개요

FIPS(Federal Information Processing Standard) 140-2는 암호화 모듈(cryptographic modules)이 만족해야 하는 최소한의 보안 요구사항에 대한 미국 연방 정부 표준입니다.


미국 국립표준연구원(NIST;National Institute of Standards and Technology) 에서 표준화한 FIPS 140-2 인증을 획득해야 미국과 캐나다 정부 조달의 필수 인증 요소입니다.


FIPS 140-2 는 제품의 보안 강도에 따라서 1 ~ 4까지 level 로 나눠져 있으며 숫자가 클수록 보안성이 우수합니다.

예를 들어 HSM(Hardware Security Module) 이 많이 받는 FIPS 140-2 level  3는 key 를 빼내려는 물리적인 공격에도 방어력을 갖춰야 하며 예로 물리적으로 분리할 경우 내장된 키를 파손하는 기능이 있습니다.

FIPS 140-2Level 1Level 2Level 3Level 4
Environment Failure Protection(error)(error)(error)(tick)
Tamper resistance(error)(error)(tick)(tick)
Identity-based authentication(error)(error)(tick)(tick)
Tamper detection and response(error)(error)(tick)(tick)
Tamper evidence(error)(tick)(tick)(tick)

at least one Approved algorithm or Approved security function implemented

(tick)(tick)(tick)(tick)


인증 대상

FIPS 인증은 Software, H/W 모두 신청할 수 있으며 OpenSSL 같은 오픈소스도 인증이 가능합니다. (OpenSSL fips 관련 페이지)

단 오픈소스의 경우 개발자나 커뮤니티가 직접 신청할 시간과 자금 여력이 없으므로 이를 가져다가 상용화한 제품 벤더(예: RedHat) 같은 곳에서 인증을 받기도 합니다.


FIPS 140-2 인증을 받는 제일 유명한 제품들은 HSM 일 겁니다.

AWS 나 Azure 같은 Cloud 에서도 HSM 을 제공하고 있으며 HSM 을 Managed Service 로도 제공하고 있습니다.

Ref