《密码模块安全要求》与《密码模块安全检测要求》

信安标委最近对大量的信息安全行业规范进行征集意见,3月份的时候安智客介绍过行业标准密码模块安全安全要求,不过这个标准现在上升到了国家标准,说明很重要!安智客今天来学习密码模块安全要求。具体规范内容大家可以自行查询,这里不列举,只说几个关键点。

一,标准间的关系

国家标准《信息安全技术 密码模块安全要求》,来源于密码行业标准《GM/T 0028-2014 密码模块安全技术要求

国家标准《信息安全技术 密码模块安全检测要求》,来源于密码行业标准《GM/T 0039-2015 密码模块安全检测要求》。

以上两项标准适用于除密码芯片和系统软件外的各种密码产品类型。比如说安全芯片有《GM/T 0008-2012 安全芯片密码检测准则》。

二,标准的内容概要

密码模块安全要求:针对密码模块的11个安全域,分别给出了四个安全等级的对应要求。

密码模块安全检测要求:规定了密码模块对应的11个安全域的一系列检测规程、检测方法和对应的送检文档要求。

11个安全域分别是:通用要求,密码模块规格,密码模块接口,角色、服务和鉴别,软件/固件安全,运行环境,物理安全,非入侵式安全,敏感安全参数管理,自测试,生命周期保障,以及对其他攻击的缓解。

熟悉安智客的朋友们可能知道,安智客下面要提TEE了,是的,那这些标准规范与TEE有什么关系呢?

四,TEE是不是属于密码模块?

首先明确TEE是属于密码模块的固件模块。标准中定义,密码模块是指实现密码运算、密钥管理等功能的硬件、软件、固件或者其组合,分为硬件、软件、固件模块。标准中7.6运行环境通用要求中将密码运行环境分为运行环境可以是不可修改的、受限制的或可修改的。

不可修改运行环境指不可编程的固件模块或者硬件模块;受限运行环境指允许受控更改的软件或者固件模块,如 Java 卡中的Java 虚拟机、可信执行环境技术中的TEE操作系统;可变运行环境指能够对系统功能进行增加、删除和修改等操作的可配置运行环境,如Windows/ Linux/MAC/ Android/iOS等通用操作系统。

对于使用了TEE和SE的产品,对于驱动、SE芯片及其运行库可以定义为一个硬件模块、其中的TEE OS及其相关软件可以定义为一个固件模块,运行在可信操作环境上的可信应用TA也可以作为一个固件模块。另外,对于软件来说,二级应该是软件密码模块能够达到的最高等级了!

五,密码产品与密码模块的关系

密码产品比密码模块包含的范围更广,密码产品既要符合《密码模块安全技术要求》定义的密码模块,还需满足包含安全芯片及密码服务系统(如CA系统、电子签章系统、动态口令认证系统)等的相关标准规范。

规范规定:对于密码模块的供应商,在进行产品送检测评过程中,如果密码模块内部采用了其他子密码模块,且该子密码模块已作为独立的密码模块产品通过了检测认证,则测评机构在认证该密码模块时,对于子模块部分的安全评估和检测可以从简。反之,则需对该子密码模块进行详细的安全评估和检测,并且在此情况下,该子密码模块仅可以与送测的密码模块配套销售和使用,不可以作为独立的密码模块产品进入市场销售。也就是说未来使用了TEE的产品需要满足这些国标要求。比如说手机盾产品中既要满足相关产品规范,事实上行业中有企业将将TEE+SE作为一个密码模块通过密码模块安全二级认证。

六,基于TEE的产品该满足什么等级?

在《关于密码模块若干问题的说明》文档中,针对TEE+SE技术的产品在电子银行应用场景中需要满足的安全等级有如下建议:

个人大额转账:可视按键型智能密码钥匙(安全二级及以上)、挑战应答型动态令牌(安全二级及以上)、基于TEE+SE技术的固件密码模块(安全二级及以上)

企业转账:可视按键型智能密码钥匙(安全二级及以上)、基于TEE+SE技术的固件密码模块(安全二级及以上)

原文发布于微信公众号 - 安智客(china_safer)

原文发表时间:2018-06-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Vamei实验室

为什么要学习Linux

作者:Vamei 出处:http://www.cnblogs.com/vamei 欢迎转载,也请保留这段声明。谢谢!

2771
来自专栏携程技术中心

携程2015 Open House获奖项目:Gateway

Gateway Ctrip Tech 起因: 携程的无线发展和其他公司类似,经历了一个从弱势到强势的过程,这是市场决定的。最初的解决方案是集中式的,即有一个独立...

19410
来自专栏全华班

微信小程序电商源码

https://gitee.com/sansanC/wechatApp?from=wechat_applet

5.7K4
来自专栏FreeBuf

黑客是如何通过RDP远程桌面服务进行攻击的

企业每年在软件和硬件和防止外部网络攻击方面的投资花费有数十亿美元。在安全方面花的钱多就带面安全吗?这些企业无疑是搬起石头砸自己的脚。 ...

36510
来自专栏做全栈攻城狮

用Android最火的快速开发框架XUtils,进行文件下载

更多原创教程,关注微信公众平台:做全栈攻城狮。及做全栈攻城狮官网:www.8z5.net

3313
来自专栏编程一生

业务高速增长场景下的稳定性建设实战

2642
来自专栏带你撸出一手好代码

请给你的电脑加上固态硬盘

电脑速度慢,那是老生常谈的话题了。 不管是笔记本电脑还是台式机,是二三千块DIY的货色还是上万土豪配置, 在新系统刚装好那会, 使用起来肯定是顺滑如丝一般的感觉...

3245
来自专栏iKcamp

【完结汇总】iKcamp出品基于Koa2搭建Node.js实战共十一堂课(含视频)

??  与众不同的学习方式,为你打开新的编程视角 独特的『同步学习』方式 文案讲解+视频演示,文字可激发深层的思考、视频可还原实战操作过程。 云集一线大厂有...

3536
来自专栏云计算教程系列

如何在Ubuntu上搭建方舟:生存进化服务器

《方舟:生存进化》(英语:Ark: Survival Evolved)是一款由Studio Wildcard制作与发行的生存类沙盒动作冒险游戏,使用虚幻4引擎打...

1.9K3
来自专栏源码之家

帝国CMS全自动采集——发布更新教程

3.9K4

扫码关注云+社区

领取腾讯云代金券