Federal Information Processing Standardization 140 è uno standard che specifica i requisiti di sicurezza per i moduli crittografici utilizzati dal governo degli Stati Uniti. L'accreditamento 140-2 della Federal Information Processing Standardization è richiesto per qualsiasi prodotto di crittografia venduto da un'azienda del settore privato al governo degli Stati Uniti.
Il National Institute of Standards and Technology (NIST) degli Stati Uniti sviluppa e pubblica FIPS (Federal Information Processing Standardizations) quando non esistono già standard di settore adeguati per garantire che i prodotti siano conformi ai requisiti di sicurezza. La serie di pubblicazioni 140 si applica specificamente ai moduli di crittografia. La versione corrente della serie 140 è FIPS 140-2.
FIPS 140-2, emesso dal NIST nel 2001, specifica qualitativamente i requisiti di sicurezza per i moduli crittografici in quattro livelli sempre più severi destinati a coprire l'ampia gamma di potenziali applicazioni e ambienti in cui i moduli crittografici potrebbero essere impiegati dal governo:
Livello 1 - Il livello di sicurezza più basso. Richiede almeno un algoritmo approvato ma nessuna sicurezza fisica
Livello 2 - Richiede l'autenticazione basata sui ruoli e un po 'di sicurezza fisica
Livello 3 - Richiede un'autenticazione basata sull'identità e una sicurezza fisica più rigorosa
Livello 4 - Livello massimo di sicurezza fisica, inteso a fornire un "involucro completo di protezione" attorno al modulo
Il requisito FIPS 140 è applicabile a tutti i dipartimenti e le agenzie del governo degli Stati Uniti che utilizzano sistemi di sicurezza basati su crittografia per proteggere le informazioni sensibili ma non classificate, comprese le organizzazioni che vendono prodotti ad agenzie governative statunitensi e canadesi.
Per saperne di più:
Come verificare la conformità 140-2 (FIPS 140-2)
Best practice per la sicurezza delle chiavette USB enunciate dal NIST.