FIPS

Validierung gemäß FIPS 140-2

Das nationale Institut für Standards und Technologie (National Institute of Standards and Technology, NIST) hat als Sicherheitsstandard die Veröffentlichung 140-2 des Federal Information Processing Standard (FIPS) entwickelt. Darin sind Anforderungen für Verschlüsselungsmodule, einschließlich Hardware, Software und Firmware, für US-Bundesbehörden aufgeführt. Die FIPS 140-2-Zertifizierung wurde zum Schutz digital gespeicherter, nicht klassifizierter, aber dennoch vertraulicher Informationen eingeführt.

Die Google Cloud Platform verwendet in der Produktionsumgebung das gemäß FIPS 140-2 validierte Verschlüsselungsmodul BoringCrypto (Zertifikat 3318). Dadurch werden Daten sowohl während der Übertragung zum Kunden und zwischen Rechenzentren als auch in inaktivem Zustand mit der gemäß FIPS 140-2 validierten Verschlüsselung geschützt. Das gemäß FIPS 140-2 validierte Modul ist Teil unserer BoringSSL-Bibliothek.

So können Sie ausschließlich mit FIPS-validierten Implementierungen arbeiten:

  • Das lokale SSD-Speicherprodukt von Google wird automatisch mit NIST-zertifizierten Chiffren verschlüsselt. Die aktuelle Implementierung von Google für dieses Produkt hat jedoch kein FIPS 140-2-Validierungszertifikat. Wenn Sie für lokalen SSD-Speicher eine FIPS-validierte Verschlüsselung benötigen, führen Sie die Verschlüsselung mit einem FIPS-validierten kryptografischen Modul durch.
  • Google verschlüsselt Traffic zwischen VMs, der zwischen Google-Rechenzentren übertragen wird, automatisch mithilfe von NIST-zertifizierten Verschlüsselungsalgorithmen. Für diese Implementierung liegt jedoch kein FIPS-Validierungszertifikat vor. Wenn dieser Traffic mit einer FIPS-validierten Implementierung verschlüsselt werden soll, müssen Sie selbst dafür sorgen.
  • Falls Ihre Clients mit der Google-Infrastruktur verbunden sind, muss auf deren TLS-Clients die Verwendung sicherer FIPS-konformer Algorithmen konfiguriert sein. Wenn sich der TLS-Client und die TLS-Dienste der GCP auf eine nicht FIPS-konforme Verschlüsselungsmethode einigen, wird eine nicht validierte Verschlüsselung implementiert.
  • Anwendungen, die Sie mit der GCP erstellen und betreiben, können eigene kryptografische Implementierungen enthalten. Damit die von diesen Anwendungen verarbeiteten Daten mit einem FIPS-validierten Verschlüsselungsmodul geschützt werden, müssen Sie eine solche Implementierung selbst vornehmen.

Alle Regionen und Zonen von Google Cloud unterstützen aktuell die FIPS 140-2-validierte Verschlüsselung.

Relevante Produkte und Dienste

FAQ

Region

USA

Branche

Behörden und öffentlicher Sektor