专栏首页安智客《密码模块安全技术要求》解读

《密码模块安全技术要求》解读

今天要讲到的是密码模块安全认证

中国密码行业标准化技术委员会分别在2014年、2015年制定了GM/T 0028-2014《密码模块安全技术要求》和GM/T 0039-2015《密码模块安全检测要求》,这个主要是面向产品的密码模块安全认证!比如智能IC卡、智能密码钥匙、密码机、密码卡、V**网关、支付终端等!

密码模块是指?

硬件、软件、混合,总之,除了芯片外的不好定义的安全产品都可以称之为模块。如 Java 卡中的Java 虚拟机、基于可信执行环境技术的TEE操作系统等。比如下面的软件密码模块产品:

举个例子来说,对于使用了TEE和SE的产品,对于驱动、SE芯片及其运行库可以定义为一个硬件模块、其中的TEE OS及其相关软件可以定义为一个固件模块,运行在可信操作环境上的可信应用TA也可以作为一个固件模块。规范规定:对于密码模块的供应商,在进行产品送检测评过程中,如果密码模块内部采用了其他子密码模块,且该子密码模块已作为独立的密码模块产品通过了检测认证,则测评机构在认证该密码模块时,对于子模块部分的安全评估和检测可以从简。反之,则需对该子密码模块进行详细的安全评估和检测,并且在此情况下,该子密码模块仅可以与送测的密码模块配套销售和使用,不可以作为独立的密码模块产品进入市场销售。

哪些产品可以进行认证?

适除了密码芯片和密码系统外所有密码产品类型,包括密码卡类、密码机类、智能密码钥匙类、智能卡类,以及软件或固件形态的密码产品(例如独立运行的应用程序、软件库)等。比如手机盾产品:

密码模块安全级别有哪些?

《安全技术要求》指定了密码模块应该满足的安全需求,为了适应广泛的密码模块应用和环境,标准定义了四个逐次增加且定性的安全级别:一级、二级、三级、四级。

分别举例来说,计算机加密硬件板卡属于一级,适用于已经配置了物理安全、网络安全以及管理过程等控制措施的运行环境。

安全二级硬件密码模块具有拆卸证据,但不针对探针攻击;对安全二级软件密码模块的逻辑保护由操作系统提供。二级应该软件密码模块能够达到的最高等级了!

安全三级密码模块能够检测并防护直接访问和探测的物理攻击;执行服务时会验证操作员的身份和权限;能够有效防止电压、温度等环境异常对模块安全性的破坏;具备非入侵式攻击缓解技术的有效性证据和测试方法;有效保护明文关键安全参数或密钥分量的输入和输出。

安全四级是标准中的最高安全等级。除了安全三级提供的物理防护功能,安全四级密码模块提供了覆盖整个密码模块的防护机制,即从任何角度、任何方式对密码模块的入侵都会被密码模块检测到。安全四级密码模块可以抵抗使用特制工具的高强度长时间攻击。

密码产品与密码模块的关系?

密码产品比密码模块包含的范围更广,密码产品既包含GM/T 0028-2014《密码模块安全技术要求》定义的密码模块,还需满足包含安全芯片及密码服务系统(如CA系统、电子签章系统、动态口令认证系统)等的相关标准规范。

附件:国家密码局提供的参考图表

本文分享自微信公众号 - 安智客(china_safer)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-03-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 《密码模块安全要求》与《密码模块安全检测要求》

    信安标委最近对大量的信息安全行业规范进行征集意见,3月份的时候安智客介绍过行业标准密码模块安全安全要求,不过这个标准现在上升到了国家标准,说明很重要!安智客今天...

    安智客
  • 安全芯片密码检测、密码模块安全检测、与等保2.0

    前面我们知道GM/T 0008-2012《安全芯片密码检测准则》将安全芯片密码等级分为3个等级! 而在GM/T 0028-2015《密码模块安全技术要求》和GM...

    安智客
  • 密码发展史之古典密码

    密码(Cryptology)是一种用来混淆的技术,它希望将正常的、可识别的信息转变为无法识别的信息。密码学是一个即古老又新兴的学科,密码学一词源自希腊文“kry...

    安智客
  • 密码怎么设才好?一条标准就够了

    又看到网络安全事件的新闻了吧?心慌不慌?其实设置和保管好自己的密码,只需要记住这一条标准就可以了。

    王树义
  • 密码太可怕了,应该将它“枪毙”

    密码是不仅为电脑和智能手机用户埋下了祸根,还给各大企业带来了安全隐患。本周三,eBay呼吁该公司的1.45亿用户更改密码,原因是该公司发生了数据泄露事件。但从以...

    企鹅号小编
  • 2017年度最不安全密码报告,看看你的密码安全吗?

    密码管理安全公司SplashData发布了2017年度密码报告,对网上泄露的密码进行了分析,找出最不安全的100个弱密码。密码分析的数据来源于500万外泄的密码...

    企鹅号小编
  • 什么样的密码才是安全的?

    什么样的密码才是安全的?相信这样的老生常谈你已经听腻了:密码设置得长一些,混合数字字母符号,避免任何可能容易联系到你本身的密码。但现实是在街头调查中大多数人并没...

    企鹅号小编
  • 个人账号密码管理体系(密码篇)

    在我们的生活中,有各种网站、应用都需要注册和登录。这些网络访问通常需要 「账户」 + 「密码」 的认证方式,于是几乎我们每个人手上都有几十个甚至上百个账号。

    行走少年郎
  • 横古贯今的隐私密史:密码的前世来生

    21世纪什么最贵?密(秘)码(密)! 但陈老师高清无码教材红了,某菊订票信息玩票“脱裤”了,数以千万计的开房信息泄露了,各种社工库横行霸道,让我们不禁不去感叹...

    FB客服
  • 解密千万密码:透过密码看人性

    对于密码,我们已经知道了不少。比如,多数密码短小、简单、且容易破解。但我们对一个人选择某个密码的心理原因却所知甚少。在本文中,我们分析了包括企业CEO、科学家...

    FB客服

扫码关注云+社区

领取腾讯云代金券