Wenn Sie sicherstellen möchten, dass Sie stets die FIPS 140-Änderungen einhalten, sollten Sie bedenken, dass die gesamte Mobilfunk Suite von Digi durch ein einfaches Firmware-Update FIPS 140-2-validiert ist. Digi Remote Manager®.
Because Digi has simplified implementation of FIPS 140-2, not only do we ensure your FIPS 140 version stays current, but our always up-to-date encryption process makes it easy to implement. You can simply upgrade your firmware and your Digi devices will instantly comply with FIPS 140-2 Level 1. That’s it. Avoid getting stuck with expensive, costly and complicated solutions. And if you need support at any point along your FIPS journey, Digi Professional Services can help.
Digi hat die FIPS-Validierung für alle Digi-Geräte erhalten, die auf dem Digi Accelerated Linux-Betriebssystem (DAL OS) basieren, einschließlich:
Warum Sie FIPS 140-2 brauchen
Wenn Sie mit der US-amerikanischen oder kanadischen Regierung zusammenarbeiten und mit sensiblen oder geschützten Daten umgehen, müssen Ihre kryptografischen Module nach dem Standard FIPS 140-2 validiert sein. Der Federal Information Security Management Act (FISMA) verlangt von US-Regierungsbehörden, US-Regierungsauftragnehmern und Dritten, die für Bundesbehörden arbeiten, die Einhaltung des FIPS 140-2-Standards, um sensible Daten zu schützen. Tatsächlich muss jeder Auftragnehmer im Verteidigungsbereich, der mit Controlled Unclassified Information arbeitet, die FIPS-Validierungsanforderungen erfüllen und "kryptografische Mechanismen" zum Schutz der Vertraulichkeit einsetzen. Organisationen des privaten Sektors, die Vorschriften wie den Health Insurance Portability and Accountability Act (HIPAA) einhalten, müssen ebenfalls die FIPS 140-2-Validierung bestehen.
FIPS 140-2 dient als Maßstab für die Effektivität kryptografischer Hardware. Die FIPS 140-2-Validierung bedeutet, dass ein Produkt die strengen Anforderungen der US-amerikanischen und kanadischen Regierung erfüllt. Sie ist jedoch nicht nur für Regierungen gedacht. Staatliche und nichtstaatliche Stellen auf der ganzen Welt können von ihren Kommunikationsgeräten verlangen, dass sie FIPS 140-2 als Best-Practice-Benchmark für Cybersicherheit erfüllen. Da dieser einheitliche Standard einen außerordentlichen Datenschutz gegen immer raffiniertere Cyberangriffe bietet, stellt er eine messbare Möglichkeit dar, Geräte und Systeme gegen Bedrohungen zu schützen.
Die Nichteinhaltung von FIPS kann erhebliche finanzielle und rufschädigende Folgen haben. Für regulierte Branchen wie Regierungsbehörden und Finanzinstitute kann jede erhebliche Lücke bei der Einhaltung der Vorschriften bedeuten, dass diese Organisationen Geschäftseinbußen sowie zivil- oder strafrechtliche Strafen, Bußgelder und staatliche Prüfungen erleiden.
FIPS 140-2 Anwendungsfälle
Die Einhaltung von FIPS 140-2 gewährleistet die Datensicherheit für Anwendungen, die sensible, aber nicht klassifizierte Daten (SBU) übertragen und verwenden. Dieser Standard wurde ursprünglich für US-amerikanische und kanadische Regierungsbehörden entwickelt und von diesen übernommen, hat sich aber auch in anderen Branchen durchgesetzt, in denen Cybersicherheit und Datenschutz entscheidend sind.
Staatliche Agenturen
Die Validierung nach FIPS 140-2 ist für alle Regierungsbehörden erforderlich, einschließlich des FBI, des Verteidigungsministeriums, der US-Grenzschutzbehörde und anderer Behörden, die mit kontrollierten, nicht klassifizierten Informationen (CUI) auf beliebigen Geräten umgehen. Der Zusatz zur International Traffic in Arms Regulation (ITAR) hebt beispielsweise die FIPS 140-2-Standards hervor, die für die Übertragung oder Speicherung von technischen Daten außerhalb der Vereinigten Staaten erforderlich sind.
Staatliche Auftragnehmer
Neben den US-Behörden müssen auch Auftragnehmer der Regierung FIPS 140-2-validierte Geräte verwenden, um sensible Daten zu verschlüsseln und vor immer raffinierteren Cyberangriffen zu schützen. Auftragnehmer des Verteidigungssektors müssen beispielsweise FIPS-validierte Kryptografie einsetzen, um die Vertraulichkeit von Controlled Unclassified Information auf allen Desktop- und Mobilgeräten zu schützen.
Öffentliche Sicherheit/Gesetzesvollzug
Organisationen der öffentlichen Sicherheit, die sensible Daten versenden, sind ein wichtiger Anwendungsfall für den Einsatz von FIPS 140-2-validierten Geräten. Insbesondere Strafverfolgungsbehörden müssen FIPS 140-2 bei der Handhabung aller drahtlos übertragenen Daten anwenden. Beamte und Mitarbeiter von Strafverfolgungsbehörden greifen auf das bundesweite Strafrechtsinformationssystem (Criminal Justice Information System, CJIS) zu, das die Verwendung von kontrollierten, nicht klassifizierten Informationen beinhaltet.
Finanzinstitutionen
Die Norm FIPS 140-2 gilt für regulierte Branchen, die sensible Daten erfassen, speichern und übertragen. Dazu gehören staatliche Finanzbehörden wie das IRS und die Federal Reserve sowie viele Banken und Finanzdienstleister des privaten Sektors. Diese Organisationen nutzen die Anforderungen von FIPS 140-2, um sicherzustellen, dass ihre Daten und ihre Kommunikation den regulierten Sicherheitsstandards entsprechen.
Gesundheitswesen/Medizin
Da im Gesundheitswesen tätige Personen mit sensiblen Patientendaten umgehen, wird die FIPS 140-2-Validierung zunehmend für Geräte und Software gefordert, die im Gesundheitswesen und in medizinischen Systemen eingesetzt werden. Die Einhaltung dieser Normen trägt dazu bei, elektronische Gesundheitsakten, medizinische Geräte und Kommunikationssysteme vor Cyber-Bedrohungen zu schützen und so die Privatsphäre der Patienten und die Integrität wichtiger Gesundheitsdaten zu gewährleisten.
Andere Industrien
Die Einhaltung von FIPS 140-2 ist ein Ziel für eine Reihe von Branchen, in denen Daten verschlüsselt werden müssen. Der FIPS 140-2-Standard bietet einen Maßstab, um sicherzustellen, dass die Konformität bestimmte Anforderungen erfüllt. Obwohl der Standard außerhalb von staatlichen, medizinischen und finanziellen Anwendungen nicht vorgeschrieben ist, kann er für die Datenverschlüsselung in der Fertigung, im Transportwesen, bei Versorgungsunternehmen, bei der Flughafenkontrolle und in anderen Anwendungsfällen verwendet werden.
FIPS 140-2 Validation Video Overview
FIPS 140-2 hat 4 ansteigende Sicherheitsstufen
Das NIST hat vier qualitative Sicherheitsstufen entwickelt, die im Folgenden zusammengefasst sind und ein breites Spektrum an möglichen Anwendungen und Umgebungen abdecken sollen
Security Level 1
Das kryptografische Modul muss wesentliche Sicherheitsfunktionen bieten. Stufe-1-Module sind in der Regel in Software implementiert und erfordern keine besonderen Hardwareschutzmaßnahmen.
Die Lösungen von Digi sind nach dieser Stufe der Norm validiert. Sehen Sie sich das Validierungszertifikat von Digi an.
Security Level 2
Stufe 2 erfordert zusätzlich manipulationssichere Beschichtungen oder Siegel, um physische Manipulationen oder unbefugten Zugriff auf das Modul zu erkennen. Stufe 2 erfordert außerdem eine rollenbasierte Authentifizierung.
Security Level 3
Zusätzlich zu manipulationssicheren Beschichtungen oder Siegeln erfordert Stufe 3 Mechanismen, die aktiv auf physische Manipulationsversuche reagieren. Level-3-Module benötigen außerdem ein physisch robustes Gehäuse.
Security Level 4
In Stufe 4 muss das kryptografische Modul Manipulationsversuche in Echtzeit erkennen und darauf reagieren, so dass das Modul bei Erkennen von Manipulationen möglicherweise unbrauchbar wird. Stufe 4 erfordert strenge physische Sicherheitsvorkehrungen einschließlich des Schutzes gegen Angriffe aus der Umgebung.
FIPS 140-3
The evolution of FIPS now includes FIPS 140-3. There are few major technical changes, most significantly a migration from internally developed security standards towards a set of standards developed and maintained by the international body ISO . Digi is committed to transition to FIPS 140-3 as part of a firmware release prior to the expected expiration of FIPS 140-2 in September, 2026.