fips有效算力

A. 什么是 FIPS 140-2 认证

内容转载自dplslab.com，如有侵权，请评论提示删除。

FIPS是美国联邦信息处理标准（Federal Information Processing Standard）的缩写。
联邦信息处理标准140-2（FIPS 140-2）是美国和加拿大共同发起的硬件、软件、固件解决方案安全标准。在美国政府的采购中，所有使用加密技术解决方案都必须具备FIPS 140-2认证，以确保最终用户获得高度的安全性、保障性和可靠性。1996版《信息技术管理改革法》第5131条规定了FIPS 140-2的适用范围。
FIPS 140-2认证包括CAVP（密码算法验证体系）和CMVP（密码模块验证体系）两部分。CAVP和CMVP认证证书是密码产品走向国际市场的通行证，对于计划开拓国际市场的信息安全产品提供商FIPS 140-2认证是必备的资质。

CAVP由NIST于1995年7月建立，旨在对“FIPS Approved”和“NIST recommended”密码算法展开验证测评。

CMVP由美国NIST和加拿大政府的通讯安全组织（CSE）于1995年共同建立。所有CMVP测评工作由美国国家实验室自愿认可体系（NVLAP）授权的实验室展开。
密码算法验证是获取密码模块认证的先决条件。

B. FIPS 140-2的为什么我应该进行密码模块的认证

经过该标准符合性认证的产品模块将使其满足联邦政府以及相关机构的关于密码系统的技术要求。世界上很多国家机构的采购和招标要求中也明确的提出具有密码模块的产品FIPS 140的合规要求。
2002年颁布的联邦信息安全管理法案（FISMA）去除了允许机构放弃FIPS的强制要求的法令条款。该放弃条款在1987年的计算机安全法案中提及，但FISMA取代了该法案。因此，很多下面列出的 FIPS标准中包括的“放弃过程”的引用已经不再有效。
如果机构指定信息或者数据受到密码保护，那么FIPS 140-2则被适用。FIPS 140-2禁止在联邦系统中使用敏感或者重要数据的密码保护未经验证的密码系统。
此外,密码模块验证体系（CMVP）针对首先进行测试的164个模块的数据进行分析。他们发现,50%的模块被发现有安全漏洞。25%的密码算法的实现是不正确的。