보안 규제/국내 규제

FIPS 140-2, FIPS 140-3의 중요성

탈레스 CPL DP 2023. 7. 10. 00:02

FIPS 140

FIPS 140 표준은 NIST(National Institute of Standards and Technology)1에서 정의하고 CMVP(Cryptographic Module Validation Program)2의 일부로 미국과 캐나다에서 관리하는 암호화 모듈에 대한 보안 요구 사항 세트입니다. FIPS 140 인증 모듈은 암호화 키를 보호하고 많은 정부 애플리케이션에 대한 암호화 작업을 수행하는 데 필수입니다. FIPS 140 인증 HSM은 암호화 인프라를 보호할 때 자신감과 신뢰를 제공하기 때문에 다른 많은 국가와 민간 부문, 특히 금융 및 결제 산업에서 사실상의 표준이 되었습니다.

FIPS 140-2는 현재 버전이며 2001년 5월부터 시행되었습니다. 총 4개의 보안 수준과 암호화 제품 설계 및 구현의 11개 영역을 정의합니다. 여기에는 키 관리가 포함됩니다. 인터페이스; 역할; 서비스 및 인증; 및 운영 체제. FIPS 140-2에 대한 자세한 내용은 Landing Securely on Regulatory Compliance with Thales Luna HSMs 블로그 게시물에서 확인할 수 있습니다.

FIPS 140-2란 무엇이며 왜 중요한가요?

FIPS(Federal Information Processing Standard) 140-2는 암호화 하드웨어의 효율성을 검증하기 위한 벤치마크입니다. 제품에 FIPS 140-2 인증서가 있는 경우 미국 및 캐나다 정부에서 테스트하고 공식적으로 검증했음을 알 수 있습니다. FIPS 140-2는 미국/캐나다 연방 표준이지만 FIPS 140-2 준수는 실용적인 보안 벤치마크 및 현실적인 모범 사례로 정부 및 비정부 부문 모두에서 전 세계적으로 널리 채택되었습니다.

조직은 FIPS 140-2 표준을 사용하여 선택한 하드웨어가 특정 보안 요구 사항을 충족하는지 확인합니다. FIPS 인증 표준은 네 가지 증가하는 질적 수준의 보안을 정의합니다.

  • 레벨 1: 생산 등급 장비와 외부에서 테스트된 알고리즘이 필요합니다.

  • 레벨 2: 물리적 변조 증거 및 역할 기반 인증에 대한 요구 사항을 추가합니다. 소프트웨어 구현은 EAL2의 공통 기준에 따라 승인된 운영 체제에서 실행되어야 합니다.

  • 레벨 3: 물리적 변조 방지 및 신원 기반 인증에 대한 요구 사항을 추가합니다. 또한 "중요한 보안 매개변수"가 모듈에 들어오고 나가는 인터페이스 간에 물리적 또는 논리적 분리가 있어야 합니다. 개인 키는 암호화된 형식으로만 들어가거나 나갈 수 있습니다.

  • 수준 4: 이 수준은 물리적 보안 요구 사항을 더욱 엄격하게 만들어 다양한 형태의 환경 공격을 감지하는 경우 장치의 콘텐츠를 삭제하는 무단 변경 기능을 요구합니다.

FIPS 140-2 표준은 기술적으로 레벨 3 또는 4에서 소프트웨어 전용 구현을 허용하지만 검증되지 않은 엄격한 요구 사항을 적용합니다.

많은 조직의 경우 FIPS 140 레벨 3에서 FIPS 인증을 요구하는 것은 효과적인 보안, 운영 편의성 및 시장에서의 선택 사이에서 적절한 절충안입니다.

FIPS 140-3은 무엇이며 왜 중요한가?

FIPS 규정 준수는 민감한 정보를 저장하거나 수집하는 모든 규제 산업에서 일하는 데 매우 중요합니다. Thales는 그 중요성을 인식하고 FIPS 140-3을 정의하는 데 도움이 되는 포럼 및 작업 그룹에 적극적으로 참여했습니다. 예를 들어 CMVP의 개선 사항을 식별하는 데 도움을 주기 위해 실험실, 공급업체 및 CMVP 간에 설립된 그룹인 암호화 모듈 사용자 포럼(CMUF)이 있습니다. 문서를 개발하고 자세한 테스트 요구 사항을 ISO 24759에 매핑합니다.

FIPS 140-3은 2019년 3월 상무부 장관의 승인을 받은 업데이트된 FIPS(Federal Information Processing Standard)입니다. 암호화 모듈을 인증하는 새로운 보안 표준을 정의합니다.

탈레스:

  • 2001년 FIPS 140-1에서 FIPS 140-2로 업데이트
  • 하드웨어 보안 모듈(HSM)에 대한 FIPS 140-2 레벨 3 검증을 달성한 최초의 회사
  • 가장 많은 NIST FIPS 검증을 받은 HSM 벤더입니다.

따라서 Thales를 사용하면 이 미래 FIPS 표준을 탐색하고 이해할 수 있습니다.

FIPS 140-3 보안 요구사항

  • ISO/IEC 19790:2012

암호화 모듈에 대한 보안 요구 사항

ISO/IEC 19790:20123은 컴퓨터 및 통신 시스템의 민감한 정보를 보호하는 보안 시스템 내에서 사용되는 암호화 모듈에 대한 보안 요구 사항을 나열합니다. 이 국제 표준은 광범위한 데이터 민감도(예: 가치가 낮은 관리 데이터, 백만 달러 자금 이체, 생명 보호 데이터, 개인 신원 정보 및 정부에서 사용하는 민감한 정보)를 제공하기 위해 암호화 모듈에 대한 네 가지 보안 수준을 정의합니다. 애플리케이션 환경(예: 보호 시설, 사무실, 이동식 미디어 및 완전히 보호되지 않은 위치).

  • ISO/IEC 24759:2017

암호화 모듈에 대한 테스트 요구 사항

ISO/IEC 24759:20174는 인증된 실험실에서 암호화 모듈이 ISO/IEC 19790:2012에 지정된 요구 사항을 준수하는지 여부를 테스트하는 데 사용할 방법을 지정합니다. 이 방법은 테스트 프로세스 중에 높은 수준의 객관성을 제공하고 테스트 실험실 전체에서 일관성을 보장하기 위해 개발되었습니다.

FIPS 140-2와 FIPS 140-3의 차이점

FIPS 140-3 특별 간행물5에는 다음과 같은 다양한 요구 사항에 대한 정보가 포함되어 있습니다. 선적 서류 비치; 보안 정책; 보안기능; 보안 매개변수 입증; 비침습적 공격 완화. 이러한 변경 사항 중 많은 부분이 아직 완료되지 않았지만 더 흥미로운 변경 사항은 다음과 같습니다.

엄격한 무결성 테스트 요구 사항:

  • 레벨 2 모듈은 디지털 서명 또는 HMAC(해시 기반 메시지 인증 코드)를 사용하여 소프트웨어/펌웨어 무결성 테스트를 제공해야 합니다.
  • 레벨 3 및 레벨 4 모듈은 디지털 서명만을 사용하여 무결성을 제공해야 합니다.

새로운 필수 서비스 -- 유효성 검사 레코드/인증서에 매핑할 수 있는 모듈 이름/식별자 및 버전 출력

키 초기화 필요 - 공개 키를 포함하여 모든 수준에서 보호되지 않은 모든 "민감한 보안 매개변수"(SSP)에 대해 키 초기화가 필요합니다.

  • 레벨 2+는 제로화 프로세스가 완료되면 상태 표시기가 필요합니다.
  • 보호되지 않는 SSP의 제로화는 여전히 레벨 1에서만 절차적으로 수행할 수 있습니다.

역할, 서비스 및 인증 – 예를 들어 암호 크기 제한과 같이 암호화 모듈의 구현(정책, 규칙 등을 통해서가 아님)에 의해 충족되어야 합니다.

비침습적 보안 – 모듈의 하드웨어 및 펌웨어 구성 요소에 필요하며 수정 가능한 운영 환경에서 작동하는 소프트웨어 모듈에는 선택 사항이며 모듈은 비침습적 공격 목록으로부터 보호해야 합니다.

수명 주기 보증 -- 공급업체 테스트 -- 공급업체는 유효성 검사 랩 테스트 외에도 모듈에 대한 자체 테스트를 수행해야 합니다.

운영 환경 -- 소프트웨어 모듈은 레벨 2 요구 사항을 충족하기 위해 CC(Common Criteria) 평가 OS 또는 '신뢰할 수 있는 운영 체제'에서 더 이상 작동할 필요가 없지만 이러한 레벨 2 수정 가능한 운영 환경에는 감사 메커니즘이 필요합니다.

CMVP는 2020년 9월 22일부터 FIPS 140-3 제출을 수락하기 시작합니다. 2021년 9월 22일 이후에는 FIPS 140-3 제출만 수락됩니다.

이에 대한 더 자세한 자료가 필요하시면, 언제든지 탈레스에 연락주십시오.

 

Thales DIS CPL소개

오늘날의 기업은 클라우드, 데이터, 소프트웨어를 활용하여 비즈니스의중대한 결정을 내립니다. 전 세계 유수의 브랜드와 기업들이 클라우드와 데이터 센터에서 디바이스, 네트워크에 이르는 모든 곳에서 생성, 공유 및 저장되는 민감정보와 소프트웨어에 안전하게 접근하기 위해 탈레스의 솔루션을 활용합니다. 탈레스의 솔루션을 도입한 기업은 안정적으로 클라우드로 이전하면서도 확실하게 데이터 보안 규제를 준수할 수 있습니다. 현재, 매일 수백만 명의 소비자가 사용하는 서비스와 디바이스를 통해 탈레스의 고객들은 보다 큰비즈니스 가치를 창출하고 있습니다.

https://cpl.thalesgroup.com/ko

 

탈레스 소개

귀하의 데이터를 보호하는 기업들은 탈레스를 통해 자신들의 데이터를 보호합니다. 데이터 보안에 대해 중요한 결정을 내려야 하는 순간이 증가하고 있습니다. 암호화 전략을 수립하거나, 클라우드로 데이터를 이전하거나, 규제 준수 요구사항을 충족시켜야 하는 모든 순간에 탈레스를 믿고 찾아주십시오. 탈레스는 귀하의 안전한 디지털 트랜스포메이션을 지원합니다.