如何讓工業(yè)物聯(lián)網(wǎng)設備保護，升級到最新的FIPS安全標準？答案內詳~

工業(yè)物聯(lián)網(wǎng) (IIoT) 領(lǐng)域的制造商正在使用加密模塊來(lái)部署安全協(xié)議和算法，以保護數據并防止邊緣設備及其連接網(wǎng)絡(luò )遭受未授權訪(fǎng)問(wèn)。

制造商可以從許多加密模塊中進(jìn)行選擇，但他們普遍認為符合最新聯(lián)邦信息處理標準 (FIPS) 的模塊非常值得信賴(lài)。因為FIPS標準由美國國家標準與技術(shù)研究院 (NIST) 制定和維護，這些標準定義了信息技術(shù) (IT) 產(chǎn)品中加密模塊的最低安全要求，涵蓋與模塊設計和實(shí)施相關(guān)的11個(gè)領(lǐng)域。

FIPS符合ISO/IEC19790:2012 (E) 標準，該標準指定了4個(gè)安全級別，用于多種應用環(huán)境，并涵蓋了模塊的設計、實(shí)現和部署。

標記為符合FIPS標準的加密模塊已經(jīng)過(guò)聯(lián)邦認可實(shí)驗室的嚴格審查，并獲得了加密模塊驗證計劃 (CVMP) 證書(shū)。在美國和加拿大，任何接受聯(lián)邦資助的機構或組織，以及與聯(lián)邦政府合作的私營(yíng)組織，必須使用符合FIPS標準的解決方案。FIPS標準也被全球私營(yíng)部門(mén)用作采購指南，并作為許多受監管行業(yè)在全球市場(chǎng)上遵循合規要求的依據。

由于FIPS標準受到廣泛的信任和尊重，許多IIoT供應商現在優(yōu)先確保其整體IIoT設備及其設計中嵌入的安全子組件符合FIPS標準。

過(guò)渡到新一代標準

FIPS標準會(huì )定期修訂，以應對新的和新興的威脅。多年來(lái)，FIPS 140-2一直是主流標準，但現在140-2正在被FIPS 140-3所取代。

針對FIPS 140-2的CMVP測試的截止日期為2021年9月22日。CMVP證書(shū)的有效期為五年，這意味著(zhù)所有當前的FIPS 140-2驗證將于2026年9月21日或之前失效。

NIST計算機安全資源中心 (CSRC) 提供了一個(gè)可搜索的CMVP驗證列表，使開(kāi)發(fā)人員、采購代理和其他參與IIoT部署的人員可以輕松查看特定CMVP證書(shū)的狀態(tài)。

CMVP驗證可以標記為“revoked”（已撤銷(xiāo)）或“historical”(已過(guò)期)。根據CSRC網(wǎng)站，如果驗證證書(shū)標記為“revoked”（已撤銷(xiāo)），則“模塊驗證不再有效，不能作為符合140標準的依據”。如果驗證證書(shū)被標記為“historical”(已過(guò)期)，則“聯(lián)邦機構不應將其包含在新系統中，但可以用于舊型號系統”。有關(guān)“revoked”（已撤銷(xiāo)）和“historical”(已過(guò)期) 狀態(tài)之間的區別的詳細介紹，請訪(fǎng)問(wèn)CMVP網(wǎng)站。

由于對FIPS 140-2的支持即將結束，建議制造商盡快獲得FIPS 140-3認證。過(guò)渡到最新的FIPS認證有助于產(chǎn)品保持最新?tīng)顟B(tài)，提供更好的保護，并避免解決方案被標記為“revoked”（已撤銷(xiāo)）或“historical”(已過(guò)期)。

FIPS 140-3與140-2的區別

已經(jīng)獲得FIPS 140-2認證的產(chǎn)品升級到FIPS 140-3相對比較容易，因為這兩個(gè)版本的大部分要求是相同的。但也存在一些變更值得注意。

首先，FIPS 140-3引入了非侵入性物理要求作為可選項。這包括針對側通道攻擊的防護指南，側通道攻擊是指在應用程序執行過(guò)程中利用系統物理信息泄漏進(jìn)行攻擊。

FIPS 140-3還對關(guān)鍵安全參數 (CSP) 提出了更嚴格的清零要求。換句話(huà)說(shuō)，140-3改進(jìn)了永久擦除或銷(xiāo)毀安全數據 (例如密鑰、密碼、PIN及其它執行加密功能的信息) 的流程，以應對這些數據被披露或修改的情況。CSP清零有助于防止與加密相關(guān)的數據被恢復，從而保護模塊、整個(gè)系統及其信息的安全。

FIPS 140-3的另一個(gè)重要改進(jìn)是引入了SP 800-140Br1等機制，支持對FIPS文檔和報告的各個(gè)方面進(jìn)行自動(dòng)化。這是CMVP為進(jìn)一步自動(dòng)化FIPS測試流程所做的努力之一，目的是減少認證時(shí)間。然而，認證流程仍需數月才能完成，因此建議制造商現在就開(kāi)始申請FIPS 140-3認證。

恩智浦深耕FIPS認證安全領(lǐng)域

作為嵌入式應用安全連接解決方案的實(shí)力供應商，以及智能手機、銀行卡和護照安全解決方案的值得信賴(lài)的提供商，恩智浦在安全認證方面有著(zhù)悠久的歷史，不僅涵蓋通用標準，也包括FIPS標準。事實(shí)上，我們十多年前就開(kāi)始提供FIPS認證的產(chǎn)品，并隨著(zhù)FIPS標準的發(fā)展不斷更新。

我們也是首批獲得NIST加密算法驗證計劃 (CAVP) 認證的非商業(yè)測試實(shí)驗室之一，這意味著(zhù)我們有權對NIST批準或推薦的加密算法及其各個(gè)組件進(jìn)行驗證測試。

FIPS認證的安全芯片

自2021年以來(lái)，我們的EdgeLock SE050系列安全芯片已經(jīng)通過(guò)了通用標準 (CC) EAL 6+和FIPS 140-2 3級安全認證，能夠在包括工業(yè)在內的廣泛物聯(lián)網(wǎng)應用中提供強有力的保護?，F在，即將向FIPS 140-3過(guò)渡，因此我們推出了EdgeLock SE052F，這是一款通過(guò)通用標準(CC) EAL 6+和FIPS 140-3標準認證的安全芯片。

EdgeLock SE052F是恩智浦首款通過(guò)FIPS 140-3認證的安全芯片。具體而言，它的操作系統和小程序獲得了FIPS 140-3 3級加密模塊認證，而硬件物理安全則通過(guò)了更高的4級加密模塊認證。

FIPS和CC EAL認證的預驗證意味著(zhù)開(kāi)發(fā)人員在交付新產(chǎn)品時(shí)可以節省時(shí)間、精力和成本。如果使用嵌入式FIPS認證模塊 (如SE052) 來(lái)執行產(chǎn)品中的所有加密操作，則不需要在產(chǎn)品級別單獨進(jìn)行FIPS認證。

EdgeLock SE052F還支持基于NIST和Brainpool曲線(xiàn)的加密功能，如ECDSA和ECDH/E，以及最高4K的RSA(包括密鑰生成)和經(jīng)過(guò)身份驗證的AES加密模式CCM/GCM。

EdgeLock SE052F的成功用例

作為恩智浦首款通過(guò)FIPS 140-3 L3認證的IIoT硬件安全芯片，EdgeLock SE052F將安全性與易用性相結合，極大地簡(jiǎn)化了安全且具有差異化優(yōu)勢的工業(yè)物聯(lián)網(wǎng)設備的開(kāi)發(fā)與交付流程。

2024年8月，網(wǎng)絡(luò )物理安全產(chǎn)品的優(yōu)秀企業(yè)Axis Communications推出了AXIS Q1809-LE槍式攝像頭，這是該公司首款基于EdgeLock SE052F并提供FIPS 140-3認證的網(wǎng)絡(luò )安全設備。

Axis首席技術(shù)官Johan Paulsson介紹了該公司選擇EdgeLock SE052F的原因，他表示：“這使我們能夠在物理安全行業(yè)突破邊緣設備安全的極限?！?展望未來(lái)，為了改善客戶(hù)的網(wǎng)絡(luò )安全狀況，Axis將繼續擴大其FIPS 140-3認證設備的范圍，將EdgeLock SE052F嵌入自己所有即將推出的網(wǎng)絡(luò )產(chǎn)品中，包括攝像頭、門(mén)禁、對講機和音頻產(chǎn)品。

Axis Communications推出其首款基于EdgeLock SE052F、符合FIPS 140-3標準的網(wǎng)絡(luò )安全設備

展望未來(lái)

隨著(zhù)全球安全需求的不斷提升，IIoT部署對FIPS認證的要求也日益增多，我們預計越來(lái)越多的客戶(hù)將通過(guò)遵守NIST的FIPS 140-3標準來(lái)滿(mǎn)足這些監管要求，同時(shí)展示他們先進(jìn)的安全技術(shù)。

EdgeLock SE052F是一款專(zhuān)為物聯(lián)網(wǎng)安全運營(yíng)設計的即用型平臺，它具備強大的加密功能，是恩智浦首款通過(guò)FIPS 140-3最新版本認證的加密模塊，提供開(kāi)箱即用的FIPS合規性。作為全包式解決方案，它極大地簡(jiǎn)化了安全且具有差異化優(yōu)勢的物聯(lián)網(wǎng)設備的交付過(guò)程。

本文作者

Giuseppe Guagliardo，恩智浦半導體公司的產(chǎn)品經(jīng)理。作為工業(yè)物聯(lián)網(wǎng)和NFC安全團隊的一員，他正推動(dòng)恩智浦面向工業(yè)物聯(lián)網(wǎng)產(chǎn)品的安全芯片的發(fā)展，使安全性更易獲得。他與客戶(hù)合作，讓他們了解安全威脅和網(wǎng)絡(luò )安全發(fā)展趨勢，并幫助實(shí)現安全的工業(yè)物聯(lián)網(wǎng)解決方案。Giuseppe在系統工程領(lǐng)域擁有豐富的經(jīng)驗，主要研究物聯(lián)網(wǎng)、邊緣和云架構、標準化及網(wǎng)絡(luò )安全。

Marc Ireland，作為高級首席安全認證專(zhuān)家，Marc擁有超過(guò)15年的FIPS 140安全標準工作經(jīng)驗，推動(dòng)恩智浦北美安全認證戰略，致力于將經(jīng)過(guò)認證的恩智浦物聯(lián)網(wǎng)解決方案推向市場(chǎng)。

Antje Schuetz，憑借在半導體市場(chǎng)超過(guò)20年的經(jīng)驗，Antje利用對安全和大眾市場(chǎng)的了解，將恩智浦安全芯片解決方案推向工業(yè)和智慧城市市場(chǎng)。