密码模块安全等级 GM/T 0028

概述

密码模块是指实现密码运算、密钥管理等功能的硬件、软件、固件或其组合。GM/T 0028中提出了四个要求递增的安全等级以保护密码模块和密码模块中包含和控制的敏感安全参数。每一级安全等级都包含前一个等级的所有要求。

安全一级

模块应当使用至少一个核准的安全功能或核准的敏感安全参数建立方法，需要文档记录以针对非入侵式攻击或其他攻击，没有其他特殊的物理安全机制要求。
当模块外部的应用系统已经配置了物理安全、网络安全和管理过程等措施时，安全一级的模块非常经济适用。例如：个人计算机中的硬件加密板卡、运行在手持设备或通用计算机上的密码工具包等

安全二级

拆卸证据：例如适用拆卸存迹的涂层或封条，或加上防撬锁手段以防止非授权的物理访问，一旦安全参数被物理访问，模块上的拆卸存迹涂层或封条必须破碎。

基于角色的鉴别：模块需要鉴别并验证操作员角色以确定其是否有权执行对应的操作。

基于角色的访问控制或自主访问控制：模块可以运行在可修改的环境中，但必须实现访问控制，自主访问控制应能够定义新的组，通过防蚊扣那个值列表（ACL）分配权限和将用户分配给多个组。访问控制应阻止非授权的执行、修改和读取实现密码功能的软件。

安全三级

更强的物理安全机制要求：应能够大概率检测到以下行为并作出响应：直接物理访问、密码模块的使用或修改、通过通风孔或缝隙对模块的探测。当模块的封盖被打开时，响应电路应将所有的关键安全参数置零。

环境失效测试：应有效防止电压、温度超出正常范围对模块安全性的破坏。应设计环境保护特性泳衣检测环境异常并置零关键全参数。

基于身份的鉴别：验证操作员的身份是否被授权担任特定角色，是否能执行相应操作。

关键安全参数保护：手动建立的明文关键安全参数必须经过加密、使用可信信道或使用知识拆分来输入或输出。

非入侵式攻击缓解技术：应提供非入侵式攻击缓解技术的有效性证据和测试方法。

生命周期保障：如自动配置管理、详细设计、底层测试和基于厂商所提供的的鉴别信息的操作员鉴别。

注意：软件密码模块能够达到的最大整体安全等级限定为安全二级，因为软件模块无法实现物理安全机制。

安全四级

完整的封套保护：无论外部电源是否供电，当模块包含敏感安全参数时，检测并响应所有非授权的物理访问。当检测到任何方向穿透密码模块外壳，敏感安全参数将被立刻置零。适用于无物理保护的环境。

多因素鉴别：至少两个：已知某物，拥有某物，生物特征

环境保护特性：检测环境异常并置零关键安全参数

非入侵式攻击缓解：能量分析，计时分析，电磁泄漏

一致性验证：验证前置和后置条件与功能规格之间的一致性