Chapitre 7. Normes de l'industrie et certification

Revalidations Fips 140

Les publications 140 des normes de traitement de l'information fédérale (« Federal Information Processing Standards », ou FIPS) est une norme de sécurité du gouvernement des États-Unis qui spécifie les besoins en sécurité devant être satisfaits par un module de chiffrement utilisé dans un système de sécurité protégeant des informations à caractère sensible, mais non-classifiées. La norme offre quatre niveaux qualitatifs et ascendants de sécurité : Niveau 1 (« Level 1 »), Niveau 2 (« Level 2 »), Niveau 3 (« Level 3 ») et Niveau 4 (« Level 4 »). Ces niveaux sont conçus pour couvrir un large éventail d'applications et environnements potentiels dans lesquels des modules de chiffrement peuvent être utilisés. Les besoins en sécurité couvrent des zones liées à la sécurisation de la conception et de l'implémentation d'un module de chiffrement. Ces zones incluent la spécification du module de chiffrement, les ports et interfaces du module de chiffrement, les rôles, services et l'authentification, le modèle de l'état fini, la sécurité physique, l'environnement opérationnel, la gestion des clés de chiffrement, les interférences et la compatibilité électromagnétique (EMI/EMC), les tests automatiques, l'assurance de la conception et la prévention d'autres attaques.
Les cibles suivantes ont été entièrement validées :
  • NSS FIPS-140 Level 1
  • Chiffrement de courbe elliptique Suite B (ECC, de l'anglais « Elliptic Curve Cryptography »)
Les cibles suivantes ont été revalidées :
  • OpenSSH (client et serveur)
  • Openswan
  • dm-crypt
  • OpenSSL
  • Chiffrement de courbe elliptique Suite B (ECC, de l'anglais « Elliptic Curve Cryptography »)
  • Kernel Crypto API
  • Chiffrements AES-GCM, AES-CTS et AES-CTR