泰雷兹LunaHsm是业界首款通过FIPS140-33级认证的解决方案,安策引进泰雷兹HSM产品可以帮助您满足您的数据安全合规性需求,阻力企业提高竞争力。
安策提供泰雷茲ThalesLunaHSMs成为首个通过FIPS140-3三级认证的硬件安全模块图
我们很高兴地宣布,Luna7系列HSMs(网络和PCIe的所有型号)现已通过FIPS140-3三级认证。Luna7系列HSM是行业首个获得此验证的HSM。
FIPS140-3是领先安全认证标准的最新版本,自2021年9月起取代了LandSecurelyonRegulatoryCompliancewithThalesLunaHSMs|Thales。它证明了符合由美国国家标准与技术研究所(NIST)定义的,国际公认加密模块的一套安全要求。该认证涉及功能测试和由国家认可实验室进行的结构化代码审查,以确认产品符合其声称的安全级别。
FIPS140-2自1998年起开始使用,而FIPS140-3的目标是更加贴近国际标准,适应包括PQC在内的不断发展的要求,更适合当今的技术。
关键详情:Luna网络和PCIeHSMs列入「LunaK7加密模块」,A系列和S系列的所有型号
均已通过验证。客户只需下载最新固件即可获得此验证。
所有FIPS140-2证书将于2026年9月21日移至历史列表。
什么是FIPS140?
在加密安全中,遵守标准对于确保保护敏感数据并满足合规性和法规需求至关重要。FIPS140(FederalInformationProcessingStandard,美国联邦信息处理标准)是由美国国家标准与技术研究院(NIST)定义并由美国和加拿大管理的加密图形模块的安全要求,是加密模块验证计划(CryptographicModuleValidationProgram,CMVP)的一部分。经过FIPS140验证的模块对于保护加密密钥和执行许多政府应用程序的加密操作是必需的。
FIPS140-2是FIPS140-3的前身,在过去的二十年中,FIPS140-2已被广泛采用为组织遵循的安全基准和最佳实践。它也已成为北美以外的许多其他国家地区制定国内法规的事实标准,包括政府和私营部门。
FIPS140-3将允许对后量子密码学(PQC)算法进行认证,因为它将确保加密模块准备好应对量子攻击带来的挑战和威胁。实施经FIPS140-3验证的安全解决方案是构建量子安全加密敏捷安全态势的重要组成部分,可确保组织在当前和未来保持数据保护。
FIPS140-2和FIPS140-3有什么区别?
FIPS140-3是验证加密硬件有效性的最新版本,符合国际ISO/IEC19790标准并对FIPS140-2标准的安全要求进行了新的增强,包括:
更严格的完整性测试要求。
新增所需服务:输出可映射到验证记录/证书的模块名称/标识符和版本。
所有级别(包括公钥)的所有未受保护的“敏感安全参数”(SSP)都需要密钥归零。
角色、服务和身份验证:必须由加密模块的实现(而不是通过策略、规则等)满足,例如密码大小限制。
生命周期保证:除了验证实验室测试外,供应商还需要对模块进行充分的内部测试。
组织应使用FIPS140-3标准来确保他们选择的硬件满足特定的安全要求。这FIPS140-2认证标准定义了四个递增的定性安全级别,这些级别在FIPS140-3中保持不变。
过渡到FIPS140-3
目前遵守FIPS140-2的组织需要计划向FIPS140-3的过渡,以确保持续合规。FIPS140-3的目标是更紧密地与国际ISO/IEC标准保持一致,并更适合当今的技术:
ISO/IEC19790:2012:列出了保护计算机和电信系统中敏感信息的安全系统中使用的加密模块的安全要求。该国际标准为加密模块定义了四个安全级别,以提供广泛的数据敏感性(例如低价值的管理数据、数百万美元的资金转移、生命保护数据、个人身份信息和政府使用的敏感信息)和多样化的应用环境(例如受保护的设施、办公室、可移动介质和完全不受保护的位置)。
ISO/IEC24759:2017:概述了加密模块的测试要求。这些方法的开发是为了在测试过程中提供高度的客观性,并确保整个测试实验室的一致性。
这种与国际标准的一致性允许无缝过渡到FIPS140-3,提高互操作性,并确保全球一致的安全实践。自2026年9月21日起,现有的FIPS140-2证书不会被吊销,但将移至历史列表。
关于Thales泰雷兹
你依靠来保护你的隐私的人依靠Thales来保护他们的数据。在涉及到数据安全方面,组织面临着越来越多的决定性时刻。无论现在是建立一个加密策略,转移到云计算,还是满足合规要求,您都可以依赖Thales来确保您的数字转型。
关于Safeploy安策
SafePloy安策从事信息安全业务超过20年,是泰雷兹Thales(原lmperva,Gemalto,Vormetric,SafeNet,Aladdin,Rainbow)等公司在中国区的战略合作伙伴,为云、应用、数据、身份等提供安全保护的能力和技术支持能力,为在中国地区经营和出海开拓业务的企业,提供本地化的可信、可控、又合规的数据安全策略。