FIPS 140-3: Testen von Kryptomodulen & Kryptoalgorithmen

Jetzt Kontakt aufnehmen

Ihr Kryptoprodukt nach FIPS 140-3 geprüft

Möchten Sie Produkte mit Verschlüsselungskomponenten in den USA vertreiben, benötigen Sie in der Regel eine Zertifizierung nach FIPS 140-3. Das Zertifikat be­scheinigt, dass ein kryptografisches Modul spezifische Sicherheitsanfor­de­rungen erfüllt und durch einen unabhängigen Dritten auf deren Einhaltung getestet wurde.

Unsere Expert:innen prüfen Ihre Kryptoalgorithmen und kryptografischen Module nach dem internationalen Standard FIPS 140-3. Dabei ist unser Testlabor das einzige in Deutschland, das vom National Institute of Standards and Technology (NIST, USA) für die Prüfung und Validierung gemäß FIPS PUB 140-3 zugelassen ist.
  

  Erfüllung der Anforderungen an Kryptografiemodule

Eine unabhängige Validierung nach FIPS 140-3 zeigt, dass Ihr Produkt die speziellen Anforderungen an kryptografische Module erfüllt.
 

  Erhöhtes Vertrauen & Wettbewerbsvorteile

Mit einer Validierung belegen Sie, dass Sie die obligato­rischen Anforderungen an die Verarbeitung sensibler, aber nicht klassifizierter (SBU) Informationen erfüllen.
 

  Demonstration Ihres Engagements für Cybersicherheit 

Sie demonstrieren Ihr Cybersicherheits-Engagement sowie Ihre Fähigkeit, Kun­den bei der Gewährleistung eines hohen Maßes an Systemsicherheit zu unterstützen.
 

Was ist FIPS 140-3?

FIPS (Federal Information Processing Standard) 140-3 ist ein vom Na­tional Institute of Standards and Technology (NIST) der USA entwickelter Standard, der grundlegende Anforderungen an kryptografische Produkte festlegt.

Er ist für alle US-Bundesorganisationen und -behörden verbindlich, die auf Kryptografie basierende Sicherheitssysteme zum Schutz sensibler Daten einsetzen. Daher sollte der Standard bereits bei der Entwicklung und Implementierung von kryptografischen Modulen zugrunde gelegt werden.

FIPS 140-3 hat sich zu einer weltweiten De-facto-Norm entwickelt und kommt in unterschiedlichen Branchen, wie beispielsweise dem Finanzsektor oder dem Gesundheitswesen, zum Einsatz. Die Norm enthält 4 qualitativ ansteigende Sicherheitsstufen, die ein breites Spektrum an möglichen Anwendungen und Umgebungen abdecken.

Die 4 Sicherheitsstufen (Security Level) nach FIPS 140-3:

Level 1

Verwendung & korrekte Imple­men­tierung von mindestens einem zugelassenen Verschlüsse­lungs­algorithmus

Grundlegende Sicherheitsanfor­de­rungen auf Firmware- oder Softwareebene, um unbefugten Zugriff zu verhindern

Level 2

Anforderungen aus Level 1

+ Verwendung einer rollen­basierten Authentifizierung

+ Implementierung physischer Sicherheitsmechanismen

+ Nutzung eines Mechanismus zur Erkennung von Manipulationen

Level 3

Anforderungen aus Level 2

+ Verwendung einer identitäts­basierten Authentifizierung

+ Umsetzung physischer Mani­pu­lationssicherheit & widerstands­fähiges Gehäuse/Beschichtung

+ Mechanismus zur Erkennung von und Reaktion auf Spannungs- bzw. Temperaturabweichungen 

Level 4

Anforderungen aus Level 3

+ Verwendung einer Multi-Faktor-Authentifizierung

+ Umsetzung physischer Sicherheitsmechanismen gegen anspruchsvollste Angriffe

Ihre Vorteile auf einen Blick

Unabhängiger Nachweis über IT-Sicherheit
Eine Zertifizierung nach FIPS 140-3 belegt, dass Sie die kryp­to­grafischen Sicherheitsstandards ernst nehmen & erfüllen.
 

Erfüllung gesetzlicher Anforderungen
Mit einer Zertifizierung nach FIPS 140-3 erfüllen Sie die Min­dest­anforderungen an kryptografische Module des Infor­ma­tion Technology Management Reform Acts. 
 

Zugang zum US-amerikanischen & kanadischen Markt
Ein FIPS 140-3-Zertifikat ist für viele staatliche Anwen­dungen in den USA & Kanada, aber auch darüber hinaus, verbindlich. 

Identifizierung von Schwachstellen
Im Rahmen einer Prüfung decken Sie bestehende Sicherheitslücken & Optimierungspotenziale auf. 
 

Schutz sensibler, nicht klassifizierter Informationen
Sie weisen nach, dass Sie sensible, nicht klassifizierte Informationen besonders & erfolgreich schützen.
 

Erhöhtes Vertrauen bei Anwender:innen
Ein auf IT-Sicherheit getestetes Produkt führt zu einem höhe­ren Vertrauen bei Anwender:innen & Wettbewerbsvorteilen. 
 

Unsere Leistungen zu FIPS 140-3


Workshop zur Vorvalidierung

 Überblick über die Anforderungen & den Prozess 

 Bewertung der Zertifizierungsreife

 Identifizierung erforderlicher Modul-Updates

 Überprüfung der ESV-Anforderungen, falls erforderlich

  


Validierungsprüfung von Kryptoalgo­rithmus-Implementierungen (CAVP)

 Rein funktionale Prüfung Ihrer Krypto-Implementierung (nur für "Approved Functions")

 Koordinierung mit CAVP (CAVP-Zertifikate als Voraussetzung für eine vollständige Modulvalidierung)

  


Validierungsprüfung von kryptografischen Modulen (CMVP)

 Vollständige Prüfung funktionaler Anforderungen

 Überprüfung der Dokumentation

 Umfangreiche Prüfung des Quellcodes

 Physische Prüfung (je nach Modultyp & angestrebtem Sicherheitslevel)

■ Koordinierung mit CMVP


Entropie-Validierungstests (ESV)

 Prüfung aller Typen von Entropiequellen 
- NIST SP800-90B: Nicht-deterministische Zufallsbit-Generatoren (NRBGs)

 Koordinierung mit CMVP

  


Ergänzende Dienstleistungen

 Gap-Analysen

Workshop zur Dokumentation

 Unterstützung nach der Validierung

 Aufrechterhaltung der Zertifizierung

  


"FIPS Inside"

 Verifizierung der Verwendung eines validierten kryptografischen Moduls

 Kurzfristige Validierung von kryptografischen Modulen (anwendbar, wenn keine zusätzlichen Sicherheitsdienste implementiert sind & validiert werden müssen)

 Analyse der Erfüllung der Anforderungen

Weitere Informationen auf der offiziellen NIST-Seite.


  

Der Weg zum FIPS-Zertifikat

1.

Beauftragung

Sie beauftragen TÜVIT als akkreditierte Prüfstelle für Cryptographic & Security Testing mit der Prüfung nach FIPS 140-3.

2. 

Prüfung der Implementierung

Nachdem Sie uns das zu prüfende Modul zur Ver­fügung gestellt haben, führen unsere Expert:innen einen Konfor­mitätstest durch & erstellen einen Testbericht. 

3. 

Überprüfung durch CMVP

Im nächsten Schritt reichen wir den Testbericht sowie weitere benötigte Unterlagen beim CMVP ein, die dann durch zugewiesene CMVP-Prüfer:innen beurteilt werden. 

4. 

Abstimmung TÜVIT & CMVP

Unsere Expert:innen gehen mit dem CMVP in den Austausch & erhalten eine Rückmeldung in Bezug auf den Testbericht.

5. 

Erfolgreiche Validierung

Abschließend bestätigt das CMVP die erfolgreiche Prüfung Ihres Kryptomoduls nach FIPS 140-3. 

CMVP, CAVP & ESV im Überblick

Cryptographic Module Validation Program (CMVP)

 

Das CMVP bietet eine Zertifizierung durch Validie­rungs­tests der funktionalen Anforderungen und der Herstellerdokumentation, Quellcode­untersuchungen & -prüfungen sowie – je nach Modultyp und angestrebter Sicherheitsstufe – physische Tests.

Im Rahmen des Programms können 5 verschiedene Modultypen zertifiziert werden:

 Hardware-Module
 Software-Module
 Firmware-Module
 Hybrid-Software-Module
 Hybrid-Firmware-Module

Cryptographic Algorithm Validation Program (CAVP)

 

CAVP beinhaltet Validierungstests für zugelassene (d.h. FIPS-zugelassene und NIST-empfohlene) kryptografische Algorithmen sowie ihre einzelnen Komponenten. CAVP kann dabei nur für die Prüfung von Algorithmen herangezogen werden, ist jedoch obligatorisch und der erste Schritt einer kryptografischen Modulvalidierung nach CMVP.

Entropy Source Validation (ESV)


Die Validierung der Entropiequelle ist ein neuer Bereich im Rahmen des Cryptographic Module Validation Program, der vom NIST bereitgestellt wird. Die Prüfung ist erforderlich, wenn ein Modul über eine eigene Entropiequelle verfügt. 

Entsprechende Validierungstests dürfen nur von NIST/NVLAP-akkreditierten Prüflaboren – wie TÜVIT – durchgeführt werden. 

Häufig gestellte Fragen (FAQ):

Wie lange dauert eine FIPS 140-3-Zertifizierung?

Bei einer Modulvalidierung im Rahmen von CMVP dauert es – je nach Sicherheitsstufe (und den damit verbundenen Tests)  in der Regel 4-8 Monate, bis der Bericht bei CMVP eingereicht werden kann.

Was ist ein Modultyp?

Der FIPS 140-3-Standard definiert 5 verschiedene Modultypen, die im Rahmen des CMVP-Programms zertifiziert werden können: Hardware-, Software-, Firmware-, Hybrid-Software- oder Hybrid-Firmware-Module.

Was ist eine Implementation Guidance (IG)?

Eine Implementation Guidance enthält verbindliche Interpretationen der Norm, der abgeleiteten Testanforderungen und der referenzierten kryptografischen Standards und muss vom Anbieter berücksichtigt werden.

Was ist eine Betriebsumgebung (OE)?

Die OE ist die Gesamtheit von Software und Hardware, einschließlich eines Betriebssystems, die für den sicheren Betrieb des Moduls erforderlich ist.

Was ist eine physische Sicherheitskomponente?

Physische Sicherheitskomponenten sind physische Darstellungen von kryptografischen Modulen. Sie können als Einzelchip (ein einzelner integrierter Schaltkreis) als eigenständiges Gerät verwendet werden oder in ein Gehäuse oder ein Produkt eingebettet sein, das möglicherweise nicht physisch geschützt ist. Beispiele hierfür sind einzelne IC-Chips oder Chipkarten mit einem einzelnen IC-Chip.

Eingebettete kryptografische Module mit mehreren Chips sind physische Komponenten, bei denen zwei oder mehr IC-Chips miteinander verbunden sind und die in ein Gehäuse oder ein Produkt eingebettet sind, das möglicherweise nicht physisch geschützt ist. Beispiele hierfür sind Adapter und Erweiterungskarten.

Eigenständige kryptografische Module mit mehreren Chips sind physische Komponenten, bei denen zwei oder mehr IC-Chips miteinander verbunden sind und das gesamte Gehäuse physisch geschützt ist. Beispiele hierfür sind verschlüsselnde Router, sichere Funkgeräte oder USB-Tokens.

Interessiert an einer Validierung & Zertifizierung nach FIPS 140-3?

  

Jetzt Kontakt aufnehmen

Warum wir ein starker Partner für Sie sind

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Expertise

Das TÜVIT-Prüflabor ist das einzige in Deutschland, das vom National Institute of Standards and Technology (NIST, USA) für die Prüfung & Validierung nach FIPS PUB 140-3 zugelassen ist.

Internationales Expertennetzwerk

Rund um den Globus: Wir sind international tätig & akkreditiert – nicht nur für FIPS 140-3, sondern auch für viele weitere Zertifizierungsprogramme.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

 

Sie haben Fragen? Wir helfen gerne!

  

Dr.-Ing. Alexander Schasse

+49 201 8999-564
fips@tuvit.de

  

Weitere Themen

Prüfstelle für IT-Sicherheit

Hard- und Software - geprüfte Sicherheit aus einer Hand: TÜVIT gehört weltweit mit seiner Prüfstelle für IT-Sicherheit zu den führenden Prüfdienstleistern für IT-Produkte und -Systeme. Die Prüfstelle ist seit 1991 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt und von der Deutschen Akkreditierungsstelle (DAkkS) nach der DIN EN ISO/IEC 17025 akkreditiert.
Weiterlesen

Common Criteria

Weltweit anerkannte Sicherheitsprüfungen für IT-Produkte, -Komponenten und -Systemen: TÜVIT ist mit mehr als 50 lizenzierten Prüfern und weit mehr als 600 erfolgreich durchgeführten Evaluationen eine der weltweit größten und erfahrensten Prüfstellen für Common Criteria.
Weiterlesen

Hardware

Hardware-Tests für mehr Sicherheit: Zum Schutz von sensiblen Daten werden Hardware-Sicherheitsmodule und Produkte basierend auf Chipkarten-Technologie eingesetzt. TÜVIT prüft diese IT-Produkte gemäß anerkannten internationalen Sicherheitsstandards und führt im eigenen Hardware-Testlabor die erforderlichen Penetrationstests durch.
Weiterlesen

Software

Prüfung der IT-Sicherheit von Software: TÜVIT evaluiert bereits im Erstellungsproezss und über den gesamten Lebenszyklus hinweg IT-Sicherheitseigenschaften von Softwareprodukten nach den Common Criteria.
Weiterlesen

Site Certification

Standortabnahmen für Produktions- und Entwicklungsumgebungen: Bei der Zertifizierung von IT-Produkten nach Common Criteria oder EMVCo, sind Audits von Entwicklungs- und Produktionsumgebungen ein fester Bestandteil des Evaluierungsprozesses. TÜVIT führt wir die Audits durch, die als Grundlage für die Zertifizierung dienen.
Weiterlesen

Technische Richtlinien des BSI

Sicherheit für hoheitliche Anwendungen und Gesundheitsdaten: TÜVIT ist als Prüfstelle für Technische Richtlinien (TR) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt.
Weiterlesen

Zahlungsverkehr EMVCo

Komponenten, die im elektronischen Zahlungsverkehr eingesetzt werden, müssen spezielle Sicherheitsstandards erfüllen und benötigen entsprechende Zulassungen. Für diese Aufgabe steht TÜVIT als akkreditierter Sicherheitsgutachter zur Verfügung.
Weiterlesen

FIDO

Als von der FIDO-Allianz akkreditiertes Sicherheitslabor ist TÜVIT dazu berechtigt, Authenticator-Prüfungen nach den FIDO-Sicherheitsstandards durchzuführen. Wir bieten Herstellern Prüfdienstleistungen im Hinblick auf unterschiedliche Sicherheits-Level an.
Weiterlesen

GSMA NESAS

TÜVIT führt Security Assessments nach dem NESAS-Standard entlang des gesamten Produkt Lebenszyklus Prozesses durch. Damit bieten wir Netzwerkausrüstern ein vollständiges Audit- und Prüfportfolio aus einer Hand.
Weiterlesen