19 мон ГЮІ 2015. 1. 9 Вимоги та їх реалізація при побудування засобів криптографічного захисту інформації
 Скачать 227.06 Kb.
|
2.2.1 Рівні безпеки криптографічних модулівНижче представлено огляд чотирьох рівнів безпеки[10]. Типові приклади, які наведені щоб проілюструвати як можуть бути задоволені ці вимоги, не вносять обмежень і не є вичерпними. Посилання на «модуль» повинне тлумачитися як «криптографічний модуль». Криптографічні методи однакові для всіх чотирьох рівнів безпеки. Кожен рівень безпеки об’єднує зростаючі рівні вимог до безпеки для захисту самого модуля (наприклад, доступ і знання внутрішніх компонентів і роботи) і SSP, що містяться і управляються усередині модуля. Рівень безпеки 1. Рівень безпеки 1 забезпечує базовий рівень безпеки. Основні вимоги безпеки визначені для криптографічних модулів (наприклад, хоча б одна затверджена функція безпеки або затверджений метод встановлення чутливих параметрів безпеки повинен використовуватися). Програмні і програмно-апаратні модулі можуть працювати в незмінному, обмеженому або змінному експлуатаційному середовищі. Ніяких конкретних фізичних механізмів безпеки для апаратного криптографічного модуля з Рівнем безпеки 1 не вимагаються, окрім базових вимог до виробничих компонентів. Реалізовані методи відбиття неінвазивних атак та інших атак повинні бути задокументовані. Прикладом криптографічного модуля з Рівнем безпеки 1 є апаратна плата шифрування в персональному комп'ютері (ПК) або криптографічний інструментарій, що працює в портативних пристроях або комп'ютерах загального призначення. Така реалізація ідеально підходить для програм безпеки, де елементи керування, наприклад, фізичною безпекою, мережевою безпекою і адміністративними процедурами здійснюються за межами модуля, але в тому середовищі, де він встановлений. Наприклад, встановлення криптографічного модуля з Рівнем безпеки 1 в таких середовищах може бути більш економічно ефективним, ніж встановлення відповідного модуля з вищим рівнем гарантій, який забезпечує кращу безпеку SSP, дозволяючи організаціям вибрати альтернативні криптографічні рішення для задоволення вимог безпеки, де увага до середовища, в якому модуль експлуатується, має вирішальне значення для забезпечення загальної безпеки. Рівень безпеки 2. Рівень безпеки 2 посилює фізичні механізми безпеки рівня безпеки 1, додаючи вимогу надання доказів вторгнення, яка включає в себе використання покриття або печаток, що виявляють вторгнення, або стійких замків на знімних кришках або дверцятах. Покриття або печатки, що виявляють вторгнення, розміщуються на модулі таким чином, що ці покриття або печатки будуть зруйновані при спробі фізичного доступу до SSP всередині модуля. Печатки, що виявляють вторгнення, або стійкі замки розміщуються на кришках або дверцятах для захисту від несанкціонованого фізичного доступу. Рівень безпеки 2 вимагає рольової автентифікації, за допомогою якої криптографічний модуль автентифікує дозволи оператора, що приймає конкретну роль і здійснює відповідний набір послуг. Рівень безпеки 2 дозволяє програмному криптографічному модулю виконуватися в змінному середовищі, що реалізує рольове керування доступом, або, як мінімум, дискреційне керування доступом з надійним механізмом визначення нових груп і призначення обмежених прав через списки контролю доступу (тобто, ACL), і з можливістю віднесення кожного користувача до більш ніж однієї групи, а також захищає від несанкціонованого виконання, зміни та читання криптографічного програмного забезпечення. Рівень безпеки 3. На додаток до фізичних механізмів безпеки, що доводять вторгнення, які необхідні для рівня безпеки 2, рівень безпеки 3 передбачає додаткові вимоги до відбиття несанкціонованого доступу до SSP, що зберігаються в криптографічних модулях. Фізичні механізми безпеки рівня безпеки 3 повинні мати високу ймовірність виявлення і реагування на спроби прямого фізичного доступу, використання або модифікації криптографічного модуля і зондування через вентиляційні отвори або прорізи. Фізичні механізми безпеки можуть включати використання міцних корпусів і схем доказу/реагування на вторгнення, які обнуляють всі СSP, коли знімні кришки / дверцята криптографічного модуля відкриті. Рівень безпеки 3 вимагає наявність механізмів автентифікації особистості, що підвищують безпеку, яка надається механізмами рольової автентифікації, визначеними для рівня безпеки 2. Криптографічний модуль автентифікує особистість оператора і перевіряє, що ідентифікований оператор має право приймати конкретну роль і виконувати відповідний набір послуг. Рівень безпеки 3 вимагає зашифрування встановлених вручну CSP у вигляді відкритого тексту, використання довіреного каналу або використання процедури розподілу знань для введення або виведеня. Рівень безпеки 3 також захищає криптографічний модуль від компрометації безпеки через умови середовища, що виходять за межі нормального робочого діапазону модуля по напрузі і температурі. Навмисне створення умов, що виходять за межі нормального робочого діапазону може бути використане зловмисником, щоб пошкодити механізми захисту криптографічного модуля. Криптографічний модуль повинен або включити спеціальну функцію захисту від середовища, що має на меті визначити, коли перевищуються межі діапазону напруги і температури і обнулити CSP, або пройти жорстке тестування на помилки, викликані середовищем, щоб забезпечити обґрунтовану впевненість в тому, що вихід за межі нормального робочого діапазону не вплине на модуль таким чином, що безпека модуля буде скомпрометована. Методи відбиття неінвазивних атак, які реалізовані в модулі, на Рівні безпеки 3 проходять тестування. Рівень безпеки 3 для програмних криптографічних модулів визначається не у всіх розділах цього міжнародного стандарту, таким чином, найвищий рівень безпеки, який може бути досягнутий програмним модулем обмежується рівнем безпеки 2. Модулі з рівнем безпеки 3 вимагають додаткових гарантій життєвого циклу, таких як автоматизоване управління конфігурацією, детальне проектування, низькорівневе тестування, і автентифікація оператора з використанням інформації автентифікації, наданої постачальником. Рівень безпеки 4. Рівень безпеки 4 забезпечує найвищий рівень безпеки, визначений у цьому стандарті. Цей рівень включає в себе всі необхідні функції безпеки нижчих рівнів, а також розширені можливості. На Рівні безпеки 4 фізичні механізми безпеки забезпечують повний пакет захисту криптографічного модуля, що має на меті виявлення та реагування на всі несанкціоновані спроби фізичного доступу коли SSP містяться в модулі, незалежно від того подається зовнішнє живлення чи ні. Проникнення під корпус криптографічного модуля з будь-якого напрямку має дуже високу ймовірність виявлення, в результаті чого негайно обнуляються всі незахищені SSP.Криптографічні модулі з Рівнем безпеки 4 використовуються для експлуатації у фізично незахищеному середовищі. Рівень безпеки 4 вводить вимогу багатофакторної автентифікації оператора. Як мінімум, це вимагає двох з трьох наступних атрибутів: щось, що ви знаєте, наприклад, секретний пароль, щось, чим ви володєте, наприклад, фізичний ключ або токен, фізичні властивості, наприклад, біометрика. На Рівні безпеки 4 криптографічний модуль повинен включати спеціальні функції захисту від середовища, призначені для виявлення меж напруги і температури і обнуління CSP, щоб забезпечити обґрунтовану впевненість в тому, що вихід за межі нормального робочого діапазону не вплине на модуль таким чином, що безпека модуля буде скомпрометована. Методи відбиття неінвазивних атак, які реалізовані в модулі, на рівні безпеки 4 проходять тестування. Рівень безпеки 4 для програмних криптографічних модулів визначається не у всіх розділах міжнародного стандарту, таким чином, найвищий рівень безпеки, який може бути досягнутий програмним модулем обмежується рівнем безпеки 2. Проектування модулів рнівня безпеки 4 перевіряється на відповідність умовам попереднього і наступного стану і функціональній специфікації. |