是什么推动了FIPS-140-2的遵守？

Question

我想这个问题是针对产品经理的，但是我很想知道那些知道的人是怎么想的。

驱动FIPS140-2遵从硬件模块的最常见因素是什么？为什么要/需要在产品中实现FIPS140兼容的安全性？

以下是我能想到的几个理由：

• 市场需求：
• 客户(政府)需求
• 客户(个人)需求
• 客户(公司)需求
• 市场接受/预期
• 市场营销
• 企业IT安全策略/安全态势；(例如，如果使用符合FIPS140的模块，则不太可能遭到黑客攻击)
• 减轻当前/未来的攻击；共同缓解过去的安全漏洞
• 吹嘘自己的权利；仅仅因为你能；证明你能做到
• 因为这很容易使人遵守
• 因为这是不贵的

Answer 1

当你保护的比你的推特账户更多的时候，你会很高兴知道任何用来保护凭证或密钥交换的算法，或者其他正在使用的密码，都是以一种很好的专业方式被保护的。有很多供应商都不关心什么东西实现得有多好，只要它卖得好。大多数用户并不关心，或者不知道如何验证他们使用的所有设备/机制的“正确性”。

为了获得FIPS证书，该产品经过漫长、昂贵和深入的验证过程。这迫使供应商更好地开发和测试他们的产品，而不仅仅是“现在拥有更多的安全！”贴在上面。

这样，经过非密码训练的人员就可以购买产品，如果有FIPS证书，这意味着保证来自于至少通过某种验证的实验室，而不是供应商的营销部门。

不，它不是完美的，它是昂贵和耗时的，但有些东西需要‘不开玩笑’的安全性。

Answer 2

这完全是由美国政府的需求推动的。

FIPS代表联邦信息处理标准，这是美国政府的标准。

除了他们，没有人在乎它。其他人则声称关心它只是因为它被“大男孩”广泛采用。看看FIPS 140-2在其他国家的要求.除了那些想向北美市场销售电子产品或软件的人外，几乎没有人愿意。其他国家确实对本地化采购征收密码要求，这些要求的范围可能会从以前的工作中大量借用-- FIPS，但它们是不同的，而且基本上是不可互换的程序。