FIPS 140-2

FIPS 140-2 es el acrónimo de Federal Information Processing Standard (estándares federales de procesamiento de la información), publicación 140-2, es un estándar de seguridad de ordenadores del gobierno de los Estados Unidos para la acreditación de módulos criptográficos. Su título original es Security Requirements for Cryptographic Modules (requerimientos de seguridad para módulos criptográficos), que salió a la luz en 2001 y la última actualización es del 3 de diciembre de 2003.

Captura de pantalla de rngtest que muestra el resultado de la prueba FIPS-140-2

El Instituto Nacional de Estándares y Tecnología (NIST) emitió la serie de publicaciones FIPS 140 para coordinar los requerimientos y estandarización de módulos criptográficos en los que incluye componentes hardware y software. Los departamentos y agencias federales pueden validar que el módulo en uso se ampara en los certificados FIPS 140-1 y 140-2 donde se especifica el nombre exacto del módulo, hardware, software, firma y/o números de versión del componente.

Los módulos criptográficos son creados por el sector privado, o por la comunidad de código abierto, para ser usados por el gobierno de los Estados Unidos y las grandes industrias tales como financieras o de sanidad que recogen, almacenan, transfieren, comparten y distribuyen información "sensible, pero sin clasificar" (SSC). Se puede decir que, FIPS 140-2, el programa de validación de módulos criptográficos, es una unión de esfuerzos entre el NIST y el Centro de Seguridad de las Telecomunicaciones (CSE) del gobierno canadiense.

Los programas de seguridad supervisados por NIST y CSE están enfocados para trabajar con el gobierno y la industria para desarrollar sistemas y redes más seguras, promoviendo y usando instrumentos de evaluación de seguridad, técnicas, servicios y dando soporte a programas de validación, evaluación y prueba; y otras áreas como el desarrollo y mantenimiento de métricas de seguridad, indicadores de evaluación de seguridad y metodologías de evaluación, pruebas y metodología de pruebas, criterios de especificaciones de seguridad, consejos para el uso de productos de prueba y evaluación; investigación en áreas de métodos seguros, actividades de validación de protocolo de seguridad.

La norma FIPS 140-2 define cuatro niveles de seguridad. La validación FIPS 140-2 especifica el nivel de seguridad al que se ajusta el producto.

• El Nivel 1, que normalmente se utiliza en productos de cifrado de software exclusivamente, impone requisitos de seguridad básicos. Todos los componentes deben estar operativos y no deben existir brechas de seguridad flagrantes de diversos tipos.

• El Nivel 2 requiere autenticación basada en el cargo del usuario. (No se requiere la autenticación individual de los usuarios). También requiere la capacidad para detectar la intrusión física mediante sistemas de bloqueo físico o precintos de seguridad.

• El Nivel 3 añade resistencia a la intrusión física con fines de desmontaje o modificación, de manera que dificulta al máximo los ataques. Si se detecta la intrusión, el dispositivo debe ser capaz de borrar los parámetros de seguridad críticos. El Nivel 3 también incluye protección criptográfica eficaz y administración de claves, autenticación basada en la identidad y separación física o lógica entre las interfaces a través de las que se accede a los parámetros de seguridad crítica y se sale de ellos.

• El Nivel 4 incluye protección avanzada contra intrusiones y está diseñado para productos que operan en entornos desprotegidos físicamente.