FIPS(Federal Information Processing Standard) 140-2 란
개요
FIPS(Federal Information Processing Standard) 140-2는 암호화 모듈(cryptographic modules)이 만족해야 하는 최소한의 보안 요구사항에 대한 미국 연방 정부 표준입니다.
미국 국립표준연구원(NIST;National Institute of Standards and Technology) 에서 표준화한 FIPS 140-2 인증을 획득해야 미국과 캐나다 정부 조달의 필수 인증 요소입니다.
FIPS 140-2 는 제품의 보안 강도에 따라서 1 ~ 4까지 level 로 나눠져 있으며 숫자가 클수록 보안성이 우수합니다.
예를 들어 HSM(Hardware Security Module) 이 많이 받는 FIPS 140-2 level 3는 key 를 빼내려는 물리적인 공격에도 방어력을 갖춰야 하며 예로 물리적으로 분리할 경우 내장된 키를 파손하는 기능이 있습니다.
FIPS 140-2 | Level 1 | Level 2 | Level 3 | Level 4 |
---|---|---|---|---|
Environment Failure Protection | ||||
Tamper resistance | ||||
Identity-based authentication | ||||
Tamper detection and response | ||||
Tamper evidence | ||||
at least one Approved algorithm or Approved security function implemented |
인증 대상
FIPS 인증은 Software, H/W 모두 신청할 수 있으며 OpenSSL 같은 오픈소스도 인증이 가능합니다. (OpenSSL fips 관련 페이지)
단 오픈소스의 경우 개발자나 커뮤니티가 직접 신청할 시간과 자금 여력이 없으므로 이를 가져다가 상용화한 제품 벤더(예: RedHat) 같은 곳에서 인증을 받기도 합니다.
FIPS 140-2 인증을 받는 제일 유명한 제품들은 HSM 일 겁니다.
AWS 나 Azure 같은 Cloud 에서도 HSM 을 제공하고 있으며 HSM 을 Managed Service 로도 제공하고 있습니다.