1、ICS 35.240.40 A 11 中华人民共和国国家标准GB/T 20547.2-2006 银行业务安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单. Banking一Securecryptographic devices (retaiD一Part 2: Security compliance checkIists for devices used in financial transactions (lSO 13491-2: 2005 , MOD) 2006-09皿18发布2007-03-01实施中华人民共和国国家质量监督检验检度总局也世中国国家标准化管理委员会分为如下部分
2、:一一第1部分:概念、要求和评估方法一一第2部分:金融交易中设备安全符合性检测清单本部分是GB/T20547的第2部分。本部分修改采用国际标准IS013491-2: 2005(银行业务安全加密设备零售)第2部分z金融交易中设备安全符合性检测清单(英文版)。本部分对ISO13491-2:2005所做的修改主要包括以下内容:1.将本部分中引用的国际标准改为国际标准和国内相关法规。2.删除目前国内不适用的部分规范性引用文件。本部分的附录A、附录B、附录C、附录D、附录E、附录F、附录G和附录H为规泡性附录。本部分由中国人民银行提出。本部分由全国金融标准化技术委员会归口管理。本部分起草单位:中国银联股
3、份有限公司、中国人民银行、中国工商银行、中国银行股份有限公司、中国建设银行股份有限公司、交通银行、北京银联金卡科技有限公司。本部分主要起草人:如j钟、孙平、黄发国、徐志忠、温永盛、陆书春、刘运、赵宏鑫、薛伟、张晓东、陈立群、钱菲、李曙光、刘志刚、任冠华、姜红、李洁。本标准于2006年首次发布。, 而出GB/T 20547.2-2006 引GB/T 20547的本部分规定了金融零售业务中用于保护报文、密钥及其他敏感信息的安全加密设备的物理特性、逻辑特性和管理要求。电子银行零售业务的安全性在很大程度上依赖于加密设备的安全性。加密设备的安全性要求基于这样一些假设,即:计算机文件可能被非法访问和处理,
4、通讯线路可能被窃听飞合法的数据和控制指令可能被非法操作所取代。尽管某些加密设各(如主机安全模块)放置在安全性相对较高的处理中心,但大部分应用于零售银行业务的加密设备(如密码键盘等)都处在并不安全的环境中。因此,在这些加密设备上处理PIN(个人标识码)、MAC(报文鉴别码)、密钥和其他机密数据时,就存在设备受到入侵、数据世漏或被篡改的风险。通过合理使用以及正确管理具有特定物理和逻辑安全特性的安全加密设备,可确保降低金融风险。为保证安全加密设备具有恰当的物理和逻辑安全特性,应对其进行评估。本部分依据ISO13491-1中对金融服务系统中安全加密设备的要求,提供了用于评估安全加密设备的安全符合性检测
5、清单。存在其他的评估框架,并且也适合用于正式安全评估,例如:ISO/IEC 15408的13部分和ISO/IEC19790,但这些已超出ISO13491本部分的范围。加密设备应具有合适的特性以保证其具有适当的可操作性并能为内部数据提供足够保护。为确保设备的合法性,即设备不能被未授权的方法更改(如安装侦昕装置等),并且设备中的敏感数据不会泄漏或被篡改,适当的设备管理是非常必要的。绝对的安全性实际上是无法达到的。加密安全性依眼于安全加密设备生命周期的每个阶段,以及适当的设备管理程序和安全加密特性两者的有效结合。管理程序可以通过防范措施降低设备安全防护被攻破的可能性。这些防护措施是为了在设备本身特性
6、不能阻止或探测安全攻击的情况下,提高发现非法访问敏感数据或机密数据行为的可能性。N GBjT 20547.2-2006 银行业务安全加密设备(零售第2部分:金融交易中设备安全符合性检测清单1 范围GBjT 20547的本部估金融服务系统中安卡后作为一种个人t本部分不捞可能的,但在经济上是不。耳翻然,除了为单纯的经济利下列文件,其随后协议的各条款通过酬修改单(不否可使用文成本用达于引分用的部适期本本日据版胧瞅瞅凡鼓足制制扣的分用分部引部本的本于期TI晴和POS系统中对联机ISO 18031 3 术语和定义下列术语和定义、3. 1 审计师auditor 代表发起者或审计机构做非正;r.12十和评估
7、能力的人员。3.2 蚊据完整性data integrity 数据未被非授权方式更改或破坏的特性。3.3 重幢制dual control 使用两个或多个实体(常为人员)互相配合来保护敏感功能或信息,以此来保证任一单个实体不能单独存取或使用这些敏感功能或信息。3.4 异或exclusive or 同等长度工进制数的模2加。l GBjT 20547.2-2006 3.5 3.6 安全符合性检测清单security compliance checklist 依据本规戒按照设备类型建立的审计要求的列表。敏感状态sensitive state 提供安全操作员界丽、且仅在双重或多重控制下才能对该界面进行访问
8、的设备状态。4 安全符合性检测清单的使用4. 1 概述本部分中所列出的检测清单由希望评估加密设备可靠性的发起者使用,发起者应该采用附录中的部分内容或者全部内容,用于:a) 认可系统供应商和参与方所选择的评估机构;b) 成立一个审计机构来审计已完成的审计清单。附录A附录H给出了用于评估加密设备可靠性的最少评估清单,可以进行附加测试,以反映设备评估时的技术水平。正如本部分所述,评估既可以是非正式的,也可以是准正式的飞这取决于发起者认可的评估机构的性质。除非发起者决定进行一次正式的评估,否则这些评估结论不可直接使用,只能作为准备正式声明的参考。注2这些正式声明不在本部分的m:围之内。一个加密设备通过
9、其内在特性和设备安装环境来实现安全性。在完成这些审计检测清单时,必须考虑设备的安装环境。例如,同一种设备,在公共环境下使用,比在受控环境下使用要求有更高的内在安全性。本部分在附录H中给出了一个关于环境分类的建议,这样评估机构在评估时不需要调查评估设备可能放置的特定环境。可以将设备部署在一个指定的设施中,只要这个设施本身经过评估可以提供确定的环境,评估机构就可以对待评估设备在指定环境下的操作进行评估。当然,这些评估清单也可以用于附录H规定以外的环境类别。4. 2、4.3和4.4描述了本部分中所规定的三种评估方法。4.2 非正式评估在非正式评估中,一个独立的审计师应该为待评估设备填写合适的检测清单
10、。4.3 准正式评估在准正式评估中,生产厂商或发起者应该向评估机构提供一台设备,用于根据合适的检测清单进行检测。4.4 正式评估在正式评估中,生产厂商或发起者应该向有资质的评估机构提供一台设备,以针对正式声明的内容选择对应的检测清单进行评估。2 GB/T 20547.2-2006 附录A(规范性附录)安全加密设备基本的物理、逻辑和设备管理特性A.1 概述本附录的内容可用于任何安全设备的评估,应在该设备的专有的安全符合性清单评估前完成。下列安全符合性检测清单都要求审计师用符合CT)、不符合CF)和不适用CN/A)做出详细说明。不符合标记不表明该项在实际中不可接受,但应该给出书面解释。被标注为不适
11、用的清单也应给出书面解释。A.2 设备恃性A. 2. 1 物理安全性A. 2. 1. 1 概述所有安全加密设备都应该满足A.2. 1. 2般安全性和A.2. 1. 3防攻击特性的要求。虽然很多设备还应满足A.2. 1. 4抗攻击性或A.2. 1. 5反攻击性的要求,但也有些设备只需满足一般安全性和防攻击特性,这些设备应符合如下要求:a) 设备不能保留曾用于加密数据的安全密钥,以及可能推导出密钥的任何数据信息,甚至曾以明文形式存在的数据。b) 应采用如下方式管理设备:当设备失去连接或被明显损坏时,应能对相应情况进行及时通报。c) 当收到设备已经失去连接或者损坏的报告时,所有与该设备进行加密通讯的
12、设施都不应再处理来自该设备的密文数据。A. 2. 1. 2 一般安全性评估机构在进行安全评估时,应清楚地了解对设备的物理和逻辑攻击的技术方法,这些坎击手段包括(但不限于)如下方式:一一化学攻击(各种榕剂); 一一一扫描攻击(电子显微镜扫描); 一一机械攻击(钻孔、切割、探针探查等); 一一强度攻击(高低温极限视ij试); 一一射线攻击CX射线); 一一通过隐蔽(侧面)方式造成信息泄漏(如通过电量消耗、计时等方式); 一一故障攻击。按照表A.l所示内容给出相应结论。表A.1序号安全符合性声明符合当设备在预期环境中工作时,不能被通过监控(例如z在有/无设Al 备操作员情况下设备的电磁辐射)来获得个
13、人识别码CPIN)、密钥或其他秘密信息。设备通风口和其他人口应被定位和保护使攻击者不能利用这些A2 人口来探测该设备的内容,如明文PIN、存取代码和密钥,或者使设备的保护机制失灵。不符合不适用3 GB/T 20547.2一2006表A.1C续)序号符合不符合不适用A3 A4 A5 A5A 安全符合性声明所有的敏感数据和加密密钥,包括剩余数据,都存储在安全模块中。设备中的所有传输机制都要保证不能通过监控设备来获取未经许可的泄漏信息。当设备处于可操作状态时,任何通往设备内部电路的存取人口都应由一个或多个防撬装置或类似安全装置锁住a设备设计应保证不能从商业上可得到的组件组用于覆盖电子元件的外壳一般是
14、不可得到的A. 2. L 3 防攻击性评估机掏按照表A.2的内容给序号不适用A6 设备应经过合理设计行的za) 对设密钥)。在没有特殊技能并且s被发现。A.2. 1. 4 抗J:X击性评估机构按照表A.3的阴-M-M不适用即使能随意访问设备,也防护的企图是不可行的。的任何秘密信息。A. 2. 1. 5 反政击性评估机掏按照表A.4的内容给出相安全符合性声明设备应具有如下防护功能,即一旦侦测到任何可能的破坏活动,就立即擦除全部密钥和敏感数据国在授权或非授权情况下取下设备外壳以及打开进人设备内部部AlO I 件的任何人同时,设备都应立即自动擦除内部存放的密钥和敏感数据。序号A9 符合不符合不适用4
15、 GB/T 20547.2-2006 表A.4(续)序号安全符合性声明符合不符合不适用要有规定的方法保证当永久取下不再使用的加密单元时,应能确All I保其中的秘密数据和已使用过的密钥已被擦除,并确保此单元中任何加密密钥对所有具有通信加密能力的设备都无效。A12 I 所有入侵检测/密钥擦除机制在断电情况下也应有效。若设备不具备检测从操作场所被移动的安全机制,则应保证在没有对设备进行攻击所必需的工具和技能的前提下,即使将设备从运行环境中取下,也不能轻易破坏其入侵探测机制而获取自标设备机密A13 I信息。注:例如,获取这些机f封信息需要相当长时间,能包括分析其他设备的时间一一在少仍需要一周的努力才
16、能若设备具备检测从操作场所备入侵检测机制或从目标设备设备进行破坏的装置或技A14 I 在设备所在地使用,又不A17 、法算须一殊密必一特加有一或。-的所一断的一用载一诊行一使装一过可一备能一通不一设不是-括一息一设备的时间,A. 2. 2 逻辑安全性评估机构按照表A.5序号不符合刷、适用A15 手动或自动启动。A16 设备仅运行A18 A19 钥仅能应用于一种加密通过算法将密钥的法规。设备密钥管理依据国内相A20 I目的(密钥的变体可被用于不同一种形式变为另一种形式。设备的功能应保证:除投权的方法外,A21 I设备中获取明文秘密信息(如,PIN或加密密钥)或加密后的秘密信息。如果设备由若干部件
17、构成,应保证不能将高安全级别部件中的密A22 I 钥转移到低安全级别部件中。必须在如下情况时装载密钥:A23 I 一一设备处于敏感状态;一一密钥装载行为使设备处于所有攻击防护机制激活模式。5 GBjT 20547.2-2006 表A.5(续)序号安全符合性声明下述可能影响设备安全性的操作员功能只允许在设备处于敏感A24 状态即处于双重或多重控制状态下操作:一一关闭或启动设备;一一改变使设备进入敏感状态的口令或数据。A25 安全操作员界面应设计为至少需要输入两组口令(或者等同的双重或多重控制机制)才能使设备进入敏感状态。A26 安全操作员界丽的设计应保证不能在无意的情况下使设备停留在敏感状态。A
18、27 如果敏感状态设立了多重限制(例如,功能调用次数限制和时间限制),则当达到某限制时,设备就应返回正常状态。A28 使设备进入敏感状态的口令或其他明文数据应与其他保密、敏感数据受到罔等保护。A29 如果密钥因设备长期断电等任何其他原因丢失,设备将进人不可操作状态。A30 设备中的功能请求和敏感状态操作员功能都应得到发起者认可或被设备所应用的系统支持。A31 不允许将密钥从一种密钥变体加密的密文转化为另一种该密钥变体力H密的密文。A. 3 设备管理A. 3. 1 基本要求符合不符合不适用在每一生命周期阶段,负责填报本阶段检删清单的机构应向审计机构提供如表A.6所示的可信材料。表A.6序号安全符
19、合性声明符合不符合不适用A32 为便于审计和控制,设备的标识(如序列号)能由以下方式确定:外部防伪商标或标签,或者用命令使标识显示在界面或显示屏上。当设备处于己加载加密密钥的某个生命周期阶段时,通过设备标A33 识能容易地确定所包含密钥的标识(如果设备丢失或失窃可以使这些密钥元效)。A34 任何用来开启或运行设备的物理钥匙必须严格控制,只有授权者可以使用。A35 如果含有加密密钥的设备被攻击或者失窃,一经发现须立即通知负责设备安全的相关部门。如果未加载安全加密密钥的设备被攻击或者失窃,应有适当的机A36 制防止使用被攻击或失窃的设备替换其他尚未加载安全加密密钥的合法设备。A37 如果设备不存在
20、敏感状态,则需在双重控制下进行明文密钥的装载。6 G/T 20547.2-2006 A. 3.2 设备生产中的安全防护设备制造商或独立审计师需向审计机构提供如表A.7所示的可信材料。表A.7序号安全符合性声明符合不符合不适用设备中的软、硬件设计已经过认真仔细的评估,可保证设备提供A38 的各项功能均是合法的、具有证明文件的。设备软件中不存在未授权功能(如特洛伊木马)。A39 设备本身包括软件在内,都应在可控环境下生产,由有资质的工作人员控制,以保证设备不能被未授权的物理修改或功能修改。A. 3. 3 出广后和使用前的设备安全防护设备制造商、负责运送、维修和存储设备的人员(在下载或重载初始密钥之
21、前)以及独立审计师等均应向审计机构提供如表A.8所示的保证。表A.8序号安全符合性声明符合不符合不适用A40 输入密钥明文、密钥分量或口令的传输机制应受到保护和/或检查,以防止可导致密钥、密钥分量或口令内容泄露的各类监视。A4 1 设备在制造后和发运前应被存储在安全防护区域内或封装在防攻击包装内以防止未被发现的非法访问。设备装运时应使用防攻击包装,并检测是否存在非法访问:一一在设备下载加密密钥之前,专业人员应严格检查以保证设备在物理上或功能上没有被修改;A42 一一当运送己带有秘密信息的设备时如果发现受到攻击,则应删除秘密信息,以保证用户确认设备是真实的、未泄密的。注z秘密信息的一个例子是非对
22、称加密算法中的私钥,设备的公钥由只有供货商才知道的私钥签名。A43 只有当合理确认设备在物理上和功能上没有被非法修改时,才能装载初始密钥。A. 3.4 使用和安装设备前的安全防护负责设备存储和运输人员、装载初始密钥人员以及已被核查机构认可的油立审计师应向审计机构提供如表A.9所示的保证。表A.9序号安全符合性声明符合不符合不适用A44 任何未安装的设备都要受到控制以防植或发现非法访问,并保留记录进行审计,以便发现和报告设备失窃和丢失事件。A. 3. 5 设备安装后的安全防护收货方、独立审计师应向审计机构提供已采用如表A.10所示措施的可信材料。7 GB/T 20547.2-2006 表A.10
23、 序号安全符合性声明无论任何原因,当设备不再保存有效密钥时,应该:一一尽快从服务中移除设备;A45 I 一一-拒绝来自该设备的交易;一一-在至少两位专业人员认定设备没有任何物理、功能修改前,不能装载新密钥。如果设备失窃或丢HA46 I改,应擦除设备中人工和果在调A47 I除。A48 A49 序号A50 A51 密钥。A52 I时须毁坏设审计。8 符合不符合不适用所示的可惜材料。不符合不适用S. 1 慨述具有PIN输入功能的-一一完成附录A一一完成本附GS/T 20547.2-2006 附录B(规茹性附录)具有PIN输入功能的设备下列安全明。不符合应给出书面CF)和不适用(N/A)叫故出详细说释
24、。被标注为不适用的清单也B. 2.1 Bl B2 B3 B4 B5 B6 B7 如果PIN必须和输入其他位如果PIN输入设备有显示功能:, Jj!际能显示PIN输入的实际内容,但可以显示一串没有意义的字符,例如星号等,用于标识输人PIN的位数。PIN输入设备应安装防护罩,或者设计成当持卡者输入PIN时,可以用身体挡住PIN输入而不会被人窥视。在交易过程中所用到的PIN或加密密钥的相关信息或存f潜在个抗攻击或反攻击的模块中,或在交易结束后立即被覆盖。注s明文PIN总是在加密后立即被覆盖。不符合| 不适用9 GB/T 20547.2-2006 表B.1 (续)序号安全符合性声明符合不符合不适用当插
25、入卡片时,IC卡读写器插槽内应没有足够空间来容纳PIN窃取装置,要增大设备空间来容纳窃取装置也是不可行的。IC卡和任何其他外物不可能同时驻留在IC卡读卡器插槽内。IC卡插槽的人口B8 处完全处于持卡人的监控下,在插槽人口处的任何不适当的障碍物或可疑物都可以被发觉。注:如果在逻辑(加密)保护下PIN只传送到IC卡,贝HIN输入设备不必遵循该要求。1C卡读写器在构造上能够保证从读卡器插槽到外部记录器或发B9 射器的连接线可以被持卡人观察到。注z如果在逻辑(却l密)保护下PIN只传送到IC-,则PIN输入设备不必遵循该要求。密码键盘和IC卡读卡器或集成于个单独的具有防攻击性(如1S0 13491-1
26、所定义的)的设备中,或存在于两个独立的具有防攻击性B10 的设备中。注:如果在逻辑(加密)保护下PIN只传送到IC卡,则非集成IC卡读卡器不必遵循该要求.B. 2. 2 逻辑安全性PIN输入设备制造商或独立的评估机构应向审计机构提供如表B.2所示的可信材料。表B.2序号安全符合性声明符合不符合不适用PIN在终端内部传输期间的保护(必须至少应用一项): 一一如果PIN输入设备和1C卡读卡器没有集成且1C卡要求的持卡人验证方法为加密P1N,则在PIN输入设备和IC卡读卡器之间应采用IC卡授权的加密密钥或者根据1SO9564-1 和国内相关法规规定对PINBlock加密,P1NBlock采用IC卡授
27、权的加密密钥进行加密并传送给IC卡。或者一一如果P1N输入设备和1C卡读卡器没有集成且持卡人验证方式为明文P1N,则从P1N输入设备到IC卡读卡器(lC卡读卡Bll 器将对PIN进行解密并以明文传输到IC卡)应根据IS09564-1或国内相关法规规定对PINblock进行加密。或者一一如果PIN输入设备和IC卡读卡器已集成且持卡人验证方式为加密PIN,则应采用IC卡授权的加密密钥对P1Nblock加密。或者一一如果PIN输入设备和IC卡读卡器已集成且持卡人验证方式为明文PIN,则如果PINblock完全在受保护的环境传输就不需要加密。如果明文PIN通过不受保护的环境传输到1C卡读卡器,则应根据
28、IS09564-1标准和国内相关法规规定对P1N block进行加密。B12 PIN加密只采用1S09564-1和国内相关法规中规定的PINBlock 格式和加密算法。Bl3 如果PIN输入设备提供软件下载功能,那么除非设备己鉴别该下载代码合法,否则应拒绝所有下载软件(并能启动擦除加密密钥)。_,_一10 GB/T 20547.2-2006 表B.2(续)序号安全符合性声明符合不符合不适用B14 如果PIN输入设备被设计成支持多个收单行,那么仅当巳鉴别该下载数据合法时,才可接收变更收单行密钥对应表的下载。PIN输入设备应具备防止穷举探测PIN值的特性(例如:采用一B15 次一密的技术以防止攻击
29、或限制每分钟PIN的允许输入次数以阻止. 攻击或采用包含随机数的PINBlock格式)。既用于PIN输入也用于其他数据输入的键盘,显示应在设备的控B16 制之下进行。当输出将以明文显那时或满足B2要求时,不能出现类似en ter PIN或等同的提示信息。B17 PIN输入设备应只接受4-12位长度的数字型PIN输入。B18 输入的PIN数值映射成内部编码时必须遵循ISO9564-1和国内相关法规。B19 PIN输入设备对不同的收单行使用不同的密钥插槽,任一收单行的工作人员不可能探知或更改其他收单行的密钥。PIN输入设备对不同的收单行使用不同的密钥,应控制选择交易B20 加密密钥的方法(如:采用
30、内部查询表)以保证一家收单行不可能有意或无意地选用了另一收单行的密钥。B21 密码键盘到加密处理器的通道应采用逻辑保护(如加密),或满足凹的要求。B22 磁条卡读卡器到加密处理器的通道应采用逻辑保护,或满足B3的要求。B.3 设备管理B. 3. 1 PIN输入设备在初始密钥装载过程中的安全防护装载初始密钥的责任人或独立的审计师应向发起者提供如表B.3所示的保证。表B.3序号安全符合性声明符合不符合不适用B23 经过修复的PIN输入设备不能重新装载原密钥偶然情况除外囚无论采用自动技术还是手工流程,都应保证每一台PIN输入设备B24 至少装载一个唯一的静态密钥,该密钥未被任何人所知,并且从未用子任
31、何其他PIN输入设备(偶然情况除外)。B.3.2 PIN输入设备安装后的安全防护收单方或独立的审计师应向审计机构保证已采取了如表B.4所示的措施。表B.4序号安全符合性声明符合不符合不适用B25 PIN输入设备放置场所应满足在输入PIN时不能被监视摄像机观察或被旁边的人窥视。B26 PIN输入设备设备放置场所和/或设备管理惯例应满足可在24h 内发现设备遗失或己遭受非法访问(攻击)。11 GB/T 20547.2-2006 c. 1 概述PIN管理功能包括:一-PIN的发布;注1:PIN输注2:评估下明。不应给出C.2 序号Cl C. 2. 2 逻辑安全性附录C(规范性附录)具有PIN管理功能
32、的设备CN/ A)做出详细说注为不适用的清单也不符合| 不适用PIN管理设备生产厂商或独立审计师应向审计机柑提供如表C.2所示的保证。表C.2序号安全符合性声明符合不符合不适用在交易过程中所用到的PIN或加密密钥的相关信息或存储在一C2 个抗攻击或反攻击的模块中,或在交易结束后立即被覆盖。注:明文PIN总是在加密后立即被覆盖.崎12 序号C3 C4 C5 C6 C7 C8 C9 表C.2(续)安全符合性声明如果PIN是由账号或其他数据导出的,则用于该处理过程的密钥不能用于其他目的。用于计算PIN验证参考僚的密钥不能用于其他目的。如果没有在预定的操作环境中提供防止穷举PIN攻击的保护措施,则应进
33、行内部统计监控庐剧脚喃蝴嘴误PIN验证。在计算错误PIN验证的复合函数调用。任何的,要求:C叫时一所有路牺Cl1 GB/T 20547.2-2006 符合不符合不适用13 GB/T 20547.2-2006 附录D(规范性附录)具有报文鉴别功能的设备D. 1 概述报文鉴别设备通过生成报文鉴别码(MAC)来保障数据的完整性和真实性。有三种输入:一甲一加曹密钥;一一句消息(对MAC鉴别设备而言,消息的末尾是MAC);一一操作员输入(如选择报文鉴别密钥)。对于MAC生成设备来说,有两种输出:己输入(或使用)的加密密钥的校验码和报文鉴别码(MAC)o 对于MAC鉴别设备来说,也有两种输出z己输入(或使
34、用)的加密密钥的校验码和表明通过指定密辆验证的MAC是否正确的晌应信息。有些设备使用不同的密钥来进行MAC鉴别和生戚,如非单向密钥。对于报文鉴别设备的评估过程如下:一一完成附录A中的检测清单;一一完成本附录中的检测清单:一一向审计机柑提交上述两项评估结果。下列安全带合性幢测清单都要求审计师用符合(T)、不符合(F)和不适用(N/A)做出详细说明u不符合标记不表明该项在实际中不可接受,但应该结出书面解释。被标注为不适用的清单也应措出书面解释。D.2 逻辑安全设备特性报文鉴别设备的制造商或一个拍立的审计师应向审计机构提供如表D.l所示的保证。表D.1 序号安全符合性声明符合不符合不适用D1 如果报
35、文鉴别设备可手动启用并包含不同的MAC密钥,那么设备应显示所使用密钥的标识。D2 生成或校验的MAC长度应符合lSO16609和国内相关法规的规定。D3 MAC的生成算法应符合IS016609和思内相关法规,具体白发送者和接收者协商决定。D4 设备仅输出MAC验证是否正确的响应,不能输出生成的MAC明文。D5 如果设备在生成或验证MAC时使用两个密钥,那么所用的技术应符合1S01660日和国内相关法规。如果报文鉴别设备使用非单向MAC密钥,那么一个MAC密钥D6 只能用于种MAC功能,也就是或者用于对收到的消息进行MAC验证,或者用于为传送的消息生成和输出MAC,14 GB/T 20547.2
36、-2006 附录E(规范性附录)具有密钥生成功能的设备E. 1 概述密钥生成功能包括:一一生成对称密钥或对称密钥分量的随机数或伪随机数发生器;一一生成非对称密钥对的私钥和公钥的随机数或伪随机数素数发生器;一一公钥分发系统中计算秘密值的功能。有两类设备可用于产生和注入密钥。一类设备需要阻止世密,因为设备的泄密可能导致泄露设备以前产生或由该设备注人的密钥。另一种设备只需要发现世密飞因为设备不保存己住人加密设备的密钥信息。评估密钥生成设备的过程如下:一一完成附录A中的检测清单;一完成本附录中的检测清单;一一向审计机构提交上述两项评估结果。下列安全符合性检测清单都要求审计师用符合CT)、不符合CF)和
37、不适用CN/A)做出详细说明。不符合标记不表明该项在实际中不可接受,但应该给出书面解释。被标注为不适用的清单也应给出书面解释。E. 2 设备特性E. 2. 1 物理安全性密钥生成设备制造商或独立的审计师应向审计机构提供如表E.l所示的保证。表且1序号安全符合性声明符合不符合不适用应采用以下一种或多种机制防止从放置场所未经授权地移除设备:一一设备本身重量超过40kg或者锁在一个安装防撬锁或类似装置的重量超过40kg重的柜子里,E1 这样设备不能被轻易从己锁的装置中移除;一一设备具有如下机制:当设备从放置场所移除时将导致保存在设备中的加密密钥自动擦除;一一-移除设备没有益处,因为设备的抗攻击特性或
38、反攻击特性可确保不可能得到加密密钥或其他保密数据。E.2.2 逻辑安全性密钥生成设备制造商、使用单位或独立审计师应向审计机构提供如表E.2所示的保证。15 GB/T 20547.2-2006 序号E2 表E.2安全符合性声明设备密钥管理功能从设计上应保证除了内部人员相互句结外不会泄露任何密钥。具体而言:一一设备的主密钥处于双重控制下,至少分为两部分由手工输入;一一只有在至少两个不同的口令被输入的情况下,才能操作输入或输出密钥分量的功能。设备将密钥分解为密钥分量时,应使用不知道所有需要的口|无法确定密钥的任一有效位的方法(例如:采E4 E5 E6 E7 E8 E9 ElO 组成密钥,或使用一种秘
39、密共享技术)。密钥生成方法应符合国内相每一次生成密钥的词用都(偶然情况除外)。如果设备能生成非对候,私钥都不能以可理解如果设备设备只有在双重重控制:一一至少2个口一一至少要有两人设备。以下的操作员功能(如一一为导出、导人或验码); 一一在不激活密钥擦除机制任何专有功能都应满足:一一与一系列标准和被认可的功能完一一-采用榜钥分离机制,专有功能只能使用不能与非专有功能的密钥或其衍生密钥一起使用。El1 t 随机数和伪随机数符合1S018031和国内相关法规的规定。E. 3 设备管理符合不符合密钥生成设备制造商、使用单位或独立审计师应向审计机构提供如表E.3所示的保证。16 不适用GBjT 2054
40、7.2-2006 表E.3序号不适用E12 E13 安全符合性声明利用以下方法来防止或发现对设备的未授权使用z一-应从功能或物理特性例如口令或高安全性的钥匙上保证设备只有在双重控制下才能使用。当设备处于可使用状态时,应有至少两个授权人员进行监视,以保证能及时发现对设备的未授权使用。一一设备被始终锐在或铅封在防攻击柜子中,或者至少有两个授权人员连续进行监视,以保证能及时发现未授权人使用设备。当设备处于使用或准备使用的情况下,备内部电路的未经授权的访问:一一设备工作场所应安装足够符合不符合个两何一有任一少止一己至阻一从已应并一备致备现一设导设发一全能安可一当何平A存A性E E15 的访问:经授权的
41、一一将设的每次E16 被发现的访问:E17 E18 当设备处于使用其内部电路进行尚未发现一一-设备工作场所应安设备加密功能前可一一设备应有两个可信的、有监视。采取控制措施确保可发现设备从系统中重装。17 GB/T 20547.2-2006 附景F(规范性附录)具有密钥传输和加载功能的设备F. 1 概述密钥传输和加载功能包括:一一以明文、分量或密文形式将一个密钥从一个安全加密设备导出到另个安全加密设备;一一从一个安全密码设备导出一个密钥分量到一个防攻击包(如:密码信封); -一从一个防攻击包导人一个密钥分量到一个安全加哥设各;一在传输过程中,密钥以明文、分量或密文形式临时存储在一个安全密码设备内
42、部。有两类设备能以这种方式来传输密钥,一种方式仅传输密钥的单一分量(来自至少两个分量的需钥),另外一种以明文方式传输整个密钥。本审计将考虑两种类型的设备。评估密钥传输和加载设备的过程如下:一一完成附录A中的检测清单;-一完成本附录中的检测清单;-一向审计机构提交上述两项评估结果。下列安全符合性雄测清单都要求审计师用符合(T)、不符合(F)和不适用(N/A)做出详细说明。不符合标记不表明该项在实际中不可接受,但应该给出书面解释。被棉注为不适用的清单也应给出书面解释。卫2设备特性F. 2. 1 物理安全性密钥传输和加载设备制造商、独立的评估机柑应向审t机构提供如表F.l所示的保证。表F.1 序号安
43、全符合性声明符合不符合不适用应采用以下一种或多种机制防止从运行地点未经授权地移除设备:一一设备应包含反攻击机制,以保证当该设备从它的运行位置移Fl 除时自动擦除设备内部的加密密钥;一一设备的抗攻击和反攻击特性保证了抽取密钥和其他安全数据是不可行的。F.2.2 逻辑安全性密钥传输和加载设备制造商、独立的评估机构应向审计机掏提供如表F.2所示的保证。18 GB/T 20547.2-2006 表卫2序号安全符合性声明符合不符合不适用F2 保护密钥,防止被替换和修改。设备密钥管理功能从设计上应保证除了内部人员相互勾结外不会泄露任何密钥。具体而言:F3 一一-设备的主密钥处于双重控制下,如为对称密钥,至
44、少分为两部分由手工输入;一-用来输入和输出密钥分量的任何功能只能在双重控制下,经过授权才能执行。设备只有在至少两个授权人员在场的情况下才能输出密钥。可F4 采用以下方法保证双重控制:一一至少2个口令在5min内被正确输入;一一至少要有两把不同的不能复制的钥匙同时插入设备。如果设备设计成具有敏感状态,则可在敏感状态下执行下列操作:F5 一一产生用于密钥导出、导人和使用的控制数据(例如:密钥校验码); 一在不激活密钥擦除机制的情况下移动设备;-一-修改使设备进入敏感状态的口令或数据。设备中的功能调用和敏感操作员功能都已获得发起方认可,或已经被设备所在的应用系统支持,所有专用功能应满足:F6 一一一
45、与一系列标准和被认可的功能完全等同;一一采用密钥分离机制,专有功能只能使用专有密钥,这些密钥不能与密钥、衍生密钥或非专有功能的敏感数据一起使用。F7 一且设备加载了密钥后,对设备功能的修改或引发自动擦除密钥,或可在下次加载密钥前被发现回设备不能保留可能导致泄露己传送给另一台加密设备的密钥的任何信息。注:不赞成以下应用:F8 一一密钥装载设备用于使用同样的主文件密钥装载多个硬件加密机(例如:当硬件加德机使用一个密钥数据库时); 一一用密钥装载设备产生一机一密,将它们下载到FIN输入设备中,然后将密钥文件传人硬件加密机中。F.3 设备管理密钥传输和加载设备制造商、独立的评估机构应向审计机构提供如表
46、F.3所示的保证。19 GB/T 20547.2-2006 序号F9 FI0 Fll F12 F13 F14 表F.3安全符合性声明应保护和/或检查传输密钥、分量或口令的设备的传输机制,以防止在未授权情况下利用任何监控方式获取密钥、分量和口令。如果设备需要阻止泄密,则当设备未使用时,可通过下列方法防止对内部电路未经授权的访问:一一设备工作场所应安装足够的经授权的访问F可输人密钥分量的工作必F15 I视下进行。并且应保证密钥分量在从的通道中没有漏洞或其他泄密机制自如果设备包含明文密钥分量,则或由被允许访问该密钥分量的人员对设备进行持续监视(该人员应明确其责任是确保该分量的安全), F16 I 或
47、将设备锁定或封存在安全的机箱中,并且保证除授权人员外,其他人都不可能在不被发现的情况下打开该机箱。从密钥传输设备导出密钥分量至加密设备的过程应在授权接触F17 I该密钥分量的人员的监视下进行,并且应保证密钥分量在从密钥生成设备到密钥传输设备的通道中没有漏洞或其他泄密机制。20 符合不符合不适用序号F18 F19 F20 F21 I名F22 表F.3(续)安全符合性声明将密钥从一台安全加密设备传输到另一台应采用以下方法:一-使用一条安全的通讯通道;一一使用安全的密钥传输设备;一一使用一条安全的加密通道;一-在安全的环境中进行操作。任何被授权输出密钥的被按如下方确定密钥的GB/T 20547.2-
48、2006 符合不符合不适用21 GB/T 20547.2-2006 附录G(规范性附录)具有数字签名功能的设备G. 1 楠述数字签名设备生成或验证数字签名以提供数据完整性和真实性。在某些情况下,经过严格控制,数字签名也可以提供不可否认性。对数字签名生成来说,输入包括消息和私钥。对数字签名验证来说,输入包括情息和公钥。这两个功能的运算都是在安全加密设备。CD)内完成的。用来验证数字签名的公钥既不是秘密数据,也不是数字签名所保护的内容。但是,必须保证其完整性。评估数字签名设备的过程如下:一一完成附录A中的检测清单;-一完成附录E中的检测清单;一一完成本附录中的检测清单;一一一向审计机构提交上述评估
49、结果。下列安全符合性检测清单都要求审计师用符合(T)飞不符合(F)和不适用(N/A)做出详细说明。不符合标记不表明该项在实际中不可接受,但应该给出书面解释。被标注为不适用的清单也应给出书面解释。G.2 设备管理G.2. 1 基本要求安全设备制造商利用户,以及要使用设备的个人或组织,都需要向审计机构提供如表1所示的保证。囊G.1 序号安全符合性声明符合不符合不适用如果要求不可否认性,则:-一应在数字签名设备中生成非对称密钥对的私钥和公钥;Gl 一-不得以任何理由(包括备份和存档从原始数字签名设备中输出非对称密钥对的私钥;一一建立控制私钥使用的机制。G.2.2 数字签名鉴别管理由独立机构(内部或外部的)对数字签名设备的管理功能进行评估,并得出如表G.2所示的结论。表G.2序号安全符合性声明符合不符合不适用为了便于审计和控制,应
