ISO / GMP / อย.

FIPS 140-3 คืออะไร? มาตรฐาน Cryptographic Module Validation สำหรับผู้ส่งออกไทย 2026

FIPS 140-3 คือมาตรฐานสากลด้านการเข้ารหัส Cryptographic Module ที่รัฐบาลสหรัฐและหน่วยงานทั่วโลกใช้เป็นเงื่อนไขในการจัดซื้อ หากธุรกิจไทยต้องการส่งออกซอฟต์แวร์หรือฮาร์ดแวร์ด้านความปลอดภัย การได้ใบรับรอง CMVP คือ Passport ที่เปิดตลาด Enterprise B2B

AF
ADS FIT Team
·8 นาที
Share:
FIPS 140-3 คืออะไร? มาตรฐาน Cryptographic Module Validation สำหรับผู้ส่งออกไทย 2026

# FIPS 140-3 คืออะไร? มาตรฐาน Cryptographic Module Validation สำหรับผู้ส่งออกไทย 2026

ในยุคที่รัฐบาลและองค์กรขนาดใหญ่ทั่วโลกยกระดับ Cybersecurity ของ Supply Chain อย่างเข้มข้น FIPS 140-3 กลายเป็นด่านสำคัญที่ผู้ส่งออกไทยในกลุ่มซอฟต์แวร์, ฮาร์ดแวร์เครือข่าย, IoT และ Cryptographic Device ต้องผ่าน หากต้องการเข้าสู่ตลาด US Federal Government, Canada, หรือประเทศในเครือ NATO การไม่มีใบรับรอง CMVP อาจหมายถึงการถูกตัดสิทธิ์จากการประมูลมูลค่าหลายร้อยล้านบาท

FIPS 140-3 (Federal Information Processing Standard 140-3) เป็นมาตรฐาน "Security Requirements for Cryptographic Modules" ที่ออกโดย NIST ของสหรัฐอเมริกา มีผลบังคับใช้เต็มรูปแบบตั้งแต่ 22 กันยายน 2026 (ใบรับรอง FIPS 140-2 เก่าจะหมดอายุในปี 2026) มาตรฐานนี้สอดคล้องกับ ISO/IEC 19790:2012 ทำให้เป็นที่ยอมรับในระดับสากล

บทความนี้จะอธิบายโครงสร้างของ FIPS 140-3, ระดับการรับรอง, กระบวนการ CMVP, ค่าใช้จ่ายและระยะเวลา และแนวทางเตรียมความพร้อมสำหรับ SME ไทยที่ต้องการส่งออกผลิตภัณฑ์ Cybersecurity สู่ตลาดโลก

โครงสร้าง FIPS 140-3: 11 Security Requirement Areas

FIPS 140-3 แบ่งการประเมินออกเป็น 11 พื้นที่หลัก ซึ่งต้องผ่านทุกหัวข้อตามระดับที่ต้องการ

| หัวข้อ (Security Area) | คำอธิบาย |

|----------------------|----------|

| Cryptographic Module Specification | ระบุขอบเขต Module และ Algorithm |

| Module Interfaces | อธิบาย Input/Output/Control |

| Roles, Services, Authentication | Role-Based หรือ Identity-Based |

| Software/Firmware Security | ตรวจสอบ Integrity ของ Code |

| Operational Environment | ระบบปฏิบัติการที่รองรับ |

| Physical Security | ป้องกันการงัดแงะทางกายภาพ |

| Non-Invasive Security | ป้องกัน Side-Channel Attack |

| Sensitive Security Parameter (SSP) | Key Management |

| Self-Tests | Power-on และ Conditional Tests |

| Life-Cycle Assurance | Design, Development, Delivery |

| Mitigation of Other Attacks | Timing, Power Analysis |

4 Security Levels: เลือกระดับที่เหมาะกับสินค้า

FIPS 140-3 แบ่งระดับความเข้มงวด 4 ระดับ ยิ่งสูง ยิ่งต้องใช้ Tamper-Evident และ Tamper-Resistant

  • **Level 1 (พื้นฐาน)**: ใช้ Algorithm ที่ผ่านการรับรอง เช่น AES, RSA, SHA-256 เหมาะกับ Software Library
  • **Level 2 (ระดับกลาง)**: ต้องมี Tamper-Evident Seal และ Role-Based Authentication เหมาะกับ Enterprise Firewall
  • **Level 3 (ระดับสูง)**: Tamper-Resistant Enclosure + Identity-Based Authentication เหมาะกับ HSM, Payment Device
  • **Level 4 (ระดับสูงสุด)**: ป้องกันการโจมตีทางสิ่งแวดล้อม Multi-factor Auth เหมาะกับ Military Grade

    • CMVP: ขั้นตอนการขอใบรับรอง FIPS 140-3

    Cryptographic Module Validation Program (CMVP) เป็นโปรแกรมร่วมระหว่าง NIST (USA) และ CCCS (Canada) กระบวนการขอใบรับรองมี 5 ขั้นตอนหลัก

  • **ขั้นตอนที่ 1: Gap Analysis** - ประเมิน Module ปัจจุบันว่าขาดข้อใดบ้าง เลือก Level ที่เหมาะกับตลาดเป้าหมาย
  • **ขั้นตอนที่ 2: Design Documentation** - จัดทำ Security Policy, Finite State Model, Algorithm Certificate
  • **ขั้นตอนที่ 3: Testing by CMTL Lab** - ส่ง Module ให้ห้องแล็บที่ได้รับอนุญาต (CST Laboratory) เช่น Leidos, atsec, Acumen Security ทำ Validation Test
  • **ขั้นตอนที่ 4: CMVP Queue** - รอคิวพิจารณาที่ NIST (ปัจจุบันใช้เวลา 9-18 เดือน)
  • **ขั้นตอนที่ 5: Certificate Issued** - ได้รับ Certificate Number ลง NIST Public List

    • เปรียบเทียบ FIPS 140-2 vs FIPS 140-3

    | หัวข้อ | FIPS 140-2 | FIPS 140-3 |

    |--------|-----------|-----------|

    | อ้างอิงมาตรฐาน | NIST เฉพาะ | ISO/IEC 19790:2012 + 24759:2017 |

    | สถานะ | Sunset 2026 | Current Standard |

    | Non-Invasive | ไม่บังคับ | บังคับ (Side-Channel) |

    | Authentication | Password เบื้องต้น | Multi-factor Level 3+ |

    | Testing Lab | CMTL | CMTL (อัปเดต) |

    | ระยะเวลาใบรับรอง | 5 ปี | 5 ปี |

    ค่าใช้จ่ายและระยะเวลา: สิ่งที่ SME ต้องวางแผน

    การขอใบรับรอง FIPS 140-3 ต้องเตรียมงบประมาณและเวลาอย่างรอบคอบ

  • **ค่า Testing Lab**: 50,000 - 300,000 USD ขึ้นกับ Complexity และ Level
  • **ค่า CMVP Filing**: ประมาณ 4,000 USD
  • **ระยะเวลารวม**: 12 - 24 เดือน ตั้งแต่เริ่มต้นจนได้ Certificate
  • **ค่า Re-validation**: ทุก 5 ปีต้องยื่นใหม่ หรือเมื่อแก้ไข Algorithm/Firmware

    • สรุปและขั้นตอนถัดไป

    FIPS 140-3 คือประตูสำคัญที่ผู้ส่งออกไทยต้องผ่านเพื่อเข้าสู่ตลาด Enterprise และ Government ระดับโลก การเริ่มวางแผนตั้งแต่ขั้น R&D จะช่วยประหยัดค่าใช้จ่ายและเวลาได้มากกว่ามาก่อน Launch แล้วค่อย Retrofit

    Key Takeaways:

  • FIPS 140-3 มีผลเต็มรูปแบบปี 2026 แทนที่ FIPS 140-2
  • มี 4 Security Levels ให้เลือกตาม Use Case
  • ระยะเวลาการรับรอง 12-24 เดือน งบ 50k-300k USD
  • สอดคล้องกับ ISO/IEC 19790 ทำให้ใช้ได้ในตลาด EU, APAC

    • หากบริษัทของคุณกำลังพัฒนาผลิตภัณฑ์ Cybersecurity, IoT Security, หรือ Cryptographic Module และต้องการที่ปรึกษาเรื่อง FIPS 140-3, Common Criteria, ISO 27001 สำหรับการส่งออก ADS FIT พร้อมให้คำปรึกษาการเตรียม Compliance สำหรับตลาด US, EU, APAC [ติดต่อเรา](/contact) หรืออ่านบทความเพิ่มเติมเกี่ยวกับ [ISO 27001](/blog) และ [Cybersecurity Compliance](/blog)

    Tags

    #FIPS 140-3#Cryptographic Module#NIST#CMVP#Compliance#Export Security

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที