GMT0028-《密码模块安全技术要求》详细解读.pptVIP

7.6.3 可修改运行环境的操作系统要求 （安全三级、四级） 标准对可修改运行环境的操作系统不提供安全三级和四级的要求。 因此，可修改运行环境的操作系统无法达到安全三级和四级。 7.7 物理安全 密码模块应当采用物理安全机制以限制对模块内容的非授权物理访问，并阻止对已安装模块的非授权使用或修改（包括整个模块的替换）。密码边界内的所有硬件、软件、固件、数据分量以及敏感安全参数应当受到保护。 若密码模块完全由软件实现，使得物理安全仅由计算平台提供，那么该模块将不受本标准物理安全要求的限制。 本条中的要求应当适用于硬件和固件模块，以及混合模块中的硬件和固件部件。 本条的要求应当适用于已定义的模块物理边界。 物理安全要求是针对下列三类密码模块物理实体做出规定的： 单芯片密码模块是指由单个集成电路（IC）芯片构成的模块，该芯片可以作为独立模块使用，或者可以嵌入到一个可能没有物理保护的外壳或产品内。单芯片密码模块的例子有单IC芯片和单IC芯片智能卡。 多芯片嵌入式密码模块是指由两个或多个互相连接的IC芯片构成的模块，这些芯片嵌入到一个可能没有物理保护的外壳或产品内。多芯片嵌入式密码模块的例子有适配器和扩展板。 多芯片独立式密码模块是指由多个互相连接的IC芯片构成的模块，该模块的整个外壳受到物理保护。多芯片独立密码模块的例子有加密路由器、安全无线电话和USB令牌。 7.7.1 物理安全实体 1/2 7.7.1 物理安全实体 2/2 安全一级提出了最基本的安全要求。 安全二级增加了拆卸存迹机制的要求，以及确保无法对模块关键区域的内部操作收集信息的要求。 安全三级增加了使用坚固或硬质的保形或非保形外壳的要求，要求外壳的封盖和门具有拆卸检测和响应机制，并且要求抵抗通过开口或入口的直接探测。安全三级还要求具备环境失效保护（EFP）或环境失效测试（EFT）。 安全四级进一步增加了使用坚固或硬质的保形或非保形外壳的要求，要求整个外壳具有拆卸检测和响应机制。安全四级还要求具备环境失效保护（EFP），以及防止错误注入攻击。 7.7.2 通用物理安全要求 模块文档应当阐述密码模块的物理实体以及所实现的物理安全机制达到的安全等级。 每当为物理安全进行置零操作时，应当在极短的时间内执行置零，以防止敏感数据在检测到拆卸行为与模块置零之间泄露出去。 如果模块包含的维护角色需要对模块内容进行物理访问，或者模块被设计成允许物理访问（例如，被模块厂商或其他授权个体访问），那么： 应当定义维护访问接口。 维护访问接口应当包括所有通向密码模块内容的物理访问路径，包括任何封盖或门。 维护访问接口内包含的任何封盖或门应当使用适当的物理安全机制来进行安全保护。 7.7.2 通用物理安全要求（一级） 下列要求应当适用于安全一级的所有密码模块： 密码模块应当由产品级部件组成，这些产品级部件采用了标准钝化技术，例如，对整个模块电路使用保形涂料或封闭底漆，以防止环境损害或其他物理损害。 当维护密码模块时，应当由操作员按照规定的程序执行置零，或由密码模块自动执行。 7.7.2 通用物理安全要求（二级） 除了安全一级的通用要求，安全二级的所有密码模块还应当满足下列要求： 在尝试物理访问模块时，密码模块应当提供显式的拆卸证据（例如，在封盖、外壳或封条上）； 拆卸存迹的材料、涂层或外壳应当在可见光谱内（即波长范围为400nm?750nm）是不透明或者半透明的，从而防止对模块关键区域的内部操作进行信息收集。 如果密码模块包含通风孔或缝，那么孔或缝应当具有特殊的构造，从而防止通过直接观察模块内部的构造或部件进行信息收集。上述直接观察利用了模块内部结构或部件发出的可见光。 7.7.2 通用物理安全要求（三级） 除了对安全一级和二级的通用要求，安全三级的所有密码模块还应当满足下列要求： 如果模块含有任何门或封盖，或者定义了维护访问接口，那么模块应当包含拆卸响应与置零电路。在打开门、封盖或维护访问接口时，拆卸响应与置零电路应当立即置零所有未受保护的敏感安全参数。当密码模块内包含未受保护的敏感安全参数时，拆卸响应与置零电路应当保持运行状态。 如果密码模块含有通风孔或缝，那么孔或缝应当具有特殊的构造，从而防止未被检测到的对模块内部的物理探测（例如，防止使用单铰链探头探测）。 当模块温度超出运行、存放和分发的预期温度范围时，坚固或硬质的保形或非保形的外壳、涂层或灌封材料应当维持强度和硬度特征。 如果使用了拆卸封条，那么应当使用被唯一编号或者能够独立识别的封条（例如，唯一编号的存迹胶带或可唯一识别的手写封条）。 模块应当具有EFP特性或经过EFT。（环境故障保护） 7.7.2 通用物理安全要求（四级） 除了安全一级、二级和三级的通用要求，安全四级的所有模块还应当满足下列要求： 密码模块应当使用抗移除的硬质不透明涂