NIST SP 1800-40（ドラフト）NIST暗号モジュール検証プログラムの自動化（初期ドラフト）

こんにちは、丸山満彦です。

NISTがSP 1800-40 (ドラフト) NIST暗号モジュール検証プログラムの自動化（初期ドラフト）を公表し、意見募集をしています。。。

 

⚫︎ NIST - ITL

・2023.06.07 SP 1800-40 (Draft) Automation of the NIST Cryptographic Module Validation Program (Preliminary Draft)

 

SP 1800-40 (Draft) Automation of the NIST Cryptographic Module Validation Program (Preliminary Draft)	SP 1800-40（ドラフト）NIST暗号モジュール検証プログラムの自動化（初期ドラフト）
Announcement	発表内容
Since the beginning of the Cryptographic Module Validation Program (CMVP), demands for the latest technology, cryptographic module fixes, and patch releases have outpaced NIST’s validation model. Today, NIST is working to reduce the length of the validation cycle, while maintaining and improving assurance levels. The goals of this practice guide are to support NIST with shortening the validation cycle and to keep the CMVP community informed of any proposed approaches and/or changes to the CMVP.	暗号モジュール検証プログラム（CMVP）の開始以来、最新技術、暗号モジュールの修正、およびパッチリリースに対する要求は、NISTの検証モデルを上回っている。今日、NISTは、保証レベルを維持・向上させながら、バリデーションサイクルの期間を短縮することに取り組んでいる。この実践ガイドの目標は、バリデーションサイクルを短縮するために NIST を支援すること、および CMVP コミュニティに提案されたアプローチやCMVPへの変更について情報を提供し続けることである。
This project will result in a publicly available NIST Cybersecurity Practice Guide in the Special Publication 1800 series, which contains practical steps and guidance to implement our cybersecurity reference designs.	このプロジェクトは、Special Publication 1800 シリーズで一般公開される NIST サイバーセキュリティ実践ガイドとなり、サイバーセキュリティ参照設計を実装するための実践的な手順とガイダンスが含まれている。

 

・[PDF] NIST SP 1800-40A iprd

 

Executive Summary	エグゼクティブサマリー
NIST established the Cryptographic Module Validation Program (CMVP) to ensure that hardware and software cryptographic implementations conform to specified standard security requirements. This is a joint program with the Government of Canada. Since its start, the volume, complexity, and speed-tomarket of modules to be tested and validated has steadily increased. The rapid pace of industry innovation, release cycle of cloud services, and cryptographic module fixes and patch releases now outstrips available human resources for product vendors, labs, and validators.	NIST は、ハードウェアおよびソフトウェアの暗号実装が指定された標準的なセキュリティ要件に適合していることを確認するために、暗号モジュール検証プログラム（CMVP）を設立した。これは、カナダ政府との共同プログラムである。開始以来、テストと検証の対象となるモジュールの量、複雑さ、市場投入のスピードは着実に増加している。業界のイノベーション、クラウドサービスのリリースサイクル、暗号モジュールの修正とパッチリリースの急速なペースは、製品ベンダー、ラボ、バリデーターが利用できる人的資源を上回るようになった。
We also live in times of unprecedented levels of threats and exploits that require deploying the latest technology and frequent product updates to fix defects and remove security vulnerabilities--that doesn’t fit in the current CMVP workflows and processes.	また、前例のないレベルの脅威や悪用の時代であるため、最新の技術を導入し、欠陥の修正やセキュリティ脆弱性の除去のために頻繁に製品を更新する必要があるが、これは現在のCMVPのワークフローやプロセスには当てはまらない。
This limits product options for many organizations required to use validated cryptography, especially federal agencies. NIST has started a broad effort to modernize and automate all aspects of the CMVP.	このため、検証済みの暗号を使用する必要がある多くの組織（特に連邦政府機関）では、製品の選択肢が限られてしまう。NISTは、CMVPのあらゆる側面を近代化し、自動化するための幅広い取り組みを開始した。
This guide summarizes how the National Cybersecurity Center of Excellence (NCCoE) and its collaborators are developing a schema, protocols, and technology to create standardized tests and mechanisms for test evidence submission as part of automation of CMVP. As the project progresses, this preliminary draft will be updated, and additional volumes will also be released for comment.	このガイドでは、CMVP の自動化の一環として、ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）とその協力者が、標準化されたテストとテストエビデンス提出のメカニズムを作成するためのスキーマ、プロトコル、技術を開発する方法をまとめている。プロジェクトの進行に伴い、この初期ドラフトは更新され、コメントのための追加ボリュームも公開される予定である。
The primary goal of the completed guide will be to integrate the developed application, process, and protocols into the NIST CMVP to help the test labs, technology producers, and validation authorities leverage this modern approach to shorten the validation cycle while maintaining and improving the level of assurance. The guide will help the CMVP community to stay informed and understand the approaches and changes that will be made to the program.	完成したガイドの主な目標は、開発したアプリケーション、プロセス、プロトコルをNIST CMVPに統合し、テストラボ、技術者、検証当局がこの最新のアプローチを活用して、保証レベルを維持・向上させながら検証サイクルを短縮できるようにすることである。このガイドは、CMVPコミュニティが情報を入手し、プログラムに加えられるアプローチと変更点を理解するのに役立つ。
CHALLENGE	課題
The CMVP validates first and third party test laboratory assertions that cryptographic module implementations satisfy the requirements of Federal Information Processing Standards (FIPS) Publication 140-3, Security Requirements for Cryptographic Modules. Module testing and reporting is conducted in accordance with International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC) 24759 as specified and constrained by the NIST Special Publication 800-140 series, and combines reporting of both functional and nonfunctional security requirements. Current industry cryptographic product development, production, and maintenance processes place significant emphasis on time-to-market efficiency while also striving to deliver quality and security. A number of elements of the test and validation process are manual in nature and use nonstandard tests and test evidence, and the period required for laboratory testing and government validation of cryptographic modules is often incompatible with industry and customer requirements. This process can take up to two years; industry may have several innovative releases in that time frame that are backlogged for validation due to the current process.	CMVP は、暗号モジュールの実装が連邦情報処理標準（FIPS）出版物 140-3, 暗号モジュールに求められるセキュリティ要件 の要件を満たしているという第一および第三のテストラボの主張を検証する。モジュールのテストと報告は、NIST 特別出版物 800-140 シリーズで規定され制約されている国際標準化機構（ISO）/国際電気標準会議（IEC）24759に従って行われ、機能的および非機能的なセキュリティ要件の報告を兼ねている。現在の業界における暗号製品の開発、製造、保守のプロセスは、品質とセキュリティの実現に努めつつ、市場投入までの時間を効率化することに大きな重点を置いている。テスト・検証プロセスの多くの要素が手作業で行われ、非標準的なテストやテストエビデンスが使用されており、暗号モジュールのラボテストや政府の検証に必要な期間は、業界や顧客の要件と相容れないことが多い。このプロセスには最大で2年かかることがある。業界では、この期間にいくつかの革新的なリリースがあり、現在のプロセスのために検証のためにバックログになっている可能性がある。
OUTCOME	成果
The outcome of this project is to develop a proof of concept to include a CMVP test and validation service; a set of structured tests, schema, and protocols for evidence submission; a repeatable approach for testing, including cloud-based testing; and corresponding computing infrastructure to automate the validation of FIPS 140-3 security requirements for cryptographic modules. The developed code, schema and protocol specifications, supporting documentation, and findings will be published in this practice guide, a NIST Special Publication (SP) 1800 that is composed of multiple volumes.	このプロジェクトの成果は、CMVPテストおよび検証サービス、構造化されたテスト、スキーマ、および証拠提出のためのプロトコルのセット、クラウドベースのテストを含むテストのための反復可能なアプローチ、および暗号モジュールのFIPS 140-3セキュリティ要件の検証を自動化するための対応するコンピュータインフラを含む概念実証を開発することである。開発されたコード、スキーマおよびプロトコルの仕様、サポート文書、および調査結果は、複数の巻からなる NIST Special Publication (SP) 1800 である本実践ガイドとして公開される予定である。
This preliminary practice guide can help your enterprise organization, e.g., Federal Agencies:	この初期実践ガイドは、エンタープライズ組織（例：連邦政府機関）に役立つものである：
§  understand the value and practicality of automation to improve the efficiency and timeliness of CMVP operation and processes	§ CMVP の運用とプロセスの効率と適時性を向上させるための自動化の価値と実用性を理解する。
§  understand the considerations associated with decisions regarding a potential future ability to perform first-party testing, such as with product/service providers	§ 製品／サービスプロバイダなど、将来的にファーストパーティテストを実施する可能性がある場合、その決定に関連する考慮事項を理解する。
This preliminary practice guide can help CMVP test labs and vendors:	この初期実践ガイドは、CMVPテストラボおよびベンダーを支援するものである：
§  understand the value and practicality of automation to improve the efficiency and timeliness of CMVP operation and processes	§ CMVP の運用とプロセスの効率と適時性を向上させるための自動化の価値と実用性を理解する。
§  learn about the automation of the test report format and protocols for exchanging test evidence	§ テストレポートフォーマットおよびテストエビデンスの交換プロトコルの自動化について学ぶ。
§  leverage sample code to develop their own client to interface with the developed test server	§ サンプルコードを活用して、開発されたテストサーバーとのインターフェイスを持つ独自のクライアントを開発する。
§  replicate and host their own test environment using the architecture and supporting content	§ アーキテクチャーとサポートコンテンツを使用して、独自のテスト環境を複製し、ホストする。
SOLUTION	解決方法
NCCoE is currently collaborating with technology providers on finalizing the demonstration architecture to show the value and practicality of automation for improving the efficiency and timeliness of CMVP operation and processes. This effort is the complement to the automated Cryptographic Algorithm Validation Program (CAVP). The ultimate goal of this initiative is to provide mechanisms for testing by National Voluntary Laboratory Accreditation Program (NVLAP) accredited parties, to include first parties such as product/service providers and third parties such as independent testing laboratories. Ideally, the project would lead to standardized tests and a schema for test evidence submission where feasible for each of the test requirements found in ISO/IEC 24759 at all four security levels.	NCCoEは現在、CMVPの運用とプロセスの効率と適時性を向上させるための自動化の価値と実用性を示すために、技術プロバイダと協力して実証アーキテクチャを確定している。この取り組みは、自動化された暗号アルゴリズム検証プログラム（CAVP）を補完するものである。この取り組みの最終的な目標は、製品／サービスプロバイダなどのファーストパーティや独立試験所などのサードパーティを含む、NVLAP（National Voluntary Laboratory Accreditation Program）認定者によるテストのためのメカニズムを提供することである。理想的には、このプロジェクトは、ISO/IEC 24759に見られる各テスト要件について、4つのセキュリティレベルすべてにおいて、標準化されたテストとテストエビデンス提出のためのスキーマを実現可能な範囲で提供することである。
Because of the large range of the technologies and the corresponding security requirements the CMVP covers, this project will be executed in phases. The initial project phase is for software module validation at security level 1, which is foundational and will inform future phases. This activity demonstrates an evidence catalog that maps test evidence (TE) references to specific TEs and a schema for standardized evidence submission for the validation testing of cryptographic software modules. The demonstration includes a suite of tools for modernizing and automating manual review processes in support of existing policy and efforts, including technical acceptance testing. The demonstration also includes a cloudbased approach to automate the manual review processes.	CMVPが対象とする技術および対応するセキュリティ要件は多岐にわたるため、このプロジェクトは段階的に実施される。最初のプロジェクトフェーズは、セキュリティレベル1におけるソフトウェアモジュールの検証であり、これは基礎的なもので、将来のフェーズに情報を提供するものである。この活動では、暗号ソフトウェアモジュールの妥当性確認試験のために、テストエビデンス（TE）参照を特定のTEにマッピングするエビデンスカタログと、標準化されたエビデンス提出用のスキーマを実証する。このデモには、技術的な受け入れテストを含む既存のポリシーや取り組みをサポートするために、手動レビュープロセスを近代化および自動化するためのツール一式が含まれている。また、このデモには、手動レビュープロセスを自動化するためのクラウドベースのアプローチも含まれている。
These automated tools integrate in common vendor/manufacturer testing processes that permit organizations to test their cryptographic products according to the requirements of FIPS 140-3, then directly report the results to the NIST validation server using appropriate protocols and obtain certificates of compliance. Participating organizations will identify personnel and organizational structures needed to perform this testing and report results to the CMVP to comply with the laboratory requirements for testing programs established by NVLAP under NIST Handbook (HB) 150-17. The accreditation requirements in HB 150-17 are hierarchical and compositional in nature so that organizations can tailor the scope of accreditation according to their specific product/service portfolio.	これらの自動化ツールは、一般的なベンダー/メーカーのテストプロセスに統合され、組織はFIPS 140-3の要件に従って暗号製品をテストし、適切なプロトコルを使用して結果をNIST検証サーバに直接報告し、準拠証明書を取得することができる。参加組織は、NISTハンドブック（HB）150-17に基づきNVLAPが制定したテストプログラムのラボ要件に準拠するため、このテストの実施とCMVPへの結果報告に必要な人員と組織構造を特定する。HB 150-17の認定要件は、組織が特定の製品/サービスポートフォリオに応じて認定範囲を調整できるように、階層的かつ構成的な性質を持っている。
Collaborators	協力者
Acumen Security	アキュメン・セキュリティ
atsec	アットセック
AEGISOLVE	AEGISOLVE
Amazon Web Services (AWS)	アマゾン ウェブ サービス（AWS）
Apple	アップル
Cisco	シスコ
Cloudflare	クラウドフレア
Lightship Security	ライトシップセキュリティ
Microsoft Corporation	マイクロソフト株式会社
NXP Semiconductors	NXPセミコンダクターズ
SUSE	SUSE
While the NCCoE will use a suite of commercial and open source products to address this challenge, this guide does not endorse particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution.	NCCoEは、この課題に対処するために一連の商用およびオープンソース製品を使用するが、本ガイドは特定の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠も保証するものでもない。組織の情報セキュリティ専門家は、既存のツールやITシステムインフラと最もよく統合できる製品を特定する必要がある。また、このガイドを出発点として、ソリューションの一部をカスタマイズして実装することも可能である。
HOW TO USE THIS GUIDE	このガイドの使用方法
Depending on your role in your organization, you might use this guide in different ways:	組織におけるあなたの役割に応じて、このガイドをさまざまな方法で使用することができる：
Business decision makers, including chief information security officers, product managers, test 77 laboratory managers, and technology officers can use this part of the guide, NIST SP 1800-40A: 78 Executive Summary, to understand the drivers for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization.	最高情報セキュリティ責任者、製品管理者、試験所管理者、技術責任者などのビジネス意思決定者は、本書のこの部分、NIST SP 1800-40A: 78 Executive Summary を使用して、本書の目的、当社が取り組むサイバーセキュリティ上の課題、この課題解決への当社のアプローチ、およびソリューションが組織にもたらすメリットについて理解できる。
Other roles including technology, security, and privacy program managers and architects and software	技術、セキュリティ、プライバシーのプログラムマネージャやアーキテクト、ソフトウェア開発者、エンジニア、IT 専門家など、他の役割もある。
developers, engineers, and IT professionals may find value in this Executive Summary, as well as future releases of this publication which will include greater details about the approach and technical implementation information.	また、本書の今後のリリースでは、アプローチの詳細や技術的な実装情報を掲載する予定である。
SHARE YOUR FEEDBACK	ご意見をお聞かせください
You can view or download the preliminary draft guide at the Automation of the NIST Cryptographic Module Validation Program project page. NIST follows an agile process to publish this content. Each volume is made available as soon as possible rather than delaying release until all volumes are completed. Work continues on designing and implementing the example solution and developing other parts of the content. As a preliminary draft, this volume will have at least one additional draft released for public comment before it is finalized.	NIST Cryptographic Module Validation ProgramプロジェクトページのAutomation of the NISTで、初期ドラフトガイドを閲覧またはダウンロードすることができる。NISTは、このコンテンツを公開するためにアジャイルプロセスを採用している。各巻は、すべての巻が完了するまで発行を延期するのではなく、できるだけ早く利用できるようにする。例題ソリューションの設計と実装、およびコンテンツの他の部分の開発作業が続いている。初期ドラフトとして、この巻は、最終決定する前に、パブリックコメントのために少なくとも1つの追加ドラフトを公開する予定である。
Help the NCCoE make this guide better by sharing your thoughts with us as you read the guide. Once the example implementation is developed, you can adopt this solution for your own organization. If you do, please share your experience and advice with us. We recognize that technical solutions alone will not fully enable the benefits of our solution, so we encourage organizations to share lessons learned and recommended practices for transforming the processes associated with implementing this guide.	NCCoEがこのガイドをより良いものにするために、ガイドについて意見をお願いする。実装例が開発されたら、このソリューションを自身の組織に採用することができる。その場合、あなたの経験や助言を私たちと共有してください。技術的な解決策だけでは、本ソリューションのメリットを十分に発揮できないことを認識しているので、本ガイドの実施に関連するプロセスを変革するための教訓や推奨される実践方法を組織で共有することを勧める。
To provide comments or join the CMVP Automation community of interest, contact the NCCoE at mail.	コメントの提供やCMVP Automationの関心コミュニティーへの参加は、NCCoE（mail）まで連絡すること
COLLABORATORS	共同研究者
Collaborators participating in this project submitted their capabilities in response to an open call in the Federal Register for all sources of relevant security capabilities from academia and industry (vendors and integrators). Those respondents with relevant capabilities or product components signed a Cooperative Research and Development Agreement (CRADA) to collaborate with NIST in a consortium to build this example solution.	このプロジェクトに参加する共同研究者は、連邦官報に掲載された、学術界および産業界（ベンダーおよびインテグレーター）からの関連するセキュリティ能力のすべてのソースの公募に応じて、能力を提出した。関連する能力または製品コンポーネントを持つ回答者は、この例のソリューションを構築するためにコンソーシアムでNISTと協力するための協力研究開発契約（CRADA）に署名した。
Certain commercial entities, equipment, products, or materials may be identified by name or company logo or other insignia in order to acknowledge their participation in this collaboration or to describe an experimental procedure or concept adequately. Such identification is not intended to imply special status or relationship with NIST or recommendation or endorsement by NIST or NCCoE; neither is it intended to imply that the entities, equipment, products, or materials are necessarily the best available for the purpose.	この共同研究への参加を認めるため、または実験手順やコンセプトを適切に説明するために、特定の商業団体、機器、製品、または材料が名前または会社のロゴまたはその他の記章で特定される場合がある。このような識別は、NISTとの特別な地位や関係、NISTやNCCoEによる推奨や推薦を意味するものではなく、また、その団体、機器、製品、材料が必ずしも目的のために利用できる最良のものであることを意味するものでもない。

 

プロジェクトのページ...

・Project homepage (web)