专栏首页安智客《密码模块安全要求》与《密码模块安全检测要求》

《密码模块安全要求》与《密码模块安全检测要求》

信安标委最近对大量的信息安全行业规范进行征集意见,3月份的时候安智客介绍过行业标准密码模块安全安全要求,不过这个标准现在上升到了国家标准,说明很重要!安智客今天来学习密码模块安全要求。具体规范内容大家可以自行查询,这里不列举,只说几个关键点。

一,标准间的关系

国家标准《信息安全技术 密码模块安全要求》,来源于密码行业标准《GM/T 0028-2014 密码模块安全技术要求

国家标准《信息安全技术 密码模块安全检测要求》,来源于密码行业标准《GM/T 0039-2015 密码模块安全检测要求》。

以上两项标准适用于除密码芯片和系统软件外的各种密码产品类型。比如说安全芯片有《GM/T 0008-2012 安全芯片密码检测准则》。

二,标准的内容概要

密码模块安全要求:针对密码模块的11个安全域,分别给出了四个安全等级的对应要求。

密码模块安全检测要求:规定了密码模块对应的11个安全域的一系列检测规程、检测方法和对应的送检文档要求。

11个安全域分别是:通用要求,密码模块规格,密码模块接口,角色、服务和鉴别,软件/固件安全,运行环境,物理安全,非入侵式安全,敏感安全参数管理,自测试,生命周期保障,以及对其他攻击的缓解。

熟悉安智客的朋友们可能知道,安智客下面要提TEE了,是的,那这些标准规范与TEE有什么关系呢?

四,TEE是不是属于密码模块?

首先明确TEE是属于密码模块的固件模块。标准中定义,密码模块是指实现密码运算、密钥管理等功能的硬件、软件、固件或者其组合,分为硬件、软件、固件模块。标准中7.6运行环境通用要求中将密码运行环境分为运行环境可以是不可修改的、受限制的或可修改的。

不可修改运行环境指不可编程的固件模块或者硬件模块;受限运行环境指允许受控更改的软件或者固件模块,如 Java 卡中的Java 虚拟机、可信执行环境技术中的TEE操作系统;可变运行环境指能够对系统功能进行增加、删除和修改等操作的可配置运行环境,如Windows/ Linux/MAC/ Android/iOS等通用操作系统。

对于使用了TEE和SE的产品,对于驱动、SE芯片及其运行库可以定义为一个硬件模块、其中的TEE OS及其相关软件可以定义为一个固件模块,运行在可信操作环境上的可信应用TA也可以作为一个固件模块。另外,对于软件来说,二级应该是软件密码模块能够达到的最高等级了!

五,密码产品与密码模块的关系

密码产品比密码模块包含的范围更广,密码产品既要符合《密码模块安全技术要求》定义的密码模块,还需满足包含安全芯片及密码服务系统(如CA系统、电子签章系统、动态口令认证系统)等的相关标准规范。

规范规定:对于密码模块的供应商,在进行产品送检测评过程中,如果密码模块内部采用了其他子密码模块,且该子密码模块已作为独立的密码模块产品通过了检测认证,则测评机构在认证该密码模块时,对于子模块部分的安全评估和检测可以从简。反之,则需对该子密码模块进行详细的安全评估和检测,并且在此情况下,该子密码模块仅可以与送测的密码模块配套销售和使用,不可以作为独立的密码模块产品进入市场销售。也就是说未来使用了TEE的产品需要满足这些国标要求。比如说手机盾产品中既要满足相关产品规范,事实上行业中有企业将将TEE+SE作为一个密码模块通过密码模块安全二级认证。

六,基于TEE的产品该满足什么等级?

在《关于密码模块若干问题的说明》文档中,针对TEE+SE技术的产品在电子银行应用场景中需要满足的安全等级有如下建议:

个人大额转账:可视按键型智能密码钥匙(安全二级及以上)、挑战应答型动态令牌(安全二级及以上)、基于TEE+SE技术的固件密码模块(安全二级及以上)

企业转账:可视按键型智能密码钥匙(安全二级及以上)、基于TEE+SE技术的固件密码模块(安全二级及以上)

本文分享自微信公众号 - 安智客(china_safer)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-06-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 《密码模块安全技术要求》解读

    今天要讲到的是密码模块安全认证! 中国密码行业标准化技术委员会分别在2014年、2015年制定了GM/T 0028-2014《密码模块安全技术要求》和GM/T ...

    安智客
  • 安全芯片密码检测、密码模块安全检测、与等保2.0

    前面我们知道GM/T 0008-2012《安全芯片密码检测准则》将安全芯片密码等级分为3个等级! 而在GM/T 0028-2015《密码模块安全技术要求》和GM...

    安智客
  • 密码发展史之古典密码

    密码(Cryptology)是一种用来混淆的技术,它希望将正常的、可识别的信息转变为无法识别的信息。密码学是一个即古老又新兴的学科,密码学一词源自希腊文“kry...

    安智客
  • 深度解析:1秒可以破解的100个密码,你中招了吗?

    密码的安全性至关重要,一旦密码遭到破解或者泄露,都会造成严重的财务损失、个人隐私泄露、个人人身安全等等隐患。 随着黑客技术的发展,网络安全时间频繁发生,从年初的...

    沉默的白面书生
  • 中小银行的IT厂商生意点在哪?得应用者得天下!

    魏新宇
  • 一步一步教你如何解锁被盗的iPhone 6S

    即使你的iPhone6S设置了六位数的密码,甚至还设置了touch ID,但我要告诉你的是:你的手机仍然能被犯罪分子解锁。 ? 事件背景 三天前,一位苹果用户的...

    FB客服
  • Node.js中模块加载机制

    清出于兰
  • iOS应用程序的脱壳实现原理浅析

    对于诸多逆向爱好者来说,给一个app脱壳是一项必做的事情。基于安全性的考虑,苹果对上架到appstore的应用都会进行加密处理,所以如果直接逆向一个从appst...

    欧阳大哥2013
  • 163邮箱535 Error: authentication failed

    用ANT发送邮件的功能,我觉的这就是一个天坑,可能是我没捣鼓对的原因,但始终不得善果。 最终只能放弃,转战sendmail,因为邮件安装过,插件很快在linux...

    小柒2012
  • 微信为啥推出实验室功能 ​​​​

    你只要调教下推荐系统,然后你就获得了一个信息助理,源源不断把你需要或者感兴趣的内容投送给你。

    用户2936994

扫码关注云+社区

领取腾讯云代金券