GB/T 37092-2018 相关标准英文版PDF
| 标准号码 | 价格美元 | 第2步(购买) | 交付天数 | 标准名称 |
| GB/T 37092-2018 | 565 | GB/T 37092-2018 | 3秒自动 | 信息安全技术 密码模块安全要求 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/T 37092-2018 (GB/T37092-2018) |
| 中文名称 | 信息安全技术 密码模块安全要求 |
| 英文名称 | Information security technology -- Security requirements for cryptographic modules |
| 行业 | 国家标准 (推荐) |
| 中标分类 | L80 |
| 国际标准分类 | 35.040 |
| 字数估计 | 50,543 |
| 发布日期 | 2018-12-28 |
| 实施日期 | 2019-07-01 |
| 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 |
GB/T 37092-2018: 信息安全技术 密码模块安全要求
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术 密码模块安全要求
2018-12-28发布
2019-07-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅰ
引言 Ⅱ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 3
5 密码模块安全等级 3
5.1 概述 3
5.2 安全一级 4
5.3 安全二级 4
5.4 安全三级 4
5.5 安全四级 5
6 功能安全目标 5
7 安全要求 6
7.1 通用要求 6
7.2 密码模块规格 8
7.3 密码模块接口 10
7.4 角色、服务和鉴别 11
7.5 软件/固件安全 14
7.6 运行环境 15
7.7 物理安全 18
7.8 非入侵式安全 24
7.9 敏感安全参数管理 24
7.10 自测试 27
7.11 生命周期保障 30
7.12 对其他攻击的缓解 33
附录A(规范性附录) 文档要求 34
附录B(规范性附录) 密码模块安全策略 39
附录C(规范性附录) 核准的安全功能 43
附录D(规范性附录) 核准的敏感安全参数生成和建立方法 44
附录E(规范性附录) 核准的鉴别机制 45
附录F(规范性附录) 非入侵式攻击及缓解方法检测指标 46
参考文献 47
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国科学院数据与通信保护研究教育中心、国家密码管理局商用密码检测中心、
北京握奇智能科技有限公司、北京数字认证股份有限公司、飞天诚信科技股份有限公司、北京海泰方圆
科技有限公司、北京华大智宝电子系统有限公司、北京创原天地科技有限公司。
本标准主要起草人:荆继武、高能、屠晨阳、郑昉昱、江伟玉、周国良、马原、刘宗斌、刘泽艺、汪婧、
罗鹏、汪雪林、陈国、詹榜华、朱鹏飞、蒋红宇、陈跃、张万涛、刘丽敏、向继。
引 言
在信息技术中,密码技术的使用需求日益增强,比如数据需要密码机制的保护以防止非授权的泄露
或操控。密码机制可以用于支持实体鉴别和不可抵赖等安全服务,密码机制的安全性与可靠性直接取
决于实现它们的密码模块。
本标准对密码模块提出了四个递增的、定性的安全要求等级,但不对密码模块的正确应用和安全部
署进行规范。密码模块的操作员在使用或部署密码模块时,有责任确保密码模块提供的安全保护是充
分的,且对信息所有者而言是可接受的,同时任何残余风险要告知信息所有者。密码模块的操作员有责
任选取合适的安全等级的密码模块,使得密码模块能够满足应用的安全需求并适应所处环境的安全
现状。
信息安全技术 密码模块安全要求
1 范围
本标准针对密码模块规定了安全要求,为密码模块定义了四个安全等级,并分别给出了四个安全等
级的对应要求。
本标准适用于保护计算机与电信系统内敏感信息的安全系统所使用的密码模块。本标准也为密码
模块的设计、开发提供指导,为密码模块安全要求的检测提供参考。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 15843(所有部分) 信息技术 安全技术 实体鉴别
GB/T 15852(所有部分) 信息技术 安全技术 消息鉴别码
GB/T 17964 信息安全技术 分组密码算法的工作模式
GB/T 25069 信息安全技术 术语
GB/T 32905 信息安全技术 SM3密码杂凑算法
GB/T 32907 信息安全技术 SM4分组密码算法
GB/T 32918(所有部分) 信息安全技术 SM2椭圆曲线公钥密码算法
GB/T 33133.1 信息安全技术 祖冲之序列密码算法 第1部分:算法描述
GM/T 0001.2 祖冲之序列密码算法 第2部分:基于祖冲之算法的机密性算法
GM/T 0001.3 祖冲之序列密码算法 第3部分:基于祖冲之算法的完整性算法
GM/T 0044(所有部分) SM9标识密码算法
3 术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
证书 certificate
关于实体的一种数据,该数据由认证机构的私钥或秘密密钥签发,并无法伪造。
3.2
条件自测试 conditionalself-test
当规定的测试条件出现时,由密码模块执行的测试。
3.3
与安全相关的秘密信息,这些信息被泄露或被修改后会危及密码模块的安全性。
注:关键安全参数可以是明文形式的也可以是经过加密的。
3.4
明确定义的边线,该边线建立了密码模块的物理和/或逻辑边界,并包括了密码模块的所有硬件、软
件和/或固件部件。
3.5
密码模块 cryptographicmodule
实现了安全功能的硬件、软件和/或固件的集合,并且被包含在密码边界内。
注:密码模块根据其组成,可分为硬件密码模块、固件密码模块、软件密码模块以及混合密码模块。
3.6
密码模块的逻辑入口或出口,为逻辑信息流提供进出模块的通道。
3.7
密码模块运行应遵从的安全规则的明确说明,其中包含了从本标准的要求导出的规则以及厂商要
求的规则。
3.8
对密码模块的功耗变化进行分析,并用以获取密码操作相关的信息。
3.9
故障注入 faultinduction
通过应用短暂的电压、辐射、激光或时钟偏移技术,导致硬件中的操作行为发生变化的技术。
3.10
多因素鉴别 multi-factorauthentication
至少具有两个独立鉴别因素的鉴别。
注:独立的鉴别因素类别包括:已知某物,拥有某物,以及具有某属性。
3.11
非入侵式攻击 non-invasiveattack
一种针对密码模块的攻击,该攻击对密码边界内的部件不进行直接的物理接触,且这类攻击不会更
改密码模块所处的状态。
3.12
密码模块安全运行所需要的所有软件、固件和硬件的集合,其中包括操作系统和硬件平台。
注:运行环境分为可修改的运行环境、受限制的运行环境以及不可修改的运行环境。
3.13
运行前自测试 pre-operationalself-test
密码模块在上电或实例化(在关闭电源、重置、重启、冷启动、供电中断等之后)至转换到运行状态之
间执行的测试。
3.14
与安全性相关的公开信息,一旦被修改,会威胁到密码模块安全。
注:例如,公钥、公钥证书、自签名证书、信任锚、与计数器和内部保持的日期和时间相关联的一次性口令。公开安
全参数如果不能被修改或者修改后能够被密码模块发现,此时可以认为该公开安全参数是受保护的。
3.15
运行时环境 runtimeenvironment
一种虚拟机状态,在计算机运行时,为进程和程序提供软件服务。
注:运行时环境可能与操作系统本身,也可能与其下运行的软件有关,其主要目的在于实现“平台无关”的编程
目标。
3.16
安全功能 securityfunction
密码算法及其工作模式,包括:分组密码、序列密码、非对称密码、消息鉴别码、杂凑函数、随机数生
成、实体鉴别和敏感安全参数生成和建立等。
3.17
包括关键安全参数(3.3)和公开安全参数(3.14)。
3.18
简单功耗分析 simplepoweranalysis
对指令执行(或单个指令的执行)模式的直接(主要是可视化的)分析,它与密码模块的功耗有关,并
用以获取密码操作相关的信息。
3.19
知识拆分 splitknowledge
密钥被拆分成多个密钥分量,从密码模块输出给多个实体的过程。单个分量不能提供原始密钥的
知识。密钥分量被各个实体输入密码模块能够重新组合成原始密钥,合成密钥可以需要所有分量或一
部分分量来完成。
3.20
将共享的敏感安全参数提供给一个或多个实体的过程。
注:敏感安全参数建立包括敏感安全参数协商、传输以及输入或输出。
4 缩略语
下列缩略语适用于本文件。
ECB:电子译码本(ElectronicCodebook)
IC:集成电路(IntegratedCircuit)
5 密码模块安全等级
5.1 概述
密码模块是指实现密码运算、密钥管理等功能的硬件、软件、固件或者其组合。本标准适用于保护
计算机与电信系统内敏感信息的安全系统所使用的密码模块。为了保护密码模块和密码模块中包含和
控制的敏感安全参数,以及满足众多应用领域的、不同程度的安全需求,本标准规定了4个要求递增的
安全等级,高安全等级在低安全等级的基础上进一步提高了安全性。本标准中给出的一些常见的例子,
是用于阐明如何满足本标准的安全要求,而不是为了约束或列举所有的情况。下文分别概述了4个安
全等级。4个安全等级所涉及的密码技术是相同的。
本标准采用了“应[xx.yy]”方式对标准中的所有安全要求进行标识和顺序编号,其中,xx表示条
款,yy是该条款中的数字索引。如果本标准中的某句话中出现“应[xx.yy]”,即表示该句是本标准的一
项安全要求,编号为[xx.yy]。本标准总共有12个条款,与密码模块的安全通用要求以及11个安全域
相对应,1~12分别代表:通用要求;密码模块规格;密码模块接口;角色、服务和鉴别;软件/固件安全;
运行环境;物理安全;非入侵式安全;敏感安全参数管理;自测试;生命周期保障;以及对其他攻击的缓
解。每个条款中又包含具体的安全要求,每个安全要求从[xx.01]开始按顺序编号。
本标准下文中凡是包含“应[xx.yy]”的句子都被视为密码模块的一项安全要求,这种标识方式可以
被本标准对应的后续检测标准直接引用,也可被密码模块厂商提交的文档引用。
5.2 安全一级
安全一级提供了最低等级的安全要求。安全一级阐明了密码模块的基本安全要求,例如,密码模块
应使用至少一个核准的安全功能或核准的敏感安全参数建立方法。软件或固件密码模块可以运行在不
可修改的、受限的或可修改的运行环境中。硬件密码模块除了需要达到产品级部件的基本要求之外,没
有其他特殊的物理安全机制要求。密码模块实现的针对非入侵式攻击或其他攻击的缓解方法需要有文
档记录。安全一级密码模块的例子有:个人计算机中的硬件加密板卡、运行在手持设备或通用计算机上
的密码工具包。
当密码模块外部的应用系统已经配置了物理安全、网络安全以及管理过程等控制措施时,安全一级
的密码模块就非常适用。这使得密码模块的使用者可以选择多种密码解决方案来满足安全需求。
5.3 安全二级
安全二级在安全一级的基础上增加了拆卸证据的要求,例如使用拆卸存迹的涂层或封条,或者在封
盖或门上加防撬锁等手段以提供拆卸证据。
拆卸存迹的封条或防撬锁应安装在封盖或门上,以防止非授权的物理访问。当物理访问密码模块
内的安全参数时,密码模块上拆卸存迹的涂层或封条就应破碎。
安全二级要求基于角色的鉴别。密码模块需要鉴别并验证操作员的角色,以确定其是否有权执行
对应的服务。
安全二级的软件密码模块可以运行在可修改的环境中,该环境应实现基于角色的访问控制或自主
访问控制,但自主访问控制应能定义新的组,通过访问控制列表(ACL)分配权限,以及将一个用户分配
给多个组。访问控制措施应防止非授权地执行、修改以及读取实现密码功能的软件。
5.4 安全三级
除了安全二级中要求的拆卸存迹物理安全机制外,安全三级还要求更强的物理安全机制,以进一步
防止对密码模块内敏感安全参数的非授权访问。这些物理安全机制应能够以很高的概率检测到以下行
为并作出响应,这些行为包括:直接物理访问、密码模块的使用或修改,以及通过通风孔或缝隙对密码模
块的探测。上述物理安全机制可以包括坚固的外壳、拆卸检测装置以及响应电路。当密码模块的封盖/
门被打开时,响应电路应将所有的关键安全参数置零。
安全三级要求基于身份的鉴别机制,以提高安全二级中基于角色的鉴别机制的安全性。密码模块
需要鉴别操作员的身份,并验证经鉴别的操作员是否被授权担任特定的角色以及是否能够执行相应的
服务。
安全三级要求手动建立的明文关键安全参数是经过加密的、使用可信信道或使用知识拆分来输入
或输出。
安全三级的密码模块应有效防止电压、温度超出密码模块正常运行范围对密码模块安全性的破坏。
攻击者可以故意让密码模块的环境参数偏离正常运行范围,从而绕过密码模块的防护措施。密码模块
应设计有环境保护特性,用以检测环境异常并置零关键安全参数,或者能够通过环境失效测试从而提供
一个合理的保障,确保不会因环境异常破坏密码模块的安全性。
安全三级的密码模块应提供非入侵式攻击缓解技术的有效性证据和检测方法。
对于软件密码模块,并没有在本标准的所有条款中给出安全三级的要求。因此,软件密码模块能够
达到的最大整体安全等级限定为安全二级。
安全三级的密码模块增加了生命周期保障的要求,比如自动配置管理、详细设计、底层测试以及基
于厂商所提供的鉴别信息的操作员鉴别。
5.5 安全四级
安全四级是本标准中的最高安全等级。该等级包括较低等级中所有的安全特性,以及一些扩展
特性。
安全四级的物理安全机制应在密码模块周围提供完整的封套保护,其目的是无论外部电源是否供
电,当密码模块包含敏感安全参数时,检测并响应所有非授权的物理访问。从任何方向穿透密码模块的
外壳都会以很高的概率被检测到,并将导致所有未受保护的敏感安全参数立刻被置零。由于安全四级
的密码模块自身具有较高的安全机制,所以它特别适用于无物理保护的环境。
安全四级要求对操作员进行多因素鉴别。最低限度下,要求使用下列因素中的两个:
---已知某物,如秘密口令;
---拥有某物,如物理钥匙或令牌;
---具有某属性,如生物特征。
安全四级的密码模块应有效防止电压、温度超出密码模块正常运行范围对密码模块安全性的破坏。
密码模块应设计有环境保护特性,专门用以检测环境异常并置零关键安全参数,从而提供一个合理的保
障,确保不会因环境异常破坏密码模块的安全性。
按照国家相关部门规定的、安全四级的非入侵式攻击缓解检测指标,检测密码模块中实现的、7.8
中规定的针对非入侵式攻击的缓解方法。
安全四级要求密码模块的设计应通过一致性验证,即验证前置和后置条件与功能规格之间的一
致性。
6 功能安全目标
本标准中规定的安全要求涉及密码模块的安全设计和实现。安全要求从安全目标的最低等级开
始,随着安全目标等级的递增而增加。这些要求源于密码模块的下列功能性安全目标:
---使用并正确实现核准的安全功能,以保护敏感信息;
---防止非授权地操作或使用密码模块;
---防止非授权地泄露密码模块的内容,其中包括关键安全参数;
---防止对密码模块和密码算法进行非授权或检测不到的修改,包括非授权地修改、替换、插入和
删除敏感安全参数;
---提供密码模块运行状态的指示;
---保证密码模块在核准的工作模式下能够正确运行;
---检测出密码模块运行中的错误,防止这些错误非授权地公开、修改、替换或使用关键安全参数,
或者非授权地修改或替换公开安全参数;
---保证正确地设计、分配和实现密码模块。
7 安全要求
7.1 通用要求
符合本标准的密码模块应[01.01]满足的安全要求。这些安全要求涵盖了密码模块的设计、实现、
操作以及废弃相关的域,具体包括:密码模块规格;密码模块接口;角色、服务和鉴别;软件/固件安全;运
行环境;物理安全;非入侵式安全;敏感安全参数管理;自测试;生命周期保障;以及对其他攻击的缓解。
表1总结了每个域的安全要求。
密码模块应[01.02]针对各个域的要求进行检测。密码模块应[01.03]在每个域中独立地进行评
级。上述11个安全域中,有些域随着安全等级的递增,安全要求也相应增加。密码模块在这些域中获
得的评级反映了密码模块在该域中所能达到的最高安全等级,即密码模块应满足该域针对该等级的所
有安全要求。另外一些域的安全要求不分安全等级,那么密码模块在这些域中将获得与整体评级相当
的评级。
除了在每个安全域中获得独立的评级之外,密码模块还将获得一个整体评级。整体评级设定为
11个域所获得的最低评级。
本标准要求密码模块提供相关的文档,具体要求见附录A和附录B。待确认或评估的密码模块应
[01.04]提供所有相关文档,包括用户和安装手册、设计说明、生命周期文档等。
附录C、附录D、附录E和附录F提供了核准的安全功能、核准的敏感安全参数生成和建立方法、核
准的鉴别机制以及非入侵式攻击及常用的缓解方法等相关内容。
表1 安全要求总表
安全域 安全一级 安全二级 安全三级 安全四级
1密码模块规格
密码模块、密码边界、核准的密码功能以及正常的工作模式的说明;
密码模块的描述,包括所有硬件、软件和固件部件;
所有服务提供状态信息以指示服务何时按照核准的方式使用核准的密码算法、安全功能或
过程
2密码模块接口
要求的和可选的接口;
所有接口和所有输入输出数据路径的说明
可信信道
3角色、服务和鉴别
要求的角色、服务与
可选的角色、服务逻
辑上相隔离
基于角色或基于身
份的操作员鉴别
基于身份的鉴别 多因素鉴别
4软件/固件安全
核准的完整性技术,
以及定义的软件或
固件密码模块接口、
混合固件密码模块
接口
基于核准的数字签
名或带密钥信息消
息鉴别码的完整性
测试
基于核准的数字签名的完整性测试
以及混合软件固件
密码模块接口;可执
行代码
表1(续)
安全域 安全一级 安全二级 安全三级 安全四级
5运行环境
不可修改的、受限的;对敏感安全参数的控制
可修改的;
对敏感安全参数的
控制
可修改的;
基于角色或自主访
问控制;审计机制
6物理安全 产品级部件
拆卸证据;
不透明的遮盖物或
外壳
封盖和门上的拆卸
检测与响应电路;
牢固的外壳或涂层;
防 止 直 接 探 测 的
保护;
EFP或EFT
拆 卸 检 测 和 响 应
封壳;
EFP;
故障注入的缓解
7非入侵安全
能够缓解附录F中规定的非入侵式攻击
文档阐明附录 F中规定的缓解技术和有
效性
提供缓解检测方法 缓解检测
8敏感安全参数管理
随机数生成器、敏感安全参数生成、建立、输入和输出、存储以及置零
自动的敏感安全参数传输或敏感安全参数协商使用核准方法
手动建立的敏感安全参数可以以明文的形
式输入或输出
手动建立的敏感安全参数,可以以加密的形
式、通过可信信道或使用知识拆分过程输入
或输出
9自测试
运行前:软件/固件完整性测试、旁路测试以及关键功能测试
条件:密码算法、配对一致性、软件/固件加载、手动输入、条件旁路以及关键功能测试
1) 配置管理
密码模块、部件和文档的配置管理系统。每
一项在整个生命周期中都有唯一标识并可
追踪
自动配置管理系统
2) 设计 密码模块设计成允许对所有提供的安全相关服务进行测试
3) FSM 有限状态模型
4) 开发
有注释的源代码、版
图或 HDL
软件高级语言;
硬件高级描述语言
文档注明密码模块
部件执行的前置条
件,以及当部件执行
完毕时预期为真的
后置条件
5) 测试 功能测试 底层测试
6) 配送与操作 初始化流程 配送流程
使用厂商提供的鉴
别 信 息 的 操 作 员
鉴别
7) 生命终止 安全清理密码模块的流程 安全销毁密码模块的流程
8) 指南文档 管理员和非管理员指南
11其他攻击的缓解 缓解其他攻击的说明,目前对这些攻击还没有可检测要求
验证缓解技术的有
效性
7.2 密码模块规格
7.2.1 密码模块规格通用要求
密码模块应[02.01]是硬件、软件、固件,或它们之间组合的集合,该集合至少使用一个核准的密码
算法、安全功能或过程实现一项密码服务,并且包含在定义的密码边界内。
密码模块文档应[02.02]按照A.2.2中规定的要求编写。
7.2.2 密码模块类型
密码模块应[02.03]定义为下列一种密码模块类型:
---硬件密码模块:密码边界规定为硬件边线。固件和/或软件,其中还可以包括操作系统,可以被
包含在硬件密码边界内。
---软件密码模块:密码边界为执行在可修改的运行环境中的纯软件部件(可以是一个或多个软件
部件)划定界线。软件密码模块的运行环境所包含的计算平台和操作系统,在定义的密码边界
之外。
---固件密码模块:密码边界为执行在受限的或不可修改的运行环境中的纯固件部件划定界线。
固件密码模块的运行环境所包含的计算平台和操作系统,在定义的密码边界之外,但是与固件
密码模块明确绑定。
---混合软件密码模块:密码边界为软件部件和分离的硬件部件(即软件部件不在硬件密码模块边
界中)的集合划定界线。软件运行的环境所包含的计算平台和操作系统,在定义的混合软件密
码模块边界之外。
---混合固件密码模块:密码边界为固件部件和分离的硬件部件(即固件部件不在硬件密码模块边
界中)的合成划定界线。固件运行的环境所包含的计算......
英文网页English: GB/T 37092-2018
相关标准: GB/T 36651|GB/T 37091|GB/T 37090|GB/T 36651|GB/T 37092-2018|GB/T 37092|