FIPS 140-2 standartı

"Ümumi Meyarlar" standartında kriptoqrafiya təhlükəsizliyin "həssas nöqtəsidir", şifrləmə və tamlığa nəzarət servisləri üçün mühafizə profillərinin yaradılması qanunvericilik və/və ya təşkilati səbəblərə görə çətinləşir. Bu səbəbdən kriptoqrafik alqoritmlərin spesifik xassələrinin qiymətləndirilməsi üçün meyarlar bu standarta daxil edilməyib, belə qiymətləndirmə standartı kimi "Ümumi meyarlar" FIPS 140-2 standartına müraciət edir.

FIPS 140-2 «Security Requirements for Cryptographic Modules» (Kriptoqrafik modullar üçün təhlükəsizlik tələbləri) ABŞ-ın Milli Standartlar və Texnologiyalar İnstitutu (National Institute of Standards and Technology, NIST) tərəfindən işlənilmişdir və ABŞ-ın dövlət standartıdır. ABŞ qanunvericiliyinə uyğun olaraq ABŞ-ın dövlət orqanları üçün proqram məhsulları satın alınarkən FIPS 140-2 (və ya FIPS 140-1) standartı üzrə sertifikatlaşdırılmış proqram təminatına üstünlük vermək lazımdır. FIPS 140-2 standartı Kanadanın dövlət orqanları üçün də məcburidir, həmçinin Avropa və Avstraliyada da tanınır.

FIPS 140-2 standartında kriptoqrafik modul dedikdə təsdiqlənmiş təhlükəsizlik funksiyalarını (kriptoqrafik alqoritmlər, kriptoqrafik açarların generasiyası və paylanması, autentikasiya daxil olmaqla) realizə edən və aşkar müəyyən edilmiş kəsilməz perimetrin hüdudlarında yerləşmiş aparat və/və ya proqram komponentlərin məcmusu başa düşülür. Bu standartda məxfi olmayan, məhdud icazəli informasiyanın mühafizəsi üçün nəzərdə tutulmuş kriptoqrafik modullara baxılır. FIPS 140-2 standartında kriptoqrafik modula təhlükəsizlik tələbləri modulun layihələndirmə və realizə mərhələlərinə aiddir və onlar standartda on bir qrupa bölünür.

FIPS 140-2 standartında kriptoqrafik modulların dörd təhlükəsizlik səviyyəsi müəyyən edilir. Bu səviyyələr kritiklik dərəcəsi müxtəlif olan verilənləri müxtəlif şəraitdə (ciddi qorunan ərazi, ofis, nəzarət edilməyən obyekt) iqtisadi cəhətdən məqsədəuyğun şəkildə mühafizə etməyə imkan verir. Hər səviyyə özündən əvvəlki səviyyəyə bir sıra təhlükəsizlik mexanizmləri əlavə edir, başqa sözlə, səviyyələrdə təhlükəsizlik kumulyativ artır.

FIPS 140-2 standartında Dördüncü səviyyə (Level 4) təhlükəsizliyin ən yüksək səviyyəsidir. Bu səviyyəyə uyğunluğun yoxlanması zamanı sınaq laboratoriyasına sistemi praktik olaraq bütün növ fiziki hücumlara, o cümlədən ştatdankənar xarici şəraitin (elektrik və ya temperatur) istifadəsinə əsaslanan hücumlara məruz qoymağa icazə verilir. Bundan əlavə riyazi modelin verifikasiyası yolu ilə daxili proqram təminatının yoxlanması aparılır. Tətbiq edilən əməliyyat sistemi dördüncüdən (EAL4) aşağı olmayan zəmanətli uyğunluq səviyyəsinə uyğun olmalıdır.

Kriptoqrafik modulların sertifikatlaşdırılması üzrə ilkin və əsas hərəkətlər sənədlərin yoxlanılması (təhlükəsizlik siyasəti, sonlu avtomat modeli, açarların idarə edilməsi sənədi), ilkin kodun analizi (şərh-izahat verilmiş ilkin kod, sonlu avtomat modeli ilə əlaqə) və testetmə (fiziki təhlükəsizlik, elektromaqnit uyarlıq, istismar, alqoritmlərin və təsadüfi ədədlərin generasiyası) işlərindən ibarətdir. Qeyd edək ki, bu işlər paralel aparıla bilər.

FIPS 140-2 standartının praktik istifadəsi zamanı ən böyük çətinliklər fiziki təhlükəsizlik, özünütestetmə, təsadüfi ədədlərin generasiyası, açarların idarə edilməsi və bir sıra hücumların qarşısının alınması mexanizmlərinin yoxlanmasında meydana çıxır.

ABŞ qanunvericiliyinə əsasən bu növ standartlara beş ildən bir yenidən baxılır və bu standartın FIPS 140-3 təkmilləşdirilmiş üçüncü variantının 2013-cü ilin ortalarında təsdiq edilməsi gözlənilirdi.

 Əlaqə:
 Telefon: (994 12) 5104253
 E-poçt: info at sciencecert dot az
2013 © AMEA İnformasiya Texnologiyaları İnstitutu
Saytdakı məlumatlardan istifadə edərkən www.sciencecert.az saytına istinad zəruridir.