« 米国 NIST IR 8528 耐量子暗号標準化プロセスにおける追加デジタル署名スキームの第一ラウンドに関する状況報告書 | Main | 米国 NIST SP 1326 (初期公開ドラフト) NIST サイバーセキュリティ サプライチェーンリスクマネジメント: デューデリジェンス・アセスメント・クイックスタートガイド »

2024.11.03

米国 NIST CSWP 37(初期発行ドラフト)NIST 暗号モジュール妥当性確認プログラムの自動化: 2024 年 9 月状況報告書 (2024.10.31)

こんにちは、丸山満彦です。

NISTが、CSWP 37(初期発行ドラフト)NIST 暗号モジュール妥当性確認プログラムの自動化: 2024 年 9 月状況報告書を公表していますね...

 

NIST - ITL

・2024.10.31 NIST CSWP 37 (Initial Public Draft) Automation of the NIST Cryptographic Module Validation Program: September 2024 Status Report

 

NIST CSWP 37 (Initial Public Draft) Automation of the NIST Cryptographic Module Validation Program: September 2024 Status Report
NIST CSWP 37(初期発行ドラフト)NIST 暗号モジュール妥当性確認プログラムの自動化: 2024 年 9 月状況報告書
Announcement 発表
The Cryptographic Module Validation Program (CMVP) validates third-party assertions that cryptographic module implementations satisfy the requirements of Federal Information Processing Standards (FIPS) Publication 140-3, Security Requirements for Cryptographic Modules. The NIST National Cybersecurity Center of Excellence (NCCoE) has undertaken the Automated Cryptographic Module Validation Project (ACMVP) to support improvement in the efficiency and timeliness of CMVP operations and processes. The goal is to demonstrate a suite of automated tools that would permit organizations to perform testing of their cryptographic products according to the requirements of FIPS 140-3, then directly report the results to NIST using appropriate protocols. This is a status report of progress made so far with the ACMVP and the planned next steps for the project. 暗号モジュール検証プログラム(CMVP)は、暗号モジュールの実装が連邦情報処理標準(FIPS)発行140-3「暗号モジュールのセキュリティ要件」の要件を満たすことをサードパーティが主張することを検証する。NIST 国家サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、CMVP の運用とプロセスの効率性と適時性の改善を支援するため、自動暗号モジュール妥当性確認プロジェクト(ACMVP)に取り組んできた。その目標は、組織が FIPS 140-3 の要件に従って暗号製品のテストを実施し、適切なプロトコルを使用して結果を直接 NIST に報告できる自動化ツール群を実証することである。本書は、ACMVP のこれまでの進捗状況と、このプロジェクトの次の予定について報告するものである。
Abstract 概要
The Cryptographic Module Validation Program (CMVP) validates third-party assertions that cryptographic module implementations satisfy the requirements of Federal Information Processing Standards (FIPS) Publication 140-3, Security Requirements for Cryptographic Modules. The NIST National Cybersecurity Center of Excellence (NCCoE) has undertaken the Automated Cryptographic Module Validation Project (ACMVP) to support improvement in the efficiency and timeliness of CMVP operations and processes. The goal is to demonstrate a suite of automated tools that would permit organizations to perform testing of their cryptographic products according to the requirements of FIPS 140-3, then directly report the results to NIST using appropriate protocols. This is a status report of progress made so far with the ACMVP and the planned next steps for the project. 暗号モジュール妥当性確認プログラム(CMVP)は、暗号モジュールの実装が連邦情報処理標準(FIPS)発行140-3「暗号モジュールに対するセキュリティ要件」の要件を満たしているというサードパーティの主張を検証するものである。NIST 国家サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、CMVP の運用とプロセスの効率性と適時性の改善を支援するため、自動暗号モジュール妥当性確認プロジェクト(ACMVP)に取り組んできた。その目標は、組織が FIPS 140-3 の要件に従って暗号製品のテストを実施し、適切なプロトコルを使用して結果を直接 NIST に報告できる自動化ツール群を実証することである。本書は、ACMVP のこれまでの進捗状況と、このプロジェクトの今後のステップの予定について報告するものである。

 

・[PDF] NIST.CSWP.37.ipd

20241103-101814

 

目次と表の一覧...

1. Overview 1. 概要
1.1. Challenge 1.1. 課題
1.2. Solution 1.2. 解決策
1.3. Progress to Date 1.3. これまでの進捗状況
2. Test Evidence Workstream 2. テスト・エビデンス・ワークストリーム
3. Protocol Workstream 3. プロトコル・ワークストリーム
4. Research Infrastructure Workstream … 4. 研究インフラ・・ワークストリーム
5. Conclusion 5. 結論
Appendix A. Technical Details from the Test Evidence (TE) Workstream 附属書A. テストエビデンス(TE)・ワークストリームからの技術的詳細
A.1. TEs Requiring Vendor Documentation A.1. ベンダーの文書化を必要とするTE
A.2. TEs Requiring Module Functional Test A.2. モジュール機能試験を必要とするTE
A.2.1. TE Filters A.2.1. TE フィルタ
A.2.2. Removing Assertions Not Separately Tested A.2.2. 個別にテストされていない主張の削除
A.3. Complete List of TEs A.3. TEの完全なリスト
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書B. 記号、略語、および頭字語の一覧
List of Tables 表の一覧
Table 1 - Dividing 140A-TEs into non-140B-TEs and SP-TEs 表 1 - 140A-TE を非 140B-TE および SP-TE に分割
Table 2 - TEs Requiring Functional Testing 表 2 - 機能テストが必要な TE
Table 3 - TE Filter Types and Example TEs within those Filters 表 3 - TE フィルタの種類およびそれらのフィルタ内の TE 例
Table 4 - Assertions not separately tested 表 4 - 個別にテストされない主張
Table 5 - A complete list of TEs 表 5 - TE の完全な一覧

 

概要部分...

1. Overview  1. 概要
1.1. Challenge  1.1. 課題
The Cryptographic Module Validation Program (CMVP) validates third-party assertions that cryptographic module implementations satisfy the requirements of Federal Information Processing Standards (FIPS) Publication 140-3, Security Requirements for Cryptographic Modules. Under the CMVP, cryptographic modules undergo third-party testing by National Voluntary Laboratory Accreditation Program (NVLAP) accredited laboratories, and the processes and results are validated under a program run by the National Institute of Standards and Technology (NIST) and the Canadian Center for Cyber Security (CCCS). Current industry cryptographic product development, production, and maintenance processes place significant emphasis on time-to-market efficiency. A number of elements of the validation process are manual in nature, and the period required for third-party testing and government validation of cryptographic modules is often incompatible with industry requirements.
暗号モジュール検証プログラム(CMVP)は、暗号モジュールの実装が連邦 情報処理標準(FIPS)パブリケーション140-3「暗号モジュールのセキュリティ要件」の要件を満たしていることをサードパーティが主張することを検証する。CMVP の下、暗号モジュールは、国立標準技術研究所(NIST)とカナダ・サイバー・セキュリティ・センター(CCCS)が運営するプログラムの下、NVLAP(National Voluntary Laboratory Accreditation Program)認定機関によるサードパーティ・テストを受け、そのプロセスと結果が妥当性確認される。現在の業界の暗号製品開発、製造、保守プロセスでは、市場投入までの時間効率を重視している。妥当性確認プロセスの多くの要素が手作業で行われており、暗号モジュールのサードパーティ・テストや政府の妥当性確認に必要な期間は、業界の要件と相容れないことが多い。
1.2. Solution  1.2. ソリューション
The NIST National Cybersecurity Center of Excellence (NCCoE) has undertaken a project to demonstrate the value and practicality of automation support to improve the responsiveness of CMVP. The intent of the Automated Cryptographic Module Validation Project (ACMVP) is to support improvement in the efficiency and timeliness of CMVP operations and processes. This NCCoE effort is one of a number of activities focused on the automation of module validation and report review flow, and it follows the successful completion of NIST efforts such as the automation of the Cryptographic Algorithm Validation Program (CAVP); the rollout of WebCryptik, an application for submitting test results to the CMVP; and the automation of the processing of entropy data testing evidence for the Entropy Source Validation (ESV) program. The initiative aims to provide mechanisms for structural presentation of testing evidence by NVLAP-accredited parties to facilitate the automation of evidence validation by the CMVP.   NIST National Cyberseキュリティ・センター・オブ・エクセレンス(NCCoE)は、CMVP の応答性を向上させるための自動化サポートの価値と実用性を実証するプロジェクトを実施した。暗号モジュール妥当性確認自動化プロジェクト(ACMVP)の意図は、CMVP の運用とプロセスの効率性と適時性の改善を支援することである。この NCCoE の取り組みは、モジュール妥当性確認と報告書レビューフローの自動化に焦点を当てた数多くの活動の一つであり、暗号アルゴリズ ム妥当性確認プログラム(CAVP)の自動化、テスト結果を CMVP に提出するためのアプリケーションである WebCryptik の展開、エントロピ ーソース妥当性確認(ESV)プログラムのエントロピーデータテストエビデンス処理の自動化などの NIST の取り組みが成功裏に完了したことに続くものである。このイニシアチブは、CMVPによるエビデンス妥当性確認の自動化を促進するために、NVLAP認定当事者によるテストエビデンスの構造的提示のためのメカニズムを提供することを目的としている。 
The ACMVP’s goal is to enable automated test report review where feasible for each of the test requirements found in FIPS 140-3 and International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC) 24759, which FIPS 140-3 incorporates by reference. Because of the wide range of the technologies and corresponding security requirements that the CMVP covers, this effort is being executed in phases. The initial phase of software module validation such as an OpenSSL module is foundational and will determine future phases. ACMVP の目標は、FIPS 140-3 および国際標準化機構(ISO)/国際電気標準会議(IEC)24759(FIPS 140-3 が参照により組み込まれている)に記載されている各テスト要件について、実行可能な場合には自動テストレポートレビューを可能にすることである。CMVP が対象とする技術と対応するセキュリティ要件は多岐にわたるため、この取り組みは段階的に実施される。OpenSSL モジュールのようなソフトウエア・モジュールの妥当性確認の初期段階は、基礎的なものであり、将来の段階を決定する。
The module testing and reporting aspects of module validation, according to ISO/IEC 24759, combine functional and nonfunctional security requirements. This project attempts to streamline the test methods for the functional tests of specific classes of technologies (e.g., software modules) and corresponding reporting of functional and non-functional security requirements. We are working to demonstrate a suite of tools to modernize and automate manual review processes in support of existing policy and efforts to include technical testing under the CMVP. These automated tools employ an NVLAP-accredited testing concept that permits organizations to perform the testing of their cryptographic products according to the requirements of FIPS 140-3, then directly report the results to NIST using appropriate protocols.   ISO/IEC 24759 に従ったモジュール妥当性確認のモジュールテストと報告の側面は、機能的セキュリティ要求事項と非機能的セキュリティ要求事項を組み合わせたものである。このプロジェクトは、特定のクラスの技術(例えば、ソフトウエアモジュール)の機能テストと、それに対応する機能的・非機能的セキュリティ要求事項の報告に関するテスト方法の合理化を試みている。われわれは、既存の方針とCMVPの下で技術テストを含める努力を支援するために、手動レビュープロセスを近代化し自動化する一連のツールの実証に取り組んでいる。これらの自動化ツールは、FIPS 140-3 の要件に従って組織が暗号製品のテストを実施し、適切なプロトコルを使用して結果を直接 NIST に報告することを許可する NVLAP 認定テストの概念を採用している。 
The accredited parties will have to identify the corresponding personnel and organizational structures needed to perform this testing while complying with the laboratory requirements for testing programs established by NVLAP under NIST Handbook (HB) 150-17. The accreditation requirements in HB 150-17 are both hierarchical and compositional in nature so that organizations can tailor the scope of accreditation according to their specific product/service portfolio.  認定を受けた当事者は、NISTハンドブック(HB)150-17に基づきNVLAPが策定した試験プログラムの試験所要件に準拠しながら、この試験を実施するために必要な対応する要員と組織構造を特定しなければならない。HB150-17の認定要件は、階層的かつ構成的な性質を有しており、組織は特定の製品/サービ スのポートフォリオに応じて認定範囲を調整することができる。
1.3. Progress to Date  1.3. 現在までの進捗状況
To date, the ACMVP project has:  現在までに、ACMVPプロジェクトは以下を実施してきた: 
• Identified and classified categories of test evidence required for CMVP validation that can readily be automated in a reporting format that is consistent with current WebCryptik and CMVP; identified the test evidence classes for which manual processes are still needed  ・現在の WebCryptik および CMVP と整合性のある報告形式で容易に自動化できる、CMVP 検証に必要なテ ストエビデンスのカテゴリーを特定し、分類した。
• Identified necessary schemas and protocols for evidence submission and validation for a scalable application programming interface (API) based architecture  ・手動プロセスが依然として必要なテストエビデンスクラスを特定した。
• Designed and developed a cloud native infrastructure required to support validation program automation   ・拡張可能なアプリケーションプログラミングインタフェース(API)ベースのアーキテ クチャのための、エビデンスの提出および検証に必要なスキーマおよびプロトコルを特定した。
In the initial phase, the project is divided into three workstreams: the Test Evidence (TE) Workstream, the Protocol Workstream, and the Research Infrastructure Workstream. Each is a focused effort in its own right. The combined impact of these workstreams will result in improvements to the overall automation of the CMVP.  初期段階では、プロジェクトは、テストエビデンス(TE)・ワークストリーム、プロト コル・ワークストリーム、および研究インフラ・ワークストリームの 3 つの・ワークストリームに分かれている。各・ワークストリームは、それぞれに焦点を絞った取り組みである。これらの・ワークストリームの複合的な影響により、CMVPの自動化全体が改善されることになる。
Contributors to each workstream are listed in the corresponding sections below. Additionally, the following people and organizations contributed to the project outside of a workstream: Rochelle Casey, Alicia Squires, Margaret Salter, Tim Ness, and David Browning of Amazon; Apostol Vassilev, Dave Hawes, Gavin O’Brien, Tim Hall, Matt Scholl, Cheri Pascoe, Kevin Stine, Ann Rickerds, Jim Simmons, Rob Densock, and Blair Heiserman of NIST; William Barker of Dakota Consulting; Karen Scarfone of Scarfone Cybersecurity; and Heather Flanagan of Spherical Cow Consulting. 各・ワークストリームへの貢献者は、以下の該当セクションに記載されている。さらに、・ワークストリーム以外でも、以下の人々や組織がプロジェクトに貢献した: AmazonのRochelle Casey、Alicia Squires、Margaret Salter、Tim Ness、David Browning、NISTのApostol Vassilev、Dave Hawes、Gavin O'Brien、Tim Hall、Matt Scholl、Cheri Pascoe、Kevin Stine、Ann Rickerds、Jim Simmons、Rob Densock、Blair Heiserman、Dakota ConsultingのWilliam Barker、Scarfone CybersecurityのKaren Scarfone、Spherical Cow ConsultingのHeather Flanagan。

 

 

 

 

 

|

« 米国 NIST IR 8528 耐量子暗号標準化プロセスにおける追加デジタル署名スキームの第一ラウンドに関する状況報告書 | Main | 米国 NIST SP 1326 (初期公開ドラフト) NIST サイバーセキュリティ サプライチェーンリスクマネジメント: デューデリジェンス・アセスメント・クイックスタートガイド »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 NIST IR 8528 耐量子暗号標準化プロセスにおける追加デジタル署名スキームの第一ラウンドに関する状況報告書 | Main | 米国 NIST SP 1326 (初期公開ドラフト) NIST サイバーセキュリティ サプライチェーンリスクマネジメント: デューデリジェンス・アセスメント・クイックスタートガイド »