowane rozwiązania kryptograficzne nie zapewniają żadnej ochrony informacji ani danych, wobec czego tego typu dane należy traktować jako niezabezpieczony zwykły tekst”.

Standard FIPS 140-2, zatwierdzony w maju 2001 r., obowiązuje od ponad 20 lat. W tym czasie moc obliczeniowa komputerów rosła w tempie wykładniczym. I chociaż zabezpieczenia zgodne ze standardem FIPS 140-2 wciąż uznaje się za silne i zgodne z wymogami wojskowych norm bezpieczeństwa, we wrześniu 2019 r. agencja NIST opublikowała i zatwierdziła standard FIPS 140-3. W celu zapewnienia zgodności z przepisami agencja NIST powołała do życia certyfikowane laboratoria, które w rygorystyczny sposób weryfikują i testują oprogramowanie i nośniki pamięci na potrzeby branży. Przed oficjalnym przyznaniem certyfikatu FIPS serii 140 wyniki są weryfikowane przez specjalistów z NIST.

W celu zapewnienia zgodności z przepisami agencja NIST powołała do życia certyfikowane laboratoria, które w rygorystyczny sposób weryfikują i testują oprogramowanie i nośniki pamięci na potrzeby branży. Przed oficjalnym przyznaniem certyfikatu FIPS serii 140 wyniki są weryfikowane przez specjalistów z NIST.

Ulepszenia FIPS 140-3 w porównaniu z FIPS 140-2

Podświetlony na niebiesko schemat z nałożonym logo FIPS 140-3 Level 3 Pending.

Ponieważ standard FIPS 140-2 został zdefiniowany w XX wieku i zatwierdzony w 2001 r., konieczna była jego aktualizacja w celu dostosowania do współczesnych potrzeb. FIPS 140-3 to standard przewidziany na okres do końca dekady 2020, natomiast aktualizacja na kolejną dekadę wprowadzi silniejsze zabezpieczenia, uwzględniające możliwości komputerów kwantowych.

Wykorzystywane w szyfrowanych sprzętowo nośnikach pamięci 256-bitowe szyfrowanie XTS-AES działa w następujący sposób: Użytkownik definiuje hasło dla nowego lub nowo sformatowanego nośnika. Bezpieczny mikroprocesor w nośniku pamięci generuje sprzętowy klucz szyfrujący AES za pomocą generatora liczb losowych, zgodnie ze standardem NIST i zatwierdzonymi algorytmami. . Jeśli generator liczb losowych nie jest prawdziwie losowy w sensie matematycznym, superkomputery mogą wykorzystać tę lukę do odtworzenia unikalnego klucza szyfrującego.

Norma FIPS 140-3 wymogła na producentach bezpiecznych mikroprocesorów udoskonalenie wewnętrznego generatora liczb losowych w celu zwiększenia entropii (losowości). Już to jedno udoskonalenie kryptograficzne niesie ze sobą daleko idące konsekwencje matematyczne, dzięki czemu szyfrowanie XTS-AES pozostanie odporne na próby złamania przez lata, jeśli nie przez dekady. Zapewni w ten sposób wystarczającą ochronę przed wykorzystaniem potencjału komputerów kwantowych, które pojawią się w niedalekiej przyszłości.

Ponadto wprowadzono następujące zmiany:

  • Minimalna długość kodu PIN lub hasła: Długość haseł zwiększono z 7 do 8 znaków, aby zapewnić lepszą ochronę przed zautomatyzowanymi atakami. Dostępna powinna być także funkcja ochrony przed atakami metodą Brute Force, która w przypadku ich wykrycia kryptograficznie wymazuje zawartość pamięci.
  • Brak fabrycznie ustawionego kodu PIN lub hasła: Każdy użytkownik musi ustawić kod PIN lub hasło przy pierwszym użyciu nośnika pamięci.
  • Okresowe autotesty: Każdy nośnik pamięci musi przeprowadzać autotesty w celu potwierdzenia prawidłowego działania zabezpieczeń. W przypadku wykrycia problemu nośnik musi zostać wyłączony. Zabezpieczenie to pozwala na wykrycie usterek i potencjalnych ataków na obwody, które mogą objawiać się usterkami.
  • Automatyczne wyłączenie przy nadmiernym wzroście temperatury i napięcia: Jeśli wartości przekroczą określony poziom, musi nastąpić wyłączenie nośnika. Hakerzy czasem stosują ataki typu side-channel, w których wykorzystują skrajne parametry temperatury i napięcia. To zabezpieczenie ma na celu ochronę przed tego typu działaniami.

To tylko najważniejsze cechy standardu FIPS 140-3 Level 3, który obejmuje wiele innych zabezpieczeń i mechanizmów ochrony, często pełniących złożone funkcje kryptograficzne. Zwykle wprowadzenie nowego standardu FIPS 140 wymaga od producentów nawet 2 lat pracy związanej z projektowaniem bezpiecznych mikroprocesorów, udoskonalaniem oprogramowania sprzętowego i sposobu przetwarzania krytycznych parametrów bezpieczeństwa (CSP), testami laboratoryjnymi NIST, które obejmują także przegląd kodu źródłowego, i w końcu wprowadzeniem produktów na rynek.

Warto pamiętać, że mogą one nosić oznaczenie FIPS 140-3 Level 3 (Pending) (w toku), ponieważ po zakończeniu testów laboratoryjnych NIST może potrzebować do 18 miesięcy na wydanie końcowego certyfikatu ze względu na kolejkę produktów oczekujących na certyfikat. Firma Kingston wprowadza swoje nośniki pamięci na rynek dopiero po zakończeniu testów laboratoryjnych. Oczekujące na rozpatrzenie wnioski certyfikacyjne można sprawdzić na stronie internetowej NIST.

Podsumowanie

Ochrona danych zgodna ze standardem FIPS 140 Level 3, określonym przez agencję NIST, spełnia również wojskowe normy bezpieczeństwa.

Przez ostatnie dwie dekady FIPS 140-2 Level 3 był najlepszym dostępnym na rynku komercyjnym standardem zabezpieczeń przenośnych dysków SSD i pamięci USB. Na najbliższą dekadę jego miejsce zajął standard FIPS 140-3 Level 3, aby zapewnić jeszcze skuteczniejszą ochronę przenoszonych danych.

Firma Kingston zainwestowała setki tysięcy dolarów i wiele lat pracy, aby wprowadzić na rynek szyfrowane sprzętowo nośniki pamięci IronKey z certyfikatem FIPS 140-3 Level 3. Zaprojektowano je od podstaw z myślą o skutecznej ochronie danych.

Wśród nich jest sztandarowy produkt Kingston – pamięć USB IronKey D500S – a także seria pamięci Keypad 200 w wersjach ze złączem USB-A lub USB-C, które przeszły testy zgodności ze standardem FIPS 140-3 Level 3 i oczekują na ostateczne zatwierdzenie NIST.

Powiązane filmy

Powiązane artykuły