최근 수정 시각 : 2023-01-19 10:27:47

FIPS 140



1. 개요2. 보안 수준3. 요구 사항의 범위

1. 개요

FIPS 140 (Federal Information Processing Standardization 140) 암호화 모듈에 대한 보안 요구 사항을 규정하는 미국 연방 정보 처리 표준이다. 가장 최신 버전은 2019년 3월 22일에 나온 FIPS 140-3.

2. 보안 수준

FIPS 140-2에는 레벨 1에서 레벨 4까지 4개의 단계가 있다
  • 레벨 1 : 가장 낮은 수준이며, 최소한의 조건만 충족.
  • 레벨 2 : 암호 모듈에 접근하지 못하도록 장치가 되어있으며, 외부 침입자가 접근하였을 경우 흔적이 남도록 되어있음. 암호 모듈에 속한 소프트웨어나 펌웨어가 표준 상용 OS에서 동작할 수 있어야 함.
  • 레벨 3 : 외부 침입자가 물리적으로 접근하였을 경우 저장된 암호키를 삭제함, 암호 모듈에 속한 소프트웨어나 펌웨어가 표준 상용 OS에서 동작할 수 있어야 함.
  • 레벨 4 : 암호 모듈 보호장치의 내부로 침입하기 위해 물리적 또는 전기적 접근 시도가 있을 시 저장된 암호키를 삭제함, 외부 환경 변화를 감지한 경우 저장된 암호키를 삭제함, 암호 모듈에 속한 소프트웨어나 펌웨어가 표준 상용 OS에서 동작할 수 있어야 함.

3. 요구 사항의 범위

  • 암호화 모듈의 사양 (무엇이 문서화돼야 하는가)
  • 암호 모듈의 포트 및 인터페이스 (무슨 정보가 입출력되는가, 어떻게 분리되는가)
  • 역할, 서비스 및 인증 (누가 무엇을 모듈로 할 수 있는가, 그것은 어떻게 확인이 가능한가)
  • 유한 상태 모델 (모듈이 할 수 있는 고위레벨의 문서화 및 상태 전이가 어떻게 발생하는가)
  • 물리적 보안 (변조 흔적을 남길 수 있는 내성을 가져야 함, 또 극단적인 환경에서의 내구성)
  • 실행 환경 (어떤 운영체제가 이용되는지)
  • 암호화 키 관리 ( 키 생성, 등록, 이용, 기록 및 폐기)
  • EMI / EMC (전자파에 의한 장애가 생기지 않는가)
  • 자가 진단 테스트 (무엇을 언제 테스트하는가, 테스트를 실패했을 때 무엇을 하는가)
  • 설계 보증 (모듈이 충분한 설계 및 구현이 이루어졌음을 나타내야 함)
  • 다른 공격의 위험 완화