业界获得FIPS140-33级认证的HSM

什么是FIPS 140?
在加密安全中，遵守标准对于确保保护敏感数据并满足合规性和法规需求至关重要。FIPS 140(Federal Information Processing Standard，美国联邦信息处理标准)是由美国国家标准与技术研究院(NIST)定义并由美国和加拿大管理的加密图形模块的安全要求，是加密模块验证计划(Cryptographic Module Validation Program，CMVP)的一部分。经过FIPS 140验证的模块对于保护加密密钥和执行许多应用程序的加密操作是必需的。
FIPS 140-2是FIPS 140-3的前身，在过去的二十年中，FIPS 140-2已被广泛采用为组织遵循的安全基准和佳实践。它也已成为北美以外的许多其他国家地区制定国内法规的事实标准，包括和私营部门。
FIPS 140-3将允许对后量子密码学(PQC)算法进行认证，因为它将确保加密模块准备好应对量子攻击带来的挑战和威胁。实施经FIPS 140-3验证的安全解决方案是构建量子安全加密敏捷安全态势的重要组成部分，可确保组织在当前和未来保持数据保护。
FIPS 140-2和FIPS 140-3有什么区别?
FIPS 140-3是验证加密硬件有效性的新版本，符合国际ISO/IEC 19790标准并对FIPS 140-2标准的安全要求进行了新的增强，包括：
1.更严格的完整性测试要求。
2.新增所需服务：输出可映射到验证记录/证书的模块名称/标识符和版本。
3.所有级别(包括公钥)的所有未受保护的“敏感安全参数”(SSP)都需要密钥归零。
4.角色、服务和身份验证：由加密模块的实现(而不是通过策略、规则等)满足，例如密码大小限制。
5.生命周期：除了验证实验室测试外，供应商还需要对模块进行充分的内部测试。
组织应使用FIPS 140-3标准来确保他们选择的硬件满足特定的安全要求。这FIPS 140-2认证标准定义了四个递增的定性安全级别，这些级别在FIPS 140-3中保持不变。

过渡到 FIPS 140-3
目前遵守FIPS 140-2的组织需要计划向FIPS 140-3的过渡，以确保持续合规。FIPS 140-3的目标是更紧密地与国际ISO/IEC标准保持一致，并更适合当今的技术：
ISO/IEC 19790：2012：列出了保护计算机和电信系统中敏感信息的安全系统中使用的加密模块的安全要求。该国际标准为加密模块定义了四个安全级别，以提供广泛的数据敏感性(例如值的管理数据、数百万美元的资金转移、生命保护数据、个人身份信息和使用的敏感信息)和多样化的应用环境(例如受保护的设施、办公室、可移动介质和完全不受保护的位置)。
ISO/IEC 24759：2017：概述了加密模块的测试要求。这些方法的开发是为了在测试过程中提供高度的客观性，并确保整个测试实验室的一致性。
这种与国际标准的一致性允许无缝过渡到FIPS 140-3，提高互操作性，并确保一致的安全实践。自2026年9月21日起，现有的FIPS 140-2证书不会被吊销，但将移至历史列表。
泰雷兹支持FIPS 140-3安全标准
泰雷兹开发符合FIPS 140-3安全标准的加密产品和子系统。符合标准的泰雷兹解决方案包括Luna硬件安全模块(HSM)、高速加密器(HSE)和身份验证解决方案。
FIPS 140-3 验证的硬件安全模块
Luna HSM是业界获得FIPS 140-3 3级验证的HSM，为安全加密处理、密钥生成和保护、加密等提供强化、防篡改的环境。
Thales Luna 7 HSM(网络和PCIe*)现已通过 FIPS 140-3 3 级验证，为客户提供以下优势：
HSM 用户的灵活性：FIPS 140-3允许在同一平台上同时支持已批准和未批准的服务。这种灵活性使用户能够满足传统的应用程序限制，同时为新应用程序采用新标准。
增强型模块自检：在第3级，FIPS 140-3增加了对模块(如HSM)的定期自检，这些模块的正常运行时间通常长达数年。这确保了持续的安全运行。
实验室的严格测试：该标准对测试实验室提出了更严格的要求，以审查并确保供应商对模块进行充分的测试。这样可以使不同实验室和不同国家/地区的安全级别更加一致。
CVE跟踪和代码质量：FIPS 140-3要求演示查看和跟踪可能影响模块使用的库的常见漏洞和披露(CVE)的能力。这加强了维护内部代码质量的规则，即使它们没有直接暴露在外部环境中，因此无法被 HSM 用户扫描和检测。
持FIPS 140-3 3级验证的 Luna HSM作为市场的数字信任加密敏捷基础，可降低风险、确保灵活性、轻松管理密钥并简化集成。
FIPS 140-3 Level 3目前正在针对Luna USB和Luna Backup HSM进行审查。
FIPS 140-3 验证的高速加密解决方案
泰雷兹网络加密解决方案提供了一个单一平台，可以在任何地方进行加密——从数据中心和总部之间的网络流量到备份和灾难恢复站点，无论是在本地还是在云中。泰雷兹的网络加密解决方案经过严格的测试和认证，已通过美国部信息系统局(DoDIN APL)和北约等组织的审查。
泰雷兹高速加密机已通过 FIPS 认证十多年，并继续满足NIST的进步，例如FIPS 140-3和后量子密码学(PQC)。网络加密解决方案已通过FIPS 140-2 3级验证，目前正在等待FIPS 140-3的审核。
FIPS 140-3 验证* SafeNet IDCore 230/3230 基于 Java 的智能卡
使用 Java 操作系统的SafeNet IDCore智能卡集成了具有强大安全认证的微控制器。SafeNet IDCore Java Card OS由行业的安全团队开发，旨在针对各种威胁实施对策，包括侧信道、侵入性、故障和其他类型的攻击。SafeNet IDCore Java Card OS符合业界严格的安全认证，例如FIPS 140和CC EAL5+ / PP Javacard。
SafeNet ID编号：230/3230是公钥 Java 卡(支持 RSA 和椭圆曲线)，可满足长期多应用程序程序(包括大型组织部署的程序)的安全要求，包括：
Java卡 3.1.0
平台 2.2.1
ISO 7816认证
ISO 14443 仅适用于SafeNet IDCore 3230
NIST认证正在进行中：泰雷兹IDCore 3230/230平台
关于Thales泰雷兹
你依靠来保护你的隐私的人依靠Thales来保护他们的数据。在涉及到数据安全方面，组织面临着越来越多的决定性时刻。无论现在是建立一个加密策略，转移到云计算，还是满足合规要求，您都可以依赖Thales来确保您的数字转型。
决定决定性时刻的决定性技术。