本标准规定了四个递增的、定性的安全要求等级，以满足密码模块再不同应用和工作环境中的要求。
GM/T0028-2014 GM/T0028-2014 参考文献 目次 「1 FIPS PUB1402密码模块安全要求 前言 引言 DQ鲁 ………………Ⅳ 范围 2规范性引用文件 3术语和定义 4缩略语 5密码模块安全等级 5.1概述 52安全一级…… ………………………………………………………12 5.3安全二级…………………………………… ………12 5,4安全三级……… ………13 5.5安全四级… 6功能安全目标…… 4B4a444a44 7安全要求 7.1通用要求………… 7.2密码模块规格 16 7.3密码模块接口…………………………… 中当s普业分唱音普音李甲中卡 74角色、服务和鉴别……………, s…19 7.5软件/固件安全……… 23 运行环境 7.7物理安全 ……………………………………………………26 7.8非入侵式安全 7.9敏感安全参数管理… 自虚bbbd山dp ……B………32 7.10自测试……… 7.11生命周期保障 37 7.12对其他攻击的缓解……… 附录A(规范性附录)文档要求… …………………4 A.1用途 A.2条款…………………………………… ………42 附录B(规范性附录)密码模块安全策略……………………… B.1用途………… B.2条款 附录C(规范性附录)核准的安全功能 ……51 C1用途… C.2条款 GM/T0028-20 GM/T0028-2014 附录D(规范性附录)核准的敏感安全参数生成和建立方法 a53 D.1用途…… D.2条款……… 附录F (规范性附录) 附录E(规范性附录)核准的鉴别机制…………………… 非入侵式攻击缓解方法 E.1用途………… 54 E.2鉴别机制… 牵垂量壶份 附录F(规范性附录)非入侵式攻击缓解方法…………………………………… F.1用途 F.1用途…… F2非人侵式攻击………… ……55 本附录给出了适用于本标准的非入侵式攻击缓解方法。 参考文献 F2非入侵式攻击 下面简要介绍了几类常见的非入侵式攻击及其缓解方法 能量分析:能量分析攻击可以分为两大类,简单能量分析(SPA)和差分能量分析(DPA)。SPA需 要直接(例如,通过视觉)分析密码模块在执行密码进程中各指令的能量消耗模式。通过监视密码模块 能量消耗的变化,可以发现所执行密码算法的模式和实现方法,从而获取密钥值。一阶DPA具有相同 的日的,但是为了分析密码模块能量消耗的变化,使用了统计方法(例如,均值差、相关系数)对能量消耗 进行统计分析,从面获取密钥值。二阶/高阶DPA针对采用防御技术的密码模块,通过分析密码模块 两处/多处能量消耗的变化,使用统计方法对能量消耗进行统计分析,从面获取密钥值。现有的降低这 种攻击风险的方法有:使用电容、使用内部电源、随机化密码算法或进程中的指令序列、采用双轨预充电 电路来平滑能量消耗;或者采用掩码的方法,改变导致能量消耗变化的中问值 计时分析:计时分析攻击依赖于密码模块执行时间的精确测量与密码算法或过程有关的特殊数学 操作之间的关系。对收集的耗时信息进行分析可以确定模块的输入和密钥之间的关系。通过对此关系 的分析,从而导密钥和关键安全参数。计时分析政击假定攻击者具有有关密码模块的设计知识。通 过控制算法或进程中各指令的运行,可以降低过程中的时间波动这是降低这种计时攻击风险的一种 方法 误注入;错误注入攻击使用外部力量,如对微波极端温度和电压的控制,引发密码模块内部运行 错误。对这些错误及其模式的分析可以用于密码模块的逆向工程,揭示密码算法的特性、实现以及密钥 值。选择适当的物理安全特性可以降低这种攻击的风险。 电磁泄露:电磁泄露攻击是指对正在运行的密码模块和辅助设备发出的电磁信号进行远程或外部 探测和接收。通过此类攻击可以获得敲击键盘的信息,显示屏上显示的消息,以及其他形式的关键安全 信息(例如,密钥信息)。通过对包括网线在内的全部组件添加屏蔽套,可以降低这种攻击的风险。屏蔽 套可以减少(在某些情况下可以阻止)电磁信号的辐射。 GM/T0028-2014 GM/T0028-2014 附录E 前言 (规范性附录) 核准的鉴别机制 本标准按照GB/T1.1-2009给出的规则起草 E.1用途 木标准使用重新起草法参考ISO19790:2012《密码模块安全要求》编制,与ISO19790:2012的 致性程度为非等效。 本附录给出了适用于本标准的鉴别机制列表。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由密码行业标准化技术委员会提出并归口。 E2鉴别机制 本标准的主要起草单位:中国科学院数据与通信保护研究教育中心、北京握奇智能科技有限公司、 北京数字认证股份有限公司、赞嘉电子科技(北京)有限公司、飞天诚信科技股份有限公司、北京海泰方 a)GB/T15843.2-2008信息技术安全技术实体鉴别第2部分:采用对称加密算法的 圆科技有限公司、北京华大智宝电子系统有限公司、国家密码管理局商用密码检测中心、上海格尔软件 机制 股份有限公司、北京创元天地科技有限公司。 b)GB/T158433-2008信息技术安全技术实体鉴别第3部分:采用数字签名技术的 木标准的主要起草人:高能、荆继武、汪婧、屠晨阳、汪雪林、陈国、詹榜华、张嘉纯、朱鹏飞、蒋红宇 机制 陈跃、罗鹏、谭武征、张万涛、刘丽敏、王跃武、向继、王琼宵、林璟锵、夏鲁宁。 c)GB/T15843.4-2008倍息技术安全技术实体鉴别第4部分:采用密码校验函数的 机制 d)GB/T15843.5-2008信息技术安全技术实体鉴别第5部分:使用零知识技术的机制 Ⅲ GM/T0028—2014 GM/T0028-2014 引言 附录D 规范性附录) 核准的敏感安全参数生成和建立方法 在信息技术中,密码机制的使用需求日益增强,比如数据需要密码机制的保护以防止非授权的泄 露或操控。密码机制可以用于支持实体鉴别和不可抵赖等安全服务,密码机制的安全性与可靠性直接 取决于实现它们的密码模块 D.1用途 本标准规定了四个递增的、定性的安全要求等级,以满足密码模块在不同应用和工作环境中的要 求。本标准规定的安全要求涵盖了有关码馍块的安全设计、实现、运行与处置的安全域。这些域包 本附录给出了适用于本标准的敏感安全参数生成和建立方法列表 密码模块规格,密码模块接,角色、鉴别和服务,软件/固件安全运行环境,物理安全,非入侵安全, D.2条款 敏感安全参数管理,自测减,生命周携稞障,以及对其他攻山的鳜解 尽管本标准对密码模块提出了安全要求,但是遵从本标准,并不能确保密码模块被正确使用和部署 D2.1敏感安全参数生成 以提供安全和对信息的保。密码模块的操作员在使用或部署模块时,行责任确保模块提供的安全保 护是充分的,且对信息所有者而言是可接受的,同时任何残余风险要告知信息所有者且被接受 符合国家密码管理董部门对敏感安全参数生成的要求。 炎似地,计算机与电信系统中使用密码模块不足以保证整个系统的安全性。密码模块整体安全 D22敏感安全参数建立方法 等级必须合进取使得其捉供的安全等级与模块所处的应用和环所需的安全求及模块提供的 安全服务相适应。机构的责任部门应当确保使用密码模块的计算机与电信系统,为给定的应用与环境 GMT0003.-2012M2圆曲线公钥密码算法第3部分:密钥交换协议 提供可接受的安全等级 GM/T0028-2014 GM/T0028-2014 C28随机比特生成器 按照国家密码管理主管部门规定的要求生成随机比特,并符合GMT005-2012,且随机比特生 密码模块安全技术要求 成器应取得国家密码管理主管部门的认可 1范围 本标准针对用于保护计算机与电信系统内敏感信息的安全系统所使用的密码模块,规定了安全要 求。本标准为密码模块定义了4个安全等级,以满足敏感数据以及众多应用领域的、不同程度的安全需 求。针对密码模块的11个安全域,本标准分别给出了四个安全等级的对应要求,高安仝等级在低安全 等级的基础上进一步提高了安全性。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版木适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 本标准的附录C、附录D和附录E所列出的文件 3术语和定义 下列术语和定义适用于本文件 3.1 访问控制列表 access control list 允许访问一个对象的权限列表 3.2 管理员指南 administer guidance 密码主管和/或其他管理角色使用的书面资料,用于正确地配置、维护和管理密码模块。 3.3 批准机构 授权批准和/或评估安全功能的机构。批准机构的职能是评估和批准安全功能,并不是测试密码模 块是否符合本标准 3.4 核准的数据鉴别技术 approved data authentication technique 经核准的、基于数字签名、消息鉴别码或带密钥的杂凑(如HMAC)等方法的数据鉴别技术, 3.5 核准的完整性技术 approved integrity techni 经核准的、基于杂凑、消息鉴别码或数字签名算法的完整性技术 3 核准的工作模式 approved mode of operation 密码模块的一种工作模式,在该模式下只能使用核准的安全功能,不要同密码算法的工作模式混 淆:如 AES CCM模式 3.7 核准的安全功能 approved security function 附录C中给出的安全功能,如密码算法 GM/T0028-2014 GM/T0028—2014 非对称密码技术 asymmetric cryptographic technique 使用两个相关变换的密码技术:由公钥定义的公开变换以及由私钥定义的私有变换。这两个变换 附录C 具有以下性质:在给定的有限时间内以及给定的计算资源下,由给定的公开变换推导出私有变换在计算 (规范性附录) 上是不可行的 核准的安全功能 3.9 旁路能力 bypass capability C.1用途 服务所具有的部分或全部绕过密码功能的能力。 3.10 本附录给出了适用于本标准的核准的安全功能列表,包括分组密码、流密码、非对称密钥、消息鉴别 证书 certificate 码、杂凑函数、实体鉴别、密钥建立和随机数生成器 基于认证机构的私钥或对称密钥产生的无法伪造的实体数据 3.11 C2条款 破坏 compromise C.2.1分组密码 非授权地公开、修改替换或使用关键敏感数据,或者非授权地修改或替换公共安全参数 3.12 )GM/T0022012sM4分组密码算法 条件自测试 conditional self-test b)GB/179642008信息安全技术分组密码算法的工作模式 当规定的测试条件出现时由密码模块执行的测试 C.2.2流密码 3.13 机密性 confidentiality GM/T002012祖冲之序列密码算法 信息不提供或泄漏给非授权实体的性质。 C.23非对称算法和技术 3.14 配置箐理系统 configuration management system;CMs a)GM/T0003-2012SM2椭圆曲线公钥密码算法 通过控制奢码模块的硬件、软件和文档的修改,实现对密码模块全特性与安全保障进行管理的 b)M/T9002012SM2吗算法使用规范 系统 c)GM/T10-2012M2码算法加密等名消息语法规范 3.15 d)GMT015-—2012基于SM2密码算法的数字证书格式规范 控制信息 control information C.2.4消息鉴别码 输人到密码模坎用于控制其操作的信息 3.16 符合国家密码管迎主管部门对消息鉴别码的要求 关键安全参数 critical security parameter C.2.5杂凑函数 与安全相关的秘密信息,这些信息被泄露或被修改后会危及密码模块的安全性。关键安全参数可 以是明文形式的也可以是经赳加密的。 GM/T0004-2012SM3密码杂凑算法 3.17 C26实体鉴别 密码主管 cryptographic officer 由个体或代表个体操作的进程(主体)所担任的角色,该角色负责执行密码模块的密码初始化或管 a)GHB/T15843.22008信息技术安全技术实体鉴别第2部分:采用对称加密算法的 理功能。 机制 b)GB/T15843.32008信息技术安全技术实体鉴别第3部分:采用数字签名技术的 密码算法 cryptographic algorithn 机制 一个多输人单输出且定义明确的计算过程,输入可以包括密钥 c)GB/T158434-2008信息技术安全技术实体鉴别第4部分:采用密码校验函数的 3.19 机制 密码边界 cryptographic boundary d)GB/T15843.5-2008信息技术安全技术实体鉴别第5部分:使用零知识技术的机制 明确定义的连续边线,该边线建立了密码模块的物理和/或逻辑边界,并包括了密码模块的所有硬 件、软件、和/或固件部件 C.2.7密钥管理 符合国家密码管理主管部门对密码管理的要求。 GM/T0028-2014 GM/T O 描述所有错误状态和状态指示。 描述操作初始化,如果适用的话 密码杂凑函数 cryptographic hash function B.2.11生命周期保障 又称杂凑算法密码散列算法或哈希算法。该算法将一个任意长的比特串映射到一个固定长的比 特串,且满足下列三个特性 阐明安全安装、初始化、启动及运行模块的流程。 为一个给定的输出搜出能映射到该输出的一个输入是计算上困难的; 阐明所有维护要求 为一个给定的输入找出能映射到同一个输出的另一个输入是计算上困难的 提供管理员和非管理员指南(可以是单独的文档)。 要发现不同的输人映射到同一输出是计算上困难的。 B2.12其他攻击的缓解 密钥 cryptographic key 列出密码模块能够缓解的其他攻击。 控制密码算法运算的关键信息或参数。 描述所列出缓解技术的有效性 3,22 列出安全性相关的指南和约束条件。 密钥分量 cryptographic key component 使用秘密共享技术将密钥分剖为多个部分,每个部分称为密钥分量 密码模块crs chic 模块 module 实现了安全功能的硬件、软件和/或固件的集合,并且被包含在密码边界内 3.24 密码模块安全策略 cryptographic module security policy 密码模块运行应遵从的安全规则的明确说明,其中包含了从本标准的要求导出的规则以及供应商 要求的规则 3.25 数据路径 data path 数据通过的物理或逻辑通道,多条逻辑数据路径可以共用一条物理数据路径 3.26 差分能量分析 differential power analysis 种密码分析方法,使用统计方法和纠错技术等对密码设备功耗的变化进行分析,以提取密钥的有 关信息 3.27 数字签名 digital signature 签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果,该结果只能用签名者的公钥进行 验证,用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。 电磁辐射 electromagnetic emanations 包含有用信息的信号,一旦被截取与分析后,可能会泄露被信息处理设备传输、接收、处理或操作的 信息 电子密钥输入 electronic key entry 采用电子方式,将敏感安全参数或密钥分量输入到密码模块的操作 3.30 经过加密的密钥 encrypted key 使用核准的安全功能加密过的密钥,它被认为是受保护的。 GM/T0028-2014 GM/T0028-2014 如果模块要求操作员利用拆卸存迹封条或安全装置,这些装置在模块的整个生命周期中 实体 entity 都可能被操作员利用或修改,阐明以下信息:B.2.2要求的相关照片或说明,以反映模块的 人、分组、设备或进程。 配置或构造如规格所述;可以提供其他照片或说明,以反映其他配置; 如果为了满足不透明的要求,需要用填充面板覆盖未使用的插槽或开口,则贴着拆卸存迹 熵 entropy 封条的填充面板应包含在图片或说明中。填充面板应包含在零件列表中。 对封闭系统的无序性随机性或可变性的度量。随机变量X的熵是指对通过观察X所得到的信息 提供照片或说明,标识出为了满足物理安全要求的,密码模块中使用的所有拆卸存迹封条 量的数学度量。 或安全装置的准确位置。 3.33 给出密码模块需要的拆卸存迹封条或安全装置的总数(例如,五个拆卸存迹封条和两个不 环境失效保护 environmental failure protection 透光屏幕)。提供标明了拆卸存迹封条或安全装置准确位置的照片或说明,要求对这些照 为了防止环境条件超出模块正常运行范围对密码模块安全性的破坏,在模块上实现的特性 片或说明进行逐条编号,并且照片或说明的数目与拆卸存迹封条或安全装置的总数相同 (实际的拆卸存迹封条或安全装置不要求编号)。 环境失效测试 environmental failure testing 如果柝卸存迹封条或安全装置是从模块供应商处可重新订购的零件,安全策略将标识从 使用特定的测试方法来保障密码模块的安全性,不会因环境条件超出模块正常运行范围而遭到 模块供应商处可以获得的封条、安全装置的零件号。重新配置后,模块操作员可能需要移 破坏。 除原有的并引人新的拆卸存迹封条或安全装置。 3.35 阐述操作员角色,该角色负责未使用封条的全程控制和安全,并直接控制和观察密码模块 错误检测码 error detection code 可能发生的改变。例如,当模块需要移除或者安装拆卸存迹封条或安全装置以进行重新 由待测数据计算得到的冗余位构成的值,用于检测数据是否被无意改动过,但不纠正。 配置时,为了确保模块的安全性以及确保模块修改后能够恢复到本标准核准的状态,该角 3.36 色应当全程监控。 可执行形式 executable form 如果拆卸存迹封条或安全装置是可以被移除或重新安装的,应给出明确的说明,其中包含 代码的一种形式,在该形式下,软件或固件完全由模块的运行环境管理和控制,而且不需要编译(如 关于模块的设备或表面如何准备申请安装新的拆卸存迹封条或安全装置。 没有源代码、日标代码或即时编译代码) 阐述所实现的错误注入缓解方法。 3.37 错误注入 fault induction B.28非入侵式安全 通过应用短暂的电压、辐射、激光或时钟偏移技术,导致硬件中的操作行为发生变化的技术 列出模块所采用的所有国家相关部门规定的非入侵式攻击的缓解技术,以保护模块关键安全 3.38 参数防止非入侵式攻击 有限状态模型 finite state model;rsM 描述上述缓解技术的有效性 序列机的一种数学模型,该模型包含输人事件的有限集合、输出事件的有限集合、状态的有限集合 将状态和输入映射到输出的函数、将状态和输入映射到状态的函数(状态转移函数)以及初始状态的 B29敏感安全参数管理 说明。 —提供一个密钥表格,用以阐明密钥类型、比特强度、安全功能、安全功能证书号、密钥生成的地 3.39 点和方式密钥是否被导入或导出、任何敏感安全参数生成与建立方法以及与其相关的其他 固件 firmware 密钥。 密码模块的可执行代码,它存储于硬件并在密码边界内,在执行期间不能动态地写或修改。存储硬 列出一个其他敏感安全参数以及它们是如何生成的表格。 件可以包括但不限于PROM、 EEPROM、 FLASH、固态存储器、硬盘驱动器等。 阐明核准的和非核准的随机比特生成器 描述随机比特生成器输出的使用。 固件模块 firmware module 阐明随机比特生成器的熵源 仅由固件组成的模块。 阐明电子和手动密钥输入输出方法。 3.4 闻明敏感安全参数存储技术 功能规格 functional specification 阐明不受保护的敏感安全参数的置零方法和原理,以及操作员的启动能力。 刈端口和接口的高层描述,以及对密码模块行为的高层描述 3.42 B2.10自测试 功能测试 functional testing 提供带有确定参数的运行前自测试和条件自测试的列表,并列出测试执行的条件。 对功能规格中定义的密码模块功能的测试。 阐明自测试的时间周期,以及关于在两次自测试周期之间可能导致模块运行中断的任何条件 的策略