Posso inserire PIN o password in un modulo crittografico FIPS 140-2 in testo semplice?

3

Le password (o PIN) utilizzate per l'autenticazione degli operatori di un modulo crittografico devono essere protette (crittografate) quando inserite nel limite crittografico definito FIPS140-2? I requisiti per l'immissione di PIN e password equivalgono a tutti i livelli di sicurezza FIPS140-2?

    
posta Drew Lex 28.06.2012 - 11:27
fonte

1 risposta

1

Sì, i dati di autenticazione possono essere inseriti in testo normale. Questo è, in effetti, di solito il caso: un tipo molto comune di autenticazione è che un essere umano digita la password su una tastiera o un dispositivo simile. Nella maggior parte delle impostazioni, non ci sarebbe alcun modo per proteggere la password: avresti bisogno di un altro modulo crittografico per questo, che a sua volta vorresti certificare con FIPS 140 ...

Devi stare attento che i dati di autenticazione non possano essere trapelati al punto di entrata. Questo è incorporato nelle regole sul feedback fornite all'operatore che inserisce i dati (§4.3.3):

Feedback of authentication data to an operator shall be obscured during authentication (e.g., no visible display of characters when entering a password). Feedback provided to an operator during an attempted authentication shall not weaken the strength of the authentication mechanism.

Il livello di sicurezza non influenza le regole riguardanti l'immissione di dati di autenticazione, né le regole sulla forza di autenticazione (al massimo 10 -6 probabilità di un tentativo casuale, al massimo 10 -5 probabilità di successo con tentativi casuali in meno di 1 minuto). Il livello di sicurezza influisce solo su quali tipi di modello di autorizzazione devono essere forniti i dati di autenticazione (nessuno al livello 1, basato sul ruolo al livello 2, basato sull'identità sopra quello).

Non ci sono requisiti aggiuntivi quando si inizializzano i dati di autenticazione (come nell'impostazione di una password).

Una volta inseriti nel modulo, i requisiti sui dati di autenticazione variano in base al livello di sicurezza (§ 4.6.6):

  • Il livello 1 non pone alcun requisito sui dati di autenticazione anche se è presente.
  • Il livello 2 richiede che vengano registrati tutti i tentativi di accesso o modifica dei dati di autenticazione.
  • Il livello 3 richiede che i dati di autenticazione vengano comunicati tramite un meccanismo affidabile.

Non è richiesta alcuna crittografia in nessun punto: i dati di autenticazione possono essere protetti da soli mezzi fisici. I requisiti sui dati di autenticazione memorizzati sono (dal § 4.3.3):

Authentication data within a cryptographic module shall be protected against unauthorized disclosure, modification, and substitution.

    
risposta data 29.11.2012 - 20:20
fonte

Leggi altre domande sui tag