FIPS 140-2 And Video Surveillance Cybersecurity
Increasingly, manufacturers are marketing FIPS 140-2 compliance for improved cybersecurity, including Avigilon, Axis, Hanwha, Hikvision, Milestone, and Verkada. But what does FIPS 140-2 cover, and who truly supports it?
In this note, we examine FIPS 140-2, which manufacturers are validated, and how to take it into account.
*******:
- ********* **** ***-* ************* ************* ********
- *****/******* ***** ************* *********** ******** (*****)
Executive *******
**** ***-* ** * ** ********** standard**** ******* *** ******** ************ *** standards ** ************* ******* **** ** hardware *** ******** ** ******* ********* data ****** ************, **********, *** *******, with ****-******** ************* ********** *** ******** security ************.
***** **** ***-* ** ****** ** years ***, ** **** **** ******* adoption *** *********** ******* ** ********** entities **** *** **** *** *****, making **** ***-* ************ ********* *** those ******* ** ** ********** ******** or ***** ********* **** ***************.
******** *** ** *** ******** ********** agencies ******* **** ***-* **********, *** video ************ ************* ******* ***** ********. Our ****** ** *** **** ************* database ****** **** **** *** ******* with ****** **** ***-* *************.
** ********, ******** *** ********* ******* being **** ***-* *********, *** ** valid ************** **** ***** ** *** database, *** *** ******** ****** ****** Avigilon **** *** ******** ***** * certification ******* ** ****.
********* *** * ***** ************* ** 2018, *** ** ** *** *********** as "**********" *** ********. ***** *********'* US ********** ****, **** ** ** were ******, ** ***** *** **** much ********* ******.
New **** ***-* ******
**** ***-*, ******** ** ***** **, 2019, ******** **** ***-*. * ********** ****** ******* ** September **, ****, ***** ***** **** 140-2 *** *** ********** *********** **** expire.
Not * ************* **********
***** *** **** ***-* ********** ******* focuses ** *** ****** ****** *** implementation ** ************* *******, ***** ******** security, **********, *** *******, ****** **** are **** ** *** ************* ******, it **** *** ******* ***** ************* aspects, **** ** ******* ********, **** authentication **********, ** ******** ***************.
How **** ***-* ******** ********
**** ***-* **** ****** ******** *** attack-resistant ********** ********** ** ******* ********* information **** ************ ****** *** **** breaches, **** ** ****** **** *********, authentication, *** ************* *********.
**** ********* ****** ********** ********** *** weak ********** *** ********** *** ********* unavailable, ***** *** ****** ************* ****** in **** ******* *****, ********** ** diverse ** ************* ** ************.
FIPS ***-* ********** ** ********* *** ** ******* **********
*** ***************** ****** ********** ******* (****)******* ****** **** ************* ******* **** be ********** ********* *** ***-********* **** are **** ** ********* ** **********.
****, ** ****,**** ********* * ************* ** ** ****** **** ************* modules ******** ** *** ** ******* government **** ** *********.
Validations *** ******
*** **** ************* ****** ********** ******* (CMVP) ******** * ************ *** ********* *** ************** ************* **** ********* ***** ************* modules, ** **** ******** *****, *** when *** ********** **** ******.
**** ******** *** ******** ** *** most ****** ***** ************ ************* ** find **** **** *** ******* **** active ********** *** ******** **** ******* validation.
**** *** ********* ***-* *********** ***** * *** ***** ***** September **, ****.
******* *** ********* ***-* *********** ***** * *** ***** ***** October **, ****.
******** ****** **** ***-* ***** *, which ** *** *** **** ** the ********, *** **** ***-* ***** 3 ** ******* *********** ***** *****, ** **** **** ********* ********* *****.
*******,*** *********** *** *******, ** *** ********** *** ** 2012. *** ********** ********* ******* ***** five *****, *** ** ** *** recommended **** *** ****** ** ******** in *** ************.
**********- *** ********** ************* ****** ****** not ** ******** ** ******* ******** in *** ************. ******** *** **** a **** ************* ** ******* ** continue ***** **** ****** ***** ** their *** ********** ** ***** *** how ** ** ****.
********* ****** ** ****** ***-* ********* ** ****** *** necessary ************ ** **** **** ************. *******, **** ****** ** ***** in *** ***************** ****** ********** ******* (****) ********, ******* **** ** ********** *** been **** ** ***** ************** ** a****-********** **********.
*******, ****** ********, * ******* **** *** **** to ** ********* ** *** *** name ** **** ** ** **** a ********* ******, ** ********* **** with ********* *******:
** ** ********* ** **** **** validation ************ *** ****** *** ********************. * ****** *********** ** ******************* * ******* ** ***********, ** a ***************** *** ** ******.
** *** ************* ****** ** * component ** * ****** ******* ** application, *** ****** ******* *** ******* or *********** ****** ** ***** ** determine **** ******** ******* ** ******** validated ************* ******.
Compliant **. **********
*** ***** ********** ******* ******** **** 140-2 ********* *** ********* ** **** certified *** ********* ** ******** ********** by * ****-********** ********** *** *** an ********** *********** ********* ** *** NIST************* ****** ********** ******* (****) ********, ******* ********** *** *** **** validated ** * ****-********** ********** *** has ** ********** *********** *********.
**** ***** ******** *** ********* *** they ****** ***** **** ***-* ******** as ********* ******* ** ********** *** what *** *** **** *** **** of ***** **.
***** ******** *** *** ******* ** this ********, ********* ********* **** **** rely ** *********-******** **** ***-* ********* modules:
********* ******** *** ******** ** *** include ************* ******* ********* ** ********* but ******* **** ** ************* ******* included ** *******, ***** *** **** validated (**** ******* ******* ** **** mode). ********* *** ********** **** * FIPS ************* (**********) ***’* **********, ** we ** *** ******* ************* ******* for ******** ** ******* *** *********’ requirements/needs.
**** ** * ****-********* *********** ********, and ***** ******** ********** ********* *** aligned ** ********** ** **** ********* thus **'* * ******** ******.
******* **** *** ******************* *** ************* ******* **** **** has ********* ***** *** ************* ****** Validation ******* (****).
** ********, ** ***** **** *** it ***** ** ******* *** **** 140-2 ******** ****** **** ****** **** as ********* *** **** *** **** and **** ***, ** ***** **** replied:
**** ******* ** *** ** *** products **** ***-********* ********* **** **** passed ******** *********** ******* ** * NIST-accredited *** ******* **** **** **** be ****** ** *** ****** ****-******** of ********* **** ***-********* (*****://****.****.***/********/*************-******-**********-*******/*********-*******/******), * **** *** ** ****-***** the *********/******* ** * ************* ******** and ********* ************. **** ** ** assure *** ********* **** ** **** compliance ******* ************ ********* *** **** attest ** *** ********* **** **** they ******** **** **** **** *** requirements **** *.*. *** ******** ********** entities.
** ***** ** *** ******* *** looking ** *** **** *** ****, the *** ** **** ** **** at **** ** **** ** ********* with *** **** *** ******** *** incorporating **** ***-********* ******* ** *** products, ** ******* ********* ** ********* about *** ******** ***** ** **** devices ** **** ** ****** **** government ***********. ** ***** **** **** route, ** **** ****** **** *** products ***** **** ******** ******** ** any ***** ** ****.
*** ********* ******** *** ************** ** non-validated ******** ** *** *********** **** that **** *** ******** ** ********* products. *******, **** ****** ****** ***** business **** *** ** ******* **********, which ** ******** ** *** ******** with ******** **********.
140-2 ****** * ** *
***** **** *** **** ****** ** 140-2, **** ********, ***** ************ ******* are ********** ***** *. ***** ** a ***** ********** ** *** ***** most ******** **** ******:
- ***** * ** ********-**** ************ **** no ******** ************.
- ***** * **** ******** ************ ** a ******** ****** ************ *** *** firmware ************.
- ***** * **** ****** ******** ** the ******** ******** ** ***** * but ** ********* ************* **** ********* because ** ******** ********* ******** **** that ** ******** ******* ** ** camera *************.
Avigilon's ********
******** ********* ** **** ********* ***** customers **** **** ***** ******* **** 140-2:
**** ***-* ********* ************ ** * requirement *** **** *********, ********* **** US ******* ********** ********, ******** ** the ********, *** ***** ********* *** have ******* **** *************** ** ****** data *********, ********** **********, ****** *************, protection ******* ******* *******, *** ********* public *****.
*** ******* **** ******* ************* ******* must ****** **** **** *** ********* to ** ********** *** ********* ** the ********** ** ******* *********** ******* Approved ******** **** (***** ***). *** DoD ************ *** ******** ** ******** any ****** ********* ** *** *** network ************** **** **** ***** ***.
**** ***** *** ***** *********** **** also ******* *** **** ***-* *** 140-3 *********, ** **** ** **** banks *** ***** ************* ******* * level ** ************* **** *** **** on. ***** ************* *** **** ******* FIPS ********* ********* **** ***** ******* interact **** ******* ********** *******.
******** ********** ** ***** ************** **** Level * ** *:
** ****** *****, ***, **** ********* have * **** *********** *** **** 140 ********* ********* **** *** ***** from ***** * ** ***** * depending ** ***** ************. ********* ****** as **** * ***** ** ********, and *** ********* ********* ** **** a ***** ** ** ********* *** the ******** **********. ** ******** ** government *********, ***** *** **** ******* customers *** *** ******* *** ** accepted ******** **** * ******* ********* to ****** * ***** ** ******** and *********.
*** ******* ******* * **** ***-* Level * (****** **********) ******** ****** for ******** ******* **************.
*** ******* ******* * **** ***-* Level * (****** *******) ******** ****** for ******** ***** *** ***** **** stored ** *** ******’* ***********, *** a **** ***-* ***** * (********) module *** ******** *** ********* ******.
*** *** ******** **** * **** 140-2 ***** * (********) ****** *** securing ************** ******* *********** *** *** software.
*** **** *** ****** *** ***-******** according ** *** ********* ***** *** have **** ***** ******* ** *******.
*******, ******** ******** ** ************ ***** systems **** **** ***-*:
****** ************* (********) ** **** ***-* mode *** *** ********, ********* ******* and ******** ** *** ************** ** the ********** *** *** ****. ** a ******** ******** **, **** ***** no ****** ** ******* ***** *********** for **** ***-* ********* ************.
*** **** *** ** ************* *** FIPS **** ** *** ********* ****** and *** ********.
*** *** ** * **** *** compliant ******* *** ******** *********** ** limiting *** ****** ** ********* *******, so **** ********* ** ****** ** switch ** ***-**** ****.
**** ************ **** *** ** ******* or ******** *** ******** ******* ****** 7.
******** ******* *** ** ********** ** use *******, **** ***-* ***** * (software) *** **** ***-* ***** * (tamper **********) *****.
***** **** ********* ******* **** **** pre-installed, ****** *** *** ** ** an ******:
*** **** ***-* ******** **** *** require **** **** ********* ******* ** pre-installed ****** ************* ** *** *******.
** *** **** ** ******* **** with * **** ***-* ***** * certified *** ** **** ** *** camera.
***** ** ******* *** **** * FIPS ***-* ***** * ********* ** card, ***** ** * ********** ********* accessory, ********* ** ********* ** ********.
**** ***-* ***** * ******* ** included ** ******** ******* ****** ********.
***** ******** *** *** ******** ******* on *** **** *** *** ****** in *** ******** ********, **** *** discuss ********** ** ************:
******* **** ***-* ************* ***** * long ****, ********** *** ******* ******** the ************* ******** ******* ** ******* exploits *** **** ************ ** *** possible. **** ***** ****** **** ******** updates ******* *** **** ******** ** long ** *** **** ******** ** certified ** * ****** ******* *****.
************, **************** **** ****** ******* *** components ***** *** *** **** ** achieve ** ******** **** ********** **** either ** ************ **** *** ****** or ********, ***** *** ** *********.
Milestone's ********
********* ***** ********** ** ******* ********:
**** ********** ** * *********** *** all ** *** ******** ********** *************. So, ** **** ** ***** *******, FIPS ********** ** ********. *******, ******* North *******, ** **** **** **** requirements ** *******.
******* ** ***** *******, **** *** may ** ********, ********* ****:
** *********, ** ** *** ******** government ************* ******* **** ******, **** may ** ******** ** * ****** way ** ****** * **** ***** of ************* ********* ** ******** ******* having ** ******* *** ************ ******** in ******.
********* ********** ** ****** ***** ********* Windows *******:
**** ******* ** ************* *******, ***** are ****** ********* ** ***. *** products, ** ** *********. *******, *** example, *** ** *** ** “**** Mode,” ***** ******* **** **** ********* cryptographic ******* *** *******. **** **** effectively ****** ***-********* ******* ** ******* and .***. *******, ******* ****** ***** software **** *********** ************* ******* *** implementations, ** ******** ***** ********* * “FIPS ******” *** *** *******, ******* to *** ******* **** ****.
********* ******** *** **** *** ******* options ** ************* ******** ** *** in ****-********* ****. ** ****** *** the ********* ************* ******* ** *******.
***** ********* ************ **** **** ********* products **** *** ****** ** **** secure **** ***** *******, ** ******** the **** ********* *** **** ** more ****** **** * ***-********* *******:
- “**** * ****-********* ******* ****** ** more ****** **** *** **** ** not?” *** ****** ** **. **** compliance **** ******* *** ************** ** the ************* ********** ********* ** **** standards. **** ********** **** *** ****** that *** ******* ** ******** *** developed ********.
- “**** ********* *** ******** ******** *** implemented ** ****-******** *********, **** *** FIPS-compliant ******* ** **** ******? –*** answer ** **** ****** ***. ** this ****, *** ****-********* ******* **** approved ******** ** *** ************ *********, ensuring *** ******* ***** ** ********, and ***** ** ********** **** ******.
*******, ********* ************ *** ****** **** of ***** ********:
*** ********* *** *** ******** ** ensuring *** ******** **** *** ****-*********, and ** **** ******* *** ********** are ******** *** **** ********, *** cost ** ****-********* ******** ***** ** higher. ********, **** **** *** ******** and ******** ******** *** ********* ** FIPS-compliant ********.
Axis's ********
**** ********* ** **** ***** *** benefits ** **** *** **** ***-* and *** **** *** ******* ******* on **** ***-* *******:
**** *** **** ********* **** *** regulated ***** **** *** *** **** to ******* *** ******* ********* ** that. *** **** ******* ** **** 140 ************* ***** ******** ****** *** portfolio ** **** ***** ********* **** a **** ***** ***** ** **** products ** ****** **** **** **** previously *** *** **** ******* ***** customers ** ***** **** *** ***** with *** ********. ******** **** ***-* is ******** **** ***, *** ************* for ***** ******* ******* ** ********* of ****. *** **** ****** **** is ******* ******** ** ****** *** FIPS ***-* ************* ******* ***** **** year. **** **** ***** *** ********* to ***** ************* ** *** *** FIPS *** ******** ***** ** *** expiration ****.
** *** ******** ********** ********* *** required *** ****** ** *** **** 140 ********, **** ****:
*.*. *** ******** ********** ********* ****** use **** *** ******** ** ***** to ****** **** *** **** ************ for ***** ********. ***** ********* *** required *** ****** ** *** **** 140 ********. *** ****** ** *-* for **** **** ***-*/***-* *** ***** to **** ***** ******** ** * vast ***** ** ********* **** *** application ***** ***** ** *.*, ********** networks. *** ******** ************ *** *********** for *** ************* ******* ****** ** the ****** ********. ***** * *** be ******* ** ** ******* *** data **** ***** ** ** ********* but ** *** *********. ** *** also ** **** ** * ******* baseline *** **** **********. ***** * offers ****-***** **************, *** ****** ******** protections ** *** ************* ******. ***** 2 ** **** ** *** **** common ***** *** **** ************* ** these *********. ***** * ****** ********-***** authentication, ****** **********, *** ******* ********** of *** ************* ******. **** ***** be **** *** ****** ********* ****, for ****** ******** ********** *** ********. Level * ** *** ******* ***** for * ************* ****** *** ***** be **** ** ********** ***** **** compromise ***** **** ****** *******. ** general, *** ******* *** *** **** in ********** ***** ***** * ***** be ********. ***** * *** ** solved ******* ******** *** ***** *-* needs ********* ******** **** ** * cryptographic ********* ******.
****** **** *** **** ** *********** by ****:
***, **** **** ** *** ****. In *** **** ** ********* ******, customers **** ** **** ** ******** what ** **** “**** ****”, **** will ********* *** **** ****** ** strictly ****** ** **** *** **********. This ***** ** *** *********** ******* for *** ********* **** *** ********* under **** ***. *** **** *****, if *** *** *** ** *** FIPS ****, *** **** *** *** wide-ranging ****** ***** **** ******* ********.
**** **** **** *** ******* ******** Axis ******** *** ******** *******, ** comply **** **** ***-*:
**** *** **** *** ******* *** Axis ****** ** **** **** ******* in **** ***-********* **** **** *** get-go. ** ****** ******** *** **** device ** **** *** *********** ** be ******** ** **** *** ********* mode **** ** ** *** ** the ******* *******. ** ** ******** in *** *****-*******, ** **** ******* FIPS ***-* ***** * ********* ********** through ******** ****** ** **** ** 12.
**** ********** *** ******* **** **** into ****:
** ********, ********* **** ******* **** higher *********** ********. ******* **** *** considered **** *** ****** *********** ****** be ****. ***********, *** ******** ****** computing ******* **** ** ***, ***** are ****-*********, **** ********* ******** ******* both **** *** ******** *** ******* an ******** ***. **** *** ******** a *****-***** ******** ** *********** ************* through ******** ***-******* **** ** ********-**** for ****** *********** **** ** *****, IEEE ***.** ***. *** **** **** it ***** ** ******* ******* **** and ***** ********* *********** ** ********. While **** *** ******* ** ******** by **** ********** ******** ** *.*. and ******, **** *** ** **** as ****** ******** ** ****, ***** an **********, ************* ******** ** ****** the ******** ***** ** * ******.
****** ********** *** **********:
******** ******** **** *** ***** **** that **** ******** ************* ********** *** to ** ********* *** ****** *************. As * ********* *******, *** ****** of ********* ************* ********** ** ******** reduced ** **** ** ********* ********** secure, *** *** ***** ** ********** such ** ***-**** *** ** ***** that *** ********** **** ** **********.
******** **** *** ********** *** *** be ******** *** ***** ********* *** organizations **** **** ** ******* ***-*** *** ********* ***-*, *** ******** ***** *** ***** should ** ********* ********* **** ******** between ********* *** ********* ********.
******-*** ********** *********** ******,***** ************** ** ****** *** * ********* ***-* ***** * ************* ** CMVP.
******* *** ***** ********** ** **** 140-2 *********.
**** ****, * ** **** *** are ******** ***** ******** **** ****; they *** ***** **** **** ********* to *******, ***** *** **** ********* to ******* *** ******* *** ********* cyber-attacks.
**** **#*, ****** *** *** *******. What ***** ********* *** *** **** in ****? ** ******** *******:
**** ********* **** **********, ****** ** Physical ****** ******* *** ***** ************
**** ***** ********* **** ****** *** industry ******** ** ********** *** **** 800-53 ****** ***, *****-***, **** ***-***, NIST ***-****, **** ***-*, **** ***. Also ** **** ** **** ***** standards **** *** *** **** ** CMMC, ****, ***. *** ****** *** is *** ** *** ** ** systems ** *** ** ******, ** have ** ****** **** ****. **** since **** ******* ******** *** ****** to *** *****, ** **** ** understand ******, ** *** *** ** that ******. *** ***** ***** ******** released **** ** **** ***** ** and ** *******, *** *** **** that ** **** ***** ** *******.
********* *** ***** ******** ** ***** this. *** ******** ****** *-*** **** the *************?