6.3　威脅

6.3.1　威脅主體

TOE的威脅主體有：

a) 最終用戶：最終用戶是指通過授權途徑收到產品的人。他可能改變應用的交互數據或偽造應用的正常處理；

b) 設計/制造者安全管理員：有權進行密鑰管理、機具初始密鑰的安全裝載和系統軟件簽名操作的權利的操作員；他可能偽造初始密鑰或者偽造簽名以進行非法訪問。

c) 應用軟件提供者：負責應用軟件的設計和開發，他可能通過欺詐的方式改變應用軟件；應用軟件提供者被看作是威脅主體是因為他有能力在他開發的應用中插入一個特洛伊木馬；當他作為一個用戶，這個應用可能試圖去訪問TOE的內部資產或屬于其他應用的外部資產；

d) 應用軟件管理員：他負責遠程下載到機具中的最新軟件的可用性；他可能對機具進行攻擊獲取更多訪問權限。

e) 安全管理員（在個人化階段）：有權為個人化TOE而進行密鑰管理的操作員，他可能非法越權修改TOE的密鑰；

f) 入侵者：通過非授權途徑獲取產品，或者以其他方式非法訪問TOE。他希望直接或通過一個應用去：

——用偽造的資產替代至少一個TOE內部資產；

——改變TOE，以通過一個未授權的方式使用它；

——篡改TOE，以獲取應用數據和密鑰。

6.3.2　威脅描述

6.3.2.1　綜述

在5中定義的TOE應能夠抵抗下面描述的威脅。威脅主體企圖通過功能性的攻擊或者對環境的操縱，或通過特定的硬件操縱或其他的攻擊，來濫用資產。

假定攻擊（Attack，A）的方式：

a) 滲透（Infiltrate，I），A_I：通過設備的物理穿孔或設備的未授權的打開去獲取設備內的敏感信息，例如，密鑰。因此，滲透是一種基于設備物理特性的攻擊方式；

b) 監測（Monitor，Mo）A_M：通過監測電磁輻射去發現設備內的敏感信息，或監視，監聽，電子監測進入設備內的秘密數據。因此，監測是一種基于設備物理特性的攻擊方式；

c) 操縱（Manipulation，Ma），A_Ma：在非授權狀態下向設備發送一串輸入指令，以便造成設備敏感信息的泄露或以未授權的方式獲取某項服務。例如，造成設備進入其“測試模式”，以便獲取敏感信息或者操縱設備的完整性。操縱是一種基于設備邏輯特性的攻擊方式；

d) 篡改（Tamper，T），A_T：對設備的邏輯或物理特性進行未授權的篡改和變更。例如，在PIN登陸點和PIN加密點之間的PINpad(遵從ISO 9564-1的PIN登錄設備)上插入一個揭露PIN的機制。注意該篡改可能包含滲透，不僅為泄露設備內的信息，而且為了改變設備。對設備中的密鑰進行未授權的替換就是一種篡改形式。篡改是一種基于設備邏輯或物理特性的攻擊方式；

e) 替換（Substitute，S），A_S：將一個設備未授權的取代另一個設備。這個取代設備可能是一個外形相似的“偽造品”或者是一個仿冒設備，它由全部或部分正確的邏輯特性加上一些未授權的功能組成，例如揭露PIN的機制。這個取代設備可能是一個曾經合法的設備經過未授權的篡改后來替換其他合法的設備。轉移是一種替換的方式，它被用在一個更適合執行滲透和篡改攻擊的環境，或作為替換攻擊的前奏，設備可能從其操作環境中被取走。當攻擊者用更改過的替代品取代目標設備而不是真正地篡改它時，替換可以被看成是篡改的一個特例。替換是一種基于設備的邏輯和物理特性的攻擊方式。

6.3.2.2　內部TOE資產的威脅

T_INTERN.01：入侵者用某些部件已被篡改（克隆）的相似的設備來替換TOE。

T_INTERN.02：TOE的一個或更多的密碼資源由于被監測、管理疏忽或程序不當而被制造者安全管理員或安全管理員或入侵者在個人化階段或之前被更改。

T_INTERN.03：TOE的一個或更多的密碼資源在使用階段被入侵者更改，入侵者可能通過對內部功能的更改使TOE處于一種不安全的狀態。

T_INTERN.04：TOE的一個或更多的密鑰由于安全管理員濫用其特權或入侵者入侵而被更改。

T_INTERN.05：TOE的一個或更多的密鑰由于安全管理員濫用其特權或入侵者入侵而被泄露。

T_INTERN.06：用于傳輸密鑰的TOE內部連接被入侵者訪問。

T_INTERN.07：系統軟件被入侵者更改使其可以繞過安全控制。

6.3.2.3　外部TOE資產的威脅

T_EXTERN.01：威脅主體可能以某種與安全策略不一致的方式更改或替換應用軟件。

T_EXTERN.02：外部資產被暴露在特定的物理上或邏輯上控制不當的環境中，并允許下列威脅主體之一：應用提供者、應用軟件管理員或入侵者訪問它。