AlmaLinux OS agora é certificado FIPS

AlmaLinux 8.10 reativa suporte para alguns hardwares mais antigos
Distribuição AlmaLinux já está disponível para arquitetura PowerPC de 64 bits

O AlmaLinux OS é uma distribuição Linux empresarial, compatível com o RHEL®, e guiada e construída pela comunidade. Como um sistema operacional independente e completamente gratuito, o AlmaLinux OS conta com US$ 1 milhão em patrocínio anual da CloudLinux Inc. e apoio de mais de 25 outros patrocinadores. Os esforços de desenvolvimento em andamento são governados pelos membros da comunidade.

Em setembro de 2023, o AlmaLinux OS anunciou que obteve a certificação de segurança FIPS 140-3 para sua distribuição Linux, que é usada principalmente em data centers. FIPS 140-3 é o mais recente conjunto de requisitos do NIST nos EUA e do Centro Canadense de Segurança Cibernética, para produtos que usam criptografia em um sistema que processa informações “Sensíveis Mas Não Classificadas” (SBU). Basicamente, para vender um produto de segurança para o governo federal dos EUA (e outros mercados regulamentados, como infraestrutura, energia, telecomunicações, finanças e saúde), você tem que provar que está usando apenas algoritmos aprovados para criptografia, hashing, assinatura e assim por diante.

O processo de validação do Programa de Validação do Módulo Criptográfico é como você obtém seu hardware, software ou até mesmo firmware validado. Depois de escolher um laboratório CST credenciado (atsec no nosso caso) e concordar com as plataformas de hardware (x86_64 e aarch64), Ambiente Operacional (AlmaLinux 9) e módulos (escolhemos a API Criptográfica do Kernel e o Provedor FIPS do OpenSSL para começar) que você vai validar, você atinge o marco 1 – a lista de Implementação Sob Teste, à qual fomos adicionados em dezembro de 2022.

Recebemos nossos certificados ESV em setembro de 2023 e fomos na verdade a primeira implementação de software a receber um certificado ESV FIPS 140-3 usando SHA3-256 como condicionador (256 bits de entropia em oposição à implementação LFSR de 64 bits anterior).

FIPS 140-3 é um pré-requisito para outras regulamentações e leis de segurança, como CMMC, FedRAMP, HIPAA e FISMA; os certificados também podem ser usados como evidência para cumprir com os requisitos de criptografia de dados do Common Criteria, SOX, ISO27001 e PCI-DSS. É visto como o padrão ouro, então empresas que nem mesmo são obrigadas a cumprir irão buscar isso, para saber que têm uma linha de base bem testada para criptografia.

Tudo sobre FIPS 140-3

FIPS 140-3 é um padrão de segurança para módulos criptográficos, publicado pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos. Ele substitui o FIPS 140-2, que estava em vigor desde 2001. O FIPS 140-3 visa garantir que os módulos criptográficos sejam projetados, implementados e testados de acordo com os requisitos de segurança mais atualizados e rigorosos.

O que é um módulo criptográfico?

Um módulo criptográfico é um componente de hardware, software ou firmware que realiza funções criptográficas, como geração de chaves, encriptação, decriptação, assinatura digital, verificação de assinatura, entre outras. Os módulos criptográficos são usados para proteger dados sensíveis, como informações pessoais, financeiras, de saúde, militares ou governamentais.

Por que o FIPS 140-3 é importante?

O FIPS 140-3 é importante porque estabelece um nível mínimo de confiança e qualidade para os módulos criptográficos que são usados em sistemas críticos para a segurança nacional, a economia e a sociedade. O FIPS 140-3 também facilita a interoperabilidade e a compatibilidade entre os módulos criptográficos de diferentes fabricantes e fornecedores. Além disso, o FIPS 140-3 ajuda os usuários a escolher os módulos criptográficos mais adequados para as suas necessidades e aplicações.

Quais são as principais diferenças entre o FIPS 140-2 e o FIPS 140-3?

As principais diferenças entre o FIPS 140-2 e o FIPS 140-3 são:

  • O FIPS 140-3 adota uma nova metodologia de avaliação baseada na norma internacional ISO/IEC 19790:2012, que é mais abrangente e detalhada do que a anterior.
  • O FIPS 140-3 introduz quatro níveis de segurança (de 1 a 4), em vez dos antigos dois (de 1 a 2), para refletir melhor a variedade e a complexidade dos módulos criptográficos existentes.
  • O FIPS 140-3 atualiza os requisitos de segurança para os módulos criptográficos em relação aos algoritmos, às chaves, às interfaces, ao armazenamento, ao autoteste, à autenticação, à resistência física, à documentação, entre outros aspectos.
  • O FIPS 140-3 estabelece um processo de transição gradual do FIPS 140-2 para o FIPS 140-3, que deve durar até setembro de 2026.

Como obter a certificação FIPS 140-3?

Para obter a certificação FIPS 140-3, os fabricantes ou fornecedores de módulos criptográficos devem submeter os seus produtos a um laboratório credenciado pelo NIST, que irá realizar uma série de testes e análises para verificar se eles atendem aos requisitos do padrão. Se o módulo criptográfico passar na avaliação, o laboratório emitirá um relatório técnico ao NIST, que irá revisá-lo e conceder a certificação. O NIST mantém uma lista pública dos módulos criptográficos certificados no seu site.

Quais são os benefícios da certificação FIPS 140-3?

Os benefícios da certificação FIPS 140-3 são:

  • Aumentar a confiança e a credibilidade dos módulos criptográficos no mercado nacional e internacional.
  • Demonstrar o compromisso com a qualidade e a segurança dos módulos criptográficos aos clientes e parceiros.
  • Atender aos requisitos legais ou regulatórios de alguns setores ou organizações que exigem o uso de módulos criptográficos certificados pelo NIST.
  • Aproveitar as vantagens competitivas e as oportunidades de negócio decorrentes da certificação.

Conclusão

O FIPS 140-3 é um padrão de segurança essencial para os módulos criptográficos que são usados para proteger dados sensíveis em diversos contextos e aplicações. Ele representa uma evolução em relação ao FIPS 140-2, incorporando os avanços tecnológicos e as melhores práticas da indústria. A certificação FIPS 140-3 é um diferencial para os fabricantes e fornecedores de módulos criptográficos, que podem demonstrar a qualidade e a segurança dos seus produtos aos seus clientes e ao mercado.

Acesse a versão completa
Sair da versão mobile