GB/T 38625-2020 信息安全技術 密碼模塊安全檢測要求6.7 物理安全
6.7.1 物理安全實體
6.7.1.1 檢測目的
物理安全實體檢測包括7個測評單元,檢測密碼模塊是否采用了適用的物理安全機制以限制對密碼模塊非授權的物理訪問、使用或修改,以及物理安全文檔是否按照GB/T37092-2018規定的要求編寫。
6.7.1.2 測評單元[07.01]
安全要求:
密碼模塊應采用物理安全機制以限制對密碼模塊內容的非授權物理訪問,并阻止對已安裝密碼模塊的非授權使用或修改(包括整個密碼模塊的替換)。
送檢材料要求:
送檢文檔中應描述模塊采用的適用的物理安全機制。模塊中所有的硬件、軟件、固件及數據(包括未經加密的加密密鑰和未經加密的關鍵安全參數)均應受到保護。
檢測程序要求:
a)檢測人員應核實送檢文檔描述了模塊使用的適用的物理安全機制。
b)檢測人員應核實所述的物理安全機制被實現。
6.7.1.3 測評單元[07.02]
安全要求:
密碼邊界內的所有硬件、軟件、固件、數據分量以及敏感安全參數應受到保護。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。
6.7.1.4 測評單元[07.03]
安全要求:
本條中的要求應適用于硬件和固件密碼模塊,以及混合密碼模塊中的硬件和固件部件。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。
6.7.1.5 測評單元[07.04]
安全要求:
本條的要求應適用于已定義的密碼模塊物理邊界。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。
6.7.1.6 測評單元[07.05]
安全要求:
依據密碼模塊的物理安全機制,企圖進行非授權物理訪問、使用或修改的行為應在以下時間點以很高的概率被檢測到:
– 在上述企圖行為之后,通過其留下的可見標志(例如,拆卸證據),和/或
– 在上述企圖行為過程中。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。
6.7.1.7 測評單元[07.06]
安全要求:
(接安全要求[07.05])并且密碼模塊應立即采取恰當的措施保護敏感安全參數。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。
6.7.1.8 測評單元[07.07]
安全要求:
密碼模塊物理安全文檔應按照GB/T37092-2018中A.2.7規定的要求編寫。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。
6.7.2 通用物理安全要求
6.7.2.1 檢測目的
通用物理安全要求檢測包括26個測評單元,檢測送檢的密碼模塊的物理實體以及所實現的物理安全機制是否滿足 GB/T 37092-2018 規定的通用物理安全等級要求。
6.7.2.2 測評單元[07.08]
安全要求:
下列要求(安全要求[07.09]~安全要求[07.13])應適用于所有密碼模塊物理實體。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條測評單元[07.09]~測評單元[07.13]的一部分進行檢測。
6.7.2.3 測評單元[07.09]
安全要求:
密碼模塊文檔應闡述密碼模塊的物理實體以及所實現的物理安全機制達到的安全等級。
送檢材料要求:
送檢文檔應按照 GB/T 37092-2018 中7.7.1要求明確說明密碼模塊的物理實體,包括單芯片密碼模塊、多芯片嵌入式模塊,或多芯片獨立式模塊。
檢測程序要求:
a)檢測人員應核實送檢廠商標識了密碼模塊的類型,它應是 GB/T 37092-2018 中7.7.1定義的三種類型之一,單芯片密碼模塊,多芯片嵌入式密碼模塊,或多芯片獨立式模塊。檢測人員應獨立確定物理實體滿足下述三種類型之一。三個物理實體的基本特點和常見例子概括如下:
– 單芯片密碼模塊。特點:單個集成電路(IC)芯片構成的模塊,該芯片可以作為獨立模塊使用,或者可以嵌入可能沒有物理保護的外殼或其他模塊中。這個單芯片由片裝和外部輸入/輸出連接器組成,其中片裝使用統一的外部材料如塑料或陶瓷包裝。例如:單IC芯片、單IC芯片智能卡或者包含實現密碼功能的單IC芯片的其他系統。
– 多芯片嵌人式密碼模塊。特點:模塊由兩個或兩個以上互相連接的IC芯片構成,并物理嵌入到其他產品或未被物理保護的外殼中。例如:適配器和擴展板。
– 多芯片獨立密碼模塊。特點:兩個或兩個以上互相連接的IC芯片嵌入到完全受到物理保護的外殼中。例如:加密路由器、安全無線電話和USB令牌。
b)檢測人員應核實送檢文檔標明了模塊應達到的安全級別。檢測人員應獨立確定模塊實際滿足的安全級別。
6.7.2.4 測評單元[07.10]
安全要求:
每當為物理安全進行置零操作時,應在極短的時間內執行置零,以防止敏感數據在檢測到拆卸行為與密碼模塊置零之間泄露出去。
送檢材料要求:
送檢材料應明確說明檢測到拆卸行為后,置零操作的響應時間。
檢測程序要求:
a)檢測人員應核實送檢文檔標明了檢測到拆卸行為后的置零操作的響應時間。
b)檢測人員應核實置零響應機制屬實。
6.7.2.5 測評單元07.11]
安全要求:
如果密碼模塊包含的維護角色需要對密碼模塊內容進行物理訪問,或者密碼模塊被設計成允許物理訪問(例如,被密碼模塊廠商或其他授權個體訪問),那么應定義維護訪問接口。
送檢材料要求:
送檢文檔應描述模塊使用的維護訪問接口。
檢測程序要求:
a)檢測人員應核實送檢文檔描述了維護訪問接口。
b)檢測人員應核實送檢文檔與實現一致。
6.7.2.6 測評單元[07.12]
安全要求:
如果密碼模塊包含的維護角色需要對密碼模塊內容進行物理訪問,或者密碼模塊被設計成允許物理訪問(例如,被密碼模塊廠商或其他授權個體訪問),那么維護訪問接口應包括所有通向密碼模塊內容的物理訪問路徑,包括任何封蓋或門。
送檢材料要求:
送檢文檔應說明維護訪問接口,包括任何封蓋或門。
檢測程序要求:
檢測人員應核實送檢文檔提供了維護訪問接口,包括任何封蓋或門。
6.7.2.7 測評單元[07.13]
安全要求:
如果密碼模塊包含的維護角色需要對密碼模塊內容進行物理訪問,或者密碼模塊被設計成允許物理訪問(例如,被密碼模塊廠商或其他授權個體訪問),那么維護訪問接口內包含的任何封蓋或門應使用適當的物理安全機制來進行安全保護。
送檢材料要求:
送檢文檔應說明維護訪問接口,包括任何封蓋或門。
檢測程序要求:
檢測人員應核實使用了合適的物理安全機制保護維護訪問接口中所有的可拆除封蓋和門。
6.7.2.8 測評單元[07.14]
安全要求:
下列要求(安全要求[07.15]~安全要求[07.16])應適用于安全一級的所有密碼模塊。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.15]~測評單元[07.16]的一部分進行檢測。
6.7.2.9 測評單元[07.15]
安全要求:
密碼模塊應由產品級部件組成,這些產品級部件采用了標準鈍化技術,例如,對整個密碼模塊電路使用保形涂料或封閉底漆,以防止環境損害或其他物理損害。
送檢材料要求:
模塊應是一個標準的、產品級質量的IC芯片,并應達到商業級規范中對電源、溫度、可靠性、沖擊和振動等的要求。模塊應對于整個芯片使用標準鈍化技術。送檢材料中應說明IC芯片的質量。如果使用的芯片不是標準的設備,也應說明其鈍化設計。
檢測程序要求:
a)通過審查送檢文檔和檢查模塊,檢測人員應核實模塊包含由統一外部材料和標準連接器組成的標準集成電路。通過送檢文檔,檢測人員應核實模塊內的芯片在供電和電壓范圍、溫度、可靠性、沖擊和震動方面達到商業級別。
b)通過審查送檢文檔,檢測人員應核實模塊中應用了標準鈍化。鈍化需要應用于整個芯片電路,以保護其免受環境或其他的物理破壞。如果未使用標準鈍化,文檔中應提供相關信息以表明
6.7.2.10 測評單元[07.16]
安全要求:
當維護密碼模塊時,應由操作員按照規定的程序執行置零,或由密碼模塊自動執行。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.10]的一部分進行檢測。
6.7.2.11 測評單元[07.17]
安全要求:
除了安全一級的通用要求,安全二級的所有密碼模塊還應滿足下列要求(安全要求[07.18]~安全要求[07.20])。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.18]~測評單元[07.20]的一部分進行檢測。
6.7.2.12 測評單元[07.18]
安全要求:
在嘗試物理訪問密碼模塊時,密碼模塊應提供顯式的拆卸證據(例如,在封蓋、外殼或封條上)。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
a)本條作為單芯片實體進行檢測,參考測評單元[07.34]和測評單元[07.35]的部分內容;
b)本條作為多芯片嵌入式實體進行檢測,參考測評單元[07.44]和測評單元[07.45]的部分內容;
c)本條作為多芯片獨立式實體進行檢測,參考測評單元[07.62]和測評單元[07.63]的部分內容。
6.7.2.13 測評單元[07.19]
安全要求:
拆卸存跡的材料、涂層或外殼應在可見光譜內(即波長范圍為400nm~750nm)是不透明或者半透明的,從而防止對密碼模塊關鍵區域的內部操作進行信息收集。
送檢材料要求:
送檢材料應明確說明拆卸存跡的材料、涂層或外殼在可見光范圍內應為不透明或半透明的。
檢測程序要求:
檢測人員應通過審查送檢文檔和檢查模塊,核實拆卸存跡材料、涂層或外殼在可見光范圍內是不透明或半透明的。
6.7.2.14 測評單元[07.20]
安全要求:
如果密碼模塊包含通風孔或縫,那么孔或縫應具有特殊的構造,從而防止通過直接觀察密碼模塊內部的構造或部件進行信息收集。
送檢材料要求:
如果被封蓋或外殼包含的模塊含有任何通風孔或縫,則這些通風孔或縫應具有特殊的構造,從而防止通過直接觀察外殼內部的構造或部件進行信息收集。送檢文檔應描述通風的物理設計方法。
檢測程序要求:
通過審查送檢文檔和檢查模塊,檢測人員應核實模塊的封蓋或外殼是否含有通風孔、縫或其他開口,如果有,則應核實其構造為可防止通過直接觀察封蓋或外殼內部的構造或部件進行信息收集。
6.7.2.15 測評單元[07.21]
安全要求:
除了對安全一級和二級的通用要求,安全三級的所有密碼模塊還應滿足下列要求(安全要求[07.22]~安全要求[07.28])。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.22]~測評單元[07.28]的一部分進行檢測。
6.7.2.16 測評單元[07.22]
安全要求:
如果密碼模塊含有任何門或封蓋,或者定義了維護訪問接口,那么密碼模塊應包含拆卸響應與置零電路。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
a)本條對于通用要求而言作為測評單元[07.13]的一部分進行檢測;
b)本條對于單芯片實體而言作為測評單元[07.38]的一部分進行檢測;
c)本條對于多芯片嵌入式實體而言作為測評單元[07.50]的一部分進行檢測;
d)本條對于多芯片獨立式實體而言作為測評單元[07.62]的一部分進行檢測。
6.7.2.17 測評單元[07.23]
安全要求:
在打開門、封蓋或維護訪問接口時,拆卸響應與置零電路應立即置零所有未受保護的敏感安全參數。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
a)本條對于通用要求而言作為測評單元[07.13]的一部分進行檢測;
b)本條對于單芯片實體而言作為測評單元[07.38]的一部分進行檢測;
c)本條對于多芯片嵌入式實體而言作為測評單元[07.50]的一部分進行檢測;
d)本條對于多芯片獨立式實體而言作為測評單元[07.62]的一部分進行檢測。
6.7.2.18 測評單元[07.24]
安全要求:
當密碼模塊內包含未受保護的敏感安全參數時,拆卸響應與置零電路應保持運行狀態。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
a)本條對于單芯片實體而言作為測評單元[07.38]的一部分進行檢測;
b)本條對于多芯片嵌人式實體而言作為測評單元[07.50]的一部分進行檢測;
c)本條對于多芯片獨立式實體而言作為測評單元[07.65]的一部分進行檢測。
6.7.2.19 測評單元[07.25]
安全要求:
如果密碼模塊含有通風孔或縫,那么孔或縫應具有特殊的構造,從而防止未被檢測到的對密碼模塊內部的物理探測(例如,防止使用單鉸鏈探頭探測)。
送檢材料要求:
如果被封蓋或外殼包含的模塊含有任何通風孔或縫,則這些通風孔或縫的構造應能防止未被檢測到的對模塊內部的物理探測。送檢文檔應描述通風結構的物理設計方法。
檢測程序要求:
通過審查送檢文檔和檢查模塊,檢測人員應核實模塊的封蓋或外殼是否含有通風孔、縫或其他開口,如果有,則應核實其構造為可防止未被檢測到的對模塊內部的物理探測。
6.7.2.20 測評單元[07.26]
安全要求:
當密碼模塊溫度超出運行、存放和分發的預期溫度范圍時,堅固或硬質的保形或非保形的外殼、涂層或灌封材料應維持強度和硬度特征。
送檢材料要求:
送檢文檔應明確說明外殼的硬度,以及該硬度適用于該模塊設計的原因。
檢測程序要求:
通過模塊審查送檢文檔和檢查模塊,檢測人員應核實外殼與文檔中描述的設計一致。
6.7.2.21 測評單元[07.27]
安全要求:
如果使用了拆卸封條,那么應使用被唯一編號或者能夠獨立識別的封條(例如,唯一編號的存跡膠帶或可唯一識別的手寫封條)。
送檢材料要求:
如果使用了拆卸封條,送檢廠商應提供拆卸存跡封條的明確說明。
檢測程序要求:
如果使用了拆卸封條,檢測人員應核實拆卸封條如文檔描述地被唯一編號或者能被獨立識別。
6.7.2.22 測評單元[07.28]
安全要求:
密碼模塊應具有EFP特性或經過EFT。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.68]的一部分進行檢測。
6.7.2.23 測評單元[07.29]
安全要求:
除了安全一級、二級和三級的通用要求,安全四級的所有密碼模塊還應滿足下列要求(安全要求[07.30]~安全要求[07.33])。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.30]~測評單元[07.33]的一部分進行檢測。
6.7.2.24 測評單元[07.30]
安全要求:
密碼模塊應使用抗移除的硬質不透明涂層或具有拆卸響應和置零能力的拆卸檢測封套保護起來。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
a)本條對于單芯片實體而言作為測評單元[07.40]的一部分進行檢測;
b)本條對于多芯片嵌入式實體而言作為測評單元[07.52]的一部分進行檢測;
c)本條對于多芯片獨立式實體而言作為測評單元[07.64]的一部分進行檢測。
6.7.2.25 測評單元[07.31]
安全要求:
密碼模塊應具有EFP特性。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.72]的一部分進行檢測。
6.7.2.26 測評單元[07.32]
安全要求:
密碼模塊應提供保護措施,以防止故障注入攻擊。
送檢材料要求:
送檢文檔應明確指出防止故障注入攻擊的保護機制。
檢測程序要求:
檢測人員應通過審查送檢文檔和檢查模塊核實每項保護機制屬實。
6.7.2.27 測評單元[07.33]
安全要求:
故障注入攻擊的緩解技術以及采用的緩解指標應在文檔中按照 GB/T 37092-2018 中附錄B規定的要求進行記錄。
送檢材料要求:
送檢文檔應明確指出模塊使用的故障注入緩解技術和緩解指標,并按照 GB/T 37092-2018 中附錄B的要求進行記錄。
檢測程序要求:
檢測人員應核實模塊使用了如文檔所述的故障注入緩解技術和緩解指標。
6.7.3 物理安全實體的物理安全要求
6.7.3.1 單芯片密碼模塊
注1:除了 GB/T 37092-2018 中7.7.2規定的通用安全要求,還針對單芯片密碼模塊規定了下列要求:安全要求[07.34]~安全要求[07.42]。
注2:對安全一級的單芯片密碼模塊沒有其他額外要求。
6.7.3.1.1 檢測目的
單芯片密碼模塊檢測包括9個測評單元,檢測單芯片密碼模塊是否滿足 GB/T 37092-2018 針對單芯片密碼模塊規定的安全要求。
6.7.3.1.2 測評單元[07.34]
安全要求:
除了安全一級的要求,安全二級的單芯片密碼模塊還應滿足下列要求(安全要求[07.35])。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.35]的一部分進行檢測。
6.7.3.1.3 測評單元[07.35]
安全要求:
應使用拆卸存跡涂層(例如,拆卸存跡的鈍化材料或覆蓋在鈍化層上的拆卸存跡材料)把密碼模塊覆蓋起來,或者將密碼模塊裝在一個拆卸存跡的外殼中,以阻止直接觀察、探測或操控密碼模塊,并在企圖拆卸或移動密碼模塊后留下證據。
注:此要求與安全要求[07.18]相關。
送檢材料要求:
送檢文檔應說明防拆卸涂層及其特點。
檢測程序要求:
通過審查送檢文檔和檢查模塊,檢測人員應核實模塊被防篡改涂層覆蓋;通過檢查,檢察人員應核實防拆卸涂層完全覆蓋模塊,并且該涂層可防止對單芯片的直接觀察、探測或操作。
6.7.3.1.4 測評單元[07.36]
安全要求:
除了安全一級和二級的要求,安全三級的單芯片密碼模塊還應滿足下列要求(安全要求[07.37]~安全要求[07.39])。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條在測評單元[07.37]或測評單元[07.39]中進行。
6.7.3.1.5 測評單元[07.37]
安全要求:
應使用拆卸存跡的硬質不透明涂層(例如,涂在鈍化層上的硬質不透明環氧樹脂)把密碼模塊覆蓋起來。或滿足安全要求[07.38]的要求。
送檢材料要求:
a)送檢文檔應清晰描述在安全要求[07.37]中指定的方法被用于滿足此要求。
b)送檢材料應提供詳細的設計信息,特別是涂層材料的種類和特性。
檢測程序要求:
a)通過檢查檢測人員核實送檢文檔中說明了模塊由堅固的不透明防拆卸涂層覆蓋。
b)檢測人員應核實送檢材料文檔充分描述了詳細設計信息,特別是所用涂層的種類和特性。
c)檢測人員應核實涂層所不容易滲透到內部電路的深度,并且該滲透會留下拆卸標記。通過檢查核實涂層完全覆蓋模塊,該涂層明顯不透明,且能夠阻止直接的觀察、探測或操作。
6.7.3.1.6 測評單元[07.38]
安全要求 :
如果不滿足安全要求[07.37]的要求,應實現密碼模塊的外殼。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。在測評單元[07.39]中進行檢測。
6.7.3.1.7 測評單元[07.39]
安全要求:
(接安全要求[07.38])以致企圖或穿透外殼的行為應極有可能對密碼模塊造成嚴重損害,即密碼模塊將不能工作。
送檢材料要求:
a)送檢材料應提供詳細的設計信息,特別是當模塊外殼含有任何門或封蓋或指定的維護訪問接口時。外殼的設計使移除或人侵它的嘗試極有可能對密碼模塊內部的電路造成嚴重損壞。
b)如果模塊外殼含有任何門或封蓋或指定的維護訪問接口,則該模塊應含有拆卸響應和清零電路。該電路應持續監測這些封蓋和門,并且在移除封蓋或打開門之前,所有未經加密的關鍵安
檢測程序要求:
a)檢測人員應核實送檢文檔詳細說明了模塊無論含有門或封蓋或維護訪問接口,模塊外殼是不能輕易打開的。如果模塊外殼含有任何門或封蓋或定義的維護訪問接口,則檢測人員應核實
b)如果模塊外殼含有任何門或封蓋或指定的維護訪問接口,檢測人員應核實送檢文檔說明了當封蓋或門被移除,或維護訪問接口被訪問時,模塊清零電路對所有未經加密的關鍵安全參數清零。
c)通過審查送檢文檔和檢查模塊,檢測人員應核實當模塊中含有未經加密的關鍵安全參數時,拆卸響應和清零電路保持運行。
d)通過審查送檢文檔和檢查模塊,檢測人員核實在極有可能對模塊不會造成嚴重損害時,外殼不會被移除或滲透。
e)如果模塊外殼含有任何門或封蓋或指定的維護訪問接口,則當封蓋或門被移除或者維護訪問接口被訪問時,檢測人員應檢測模塊對所有未經加密的關鍵安全參數清零。
f)檢測人員應檢測在極有可能對模塊不會造成嚴重損害時,外殼不會被移除或滲透。
6.7.3.1.8 測評單元[07.40]
安全要求:
除了安全一級、二級和三級要求,安全四級的單芯片密碼模塊還應滿足下列要求(安全要求[07.41]~安全要求[07.42])。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條在測評單元[07.41]~測評單元[07.42]中進行檢測。
6.7.3.1.9 測評單元[07.41]
安全要求:
應使用抗移除的硬質不透明涂層將密碼模塊覆蓋起來,該涂層具有硬度與黏力特性,以致企圖剝落或撬開涂層的行為將極有可能對密碼模塊造成嚴重損害,即密碼模塊將不能工作。
送檢材料要求:
a)送檢文檔中應清晰核實使用的涂層的種類,并提供涂層材料的詳細特性,特別是它的硬度和抗移除性。
b)模塊應由堅固不透明的,抗移除的涂層所覆蓋。材料的硬度和粘性使得將材料從模塊上剝離或撬開的嘗試極有可能導致模塊的嚴重損壞(例如,模塊將不可運轉)。涂層材料在可見光范圍內是不透明的。
檢測程序要求:
a)檢測人員通過檢查送檢廠商文檔,應核實模塊由堅固不透明的抗移除的涂層覆蓋。
b)檢測人員應核實模塊涂層的抗移除特性。檢測人員應嘗試從模塊剝落或撬開涂層材料,并核實在合理應用力量的情況下,模塊停止工作或模塊電路明顯被物理破壞是不可能的。
6.7.3.1.10 測評單元[07.42]
安全要求:
抗移除的涂層應具有溶解特性,以致企圖溶解涂層的行為將極有可能溶解或嚴重損害密碼模塊,即密碼模塊將不能工作。
送檢材料要求:
送檢文檔應描述抗移除材料的溶解特性。涂層的溶解特性使通過溶解材料移除抗移除材料極有可能會溶解或嚴重損害模塊。
檢測程序要求:
a)檢測人員應核實送檢文檔以確定模塊抗移除涂層的溶解特性。
b)檢測人員應檢測模塊抗移除涂層的溶解特性。檢測人員應根據送檢材料要求[07.42]中提供的文檔,確定什么類型的溶劑可威脅抗移除涂層。
6.7.3.2 多芯片嵌入式密碼模塊
注:除了GB/T37092-2018中7.7.2規定的通用安全要求,還針對多芯片嵌入式密碼模塊規定了下列要求:安全要求[07.43]~安全要求[07.59]。
6.7.3.2.1 檢測目的
多芯片嵌人式密碼模塊檢測包括17個測評單元,檢測多芯片嵌入式密碼模塊是否滿足 GB/T 37092-2018 針對多芯片嵌入式密碼模塊規定的安全要求。
6.7.3.2.2 測評單元[07.43]
安全要求:
如果密碼模塊被裝在一個外殼或封蓋中,那么應使用產品級的外殼或封蓋。
送檢材料要求:
模塊應整個包含在一個產品級的外殼或封蓋中。送檢文檔應對外殼或封蓋進行描述。
檢測程序要求:
檢測人員應核實送檢文檔中說明了模塊包含在產品級的外殼或封蓋中。
6.7.3.2.3 測評單元[07.44]
安全要求:
除了安全一級的要求,安全二級的多芯片嵌入式密碼模塊還應滿足下列要求。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條在測評單元[07.45]~測評單元[07.48]中進行檢測。
6.7.3.2.4 測評單元[07.45]
安全要求:
應使用拆卸存跡的涂層或灌封材料(例如,耐腐蝕涂層或防滲透涂料)把密碼模塊部件覆蓋起來,以阻止直接觀察,并提供企圖拆卸或移動密碼模塊部件的證據。或滿足安全要求[07.46]的要求。
送檢材料要求:
送檢廠商提供應提供堅固封裝的設計文檔。模塊部件使用拆卸存跡的涂層或灌封材料(例如:耐腐蝕涂層或防滲透涂料)覆蓋,以阻止直接觀察并提供企圖拆卸或移動模塊部件的證據。
檢測程序要求:
a)檢測人員應核實送檢文檔說明了模塊被不透明的、拆卸存跡的材料封裝。
b)檢測人員應通過測試,核實模塊提供了拆卸或移除模塊組件的嘗試的跡象。
c)檢測人員應嘗試進入電路的內部核實封裝的強度,以核實封裝不能被輕易破壞。
d)檢測人員應通過檢測,以核實極有可能不會對模塊造成嚴重損害的情況下,封裝是不能移除或滲透的。
6.7.3.2.5 測評單元[07.46]
安全要求:
如果不滿足安全要求[07.45]的要求,密碼模塊應被整個地包在金屬或硬質塑料的產品級外殼中,該外殼可以有門或封蓋。
送檢材料要求:
送檢文檔應描述如下內容:模塊被整個包在金屬或硬質塑料的產品級外殼中,該外殼可以有門或封蓋。
檢測程序要求:
檢測人員通過審查送檢文檔和檢查模塊,應核實模塊包含于外殼中,該外殼滿足如下要求:
1)外殼完全包含整個模塊。
2)外殼材料應在送檢文檔中定義。
3)外殼應是產品級的。送檢文檔應展示相同材料的外殼在商業上已被應用,或提供數據以展示它與商用產品是等同的。
6.7.3.2.6 測評單元[07.47]
安全要求:
(安全要求[07.46])如果外殼包含任何門或封蓋,則門或封蓋應使用帶有物理或邏輯鑰匙的防撬鎖。或滿足安全要求[07.48]的要求
送檢材料要求:
如果外殼包含任何門或封蓋,則門或封蓋應使用防撬鎖鎖住,送檢文檔應描述防撬機械鎖及其物理的或邏輯的鑰匙。
檢測程序要求:
a)檢測人員應核實送檢文檔描述了門或封蓋由防撬機械鎖鎖定,該機械鎖使用物理或邏輯鑰匙。
b)檢測人員應嘗試在不用密鑰的情況下打開鎖定的門或封蓋,并確定在沒留下損壞痕跡的情況下不能打開門或封蓋。
6.7.3.2.7 測評單元[07.48]
安全要求:
如果不滿足安全要求[07.47]的要求,則門或封蓋應被拆卸存跡的封條保護起來(例如,存跡膠帶或全息封條)。
送檢材料要求:
送檢文檔應描述拆卸存跡的封印。
檢測程序要求:
a)檢測人員應通過審查送檢文檔和檢查模塊,核實門或封蓋帶有防拆卸封條保護(如證據膠帶或全息封條)。
b)檢測人員應核實在不破壞或不移除封條時門或封蓋不能打開,且封條被移開后不能被替代。
6.7.3.2.8 測評單元[07.49]
安全要求:
除了安全一級和二級的要求,下列要求應適用于安全三級的多芯片嵌入式密碼模塊。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條在測評單元[07.50]或測評單元[07.51]中進行檢測。
6.7.3.2.9 測評單元[07.50]
安全要求:
應使用硬質涂料或灌封材料(例如,硬質環氧樹脂材料)把密碼模塊內的多芯片實體電路覆蓋起來。或滿足安全要求[07.51]的要求。
送檢材料要求:
a)送檢材料應提供硬質涂料或灌封材料的設計文檔。
b)送檢材料應提供硬質涂料或灌封材料的不透明特性的相關文檔。
檢測程序要求:
a)檢測人員應核實送檢文檔對硬質涂料或灌封材料(例如,硬質環氧樹脂材料)進行了詳細說明。
b)通過審查送檢文檔和檢查模塊,檢測人員應核實硬質涂料或灌封材料的不透明特性。
c)通過審查送檢文檔和檢查模塊,檢測人員應核實在不對模塊造成嚴重損壞的情況下,不能移除或滲透硬質涂料或灌封材料(例如,硬質環氧樹脂材料)。
6.7.3.2.10 測評單元[07.51]
安全要求:
如果不滿足安全要求[07.50]的要求,密碼模塊應被封裝在堅固的外殼內。
送檢材料要求:
a)送檢文檔需提供堅固外殼的設計文檔。模塊應完全包含在堅固外殼中。外殼設計應滿足如下要求:移除它極有可能對模塊造成嚴重的損害(即模塊將不可運行)。
b)如果外殼含有門或封蓋,則密碼模塊應含有拆卸響應和置零電路。該電路應能持續檢測這些封蓋和門,并且在封蓋移除和門被打開之前,所有的未經加密的關鍵安全參數應置零。只要未經加密的關鍵安全參數包含在模塊中,則電路應運行。
檢測程序要求:
a)檢測人員需核實送檢文檔詳細說明了外殼包含門或封蓋,以及維護訪問接口,并且模塊應包含拆卸響應和置零電路。
b)如果外殼含有門或封蓋,或指定的維護訪問接口,則檢測人員應核實送檢文檔詳細說明了當門或封蓋移除或維護訪問接口被訪問時模塊對所有未經加密的關鍵安全參數置零。
c)檢測人員應核實送檢文檔中詳細說明了實現送檢材料要求[07.51]a)和送檢材料要求[07.51]b)中哪個安全選項,并提供設計文檔。
d)通過審查送檢文檔和檢查模塊,檢測人員應核實當模塊中包含未經加密的關鍵安全參數時,拆卸響應和置零電路保持運行。
e)通過審查送檢文檔和檢查模塊,檢測人員應核實在極有可能不會對模塊造成嚴重損害時,外殼是不能移除或滲透的。
f)通過嘗試進入電路的內部確認外殼的強度,檢測人員應核實外殼是不能被輕易破壞的。通過審查送檢文檔和檢查模塊,檢測人員應核實外殼是不可移除的。
g)如果堅固外殼含有門或封蓋,或維護訪問接口被指定,檢測人員應根據送檢材料核實當移除門或封蓋時,模塊對所有未經加密的關鍵安全參數進行置零。
h)如果外殼含有門或封蓋,或維護訪問接口被指定,檢測人員應檢測當移除門或封蓋或維護訪問接口被訪問時,模塊對所有未經加密的關鍵安全參數進行置零。
i)檢測人員應檢測在極有可能不會對模塊造成嚴重損害的情況下,外殼是不能被移除或滲透的。
6.7.3.2.11 測評單元[07.52]
安全要求:
除了安全一級、二級和三級的要求,下列要求(安全要求[07.53]~安全要求[07.59])應適用于安全四級的多芯片嵌入式密碼模塊。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條在測評單元[07.53]~測評單元[07.59]中進行檢測。
6.7.3.2.12 測評單元[07.53]
安全要求:
密碼模塊部件應封裝在堅固或硬質的保形或非保形的外殼中。
送檢材料要求:
模塊應包含在一個拆卸探測外殼中,該防拆卸外殼監測對模塊灌封材料或外殼的攻擊。送檢文檔應描述該外殼的設計。
檢測程序要求:
通過檢查送檢材料,檢測人員應核實模塊含有拆卸探測外殼且模塊完全封裝在該外殼內。此屏障的設計使得任何通過例如切割、鉆孔、銑、磨碾或溶解的方式對模塊組件的訪問都能被模塊中的監測組件檢測到。
6.7.3.2.13 測評單元[07.54]
安全要求:
外殼應用拆卸檢測封套(例如,帶有蛇形導線的柔性聚酯薄膜印制電路,或繞線式的包裝,或無彈性易碎電路,或堅固的外殼)封裝起來。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。在測評單元[07.55]中進行檢測。
6.7.3.2.14 測評單元[07.55]
安全要求:
(接安全要求[07.54])該封套應能夠檢測到企圖訪問敏感安全參數的拆卸行為,包括切、鉆、磨、碾、燒、熔、溶解灌封材料或外殼等。
送檢材料要求:
模塊應包含在一個拆卸探測外殼中,該防拆卸外殼監測對模塊灌封材料或外殼的攻擊。送檢文檔應描述拆卸探測外殼的設計。
檢測程序要求:
通過審查送檢文檔和檢查模塊,檢測人員應核實送檢模塊拆卸探測外殼,且模塊完全封裝在該外殼內。此屏障的設計使得任何通過例如切割、鉆孔、銑、磨碾或溶解的方式訪問模塊組件都能被模塊中的監測組件檢測到。
6.7.3.2.15 測評單元[07.56]
安全要求:
密碼模塊應包含拆卸響應和置零電路。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。在測評單元[07.57]和測評單元[07.58]中進行檢測。
6.7.3.2.16 測評單元[07.57]
安全要求:
拆卸響應和置零電路應能夠持續地監控拆卸檢測封套。
送檢材料要求:
密碼模塊應包含拆卸響應和置零電路,該電路應持續地監測拆卸探測外殼,一旦檢測到拆卸行為,應對所有未經加密的關鍵安全參數進行置零。當模塊內含有未經加密的關鍵安全參數時,置零電路應持續運行。送檢文檔應描述拆卸響應和置零電路的設計。
檢測程序要求:
通過審查送檢文檔和檢查模塊,檢測人員應核實模塊含有拆卸響應和置零電路,且該電路不斷地監測拆卸探測外殼;抵御通過各種方式的攻擊,例如切割、鉆孔、銑、磨或溶解外殼任一部分;并且置零所有未經加密的關鍵安全參數。
6.7.3.2.17 測評單元[07.58]
安全要求:
(接安全要求[07.57])并且一旦檢測到拆卸行為就應立即置零所有未受保護的敏感安全參數。
送檢材料要求:
模塊應包含拆卸響應和置零電路,該電路應不斷監測拆卸探測外殼,并且一旦檢測到拆卸行為,應對所有未經加密的關鍵安全參數進行置零。送檢文檔應描述拆卸響應和置零電路的設計。
檢測程序要求:
檢測人員應破壞拆卸探測外殼屏障,并核實模塊對所有未受保護的關鍵安全參數進行清零。
6.7.3.2.18 測評單元[07.59]
安全要求:
當密碼模塊內包含未受保護的敏感安全參數時,拆卸響應電路應保持運行狀態。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。
6.7.3.3 多芯片獨立式密碼模塊
注:除了 GB/T 37092—2018 中7.7.2規定的通用安全要求,針對多芯片獨立式密碼模塊還規定了下列要求:安全要求[07.60]~安全要求[07.72]。
6.7.3.3.1 檢測目的
多芯片獨立式密碼模塊檢測包括13個測評單元,檢測多芯片獨立式密碼模塊是否滿足 GB/T 37092-2018 針對多芯片獨立式密碼模塊規定的安全要求。
6.7.3.3.2 測評單元[07.60]
安全要求:
密碼模塊應整個被封裝在金屬或硬質塑料的產品級外殼內,外殼可以有門或封蓋。
送檢材料要求:
密碼模塊應完全包含于金屬的或堅硬塑膠的產品級外殼內,該外殼可能包含門或封蓋。送檢文檔應描述外殼及其硬度特性。
檢測程序要求:
通過審查送檢文檔和檢查模塊,檢測人員應核實模塊包含在外殼中,該外殼滿足如下要求:
1)模塊應完全包含于外殼中。
2)外殼材料應是在送檢文檔中定義的成分。
3)外殼應是產品級的。送檢文檔應展示相同材料的外殼在商業上已被應用,或提供數據以展示它與商用產品是等同的。
6.7.3.3.3 測評單元[07.61]
安全要求:
除了安全一級的要求,安全二級的多芯片獨立式密碼模塊還應滿足下列要求(安全要求[07.62]~安全要求[07.63])。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條在安全要求[07.62]或安全要求[07.63]中進行檢測。
6.7.3.3.4 測評單元[07.62]
安全要求:
如果密碼模塊的外殼含有任何門或封蓋,那么門或封蓋應安裝帶有物理或邏輯鑰匙的防撬機械鎖。或滿足安全要求[07.63]的要求。
送檢材料要求:
如果外殼包含門或封蓋,則它們應被物理或邏輯鑰匙可打開的防撬機械鎖鎖定。送檢文檔應描述由物理或邏輯的鑰匙可打開的防撬機械鎖機制。
檢測程序要求:
檢測人員應核實外殼是否含有門或封蓋。檢測人員應核實每個門或封蓋被物理或邏輯鑰匙可打開的防撬機械鎖鎖定。檢測人員應嘗試在沒有鑰匙的情況下打開鎖定的門或封蓋,以核實在沒有損害痕跡的情況下門或封蓋是不能打開的。
6.7.3.3.5 測評單元[07.63]
安全要求:
如果不滿足安全要求[07.62]的要求,則門或封蓋或者應使用拆卸存跡的封條(例如,存跡膠帶或全息封條)進行保護。
送檢材料要求:
如果外殼通過例如證據膠帶或全息封條的防篡改封條保護,送檢文檔應描述防篡改封條。
檢測程序要求:
門或封蓋通過例如證據膠帶或全息封條的防篡改封條保護。檢測人員應核實在沒有破壞或移除封條的情況下門或封蓋不能打開,且封條不能移除后被替代。
6.7.3.3.6 測評單元[07.64]
安全要求:
除了安全一級和二級的要求,安全三級的多芯片獨立密碼模塊還應滿足下列要求(安全要求[07.65])。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條在測評單元[07.65]中進行檢測。
6.7.3.3.7 測評單元[07.65]
安全要求:
送檢材料要求:
a)送檢文檔應提供堅固外殼的設計文檔。模塊應完全包含在堅固外殼中。外殼設計應滿足如下要求:移除外殼極有可能對模塊的內部電路造成嚴重的損害(例如,模塊將不能工作)。
b)如果外殼含有門或封蓋,則密碼模塊應含有拆卸響應和置零電路。該電路應持續地檢測這些封蓋和門,并且在封蓋移除和門被打開之前,應置零所有的未經加密的關鍵安全參數。只要模
檢測程序要求:
a)檢測人員應核實:送檢文檔詳細說明了無論外殼包含門或封蓋還是維護訪問接口,模塊應包含拆卸響應和置零電路。
b)如果外殼含有門或封蓋,或指定的維護訪問接口,則檢測人員應核實送檢廠商文檔詳細說明了當門或封蓋移除或維護訪問接口被訪問時模塊對所有未經加密的關鍵安全參數進行置零。
c)檢測人員應核實送檢文檔中詳細說明了實現送檢材料要求[07.65]a)和送檢材料要求[07.56]b)中哪個安全選項并提供設計文檔。
d)檢測人員應通過審查送檢文檔和檢查模塊,核實當未經加密的關鍵安全參數包含在模塊中時,拆卸響應和置零電路保持運行。
e)檢測人員應通過審查送檢文檔和檢查模塊,核實在極有可能不會對模塊造成嚴重損害時外殼是不能移除或滲透的。
f)通過嘗試進入電路的內部,檢測人員應核實外殼的強度,以證明外殼不能被輕易破壞。通過檢查送檢材料,檢測人員應核實外殼是不可移除的。
g)如果堅固外殼含有門或封蓋,或者維護訪問接口被指定時,檢測人員應通過審查送檢文檔和檢查模塊,核實當移除門或封蓋時,模塊對所有未經加密的關鍵安全參數置零。
h)如果外殼含有門或封蓋,或者維護訪問接口被指定時,檢測人員應檢測當移除門或封蓋或維護訪問接口被訪問時,模塊對所有未經加密的關鍵安全參數置零。
i)檢測人員應檢測在極有可能不會對模塊造成嚴重損害時,外殼不能移除或滲透。
6.7.3.3.8 測評單元[07.66]
安全要求:
除了安全一級、二級和三級的要求,安全四級的多芯片獨立式密碼模塊還應滿足下列要求(安全要求[07.67]~安全要求[07.72])。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條在測評單元[07.67]~測評單元[07.72]中進行檢測。
6.7.3.3.9 測評單元[07.67]
安全要求:
密碼模塊的外殼應封裝在使用下列一種或多種拆卸檢測機制的拆卸檢測封套內,拆卸檢測機制包括:封蓋開關(如微型開關、磁霍爾效應開關、永磁驅動器等)、動作探測器(如超聲波、紅外線、微波探測器)或者 GB/T 37092-2018 中7.7.3.2規定的安全四級描述的其他拆卸檢測機制。
送檢材料要求:
外殼或灌封材料應使用拆卸探測機制的拆卸探測封套進行封裝。送檢文檔應描述拆卸探測封套的設計機制。
檢測程序要求:
通過檢查送檢材料,檢測人員應核實模塊外殼或灌封材料包含拆卸探測機制,并通過該機制保護模塊組件。該機制的設計可以監測到任何通過破壞外殼或灌封材料對模塊組件的訪問。
6.7.3.3.10 測評單元[07.68]
安全要求:
拆卸檢測機制應能夠對企圖訪問敏感安全參數的攻擊做出響應,諸如切、鉆、銑、磨、燒、熔、溶解等。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.71]的一部分進行檢測。
6.7.3.3.11 測評單元[07.69]
安全要求:
密碼模塊應包含拆卸響應和置零電路。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.71]的一部分進行檢測。
6.7.3.3.12 測評單元[07.70]
安全要求:
拆卸響應和置零電路應能夠持續地監控拆卸檢測封套。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.71]的一部分進行檢測。
6.7.3.3.13 測評單元[07.71]
安全要求:
(接安全要求[07.70])并且一旦檢測到拆卸行為就應立即置零所有未受保護的敏感安全參數。
送檢材料要求:
密碼模塊應包含拆卸響應和置零電路,該電路應持續監測拆卸檢測外殼,并且一旦檢測到拆卸行為應立即置零所有未經加密的關鍵安全參數。當模塊中包含未經加密的關鍵安全參數時,拆卸響應及置零電路應持續運行。送檢文檔應描述拆卸響應和置零電路的設計。
檢測程序要求:
a)檢測人員確認送檢文檔說明了密碼模塊包含拆卸響應和置零電路,該電路應持續監測拆卸檢測外殼;探測通過各種方式的攻擊,例如切割、鉆孔、銑、磨或溶解外殼的任一部分;并且置零所有未經加密的關鍵安全參數。
b)檢測人員應破壞拆卸檢測外殼屏障,并確認模塊對未經加密的關鍵安全參數置零。
6.7.3.3.14 測評單元[07.72]
安全要求:
當密碼模塊內包含未受保護的敏感安全參數時,拆卸響應和置零電路應保持運行狀態。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
6.7.4 環境失效保護(測試)
6.7.4.1 環境失效保護(測試)通用要求
注:對于安全一級、二級, 密碼模塊不要求具有EFP特性或經過EFT。
6.7.4.1.1 檢測目的
環境實效保護(測試)通用要求檢測包括2個測評單元,檢測送檢的安全三級密碼模塊是否具有EFP特性或經過EFT、安全四級的密碼模塊是否具有EFP特性。
6.7.4.1.2 測評單元[07.73]
安全要求:
安全三級的密碼模塊應具有EFP特性或經過EFT。
送檢材料要求:
送檢廠商使用下述中的一種:
– EFP特征; 或
– EFT。
正如在GB/T37092-2018中7.7.4指出,確保如下4種異常環境狀況或超出了模塊常規運行范圍的波動(意外的或有意的)將不會危及模塊的安全:
– 低溫;
– 高溫;
– 大的負電壓;
– 大的正電壓。
送檢廠商應選擇為每種條件使用EFP或EFT, 但是每個選擇相對于其他條件的選擇是獨立的。送檢廠商應為每個條件提供相應的配套文檔,指出選擇的方法是如何使用的。
檢測程序要求:
檢測人員應核實送檢文檔聲明了每個條件的EFP/EFT選擇, 以及指定方法如何使用。
6.7.4.1.3 測評單元[07.74]
安全要求:
安全四級的密碼模塊應具有EFP特性。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條在測評單元[07.75]~測評單元[07.77]中進行檢測。
6.7.4.2 環境失效保護特性
6.7.4.2.1 檢測目的
環境實效保護特性檢測包括3個測評單元,檢測超出密碼模塊正常運行范圍是否對密碼模塊的安全性造成破壞。
6.7.4.2.2 測評單元[07.75]
安全要求:
EFP特性應保護密碼模塊, 防止由于故意或意外超出密碼模塊正常運行范圍, 對密碼模塊的安全性造成破壞。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.77]的一部分檢測。
6.7.4.2.3 測評單元[07.76]
安全要求:
密碼模塊應對超出闡明的正常運行的溫度和電壓范圍進行監控并做出正確響應。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.77]的一部分檢測。
6.7.4.2.4 測評單元[07.77]
安全要求:
如果溫度或電壓超出密碼模塊的正常運行范圍,則保護電路應:
– 關閉密碼模塊,防止繼續運行,或
– 立即置零所有未受保護的敏感安全參數。
送檢材料要求:
如果EFP在特定條件下使用, 則模塊應監測并且正確的響應在該條件下超出了正常工作范圍的溫度及電壓波動。保護功能應持續地測量這些環境條件。如果一種條件確定超過模塊正常的運行范圍,保護電路應做出如下反應之一:
– 關閉模塊;或者
– 清零所有明文的敏感安全參數。
文件應聲明哪種方法被選擇, 并且提供在模塊內執行EFP功能的詳細說明。
檢測程序要求:
a)檢測人員應設置環境條件(周圍的溫度和電壓)接近于模塊正常運行時指定取值范圍內的極值,并且核實模塊在正常的運行參數中持續運行。
b)檢測人員應擴大溫度和電壓范圍至指定的正常范圍之外,并核實模塊要么關閉以阻止進一步的操作,要么清零所有未經加密的關鍵安全參數。
c)如果模塊的設計可清零所有未經加密的關鍵安全參數,并且在恢復正常環境條件后模塊仍是運行的,則檢測人員應執行需要密鑰的任務以核實模塊自身不能完成那些任務。
6.7.4.3 環境失效測試程序
6.7.4.3.1 檢測目的
環境失效測試程序檢測包括9個測評單元,對密碼模塊進行分析、仿真和測試,檢測密碼模塊的安全性是否會因密碼模塊溫度和電壓超出正常運行范圍(故意的或意外的)而遭到破壞。
6.7.4.3.2 測評單元[07.78]
安全要求:
EFT應對密碼模塊進行分析、仿真和測試, 從而提供合理的保障, 確保密碼模塊的安全性不會因密碼模塊溫度和電壓超出正常運行范圍(故意的或意外的)而遭到破壞。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.81]的一部分檢測。
6.7.4.3.3 測評單元[07.79],測評單元[07.80]
安全要求:
EFT應表明:如果密碼模塊的運行溫度或電壓超出正常運行范圍并引起故障, 密碼模塊的安全性應不會遭到破壞。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.81]的一部分檢測。
6.7.4.3.4 測評單元[07.81]
安全要求:
溫度范圍應按照下列方式測試:從正常運行溫度范圍內下降到最低溫度,此時要么密碼模塊關閉防止繼續運行,要么立即置零所有未受保護的敏感安全參數;并且應從正常運行溫度范圍內上升到最高溫度,此時要么密碼模塊關閉防止繼續運行,要么立即置零所有未受保護的敏感安全參數。
送檢材料要求:
如果EFP在特定條件下使用, 模塊應在安全要求[07.82] 中提到的溫度和電壓范圍內進行檢測。模塊應滿足:
– 繼續正常運行;或者
– 停止;或者
– 置零所有未經加密的敏感安全參數。
文檔應描述選擇的方法, 并且提供對EFT的詳細描述。
檢測程序要求:
a)檢測人員應按照安全要求[07.82]的要求說明配置環境條件(周圍的溫度和電壓),并核實模塊要么繼續正常運行,要么停止以阻止進一步操作,要么置零所有未經加密的關鍵安全參數。
b)如果模塊的設計可置零所有未經加密的敏感安全參數,并且在恢復正常環境條件后模塊仍然運行,則檢測人員應完成需要密鑰的任務以核實模塊自身不能完成這些任務。
6.7.4.3.5 測評單元[07.82]
安全要求:
溫度的測試范圍應為-100℃~+200℃。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.81]的一部分檢測。
6.7.4.3.6 測評單元[07.83]
安全要求:
(接安全要求[07.82])而且,一旦密碼模塊被關閉以防止繼續運行,或所有未受保護的敏感安全參數被立即置零,或密碼模塊進入故障模式,則測試應立即中斷。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.81]的一部分檢測。
6.7.4.3.7 測評單元[07.84]
安全要求:
應在敏感部件和關鍵設備處,而不僅在物理邊界上,對溫度進行內部實時監測。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.81]的一部分檢測。
6.7.4.3.8 測評單元[07.85]
安全要求:
電壓范圍應按照下列方式測試:逐漸從正常運行電壓范圍內下降到最低電壓,此時要么密碼模塊關閉防止繼續運行,要么立即置零所有未受保護的敏感安全參數。
送檢材料要求:
檢測程序要求:
本條作為測評單元[07.81]的一部分檢測。
6.7.4.3.9 測評單元[07.86]
安全要求:
(接安全要求[07.85])并且應逐漸從正常運行電壓范圍內上升到最高電壓,此時要么密碼模塊關閉防止繼續運行,要么立即置零所有未受保護的敏感安全參數。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[07.81]的一部分檢測。
推薦文章: