Convalida di Windows FIPS 140

La pubblicazione 140 di Federal Information Processing Standard (FIPS) è uno standard del governo degli Stati Uniti che definisce i requisiti minimi di sicurezza per i moduli di crittografia nei prodotti IT. Questo argomento presenta la convalida FIPS 140 per i moduli di crittografia di Windows. I moduli di crittografia di Windows vengono usati in diversi prodotti Microsoft, tra cui sistemi operativi client Windows, sistemi operativi Windows Server e servizi cloud di Azure.

Microsoft mantiene un impegno attivo a soddisfare i requisiti dello standard FIPS 140, dopo aver convalidato i moduli di crittografia rispetto a esso sin dalla sua prima introduzione nel 2001. I moduli di crittografia di Windows vengono convalidati nell'ambito del Cryptographic Module Validation Program (CMVP), uno sforzo congiunto tra il National Institute of Standards and Technology (NIST) degli Stati Uniti e il Canadian Centre for Cyber Security (CCCS). Il CMVP convalida i moduli di crittografia in base ai requisiti di sicurezza per i moduli di crittografia (parte di FIPS 140) e agli standard di crittografia FIPS correlati. Il NIST Information Technology Laboratory gestisce programmi correlati a cui microsoft partecipa: il Programma di convalida dell'algoritmo crittografico (CAVP) certifica gli algoritmi di crittografia approvati da FIPS e il programma di convalida entropia certifica le origini dell'entropia allo standard NIST SP 800-90B.

Sistemi operativi client Windows e moduli di crittografia

Le versioni client Windows elencate di seguito includono moduli di crittografia che hanno completato la convalida FIPS 140. Fare clic sulla versione per informazioni dettagliate, tra cui il certificato CMVP, il documento criteri di sicurezza e l'ambito dell'algoritmo per ogni modulo. Quando l'etichetta di convalida del certificato CMVP include la nota Quando viene eseguita in modalità FIPS, devono essere seguite regole di configurazione e sicurezza specifiche descritte nei criteri di sicurezza.

versioni Windows 11

Windows 10 versioni

Versioni precedenti di Windows

Sistemi operativi e moduli di crittografia di Windows Server

Le versioni di Windows Server elencate di seguito includono moduli di crittografia che hanno completato la convalida FIPS 140. Fare clic sulla versione per informazioni dettagliate, tra cui il certificato CMVP, il documento criteri di sicurezza e l'ambito dell'algoritmo per ogni modulo. Quando l'etichetta di convalida del certificato CMVP include la nota Quando viene eseguita in modalità FIPS, devono essere seguite regole di configurazione e sicurezza specifiche descritte nei criteri di sicurezza.

Versioni di Windows Server 2019 e 2016

Versioni semestrali di Windows Server

Versioni precedenti di Windows Server

Usare Windows in una modalità di funzionamento approvata da FIPS

Per usare Windows e Windows Server in una modalità operativa approvata da FIPS 140, è necessario seguire tutte le regole di configurazione e sicurezza specifiche descritte nei documenti dei criteri di sicurezza del modulo. Per visualizzare o scaricare i documenti dei criteri di sicurezza per una determinata versione del prodotto, passare all'elenco dei moduli convalidati FIPS 140 per la versione nelle sezioni precedenti e selezionare i collegamenti ai documenti dei criteri di sicurezza.

Come parte delle regole di configurazione descritte nei documenti dei criteri di sicurezza, Windows e Windows Server possono essere configurati per l'esecuzione in una modalità operativa approvata da FIPS 140, comunemente definita "modalità FIPS". Nelle versioni correnti di Windows, quando si abilita l'impostazione della modalità FIPS, i moduli Cryptographic Primitives Library (bcryptprimitives.dll) e Kernel Mode Cryptographic Primitives Library (CNG.sys) eseguono auto-test prima che Windows eservi operazioni di crittografia. Questi auto-test soddisfano i requisiti FIPS 140 e garantiscono il corretto funzionamento dei moduli. La libreria primitive crittografiche e la libreria primitive crittografiche in modalità kernel sono gli unici moduli che usano l'impostazione di configurazione della modalità FIPS. La modalità FIPS non controlla quali algoritmi di crittografia vengono usati. L'impostazione della modalità FIPS è destinata solo ai componenti Cryptographic Primitives Library (bcryptprimitives.dll) e Kernel Mode Cryptographic Primitives Library (CNG.sys) in Windows.

Determinare se un servizio o un'applicazione Windows è conforme a FIPS 140

Microsoft convalida i moduli di crittografia usati in Windows e in altri prodotti, non in singoli servizi o applicazioni Windows. Contattare il fornitore del servizio o dell'applicazione per informazioni sul fatto che chiami un modulo di crittografia di Windows convalidato (ad esempio, un modulo convalidato dal CMVP come conforme ai requisiti FIPS 140 e rilasciato un certificato) in modo conforme a FIPS (ad esempio, chiamando la crittografia convalidata FIPS 140 e configurato in base a una modalità operativa definita approvata da FIPS).

FIPS 140 e Commercial National Security Algorithm Suite

La suite Commercial National Security Algorithm (CNSA) è un set di algoritmi crittografici promulgati dalla National Security Agency in sostituzione degli algoritmi crittografici NSA Suite B. Molti algoritmi di crittografia CNSA sono approvati anche con lo standard FIPS 140. Per determinare se un algoritmo CNSA è stato incluso nell'ambito degli algoritmi convalidati CAVP usati in un prodotto Microsoft, passare all'elenco dei moduli convalidati FIPS 140 per il prodotto nelle sezioni precedenti e fare riferimento all'ambito dell'algoritmo elencato per ogni modulo convalidato. Altri dettagli sull'algoritmo sono disponibili in ogni documento dei criteri di sicurezza del modulo.

Certificazioni FIPS 140 e Criteri comuni

FIPS 140 e Common Criteria sono due standard di sicurezza complementari ma diversi. Mentre FIPS 140 convalida la funzionalità di crittografia, Common Criteria valuta una selezione più ampia di funzioni di sicurezza nei prodotti IT. Le valutazioni dei criteri comuni possono basarsi su convalide FIPS 140 per garantire che la funzionalità crittografica di base sia implementata correttamente. Per informazioni sul programma di certificazione Common Criteria di Microsoft, vedere Certificazioni dei criteri comuni.

Contact

Contattare fips@microsoft.com domande o per fornire commenti e suggerimenti su questo argomento.