Perché non ci sono dispositivi FIPS di livello 4 sul mercato?

Se basati su uno standard, in particolare su quelli rigorosi come FIPS 140-2, è necessario eseguire i seguenti processi (che richiedono molto tempo e sono costosi):

• design
• Test
• Certificazione

Se dai un'occhiata alla Guida all'implementazione NIST per FIPS PUB 140-2 , insieme agli altri documenti, è possibile cercare l'implementazione di Livello 4 i cui dettagli sono progettati per essere a prova di manomissione.

È considerato "eccessivo" per la maggior parte delle aziende e anche per uso personale perché protegge da "perforare, fresare, tagliare, bruciare, fondere, levigare o dissolvere la resina epossidica o il materiale di invasatura, al fine di accedere ai circuiti sottostanti. " Ha anche lo scopo di proteggere da fattori ambientali. Questo è lo standard USB di Doomsday, in cui in nessuna circostanza può perdere o perdere dati.

È un insieme di requisiti molto aggressivo che molto probabilmente non è molto economico se si intende venderlo a un consumatore, per lo stesso motivo per cui una macchina a prova di crash è fattibile, ma la persona media non è disposta a pagare prezzo o trattare con le complessità coinvolte.

Questo spiega perché le entità governative possono avere questo tipo di tecnologia:

• Non sono un'entità che cerca profitto, tecnicamente.
• Non sono limitati dalle esigenze di rendere un prodotto commercializzabile, ma sono anche i propri clienti (e anche altri governi).
• Hanno scuole, laboratori rinomati e strutture dedicate a loro disposizione e invitano a costruire cose "cool" in nome della sicurezza, del servizio pubblico, della difesa o di cosa hai.

Ricorda che la costruzione di dispositivi crittografici, soprattutto a livello di hardware, non è compito da scemo.

is FIPS level 3 safe from the government anyone trying to hack into it?

realizzare la pubblicazione Federal Information Processing Standards 140-2 è una specifica che qualcosa è stato progettato e costruito per ottenere la certificazione. Per tua domanda FIPS 140-2 livello 3 protegge da hacking, direi che la risposta reale è NO . Perché dipende dall'onestà e dall'ampiezza integrità e amp; capacità del produttore costruire il dispositivo, e alla fine la dura verità è che non c'è onestà né etica nel regno (tra le altre cose) della sicurezza informatica e del livello FIPS 140-2 x può essere usato come stratagemma di marketing. Dovremmo avere un'enorme discussione aperta e cercare i buchi del loop nella formulazione dello standard e il controllo in background e supervisionare tutti coloro che hanno firmato, affermando che qualsiasi dispositivo è compatibile con FIPS.

Invece di prendere qualche foglio di certificazione al valore nominale, Un esempio fuori dalla mia testa: VW ha detto che i loro veicoli diesel soddisfano gli standard di emissione e ad un certo punto sono stati certificati in vendita, ma sappiamo come è emerso - lo scandalo delle emissioni di Volkswagen 2015 . La frode non conosce limiti.

Sì, sul mercato sono disponibili dispositivi Level 4: la scheda PCI Crypto Express certificata FIPS 140-2 Level 4, IBM è disponibile per l'acquisto - per la maggior parte dei paesi e delle imprese - e funziona con x86, Power e ovviamente z Systems.

link