Publication 140-2 (Federal Information Processing Standard)Federal Information Processing Standard (FIPS) Publication 140-2

Vue d’ensemble de la norme FIPS 140-2FIPS 140-2 standard overview

La publication 140-2 FIPS (Federal Information Processing Standard) est une norme de gouvernement américain qui définit les exigences minimales de sécurité pour les modules de chiffrement dans les produits informatiques, comme défini dans la section 5131 de la réforme de l’information sur la gestion des technologies de l’information de 1996.The Federal Information Processing Standard (FIPS) Publication 140-2 is a U.S. government standard that defines minimum security requirements for cryptographic modules in information technology products, as defined in Section 5131 of the Information Technology Management Reform Act of 1996.

Le programme de validation du module de chiffrement (CMVp), un effort commun de l’Institut NIST (National Institute of Standards and Technology) et le Centre canadien pour la sécurité informatique (CCCS), valide les modules de chiffrement aux exigences de sécurité pour les modules de chiffrement standard (par exemple, FIPS 140-2) et les normes de chiffrement FIPS associées.The Cryptographic Module Validation Program (CMVP), a joint effort of the U.S. National Institute of Standards and Technology (NIST) and the Canadian Centre for Cyber Security (CCCS), validates cryptographic modules to the Security Requirements for Cryptographic Modules standard (i.e., FIPS 140-2) and related FIPS cryptography standards. Les exigences de sécurité FIPS 140-2 couvrent 11 domaines liés à la conception et l’implémentation d’un module de chiffrement.The FIPS 140-2 security requirements cover 11 areas related to the design and implementation of a cryptographic module. Le laboratoire NIST Information Technology opère un programme connexe qui valide les algorithmes de chiffrement approuvés FIPS dans le module.The NIST Information Technology Laboratory operates a related program that validates the FIPS approved cryptographic algorithms in the module.

Approche de Microsoft pour la validation FIPS 140-2Microsoft’s approach to FIPS 140-2 validation

Microsoft entretient un engagement actif pour répondre aux exigences 140-2, avec des modules de chiffrement validés depuis le début de la norme dans 2001.Microsoft maintains an active commitment to meeting the 140-2 requirements, having validated cryptographic modules since the standard’s inception in 2001. Microsoft valide ses modules cryptographiques dans le cadre du programme de validation du module de chiffrement NIST (National Institute of Standards and Technology) (CMVp).Microsoft validates its cryptographic modules under the National Institute of Standards and Technology (NIST) Cryptographic Module Validation Program (CMVP). Plusieurs produits Microsoft, y compris de nombreux services Cloud, utilisent ces modules de chiffrement.Multiple Microsoft products, including many cloud services, use these cryptographic modules.

Pour obtenir des informations techniques sur les modules de chiffrement Microsoft Windows, la stratégie de sécurité pour chaque module et le catalogue des détails du certificat CMVP, consultez la rubrique Windows and Windows Server FIPS 140-2 content.For technical information on Microsoft Windows cryptographic modules, the security policy for each module, and the catalog of CMVP certificate details, see the Windows and Windows Server FIPS 140-2 content.

Services Cloud Microsoft dans le périmètreMicrosoft in-scope cloud services

Alors que le Guide d’implémentation actuel de CMVP FIPS 140-2 exclut une validation FIPS 140-2 pour un service Cloud lui-même ; les fournisseurs de services Cloud peuvent choisir d’obtenir et d’utiliser des modules de chiffrement validés FIPS 140 pour les éléments informatiques qui composent leur service Cloud.While the current CMVP FIPS 140-2 implementation guidance precludes a FIPS 140-2 validation for a cloud service itself; cloud service providers can choose to obtain and operate FIPS 140 validated cryptographic modules for the computing elements that comprise their cloud service. Les services Microsoft Online qui incluent des composants, qui ont été validés par FIPS 140-2 incluent, entre autres :Microsoft online services that include components, which have been FIPS 140-2 validated include, among others:

Forum Aux QuestionsFrequently asked questions

Quelle est la différence entre « FIPS 140 Valided » et « FIPS 140 compatible » ?What is the difference between “FIPS 140 Validated” and “FIPS 140 compliant”?

« FIPS 140 validée » signifie que le module de chiffrement, ou un produit qui incorpore le module, a été validé (« certifié ») par le CMVP en tant que répondant aux exigences FIPS 140-2.“FIPS 140 Validated” means that the cryptographic module, or a product that embeds the module has been validated (“certified”) by the CMVP as meeting the FIPS 140-2 requirements. « FIPS 140 compatible » est un terme industriel pour les produits informatiques qui s’appuient sur des produits validés FIPS 140 pour les fonctionnalités cryptographiques.“FIPS 140 compliant” is an industry term for IT products that rely on FIPS 140 Validated products for cryptographic functionality.

Quand Microsoft engage-t-il une validation FIPS 140 ?When does Microsoft undertake a FIPS 140 validation?

La cadence de démarrage d’une validation de module s’aligne sur les mises à jour des fonctionnalités de Windows 10 et Windows Server.The cadence for starting a module validation aligns with the feature updates of Windows 10 and Windows Server. À mesure que l’industrie logicielle a évolué, les systèmes d’exploitation sont publiés plus fréquemment, avec des mises à jour logicielles mensuelles.As the software industry evolved, operating systems are released more frequently, with monthly software updates. Microsoft s’efforce de valider les versions de fonctionnalité, mais entre les versions, vise à réduire les modifications apportées aux modules de chiffrement.Microsoft undertakes validation for feature releases, but in between releases, seeks to minimize the changes to the cryptographic modules.

Quels ordinateurs sont inclus dans une validation FIPS 140 ?Which computers are included in a FIPS 140 validation?

Microsoft valide les modules de chiffrement sur un échantillon représentatif de configurations matérielles exécutant Windows 10 et Windows Server.Microsoft validates cryptographic modules on a representative sample of hardware configurations running Windows 10 and Windows Server. Il est pratique commune d’accepter cette validation FIPS 140-2 lorsqu’un environnement utilise du matériel, ce qui est similaire aux exemples utilisés pour le processus de validation.It is common industry practice to accept this FIPS 140-2 validation when an environment uses hardware, which is similar to the samples used for the validation process.

Un grand nombre de modules sont répertoriés sur le site Web NIST. Comment savoir quel est celui qui s’applique à mon agence ?There are many modules listed on the NIST website. How do I know which one applies to my agency?

Si vous devez utiliser des modules de chiffrement validés via FIPS 140-2, vérifiez que la version que vous utilisez apparaît dans la liste validation.If you are required to use cryptographic modules validated through FIPS 140-2, you need to verify that the version you use appears on the validation list. Le CMVP et Microsoft gèrent une liste de modules de chiffrement validés, organisés par version de produit, ainsi que des instructions pour l’identification des modules installés sur un système Windows.The CMVP and Microsoft maintain a list of validated cryptographic modules, organized by product release, along with instructions for identifying which modules are installed on a Windows system. Pour plus d’informations sur la configuration des systèmes de façon à ce qu’ils soient conformes, consultez le contenu Windows et Windows Server FIPS 140-2.For more information on configuring systems to be compliant, see the Windows and Windows Server FIPS 140-2 content.

Qu’est-ce que’quand fonctionne en mode FIPS’signifie sur un certificat ?What does 'When operated in FIPS mode' mean on a certificate?

Ce inconvénient informe le lecteur que les règles de configuration et de sécurité requises doivent être suivies pour utiliser le module de chiffrement de manière cohérente avec sa stratégie de sécurité 140-2 FIPS.This caveat informs the reader that required configuration and security rules must be followed to use the cryptographic module in a way that is consistent with its FIPS 140-2 security policy. Chaque module possède sa propre stratégie de sécurité, une spécification précise des règles de sécurité sous lesquelles elle fonctionne, et utilise des algorithmes de chiffrement approuvés, la gestion de clés de chiffrement et les techniques d’authentification.Each module has its own security policy — a precise specification of the security rules under which it will operate — and employs approved cryptographic algorithms, cryptographic key management, and authentication techniques. Les règles de sécurité sont définies dans la stratégie de sécurité pour chaque module.The security rules are defined in the security policy for each module. Pour plus d’informations, notamment des liens vers la stratégie de sécurité pour chaque module validé via le CMVP, voir le contenu Windows et Windows Server FIPS 140-2.For more information, including links to the security policy for each module validated through the CMVP, see the Windows and Windows Server FIPS 140-2 content.

FedRAMP nécessite-t-il une validation FIPS 140-2 ?Does FedRAMP require FIPS 140-2 validation?

Oui, le programme fédéral de gestion des autorisations et d’autorisation (FedRAMP) s’appuie sur les configurations de référence de contrôle définies par le Pack NIST SP 800-53 révision 4, y compris la protection de chiffrement SC-13 exigeant l’utilisation d’un chiffrement validé par FIPS ou un chiffrement approuvé par la NSA.Yes, the Federal Risk and Authorization Management Program (FedRAMP) relies on control baselines defined by the NIST SP 800-53 Revision 4, including SC-13 Cryptographic Protection mandating the use of FIPS-validated cryptography or NSA-approved cryptography.

Comment Microsoft Azure prend-il en charge FIPS 140-2 ?How does Microsoft Azure support FIPS 140-2?

Azure est conçu avec une combinaison de matériel, de systèmes d’exploitation disponibles dans le commerce (Linux et Windows) et d’Azure version de Windows.Azure is built with a combination of hardware, commercially available operating systems (Linux and Windows), and Azure-specific version of Windows. Par le biais du cycle de vie de développement de sécurité Microsoft (SDL), tous les services Azure utilisent des algorithmes approuvés FIPS 140-2 pour la sécurité des données, car le système d’exploitation utilise les ALGORITHMes certifiés FIPS 140-2 lors du fonctionnement dans un nuage hyper-Scale.Through the Microsoft Security Development Lifecycle (SDL), all Azure services use FIPS 140-2 approved algorithms for data security because the operating system uses FIPS 140-2 approved algorithms while operating at a hyper scale cloud.

Puis-je utiliser le service d’adhésion de Microsoft au FIPS 140-2 dans le processus de certification de mon agence ?Can I use Microsoft’s adherence to FIPS 140-2 in my agency’s certification process?

Pour être conforme à la norme FIPS 140-2, votre système doit être configuré pour s’exécuter dans un mode de fonctionnement approuvé par FIPS, ce qui inclut la vérification qu’un module de chiffrement utilise uniquement des algorithmes approuvés par FIPS.To comply with FIPS 140-2, your system must be configured to run in a FIPS approved mode of operation, which includes ensuring that a cryptographic module uses only FIPS-approved algorithms. Pour plus d’informations sur la configuration des systèmes de façon à ce qu’ils soient conformes, consultez le contenu Windows et Windows Server FIPS 140-2.For more information on configuring systems to be compliant, see the Windows and Windows Server FIPS 140-2 content.

Quelle est la relation entre FIPS 140-2 et les critères communs ?What is the relationship between FIPS 140-2 and Common Criteria?

Il s’agit de deux normes de sécurité distinctes avec des objectifs différents, mais complémentaires.These are two separate security standards with different, but complementary, purposes. FIPS 140-2 est conçu spécifiquement pour la validation des modules de chiffrement logiciels et matériels, tandis que le critère commun est conçu pour évaluer les fonctions de sécurité dans les produits logiciels et matériels informatiques.FIPS 140-2 is designed specifically for validating software and hardware cryptographic modules, while the Common Criteria is designed to evaluate security functions in IT software and hardware products. Les évaluations de critères communs s’appuient souvent sur les validations FIPS 140-2 pour garantir que la fonctionnalité de chiffrement de base est implémentée correctement.Common Criteria evaluations often rely on FIPS 140-2 validations to provide assurance that basic cryptographic functionality is implemented properly.

RessourcesResources