Проверка Windows FIPS 140

  • Статья

Публикация 140 Федерального стандарта обработки информации (FIPS) — это стандарт правительства США, определяющий минимальные требования к безопасности криптографических модулей в ИТ-продуктах. В этом разделе описывается проверка FIPS 140 для модулей шифрования Windows. Модули шифрования Windows используются в различных продуктах Майкрософт, включая клиентские операционные системы Windows, операционные системы Windows Server и облачные службы Azure.

Корпорация Майкрософт активно привержена выполнению требований стандарта FIPS 140, проверяя криптографические модули с момента его создания в 2001 году. Криптографические модули Windows проверяются в рамках программы проверки криптографических модулей (CMVP), совместной работы Национального института стандартов и технологий США (NIST) и Канадского центра кибербезопасности (CCCS). CMVP проверяет криптографические модули на соответствие требованиям безопасности для криптографических модулей (часть FIPS 140) и соответствующим стандартам шифрования FIPS. Лаборатория информационных технологий NIST управляет связанными программами, в которых также участвует корпорация Майкрософт: программа проверки криптографических алгоритмов (CAVP) сертифицирует криптографические алгоритмы, утвержденные FIPS, а программа проверки энтропии сертифицирует источники энтропии по стандарту NIST SP 800-90B.

Клиентские операционные системы и модули шифрования Windows

Перечисленные ниже выпуски клиента Windows включают криптографические модули, которые прошли проверку FIPS 140. Щелкните выпуск для получения дополнительных сведений, включая сертификат CMVP, документ политики безопасности и область алгоритма для каждого модуля. Если метка проверки сертификата CMVP включает примечание При работе в режиме FIPS, необходимо соблюдать определенные правила конфигурации и безопасности, описанные в политике безопасности.

выпуски Windows 11

выпуски Windows 10

Предыдущие выпуски Windows

Операционные системы и модули шифрования Windows Server

Перечисленные ниже выпуски Windows Server включают криптографические модули, которые прошли проверку FIPS 140. Щелкните выпуск для получения дополнительных сведений, включая сертификат CMVP, документ политики безопасности и область алгоритма для каждого модуля. Если метка проверки сертификата CMVP включает примечание При работе в режиме FIPS, необходимо соблюдать определенные правила конфигурации и безопасности, описанные в политике безопасности.

Выпуски Windows Server 2019 и 2016

Полугодовые выпуски Windows Server

Предыдущие выпуски Windows Server

Использование Windows в режиме работы, утвержденном FIPS

Чтобы использовать Windows и Windows Server в режиме работы, утвержденном FIPS 140, необходимо соблюдать все конкретные правила конфигурации и безопасности, описанные в документах по политике безопасности модуля. Чтобы просмотреть или скачать документы политики безопасности для определенного выпуска продукта, перейдите к списку проверенных модулей FIPS 140 для выпуска в разделах выше и выберите ссылки на документы по политике безопасности.

В рамках правил конфигурации, описанных в документах политики безопасности, Windows и Windows Server можно настроить для запуска в режиме работы, утвержденном FIPS 140, который обычно называется режимом FIPS. В текущих версиях Windows при включении параметра режима FIPS модули библиотека криптографических примитивов (bcryptprimitives.dll) и библиотека примитивов в режиме ядра (CNG.sys) будут выполнять самопроверки перед выполнением криптографических операций Windows. Эти тесты соответствуют требованиям FIPS 140 и обеспечивают правильную работу модулей. Библиотека примитивов шифрования и библиотека примитивов режима ядра — это единственные модули, использующие параметр конфигурации режима FIPS. Режим FIPS не определяет, какие алгоритмы шифрования используются. Параметр режима FIPS предназначен для использования только компонентами библиотеки примитивов шифрования (bcryptprimitives.dll) и библиотеки примитивов в режиме ядра (CNG.sys) в Windows.

Определение соответствия службы или приложения Windows FIPS 140

Корпорация Майкрософт проверяет криптографические модули, используемые в Windows и других продуктах, а не отдельные службы или приложения Windows. Обратитесь к поставщику службы или приложения для получения сведений о том, вызывает ли он проверенный криптографический модуль Windows (т. е. модуль, проверенный CMVP как соответствующий требованиям FIPS 140 и выданный сертификат) в соответствии с FIPS (т. е. путем вызова шифрования, проверенного FIPS 140 и настроенного в соответствии с определенным режимом работы, утвержденным FIPS).

FIPS 140 и коммерческий набор алгоритмов национальной безопасности

Набор алгоритмов коммерческой национальной безопасности (CNSA) представляет собой набор криптографических алгоритмов, опубликованных Агентством национальной безопасности в качестве замены криптографических алгоритмов NSA Suite B. Многие криптографические алгоритмы CNSA также утверждены в соответствии со стандартом FIPS 140. Чтобы определить, включен ли алгоритм CNSA в область проверенных алгоритмов CAVP, используемых в продукте Майкрософт, перейдите к списку проверенных модулей FIPS 140 для продукта в разделах выше и со ссылкой на алгоритм, область перечислены для каждого проверенного модуля. Дополнительные сведения об алгоритме доступны в каждом документе по политике безопасности модуля.

Сертификаты FIPS 140 и Common Criteria

FIPS 140 и Common Criteria являются двумя взаимодополняющими, но разными стандартами безопасности. В то время как FIPS 140 проверяет криптографические функции, общие критерии оценивают более широкий выбор функций безопасности в ИТ-продуктах. Оценки общих критериев могут полагаться на проверки FIPS 140, чтобы обеспечить правильную реализацию основных функций шифрования. Сведения о программе сертификации Common Criteria корпорации Майкрософт см. в разделе Сертификации Common Criteria.

Contact

Свяжитесь fips@microsoft.com с вопросами или отправьте отзыв по этой теме.