O FIPS 140 define os requisitos de segurança relacionados ao projeto e implementação de um módulo criptográfico, ou em termos de software, para um aplicativo ou biblioteca que implementa criptografia.
O padrão tem vários níveis de segurança e garante que a criptografia seja implementada usando designs seguros bem conhecidos, siga certas práticas recomendadas, não envolva algoritmos obscuros e que haja um devido processo de atestagem.
E para ter certeza de que esses aplicativos e bibliotecas criptográficas implementam a criptografia corretamente e seguem as melhores práticas, os EUA desenvolveram o FIPS 140.
Quando se fala de um aplicativo em conformidade com o FIPS, diz-se que ele usa um módulo criptográfico validado pelo FIPS, e o usa de acordo com a política de segurança do módulo.
A política de segurança é um documento que acompanha cada módulo validado por FIPS e inclui orientações sobre certos aspectos da criptografia.
Embora os aplicativos de código aberto tornem o código-fonte auditável, as pessoas qualificadas para realizar tal auditoria são um pequeno conjunto de indivíduos.
Um programa de validação como o FIPS 140 garante que os pacotes não usem criptografia não aprovada ou implementem sua própria criptografia.
Assim, um potencial cliente tem a garantia de que os aplicativos e bibliotecas validados seguem bons princípios de design e não incluem criptografia personalizada ou não aprovada.
As agências federais dos EUA e qualquer pessoa que implemente sistemas e serviços em nuvem para uso de agências do governo americano, diretamente ou por meio de contratados e fornecedores, são obrigados a usar sistemas compatíveis com FIPS 140-2.