Cette page fournit de l’information sur la façon de sélectionner les produits validés selon le PVMC appropriés lorsque les architectes de systèmes et les acheteurs cherchent des produits qui répondent à leurs besoins fonctionnels.
Les certificats du PVMC comportent plusieurs champs d’information que le Centre pour la cybersécurité recommande de consulter avant de prendre une décision en matière d’acquisition.
- Nom et versions du module: Le Centre pour la cybersécurité recommande de se procurer un produit dont la version correspond à celle mentionnée dans le certificat. Il importe de lire attentivement le certificat, puisqu’il peut représenter plus d’un modèle de produit.
- Mise en garde: Le certificat de validation peut comporter une mise en garde si un module combine à la fois un mode Approuvé et un mode Non approuvé. L’absence de mise en garde signifie que le module ne propose que le mode Approuvé. D’autres mises en garde peuvent être ajoutées au certificat afin de déterminer la façon de configurer le module conformément aux utilisations approuvées. Le Centre pour la cybersécurité recommande d’utiliser les produits dans les modes approuvés.
- Niveaux de sécurité: Le niveau général, de même que les niveaux des catégories individuelles d’exigences de sécurité, illustrent la façon dont le module protège physiquement et logiquement son intégrité et les clés cryptographiques, « 1 » étant la valeur la moins élevée et « 4 » étant la plus élevée. Le Centre pour la cybersécurité conseille de ne pas évaluer un module cryptographique en se basant exclusivement sur son niveau général, mais plutôt de tenir compte de la façon dont le produit répond à chacune des exigences de sécurité.
- Configurations évaluées: Cette section énumère les environnements opérationnels dans lesquels le module du logiciel a été évalué. Le PVMC permet à l’utilisateur d’adapter un module logiciel validé à un environnement opérationnel qui n’a pas été pris en compte dans le cadre des tests de validation. Le Centre pour la cybersécurité recommande l’utilisation de produits validés dans les environnements opérationnels qui correspondent le plus fidèlement possible à l’environnement d’essais.
- Algorithmes approuvés selon la norme FIPS: Il s’agit de la liste d’algorithmes recommandés par le Centre pour la cybersécurité qui ont été mis en œuvre par le module. Le fournisseur sélectionne ces algorithmes parmi ceux mentionnés dans les annexes de la FIPS 140-2.
- Stratégie de sécurité: Les certificats comprennent un lien vers la stratégie de sécurité non exclusive du module. Cette stratégie de sécurité précise les règles de sécurité qui régissent un module cryptographie, notamment la façon d’exécuter le module dans un mode de fonctionnement approuvé selon la norme FIPS, les règles dérivées des exigences de cette norme et les règles additionnelles imposées par le fournisseur. Elle fournit également de plus amples détails sur les services, les algorithmes et les clés. Le Centre pour la cybersécurité recommande de suivre les conseils formulés dans cette stratégie de sécurité.
Choisir le bon produit pour une architecture n’est pas une mince affaire. Le Centre pour la cybersécurité recommande de prendre le temps nécessaire pour choisir un produit adapté au type d’utilisation prévu.