Tipus de productes de l'NSA

L'Agència de Seguretat Nacional (NSA) dels Estats Units solia classificar els productes o algorismes criptogràfics mitjançant una certificació anomenada tipus de producte. Els tipus de producte es van definir al Glossari nacional de garantia de la informació (CNSSI núm. 4009, 2010) que solia definir els productes de tipus 1, 2, 3 i 4. Les definicions de productes de tipus numèric s'han eliminat del lèxic governamental i ja no s'utilitzen en els esforços de contractació pública. ^{[1] [2]}

Un producte de tipus 1 era un dispositiu o sistema certificat per la NSA per al seu ús en la seguretat criptogràfica d'informació classificada del govern dels EUA. Un producte de tipus 1 es va definir com:

Equip, conjunt o component criptogràfic classificat o certificat per la NSA per a xifrar i desxifrar la informació de seguretat nacional classificada i sensible quan s'introdueix la clau adequada. Desenvolupat utilitzant processos empresarials establerts de la NSA i que conté algorismes aprovats per la NSA. S'utilitza per protegir sistemes que requereixen els mecanismes de protecció més estrictes.

Estaven disponibles per als usuaris del govern nord-americà, els seus contractistes i no pertanyents als Estats Units patrocinats pel govern. S. Activitats governamentals subjectes a restriccions d'exportació d'acord amb el Reglament Internacional de Trànsit d'Armes.

La certificació tipus 1 va ser un procés rigorós que incloïa proves i anàlisis formals (entre altres coses) de seguretat criptogràfica, seguretat funcional, resistència a la manipulació, seguretat d'emissions (EMSEC / TEMPEST) i seguretat del procés de fabricació i distribució del producte. ^[3]

Un producte de tipus 2 era equips, conjunts o components criptogràfics no classificats, aprovats per la NSA, per al seu ús en telecomunicacions i sistemes d'informació automatitzats per a la protecció de la informació de seguretat nacional, tal com es defineix com:

Equip, conjunt o component criptogràfics certificats per la NSA per xifrar o desxifrar informació de seguretat nacional sensible quan s'aplica correctament. Desenvolupat utilitzant processos empresarials establerts de la NSA i que conté algorismes aprovats per la NSA. S'utilitza per protegir sistemes que requereixen mecanismes de protecció que superen les millors pràctiques comercials, inclosos els sistemes utilitzats per a la protecció de la informació de seguretat nacional no classificada.

Un producte de tipus 3 era un dispositiu per utilitzar-se amb informació sensible, però no classificada (SBU) sobre sistemes de seguretat no nacionals, definit com:

Equips, conjunts o component criptogràfics no classificats utilitzats, quan estan degudament claus, per xifrar o desxifrar informació comercial o governamental dels EUA sensibles no classificades, i per protegir els sistemes que requereixen mecanismes de protecció coherents amb les pràctiques comercials estàndard. Desenvolupat utilitzant estàndards comercials establerts i que conté algorismes/mòduls criptogràfics aprovats pel NIST o avaluat amb èxit per la National Information Assurance Partnership (NIAP).

Els algorismes de xifratge aprovats incloïen Triple DES de tres claus i AES (tot i que AES també es pot utilitzar en productes de tipus 1 certificats per la NSA). Les aprovacions per a DES, Triple DES de dues claus i Skipjack s'han retirat a partir del 2015.

Un producte de tipus 4 era un algorisme de xifratge que es va registrar al NIST però no és un estàndard de processament d'informació federal (FIPS), definit com:

Equips, conjunts o components criptogràfics comercials no avaluats que ni la NSA ni el NIST certifiquen per a cap ús governamental. Aquests productes s'entreguen normalment com a part d'ofertes comercials i són proporcionals a les pràctiques comercials del venedor. Aquests productes poden contenir algorismes propietaris del proveïdor, algorismes registrats pel NIST o algorismes registrats pel NIST i publicats en un FIPS.