ICS35.040 L80 备案号:44629—2014 GM 中华人民共和国密码行业标准 GM/T0028—2014 密码模块安全技术要求 Security requirements for cryptographic modules 2014-02-13发布 2014-02-13实施 国家密码管理局 发布 GM/T0028-2014 目 次 前言 引言 IV 1范围 2规范性引用文件 3术语和定义 4缩略语 11 5密码模块安全等级10 5.1概述 10 5.2安全一级 11 5.3安全二级 11 5.4安全三级 11 5.5安全四级 12 6功能性安全目标 12 7安全要求 13 7.1通用要求 13 7.2密码模块规格 14 7.3密码模块接口16 7.4角色、服务和鉴别 18 7.5 软件/固件安全 21 7.6运行环境 22 7.7物理安全 25 7.8 非人侵式安全 30 7.9敏感安全参数管理 30 7.10 自测试 33 7.11生命周期保障 36 7.12对其他攻击的缓解 39 附录A(规范性附录)文档要求 40 A.1用途 40 A.2条款 40 附录B(规范性附录)密码模块安全策略 45 B.1用途 45 B.2条款 45 附录C(规范性附录)核准的安全功能 49 C.1用途 .49 C.2条款 49 I GM/T0028-2014 附录D(规范性附录)核准的敏感安全参数生成和建立方法51 D.1用途 51 D.2条款 51 附录E(规范性附录)核准的鉴别机制 52 E.1用途 52 E.2鉴别机制 52 附录F(规范性附录)非入侵式攻击及常用的缓解方法 53 F.1用途 53 53 非人侵式攻击 参考文献 54 Ⅱ GM/T0028-2014 前言 本标准按照GB/T1.1一2009给出的规则起草. 本标准使用重新起草法参考ISO19790:2012《密码模块安全要求》编制,与ISO19790:2012的一 致性程度为非等效. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任. 本标准由密码行业标准化技术委员会提出并归口. 本标准的主要起草单位:中国科学院数据与通信保护研究教育中心、北京握奇智能科技有限公司、 北京数字认证股份有限公司、赞嘉电子科技(北京)有限公司、飞天诚信科技股份有限公司、北京海泰方 圆科技有限公司、北京华大智宝电子系统有限公司、国家密码管理局商用密码检测中心、上海格尔软件 股份有限公司、北京创元天地科技有限公司. 本标准的主要起草人:高能、荆继武、汪婧、屠晨阳、汪雪林、陈国、詹榜华、张嘉纯、朱鹏飞、蒋红宇、 陈跃、罗鹏、谭武征、张万涛、刘丽敏、王跃武、向继、王琼霄、林璟锵、夏鲁宁. Ⅲ GM/T0028-2014 引言 在信息技术中,密码的应用需求日益增强,比如数据需要密码的保护以防止非授权的访问.密码 可以用于支持实体鉴别和不可抵赖等安全服务,密码的安全性与可靠性直接取决于实现它们的密码 模块. 本标准规定了四个递增的、定性的安全要求等级,以满足密码模块在不同应用和工作环境中的要 求.本标准规定的安全要求涵盖了有关密码模块的安全设计、实现、运行与废弃的安全元素(域).这些 域包括:密码模块规格,密码模块接口,角色、鉴别和服务,软件/固件安全,运行环境,物理安全,非入侵 式安全,敏感安全参数管理,自测试,生命周期保障,以及对其他攻击的缓解. 本标准对密码模块提出了安全要求,但不对密码模块的正确应用和安全部署进行规范.密码模块 的操作员在应用或部署模块时,有责任确保模块提供的安全保护是充分的,且对信息者而言是可接 受的,同时任何残余风险要告知信息者.必须选取合适的安全等级的密码模块,使得模块能够满足 应用的安全需求并适应所处环境的安全现状. N ...
GM/T 0028-2014 密码模块安全技术要求.pdf
