Почему вам нужно перейти на стандарт защиты мобильных данных военного класса FIPS 140-3 уровня 3?

Преимущества FIPS 140-3 по сравнению с FIPS 140-2

Поскольку стандарт FIPS 140-2 разрабатывался в XX веке и был утвержден в 2001 году, возникла необходимость в обновлении стандарта для соответствия реалиям XXI века. FIPS 140-3 — это обновление, которое будет актуальным оставшуюся часть десятилетия 2020-х годов, а обновление на следующее десятилетие будет включать в себя уже более надежную защиту для квантовых вычислений.

256-битное шифрование AES в режиме XTS, используемое в накопителях с аппаратным шифрованием, работает следующим образом: Пользователь создает пароль к новому или недавно отформатированному накопителю. Защищенный микропроцессор в накопителе генерирует аппаратный ключ шифрования AES, используя свой генератор случайных чисел в соответствии со стандартом NIST и утвержденными алгоритмами. Если генератор случайных чисел не является действительно случайным в математическом смысле, он может создать уязвимость, которая может быть использована суперкомпьютерами для попытки воссоздания этого уникального ключа шифрования.

Стандарт FIPS 140-3 требовал от производителей защищенных микропроцессоров улучшения их внутреннего генератора случайных чисел для увеличения энтропии (т. е. случайности). Достаточно сказать, что только одно это усовершенствование криптографии имеет важные математические последствия для обеспечения того, чтобы шифрование AES в режиме XTS оставалось устойчивым к попыткам компьютерного взлома в течение многих лет, если не десятилетий, будучи достаточным даже для квантовых компьютеров, которые появятся в скором времени.

Также были добавлены следующие изменения:

• Минимальная длина PIN-кода или пароля: Пароли были увеличены с 7 до 8 символов для более надежной защиты пароля от автоматических атак на пароль. Обратите внимание, что защита пароля от атак методом перебора также должна присутствовать для криптографического стирания накопителя, чтобы можно было остановить такие атаки на ранней стадии.
• Нет предустановленного PIN-кода или пароля на заводе-изготовителе: все пользователи должны установить PIN-код или пароль при первом использовании накопителя.
• Периодическая самопроверка: Каждый накопитель должен выполнять самопроверку, чтобы обеспечить полную функциональность системы безопасности. При обнаружении проблем накопитель выключится. Эта защита может обнаруживать неисправности и потенциальные атаки на схему, которые могут проявляться как неисправности.
• Автоматическое отключение при чрезмерных температурах и напряжении: если накопитель превышает заданные уровни, он выключится. Иногда хакеры используют атаки по сторонним каналам, что приводит к экстремальным температурным условиям и энергопотреблению. Наличие этой защитной функции может блокировать определенные атаки.

Это массовое упрощение стандарта FIPS 140-3 уровня 3, поскольку он также включает в себя множество других средств защиты и мер предосторожности, многие из которых имеют сложные криптографические цели. Как правило, каждый новый стандарт FIPS 140 требует от производителей до 2 лет усилий по перепроектированию безопасности своих микропроцессоров и улучшению микропрограмм накопителей, а также анализа способов обработки критических параметров безопасности (CSP). Продукции необходимо пройти сертифицированное лабораторное тестирование от NIST, которое, в дополнение к тщательному тестированию, включает в себя обзоры исходного кода, после чего, наконец, накопители смогут поступить на рынок.

Обратите внимание, что накопители могут иметь обозначение «FIPS 140-3 уровня 3 (ожидается)», потому что после завершения лабораторных испытаний NIST может потребоваться до 18 месяцев для выдачи окончательного сертификата из-за отставания в сертификации программного и аппаратного обеспечения в очереди. Накопители Kingston поступают в продажу только после завершения лабораторных тестирований. Вы можете просмотреть список ожидающих подтверждения сертификаций на этом веб-сайте NIST.