Американский Национальный институт стандартов и технологий проводит публичное обсуждение одного из ключевых криптографических стандартов

Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) опубликовал для публичного обсуждения новую редакцию одного из его ключевых документов по компьютерной безопасности - набора стандартов обработки информации, регламентирующих использование криптографических модулей гражданскими федеральными агентствами и государственных подрядчиками.

Проект новой редакции федерального стандарта обработки информации (Federal Information Processing Standard, FIPS) 140-3 представляет собой обновленное руководство для агентств федерального правительства по тестированию и проверке криптографических модулей, которые являются основным средством защиты конфиденциальных данных.  Публичное обсуждение FIPS 140-3 продлится до 11 марта 2010 года.

Это уже третья редакция стандарта, которая был впервые опубликован в 1995 году под номером FIPS 140-1. Вторая редакция вышла в 2001 году. Представитель NIST Уильям Бёр (William Burr) отметил, что необходимость обновления стандарта связана с эволюцией вычислительных систем, способов использования ими средств криптографии, а также с эволюцией атак. «Раньше эти модули представляли собой отдельные устройства, защищавшие одну связь между двумя точками. Однако в настоящее время в большинстве случаев используются программные средства обеспечения безопасности, обсуживающие криптотрафик общего назначения через интернет, подсоединенный многими связями к различным точкам»", говорит Бёр, специалист по компьютерной безопасности. «Теперь  криптография также широко используется при работе с такими объектами, как электронные удостоверения личности, которые подвергаются различным видам атак. Мы должны принять эти изменения во внимание».

По сравнению с предыдущим проектом, обсуждавшимся в июле 2007 года, данный проект содержит ряд доработок. Новый проект отличается как от проекта 2007 года, так и от редакции стандарта 2001 года (FIPS 140-2). В число ключевых изменений входят следующие:

• Если проект 2007 года предусматривал пять уровней безопасности, то новый проект вернулся к четырем уровням, как в действующей редакции FIPS 140-2.
  
  
• Вновь вводится понятие криптографического модуля, реализованного в фирменной «прошивке» (firmware - программное обеспечении, изменить которое может только производитель), и для него устанавливаются требования по безопасности.
  
  
• Снимается требование к производителю о представлении формальной модели криптографического модуля и подробной информации о его работе, выполнение которого раньше было  необходимо для присвоения продукту высшего уровня защищённости.
  
  
• На более высоких уровнях безопасности введены требования для защиты от атак, не сопровождающихся взломом системы, и нацеленных на подбор ключей для доступа к защищённой системе не путем анализа потока зашифрованных данных, а через точное измерение иных эксплуатационных характеристик, таких, как энергопотребление.

Проект стандарта доступен по адресу: http://csrc.nist.gov/publications/drafts/fips140-3/revised-draft-fips140-3_PDF-zip_document-annexA-to-annexG.zip

Источник: сайт NIST
http://www.nist.gov/public_affairs/techbeat/tb2009_1215.htm#fips