新闻动态
加密模块安全等级
来源: | 作者:望安科技 | 发布时间: 182天前 | 660 次浏览 | 分享到:


ISO/IEC 19790:2012(E)

《ISO/IEC 19790:2012(E)  Information technology — Security  techniques — Security requirements for cryptographic modules》,是FIPS 140早期版本更新基础上的国际标准。FIPS 140-3与ISO/IEC 19790:2012(E)一致,包括允许CMVP(作为验证机构)修改的附件。


以下小节提供了ISO/IEC 19790:2012(E)中四种安全等级的概述。在本文档中,模块指加密模块。加密技术在四个安全等级上是相同的。每个安全等级对模块本身的保护(例如对内部组件和操作的访问和了解)以及模块中包含和控制的敏感安全参数提出了越来越高的安全要求。

安全等级1

01

     安全等级1提供了安全等级的基线。为加密模块指定基本的安全要求(例如,必须使用至少一种经批准的安全功能或经批准的敏感安全参数建立方法)。软件或固件模块可以运行在不可修改、受限的或可修改的运行环境中。在安全等级1硬件加密模块中,除了对工业生产组件的基本要求外,不需要任何特定的物理安全机制。加密模块实现的针对非侵入式攻击或其他攻击的环节方法需要有文档记录。安全等级1加密模块示例:个人计算机(PC)中的硬件加密板、手持设备或通用计算机中的加密工具包。

     安全等级1的模块实现非常适合安全应用程序,其中控制(例如物理安全、网络安全和管理过程)在模块外部,但在模块的部署环境中提供。例如,在这种环境中,安全等级1的加密模块的实现可能比更高保证级别的相应模块更具成本效益,更高保证级别为模块敏感安全参数提供更高的安全性,使组织能够选择替代的加密解决方案来满足安全要求,其中关注模块运行的环境对于提供整体安全性至关重要。


安全等级2

     安全等级2通过增加对防篡改证据的要求来增强安全等级1的物理安全机制,例如在可移动的盖子/门上使用防篡改涂层、密封条或防撬锁。

     防篡改涂层或密封件放置在模块上,因此必须破坏涂层或密封件才能对模块内的敏感安全参数进行物理访问。防篡改密封或防撬锁放置在盖子或门上,以防未经授权的物理访问。

    安全等级2需要基于角色的身份验证。加密模块需要对操作员进行身份验证,以确定其是否有权执行相应的服务。

NEWS