阿狗工具
NIST-加密模块验证计划(CMVP: Cryptographic Module Validation Program)**部分由美国国家标准与技术研究所(NIST)运行,用于验证加密模块。公司可以使用这些资源来确保他们使用的技术既安全又有效。
概述
欢迎来到CMVP (Cryptographic Module Validation Program)
密码学模块验证计划(CMVP)是美国商务部下属的国家标准与技术研究所和加拿大网络安全中心(通信安全机构的一个分支)的联合努力。CMVP的目标是促进使用经过验证的加密模块,并为联邦机构在采购包含经过验证的加密模块的设备时提供安全度量。
每个密码和安全测试实验室(Security Testing Laboratories = CSTL)都是NVLAP(National Voluntary Laboratory Accreditation Program即国家实验室自愿认可程序)认可的独立实验室。CSTL验证每个模块是否满足一组可测试的加密和安全需求,CMVP审查和验证每个CSTL提交。
CMVP接受加密模块提交联邦信息处理标准(Federal Information Processing Standard = FIPS) 140-2, 加密模块的安全要求直到2022年3月31日。 2022年4月1日,CMVP不再接受FIPS 140-2提交的新验证证书,除非下表所示。
截至2020年9月22日,CMVP开始根据联邦信息处理标准(FIPS) 140-3 *加密模块安全要求验证加密模块
验证模块的适用性
验证符合FIPS 140-2的模块将继续被两国的联邦机构接受,以保护敏感信息(美国)或指定信息(加拿大),直到2026年9月21日。在此之后,CMVP将FIPS 140-2验证模块放在历史列表中,允许机构继续仅在现有系统中使用这些模块。各机构应继续使用FIPS 140-2模块,直到可用的替换FIPS 140-3模块。
FIPS 140-3提交的验证文件正在接受中。验证后,模块将被列入活动列表5年,并可为新系统和现有系统购买。
CMVP验证工作的状态
CMVP正在经历验证过程中的大量积压。鼓励使用当前活动列表中经过验证的模块。
更新- 06-15-2022
| 日期 | 活动 |
|---|---|
| 2020年9月22日 | CMVP接受FIPS 140-3提交 |
| 2021年6月14日 | 最后日期CSTLs接受FIPS 140-2场景5和场景3的合同。 |
| 2021年9月22日 | CMVP不再接受FIPS 140-2提交的新验证证书,除非供应商在2021年6月15日之前与CSTL签订了合同,CSTL已提交了延期请求,并且CSTL已收到CMVP的接受。然而,CMVP继续接受不改变验证日落日期的FIPS 140-2报告,即FIPS 140-2实施指南G.8中定义的场景1、1A、1B、3A、3B和4。 |
| 2021年10月1日 | 场景2和1B不再接受提交。 |
| 2022年4月1日 | CMVP仅接受未更改验证日落日期的FIPS 140-2报告,即FIPS 140-2实施指南G.8中定义的场景1、1A、3A、3B和4。 |
| 2026年9月21日 | *FIPS 140-2有源模块可以在此日期前用于新系统。在此日期之后,FIPS 140-2验证证书将被移动到历史列表 |
联邦机构和部门使用未经验证的加密模块
未经验证的密码学被NIST视为没有提供保护信息或数据——实际上,数据将被视为未受保护的明文。如果机构指定信息或数据采用密码保护,则适用FIPS 140-2或FIPS 140-3。本质上,如果需要加密,那么必须对其进行验证。如果加密模块被撤销,则不再允许使用该模块。
参考
csrc.nist.gov