FIPS 140-2 เป็นมาตรฐานที่จัดการโมดูลการเข้ารหัสและโมดูลที่องค์กรใช้ในการเข้ารหัสข้อมูลที่เหลือและข้อมูลที่เคลื่อนไหว FIPS 140-2 มีการรักษาความปลอดภัย 4 ระดับ โดยระดับ 1 มีความปลอดภัยน้อยที่สุด และระดับ 4 มีความปลอดภัยมากที่สุด
Google Cloud มีระดับที่ต่ำกว่า (ระดับ 3) เมื่อเทียบกับ IBM Cloud (ระดับ 4) ฉันสงสัยว่าทำไม Google ถึงยอมรับระดับที่ต่ำกว่านี้ ฉันสันนิษฐานว่า Google ตัดสินใจอย่างมีสติ และความแตกต่างไม่ควรก่อให้เกิดความเสี่ยงมากเกินไป เนื่องจาก Google ตัดสินใจอย่างรอบคอบแต่ถ้าเป็นอย่างนั้น เหตุผลคืออะไร?
ที่สำคัญกว่านั้น หากคุณดำเนินธุรกิจ SaaS ใน Finance ซึ่งเก็บข้อมูลที่ละเอียดอ่อน คุณควรพิจารณาข้อแตกต่างนี้หรือไม่ว่าจะเลือกย้ายไป IBM Cloud หรือ Google Cloud
ทรัพยากร:
คำถามทำการเปรียบเทียบแอปเปิ้ลกับส้ม: ระดับ 1 ของ Google ใบรับรอง #3318 มีไว้สำหรับ "ไลบรารีซอฟต์แวร์" ซึ่งเป็นระดับ 4 ของ IBM ใบรับรอง #3410 มีไว้สำหรับ "PCIe Cryptographic Coprocessor Hardware Security Module" ซอฟต์แวร์ไม่สามารถรับใบรับรอง FIPS 140-2 ระดับ 3 หรือระดับ 4 ได้ เนื่องจากบางช่องในรายการตรวจสอบ (เช่น เกี่ยวกับการตรวจจับการบุกรุกทางกายภาพ) ไม่สามารถใช้ได้กับซอฟต์แวร์
จากนั้นคำถามจะใช้ใบรับรองเหล่านี้สำหรับสิ่งที่ไม่ใช่: ใบรับรองเกี่ยวกับความปลอดภัยของบริการคลาวด์ เช่น. IBM Cloud ไม่ได้รับการรับรอง FIPS 140-2 ระดับ 4 ในเชิงบวก: อาจใช้ Gizmo ซึ่งอยู่ที่ไหนสักแห่ง การใช้ Gizmo (ซอฟต์แวร์หรือฮาร์ดแวร์) ในบริการคลาวด์ไม่ได้เป็นตัวบ่งชี้ความปลอดภัยของบริการดังกล่าวที่น่าพอใจ
คำถามที่เหลือจะพิจารณาถึงตัวเลือกทางสถาปัตยกรรมของโซลูชันไอที และการรับรู้ถึงความปลอดภัยโดยผู้มีอำนาจตัดสินใจบนพื้นฐานของข้อโต้แย้งทางเทคนิคที่นำไปใช้อย่างไม่ถูกต้อง มันจึงปิด-หัวข้อ.
Google (GCP) ให้บริการ HSM ระดับ 3 โปรดดู https://cloud.google.com/kms/docs/hsm. เห็นได้ชัดว่าพวกเขาไม่ได้รับการตรวจสอบในชื่อของตนเอง
ฉันไม่คิดว่าความแตกต่างในระดับ FIPS 140-2 ที่เลือกจะบอกอะไรคุณเกี่ยวกับความปลอดภัยสัมพัทธ์ของสองระบบ
การตรวจสอบ FIPS 140-2 เป็นที่ถกเถียงกันในชุมชนการเข้ารหัส โดยทั่วไปแล้ว ผู้คนจะนำไปใช้ก็ต่อเมื่อพวกเขาต้องการขายให้กับลูกค้าของรัฐบาลสหรัฐฯ ซึ่งกฎหมายกำหนดให้ปฏิบัติตาม
นักวิจารณ์อาจกล่าวว่า FIPS 140-2 ดีที่สุดนั้นซ้ำซ้อนกับการวิเคราะห์ความปลอดภัยสมัยใหม่ และที่แย่ที่สุดก็คือเป็นอันตรายต่อความปลอดภัยอย่างแข็งขันโดยทำให้ยากต่อการแก้ไขข้อบกพร่องหรือปรับโครงสร้างไลบรารีการเข้ารหัสลับด้วยการปรับปรุง (การเปลี่ยนแปลงใดๆ จะทำให้เกิดการตรวจสอบความถูกต้องอีกครั้ง ซึ่งมีค่าใช้จ่ายและเวลา)
จาก Matthew Green นักเข้ารหัสที่ Johns Hopkins:
https://blog.cryptographyengineering.com/2012/01/02/openssl-and-nss-are-fips-140-certified/
เอาตรงๆ ตอนนี้ไม่มีใครในโครงการ OpenSSL หรือ Mozilla อ้างว่าการปฏิบัติตาม FIPS ทำให้ไลบรารีเหล่านี้ปลอดภัยอย่างน่าอัศจรรย์ ฉันแน่ใจว่าพวกเขาไม่เพียงแค่รู้ดีกว่าเท่านั้น แต่ยังสาปแช่ง FIPS แบบส่วนตัวหลังปิดประตูเพราะต้องใช้รหัสพิเศษจำนวนมากเพื่อแลกกับผลประโยชน์ด้านความปลอดภัยที่น่าสงสัย
จาก Darren Moffat ผู้ซึ่งทำงานเกี่ยวกับการใช้การตรวจสอบ FIPS 140-2 สำหรับ Solaris:
https://blogs.oracle.com/solaris/post/is-fips-140-2-actively-harmful-to-software
ฉันควรเรียกใช้ Solaris 11 โดยเปิดใช้งานโหมด FIPS 140-2 หรือไม่
ความเห็นส่วนตัวของฉันคือ เว้นแต่คุณจะมีข้อกำหนดที่ยากมากที่จะทำเช่นนั้น ฉันจะไม่...
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
