FIPS-nalevingsvereisten Overzicht
Wat zijn de vereisten voor FIPS-naleving en hoe verhouden FIPS, NIST en FISMA zich tot elkaar? We hebben alle belangrijke punten behandeld voor een volledig FIPS-overzicht.
Waar staat FIPS voor? FIPS staat voor Federal Information Processing Standards, en het is een programma onder toezicht van NIST en het Department of Commerce dat specifieke beveiligingsnormen vereist voor gegevens en encryptie.
Wat zijn FIPS en waarom zijn ze belangrijk voor cyberbeveiliging?
Federal Information Processing Standards (FIPS) zijn beveiligingsnormen voor federale en defensiegerelateerde cyberbeveiligingsnaleving, met een specifieke focus op gegevensencryptie.
Encryptie is een noodzakelijk onderdeel van vrijwel elk cyberbeveiligingsframework, waaronder het National Institute of Standards and Technology Cybersecurity Framework (NIST CSF), en dat is niet anders voor overheidsinstanties en hun aannemers. Encryptie, waaronder encryptie van e-mail, beschermt gegevens tegen ongeautoriseerde inzage, zowel in rust als onderweg, en dient als een van de belangrijkste verdedigingslinies tegen datadiefstal.
Organisaties die encryptie implementeren, mogen geen verouderde of gecompromitteerde algoritmen gebruiken die gegevens niet effectief beschermen. Om moderne, effectieve encryptie te ondersteunen voor beschermde gegevens die door overheidsinstanties en zelfs particuliere organisaties worden gebruikt, heeft de Amerikaanse overheid deze normen voor algemeen gebruik verspreid. Deze normen richten zich op diverse onderwerpen, met name encryptie en cryptografie, en staan onder toezicht van het National Institute of Standards and Technology (NIST). Deze regelgeving vervult een essentiële rol door leemtes op te vullen voor encryptienormen wanneer er geen acceptabele industriestandaarden zijn voor een specifieke toepassing.
Zijn deze regels altijd vereist voor overheidsinstanties? Niet per se. Sommige federale nalevingsstandaarden bevatten geen enkele verwerkingsstandaard, terwijl andere er meerdere kunnen bevatten. Bovendien zijn deze normen beschikbaar voor iedereen, en vaak nemen particuliere organisaties deze normen over, bovenop hun eigen branchevereisten.
Hoe worden FIPS ontwikkeld en onderhouden?
De ontwikkeling en het onderhoud van Federal Information Processing Standards (FIPS) volgen een gestructureerde levenscyclus onder beheer van het National Institute of Standards and Technology (NIST), onder het gezag van de Secretary of Commerce.
Het proces begint met het identificeren van de behoefte aan een standaard, vaak gedreven door federale vereisten, opkomende technologieën of veranderende beveiligingsdreigingen. NIST publiceert vervolgens doorgaans een voorstel of conceptstandaard, waarna een openbare commentaarperiode volgt waarin feedback wordt verzameld van federale instanties, branchepartijen, academici en het publiek.
Alle ingediende opmerkingen worden beoordeeld en NIST kan het concept daarop aanpassen. Nadat de feedback is verwerkt en is vastgesteld dat de standaard aan de doelstellingen voldoet, publiceert NIST de definitieve FIPS-publicatie. Deze standaarden worden periodiek herzien, doorgaans elke vijf jaar, om relevantie en effectiviteit te waarborgen.
Op basis van deze herziening kan NIST een standaard herbevestigen, herzien of intrekken. Zo werd de Data Encryption Standard (DES), FIPS 46-3, ingetrokken vanwege kwetsbaarheden, terwijl FIPS 140-2 momenteel wordt vervangen door het vernieuwde FIPS 140-3 om aan te sluiten bij internationale standaarden zoals ISO/IEC 19790 en om te voldoen aan moderne cryptografische behoeften.
Inzicht in deze levenscyclus is cruciaal voor organisaties die streven naar langdurige FIPS-naleving, omdat het helpt om veranderingen te anticiperen en technologische stappenplannen dienovereenkomstig op te stellen.
Wie moet FIPS-nalevend zijn?
Organisaties of bedrijven die zich aan de Federal Information Processing Standards (FIPS) moeten houden, zijn doorgaans partijen die vertrouwelijke of gevoelige gegevens verwerken. Dit omvat federale instanties, instellingen die federale financiering ontvangen, en private organisaties die aan specifieke regelgeving moeten voldoen, zoals de Health Insurance Portability and Accountability Act (HIPAA). Andere organisaties kunnen baat hebben bij FIPS-naleving, zoals partijen die persoonlijke informatie verwerken, banken, zorgorganisaties en financiële instellingen.
Wat betekent het om FIPS-nalevend te zijn?
FIPS-naleving betekent dat een product voldoet aan alle noodzakelijke beveiligingsvereisten die door de Amerikaanse overheid zijn vastgesteld voor de bescherming van gevoelige informatie. Om FIPS-nalevend te zijn, moet een product zich houden aan strikte normen, grondige tests doorstaan en gecertificeerd zijn door NIST.
Wat zijn de huidige FIPS-standaarden?
Er zijn momenteel diverse geactualiseerde FIPS in gebruik. Deze FIPS dekken verschillende encryptiestandaarden en kunnen samen of afzonderlijk worden toegepast om encryptienormen te versterken of als onderdeel van grotere nalevingskaders.
Enkele van de huidige FIPS die nu in de praktijk worden gebruikt, zijn onder andere:
FIPS 140-2
Oorspronkelijk gepubliceerd in 2001, is FIPS 140-2 wellicht een van de meest wijdverbreide implementaties van cryptografische controles. Het definieert geschikte niveaus van cryptografie om federale gegevens te beschermen en waarborgt dat cryptografische modules van particuliere organisaties aan die beschermingsniveaus kunnen voldoen. Bovendien verdeelt FIPS 140-2 cryptografische beveiliging in vier afzonderlijke niveaus, elk met toenemende privacy, gegevensisolatie en beheersmaatregelen. Deze standaard verwijst niet naar specifieke encryptie-algoritmen, maar vanwege veranderende beveiligingsuitdagingen moet een geschikt encryptie-algoritme voldoen aan de criteria in het document. Momenteel voldoen AES-128, AES-192 en AES-256 aan de normen.
Vaak wordt in documenten verwezen naar FIPS 140-2-naleving. Dit betekent niet dat een organisatie zelf volledig compliant is, maar dat de cryptografie die een organisatie als onderdeel van haar producten of systemen heeft geïmplementeerd aan de norm voldoet.
FIPS 140-3: Modernisering van cryptografische modulevalidatie
FIPS 140-3 vertegenwoordigt de nieuwste evolutie in standaarden voor het valideren van de effectiviteit van cryptografische modules en vervangt FIPS 140-2. Het belangrijkste doel is om de vereisten van de Amerikaanse overheid nauwer af te stemmen op internationale standaarden, met name ISO/IEC 19790:2012.
Kiteworks biedt FIPS 140-3 Level 1-validatie. Lees meer over Kiteworks en FIPS-gevalideerde encryptie.
Belangrijke wijzigingen ten opzichte van FIPS 140-2 zijn onder meer aangepaste vereisten voor alle beveiligingsniveaus, vernieuwde authenticatiestandaarden en meer nadruk op testen tegen niet-invasieve aanvallen. FIPS 140-3 introduceert ook het concept van “algoritme-agility”, waarmee modules worden aangemoedigd om over de tijd heen over te stappen op nieuwe cryptografische algoritmen.
De overgangsperiode is in volle gang; NIST accepteerde sinds september 2021 geen FIPS 140-2-aanmeldingen meer voor nieuwe validatiecertificaten, hoewel bestaande FIPS 140-2-certificaten tot vijf jaar na validatie actief blijven.
Organisaties die nieuwe oplossingen zoeken waarvoor FIPS-nalevende encryptie vereist is, moeten prioriteit geven aan het selecteren van FIPS 140-3 gevalideerde modules. Voor systemen die momenteel afhankelijk zijn van FIPS 140-2 gevalideerde producten, moeten organisaties plannen maken om te migreren naar FIPS 140-3 gevalideerde alternatieven voordat de relevante 140-2-certificaten verlopen om FIPS-naleving te behouden.
Hoe word je FIPS 140-2-nalevend?
Om FIPS 140-2-nalevend te worden, moeten organisaties beveiligingsproducten en -diensten op basis van cryptografie gebruiken die zijn gevalideerd als nalevend met de specifieke vereisten die door NIST zijn vastgesteld. Dit geldt voor aangeschafte producten en diensten, maar ook voor intern ontwikkelde oplossingen. Daarnaast moeten organisaties effectieve beveiligingsbeleid en procedures onderhouden en uitsluitend goedgekeurde cryptografische algoritmen en cryptografische sleutels gebruiken. Tot slot moeten ze voldoen aan toepasselijke overheidsvoorschriften en wetten die relevant zijn voor hun specifieke sectoren.
Onlangs is FIPS 140-3 goedgekeurd. Deze wordt echter nog geïmplementeerd in overheidsomgevingen, waardoor FIPS 140-2 nog steeds de standaard is waarnaar het meest wordt verwezen in nalevingsdocumenten.
FIPS 180-4
FIPS 180-4, oorspronkelijk gepubliceerd in 2008 en recent bijgewerkt in 2015, specificeert geschikte hash-algoritmen om digests van berichten te ontwikkelen. In cryptografie is een “digest” een alfanumerieke reeks die wordt gecreëerd door een stukje informatie te hashen. Deze digest is uniek voor de betreffende inhoud en verandert alleen als de kerninhoud verandert. Deze digests zijn van cruciaal belang voor het waarborgen van de integriteit van verzonden informatie.
FIPS 186-4
Gepubliceerd in 2013, definieert FIPS 186-4 een reeks algoritmen voor het ontwikkelen van digitale handtekeningen. Net als bij hashing kunnen digitale handtekeningen helpen om te verifiëren dat gegevens niet zijn gewijzigd. Daarnaast kunnen handtekeningen ook worden gebruikt om de identiteit van de afzender te verifiëren. Deze publicatie definieert handtekeningalgoritmen met drie technieken: Digital Security Algorithm (DSA), Elliptic Curve Digital Signature Algorithm (ECDSA) en Rivest–Shamir–Adleman (RSA).
FIPS 197
FIPS 197 definieert de Advanced Encryption Standard (AES). AES gebruikt symmetrische blokcijfertechnieken voor encryptie met de mogelijkheid om cryptografische sleutels van diverse groottes (128, 192 en 256 bits) te genereren. Grotere cryptografische sleutels komen overeen met meer complexe encryptiestandaarden. AES-encryptiestandaarden worden beschouwd als FIPS 140-2-nalevend en zijn meer dan geschikt voor veel nalevingsvereisten in de private sector.
FIPS 198-1
Gepubliceerd in 2008, definieert FIPS 198-1 een hash-sleutelauthenticatiemethode waarbij gedeelde geheime sleutels worden gebruikt, genaamd message authentication codes, samen met cryptografische hashfuncties, de zogeheten hash message authentication codes.
FIPS 199
FIPS 199 is een publicatie uit 2004 die bepaalt hoe IT-experts en technologieleiders federale systemen moeten organiseren op basis van hun relatieve niveaus van vereiste vertrouwelijkheid, integriteit en beschikbaarheid. De impactniveaus bepalen hoe kritiek de informatie in deze systemen is en hoe schadelijk het verlies van die gegevens zou zijn voor instanties en betrokkenen. FIPS 199 verdeelt informatiesystemen in lage, matige en hoge impactniveaus, elk met toenemende beveiligingsvereisten. Andere frameworks, zoals FedRAMP, zijn afhankelijk van FIPS 199 voor hun eigen nalevings- en beveiligingsniveaus.
FIPS 200
FIPS 200 is een publicatie uit 2006 die SP 800-26 vervangt en minimale beveiligingsvereisten definieert voor overheidsinstanties onder de Information Technology Management Reform Act van 1996 (FISMA). Het dient als basis, samen met NIST SP 800-53, voor nationale cyberbeveiliging, waaronder het Cybersecurity Framework (CSF) en het Risk Management Framework.
FIPS 201-2
Uitgebracht in 2013, is FIPS 201-2 een set standaarden die wordt gebruikt om de identiteit van federale medewerkers en aannemers te verifiëren. Identificatie en authenticatie zijn complexe praktijken, en dit document introduceert vereisten voor onder andere fysieke identificatie, biometrische authenticatie en identiteitsverificatie. Het bevat ook standaarden (of verwijst naar externe standaarden) voor praktijken zoals het beveiligen van authenticatie-informatie.
FIPS 202
FIPS 202 definieert Secure Hash Algorithm 3 voor hashing, digitale handtekeningen en andere cryptografische toepassingen. Dit hash-algoritme vult de Secure Hash Algorithms aan die zijn beschreven in FIPS 180-4 ter ondersteuning van sterke informatieauthenticatie en integriteitsborging.
Deze regels staan niet vast. Naarmate technologie zich ontwikkelt en nieuwe beveiligingsuitdagingen ontstaan, worden standaarden vaak ingetrokken, herzien en vervangen door geavanceerdere standaarden. Zo werd FIPS 46-3 (Data Encryption Standard) in 2005 ingetrokken omdat deze niet langer voldeed aan de minimale vereisten voor federale beveiliging. Als publicaties worden ingetrokken, worden doorgaans nieuwe toegevoegd om de tekortkomingen aan te pakken.
Windows FIPS-modus: implementatieoverwegingen
Windows bevat een optionele beveiligingsinstelling die bekendstaat als “FIPS-modus” of formeel “Systeemcryptografie: gebruik FIPS-nalevende algoritmen voor encryptie, hashing en ondertekening.”
Wanneer deze is ingeschakeld, meestal via Groepsbeleid of een lokale beveiligingsinstelling, beperkt het besturingssysteem en bijbehorende componenten tot het gebruik van uitsluitend cryptografische algoritmen die zijn gevalideerd volgens de FIPS 140-standaarden.
Het is belangrijk te begrijpen dat het inschakelen van deze modus het volledige Windows-systeem niet FIPS 140-gecertificeerd maakt; het zorgt er alleen voor dat specifieke cryptografische bewerkingen die door het besturingssysteem worden uitgevoerd, FIPS-gevalideerde modules gebruiken.
Een veelvoorkomend misverstand is dat deze modus gelijkstaat aan volledige systeem-FIPS-naleving. Het inschakelen van FIPS-modus kan soms compatibiliteitsproblemen veroorzaken met oudere applicaties die afhankelijk zijn van niet-FIPS-goedgekeurde cryptografische algoritmen, wat mogelijk leidt tot uitval van applicaties. Hoewel de prestatie-impact doorgaans minimaal is, kan deze wel optreden.
Organisaties die overwegen FIPS-modus te activeren, vooral in overheids- of sterk gereguleerde omgevingen waar strikte FIPS-beveiliging vereist is, moeten grondige tests uitvoeren op alle kritieke applicaties voordat ze breed worden ingezet. Het moet vooral alleen worden ingeschakeld wanneer dit expliciet door contract of regelgeving wordt vereist, om te waarborgen dat noodzakelijke processen niet onbedoeld worden verstoord.
Wat is het verschil tussen FIPS 140-2 en FIPS 197?
FIPS 140-2 is de standaard voor cryptografische modules die door NIST is vastgesteld. Het bepaalt de beveiligingsvereisten waaraan een cryptografische module moet voldoen om gecertificeerd te worden voor gebruik in bepaalde beveiligde toepassingen. FIPS 197 daarentegen is de specifieke standaard voor de Advanced Encryption Standard (AES), waarin de standaard wordt vastgelegd voor het versleutelen en ontsleutelen van elektronische gegevens met behulp van het AES-algoritme. Het is een subset van FIPS 140-2, bedoeld om slechts één type cipher en de bijbehorende parameters te specificeren.
Wat zijn FIPS-nalevingsvereisten?
De waarheid is dat naleving veel verschillende dingen kan betekenen, en deze kunnen in de loop van de tijd veranderen. In de meeste gevallen verwijzen nalevingskaders met specifieke encryptiestandaarden naar een publicatie. Vrijwel alle overheidsnalevingsstandaarden bevatten bijvoorbeeld één of meer vereisten (vaak FIPS 140-2 en sommige FIPS 199) om verschillende nalevingsniveaus te definiëren.
Naleving geldt vaak alleen voor bepaalde onderdelen van een nalevingskader. Een organisatie hoeft zich mogelijk nooit zorgen te maken over naleving voor zichzelf, maar kan wel op zoek gaan naar technologieleveranciers of producten die aan bepaalde specificaties voldoen. Een bedrijf in een branche waar bepaalde typen encryptie vereist zijn, kan bijvoorbeeld FIPS 140-2-nalevende producten en diensten aanschaffen en gebruiken.
FIPS-nalevend versus FIPS-gecertificeerd
FIPS-nalevend betekent dat een product of systeem voldoet aan de vereisten die in een FIPS-publicatie zijn vastgelegd. De fabrikant van het product of systeem heeft verklaard dat hun product of systeem aan de FIPS-normen voldoet. Er is echter geen onafhankelijke test of verificatie vereist voor een product of systeem om FIPS-naleving te claimen.
FIPS-gecertificeerd daarentegen betekent dat een product of systeem een onafhankelijke test en verificatie heeft ondergaan door een door NIST geaccrediteerd testlaboratorium. Als het product of systeem aan alle vereisten in een FIPS-publicatie voldoet, kan het door NIST worden gecertificeerd als compliant. FIPS-certificering biedt daarom een hoger niveau van zekerheid dat een product of systeem aan de FIPS-normen voldoet.
Overweeg FIPS-naleving en nalevende technologie
FIPS is niet alleen bedoeld voor overheidsinstanties. De technieken en technologieën die in deze documenten worden beschreven, zijn ook nuttig voor particuliere organisaties. Veel organisaties kiezen ervoor om de richtlijnen te volgen om klanten een sterke technologie of IT-infrastructuur te bieden ter bescherming van klantgegevens.
Lees meer over Kiteworks en FIPS-naleving. Wilt u meer weten over hoe Kiteworks FIPS-nalevend is en uitgebreide governance biedt voor content die uw organisatie binnenkomt, verlaat of zich intern verplaatst? Plan dan een demo.