什么是FIPS 140-3？

FIPS 140-3是一项由NIST（National Institute of Standards and Technology）发布的针对加密模块安全要求的标准，英文名称为： Security Requirements for Cryptographic Modules (FIPS PUB 140-3)。

该标准规定了在保护敏感但非机密信息（以下简称敏感信息）的安全系统中使用的加密模块应满足的安全要求。该标准规定了四个逐步增强的安全等级： 1级、2级、3级和4级。这些级别旨在涵盖可能使用加密模块的各种潜在应用和环境。安全要求涵盖与加密模块的安全设计和实施有关的领域。这些领域包括：密码模块规格；密码模块接口；角色、服务和身份验证；软件/固件安全；运行环境；物理安全；非侵入式安全；敏感安全参数管理；自检；生命周期保证；以及减轻其他攻击。

注意：该标准认证由美国国家标准与技术研究院（NIST）和加拿大通信安全机构（CSE）共同管理，需考虑某些因素的影响。

更多信息详见：https://csrc.nist.gov/pubs/fips/140-3/final

FIPS 140-3涉及哪些标准？

FIPS 140-3没有直接包含模块要求，而是参考了ISO/IEC 19790:2012(E)，这些要求的测试按照 ISO/IEC 24759:2017(E) 进行。

以下为FIPS 140-3涉及的主要标准：

Federal Information Processing Standards FIPS 140-3 确定了CMVP（Cryptographic Module Validation Program）作为验证机构（validation authority），采用 ISO/IEC 19790:2012 要求标准和 ISO/IEC 24759:2017 派生测试方法。该标准还确定了 CMVP 的技术要求，这些要求包含在 NIST 特别出版物中： SP 800-140、SP 800-140A、SP 800-140B、SP 800-140C、SP 800-140D、SP 800-140E 和 SP 800-140F。在保护敏感信息的安全系统中使用的加密模块必须满足这些安全要求。
ISO/IEC 19790:2012 规定了在保护敏感信息的安全系统中使用的加密模块的安全要求。该国际标准为加密模块定义了四个安全级别，以满足各种数据敏感性（如低价值管理数据、百万美元资金转账、生命保护数据、个人身份信息和政府使用的敏感信息）和各种应用环境（如有人看守的设施、办公室、可移动媒体和完全不受保护的场所）的要求。该国际标准规定了 11 个需求领域中每个领域的四个安全级别，每个安全级别的安全性都高于前一级别。
ISO/IEC 24759:2017 规定了测试实验室用于测试密码模块是否符合ISO/IEC 19790:2012规定要求的方法。制定这些方法是为了在测试过程中提供高度的客观性，并确保各测试实验室的一致性。还规定了供应商向测试实验室提供信息的要求，作为证明其加密模块符合 ISO/IEC 19790:2012 规定要求的辅助证据。
SP 800-140，SP 800-140A，SP 800-140B，SP 800-140C，SP 800-140D，SP 800-140E，SP 800-140F 需要结合上面两个标准一起使用，此处不再介绍。

FIPS 140-3的验证流程是怎么样的？

简单来说（极度简化后）有这么几个步骤：

准备好符合标准要求的加密模块及相关材料提交给经认证的CST实验室做测试；
实验室测试完成后判断符合相关要求，则将验证提交（validation submission）发送给CMVP进行审查；
CMVP审查通过后，加密模块的验证信息将会发布在CMVP的网站上。

如何寻找经认证的实验室进行测试？

进入查询网址：https://www-s.nist.gov/niws/index.cfm?event=directory.search#no-back ，按照下图关键词进行查询。

如何查询已通过FIPS 140-3验证的加密模块？

进入查询网址：https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search ，通过关键词查询。