FIPS 140

'''FIPS 140 (Federal Information Processing Standardization 140)'''는 암호화 모듈에 대한 보안 요구 사항을 규정하는 미국 연방 정보 처리 표준이다.
가장 최신버전은 2001년 5월 25일에 나온 FIPS 140-2

1. 보안 수준

---

FIPS 140-2 에서는 ''레벨 1'' 에서 ''레벨 4'' 까지 4개의 단계가 있다

• 레벨 1 : 가장 낮은 수준이며, 최소한의 조건만 충족
• 레벨 2 : 암호 모듈에 접근하지 못하도록 장치가 되어있으며, 외부 침입자가 접근하였을 경우 흔적이 남도록 되어있음. 암호 모듈에속한 소프트웨어나 펌웨어가 표준 상용 OS에서 동작할수 있어야함.
• 레벨 3 : 외부 침입자가 물리적으로 접근하였을 경우 저장된 암호키를 삭제함, 암호 모듈에속한 소프트웨어나 펌웨어가 표준 상용 OS에서 동작할수 있어야함.
• 레벨 4 : 암호 모듈 보호장치의 내부로 침입하기위해 물리적 또는 전기적 접근 시도가 있을시 저장된 암호키를 삭제함, 외부 환경 변화를 감지한 경우 저장된 암호키를 삭제함, 암호 모듈에속한 소프트웨어나 펌웨어가 표준 상용 OS에서 동작할수 있어야함.

2. 요구 사항의 범위

---

• 암호화 모듈의 사양 (무엇이 문서화돼야 하는가)
• 암호 모듈의 포트 및 인터페이스 (무슨 정보가 입출력되는가, 어떻게 분리되는가)
• 역할, 서비스 및 인증 (누가 무엇을 모듈로 할수 있는가, 그것은 어떻게 확인이 가능한가)
• 유한 상태 모델 (모듈이 할수 있는 고위레벨의 문서화 및 상태전이가 어떻게 발생하는가)
• 물리적 보안 (변조 흔적을 남길수 있는 내성을 가져야함, 또 극단적인 환경에서의 내구성)
• 실행 환경 (어떤 운영체제가 이용되는지)
• 암호화 키 관리 ( 키 생성,등록,이용,기록 및 폐기)
• EMI / EMC (전자파에 의한 장애가 생기지 않는가)
• 자가 진단 테스트 (무엇을 언제 테스트하는가, 테스트를 실패했을때 무엇을 하는가)
• 설계 보증 (모듈이 충분한 설계 및 구현이 이루어졌음을 나타내야함)
• 다른 공격의 위험 완화