報導摘要

在全球數位轉型的浪潮下，加密技術已成為保護資料與通訊安全的基石。然而，要確保加密模組的安全性，必須經過嚴格的驗證程序。由美國國家標準與技術研究院 (NIST) 負責的加密模組驗證程序 (CMVP) 一直是行業標準，但其以手動流程為主的運作模式，導致驗證時程過長，與業界對快速創新的需求產生了嚴重的衝突。

美國國家標準與技術研究院 (NIST) 透過其國家網路安全卓越中心 (NCCoE) 發布了一份關於自動化加密模組驗證程序 (CMVP) 的白皮書草案，該草案旨在加快並簡化 CMVP 的運行。CMVP 的模組測試和報告以 ISO/IEC 24759 為指導，融合了功能性和非功能性安全要求。此專案旨在簡化軟體模組等技術的測試，並自動化人工審核流程。

CMVP 負責驗證第三方加密模組是否符合 FIPS 140-3《加密模組安全要求》的要求，目前，CMVP流程的大部分仍然是手動的，導致第三方測試和政府驗證之間存在很長的延遲。這些時間表經常與業界對快速密碼開發和部署的追求相衝突，導致合規性難以與上市時間需求保持一致。

為了解決這個迫切的問題，NIST 的國家網路安全卓越中心（NCCoE）啟動了「自動化加密模組驗證專案」（ACMVP）。該專案的核心目標是提高 CMVP 運作的效率和及時性，從而縮短加密產品從開發到上市的合規時間。ACMVP 不僅僅是技術上的改進，更是一項全面的策略，旨在重塑加密模組的驗證生態系統。

ACMVP專案的三大工作流程

ACMVP 專案被分為三個關鍵工作流程，共同推動自動化目標的實現：

1. 測試證據工作流程（Test Evidence）： 該工作流程專注於如何自動化測試過程所產生的證據。團隊正在定義可自動化功能測試的方法，並確定哪些測試證據可以透過自動化方式產生，哪些仍然需要手動處理。透過將測試報告標準化為 JSON 格式，可以實現更高效的數據處理和分析，減少人工錯誤，並加快審核過程。這一步是實現全面自動化的基礎。

2. 協議工作流程（Protocol）： 該工作流程旨在改進提交和驗證的協議。ACMVP 正在將自動化規則處理納入提交協議中，這使得開發人員可以在提交加密模組時獲得即時的回饋。這種即時驗證機制不僅節省了時間，也減少了因不合規而需要反覆修改的情況，顯著提升了整個驗證過程的效率。

3. 研究基礎設施工作流程（Research Infrastructure）： 此工作流程致力於現代化底層基礎設施，以支援自動化測試和驗證的需求。NIST 正在將其 CMVP 系統遷移至一個可擴展的雲端平台，這將為未來不斷增加的模組提交量提供足夠的處理能力。此現代化的基礎設施將成為所有自動化工具和流程的堅實後盾。

專案成果與未來展望

ACMVP 專案迄今已取得顯著進展，不僅證明了自動化的可行性，也為業界提供了清晰的實施路徑。NIST 和 NCCoE 已經成功定義了功能測試的自動化方法，並開發了能夠提供即時反饋的提交協議。此外，基礎設施的雲端遷移也為未來的發展鋪平了道路。

NIST 的下一步計畫包括：最終確定測試證據的 JSON 結構、將研究成果整合到實際的生產工作流程中，並對所提出的自動化設計進行全面的安全分析。此舉將確保自動化的 CMVP 不僅高效，同時也符合最高的安全標準。

結論

NIST 的 ACMVP 專案是一項具有里程碑意義的努力，它不僅為加密模組的驗證程序帶來了革命性的變革，更體現了政府機構與產業需求協同合作的典範。透過自動化，NIST 有望大幅縮短認證時間，使企業能夠更快地將符合 FIPS 140-3 標準的加密產品推向市場。這不僅能加速技術創新，更重要的是，它將鼓勵更多組織採用經過驗證的加密技術，從而提升全球網路安全的整體水平，為數位世界的信任和安全奠定堅實的基礎。

資料來源：https://industrialcyber.co/nist/nists-cmvp-automation-effort-aims-to-bridge-compliance-and-industry-timelines/