Vì sao Bạn Cần Nâng cấp lên FIPS 140-3 Cấp độ 3 – Tiêu chuẩn Bảo vệ Dữ liệu Di động Cấp Quân đội

Cải tiến ở FIPS 140-3 so với FIPS 140-2

Do FIPS 140-2 đã ra mắt hồi thế kỷ 20 và được phê duyệt vào năm 2001, tiêu chuẩn này cần được cập nhật để bắt kịp nhu cầu của thế kỷ 21. FIPS 140-3 chứa những biện pháp bổ sung cho toàn bộ những năm còn lại của thập kỷ 2020, còn bản cập nhật kế tiếp cho thập niên sau sẽ đề ra các hàng rào bảo vệ mạnh mẽ hơn cho điện toán lượng tử.

Mã hóa XTS-AES 256 bit được dùng trong ổ lưu trữ mã hóa bằng phần cứng như sau: Người dùng tạo mật khẩu cho một ổ hoàn toàn mới hoặc ổ mới được định dạng. Bộ vi xử lý bảo mật trong ổ tạo mật khẩu mã hóa AES phần cứng bằng trình tạo số ngẫu nhiên tuân thủ tiêu chuẩn NIST và thuật toán được phê duyệt. Nếu trình tạo số ngẫu nhiên không thực sự ngẫu nghiên về mặt toán học, có thể sẽ có lỗ hổng mà các siêu máy tính có thể khai thác để tái tạo mật khẩu mã hóa độc nhất này.

FIPS 140-3 yêu cầu nhà sản xuất của bộ vi xử lý bảo mật phải cải tiến trình tạo số ngẫu nhiên tích hợp này để tăng độ hỗn loạn (hay mức độ ngẫu nhiên) hơn nữa. Không cần phải nói, chỉ riêng bước cải tiến mã hóa này đã tạo ra tác động mạnh về mặt toán học để đảm bảo tính năng mã hóa XTS-AES có thể chống chịu được các thủ đoạn đột nhập máy tính trong nhiều năm về sau, nếu không nói là nhiều thập kỷ về sau, thậm chí đủ để bảo vệ chống lại máy tính lượng tử sẽ hiện hữu trong tương lai gần.

Ngoài ra, FIPS 140-3 còn được bổ sung những thay đổi sau:

• Độ dài mật khẩu hoặc mã PIN tối thiểu: Mật khẩu tăng từ 7 lên 8 ký tự để bảo vệ tốt hơn trước các cuộc tấn công dạng tự động điền mật khẩu. Lưu ý: bảo vệ chống tấn công mật khẩu brute force cũng sẽ được trang bị để xóa ổ theo dạng mã hóa và giúp ngăn chặn tấn công dạng này ngay từ đầu.
• Không có mật khẩu hay mã PIN đặt sẵn từ ban đầu: Mọi người dùng phải tự đặt mật khẩu hay mã PIN vào lần đầu sử dụng ổ.
• Tự kiểm tra định kỳ: Mỗi ổ phải tự kiểm tra để đảm bảo các cơ chế bảo mật vẫn hoạt động đầy đủ. Nếu phát hiện có vấn đề, ổ phải tắt nguồn hoàn toàn. Tính năng này có thể phát hiện các trục trặc chức năng, cũng như các cuộc tấn công tiềm tàng trên mạch điện thể hiện ra dưới dạng trục trặc chức năng.
• Tự động tắt nguồn trong điều kiện điện áp và nhiệt độ quá mức: Nếu chạy quá ngưỡng đặt trước, ổ phải tự động tắt nguồn. Tin tặc đôi khi lợi dụng tấn công kênh bên làm cho nhiệt độ và điện áp tăng vọt. Tắt nguồn có thể chặn đứng một số cuộc tấn công nhất định.

Trên đây chỉ mới là một số nội dung cực sơ lược về tiêu chuẩn FIPS 140-3 Cấp độ 3 bởi còn có vô vàn biện pháp bảo vệ và bảo mật khác, nhiều trong số đó có mục đích mã hóa rất phức tạp. Thông thường, một tiêu chuẩn FIPS 140 mới cần đến 2 năm để nhà sản xuất thiết kế lại bộ vi xử lý bảo mật, cải tiến vi chương trình trong ổ và cách ổ xử lý Tham số Bảo mật Quan trọng (CSP), triển khai bước kiểm nghiệm tại phòng thí nghiệm đạt chứng nhận NIST, trong đó thậm chí còn có khâu đánh giá mã nguồn và kiểm nghiệm toàn diện mọi mặt, và cuối cùng là đưa ổ đĩa mới ra thị trường.

Lưu ý là ổ có thể được chỉ định đạt FIPS 140-3 Cấp độ 3 (Đang chờ cấp) do sau khi hoàn tất kiểm nghiệm tại phòng thí nghiệm, NIST cần tối đa 18 tháng để cấp chứng nhận sau cùng, bởi có rất nhiều yêu cầu chứng nhận phần cứng và phần mềm tồn đọng chờ xử lý. Kingston chỉ bán ổ ra thị trường sau khi hoàn tất kiểm nghiệm tại phòng kiểm định. Bạn có thể xem chứng nhận chờ cấp trên trang web NIST này.