Convalida di Windows FIPS 140
La pubblicazione 140 di Federal Information Processing Standard (FIPS) è uno standard governativo statunitense che definisce i requisiti minimi di sicurezza per i moduli di crittografia nei prodotti IT. Questo argomento presenta la convalida FIPS 140 per i moduli di crittografia di Windows. I moduli di crittografia di Windows vengono usati in diversi prodotti Microsoft, tra cui sistemi operativi client Windows, sistemi operativi Windows Server e servizi cloud di Azure.
Microsoft mantiene un impegno attivo a soddisfare i requisiti dello standard FIPS 140, dopo aver convalidato i moduli di crittografia rispetto a esso sin dalla sua prima introduzione nel 2001. I moduli di crittografia di Windows vengono convalidati nell'ambito del Cryptographic Module Validation Program (CMVP), uno sforzo congiunto tra il National Institute of Standards and Technology (NIST) degli Stati Uniti e il Canadian Centre for Cyber Security (CCCS). Il CMVP convalida i moduli di crittografia in base ai requisiti di sicurezza per i moduli di crittografia (parte di FIPS 140) e agli standard di crittografia FIPS correlati. Il NIST Information Technology Laboratory gestisce programmi correlati a cui microsoft partecipa: il Programma di convalida dell'algoritmo crittografico (CAVP) certifica gli algoritmi di crittografia approvati da FIPS e il programma di convalida entropia certifica le origini dell'entropia allo standard NIST SP 800-90B.
Sistemi operativi client Windows e moduli di crittografia
Le versioni client Windows elencate di seguito includono moduli di crittografia che hanno completato la convalida FIPS 140. Fare clic sulla versione per informazioni dettagliate, tra cui il certificato CMVP, il documento criteri di sicurezza e l'ambito dell'algoritmo per ogni modulo. Quando l'etichetta di convalida del certificato CMVP include la nota Quando viene eseguita in modalità FIPS, devono essere seguite regole di configurazione e sicurezza specifiche descritte nei criteri di sicurezza.
versioni Windows 11
Windows 10 versioni
- Windows 10 versione 21H1 (aggiornamento di maggio 2021)
- Windows 10, versione 20H2 (aggiornamento di ottobre 2020)
- Windows 10, versione 2004 (aggiornamento di maggio 2020)
- Windows 10, versione 1909 (aggiornamento di novembre 2019)
- Windows 10, versione 1903 (aggiornamento di maggio 2019)
- Windows 10, versione 1809 (aggiornamento di ottobre 2018)
- Windows 10 versione 1803 (aggiornamento di aprile 2018)
- Windows 10, versione 1709 (Fall Creators Update)
- Windows 10 versione 1703 (Creators Update)
- Windows 10, versione 1607 (aggiornamento dell'anniversario)
- Windows 10 versione 1511 (aggiornamento di novembre)
- Windows 10, versione 1507
Versioni precedenti di Windows
- Windows 8.1
- Windows 8
- Windows 7
- Windows Vista SP1
- Windows Vista
- Windows XP SP3
- Windows XP SP2
- Windows XP SP1
- Windows XP
- Windows 2000 SP3
- Windows 2000 SP2
- Windows 2000 SP1
- Windows 2000
- Windows 95 e Windows 98
- Windows NT 4.0
Prodotti correlati
- Windows Embedded Compact 7 e Windows Embedded Compact 8
- Windows CE 6.0 e Windows Embedded Compact 7
- Provider di crittografia di Outlook
Sistemi operativi e moduli di crittografia di Windows Server
Le versioni di Windows Server elencate di seguito includono moduli di crittografia che hanno completato la convalida FIPS 140. Fare clic sulla versione per informazioni dettagliate, tra cui il certificato CMVP, il documento criteri di sicurezza e l'ambito dell'algoritmo per ogni modulo. Quando l'etichetta di convalida del certificato CMVP include la nota Quando viene eseguita in modalità FIPS, devono essere seguite regole di configurazione e sicurezza specifiche descritte nei criteri di sicurezza.
Versioni di Windows Server 2022, 2019 e 2016
Versioni semestrali di Windows Server
- Windows Server, versione 20H2
- Windows Server, versione 2004
- Windows Server, versione 1909
- Windows Server, versione 1903
- Windows Server, versione 1809
- Windows Server, versione 1803
- Windows Server, versione 1709
Versioni precedenti di Windows Server
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2
- Windows Server 2008
- Windows Server 2003 SP2
- Windows Server 2003 SP1
- Windows Server 2003
Usare Windows in una modalità di funzionamento approvata da FIPS
Per usare Windows e Windows Server in una modalità operativa approvata da FIPS 140, è necessario seguire tutte le regole di configurazione e sicurezza specifiche descritte nei documenti dei criteri di sicurezza del modulo. Per visualizzare o scaricare i documenti dei criteri di sicurezza per una determinata versione del prodotto, passare all'elenco dei moduli convalidati FIPS 140 per la versione nelle sezioni precedenti e selezionare i collegamenti ai documenti dei criteri di sicurezza.
Come parte delle regole di configurazione descritte nei documenti dei criteri di sicurezza, Windows e Windows Server possono essere configurati per l'esecuzione in una modalità operativa approvata da FIPS 140, comunemente definita "modalità FIPS". Nelle versioni correnti di Windows, quando si abilita l'impostazione della modalità FIPS, i moduli Cryptographic Primitives Library (bcryptprimitives.dll) e Kernel Mode Cryptographic Primitives Library (CNG.sys) eseguono auto-test prima che Windows eservi operazioni di crittografia. Questi auto-test soddisfano i requisiti FIPS 140 e garantiscono il corretto funzionamento dei moduli. La libreria primitive crittografiche e la libreria primitive crittografiche in modalità kernel sono gli unici moduli che usano l'impostazione di configurazione della modalità FIPS. La modalità FIPS non controlla quali algoritmi di crittografia vengono usati. L'impostazione della modalità FIPS è destinata solo ai componenti Cryptographic Primitives Library (bcryptprimitives.dll) e Kernel Mode Cryptographic Primitives Library (CNG.sys) in Windows.
Determinare se un servizio o un'applicazione Windows è conforme a FIPS 140
Microsoft convalida i moduli di crittografia usati in Windows e in altri prodotti, non in singoli servizi o applicazioni Windows. Contattare il fornitore del servizio o dell'applicazione per informazioni sul fatto che chiami un modulo di crittografia di Windows convalidato (ad esempio, un modulo convalidato dal CMVP come conforme ai requisiti FIPS 140 e rilasciato un certificato) in modo conforme a FIPS (ad esempio, chiamando la crittografia convalidata FIPS 140 e configurato in base a una modalità operativa definita approvata da FIPS).
FIPS 140 e Commercial National Security Algorithm Suite
La suite Commercial National Security Algorithm (CNSA) è un set di algoritmi crittografici promulgati dalla National Security Agency in sostituzione degli algoritmi crittografici NSA Suite B. Molti algoritmi di crittografia CNSA sono approvati anche con lo standard FIPS 140. Per determinare se un algoritmo CNSA è stato incluso nell'ambito degli algoritmi convalidati CAVP usati in un prodotto Microsoft, passare all'elenco dei moduli convalidati FIPS 140 per il prodotto nelle sezioni precedenti e fare riferimento all'ambito dell'algoritmo elencato per ogni modulo convalidato. Altri dettagli sull'algoritmo sono disponibili in ogni documento dei criteri di sicurezza del modulo.
Certificazioni FIPS 140 e Criteri comuni
FIPS 140 e Common Criteria sono due standard di sicurezza complementari ma diversi. Mentre FIPS 140 convalida la funzionalità di crittografia, Common Criteria valuta una selezione più ampia di funzioni di sicurezza nei prodotti IT. Le valutazioni dei criteri comuni possono basarsi su convalide FIPS 140 per garantire che la funzionalità crittografica di base sia implementata correttamente. Per informazioni sul programma di certificazione Common Criteria di Microsoft, vedere Certificazioni dei criteri comuni.
Contact
Contattare fips@microsoft.com domande o per fornire commenti e suggerimenti su questo argomento.