安全模块之FIPS 140-2标准和国密标准对比
一、FIPS140-2定义的安全级别
安全分为四个级别,1最低级别,4最高级别。
安全级别 | 级别1 | 级别2 | 级别3 | 级别4 |
---|---|---|---|---|
内容 | 仅加解密模块 | 加解密模块、基于角色的访问授权机制、运行环境安全EAL2+、一定的抗物理攻击能力 | 完备的抗物理攻击能力(立即清理敏感数据)、基于身份的访问授权机制、参数传递安全、运行环境EAL3+ | 完全抗物理攻击能力、运行环境EAL4+ |
具体定义见《FIPS 140-2加密模块的安全要求》。
二、国密对于安全模块的等级划分
国密针对密码模块有四级划分,一级最低级别,四级最高。
一级
计算机加密硬件板卡属于一级,适用于已经配置了物理安全、网络安全以及管理过程等控制措施的运行环境。
二级
安全二级硬件密码模块具有拆卸证据,但不针对探针攻击;对安全二级软件密码模块的逻辑保护由操作系统提供。二级应该软件密码模块能够达到的最高等级。
三级
安全三级密码模块能够检测并防护直接访问和探测的物理攻击;执行服务时会验证操作员的身份和权限;能够有效防止电压、温度等环境异常对模块安全性的破坏;具备非入侵式攻击缓解技术的有效性证据和测试方法;有效保护明文关键安全参数或密钥分量的输入和输出。
四级
安全四级是标准中的最高安全等级。除了安全三级提供的物理防护功能,安全四级密码模块提供了覆盖整个密码模块的防护机制,即从任何角度、任何方式对密码模块的入侵都会被密码模块检测到。安全四级密码模块可以抵抗使用特制工具的高强度长时间攻击。
详见GM/T 0028-2014《密码模块安全技术要求》和GM/T 0039-2015《密码模块安全检测要求》
三、国密对于安全芯片的三个等级划分
安全等级1
安全等级1规定了安全芯片的安全能力需满足的最低安全等级要求。安全等级1要求安全芯片对密钥和敏感信息提供基本的保护措施。
达到安全等级1的安全芯片可应用于安全芯片所部署的外部运行环境能够保障安全芯片自身物理安全和输入输出信息安全的应用场合。
安全等级2
安全等级2规定了安全芯片的安全能力所能达到的中等安全等级要求。在安全等级1基础上,安全等级2规定了安全芯片须具有的逻辑和物理防御措施,并要求送检单位能够对相应防御措施的有效性进行说明,安全芯片应具有较全面的生命周期保障。
达到安全等级2的安全芯片可应用于安全芯片所部署的外部运行环境不能保障安全芯片自身物理安全和输入输出信息安全的应用场合,在该环境下安全芯片对各种安全风险具有基本的防护能力。
安全等级3
安全等级3规定了安全芯片的安全能力所能达到的高安全等级要求。在安全等级2的基础上,安全等级3规定了安全芯片须具有的逻辑和物理保护措施。安全等级3要求安全芯片能够对密钥和敏感信息提供高级保护,要求安全芯片具有逻辑和物理安全机制能够对密钥和敏感信息提供完整的保护,要求安全芯片能够防御本标准指定的各种攻击,要求送检单位能够证明相关防御措施的有效性,并要求安全芯片应具有完整的生命周期保障。
达到安全等级3的安全芯片可应用于安全芯片所部署的外部运行环境不能保障安全芯片自身物理安全和输入输出信息安全的应用场合,在该环境下安全芯片对各种安全风险具有全面的防护能力。
详见《GM/T 0008-2012 安全芯片密码检测准则》
四、总结
国密的安全模块四级标准基本对应美国FIPS140-2加密模块的安全标准。如果有兴趣可以了解SPA、DPA、故障攻击等相关知识。
安全模块之FIPS 140-2标准和国密标准对比相关推荐
- 智能密码钥匙国密标准GMT0027-2014
智能密码钥匙实现实现密码运算.密钥管理功能的终端密码设备,一般使用 USB 接口形态.相关认证依据及标准包括: (1)GM/T 0027-2014智能密码钥匙技术规范(密码产品类标准) (2)GM/T ...
- HSM 加密机 硬件加密机 国密标准解读 安当加密
HSM全称硬件安全模块,是数据安全领域的关键硬件设备,是公钥基础设施的一部分.本文从国密0054出发,概要分析了HSM也就是通常说的服务器密码机需要遵循的国密相关标准,以及与等保的关系. 一.信息系统 ...
- HSM硬件加密机国密标准解读
HSM全称硬件安全模块,是数据安全领域的关键硬件设备,是公钥基础设施的一部分.本文从国密0054出发,概要分析了HSM也就是通常说的服务器密码机需要遵循的国密相关标准,以及与等保的关系. 一.信息系统 ...
- mysql 国密_Centos7 编译安装 Openssl 1.1.1 支持国密标准-1002682
OpenSSL项目新版本增加了中国SM2/SM3/SM4算法的支持: SM2椭圆曲线: https://github.com/openssl/openssl/pull/4793 SM3哈希摘要: ht ...
- 智能IC卡国密标准GMT0041-2015
智能IC卡是实现密码运算和密钥管理 功能的含 CPU(中央处理 器)的集成电路卡,包括应 用于金融等行业领域的智能IC卡.相关标准包括: (1)GM/T0041-2015 智能IC卡密码检测规范(密码 ...
- SM4国密标准 GB/T 32907-2016
图片发自简书App http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=7803DE42D3BC5E80B0C3E5D8E873D56A 标准号:GB/T 32907 ...
- 国密标准官方查看地址
国家密码管理局关于发布 <SM2密码算法使用规范>等14项密码行业标准公告 国家密码管理局关于发布 <祖冲之序列密码算法>等6项密码行业标准公告 查看标准的国家网站 http: ...
- 金融数据密码机国密标准GMT0045-2016
金融数据密码机是在金融领域内,用于确保金融数据安全,并符合金融磁条卡.IC卡月特定的,主要实现PIN加密.PIN转加密.MAC产生和校验.数据加解密.签名验证以及密钥管理等密码服务功能的密码设备,也称 ...
- 国密标准解读- 对称密钥管理 (加密机 HSM 安当加密)
标准适用范围 规范标准号为GM/T 0051-2016,它规定了对称密钥管理应用的密钥及系统相关技术要求,包括对称密钥管理安全要求.系统体系结构及功能要求.密钥管理安全协议及接口设计要求.管理中心建设 ...
- 如何通过GB35114国密标准接入到LiveGBS GB28181/GB35114监控平台
1.1 安装LiveGBS GB28181/GB35114视频平台 1.2 获取设备端证书给平台 我们用LiveNVR做为设备端向LiveGBS注册,这里先将LiveNVR的证书导出,并给LiveGB ...
最新文章
- linux笔记 1-13-软件安装
- 细说接口性能优化的11个小技巧
- JAVA_OPTS 参数
- windows环境下设置Redis自启动
- jira使用教程pdf_jira项目管理系统使用指南.pdf
- 基于深度学习的文本分类3
- noi 3531 判断整除
- OBJ文件格式分析工具: objdump, nm,ar
- Ubuntu新版发布周期
- 不知不觉,到51cto一年了!
- 100行python代码实现细胞自动机(康威生命游戏)
- 软件设计模式Java版
- c语言看门狗的作用,看门狗定时器工作原理及作用
- 关于Enterprise library logging中一个没搞明白的东西,希望有大大们进来帮忙释疑一下, THKS...
- 中国大学慕课MOOC第七章测试题答案
- 论文笔记——使用信息熵对复杂网络中节点进行影响力排名
- 北斗GPS系统在车辆管理系统中的运用与北斗GPS车辆管理调度系统平台建设方案硬件设备
- git-cz 规范提交代码注释
- 联想YOGA14s(2021) i5-11300H MX450双系统安装Ubuntu20.04全过程
- 3-SII--Android的SD卡文件读写