Windows FIPS 140-Überprüfung

Der Federal Information Processing Standard (FIPS) Publication 140 ist ein US-Regierungsstandard, der die Mindestsicherheitsanforderungen für kryptografische Module in IT-Produkten definiert. In diesem Thema wird die FIPS 140-Überprüfung für die Kryptografiemodule von Windows eingeführt. Die Windows-Kryptografiemodule werden in verschiedenen Microsoft-Produkten verwendet, einschließlich Windows-Clientbetriebssystemen, Windows Server-Betriebssystemen und Azure-Clouddiensten.

Microsoft setzt sich aktiv für die Erfüllung der Anforderungen des FIPS 140-Standards ein und hat kryptografische Module seit seiner Einführung im Jahr 2001 anhand dieses Standards überprüft. Kryptografische Windows-Module werden im Rahmen des Cryptographic Module Validation Program (CMVP) überprüft, einer gemeinsamen Initiative des U.S. National Institute of Standards and Technology (NIST) und des Canadian Centre for Cyber Security (CCCS). Der CMVP überprüft kryptografische Module anhand der Sicherheitsanforderungen für Kryptografiemodule (Teil von FIPS 140) und zugehörige FIPS-Kryptografiestandards. Das NIST Information Technology Laboratory betreibt verwandte Programme, an denen Microsoft ebenfalls teilnimmt: Das Cryptographic Algorithm Validation Program (CAVP) zertifiziert FIPS-genehmigte Kryptografiealgorithmen und das Entropievalidierungsprogramm zertifiziert Entropiequellen nach dem NIST SP 800-90B-Standard.

Windows-Clientbetriebssysteme und Kryptografiemodule

Die unten aufgeführten Windows-Clientversionen enthalten kryptografische Module, die die FIPS 140-Überprüfung abgeschlossen haben. Klicken Sie auf das Release, um Details zu erhalten, einschließlich des CMVP-Zertifikats, des Sicherheitsrichtliniendokuments und des Algorithmusbereichs für jedes Modul. Wenn die CMVP-Zertifikatüberprüfungsbezeichnung den Hinweis enthält, müssen bei Verwendung im FIPS-Modus bestimmte Konfigurations- und Sicherheitsregeln befolgt werden, die in der Sicherheitsrichtlinie beschrieben sind.

Windows 11 Releases

• Windows 11, Version 21H2

Windows 10 Releases

• Windows 10, Version 2004 (Update vom Mai 2020)
• Windows 10, Version 1909 (Update vom November 2019)
• Windows 10, Version 1903 (Update mai 2019)
• Windows 10, Version 1809 (Update oktober 2018)
• Windows 10, Version 1803 (April 2018 Update)
• Windows 10, Version 1709 (Fall Creators Update)
• Windows 10, Version 1703 (Creators Update)
• Windows 10, Version 1607 (Anniversary Update)
• Windows 10, Version 1511 (November-Update)
• Windows 10, Version 1507

Frühere Windows-Versionen

• Windows 8.1
• Windows 8
• Windows 7
• Windows Vista SP1
• Windows Vista
• Windows XP SP3
• Windows XP SP2
• Windows XP SP1
• Windows XP
• Windows 2000 SP3
• Windows 2000 SP2
• Windows 2000 SP1
• Windows 2000
• Windows 95 und Windows 98
• Windows NT 4.0

Verwandte Produkte

• Windows Embedded Compact 7 und Windows Embedded Compact 8
• Windows CE 6.0 und Windows Embedded Compact 7
• Outlook-Kryptografieanbieter

Windows Server-Betriebssysteme und Kryptografiemodule

Die unten aufgeführten Windows Server-Versionen enthalten Kryptografiemodule, die die FIPS 140-Überprüfung abgeschlossen haben. Klicken Sie auf das Release, um Details zu erhalten, einschließlich des CMVP-Zertifikats, des Sicherheitsrichtliniendokuments und des Algorithmusbereichs für jedes Modul. Wenn die CMVP-Zertifikatüberprüfungsbezeichnung den Hinweis enthält, müssen bei Verwendung im FIPS-Modus bestimmte Konfigurations- und Sicherheitsregeln befolgt werden, die in der Sicherheitsrichtlinie beschrieben sind.

Versionen von Windows Server 2019 und 2016

• Windows Server 2019
• Windows Server 2016

Halbjährliche Windows Server-Versionen

• Windows Server, Version 2004
• Windows Server, Version 1909
• Windows Server, Version 1903
• Windows Server, Version 1809
• Windows Server, Version 1803
• Windows Server, Version 1709

Frühere Windows Server-Versionen

• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2
• Windows Server 2008
• Windows Server 2003 SP2
• Windows Server 2003 SP1
• Windows Server 2003

Verwenden von Windows in einem von FIPS genehmigten Betriebsmodus

Um Windows und Windows Server in einem von FIPS 140 genehmigten Betriebsmodus zu verwenden, müssen alle spezifischen Konfigurations- und Sicherheitsregeln befolgt werden, die in den Dokumenten des Moduls Sicherheitsrichtlinie beschrieben sind. Um die Sicherheitsrichtliniendokumente für ein bestimmtes Produktrelease anzuzeigen oder herunterzuladen, navigieren Sie in den obigen Abschnitten zur Liste der von FIPS 140 überprüften Module, und wählen Sie die Links zu den Sicherheitsrichtliniendokumenten aus.

Als Teil der Konfigurationsregeln, die in den Dokumenten zur Sicherheitsrichtlinie beschrieben sind, können Windows und Windows Server so konfiguriert werden, dass sie in einem genehmigten FIPS 140-Betriebsmodus ausgeführt werden, der allgemein als "FIPS-Modus" bezeichnet wird. Wenn Sie in aktuellen Versionen von Windows die FIPS-Moduseinstellung aktivieren, führen die Module Cryptographic Primitives Library (bcryptprimitives.dll) und Kernel mode Cryptographic Primitives Library (CNG.sys) Selbsttests aus, bevor Windows kryptografische Vorgänge ausführt. Diese Selbsttests erfüllen die FIPS 140-Anforderungen und stellen sicher, dass die Module ordnungsgemäß funktionieren. Die Bibliothek für kryptografische Grundtypen und die Bibliothek für kryptografische Grundtypen im Kernelmodus sind die einzigen Module, die die Konfigurationseinstellung für den FIPS-Modus verwenden. Der FIPS-Modus steuert nicht, welche kryptografischen Algorithmen verwendet werden. Die FIPS-Moduseinstellung ist nur für die Verwendung durch die Komponenten Cryptographic Primitives Library (bcryptprimitives.dll) und Kernel Mode Cryptographic Primitives Library (CNG.sys) in Windows vorgesehen.

Ermitteln, ob ein Windows-Dienst oder eine Windows-Anwendung MIT FIPS 140 kompatibel ist

Microsoft überprüft die kryptografischen Module, die in Windows und anderen Produkten verwendet werden, nicht einzelne Windows-Dienste oder -Anwendungen. Wenden Sie sich an den Anbieter des Diensts oder der Anwendung, um Informationen darüber zu erhalten, ob er ein überprüftes Windows-Kryptografiemodul (d. h. ein Modul, das vom CMVP als Erfüllt die FIPS 140-Anforderungen überprüft und ein Zertifikat ausgestellt hat) auf FIPS-konforme Weise aufruft (d. h. durch Aufrufen der FIPS 140-validierten Kryptografie und konfiguriert nach einem definierten FIPS-genehmigten Betriebsmodus).

FIPS 140 und die Commercial National Security Algorithm Suite

Die CNSA-Suite ( Commercial National Security Algorithm ) ist eine Reihe kryptografischer Algorithmen, die von der National Security Agency als Ersatz für kryptografische Algorithmen der NSA Suite B veröffentlicht wurden. Viele kryptografische CNSA-Algorithmen sind auch nach dem FIPS 140-Standard zugelassen. Um zu bestimmen, ob ein CNSA-Algorithmus in den Bereich der caVP-validierten Algorithmen einbezogen wurde, die in einem Microsoft-Produkt verwendet werden, navigieren Sie zu der Liste der fips 140-validierten Module für das Produkt in den obigen Abschnitten, und verweisen Sie auf den Algorithmusbereich, der für jedes überprüfte Modul aufgeführt ist. Weitere Algorithmusdetails finden Sie in jedem Moduldokument zur Sicherheitsrichtlinie.

FIPS 140- und Common Criteria-Zertifizierungen

FIPS 140 und Common Criteria sind zwei sich ergänzende, aber unterschiedliche Sicherheitsstandards. Während FIPS 140 kryptografische Funktionen überprüft, bewertet Common Criteria eine breitere Auswahl an Sicherheitsfunktionen in IT-Produkten. Common Criteria-Auswertungen können sich auf FIPS 140-Validierungen stützen, um sicherzustellen, dass grundlegende kryptografische Funktionen ordnungsgemäß implementiert sind. Informationen zum Common Criteria-Zertifizierungsprogramm von Microsoft finden Sie unter Common Criteria-Zertifizierungen.

Contact

Wenden Sie sich fips@microsoft.com bei Fragen oder um Feedback zu diesem Thema zu geben.