7.2　FCS類：密碼支持

7.2　FCS類：密碼支持

7.2.1　密鑰生成(FCS_CKM.1.1(1))

FCS_CKM.1.1(1) 移動終端的安全功能應根據符合下列標準[賦值：標準列表]的一個特定的密鑰生成算法[賦值：密鑰生成算法]和規定的密鑰長度[賦值：密鑰長度]來生成密鑰。

7.2.2　密鑰生成(WLAN)(FCS_CKM.1.1(2))

FCS_CKM.1.1(2) 移動終端的安全功能應使用FCS_RBG_EXT.1中規定的隨機比特生成器，按照規定的密鑰生成算法[賦值：密鑰生成算法]和規定的密鑰大小[賦值：密鑰長度]生成密鑰。

7.2.3　密鑰建立(FCS_CKM.2.1(1))

FCS_CKM.2.1(1) 移動終端的安全功能應根據符合下列標準[賦值：標準列表]中的一個特定的密鑰建立方法[賦值：密鑰建立方法]來執行密鑰建立。

7.2.4　密鑰分發(FCS_CKM.2.1(2))

FCS_CKM.2.1(2) 移動終端的安全功能應根據符合下列標準[賦值：標準列表]中的一個特定的密鑰分發方法[賦值：密鑰分發方法]來分發密鑰。

7.2.5　密鑰支持(FCS_CKM_EXT.1)

FCS_CKM_EXT.1.1 移動終端的安全功能應支持[選擇：硬件隔離，硬件保護]的密鑰大小為[選擇：密鑰長度]的根加密密鑰。
FCS_CKM_EXT.1.2 移動終端的安全功能上的系統軟件應只能通過密鑰請求[選擇：加密/解密，密鑰分發]，不能夠讀取，導入，導出根加密密鑰。

7.2.6　數據加密密鑰(FCS_CKM_EXT.2)

FCS_CKM_EXT.2.1 所有的數據加密密鑰應按照[選擇：密鑰長度]AES密鑰的安全強度對應的熵來隨機生成。

7.2.7　密鑰加密密鑰(FCS_CKM_EXT.3)

FCS_CKM_EXT.3.1 所有密鑰加密密鑰(KEKs)應為[賦值：密鑰長度]密鑰，至少相應于被KEK加密的密鑰的安全強度。

7.2.8　密鑰銷毀(FCS_CKM_EXT.4)

FCS_CKM_EXT.4.1 移動終端的安全功能應按照規定的密鑰銷毀方法[選擇：密鑰銷毀方法]銷毀密鑰。

7.2.9　TSF擦除(FCS_CKM_EXT.5)

FCS_CKM_EXT.5.1 移動終端的安全功能應按照規定的數據擦除方法[選擇：數據擦除方法]擦除所有受保護數據。

7.2.10　密碼鹽值生成(FCS_CKM_EXT.6)

FCS_CKM_EXT.6.1 移動終端的安全功能應使用滿足FCS_RBG_EXT.1的RBG生成所有的鹽值。

7.2.11　密碼運算(FCS_COP.1)

FCS_COP.1.1(1) 移動終端的安全功能應按照滿足下列標準[賦值：標準列表]規定的密碼算法[賦值：密碼算法]和密鑰長度[賦值：密鑰長度]執行加密/解密。
FCS_COP.1.1(2) 移動終端的安全功能應按照滿足下列標準[賦值：標準列表]規定的密碼算法[賦值：密碼算法]和密鑰長度[賦值：密鑰長度]來執行[賦值：密碼散列]。
FCS_COP.1.1(3) 移動終端的安全功能應按照規定的密碼算法[賦值：密碼算法]執行密碼簽名服務(生成和驗證)。
FCS_COP.1.1(4) 移動終端的安全功能應按照滿足下列標準[賦值：標準列表]規定的密碼算法[賦值：密碼算法]和密鑰長度[賦值：密鑰長度]來執行散列消息鑒別。

7.2.12　HTTPS協議(FCS_HTTPS_EXT.1)

FCS_HTTPS_EXT.1.1 移動終端的安全功能應執行符合標準的HTTPS協議。
FCS_HTTPS_EXT.1.2 移動終端的安全功能應執行使用TLS的HTTPS協議。

7.2.13　初始向量生成(FCS_IV_EXT.1)

FCS_IV_EXT.1.1 移動終端的安全功能應按照規定的加密模式[賦值：加密模式]的要求來生成初始向量。

7.2.14　隨機位生成器(FCS_RBG.1)

FCS_RBG_EXT.1.1 移動終端的安全功能應產生TSF密碼功能中所使用的所有隨機數，隨機數產生器應符合國家標準和國家密碼管理機構相關標準要求。

7.2.15　密碼算法服務(FCS_SRV_EXT.1)

FCS_SRV_EXT.1.1 移動終端的安全功能應向應用提供一種機制來請求TSF執行密碼運算[賦值：密碼運算列表]。

7.2.16　密鑰存儲(FCS_STG_EXT.1)

FCS_STG_EXT.1.1 移動終端的安全功能應為非對稱私鑰和[選擇：對稱密鑰，持久秘密，沒有其他密鑰] 提供[選擇：硬件，硬件隔離，基于軟件]的安全密鑰存儲。
FCS_STG_EXT.1.2 移動終端的安全功能應能根據[選擇：用戶，管理員]和[選擇：運行在TSF上的應用，無其他項目]請求，將密鑰/秘密導入到安全密鑰存儲中。
FCS_STG_EXT.1.3 移動終端的安全功能應能根據[選擇：用戶，管理員]的請求，銷毀存儲在安全密鑰存儲中的密鑰/秘密。
FCS_STG_EXT.1.4 移動終端的安全功能應只允許導入了密鑰/秘密的應用才能使用密鑰/秘密。例外的情況只能是被[選擇：用戶，管理員，普通應用開發者]明確授權。

7.2.17　存儲密鑰的加密(FCS_STG_EXT.2)

FCS_STG_EXT.2.1 移動終端的安全功能應通過KEKs加密所有的DEKs和KEKs和 [選擇：長期信任的信道密鑰材料，所有基于軟件的密鑰存儲，沒有其他密鑰] ，即是[選擇： 通過REK利用 [選擇：由REK加密，由鏈接到REK的KEK加密]來保護，通過REK和口令利用[選擇：由REK和口令派生的KEK加密，由鏈接到REK的KEK和口令派生KEK加密]來保護].

7.2.18　存儲密鑰的完整性(FCS_STG_EXT.3)

FCS_STG_EXT.3.1 移動終端的安全功能應通過以下方式[賦值：方式列表]來保護DEKs和KEKs和 [選擇：長期信任的信道密鑰材料，所有基于軟件的密鑰存儲，沒有其他密鑰]的完整性。

7.2.19　EAP-TLS客戶端協議(FCS_TLSC_EXT.1)

FCS_TLSC_EXT.1.1 移動終端的安全功能應執行TLS 1.0和[選擇：TLS 1.1, TLS 1.2, 沒有其他TLS版本]中支持的以下密碼套件：[賦值：密碼套件列表]。
FCS_TLSC_EXT.1.2 移動終端的安全功能應驗證服務器證書為EAP-TLS提供了[選擇： 鏈接到指定的CAs中的一個，包括可接受的鑒別服務器證書的指定FQDN]。
FCS_TLSC_EXT.1.3 如果對方的證書是無效的，移動終端的安全功能應不建立可信信道。

7.2.20　TLS客戶端協議(FCS_TLSC_EXT.2)

FCS_TLSC_EXT.2.1 移動終端的安全功能應執行TLS 1.2中支持的以下密碼套件：[賦值：密碼套件列表]。
FCS_TLSC_EXT.2.1 移動終端的安全功能應驗證給出的標識與RFC 6125規定的參考標識相匹配。
FCS_TLSC_EXT.2.3 如果對方的證書是無效的，移動終端的安全功能應不建立可信信道。