La conformità FIPS (o gli equivalenti europei come i livelli EAL) è un requisito in alcuni mercati o per ottenere alcune proprietà legali; ad esempio, in Francia, i timestamp sono considerati prove legali (l'onere della prova che si trova sulla parte che richiede la registrazione temporale non è vincolante) solo se l'autorità del timestamp è passata attraverso un processo di certificazione, in cui è richiesta che un HSM "certificato" (Hardware Security Module) è utilizzato per memorizzare e utilizzare la chiave privata dell'autorità. Se ciò accadesse negli Stati Uniti anziché in Francia, il "certificato HSM" sarebbe "un HSM conforme al livello 4 FIPS-140".
Nelle aree di proprietà privata (ad es. bancario) i requisiti per certificazioni e / o livelli FIPS 140 provengono da compagnie assicurative: le banche possono essere coperte a tariffe folle, perché possono dimostrare di utilizzare rigorose regole di sicurezza e FIPS 140 livelli sono tali regole. VISA e MasterCard sono particolarmente severe per quanto riguarda la sicurezza (si tratta di soldi, quindi è importante ).
In termini più pratici, i livelli di FIPS 140 si ottengono dimostrando che alcune caratteristiche di sicurezza sono state raggiunte (si veda la risposta di @bethlakshmi), che riguarda sia l'hardware che il software. Dal momento che, in generale, la correttezza del software non può essere dimostrata, il processo di certificazione implica che il sistema è stato sviluppato con tutta la dovuta maestria (test unitario, revisioni del codice, versioning del codice sorgente autenticato, fino a includere controlli di background sugli stessi sviluppatori). Ciò comporta tempo, denaro (penso a 100k + dollari) e un sacco di carta. Quindi il vero significato di conformità a FIPS 140 è che qualcuno ha speso un sacco di tempo e denaro per l'idea che il sistema non sia palesemente insicuro. Ciò non significa che il sistema sia sicuro, ma almeno ci sono stati alcuni sforzi e investimenti sostanziali verso questo obiettivo.
La maggior parte dei progetti opensource utilizza un modello di bazaar che è efficiente nel produrre un buon codice veloce, ma è assolutamente incompatibile con una certificazione processi. Inoltre, la maggior parte dei progetti opensource non ha o ha pochi finanziamenti. Questo spiega perché Bouncy Castle non è conforme alla FIPS, e persino grandi aziende come Sun (ora Oracle) hanno preferito non eseguire quel processo. Anche in questo caso, non essendo FIPS conforme non significa "insicuro" o addirittura che il sistema non possa essere dichiarato FIPS compatibile, solo che nessuno ha trovato che valga la pena di passare attraverso i costosi cerchi amministrativi di FIPS formale la conformità.