Physischer und logischer Schutz von Kryptomodulen

Wie sicher sind FIPS-zertifizierte Geräte?

| Autor / Redakteur: Dr. Markus a Campo / Stephan Augsten

Ein nach FIPS 140-2 zertifiziertes Gerät ist nicht zwangsläufig zugriffssicher, wie das Beispiel eines USB-Sticks zeigt.
Ein nach FIPS 140-2 zertifiziertes Gerät ist nicht zwangsläufig zugriffssicher, wie das Beispiel eines USB-Sticks zeigt. (Bild: Andrea Danti - Fotolia.com)

Oft sind USB-Sticks, andere Geräte oder auch Software-Module nach dem US-Standard FIPS 140-2 zertifiziert. Diese geprüften Geräte sind aber in der Regel teurer als solche ohne Zertifikat. Wie groß ist der Nutzen von FIPS-140 also wirklich?

FIPS PUB 140-2, so der Name des Standards in voller Länge, bedeutet „Federal Information Processing Standards Publication 140-2“. Die nationale Norm hat mittlerweile auch internationale Bedeutung errungen.

Inhalt des Dokuments ist die Prüfung der Sicherheit von Kryptomodulen. Dabei geht es nicht nur um Algorithmen und Verfahren, sondern auch um physikalische Sicherheit. Der FIPS-Standard legt vier Stufen fest, in denen unterschiedliche Sicherheitsanforderungen geprüft und zertifiziert werden:

  • Security Level 1 ist die unterste Stufe, die sich auf den Einsatz von geprüften Algorithmen und Funktionen bezieht. Die physikalische Sicherheit des Moduls wird nicht bewertet. Auch ein eventuell darunter liegendes Betriebssystem muss nicht besonders abgesichert sein.
  • Im Level 2 muss das Gerät versiegelt sein, sodass ein Öffnen bemerkt wird. Außerdem muss ein Rollenkonzept für den Zugang vorhanden sein. Desweiteren werden an Software beziehungsweise Firmware Anforderungen gestellt, die im Standard „Common Criteria“ (CC) festgelegt sind.
  • Im Level 3 werden verstärkte Anforderungen an die physikalische Sicherheit gestellt. Das Gerät muss gegen unbefugtes Öffnen Widerstand leisten. Das Rollenkonzept für den Zugang wird gegenüber Level 2 weiter abgesichert. Klartext-Operationen sind von denen mit verschlüsselten Daten zu trennen. Die zusätzlichen Anforderungen an Software und Firmware nach CC werden größer.
  • Level 4 bietet das Maximum an Sicherheit, was die physikalische Sicherheit, das Rollenkonzept für den Zugang und die Sicherheit von Software oder Firmware angeht.

Für USB-Sticks, PCs und Smartphones ist im Normalfall nur der Level 1 zu erreichen, da es eine physikalische Sicherheit der Geräte nicht gibt. In seltenen Fällen gibt es Geräte mit Level-2-Sichereit im Handel, die dann physikalisch versiegelt sind. Geräte mit Level 3 oder 4 sind wegen der hohen Anforderungen an die physikalische Sicherheit eher selten anzutreffen.

Die folgende Tabelle gibt eine Kurzübersicht über die bei einer FIPS-Zertifizierung geprüften Punkte:

Testkriterien für eine Zertifizierung nach FIPS 140-2.
Testkriterien für eine Zertifizierung nach FIPS 140-2. (Bild: Archiv)

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42285593 / Standards)