Neden FIPS 140-3 Seviye 3, Askeri Sınıf Mobil Veri Korumasına Yükseltmeniz Gerekir

FIPS 140-3'ün FIPS 140-2'ye göre iyileştirmeleri

FIPS 140-2 20. yüzyılda tanımlandığı ve 2001 yılında onaylandığı için 21. yüzyıl için bir güncellemenin yapılmasına ihtiyaç vardı. FIPS 140-3, 2020'li yılların geri kalanına yönelik bir güncellemedir ve sonraki on yıllık dönem için yapılacak güncelleme kuantum bilişim için daha güçlü korumalar içerecektir.

Donanım şifrelemeli veri saklama sürücülerinde kullanılan XTS-AES 256-bit şifreleme aşağıdaki gibi çalışır: Bir kullanıcı yepyeni veya yeni biçimlendirilmiş bir sürücü için bir parola oluşturur. Sürücüdeki güvenli mikroişlemci, rastgele sayı üretecini kullanarak NIST standardına ve onaylı algoritmalara uygun bir donanım AES şifreleme anahtarı oluşturur. Rastgele sayı üretecinin matematiksel açıdan gerçekten rastgelelik göstermediği durumlar, bu benzersiz şifreleme anahtarının yeniden oluşturulması denemelerinde süper bilgisayarlar tarafından suistimal edilebilecek bir güvenlik açığı yaratabilir.

FIPS 140-3, güvenli mikroişlemci üreticilerinin entropiyi (veya rastgeleliği) artırmak için dahili rastgele sayı üreteçlerini geliştirmelerini gerektirmiştir. Bu tek kriptografik geliştirmenin, XTS-AES şifrelemesinin bilgisayarlar tarafından kırılmalarına karşı onlarca yıl olmasa bile yıllarca dayanıklı kalmasını sağlayacak önemli matematiksel sonuçları olduğunu belirtmek uygun olacaktır. Buna yakın zamanda bilgisayarlara karşı yeterli koruma da dahildir.

Aşağıdaki değişiklikler de eklenmiştir:

• Minimum PIN veya parola uzunluğu: Otomatik parola saldırılarına karşı daha güçlü parola koruması için şifreler 7 karakterden 8 karaktere çıkarıldı. Bu tür saldırıları erken aşamalarda durdurmak amacıyla sürücüyü şifreleyerek silecek bir kaba güç (brute force) parola korumasının da mevcut olması gerektiğini unutmayın.
• Fabrikada önceden ayarlanmış PIN veya parola yoktur: Tüm kullanıcılar sürücüyü ilk kez kullandıklarında bir PIN veya şifre belirlemelidir.
• Düzenli aralıklarla kendi kendine testler: Güvenliğin tamamen işlevsel olduğundan emin olmak için her sürücü kendi kendini test etmelidir. Bir sorun tespit edilirse sürücü kapanmalıdır. Bu koruma, arızaları ve devre üzerinde arıza olarak görülebilecek olası saldırıları tespit edebilir.
• Aşırı termal ve voltaj koşulları altında otomatik kapanma: Bir sürücü önceden belirlenmiş seviyeleri aşarsa, kapanmalıdır. Bilgisayar korsanları bazen aşırı termal ve voltaj koşullarına neden olan yan kanal saldırıları kullandıklarından bu işlem belirli saldırıları engelleyebilir.

Bu, FIPS 140-3 Seviye 3 standardının sağladığı büyük ölçüde basitleştirmedir. Bunun nedeni birçoğu karmaşık kriptografik amaçlara sahip birçok başka koruma ve önlemi de içermesidir. Genellikle, yeni bir FIPS 140 standardı, üreticilerin güvenli mikroişlemcilerini yeniden tasarlamaları, sürücü yazılımlarını (firmware) ve Kritik Güvenlik Parametrelerini (CSP'ler) işleme şekillerini geliştirmeleri, kapsamlı testlere ek olarak kaynak kodu incelemelerini de içeren NIST sertifikalı laboratuvar testlerinden geçmeleri ve son olarak sürücülerini pazara sunmaları için 2 yıla kadar çalışmalarına gerektirir.

Sürücülerin FIPS 140-3 Seviye 3 (Beklemede) olarak adlandırılabileceğini unutmayın. Bunun nedeni laboratuvar testleri tamamlandıktan sonra, NIST'in beklemedeki yazılım ve donanım sertifikasyonlarının birikmesi nedeniyle son sertifikayı vermesinin 18 aya kadar sürebilmesidir. Kingston, sürücülerini yalnızca laboratuvar testleri tamamlandıktan sonra piyasaya sürmektedir. Beklemedeki sertifikasyonları bu NIST web sitesinde görebilirsiniz.