19 мон ГЮІ 2015. 1. 9 Вимоги та їх реалізація при побудування засобів криптографічного захисту інформації
Скачать 227.06 Kb.
|
2.2.15 Фізична безпекаВаріанти фізичної безпеки. Криптографічний модуль повинен використовувати механізми фізичної безпеки для обмеження несанкціонованого фізичного доступу до вмісту модуля і для запобігання несанкціонованого використання або зміни модуля (в тому числі заміни всього модуля) при установці. Всі апаратні, програмні, програмно-апаратні компоненти і компоненти даних і SSP в межах криптографічної границі повинні бути захищені. У таблиці 2.2.3 наведені вимоги фізичної безпеки для криптографічних модулів [10]. Криптографічний модуль, який реалізований повністю програмно, фізична безпека якого забезпечується виключно за рахунок обчислювальної платформи, не підпадає під вимоги фізичної безпеки цього стандарту. Вимоги цього розділу застосовні до апаратних і програмно-апаратних модулів, а також до апаратних і програмно-апаратних компонентів гібридних модулів. Вимоги цього розділу застосовні при визначеній фізичній границі модуля. Вимоги фізичної безпеки визначені для трьох різних фізичних виконань криптографічного модуля. Таблиця 2.2.3 – Перелік вимог фізичної безпеки для криптографічних модулів
1. Одночипові криптографічні модулі - це фізичні виконання, у яких один чіп з інтегральною схемою (ІС) може використовуватися в якості автономного пристрою, або вбудований в корпус чи в продукт, який може бути фізично не захищеним. Прикладами одночипових криптографічних модулів є поодинокий ІС-чіп або смарт-карта з одним ІС-чіпом. 2. Багаточипові вбудовані криптографічні модулі - це фізичні виконання, у яких два або більше ІС-чіпів взаємопов'язані і вбудовані в корпус або в продукт, який може бути фізично не захищеним. Прикладами багаточипових вбудованих криптографічних модулів є адаптери і плати розширення. 3. Багаточипові автономні криптографічні модулі - це фізичні виконання, у яких два або більше ІС-чіпів взаємопов'язані і весь корпус фізично захищений. Прикладами багаточипових автономних криптографічних модулів є шифруючі маршрутизатори, безпечні радіостанції або USB-токени. Залежно від механізмів фізичної безпеки криптографічного модуля, несанкціоновані спроби фізичного доступу, використання або зміни повинні мати високу ймовірність бути виявленими: після спроби, за залишеними видимими слідами (тобто, доказами вторгнення); і / або при спробі доступу; і криптографічним модулем повинні бути вжиті відповідні невідкладні заходи для захисту CSP. У таблиці 3 наведені вимоги фізичної безпеки, як загальні, так і для трьох конкретних виконань для кожного із чотирьох рівнів безпеки. Вимоги фізичної безпеки, що залежать від варіанту виконання, на кожному рівні безпеки посилюють загальні вимоги для цього рівня, і залежні від виконання вимоги попереднього рівня. Загалом, рівень безпеки 1 забезпечує базовий набір вимог. Рівень безпеки 2 додатково вимагає механізмів, що доводять вторгнення, та неможливість зібрати інформацію про внутрішні операції критичних областей модуля (непрозорість). Рівень безпеки 3 додає вимоги використання міцних або жорстких конформних або неконформних корпусів з механізмами виявлення і реагування на вторгнення на знімних кришках і дверцятах, і стійкості до прямого зондування через отвори і точки входу. На Рівні безпеки 3 вимагається захист від помилок, викликаних середовищем (EFP) або тестування на помилки, викликані середовищем (EFT). Рівень безпеки 4 додає вимоги використання міцних або жорстких конформних або неконформних корпусів з механізмами виявлення і реагування на вторгнення для всього корпусу або завдання значної шкоди модулю при вторгненні. На Рівні безпеки 4 вимагається наявність захисту від помилок, викликаних середовищем (EFP) і захисту від атак шляхом індукції помилки. Вимоги безпеки визначаються і для інтерфейсу технічного обслуговування, якщо конструкція криптографічного модуля забезпечує фізичний доступ (наприклад, для постачальника модулів або іншої уповноваженої особи). Механізми виявлення вторгнення та реагування на вторгнення не замінюють доказ вторгнення. Повинні виконуватися вимоги до документації. Загальні вимоги до фізичної безпеки. Наступні вимоги застосовуються до всіх фізичних виконань: документація повинна визначати фізичне виконання і рівень безпеки, для яких реалізовані механізми фізичної безпеки криптографічного модуля; всякий раз, коли проводиться обнуління з метою забезпечення фізичної безпеки, обнуління повинне проводитися за досить малий період часу, щоб запобігти розкриттю критичних (чутливих) даних в момент між виявленням та фактичним обнулінням; якщо модуль містить роль технічного обслуговування, яка вимагає фізичного доступу до вмісту модуля, або якщо конструкція криптографічного модуля забезпечує фізичний доступ (наприклад, для постачальника модулів або іншої уповноваженої особи), то: інтерфейс технічного обслуговування повинен бути визначений; інтерфейс технічного обслуговування повинен включати в себе всі шляхи фізичного доступу до вмісту криптографічного модуля, будь-які знімні кришки або дверцята, і будь-які знімні кришки або дверцята, що входять до інтерфейсу технічного обслуговування, повинні бути захищені з використанням відповідних механізмів фізичної безпеки. Рівень безпеки 1. Наступні вимоги поширюються на всі криптографічні модулі для Рівня безпеки 1: криптографічний модуль повинен складається з компонентів виробничого класу, які включають стандартні методи пасивації (наприклад, захисне покриття або опечатуюче покриття, нанесене на схеми модуля для захисту від ушкоджень з навколишнього середовища або інших фізичних ушкоджень), а також при виконанні фізичного технічного обслуговування, обнуління повинне виконуватися або процедурно оператором, або автоматично криптографічним модулем. Рівень безпеки 2. На додаток до загальних вимог з рівня безпеки 1, для рівня безпеки 2 на всі криптографічні модулі поширюються наступні вимоги: коли здійснюється спроба фізичного доступу до модуля, криптографічний модуль повинен надавати доказ вторгнення (наприклад, на кришці, корпусі або печатці); матеріал, покриття або оболонка, що доказує вторгнення, повинні бути або непрозорими або напівпрозорими в межах видимого спектру (тобто, світло в діапазоні довжин хвиль від 400 нм до 750 нм), щоб запобігти збору інформації про внутрішні операції критичних областей модуля, і якщо криптографічний модуль містить вентиляційні отвори чи щілини, то модуль повинен бути побудований таким чином, щоб запобігти збору інформації про внутрішню конструкцію або компоненти модуля шляхом прямого візуального спостереження з використанням штучних джерел світла у видимому спектрі. Рівень безпеки 3.На додаток до загальних вимог для Рівнів безпеки 1 і 2, наступні вимоги поширюються на всі криптографічні модулі для Рівня безпеки 3: якщо криптографічний модуль містить будь-які дверцята або знімні кришки, або якщо визначений інтерфейс технічного обслуговування, то модуль повинен містити механізм реагування на вторгнення і можливість обнуління. Механізм реагування на вторгнення і можливість обнуління повинні відразу обнулити всі незахищені SSP, коли дверцята відкриті, кришка знята, або коли здійснюється доступ через інтерфейс технічного обслуговування. Механізм реагування на вторгнення і можливість обнуління повинні залишатися працездатними, коли в криптографічному модулі містяться незахищені SSP; якщо криптографічний модуль містить вентиляційні отвори або щілини, то модуль повинен бути побудований таким чином, щоб запобігти невиявленому фізичному зондуванню всередині корпусу (наприклад, запобігти зондуванню одним шарнірним зондом); міцні або жорсткі конформні або неконформні корпуси, покриття і заливні матеріали повинні зберігати характеристики міцності і жорсткості у всьому визначеному для модуля температурному діапазоні при експлуатації, зберіганні і розповсюдженні, якщо використовуються печатки, що доказують вторгнення, вони повинні бути однозначно пронумеровані або незалежно ідентифікуватися (наприклад, однозначно пронумерована доказова стрічка або голографічні печатки, що незалежно ідентифікуються), і модуль повинен містити або функцію EFP або проходити EFT. Рівень безпеки 4. На додаток до загальних вимог для Рівнів безпеки 1, 2 і 3, наступні вимоги поширюються на всі криптографічні модулі для Рівня безпеки 4: криптографічний модуль повинен бути захищений жорстким, непрозорим, стійким до видалення покриттям або виявляючою вторгнення оболонкою з механізмом реагування на вторгнення і можливістю обнуління; модуль повинен включати функції EFP і криптографічний модуль повинен забезпечувати захист від індукції помилки. Методи і метрики відбиття індукції помилки, які використовуються, повинні бути задокументовані, як зазначено в додатку Б стандарту. |