Cosa guida la conformità FIPS140-2?

5

Credo che queste domande siano rivolte ai Product Manager, ma sarei molto interessato a sapere cosa pensano le persone che sanno.

Quali sono i fattori più comuni che determinano la conformità FIPS140-2 per i moduli hardware? Perché vuoi / devi implementare la sicurezza conforme FIPS140 nei tuoi prodotti?

Ecco alcuni motivi per cui posso pensare:

  • Domanda di mercato:

  • Domanda del cliente (governativa)

  • Domanda del cliente (individui)

  • Domanda del cliente (aziendale)

  • Accettazione / aspettativa di mercato

  • Marketing

  • Politica di sicurezza IT aziendale / Posizione di sicurezza; (ad esempio, meno probabilità di essere compromesso se si utilizzano moduli compatibili con FIPS140)

  • Per mitigare gli attacchi presenti / futuri; attenuare le falle di sicurezza passate

  • vantarsi; solo perché puoi; per dimostrare che puoi farlo

  • Perché è facile da attuare

  • Perché è poco oneroso adeguarsi

posta Drew Lex 30.06.2012 - 03:47
fonte

2 risposte

1

Quando proteggi più del tuo account Twitter, sarebbe bello sapere che qualunque algoritmo utilizzato per proteggere le credenziali, le conversazioni di chiavi o qualsiasi altra criptazione che viene utilizzata, è protetto in modo professionale. Ci sono MOLTI fornitori che non potrebbero importare di meno di quanto sia implementato qualcosa, a patto che venda bene. La grande maggioranza degli utenti non si cura, o non sa come verificare la "correttezza" di tutti i dispositivi / meccanismi che stanno usando.

Per ottenere questo certificato FIPS, il prodotto passa attraverso un processo di verifica lungo, costoso e piuttosto approfondito. Ciò costringe i venditori a fare un lavoro migliore sviluppando e testando i loro prodotti, che semplicemente schiaffando "Ora con più sicurezza!" adesivo su di esso.

In questo modo, un personale non criptato può acquistare prodotti e, se viene fornito con un certificato FIPS, significa che l'assicurazione proviene da un laboratorio che ha sottoposto il prodotto a una verifica, e non al marketing del fornitore reparto.

No, non è perfetto ed è costoso e richiede tempo, ma alcune cose richiedono la sicurezza "no-kidding".

    
risposta data 02.07.2012 - 18:57
fonte
3

È guidato interamente dalla domanda del governo degli Stati Uniti.

FIPS è l'acronimo di Federal Information Processing Standards, che sono gli standard del governo statunitense.

Nessun altro se ne preoccupa tranne loro. Altri sostengono di averne a cuore solo perché è largamente adottato dai "grandi ragazzi". Esaminare i requisiti FIPS 140-2 in altre nazioni. Non ce ne sono praticamente nessuno eccetto quelli che desiderano vendere elettronica o software al mercato nordamericano. Altri paesi impongono requisiti crittografici per gli appalti localizzati e l'estensione di tali requisiti può richiedere molto tempo prima di mettere insieme FIPS, ma sono programmi diversi e in gran parte non intercambiabili.

    
risposta data 30.06.2012 - 03:58
fonte

Leggi altre domande sui tag