Federal Information Processing Standard (FIPS) Veröffentlichung 140-2

FIPS 140-2 Standard – Übersicht

Der Federal Information Processing Standard (FIPS) Publication 140-2 ist ein US-Regierungsstandard, der Mindestsicherheitsanforderungen für kryptografische Module in Informationstechnologieprodukten definiert, wie in Abschnitt 5131 des Information Technology Management Reform Act von 1996 definiert.

Das Cryptographic Module Validation Program (CMVP), eine gemeinsame Anstrengung des U.S. National Institute of Standards and Technology (NIST) und des Canadian Centre for Cyber Security (CCCS), überprüft Kryptografiemodule nach dem Security Requirements for Cryptographic Modules Standard (d. h. FIPS 140-2) und damit verbundenen FIPS-Kryptografiestandards. Die Sicherheitsanforderungen von FIPS 140-2 decken 11 Bereiche im Zusammenhang mit dem Entwurf und der Implementierung eines Kryptografiemoduls ab. Das NIST Information Technology Laboratory betreibt ein verwandtes Programm, das die fips genehmigten Kryptografiealgorithmen im Modul überprüft.

Microsoft-Ansatz zur FIPS 140-2-Validierung

Microsoft verpflichtet sich aktiv, die 140-2-Anforderungen zu erfüllen und hat kryptografische Module seit der Einführung des Standards im Jahr 2001 überprüft. Microsoft überprüft seine Kryptografiemodule im Rahmen des Kryptografiemodulvalidierungsprogramms (CMVP) des National Institute of Standards and Technology (NIST). Mehrere Microsoft-Produkte, einschließlich vieler Clouddienste, verwenden diese Kryptografiemodule.

Technische Informationen zu Kryptografiemodulen von Microsoft Windows, die Sicherheitsrichtlinie für jedes Modul und den Katalog der CMVP-Zertifikatdetails finden Sie in den Windows- und Windows Server FIPS 140-2-Inhalten.

Zu Microsoft gehörende Cloudplattformen und -dienste

Während der aktuelle CMVP FIPS 140-2-Implementierungsleitfaden eine FIPS 140-2-Validierung für einen Clouddienst selbst ausschließt; Clouddienstanbieter können auswählen, ob sie FIPS 140-validierte Kryptografiemodule für die Computingelemente beziehen und betreiben möchten, aus denen ihr Clouddienst besteht. Microsoft Onlinedienste, die Komponenten enthalten, die fips 140-2 validiert wurden, umfassen unter anderem:

  • Azure und Azure Government
  • Dynamics 365 und Dynamics 365 Regierung
  • Office 365, Office 365 U.S. Government und Office 365 U.S. Government Defense

Azure, Dynamics 365 und FIPS 140-2

Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinedienste Compliance finden Sie im Azure FIPS 140-2-Angebot.

Office 365 und FIPS 140-2

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Office 365, GCC, GCC High, DoD Siehe FIPS 140-2-Validierung

Häufig gestellte Fragen

Was ist der Unterschied zwischen "FIPS 140 Validated" und "FIPS 140 compliant"?

"FIPS 140 Validated" bedeutet, dass das kryptografische Modul oder ein Produkt, das das Modul einbettet, vom CMVP überprüft ("zertifiziert") wurde, um die FIPS 140-2-Anforderungen zu erfüllen. "FIPS 140-konform" ist ein Branchenbegriff für IT-Produkte, die für kryptografische Funktionen auf FIPS 140-validierten Produkten basieren.

Wann führt Microsoft eine FIPS 140-Überprüfung durch?

Die Häufigkeit zum Starten einer Modulvalidierung richtet sich nach den Featureupdates von Windows 10 und Windows Server. Mit der Entwicklung der Softwarebranche werden Betriebssysteme häufiger mit monatlichen Softwareupdates veröffentlicht. Microsoft führt eine Überprüfung für Featurereleases durch, versucht aber zwischen den Releases, die Änderungen an den Kryptografiemodulen zu minimieren.

Welche Computer sind in einer FIPS 140-Überprüfung enthalten?

Microsoft überprüft kryptografische Module anhand eines repräsentativen Beispiels von Hardwarekonfigurationen, die Windows 10 und Windows Server ausgeführt werden. Es ist branchenüblich, diese FIPS 140-2-Validierung zu akzeptieren, wenn eine Umgebung Hardware verwendet, die den Beispielen für den Validierungsprozess ähnelt.

Auf der NIST-Website sind viele Module aufgeführt. Gewusst wie wissen, welche für meine Agentur gilt?

Wenn Sie kryptografische Module verwenden müssen, die durch FIPS 140-2 überprüft wurden, müssen Sie überprüfen, ob die von Ihnen verwendete Version in der Überprüfungsliste angezeigt wird. Das CMVP und Microsoft verwalten eine Liste überprüfter kryptografischer Module, die nach Produktrelease geordnet sind, sowie Anweisungen zum Identifizieren der auf einem Windows-System installierten Module. Weitere Informationen zum Konfigurieren von Systemen, die kompatibel sind, finden Sie unter Windows und Windows Server FIPS 140-2.

Was bedeutet "Wenn im FIPS-Modus betrieben" für ein Zertifikat?

Diese Einschränkung informiert den Leser darüber, dass die erforderlichen Konfigurations- und Sicherheitsregeln befolgt werden müssen, um das Kryptografiemodul auf eine Weise zu verwenden, die mit seiner FIPS 140-2-Sicherheitsrichtlinie konsistent ist. Jedes Modul verfügt über eine eigene Sicherheitsrichtlinie – eine genaue Spezifikation der Sicherheitsregeln, unter denen es arbeitet – und verwendet genehmigte Kryptografiealgorithmen, kryptografische Schlüsselverwaltung und Authentifizierungstechniken. Die Sicherheitsregeln werden in der Sicherheitsrichtlinie für jedes Modul definiert. Weitere Informationen, einschließlich Links zur Sicherheitsrichtlinie für jedes Modul, das über das CMVP überprüft wird, finden Sie in den Windows- und Windows Server FIPS 140-2-Inhalten.

Erfordert FedRAMP eine FIPS 140-2-Validierung?

Ja, das Federal Risk and Authorization Management Program (FedRAMP) basiert auf Kontrollbaselines, die durch die NIST SP 800-53 Revision 4 definiert sind, einschließlich SC-13 Cryptographic Protection , der die Verwendung von FIPS-validierter Kryptografie oder von der NSA genehmigter Kryptografie vorschreibt.

Kann ich die Einhaltung von FIPS 140-2 durch Microsoft im Zertifizierungsprozess meiner Agentur nutzen?

Um FIPS 140-2 zu erfüllen, muss Ihr System für die Ausführung in einem von FIPS genehmigten Betriebsmodus konfiguriert sein, der sicherstellt, dass ein Kryptografiemodul nur fips-genehmigte Algorithmen verwendet. Weitere Informationen zum Konfigurieren von Systemen, die kompatibel sind, finden Sie unter Windows und Windows Server FIPS 140-2.

Welche Beziehung besteht zwischen FIPS 140-2 und Common Criteria?

Dies sind zwei separate Sicherheitsstandards mit unterschiedlichen, aber sich ergänzenden Zwecken. FIPS 140-2 wurde speziell für die Überprüfung von Kryptografiemodulen für Software und Hardware entwickelt, während die Common Criteria für die Bewertung von Sicherheitsfunktionen in IT-Software- und Hardwareprodukten konzipiert sind. Common Criteria-Auswertungen basieren häufig auf FIPS 140-2-Validierungen, um sicherzustellen, dass grundlegende kryptografische Funktionen ordnungsgemäß implementiert sind.

Ressourcen