《密码模块安全技术要求》解读

今天要讲到的是密码模块安全认证

中国密码行业标准化技术委员会分别在2014年、2015年制定了GM/T 0028-2014《密码模块安全技术要求》和GM/T 0039-2015《密码模块安全检测要求》,这个主要是面向产品的密码模块安全认证!比如智能IC卡、智能密码钥匙、密码机、密码卡、VPN网关、支付终端等!

密码模块是指?

硬件、软件、混合,总之,除了芯片外的不好定义的安全产品都可以称之为模块。如 Java 卡中的Java 虚拟机、基于可信执行环境技术的TEE操作系统等。比如下面的软件密码模块产品:

举个例子来说,对于使用了TEE和SE的产品,对于驱动、SE芯片及其运行库可以定义为一个硬件模块、其中的TEE OS及其相关软件可以定义为一个固件模块,运行在可信操作环境上的可信应用TA也可以作为一个固件模块。规范规定:对于密码模块的供应商,在进行产品送检测评过程中,如果密码模块内部采用了其他子密码模块,且该子密码模块已作为独立的密码模块产品通过了检测认证,则测评机构在认证该密码模块时,对于子模块部分的安全评估和检测可以从简。反之,则需对该子密码模块进行详细的安全评估和检测,并且在此情况下,该子密码模块仅可以与送测的密码模块配套销售和使用,不可以作为独立的密码模块产品进入市场销售。

哪些产品可以进行认证?

适除了密码芯片和密码系统外所有密码产品类型,包括密码卡类、密码机类、智能密码钥匙类、智能卡类,以及软件或固件形态的密码产品(例如独立运行的应用程序、软件库)等。比如手机盾产品:

密码模块安全级别有哪些?

《安全技术要求》指定了密码模块应该满足的安全需求,为了适应广泛的密码模块应用和环境,标准定义了四个逐次增加且定性的安全级别:一级、二级、三级、四级。

分别举例来说,计算机加密硬件板卡属于一级,适用于已经配置了物理安全、网络安全以及管理过程等控制措施的运行环境。

安全二级硬件密码模块具有拆卸证据,但不针对探针攻击;对安全二级软件密码模块的逻辑保护由操作系统提供。二级应该软件密码模块能够达到的最高等级了!

安全三级密码模块能够检测并防护直接访问和探测的物理攻击;执行服务时会验证操作员的身份和权限;能够有效防止电压、温度等环境异常对模块安全性的破坏;具备非入侵式攻击缓解技术的有效性证据和测试方法;有效保护明文关键安全参数或密钥分量的输入和输出。

安全四级是标准中的最高安全等级。除了安全三级提供的物理防护功能,安全四级密码模块提供了覆盖整个密码模块的防护机制,即从任何角度、任何方式对密码模块的入侵都会被密码模块检测到。安全四级密码模块可以抵抗使用特制工具的高强度长时间攻击。

密码产品与密码模块的关系?

密码产品比密码模块包含的范围更广,密码产品既包含GM/T 0028-2014《密码模块安全技术要求》定义的密码模块,还需满足包含安全芯片及密码服务系统(如CA系统、电子签章系统、动态口令认证系统)等的相关标准规范。

附件:国家密码局提供的参考图表

原文发布于微信公众号 - 安智客(china_safer)

原文发表时间:2018-03-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏美团技术团队

从0到1:构建强大且易用的规则引擎

引言 2016年07月恰逢美团点评的业务进入“下半场”,需要我们在各个环节优化体验、提升效率、降低成本。技术团队需要怎么做来适应这个变化?这个问题直接影响着之后...

1.7K11
来自专栏FreeBuf

挖洞经验 | 看我如何发现“小火车托马斯”智能玩具APP聊天应用漏洞

最近,我向智能玩具厂商ToyTalk提交了两个APP相关的漏洞并获得了$1750美金奖励,目前,漏洞已被成功修复,在此我打算公开详细的漏洞发现过程,以便其他AP...

2327
来自专栏黄奕坤的专栏

火焰图性能调优记

最近手头开发维护的一个辅助小工具经常接到投诉可用性问题, 于是抽时间定位了下, 一看吓一跳, 起初不起眼的一个组件的日志量直接翻了两个数量级。 这怎么吃得消 !

7952
来自专栏SDNLAB

ONOS高可用性和可扩展性实现初探

ONOS的发布直面OpenDaylight 进行挑战,直接将 SDN领域两大阵营(运营商和设备商)的竞争瞬间升级,之所以 ONOS能做到这一点,首先,ONOS的...

2685
来自专栏CreateAMind

模拟赛车torcs论文翻译

摘要:本手册介绍了模拟赛车锦标赛的比赛软件,在进化计算领域和计算智能与游戏领域的大型会议上举办的国际比赛。 它提供了架构的概述、安装软件的说明以及运行包中提供的...

1422
来自专栏FreeBuf

挖洞经验 | 如何参加众测项目发现美国国防部网站各类高危漏洞

美国国防部(DoD)于2016年11月21日首次与HackerOne合作,开展了“Hack the Pentagon”的漏洞众测项目,这将允许安全研究人员通过背...

2916
来自专栏安恒信息

新型Web劫持技术现身,专攻搜索引擎

近期,安全机构截获了一例利用script脚本进行Web劫持的攻击案例,在该案例中,黑客利用一批新闻页面重置了搜索引擎页面,并将搜索结果替换为自己制作的...

3795
来自专栏杨建荣的学习笔记

给自己写的程序挑毛病(r12笔记第68天)

前几那天写了一个Java程序模拟生产者消费者,当时写完还感觉不错,但是这几天再看的时候发现还是有很多的不足之处,给别人挑毛病不大好意思,尺度拿捏不好还容易...

3645
来自专栏睿哥杂货铺

Linux 性能诊断:快速检查单(Netflix版)

快速检查单(Quick Reference Handbook,QRH)是飞行员在飞行过程中依赖的重要指导性文件。

4047
来自专栏魏琼东

AgileEAS.NET SOA中间件平台更新日志 2015-04-28

     AgileEAS.NET SOA 中间件平台是一款基于基于敏捷并行开发思想和Microsoft .Net构件(组件)开发技术而构建的一个快速开发应用平...

990

扫码关注云+社区

领取腾讯云代金券