Annexe G: Conformité à la norme FIPS 140-
2
Cette annexe présente en détail l'utilisation de la cryptographie dans CA ITCM, notamment le niveau de conformité aux normes de publication FIPS 140-2.
Ce chapitre traite des sujets suivants :
Norme FIPS PUB 140-2 (page 613)
Références (page 614)
Modes FIPS pris en charge (page 614)
Module cryptographique RSA Crypto (page 615)
Fonctions cryptographiques de sécurité (page 615)
Utilisation cryptographique propre aux composants (page 617)
Conformité FIPS des composants externes à Client Automation (page 618)
Utilisation non approuvée des fonctions de sécurité (page 620)
Norme FIPS PUB 140-2
La norme FIPS 140-2 est une norme de sécurité qui spécifie les exigences de sécurité pour un module cryptographique utilisé au sein d'un système de sécurité. Il s'agit d'une norme fournie par le NIST (National Institute of Standards and Technology) pour évaluer et accréditer le fonctionnement de modules cryptographiques via le Programme de validation des modules cryptographiques (CMVP, Cryptographic Module Verification
Program). Le CMVP est exécuté par des laboratoires de test certifiés par le NIST pour tester et valider des modules cryptographiques. Les modules sont testés par rapport aux exigences de test dérivées de la norme FIPS 140-2.
Pour chaque fonction de sécurité validée et approuvée pour l'utilisation en mode accrédité par la norme FIPS 140-2, un certificat correspondant au Programme de validation des algorithmes cryptographiques (Cryptographic Algorithm Validation
Program, CAVP) est enregistré dans le certificat d'approbation de la norme FIPS 140-2 pour le module. Ce certificat répertorie toutes les fonctions de sécurité fournies par le module, qu'elles soient ou non approuvées, et détaille les fonctions pouvant être utilisées en mode de fonctionnement approuvé par la norme FIPS 140-2.
Chaque module approuvé publie un document de stratégie de sécurité associé, expliquant le fonctionnement du module pour être conforme à la norme FIPS 140-2.
Remarque : Seuls les modules cryptographiques peuvent être certifiés comme étant accrédités et approuvés par la norme FIPS 140-2. Ce n'est pas le cas des applications, bien qu'elles puissent utiliser des modules approuvés par la norme FIPS 140-2 et dont le mode de fonctionnement est également approuvé.
Annexe G: Conformité à la norme FIPS 140-2 613
