Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Das Dilemma der FIPS 140-3-Konformität
Artem Karasev
Februar 13, 2023 - Senior Product Marketing Manager
FIPS 140-3 ist ein vom National Institute of Standards and Technology (NIST) herausgegebener Standard, der darauf abzielt, eine einheitliche und sichere Methode für die Verarbeitung sensibler Daten mit Hilfe eines strengen Zertifizierungsprozesses bereitzustellen. Die Konformität mit diesem Standard ist für bestimmte Organisationen in den USA und Kanada obligatorisch, aber viele Organisationen entscheiden sich dennoch dafür, ihn als Best Practice zu übernehmen, auch wenn er für sie nicht ausdrücklich vorgeschrieben ist.
Die Einhaltung von FIPS 140-3 kann jedoch komplex und zeitaufwändig sein. Der Zertifizierungsprozess für die Validierung eines Betriebssystems ist streng und nimmt viel Zeit in Anspruch.
Wenn eine Organisation ihr FIPS-zertifiziertes Betriebssystem aktualisiert, um eine Schwachstelle zu beheben, wird dieses System nicht mehr validiert und muss den Zertifizierungsprozess erneut durchlaufen. Dieses Dilemma kann dazu führen, dass Unternehmen Patches hinauszögern und sich entscheiden müssen, ob sie auf FIPS-zertifizierten Systemen bleiben, aber gleichzeitig ihre Sicherheit riskieren, oder ob sie diese Systeme vor den neuesten Schwachstellen schützen, obwohl sie ihre FIPS-Zertifizierung verlieren.
Aber müssen Organisationen zwischen Zertifizierung und Sicherheit wählen? Für die meisten Unternehmen ist das nicht der Fall. In diesem Blog-Beitrag werden diese Fragen vertieft und Alternativen untersucht, die Unternehmen zur Verfügung stehen, wie z. B. Extended Security Updates (ESU), ein Support-Service, der speziell für AlmaLinux entwickelt wurde und kontinuierliche Sicherheit und Compliance bietet.
Was ist FIPS 140-3?
FIPS 140-3 spezifiziert die Sicherheitsanforderungen für kryptographische Module, die in Hardware und Software verwendet werden. Kryptographische Module im Kontext eines Betriebssystems wie AlmaLinux sind die spezifischen Teile von Systempaketen und Bibliotheken, einschließlich des Kernels, OpenSSL, GnuTLS, NSS und Libgcrypt, die die Implementierung eines oder mehrerer kryptographischer Algorithmen und Sicherheitsmaßnahmen zum Schutz sensibler Informationen enthalten. Ein kryptografisches Modul, das für die Erfüllung der Anforderungen von FIPS 140-3 zertifiziert wurde, gilt als sichere und zuverlässige Lösung für den Schutz solcher Informationen.
Einfach ausgedrückt: Wenn ein Software- oder Hardwareprodukt ein FIPS 140-3-Zertifikat besitzt, hat es die grundlegenden Anforderungen an die kryptografische Wirksamkeit erfüllt und kann als vertrauenswürdig eingestuft werden.
Ein Muss oder nur ein Nice to have?
Die Einhaltung des Standards ist für kanadische und US-amerikanische Regierungsbehörden, staatliche Auftragnehmer und Unternehmen, die Dienstleistungen für die US-Regierung erbringen, obligatorisch. Für andere Organisationen ist die Einhaltung von FIPS 140-3 eine bewährte Praxis, da sie ihnen helfen kann, sensible Daten und Vermögenswerte zu schützen und das Vertrauen ihrer Kunden und anderer Interessengruppen in die Sicherheit ihrer Produkte und Dienstleistungen zu stärken.
Outsourcing vs. Heimwerken
Organisationen, die FIPS-zertifizierte Implementierungen benötigen oder unter ähnlichen Anforderungen arbeiten (z. B. PCI DSS, HIPAA), können wählen, ob sie ihre Anwendungen selbst zertifizieren oder sie mit bereits zertifizierten Komponenten erstellen wollen. Ersteres ist mit erheblichen Investitionen, kryptografischem Fachwissen und Zeitaufwand verbunden, da es eine Validierung durch ein von NIST akkreditiertes Drittlabor erfordert. Je komplexer die Anwendung ist, desto mehr Aufwand ist erforderlich.
Zertifiziert oder abgesichert?
Betriebssysteme, die kryptografische Module enthalten und sensible Daten verarbeiten, müssen nach FIPS 140-3 zertifiziert sein. Obwohl kryptografische Module nur kleine Komponenten bestimmter Systempakete und Bibliotheken sind, wie z.B. Kernel Crypto API, müssen diese Komponenten als integrale Bestandteile zertifiziert werden. Das bedeutet, dass viele Aktualisierungen dieser Pakete und Bibliotheken eine erneute Zertifizierung erfordern, um die FIPS-Zertifizierung aufrechtzuerhalten.
In Anbetracht des Zeit- und Arbeitsaufwands, der für eine erneute Zertifizierung erforderlich ist, sind Unternehmen oft gezwungen, bei ihrer aktuellen Betriebssystemversion zu bleiben, und ziehen es im Grunde vor, die FIPS-Zertifizierung beizubehalten, anstatt sich schnell gegen die neuesten Sicherheitslücken zu schützen. Gleichzeitig macht diese Verzögerung bei der Implementierung kritischer Sicherheitsupdates Unternehmen anfällig für Cyberangriffe, was ein erhebliches Sicherheitsproblem darstellt.
Einige Organisationen und Behörden gehen diese Herausforderung an, indem sie ihre Risikomanagement-Strategien sorgfältig bewerten und die potenziellen Risiken und Kosten abwägen, die mit der Erfüllung des FIPS-Standards verbunden sind. Sie erwägen möglicherweise die Implementierung alternativer Sicherheitsmaßnahmen, wie z. B. die Segmentierung von Netzwerken, um die Auswirkungen von Schwachstellen im Betriebssystem abzuschwächen. Aber es gibt einen besseren Weg.
Kompromisse sind nicht notwendig
Erstens ist die FIPS 140-3-Zertifizierung ein sehr langwieriger Prozess, und zum Zeitpunkt des Erhalts des Zertifikats sind die Pakete und Bibliotheken, die die zertifizierten kryptografischen Module enthalten, bereits veraltet. Es fehlen dann Sicherheitspatches für Schwachstellen, die seit Beginn des FIPS 140-3-Zertifizierungsprozesses festgestellt wurden. Wenn sie nicht aktualisiert werden, kann der Wert der durch die FIPS-Zertifizierung geschaffenen Sicherheitsgrundlagen gefährdet sein.
Zweitens betreffen die meisten wichtigen und kritischen Sicherheitsupdates nicht die validierte Kryptographie (und im Sinne des NIST ist "Kryptographie betreffen" auf den FIPS-Code beschränkt). Wenn wir die letzten 4 Jahre des Lebenszyklus von AlmaLinux 8 als Beispiel nehmen, dann werden wir sehen, dass alle wichtigen CVEs in nicht-kryptographischem Code waren (Zertifikats-/ASN.1-Parsing, Umgehung von Sicherheitsprüfungen, TLS-Paketverarbeitung). Selbst die am meisten gehypte und kritische OpenSSL-Schwachstelle - Heartbleed - hatte nichts mit Kryptographie zu tun. Das bedeutet, dass die meisten Schwachstellenbehebungen in den FIPS-zertifizierten Paketen und Bibliotheken nicht einmal die validierten Module oder die von ihnen bereitgestellte Kryptografie betreffen. Mit anderen Worten: Aktualisierte Pakete und Bibliotheken bleiben vollständig FIPS-konform.
Die FIPS-Konformität sollte für die meisten Unternehmen ausreichend sein. Sie können ihre Systeme mit validierter Kryptografie betreiben und gleichzeitig von den neuesten Sicherheitsverbesserungen profitieren. Es gibt sehr spezielle Anwendungsfälle, die strikte FIPS-zertifizierte Implementierungen erfordern, die statisch sind und nie gepatcht werden, wie z. B. Militär oder Geheimdienste. Wenn jedoch eine kryptografische Schwachstelle gepatcht wird, müssen Unternehmen, die sich dafür entschieden haben, ihre FIPS-zertifizierten Systeme mit Sicherheitskorrekturen zu versehen, dennoch einen Weg finden, ihr Betriebssystem schnell neu zu zertifizieren.
Wenn Sie auf der Suche nach einer Linux-Distribution für Unternehmen sind, die den Standards der US-amerikanischen und kanadischen Regierung entspricht oder in stark regulierten Umgebungen arbeitet, müssen Sie an eine Lösung denken, die Ihnen kontinuierliche Sicherheit bietet und gleichzeitig die Einhaltung der erforderlichen Datenschutzstandards ermöglicht.
Wenn es eine Distribution gibt, die FIPS-validierte Komponenten, Sicherheitsupdates für nicht kryptografische CVEs und eine schnelle Re-Zertifizierung im Falle einer kryptografischen Schwachstelle bietet, dann wäre sie perfekt geeignet. Extended Security Updates (ESU), ein speziell für AlmaLinux entwickelter Support-Service, bietet genau das. Er versorgt Sie nicht nur mit Sicherheitspatches, die die validierte Kryptographie nicht berühren, und bietet bei Bedarf eine FIPS 140-3-Rezertifizierung, sondern kann auch mit Live-Patching erweitert werden - so dass Sie Ihre FIPS-zertifizierten Systeme patchen können, während ihre 100%ige Betriebszeit erhalten bleibt.
Erweiterte Sicherheitsupdates (ESU) für AlmaLinux
Wenn Sie mit dem Lebenszyklus von AlmaLinux vertraut sind, kommt alle sechs Monate ein neues Minor-Release, das bis zum fünften Jahr neue Funktionen bringt. Eine FIPS-zertifizierte Version muss jedoch stabil sein und so wenig Updates wie möglich enthalten, um ihre Zertifizierung zu behalten. Die derzeit für die FIPS 140-3-Zertifizierung geplante AlmaLinux-Version ist 9.2. Mit den erweiterten Sicherheitsupdates von TuxCare können Sie auf der validierten Minor-Version bleiben und fünf Jahre lang sicher auf dem validierten Code mit FIPS-konformen Sicherheitsupdates laufen.
Der Service liefert eine Kombination aus hohen und kritischen Sicherheitsupdates in Form von Paketupdates, die darauf zugeschnitten sind, dass Sie mit FIPS-konformer Kryptografie arbeiten. Sie werden nie mit Funktionsupdates gebündelt und bieten Korrekturen für nicht kryptografische Schwachstellen, um die Stabilität zu erhöhen, während die Kunden weiterhin die große Mehrheit der Sicherheitsupdates erhalten können. Wenn Sie außerdem Live-Patching hinzufügen, können Ihre zertifizierten AlmaLinux-Systeme gepatcht werden, ohne dass patch-bedingte Reboots oder Wartungsfenster erforderlich sind.
Wenn es eine kryptografische Schwachstelle gibt, beheben wir sie, indem wir einen neuen Kernel liefern. Die Kunden können diesen Kernel neu starten und installieren, um ihre Systeme zu aktualisieren. Wir beabsichtigen, jeden neuen Kernel, der kryptografische Änderungen vornimmt, durch den Rezertifizierungsprozess zu bringen, der für CVE-Fixes entwickelt wurde und viel schneller ist. Dadurch wird sichergestellt, dass neue Kernel, die eine Schwachstellenbehebung für ihre Kryptografie enthalten, als konform mit den Anforderungen von FIPS 140-3 zertifiziert werden.
Wenn Sie mehr über die Vorteile von Extended Security Updates erfahren möchten, besuchen Sie unsere Produktseite.
