下一代密码模块安全标准探讨.PDF

atsec Information Security Tel: +86- 10 Fax: +86-10 下一代密码模块安全标准探讨 艾特赛克（北京）信息技术有限公司 李迪 本文为atsec 和作者技术共享类文章，旨在共同探讨信息安全业界的相关话题。未经许可，任何单位及 个人不得以任何方式或理由对本文的任何内容进行修改。转载请注明：atsec 信息安全和作者名称 1 背景 作为全球范围认可程度最高的密码模块安全标准，从2001 年颁布算起，FIPS 140-2 已经走过了17 年的时光，通过FIPS 140-2 认证的密码产品已达3336 款（截至2018 年 12 月3 日），参与厂商 超过600 家，其中国内厂商如华为、握奇数据、三未信安、海康威视等也都有多款且不同类型的产品 均通过了atsec 的测评且获得了FIPS 140-2 证书。 然而就是在这 17 年间，IT 业界的新技术、新标准层出不穷，如大数据、云计算、物联网、AI 等，而 密码模块的使用也已经不局限于银行、电信等传统领域，而是广泛的拓展到了智能设备、互联网、移动 应用等，并且和大众的日常生活息息相关。这也就导致了密码模块产业内对出台下一代标准的呼声越来 越高，并且对下一代密码模块安全标准的要求也有所提高，比如： 从美国体系下分离出来，变成国际认可标准用以切合各国实际要求 易于变更的流程，可以及时反映出业界的新技术和新思想 移除旧的不能贴合实际的标准要求 针对新类型产品，提供更易于实现以及用户友好的机制 2 新标准的发展 由美国美国国家标准研究院（NIST）和加拿大通信安全局 （CSE）联合成立的密码模块认证计划组织 y t （CMVP）在2005 年开始着手制定下一代密码模块安全标准，然而最终由于该标准草案收到大量的无 i r 法解决的公众意见而始终未能定稿，并且在2006 年ISO/IEC 19790 草案出台后正式被废弃。在之 u 后几年中，ISO/IEC 19790 经历了数次改版，CMVP 也在计划将其作为FIPS 140-2 的下一代标 c e 准。一旦获批，意味着美国和加拿大将直接使用ISO/IEC 19790 作为下一代密码模块安全标准，而 s NIST 计划分配FIPS 140-3 作为该标准代号。下图是ISO/IEC 19790 标准制定进展： n o i t a m r o f n i c e s t a © 2018 atsec information security Classification: atsec public page 1 of 8 atsec Information Security Tel: +86- 10 Fax: +86-10