Testen von Kryptomodulen und Kryptoalgorithmen nach FIPS 140-3

FIPS PUB 140-3 ist der de facto Standard zur Prüfung von Kryptomodulen. Mit dessen Einhaltung und Zertifizierung werden Anforderungen von US-amerikanischen und kanadischen Behörden erfüllt. Daher benötigen IT-Hersteller, die Produkte mit Verschlüsselungskomponenten in den USA vertreiben wollen, in der Regel eine Zertifizierung nach FIPS 140-3. Das Testlabor von TÜVIT ist das einzige in Deutschland, das vom National Institute of Standards and Technology (NIST, USA) für die Prüfung und Validierung gemäß FIPS PUB 140-3 zugelassen ist.

 

Seit 2005 FIPS-140-3-Prüfstelle

In US-Behörden genutzte Kryptoprodukte müssen gemäß FIPS 140-3 zertifiziert sein. Aber nicht nur dort ist eine Validierung bzw. Zertifizierung nach dem US-Standard gefragt, dies ist auch der Fall bei Banken, da dort kritische Daten kryptografisch geschützt werden müssen. Kryptografische Mechanismen werden in immer mehr IT-Produkten eingesetzt. Oft sind neben den klassischen Hardware-Sicherheitsmodulen Speichermedien mit Hardware-Verschlüsselung, Software-Module, VPN-Lösungen oder auch Smart Cards nach FIPS 140-3 zertifiziert. Dabei geht es nicht nur um die Sicherheitsanforderungen an kryptografische Algorithmen, sondern auch um die physische Sicherheit.

TÜVIT ist bereits seit 2005 Ansprechpartner für Unternehmen, die ihre Algorithmen-Implementierungen und Kryptomodule nach FIPS PUB 140-3 testen und zertifizieren lassen wollen. Je nach Sicherheitsbedarf können Unternehmen zwischen vier Sicherheitsstufen (Security Level) wählen, wogegen das Kryptomodul getestet wird.

Unsere Leistungen im Überblick

  • Validierungstests an Implementierungen von kryptografischen Algorithmen mit dem Ziel einer Zertifizierung bei CAVP (Cryptographic Algorithm Validation Program)
  • Validierungstests an Kryptomodulen (Hardware, Firmware, Software oder hybrid) gemäß FIPS PUB 140-3 mit dem Ziel einer Zertifizierung bei CMVP (Cryptographic Module Validation Program)
  • Vorvalidierungs-Workshops zur Klärung, inwieweit ein bestehendes oder geplantes Kryptomodul die Anforderungen erfüllt bzw. welche Änderungen vorgenommen werden müssen
  • Projektberatung und Dokumentenerstellung
  • darüber hinaus bieten wir Seitenkanalanalysen, da FIPS 140-3 keine Schwachstellenanalysen vorsieht

Ihre Vorteile auf einen Blick

  • Prüfung und Validierung nach dem US-Standard FIPS 140-3 durch einen deutschen Anbieter
  • Persönliche Kommunikation bei Ihnen vor Ort
  • Übernahme der Kommunikation mit Zertifizierungsstelle in USA/Kanada
  • Betreuung durch die einzige zugelassene FIPS 140-3-Prüfstelle in Deutschland (NVLAP Lab Code: 200636-0)
  • Sie profitieren von einer mehr als zehnjährigen Erfahrung mit FIPS 140-3 Validierungen
  • Leistungen, die über die eigentliche Zertifizierung hinaus gehen (zum Beispiel Seitenkanalanalysen)
  • Einhaltung der regulatorischen Anforderungen durch Compliance-Testing (hohe Relevanz u.a. im Kartenbereich, im Zahlungsverkehr und Banksektor)
Dr.-Ing. Alexander Schasse IT Security

Weitere Themen