Аудит и соответствие Awareness

CAVP, FIPS и обеспечение безопасности криптографических систем

by Альянс Лазаря 0 комментарий
Программный интерфейс Continuum GRC ITAM, используемый Lazarus Alliance для эффективного проведения аудита Common Criteria.

Большинство стандартов безопасности, включая государственные стандарты, требуют криптографии. Мы, как правило, знакомы с реализацией криптографического алгоритма, который соответствует этим требованиям, и с завершением работы. Однако для обеспечения безопасности NIST также публикует стандарты для проверки модулей шифрования, чтобы гарантировать, что они служат своей цели в соответствии с федеральными стандартами. 

Здесь мы обсуждаем Программу проверки криптографических алгоритмов и ее связь с тесно связанными стандартами и программами, такими как Федеральные стандарты обработки информации и Национальная программа добровольной аккредитации лабораторий. 

 

Что такое программа проверки криптографического алгоритма?

NIST контролирует и управляет Программа проверки криптографических алгоритмов (CAVP), проект по проверке криптографических модулей и алгоритмов для использования в различных государственных системах, других организациях и частными лицами, которым требуется гарантия безопасности и эффективности криптографических реализаций.

В рамках CAVP криптографические алгоритмы и модули проходят тщательное тестирование и оценку на соответствие определенным стандартам безопасности и критериям, установленным NIST. Этот процесс включает тестирование на соответствие Федеральным стандартам обработки информации (FIPS) NIST, которые определяют криптографические алгоритмы и требования для федеральных агентств.

Процесс проверки обычно включает тесты для проверки правильности, безопасности и производительности криптографических реализаций. После того, как криптографический модуль или алгоритм успешно проходит процесс проверки, он указывается на веб-сайте NIST как проверенный криптографический модуль или алгоритм, гарантируя пользователям, что он соответствует необходимым требованиям безопасности.

В целом CAVP имеет решающее значение для обеспечения безопасности и надежности криптографии, используемой в различных приложениях, включая государственное управление, финансы, здравоохранение и телекоммуникации.

 

Каковы требования FIPS к шифрованию?

Федеральные стандарты обработки информации определяют различные требования к алгоритмам шифрования и их реализации для защиты конфиденциальной правительственной информации. В частности, Публикация ФИПС 140-2 (Требования безопасности к криптографическим модулям) описывает стандарты для криптографических модулей, включая шифрование.

Некоторые основные требования к шифрованию в соответствии с FIPS 140-2 включают в себя:

  • Проверка криптографического алгоритма: Алгоритмы шифрования, используемые в системах, соответствующих FIPS, должны быть проверены с помощью CAVP или других одобренных программ проверки. Эти алгоритмы включают симметричные алгоритмы шифрования, такие как AES (Advanced Encryption Standard) и Triple DES (Data Encryption Standard), а также асимметричные алгоритмы, такие как RSA и DSA.
  • Ключевой менеджмент: Системы шифрования, соответствующие FIPS, должны иметь надежные фундаментальные механизмы управления. Это включает в себя безопасное создание, хранение и обработку криптографических ключей. Практики управления ключами должны соответствовать лучшим практикам для создания, распространения, хранения и уничтожения ключей.
  • Стойкость шифрования: FIPS требует, чтобы алгоритмы шифрования были достаточно устойчивы к криптографическим атакам. Например, AES должен поддерживать размеры ключей 128, 192 и 256 бит, а Triple DES должен использовать не менее двух независимых ключей.
  • Генерация случайных чисел: Криптографические модули должны использовать утвержденные методы генерации случайных чисел, что необходимо для генерации криптографических ключей и векторов инициализации, используемых при шифровании.
  • Целостность данных: Механизмы шифрования должны включать меры по обеспечению целостности данных, такие как использование криптографических хеш-функций для создания дайджестов сообщений или цифровых подписей.
  • Протоколы безопасной связи: Если для защиты данных при передаче по сетям используется шифрование, FIPS требует использования защищенных протоколов связи, таких как TLS (Transport Layer Security) или IPsec (Internet Protocol Security).
  • SОбеспечение соблюдения политики безопасности: Системы, соответствующие FIPS, должны применять политики безопасности, определяющие, как шифрование защищает конфиденциальные данные. Это может включать политики контроля доступа, классификацию данных и требования к шифрованию для данных в состоянии покоя и в пути.

Это лишь некоторые ключевые требования к шифрованию, изложенные в FIPS 140-2. Соответствие стандартам FIPS является обязательным для криптографических модулей, используемых в системах федерального правительства США, и широко применяется в других отраслях и секторах, где безопасность данных имеет решающее значение.

 

Какова связь между CVAP и FIPS?

Lazarus Alliance — это Национальная программа добровольной аккредитации лабораторий NIST (NVLAP)

CAVP и FIPS — тесно связанные программы, администрируемые NIST. Хотя они служат разным целям, они взаимосвязаны и дополняют друг друга в обеспечении безопасности криптографических систем, используемых в различных приложениях:

 

Программа проверки криптографического алгоритма

  • CAVP проверяет криптографические алгоритмы и модули на соответствие определенным стандартам безопасности и критерии, установленные NIST.
  • CAVP проверяет правильность, безопасность и производительность криптографических алгоритмов путем тщательного тестирования и оценки.
  • The Проверенные алгоритмы и модули перечислены на сайте NIST., гарантируя, что пользователи соответствуют требованиям безопасности.

 

Федеральные стандарты обработки информации

  • FIPS-это стандарты и рекомендации, разработанные NIST для различных систем обработки информации используется федеральными правительственными агентствами и подрядчиками США.
  • ФИПС определяет требования безопасности для криптографических модулей, включая алгоритмы шифрования, управление ключами, генерацию случайных чисел и другие функции безопасности.
  • Соответствие стандартам FIPS является обязательным для криптографических модулей, используемых в системах федерального правительства США.и рекомендуется для использования в других конфиденциальных приложениях, где безопасность данных имеет решающее значение.

Взаимосвязь между ними включает в себя несколько требований и ожиданий относительно безопасности модуля шифрования:

  • CAVP проверяет криптографические алгоритмы и модули для обеспечения их соответствия требованиям безопасности, указанным в стандартах FIPS.
  • Процесс проверки CAVP гарантирует, что криптографические алгоритмы, реализованные в криптографических модулях, соответствуют требованиям шифрования, управления ключами и другим требованиям безопасности, изложенным в публикациях FIPS., в частности FIPS 140-2 для криптографических модулей.

Таким образом, CAVP служит механизмом для демонстрации соответствия стандартам FIPS, обеспечивая независимую проверку криптографии и связанных модулей, используемых в криптографических системах.

 

Какова связь между CAVP и NVLAP?

Взаимосвязь между CAVP и НВЛАП заключается в их роли в более широком контексте обеспечения безопасности и надежности криптографических систем:

Программа проверки криптографического алгоритма

  • Как уже упоминалось выше, CAVP проверяет криптографические алгоритмы и модули на соответствие определенным стандартам безопасности и критерии, установленные NIST.
  • CAVP проводит тестирование и оценку, чтобы гарантировать, что криптографические алгоритмы и модули соответствуют требованиям безопасности, особенно те, которые изложены в публикациях ФИПС.

Национальная программа добровольной аккредитации лабораторий

  • NVLAP — это программа в рамках NIST, которая обеспечивает процесс аккредитации лабораторий, выполняющих услуги по испытаниям и калибровке.
  • NVLAP аккредитует лаборатории на основе международных стандартов и руководств, гарантируя, что они будут действовать компетентно и давать надежные результаты.
  • Лаборатории, аккредитованные NVLAP может выполнять действия по тестированию и проверке, в том числе связанные с криптографическими алгоритмами и модулями.

Связь между CAVP и NVLAP

  • Лаборатории, аккредитованные NVLAP, могут участвовать в процессах тестирования и валидации, проводимых CAVP..
  • Эти лаборатории могут проводить испытания и оценить криптографические алгоритмы и модули в соответствии с требованиями, указанными CAVP.
  • Используя лаборатории, аккредитованные NVLAP, CAVP гарантирует, что мероприятия по тестированию проводятся компетентными и надежными организациями. которые соответствуют международным стандартам испытаний и калибровки.
  • Участие лабораторий, аккредитованных NVLAP, повышает надежность и уверенность процесса валидации, проводимого CAVP., поскольку это свидетельствует о том, что тестирование проводится квалифицированными специалистами с использованием установленных процедур и методик.

 

Соответствует ли ваша криптография требованиям?

Если вы внедряете правильную криптографию или управляете соответствующей криптографической лабораторией или набором модулей, Lazarus Alliance поможет вам. Мы занимаемся стандартами соответствия NIST, оценками NIAP Common Criteria и аккредитацией лабораторий NVLAP.

Если вы хотите начать оценку, свяжитесь с нами Альянс Лазаря.

Загрузите брошюру нашей компании.

Нет изображения Пусто

Альянс Лазаря

Веб-сайт: