Validação do Windows FIPS 140

A Publicação 140 do Padrão federal de Processamento de Informações (FIPS) é um padrão do governo dos EUA que define os requisitos de segurança mínima para módulos criptográficos em produtos de TI. Este tópico apresenta a validação FIPS 140 para os módulos criptográficos do Windows. Os módulos criptográficos do Windows são usados em diferentes produtos da Microsoft, incluindo sistemas operacionais cliente Windows, sistemas operacionais Windows Server e serviços de nuvem do Azure.

A Microsoft mantém um compromisso ativo de atender aos requisitos do padrão FIPS 140, tendo validado módulos criptográficos em relação a ele desde que foi criado pela primeira vez em 2001. Os módulos criptográficos do Windows são validados no CMVP (Programa de Validação do Módulo Criptográfico), um esforço conjunto entre o NIST (Instituto Nacional de Padrões e Tecnologia) dos EUA e o Centro Canadense de Segurança Cibernética (CCCS). O CMVP valida módulos criptográficos em relação aos requisitos de segurança para módulos criptográficos (parte do FIPS 140) e aos padrões de criptografia FIPS relacionados. O Laboratório de Tecnologia da Informação NIST opera programas relacionados aos quais a Microsoft também participa: o Programa de Validação de Algoritmo Criptográfico (CAVP) certifica algoritmos criptográficos aprovados pelo FIPS e o programa de validação de entropia certifica fontes de entropia para o padrão NIST SP 800-90B.

Sistemas operacionais cliente Windows e módulos criptográficos

As versões de cliente do Windows listadas abaixo incluem módulos criptográficos que concluíram a validação FIPS 140. Clique na versão para obter detalhes, incluindo o certificado CMVP, o documento da Política de Segurança e o escopo do algoritmo para cada módulo. Quando o rótulo de validação de certificado CMVP inclui a nota Quando operado no modo FIPS, regras de configuração e segurança específicas descritas na Política de Segurança devem ser seguidas.

Windows 11 versões

Windows 10 versões

Versões anteriores do Windows

Sistemas operacionais e módulos criptográficos do Windows Server

As versões do Windows Server listadas abaixo incluem módulos criptográficos que concluíram a validação FIPS 140. Clique na versão para obter detalhes, incluindo o certificado CMVP, o documento da Política de Segurança e o escopo do algoritmo para cada módulo. Quando o rótulo de validação de certificado CMVP inclui a nota Quando operado no modo FIPS, regras de configuração e segurança específicas descritas na Política de Segurança devem ser seguidas.

Versões do Windows Server 2019 e 2016

Versões semestrais do Windows Server

Versões anteriores do Windows Server

Usar o Windows em um modo de operação aprovado pelo FIPS

Para usar o Windows e o Windows Server em um modo de operação aprovado pelo FIPS 140, todas as regras de configuração e segurança específicas descritas nos documentos da Política de Segurança do módulo devem ser seguidas. Para exibir ou baixar os documentos da Política de Segurança para uma determinada versão do produto, navegue até a listagem de módulos validados do FIPS 140 para a versão nas seções acima e selecione os links para os documentos da Política de Segurança.

Como parte das regras de configuração descritas nos documentos da Política de Segurança, o Windows e o Windows Server podem ser configurados para serem executados em um modo de operação aprovado pelo FIPS 140, comumente chamado de "modo FIPS". Nas versões atuais do Windows, quando você habilita a configuração do modo FIPS, os módulos Biblioteca de Primitivos Criptográficos (bcryptprimitives.dll) e Biblioteca de Primitivos Criptográficos do Modo Kernel (CNG.sys) executarão auto-testes antes que o Windows execute operações criptográficas. Esses auto-testes atendem aos requisitos do FIPS 140 e garantem que os módulos estejam funcionando corretamente. A Biblioteca de Primitivos Criptográficos e a Biblioteca de Primitivos Criptográficos do Modo Kernel são os únicos módulos que usam a configuração do modo FIPS. O modo FIPS não controla quais algoritmos criptográficos são usados. A configuração de modo FIPS destina-se a ser usada apenas pelos componentes Biblioteca de Primitivos Criptográficos (bcryptprimitives.dll) e Biblioteca de Primitivos Criptográficos do Modo Kernel (CNG.sys) no Windows.

Determinar se um serviço ou aplicativo do Windows é compatível com FIPS 140

A Microsoft valida os módulos criptográficos usados no Windows e em outros produtos, não em serviços ou aplicativos individuais do Windows. Entre em contato com o fornecedor do serviço ou aplicativo para obter informações sobre se ele chama um módulo criptográfico do Windows validado (ou seja, um módulo validado pelo CMVP como atendendo aos requisitos FIPS 140 e emitiu um certificado) de forma compatível com FIPS (ou seja, chamando a criptografia validada FIPS 140 e configurada de acordo com um modo de operação aprovado pelo FIPS definido).

FIPS 140 e o Pacote de Algoritmos de Segurança Nacional Comercial

O pacote CNSA (Algoritmo de Segurança Nacional Comercial ) é um conjunto de algoritmos criptográficos promulgados pela Agência de Segurança Nacional como um substituto para algoritmos criptográficos do NSA Suite B. Muitos algoritmos criptográficos CNSA também são aprovados sob o padrão FIPS 140. Para determinar se um algoritmo CNSA foi incluído no escopo de algoritmos validados do CAVP usados em um produto microsoft, navegue até a listagem de módulos validados FIPS 140 para o produto nas seções acima e faça referência ao escopo do algoritmo listado para cada módulo validado. Outros detalhes do algoritmo estão disponíveis em cada documento da Política de Segurança do módulo.

Certificações FIPS 140 e Common Criteria

O FIPS 140 e os Critérios Comuns são dois padrões de segurança complementares, mas diferentes. Enquanto o FIPS 140 valida a funcionalidade criptográfica, o Common Criteria avalia uma seleção mais ampla de funções de segurança em produtos de TI. As avaliações de Critérios Comuns podem contar com validações FIPS 140 para fornecer garantia de que a funcionalidade criptográfica básica é implementada corretamente. Para obter informações sobre o programa de certificação Critérios Comuns da Microsoft, consulte Certificações de Critérios Comuns.

Contato

Entre em contato fips@microsoft.com com perguntas ou para fornecer comentários sobre este tópico.