2.2.2 Функціональні завдання безпеки
Вимоги безпеки, зазначені в цьому стандарті відносяться до безпечної розробки і реалізації криптографічних модулів[10]. Вимоги безпеки починаються з базового рівня завдань безпеки з подальшим підвищенням рівня завдань безпеки. Вимоги випливають з наступних високорівненвих функціональних завдань безпеки для криптографічних модулів для:
використання і правильної реалізації затверджених функцій безпеки для захисту критичної (чутливої) інформації;
захисту криптографічного модуля від несанкціонованого використання;
запобігання несанкціонованого розкриття вмісту криптографічного модуля, в тому числі CSP;
запобігання несанкціонованої та непоміченої модифікації криптографічного модуля і криптографічних алгоритмів, в тому числі несанкціонованої модифікації, заміни, вставки і видалення SSP;
відображення експлуатаційного стану криптографічного модуля;
гарантування того, що криптографічний модуль працює нормально при роботі в затвердженому режимі експлуатації;
виявлення помилок в роботі модуля і запобігання компрометації SSP в результаті цих помилок, і
гарантування належного проектування, розповсюдження і реалізації криптографічних модулів.
2.2.3 Вимоги безпеки
Загальні положення. Цей розділ визначає вимоги безпеки, які повинні бути задоволені, якщо криптографічний модуль відповідає цьому міжнародному стандарту [10]. Вимоги до безпеки охоплюють області, пов'язані з розробкою і випуском криптографічних модулів. До таких областей відносяться специфікації криптографічних модулів; інтерфейси криптографічних модулів; ролі, послуги і автентифікація; безпека програмного/програмно-апаратного забезпечення; експлуатаційне середовище, фізична безпека; неінвазивна безпеки; управління чутливими параметрами безпеки; самотестування; гарантії життєвого циклу, а також відбиття інших атак.
У таблиці 2.2.1 наведені вимоги безпеки в кожній з цих областей.
Криптографічний модуль повинен бути протестований на відповідність вимогам по кожній області, розглянутій в цьому розділі.
Криптографічний модуль повинен бути незалежно оцінений по кожній області. Деякі області забезпечують підвищення рівня безпеки шляхом накопичення вимог на кожному рівні безпеки.
У цих областях, криптографічний модуль отримає оцінку, що відображає найвищий рівень безпеки, для якого модуль виконує всі вимоги цієї області.
В областях, які не забезпечують різні рівні безпеки (тобто стандартний набір вимог), криптографічний модуль отримає оцінку, що відповідає загальній оцінці.
На додаток до отримання незалежної оцінки по кожній з областей безпеки, криптографічний модуль також отримає загальну оцінку безпеки. Загальна оцінка безпеки буде відображати найменшу з незалежних оцінок, отриманих по областях.
Багато вимог безпеки цього стандарту включають спеціальні вимоги до документації, які наведені в додатках А і Б. Усі документи, включаючи копії настанови користувача і керівництва з установки, проектні специфікації, документацію життєвого циклу повинні надаватися для криптографічних модулів, які проходять незалежну перевірку або оцінку.
Додатки В, Г, Д, Е стандарту, що аналізується, надають посилання на затверджені функції безпеки, затверджені методи встановлення чутливих параметрів безпеки, затверджені механізми автентифікації і методи тестування відбиття неінвазивних атак.
Таблиця 2.2.1 – Перелік вимог безпеки
|
Рівень безпеки 1
|
Рівень безпеки 2
|
Рівень безпеки 3
|
Рівень безпеки 4
|
Специфікація криптографічного модуля
|
Специфікація криптографічного модуля, криптографічної границі, затверджених функцій безпеки, а також нормальних і послаблених режимів експлуатації. Опис криптографічного модуля, включаючи всі апаратні, програмні та програмно-апаратні компоненти. Всі послуги надають інформацію про статус, вказуючи, коли служба використовує затверджений криптографічний алгоритм, функцію безпеки або процес затвердженим способом.
|
Інтерфейси криптографічного модуля
|
Обов’язкові та додаткові інтерфейси. Специфікація всіх інтерфейсів і всіх шляхів введення та виведення даних.
|
Довірений канал
|
Ролі, послуги і автентифікація
|
Логічне розділення обов’язкових та додаткових ролей та послуг
|
Рольова або особистісна автентифікація оператора
|
Особистісна автентифікація оператора
|
Багатофакторна автентифікація
|
Безпека програмного/програмно-апаратного забезпечення
|
Затверджений метод контролю цілісності, визначені SFMI (інтерфейси програмного/програмно-апаратного модуля), HFMI (інтерфейси гібридного програмно-апаратного модуля), HSMI (інтерфейси гібридного програмного модуля)
|
Затверджені методи тестування цілісності, що базуються на цифровому підписі або ключових кодах автентифікації повідомлення
|
Затверджений метод тестування цілісності, що базується на цифровому підписі
|
Експлуатаційне середовище
|
Незмінне, обмежене або змінне.
Керування SSP (чутливими параметрами безпеки).
|
Змінне.
Рольове або дискреційне керування доступом.
Механізм аудиту
|
|
Фізична безпека
|
Компоненти виробничого класу
|
Доказ вторгнення.
Непрозоре покриття або корпус
|
Механізми виявлення та реагування на вторгнення на кришках та дверцятах. Міцний корпус або покриття.
Захист від прямого зондування.
EFP (захист від помилок, спричинених середовищем) та EFT
(тестування на помилки, спричинені середовищем)
|
Оболонка з механізмами виявлення та реагування на вторгнення. EFP (захист від помилок, спричинених середовищем). Протидія помилковому введенню
|
Неінвазивна безпека
|
Модуль здатний відбивати неінвазивні атаки, визначені в Додатку Е
|
Документація і ефективність методів відбиття визначені в Додатку Е
|
Тестування на відбиття
|
Тестування на відбиття
|
Управління чутливими параметрами безпеки
|
Генерація випадкових бітів, генерація SSP, встановлення, введення та виведення, зберігання та обнуління
|
Автоматичне транспортування SSP або узгодження SSP з використанням затверджених методів
|
Встановлені вручну SSP можуть вводитися або виводитися у формі відкритого тексту
|
Встановлені вручну SSP можуть вводитися або виводитися або в зашифрованій формі, через довірений канал або з використанням процедури розподілення знань
|
Самотестування
|
Попереднє: тестування цілісності програмного/програмно-апаратного забезпечення, обходу та критичних функцій
|
Умовне: тестування криптографічних алгоритмів, сумісності ключової пари, завантаження програмного/програмно-апаратного забезпечення, ручного введення, умовного обходу та критичних функцій
|
Гарантії життєвого циклу
|
Управління конфігурацією
|
Система керування конфігурацією криптографічного модуля, компонентів та документації. Кожен із зазначених унікально ідентифікується і відслідковується в ході життєвого циклу
|
Автоматизована система керування конфігурацією
|
Проектування
|
Модуль дозволяє тестування всіх функцій, пов’язаних з безпекою
|
FSM
|
Модель кінцевих станів
|
Розробка
|
Вихідний код з коментарями, схеми або
HDL (мова опису апаратних засобів)
|
Мова програмування високого рівня. Мова опису апаратних засобів високого рівня
|
Коментована документація з передумовами введення в компоненти модуля, та пост-умовами, які очікуються, коли компоненти готові
|
Тестування
|
Функціональне тестування
|
Низькорівневе тестування
|
Постачання і експлуатація
|
Процедури ініціалізації
|
Процедура постачання
|
Автентифікація оператора з використанням інформації, наданої постачальником
|
Настанови
|
Настанови адміністратора і не-адміністратора
|
Відбиття інших атак
|
Специфікація відбиття атак, для яких наразі немає вимог по перевірці
|
Специфікація відбиття атак, для яких існують вимоги по перевірці
| |
Скачать 227.06 Kb.