Comme il est manifestement difficile de mettre en œuvre la cryptographie correctement et de façon sûre, le Centre pour la cybersécurité a recours au Programme de validation des modules cryptographiques (PVMC) pour certifier les produits de TI qu’il est possible d’acheter.
Le Centre pour la cybersécurité assure une gestion conjointe du Programme de validation des modules cryptographiques (PVMC) avec le National Institute of Standards and Technology (NIST) américain, une agence fédérale non réglementaire qui relève de la Commerce Department’s Technology Administration des États-Unis. Le Centre pour la cybersécurité est l’autorité de certification canadienne.
Le PVMC valide les modules cryptographiques (les parties des systèmes qui mettent en œuvre la cryptographie) qui font partie des produits de TI par rapport à la norme 140, Federal Information Processing Standard (FIPS) (en anglais seulement), et à d’autres normes cryptographiques. Se procurer et déployer un produit homologué FIPS permet de s’assurer que le fournisseur a mis en œuvre le produit correctement et qu’il respecte les pratiques exemplaires recommandées par le Centre pour la cybersécurité en matière de cryptographie.
Les certificats liés à la norme FIPS 140 indiquent une conformité à l’égard des exigences en matière de sécurité de cette norme. La norme n’est associée à aucune exigence relative à la chaîne d’approvisionnement d’un module ou à la fiabilité, à la réputation ou à la propriété du fournisseur et, par conséquent, ces éléments ne sont pas évalués. Il incombe à l’organisation d’approvisionnement de tenir compte de ces facteurs lorsque vient le temps de déterminer l’adéquation globale d’un module ou d’un produit dans un environnement donné.
Pour les fournisseurs
Les fournisseurs qui veulent faire valider leurs produits en vertu du PVMC doivent s’adresser à un laboratoire d’essais agréé (en anglais seulement).
Les termes ci-dessous permettront de limiter la recherche aux laboratoires agréés en vertu du PVMC :
- Programme du CTSTI : Mise à l’essai et sécurité cryptographique
- Domaine d’accréditation : Mise à l’essai et sécurité cryptographique de base
Pour les architectes de systèmes
Le Centre pour la cybersécurité recommande de limiter l’utilisation des produits validés en vertu du PVMC (en anglais seulement) aux architectures de systèmes qui font appel à la cryptographie. L’utilisation de tels produits permet de garantir le chiffrement continu de l’information, que ce soit au moyen d’un algorithme approuvé, de clés générées ou dérivées selon une méthode approuvée, ou d’une robustesse approuvée tant pour sa longueur que pour son caractère aléatoire. Le Centre pour la cybersécurité estime que le recours à une cryptographie non validée ne protège aucunement l’information, ce qui équivaut, en d’autres mots, à du texte en clair.
Veuillez vous reporter à la façon de de sélectionner un produit validé selon le PVMC pour obtenir de plus amples renseignements sur le choix d’un produit validé adapté à votre architecture.
Pour les acheteuses et acheteurs
Avant d’utiliser un produit qui met en œuvre la cryptographie, le Centre pour la cybersécurité recommande que les organismes obtiennent copie du certificat de validation à la norme FIPS 140-2 ou FIPS 140-3 du fournisseur ou le numéro de certificat du produit, et qu’ils valident ces certificats en vérifiant la liste de validation du PVMC (en anglais seulement). La norme prescrit quatre niveaux de sécurité croissants et qualitatifs, soit les niveaux 1 à 4. Ces niveaux couvrent un vaste éventail d’applications et d’environnements potentiels pour lesquels vous pourriez faire appel à la cryptographie. Les exigences de sécurité abordent onze domaines liés à la conception et à la mise en œuvre sécurisées d’un module cryptographique. Le Centre pour la cybersécurité recommande que la cote générale attribuée à un module cryptographique ne soit pas nécessairement la plus importante.
Les fournisseurs ajoutent souvent un éventail de termes pour les annonces de conformité dans le matériel de marketing, ce qui peut créer de la confusion. Voici l’opinion du Centre pour la cybersécurité en ce qui a trait à l’acceptabilité des annonces de conformité suivantes par rapport à la norme FIPS 140 :
- Le module a été conçu pour être compatible avec la norme FIPS 140. <Non>
- Le module a été prévalidé et se trouve dans la liste de prévalidation du PVMC. <Non>
- Le module sera soumis aux fins de test. <Non>
- Le module a fait l’objet d’un examen indépendant et a été mis à l’essai pour assurer sa conformité à la norme FIPS 140. <Non>
- Le module répond à toutes les exigences de la norme FIPS 140. <Non>
- Le module met en œuvre des algorithmes approuvés selon la norme FIPS pour lesquels des certificats ont été délivrés. <Non>
- Le module respecte les lignes directrices stipulées dans la norme FIPS 140. <Non>
- Le module a été validé et s’est vu délivrer le certificat no 9999. <Oui>
Veuillez vous reporter à la façon de sélectionner un produit validé selon le PVMC pour obtenir de plus amples renseignements sur le choix d’un produit validé adapté à votre architecture.
Pour les laboratoires
Les organismes qui veulent devenir un laboratoire d’essais pour le PVMC doivent consulter le site Web du NVLAP (en anglais seulement). Il contient de l’information sur ce qui suit :
- les demandes d’accréditation des laboratoires ;
- les frais exigibles ;
- les guides du National Voluntary Laboratory Accreditation Program (NVLAP) ;
- les bulletins d’information connexes.
Pour en apprendre davantage sur le PVMC
Vous voulez en savoir plus sur le PVMC? Veuillez visiter le site Web principal du Programme de validation des modules cryptographiques (PVMC) (en anglais seulement) hébergé par le NIST.
Vous aimeriez que le Centre pour la cybersécurité vous en dise plus sur le PVMC?
Veuillez communiquer avec nous.