Ir al contenido

Notas sobre las certificaciones

DinamoSi le preocupa la validación de certificaciones de productos, en esta página encontrará información que puede serle útil para tomar una decisión y planificar.

Contexto

Dinamo Los HSM están certificados según las normas ICP-Br MCT-7 y FIPS 140-2. El proceso de validación con estas normas es largo y costoso, por lo que solemos enviar nuestros productos con cierta periodicidad según la fecha de caducidad de cada norma.

La unidad validada es el equipo (hardware y firmware) en una frontera autónoma.

Dinamo Puede consultar el portal de cada norma o ponerse en contacto para comprobar el estado más reciente de cualquiera de nuestros productos.

Actualmente, los HSM tienen tres modos de funcionamiento: No restringido(NRM), Restringido 1(RM1) y Restringido 2(RM2). El modo de funcionamiento RM1 sigue todas las directivas y restricciones de seguridad relacionadas con las normas ITI MCT-7 y NIST FIPS 140-2 L3. El modo de funcionamiento RM2 sigue todas las directivas y restricciones de seguridad relacionadas con la norma NIST FIPS 140-2 L3. En el modo NRM, el HSM habilita determinados algoritmos y funcionalidades no previstos en las normas relativas a los modos restringidos.

Relación de compromiso

Como práctica general, cuando un producto recibe una de las certificaciones y nuestros clientes invierten en esa versión del producto, intentamos seguir dando soporte a esa versión aunque avance el estado de la técnica. Dinamo Así, a medida que se mejora la línea de productosHSM (se publican continuamente versiones más recientes de software y firmware), nuestra práctica general es poner la versión congelada a disposición durante el mayor tiempo posible de los clientes que deseen utilizar exactamente la versión certificada; y ofrecer las versiones más recientes a los clientes que no requieran un cumplimiento estricto de la certificación.

Dinamo Para comunicarse e integrarse con el HSM, proporciona un conjunto de interfaces. Se trata de API y bibliotecas que no forman parte del ámbito de aplicación de las normas FIPS e ICP-Br, pero que son necesarias para que pueda utilizar elHSM en sus aplicaciones. Estas bibliotecas y API suelen denominarse software cliente.

El lanzamiento de nuevas versiones del software cliente no afecta a las versiones existentes del firmware, ya que nos esforzamos por mantener la compatibilidad con versiones anteriores del software cliente y del firmware. Sin embargo, algunas de las nuevas características y funcionalidades implementadas en el software cliente pueden depender de las nuevas versiones del firmware. Actualizar el software cliente sin actualizar el firmware no tiene ningún impacto en el entorno actual, pero puede significar que algunas nuevas características del software cliente no estén disponibles hasta que el firmware también se actualice.

Así que está claro que si necesitas mantener un estricto cumplimiento de las versiones certificadas, no podrás beneficiarte de ninguna corrección o mejora funcional que tenga un componente de firmware, ya que lo que se evalúa es la combinación de hardware y firmware.

No se puede acceder a las nuevas funciones del producto que dependen del firmware más reciente sin actualizarlo, lo que invalidaría el estricto cumplimiento de los requisitos de las normas por parte del HSM: dejaría de ser la versión certificada exacta. Un ejemplo es cuando se añaden nuevos algoritmos de cifrado, que se implementan en el firmware. El software cliente puede permitirte solicitar el nuevo algoritmo, pero si conservas un firmware antiguo que no lo implementa, la respuesta sería naturalmente un mensaje de error, como algoritmo no válido.

NOTA: Debido al funcionamiento de las normas de certificación, un producto debe salir de nuestra fábrica con la versión de firmware certificada. Dinamo Si ya dispone de un dispositivo con el hardware adecuado, no puede simplemente aplicar una actualización y lograr el cumplimiento de la norma. Naturalmente, cualquier producto de la competencia se enfrenta a las mismas restricciones.

¿Cuáles son las opciones?

Si necesita absolutamente un equipo certificado, porque así lo exigen las normas de su organización o porque se lo piden sus clientes, debe utilizar una versión de firmware certificada.

Si simplemente prefiere la tranquilidad asociada a la confirmación imparcial de terceros de que cumplimos ciertas normas rigurosas con nuestro producto, pero también exige las últimas funciones o algoritmos, considere la siguiente posibilidad: puede aceptar que existe cierto efecto halo asociado a todos nuestros equipos y versiones de firmware, porque seguimos los mismos procedimientos en nuestro diseño, pruebas, suministro, fabricación y otras formas de manipulación.

En otras palabras, creemos que cualquier versión de los productos que fabricamos cumplirá las normas si se envía para su validación.