Validation windows FIPS 140

La publication 140 de la norme FIPS (Federal Information Processing Standard) est une norme gouvernementale américaine qui définit les exigences de sécurité minimale pour les modules de chiffrement dans les produits informatiques. Cette rubrique présente la validation FIPS 140 pour les modules de chiffrement Windows. Les modules de chiffrement Windows sont utilisés dans différents produits Microsoft, notamment les systèmes d’exploitation clients Windows, les systèmes d’exploitation Windows Server et les services cloud Azure.

Microsoft s’engage activement à répondre aux exigences de la norme FIPS 140, en ayant validé des modules de chiffrement par rapport à celle-ci depuis sa création en 2001. Les modules de chiffrement Windows sont validés dans le cadre du Programme de validation de module de chiffrement (CMVP), un effort conjoint du NIST (National Institute of Standards and Technology) des États-Unis et du Centre canadien de cybersécurité (CCCS). Le CMVP valide les modules de chiffrement par rapport aux exigences de sécurité pour les modules de chiffrement (qui font partie de FIPS 140) et aux normes de chiffrement FIPS associées. Le NIST Information Technology Laboratory exploite des programmes connexes auxquels Microsoft participe également : le Programme de validation d’algorithme de chiffrement (CAVP) certifie les algorithmes de chiffrement approuvés par FIPS et le programme de validation d’entropie certifie les sources d’entropie selon la norme NIST SP 800-90B.

Systèmes d’exploitation clients Windows et modules de chiffrement

Les versions du client Windows répertoriées ci-dessous incluent des modules de chiffrement qui ont terminé la validation FIPS 140. Cliquez sur la version pour plus d’informations, notamment le certificat CMVP, le document stratégie de sécurité et l’étendue de l’algorithme pour chaque module. Lorsque l’étiquette de validation du certificat CMVP inclut la note En cas d’utilisation en mode FIPS, les règles de configuration et de sécurité spécifiques décrites dans la stratégie de sécurité doivent être suivies.

versions Windows 11

• Windows 11, version 21H2

versions Windows 10

• Windows 10, version 2004 (mise à jour de mai 2020)
• Windows 10, version 1909 (mise à jour de novembre 2019)
• Windows 10, version 1903 (mise à jour de mai 2019)
• Windows 10, version 1809 (mise à jour d’octobre 2018)
• Windows 10, version 1803 (mise à jour d’avril 2018)
• Windows 10, version 1709 (Fall Creators Update)
• Windows 10, version 1703 (Creators Update)
• Windows 10, version 1607 (mise à jour anniversaire)
• Windows 10, version 1511 (mise à jour de novembre)
• Windows 10, version 1507

Versions précédentes de Windows

• Windows 8.1
• Windows 8
• Windows 7
• Windows Vista SP1
• Windows Vista
• Windows XP SP3
• Windows XP SP2
• Windows XP SP1
• Windows XP
• Windows 2000 SP3
• Windows 2000 SP2
• Windows 2000 SP1
• Windows 2000
• Windows 95 et Windows 98
• Windows NT 4.0

Produits associés

• Windows Embedded Compact 7 et Windows Embedded Compact 8
• Windows CE 6.0 et Windows Embedded Compact 7
• Fournisseur de services de chiffrement Outlook

Systèmes d’exploitation Windows Server et modules de chiffrement

Les versions de Windows Server répertoriées ci-dessous incluent des modules de chiffrement qui ont terminé la validation FIPS 140. Cliquez sur la version pour plus d’informations, notamment le certificat CMVP, le document stratégie de sécurité et l’étendue de l’algorithme pour chaque module. Lorsque l’étiquette de validation du certificat CMVP inclut la note En cas d’utilisation en mode FIPS, les règles de configuration et de sécurité spécifiques décrites dans la stratégie de sécurité doivent être suivies.

Versions de Windows Server 2019 et 2016

• Windows Server 2019
• Windows Server 2016

Versions semi-annuelles de Windows Server

• Windows Server, version 2004
• Windows Serveur, version 1909
• Windows Server, version 1903
• Windows Server, version 1809
• Windows Server, version 1803
• Windows Server, version 1709

Versions précédentes de Windows Server

• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2
• Windows Server 2008
• Windows Server 2003 SP2
• Windows Server 2003 SP1
• Windows Server 2003

Utiliser Windows dans un mode de fonctionnement approuvé PAR FIPS

Pour utiliser Windows et Windows Server dans un mode de fonctionnement approuvé FIPS 140, toutes les règles de configuration et de sécurité spécifiques décrites dans les documents de stratégie de sécurité du module doivent être suivies. Pour afficher ou télécharger les documents de stratégie de sécurité d’une version de produit donnée, accédez à la liste des modules validés FIPS 140 pour la version dans les sections ci-dessus et sélectionnez les liens vers les documents de stratégie de sécurité.

Dans le cadre des règles de configuration décrites dans les documents de stratégie de sécurité, Windows et Windows Server peuvent être configurés pour s’exécuter en mode de fonctionnement approuvé FIPS 140, communément appelé « mode FIPS ». Dans les versions actuelles de Windows, lorsque vous activez le paramètre de mode FIPS, les modules bibliothèque de primitives de chiffrement (bcryptprimitives.dll) et bibliothèque de primitives de chiffrement en mode noyau (CNG.sys) exécutent des auto-tests avant que Windows n’exécute les opérations de chiffrement. Ces auto-tests répondent aux exigences FIPS 140 et garantissent que les modules fonctionnent correctement. La bibliothèque de primitives de chiffrement et la bibliothèque de primitives de chiffrement en mode noyau sont les seuls modules qui utilisent le paramètre de configuration du mode FIPS. Le mode FIPS ne contrôle pas les algorithmes de chiffrement utilisés. Le paramètre de mode FIPS est destiné à être utilisé uniquement par les composants de la bibliothèque de primitives de chiffrement (bcryptprimitives.dll) et de la bibliothèque de primitives de chiffrement en mode noyau (CNG.sys) dans Windows.

Déterminer si un service ou une application Windows est conforme à la norme FIPS 140

Microsoft valide les modules de chiffrement utilisés dans Windows et d’autres produits, et non les services ou applications Windows individuels. Contactez le fournisseur du service ou de l’application pour savoir s’il appelle un module de chiffrement Windows validé (c’est-à-dire, un module validé par le CMVP comme répondant aux exigences FIPS 140 et a émis un certificat) d’une manière conforme à FIPS (c’est-à-dire, en appelant un chiffrement validé FIPS 140 et configuré selon un mode de fonctionnement approuvé FIPS défini).

FIPS 140 et la suite d’algorithmes de sécurité nationale commerciale

La suite CNSA (Commercial National Security Algorithm ) est un ensemble d’algorithmes de chiffrement promulgués par la National Security Agency en remplacement des algorithmes de chiffrement NSA Suite B. De nombreux algorithmes de chiffrement CNSA sont également approuvés selon la norme FIPS 140. Pour déterminer si un algorithme CNSA a été inclus dans l’étendue des algorithmes validés CAVP utilisés dans un produit Microsoft, accédez à la liste des modules validés FIPS 140 pour le produit dans les sections ci-dessus et référencez l’étendue d’algorithme répertoriée pour chaque module validé. D’autres détails sur l’algorithme sont disponibles dans chaque document de stratégie de sécurité du module.

Certifications FIPS 140 et Critères communs

FIPS 140 et Common Criteria sont deux normes de sécurité complémentaires mais différentes. Alors que FIPS 140 valide la fonctionnalité de chiffrement, Common Criteria évalue une sélection plus large de fonctions de sécurité dans les produits informatiques. Les évaluations des critères communs peuvent s’appuyer sur les validations FIPS 140 pour garantir que les fonctionnalités de chiffrement de base sont correctement implémentées. Pour plus d’informations sur le programme de certification Common Criteria de Microsoft, consultez Certifications des critères communs.

Contact

Contactez fips@microsoft.com avec des questions ou pour fournir des commentaires sur ce sujet.