Validación de Windows FIPS 140

La publicación 140 del Estándar federal de procesamiento de información (FIPS) es un estándar del gobierno de Ee. UU. que define los requisitos de seguridad mínima para los módulos criptográficos en los productos de TI. En este tema se presenta la validación de FIPS 140 para los módulos criptográficos de Windows. Los módulos criptográficos de Windows se usan en diferentes productos de Microsoft, incluidos los sistemas operativos cliente de Windows, los sistemas operativos Windows Server y los servicios en la nube de Azure.

Microsoft mantiene un compromiso activo con el cumplimiento de los requisitos del estándar FIPS 140, después de haber validado los módulos criptográficos en su contra desde que se estableció por primera vez en 2001. Los módulos criptográficos de Windows se validan bajo el Programa de validación de módulos criptográficos (CMVP), un esfuerzo conjunto entre el Instituto Nacional de Estándares y Tecnología (NIST) de Ee. UU. y el Centro Canadiense de Ciberseguridad (CCCS). CMVP valida los módulos criptográficos con los requisitos de seguridad de los módulos criptográficos (parte de FIPS 140) y los estándares de criptografía FIPS relacionados. El Laboratorio de Tecnología de la Información nist opera programas relacionados en los que también participa Microsoft: el Programa de validación de algoritmos criptográficos (CAVP) certifica los algoritmos criptográficos aprobados por FIPS y el programa de validación de entropía certifica los orígenes de entropía al estándar NIST SP 800-90B.

Sistemas operativos cliente de Windows y módulos criptográficos

Las versiones de cliente de Windows que se enumeran a continuación incluyen módulos criptográficos que han completado la validación fips 140. Haga clic en la versión para obtener más información, incluidos el certificado CMVP, el documento de directiva de seguridad y el ámbito del algoritmo de cada módulo. Cuando la etiqueta de validación de certificados CMVP incluye la nota Cuando se opera en modo FIPS, se deben seguir reglas de configuración y seguridad específicas descritas en la directiva de seguridad.

Windows 11 versiones

• Windows 11, versión 21H2

Windows 10 versiones

• Windows 10, versión 2004 (actualización de mayo de 2020)
• Windows 10, versión 1909 (actualización de noviembre de 2019)
• Windows 10, versión 1903 (actualización de mayo de 2019)
• Windows 10, versión 1809 (actualización de octubre de 2018)
• Windows 10, versión 1803 (actualización de abril de 2018)
• Windows 10, versión 1709 (Fall Creators Update)
• Windows 10, versión 1703 (Creators Update)
• Windows 10, versión 1607 (actualización de aniversario)
• Windows 10, versión 1511 (actualización de noviembre)
• Windows 10, versión 1507

Versiones anteriores de Windows

• Windows 8.1
• Windows 8
• Windows 7
• Windows Vista SP1
• Windows Vista
• Windows XP SP3
• Windows XP SP2
• Windows XP SP1
• Windows XP
• Windows 2000 SP3
• Windows 2000 SP2
• Windows 2000 SP1
• Windows 2000
• Windows 95 y Windows 98
• Windows NT 4.0

Productos relacionados

• Windows Embedded Compact 7 y Windows Embedded Compact 8
• Windows CE 6.0 y Windows Embedded Compact 7
• Proveedor criptográfico de Outlook

Sistemas operativos y módulos criptográficos de Windows Server

Las versiones de Windows Server que se enumeran a continuación incluyen módulos criptográficos que han completado la validación fips 140. Haga clic en la versión para obtener más información, incluidos el certificado CMVP, el documento de directiva de seguridad y el ámbito del algoritmo de cada módulo. Cuando la etiqueta de validación de certificados CMVP incluye la nota Cuando se opera en modo FIPS, se deben seguir reglas de configuración y seguridad específicas descritas en la directiva de seguridad.

Versiones de Windows Server 2019 y 2016

• Windows Server 2019
• Windows Server 2016

Versiones semianuales de Windows Server

• Windows Server, versión 2004
• Windows Servidor, versión 1909
• Windows Server, versión 1903
• Windows Server, versión 1809
• Windows Server, versión 1803
• Windows Server, versión 1709

Versiones anteriores de Windows Server

• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2
• Windows Server 2008
• Windows Server 2003 SP2
• Windows Server 2003 SP1
• Windows Server 2003

Uso de Windows en un modo de operación aprobado por FIPS

Para usar Windows y Windows Server en un modo de funcionamiento aprobado por FIPS 140, se deben seguir todas las reglas de configuración y seguridad específicas descritas en los documentos de directiva de seguridad del módulo. Para ver o descargar los documentos de directiva de seguridad de una versión de producto determinada, vaya a la lista de módulos validados de FIPS 140 para la versión en las secciones anteriores y seleccione los vínculos a los documentos de directiva de seguridad.

Como parte de las reglas de configuración que se describen en los documentos de directiva de seguridad, Windows y Windows Server pueden configurarse para ejecutarse en un modo de operación aprobado por FIPS 140, lo que normalmente se conoce como "modo FIPS". En las versiones actuales de Windows, al habilitar la configuración del modo FIPS, los módulos Biblioteca de primitivas criptográficas (bcryptprimitives.dll) y Biblioteca de primitivas criptográficas en modo kernel (CNG.sys) ejecutarán autoexavaluaciones antes de que Windows ejecute operaciones criptográficas. Estas pruebas automáticas cumplen los requisitos fips 140 y garantizan que los módulos funcionen correctamente. La biblioteca de primitivas criptográficas y la biblioteca de primitivas criptográficas en modo kernel son los únicos módulos que usan la configuración del modo FIPS. El modo FIPS no controla qué algoritmos criptográficos se usan. La configuración del modo FIPS solo está pensada para su uso en los componentes Biblioteca de primitivas criptográficas (bcryptprimitives.dll) y Biblioteca de primitivas criptográficas en modo kernel (CNG.sys) en Windows.

Determinar si un servicio o aplicación de Windows es compatible con FIPS 140

Microsoft valida los módulos criptográficos que se usan en Windows y otros productos, no en servicios o aplicaciones individuales de Windows. Póngase en contacto con el proveedor del servicio o la aplicación para obtener información sobre si llama a un módulo criptográfico de Windows validado (es decir, un módulo validado por CMVP como que cumple los requisitos fips 140 y emitió un certificado) de forma compatible con FIPS (es decir, llamando a la criptografía validada fips 140 y configurada según un modo de operación definido aprobado por FIPS).

FIPS 140 y el conjunto de algoritmos de seguridad nacional comercial

El conjunto de algoritmos de seguridad nacional comercial (CNSA) es un conjunto de algoritmos criptográficos promulgados por la Agencia de Seguridad Nacional como reemplazo de algoritmos criptográficos DE LA NSA Suite B. Muchos algoritmos criptográficos CNSA también se aprueban bajo el estándar FIPS 140. Para determinar si un algoritmo CNSA se incluyó en el ámbito de los algoritmos validados de CAVP utilizados en un producto de Microsoft, vaya a la lista de módulos validados de FIPS 140 para el producto en las secciones anteriores y haga referencia al ámbito del algoritmo enumerado para cada módulo validado. Hay más detalles del algoritmo disponibles en cada documento de directiva de seguridad del módulo.

Certificaciones FIPS 140 y Common Criteria

FIPS 140 y Common Criteria son dos estándares de seguridad complementarios pero diferentes. Mientras que FIPS 140 valida la funcionalidad criptográfica, Common Criteria evalúa una selección más amplia de funciones de seguridad en los productos de TI. Las evaluaciones de criterios comunes pueden basarse en validaciones fips 140 para garantizar que la funcionalidad criptográfica básica se implementa correctamente. Para obtener información sobre el programa de certificación Common Criteria de Microsoft, consulte Certificaciones de Common Criteria.

Contact

Póngase en contacto fips@microsoft.com con preguntas o para proporcionar comentarios sobre este tema.