FIPS

FIPS

FIPS 지원 제품을 의무적으로 사용해야 하는 환경에서 이 애플리케이션을 운영하거나 FIPS 인증 암호화 모듈을 통한 보안을 구축하고자 하는 경우 FIPS 모드를 설정해야 합니다. 이 애플리케이션은 FIPS 가이드라인을 도입한 정부 기관 및 기업에 필요한 FIPS(Federal Information Processing Standard: 연방 정보처리 규격) 140-2 암호화 사용을 지원합니다.

FIPS란?

FIPS는 컴퓨터 보안 제품 지침에 대한 일련의 표준입니다. FIPS 인증은 암호화를 사용하는 제품의 모든 부분에 적용됩니다. FIPS 인증 제품은 연구소를 통해 FIPS 140-2(암호화 모듈 보안 요건 표준)를 준수하며 하나 이상의 FIPS 인증 알고리즘을 지원하는 것으로 검증된 제품입니다.

여러 국가의 정부 기관 및 몇몇 민영 기업은 FIPS 인증 제품을 의무적으로 사용하고 있습니다.

FIPS 모드란?

FIPS 모드란 FIPS 승인 알고리즘만 사용하는 구성을 말합니다. 이 애플리케이션을 FIPS 모드에서 운영하도록 구성하면 애플리케이션은 브라우저와 API 인터페이스 모두에서 보안 콘솔과 스캔 엔진 그리고 보안 콘솔과 사용자 간의 통신을 암호화하도록 FIPS 인증 암호화 라이브러리를 구현합니다.

FIPS 단계

FIPS 140-2 에서는 레벨 1 에서 레벨 4 까지 4개의 단계가 있다

• 레벨 1 : 가장 낮은 수준이며, 최소한의 조건만 충족
• 레벨 2 : 암호 모듈에 접근하지 못하도록 장치가 되어있으며, 외부 침입자가 접근하였을 경우 흔적이 남도록 되어있음. 암호 모듈에속한 소프트웨어나 펌웨어가 표준 상용 OS에서 동작할수 있어야함.
• 레벨 3 : 외부 침입자가 물리적으로 접근하였을 경우 저장된 암호키를 삭제함, 암호 모듈에속한 소프트웨어나 펌웨어가 표준 상용 OS에서 동작할수 있어야함.
• 레벨 4 : 암호 모듈 보호장치의 내부로 침입하기위해 물리적 또는 전기적 접근 시도가 있을시 저장된 암호키를 삭제함, 외부 환경 변화를 감지한 경우 저장된 암호키를 삭제함, 암호 모듈에속한 소프트웨어나 펌웨어가 표준 상용 OS에서 동작할수 있어야함.

FIPS 요구사항 범위

• 암호화 모듈의 사양 (무엇이 문서화돼야 하는가)
• 암호 모듈의 포트 및 인터페이스 (무슨 정보가 입출력되는가, 어떻게 분리되는가)
• 역할, 서비스 및 인증 (누가 무엇을 모듈로 할수 있는가, 그것은 어떻게 확인이 가능한가)
• 유한 상태 모델 (모듈이 할수 있는 고위레벨의 문서화 및 상태전이가 어떻게 발생하는가)
• 물리적 보안 (변조 흔적을 남길수 있는 내성을 가져야함, 또 극단적인 환경에서의 내구성)
• 실행 환경 (어떤 운영체제가 이용되는지)
• 암호화 키 관리 ( 키 생성,등록,이용,기록 및 폐기)
• EMI / EMC (전자파에 의한 장애가 생기지 않는가)
• 자가 진단 테스트 (무엇을 언제 테스트하는가, 테스트를 실패했을때 무엇을 하는가)
• 설계 보증 (모듈이 충분한 설계 및 구현이 이루어졌음을 나타내야함)
• 다른 공격의 위험 완화