Blog

Connectivity Security

GDPR BLOG #4: To be or not to be… FIPS-certificering

20 jun 2018

In mijn vorige blogs besprak ik de noodzaak en de voordelen van de beveiliging van uw WAN-verbindingen. In deze vierde blog in de GDPR-reeks ga ik dieper in op Federal Information Processing Standard (FIPS)-certificering.

Tom Engels door Tom Engels

FIPS is de meest gangbare standaard voor encryptiecertificering. In wet- en regelgeving wordt vaak verwezen naar FIPS. FIPS 140-2 Level 2 en FIPS-197-certificering worden vaak als eis gesteld in aanbestedingen. FIPS 197 certificeert de kwaliteit van het AES  encryptiealgoritme. FIPS 140-2 evalueert en certificeert de kwaliteit van de encryptiehardware en encryptie-implementatie. Certificering van encryptie-apparatuur wordt uitgevoerd door het Amerikaanse NIST en Canadese CSE.

Het FIPS 140-2 certificatieproces verloopt in een aantal fases. Deze grafiek illustreert de stadia van het FIPS-certificeringsproces:

FIPS certificeringsproces

FASE 1: Implementation Under test

Dit is de eerste stap in een FIPS-certificatieproces. ‘Implementation under test’ betekent dat er een contract bestaat tussen een fabrikant en een erkend certificeringslabo.

Voor een fabrikant en product kan dit twee dingen betekenen:

  1. De module wordt getest door het labo maar is nog niet ter evaluatie aangeboden in het CMVP-programma (CMVP= Cryptographic Module Validation Program).
  2. Het testrapport is ter evaluatie aangeboden aan het CMVP. Het Certificeringslabo (CST) heeft het certificeringsproces on hold

De lijst van fabrikanten en producten in deze status is publiek beschikbaar:
https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Modules-In-Process/IUT-List

Whitepaper AVG WAN verbindingen

FASE 2: Cryptographic Module Validation in Process List

‘CMVP in process’ betekent dat het erkend labo de testdocumenten voor certificatie aangeboden heeft aan het NIST en CSE. Het certificatieproces verloopt dan in vier stappen:

  1. Review pending
  2. In review
  3. Coordination
  4. Finalization

De lijst van fabrikanten en producten in deze status en de stap waarin ze zich bevinden is publiek beschikbaar:
https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Modules-In-Process/Modules-In-Process-List

LET OP: de CMVP Implementation under test en Module in Process List worden vaak misbruikt om compliancy aan te tonen. Vermelding in de lijst biedt geen garantie op certificatie.

Het NIST heeft hierover een heel duidelijke disclaimer op de website:

NIST disclaimer
Bron: csrc.nist.gov

FASE 3: Vermelding in de lijst van gevalideerde modules

De ‘Validated Modules’-lijst vermeldt alle gecertificeerde fabrikanten en modules die onder het CMVP-programma getest en gevalideerd zijn. Daarmee voldoen ze aan de eisen die gesteld worden in FIPS PUB 140-1 of FIPS PUB 140-2.

Ook deze lijst is publiek beschikbaar:
https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Validated-Modules/Search

FIPS gecertificeerde Ciena modules
Tabel: Overzicht van FIPS140-2 gecertificeerde Ciena modules

Conclusie

Certificering is erg belangrijk om te garanderen dat een oplossing veilig is en voldoet aan de gestelde compliancy-eisen. Gebruik dus alleen gecertificeerde oplossingen. Controleer op de website van het NIST of de beoogde encryptie-oplossing gecertificeerd is. Vermelding op de ‘Implementation under test’ of ‘Cryptographic Module Validation in Process List’ bieden geen garantie op certificering. Naast de FIPS 140-2 certificering is ook het certificeringsniveau van belang. In mijn volgende blog ga ik dieper in op de certificeringsniveaus binnen FIPS 140-2.

Geïnteresseerd?

Tom Engels
Neem contact op met onze Connectivity- specialist Tom Engels

Tom Engels is Networking Consultant binnen de sales-afdeling van Telindus. Tom werkt al 19 jaar bij Telindus en heeft als engineer, support engineer en technical consultant op de Technical Operations afdeling gewerkt. Hij heeft diepgaande expertise op het gebied van Ciena en Infinera Optical, Carrier Ethernet en encryptie-oplossingen, Software Defined Networking en NFV (Netwerk Functie Virtualisatie). Tom volgt nauwgezet de razendsnelle ontwikkelingen in zijn vakgebied connectivity.

geen reacties
Plaats een reactie