FIPS PUB 140-3 ist der de facto Standard zur Prüfung von Kryptomodulen. Mit dessen Einhaltung und Zertifizierung werden Anforderungen von US-amerikanischen und kanadischen Behörden erfüllt. Daher benötigen IT-Hersteller, die Produkte mit Verschlüsselungskomponenten in den USA vertreiben wollen, in der Regel eine Zertifizierung nach FIPS 140-3. Das Testlabor von TÜVIT ist das einzige in Deutschland, das vom National Institute of Standards and Technology (NIST, USA) für die Prüfung und Validierung gemäß FIPS PUB 140-3 zugelassen ist.
Seit 2005 FIPS-140-3-Prüfstelle
In US-Behörden genutzte Kryptoprodukte müssen gemäß FIPS 140-3 zertifiziert sein. Aber nicht nur dort ist eine Validierung bzw. Zertifizierung nach dem US-Standard gefragt, dies ist auch der Fall bei Banken, da dort kritische Daten kryptografisch geschützt werden müssen. Kryptografische Mechanismen werden in immer mehr IT-Produkten eingesetzt. Oft sind neben den klassischen Hardware-Sicherheitsmodulen Speichermedien mit Hardware-Verschlüsselung, Software-Module, VPN-Lösungen oder auch Smart Cards nach FIPS 140-3 zertifiziert. Dabei geht es nicht nur um die Sicherheitsanforderungen an kryptografische Algorithmen, sondern auch um die physische Sicherheit.
TÜVIT ist bereits seit 2005 Ansprechpartner für Unternehmen, die ihre Algorithmen-Implementierungen und Kryptomodule nach FIPS PUB 140-3 testen und zertifizieren lassen wollen. Je nach Sicherheitsbedarf können Unternehmen zwischen vier Sicherheitsstufen (Security Level) wählen, wogegen das Kryptomodul getestet wird.
Unsere Leistungen im Überblick
- Validierungstests an Implementierungen von kryptografischen Algorithmen mit dem Ziel einer Zertifizierung bei CAVP (Cryptographic Algorithm Validation Program)
- Validierungstests an Kryptomodulen (Hardware, Firmware, Software oder hybrid) gemäß FIPS PUB 140-3 mit dem Ziel einer Zertifizierung bei CMVP (Cryptographic Module Validation Program)
- Vorvalidierungs-Workshops zur Klärung, inwieweit ein bestehendes oder geplantes Kryptomodul die Anforderungen erfüllt bzw. welche Änderungen vorgenommen werden müssen
- Projektberatung und Dokumentenerstellung
- darüber hinaus bieten wir Seitenkanalanalysen, da FIPS 140-3 keine Schwachstellenanalysen vorsieht
Ihre Vorteile auf einen Blick
- Prüfung und Validierung nach dem US-Standard FIPS 140-3 durch einen deutschen Anbieter
- Persönliche Kommunikation bei Ihnen vor Ort
- Übernahme der Kommunikation mit Zertifizierungsstelle in USA/Kanada
- Betreuung durch die einzige zugelassene FIPS 140-3-Prüfstelle in Deutschland (NVLAP Lab Code: 200636-0)
- Sie profitieren von einer mehr als zehnjährigen Erfahrung mit FIPS 140-3 Validierungen
- Leistungen, die über die eigentliche Zertifizierung hinaus gehen (zum Beispiel Seitenkanalanalysen)
- Einhaltung der regulatorischen Anforderungen durch Compliance-Testing (hohe Relevanz u.a. im Kartenbereich, im Zahlungsverkehr und Banksektor)