FIPS-Publikation 140-2 (Federal Information Processing Standard)Federal Information Processing Standard (FIPS) Publication 140-2

FIPS 140-2 Standard (Übersicht)FIPS 140-2 standard overview

Die FIPS-Publikation 140-2 (Federal Information Processing Standard) ist ein US-Regierungsstandard, der Mindestanforderungen an die Sicherheit von kryptografischen Modulen in IT-Produkten definiert, wie in Abschnitt 5131 des Informationstechnologie-Verwaltungs Reform Gesetzes von 1996 beschrieben.The Federal Information Processing Standard (FIPS) Publication 140-2 is a U.S. government standard that defines minimum security requirements for cryptographic modules in information technology products, as defined in Section 5131 of the Information Technology Management Reform Act of 1996.

Das Cryptographic Module Validation Program (CMVP), eine gemeinsame Anstrengung des US National Institute of Standards and Technology (NIST) und des kanadischen Zentrums für Cyber Security (CCCS), validiert kryptografische Module für die Sicherheitsanforderungen für kryptografische Module Standard (dh., FIPS 140-2) und die zugehörigen FIPS Cryptography Standards.The Cryptographic Module Validation Program (CMVP), a joint effort of the U.S. National Institute of Standards and Technology (NIST) and the Canadian Centre for Cyber Security (CCCS), validates cryptographic modules to the Security Requirements for Cryptographic Modules standard (i.e., FIPS 140-2) and related FIPS cryptography standards. Die FIPS 140-2-Sicherheitsanforderungen umfassen 11 Bereiche im Zusammenhang mit dem Entwurf und der Implementierung eines kryptografischen Moduls.The FIPS 140-2 security requirements cover 11 areas related to the design and implementation of a cryptographic module. Das NIST-Informationstechnologie Labor betreibt ein verwandtes Programm, das die FIPS-genehmigten kryptografischen Algorithmen im Modul validiert.The NIST Information Technology Laboratory operates a related program that validates the FIPS approved cryptographic algorithms in the module.

Microsoft-Ansatz für die FIPS 140-2-ValidierungMicrosoft’s approach to FIPS 140-2 validation

Microsoft hält eine aktive Verpflichtung zur Erfüllung der 140-2-Anforderungen, wobei kryptografische Module seit der Einführung des Standards in 2001 validiert wurden.Microsoft maintains an active commitment to meeting the 140-2 requirements, having validated cryptographic modules since the standard’s inception in 2001. Microsoft validiert seine kryptografischen Module unter dem Cryptographic Module Validation Program (CMVP) des National Institute of Standards and Technology (NIST).Microsoft validates its cryptographic modules under the National Institute of Standards and Technology (NIST) Cryptographic Module Validation Program (CMVP). Mehrere Microsoft-Produkte, einschließlich vieler Cloud-Dienste, verwenden diese kryptografischen Module.Multiple Microsoft products, including many cloud services, use these cryptographic modules.

Technische Informationen zu Microsoft Windows Cryptographic Modules, die Sicherheitsrichtlinie für jedes Modul und den Katalog mit CMVP-Zertifikatdetails finden Sie unter Windows und Windows Server FIPS 140-2-Inhalt.For technical information on Microsoft Windows cryptographic modules, the security policy for each module, and the catalog of CMVP certificate details, see the Windows and Windows Server FIPS 140-2 content.

Microsoft Cloud Services im LeistungsumfangMicrosoft in-scope cloud services

Während der aktuelle CMVP FIPS 140-2-Implementierungsleitfaden eine FIPS 140-2-Validierung für einen clouddienst selbst ausschließt; Cloud-Dienstanbieter können sich dafür entscheiden, FIPS 140 validierte kryptografische Module für die Datenverarbeitungs Elemente, die ihren clouddienst umfassen, zu erhalten und zu betreiben.While the current CMVP FIPS 140-2 implementation guidance precludes a FIPS 140-2 validation for a cloud service itself; cloud service providers can choose to obtain and operate FIPS 140 validated cryptographic modules for the computing elements that comprise their cloud service. Zu den Microsoft Online Services, die Komponenten enthalten, die FIPS 140-2 validiert wurden, gehören unter anderem:Microsoft online services that include components, which have been FIPS 140-2 validated include, among others:

Häufig gestellte FragenFrequently asked questions

Worin besteht der Unterschied zwischen "FIPS 140 validiert" und "FIPS 140 konform"?What is the difference between “FIPS 140 Validated” and “FIPS 140 compliant”?

"FIPS 140 validiert" bedeutet, dass das kryptografische Modul oder ein Produkt, das das Modul einbettet, vom CMVP validiert ("zertifiziert") wurde, da die Anforderungen für FIPS 140-2 erfüllt sind.“FIPS 140 Validated” means that the cryptographic module, or a product that embeds the module has been validated (“certified”) by the CMVP as meeting the FIPS 140-2 requirements. "FIPS 140-konform" ist ein Branchenbegriff für IT-Produkte, die auf FIPS 140 validierte Produkte für kryptografische Funktionen basieren.“FIPS 140 compliant” is an industry term for IT products that rely on FIPS 140 Validated products for cryptographic functionality.

Wann übernimmt Microsoft eine FIPS 140-Validierung?When does Microsoft undertake a FIPS 140 validation?

Die Kadenz für das Starten einer Modul Überprüfung richtet sich nach den Funktionsupdates von Windows 10 und Windows Server.The cadence for starting a module validation aligns with the feature updates of Windows 10 and Windows Server. Wenn sich die Softwareindustrie entwickelt hat, werden Betriebssysteme häufiger mit monatlichen Softwareupdates veröffentlicht.As the software industry evolved, operating systems are released more frequently, with monthly software updates. Microsoft unternimmt die Validierung für Feature-Releases, aber zwischen den Versionen versucht, die Änderungen an den kryptografischen Modulen zu minimieren.Microsoft undertakes validation for feature releases, but in between releases, seeks to minimize the changes to the cryptographic modules.

Welche Computer sind in einer FIPS 140-Validierung enthalten?Which computers are included in a FIPS 140 validation?

Microsoft validiert kryptografische Module in einer repräsentativen Stichprobe von Hardwarekonfigurationen mit Windows 10 und Windows Server.Microsoft validates cryptographic modules on a representative sample of hardware configurations running Windows 10 and Windows Server. Es ist gängige branchenübliche Praxis, diese FIPS 140-2-Validierung zu akzeptieren, wenn eine Umgebung Hardware verwendet, die den für den Validierungsprozess verwendeten Beispielen ähnelt.It is common industry practice to accept this FIPS 140-2 validation when an environment uses hardware, which is similar to the samples used for the validation process.

Auf der NIST-Website sind viele Module aufgeführt. Woher weiß ich, welche Anwendung für meine Agentur gilt?There are many modules listed on the NIST website. How do I know which one applies to my agency?

Wenn Sie kryptografische Module verwenden müssen, die über FIPS 140-2 validiert wurden, müssen Sie überprüfen, ob die verwendete Version in der Überprüfungsliste angezeigt wird.If you are required to use cryptographic modules validated through FIPS 140-2, you need to verify that the version you use appears on the validation list. Die CMVP und Microsoft führen eine Liste validierter kryptografischer Module nach Produktversion zusammen mit Anweisungen zum Identifizieren der auf einem Windows-System installierten Module aus.The CMVP and Microsoft maintain a list of validated cryptographic modules, organized by product release, along with instructions for identifying which modules are installed on a Windows system. Weitere Informationen zum Konfigurieren von Systemen, die kompatibel sein sollen, finden Sie unter Windows und Windows Server FIPS 140-2-Inhalt.For more information on configuring systems to be compliant, see the Windows and Windows Server FIPS 140-2 content.

Was bedeutet "bei Betrieb im FIPS-Modus" auf einem Zertifikat?What does 'When operated in FIPS mode' mean on a certificate?

Dieser Vorbehalt informiert den Leser darüber, dass die erforderlichen Konfigurations-und Sicherheitsregeln befolgt werden müssen, um das kryptografische Modul auf eine Art und Weise zu verwenden, die mit der FIPS 140-2-Sicherheitsrichtlinie übereinstimmt.This caveat informs the reader that required configuration and security rules must be followed to use the cryptographic module in a way that is consistent with its FIPS 140-2 security policy. Jedes Modul verfügt über eine eigene Sicherheitsrichtlinie – eine genaue Spezifikation der Sicherheitsregeln, unter denen es ausgeführt wird – und verwendet genehmigte kryptografische Algorithmen, kryptografische Schlüsselverwaltung und Authentifizierungstechniken.Each module has its own security policy — a precise specification of the security rules under which it will operate — and employs approved cryptographic algorithms, cryptographic key management, and authentication techniques. Die Sicherheitsregeln sind in der Sicherheitsrichtlinie für jedes Modul definiert.The security rules are defined in the security policy for each module. Weitere Informationen, einschließlich Links zur Sicherheitsrichtlinie für jedes Modul, das über das CMVP validiert wurde, finden Sie unter Windows-und Windows Server FIPS 140-2-Inhalt.For more information, including links to the security policy for each module validated through the CMVP, see the Windows and Windows Server FIPS 140-2 content.

Ist für FedRAMP die FIPS 140-2-Validierung erforderlich?Does FedRAMP require FIPS 140-2 validation?

Ja, das Bundes Risiko-und Autorisierungs Verwaltungsprogramm (FedRAMP) basiert auf den von der NIST SP 800-53 Revision 4definierten Steuerbasis Linien, einschließlich des SC-13 Cryptographic Protection , der die Verwendung von FIPS-validierter Kryptografie oder von NSA genehmigter Kryptografie erfordert.Yes, the Federal Risk and Authorization Management Program (FedRAMP) relies on control baselines defined by the NIST SP 800-53 Revision 4, including SC-13 Cryptographic Protection mandating the use of FIPS-validated cryptography or NSA-approved cryptography.

Wie unterstützt Microsoft Azure FIPS 140-2?How does Microsoft Azure support FIPS 140-2?

Azure wurde mit einer Kombination aus Hardware, kommerziell verfügbaren Betriebssystemen (Linux und Windows) und Azure-spezifischer Windows-Version erstellt.Azure is built with a combination of hardware, commercially available operating systems (Linux and Windows), and Azure-specific version of Windows. Über den Microsoft Security Development Lifecycle (SDL) verwenden alle Azure-Dienste FIPS 140-2-zugelassene Algorithmen für die Datensicherheit, da das Betriebssystem FIPS 140-2-zugelassene Algorithmen verwendet, während es in einer Hyper Scale-Cloud funktioniert.Through the Microsoft Security Development Lifecycle (SDL), all Azure services use FIPS 140-2 approved algorithms for data security because the operating system uses FIPS 140-2 approved algorithms while operating at a hyper scale cloud.

Kann ich die Einhaltung von Microsoft für FIPS 140-2 im Zertifizierungsprozess meiner Agentur verwenden?Can I use Microsoft’s adherence to FIPS 140-2 in my agency’s certification process?

Zur Einhaltung von FIPS 140-2 muss Ihr System so konfiguriert sein, dass es in einem FIPS-genehmigten Betriebsmodus ausgeführt wird, wodurch sichergestellt ist, dass ein kryptografisches Modul nur FIPS-geprüfte Algorithmen verwendet.To comply with FIPS 140-2, your system must be configured to run in a FIPS approved mode of operation, which includes ensuring that a cryptographic module uses only FIPS-approved algorithms. Weitere Informationen zum Konfigurieren von Systemen, die kompatibel sein sollen, finden Sie unter Windows und Windows Server FIPS 140-2-Inhalt.For more information on configuring systems to be compliant, see the Windows and Windows Server FIPS 140-2 content.

Was ist die Beziehung zwischen FIPS 140-2 und allgemeinen Kriterien?What is the relationship between FIPS 140-2 and Common Criteria?

Es handelt sich um zwei separate Sicherheitsstandards mit unterschiedlichen, aber komplementären Zwecken.These are two separate security standards with different, but complementary, purposes. FIPS 140-2 wurde speziell für die Validierung von Software-und Hardware kryptografischen Modulen entwickelt, während die allgemeinen Kriterien dazu dienen, Sicherheitsfunktionen in IT-Software und Hardwareprodukten zu evaluieren.FIPS 140-2 is designed specifically for validating software and hardware cryptographic modules, while the Common Criteria is designed to evaluate security functions in IT software and hardware products. Häufige Bewertungs Bewertungen basieren häufig auf FIPS 140-2-Validierungen, um sicherzustellen, dass die grundlegende kryptografische Funktionalität ordnungsgemäß implementiert ist.Common Criteria evaluations often rely on FIPS 140-2 validations to provide assurance that basic cryptographic functionality is implemented properly.

RessourcenResources