TIÊU CHUẨN QUỐC GIA TCVN 12211:2018 (ISO/IEC 24759:2017) VỀ CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – YÊU CẦU KIỂM THỬ CHO MÔ-ĐUN MẬT MÃ
TIÊU CHUẨN QUỐC GIA
TCVN 12211:2018
ISO/IEC 24759:2017
CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – YÊU CẦU KIỂM THỬ CHO MÔ-ĐUN MẬT MÃ
Information technology – Security techniques – Test requirements for cryptographic modules
MỤC LỤC
Lời nói đầu
1 Phạm vi áp dụng
2 Tài liệu viện dẫn
3 Thuật ngữ và định nghĩa
4 Ký hiệu và chữ viết tắt
5 Tổ chức tài liệu
5.1 Tổng quan
5.2 Các khẳng định và các yêu cầu an toàn
6 Các yêu cầu an toàn
6.1 Tổng quan
6.2 Đặc tả mô-đun mật mã
6.3 Giao diện mô-đun mật mã
6.4 Các vai trò, dịch vụ và xác thực
6.5 An toàn phần mềm/phần sụn
6.6 Môi trường hoạt động
6.7 An toàn vật lý
6.8 An toàn không xâm lấn
6.9 Quản lý tham số an toàn nhạy cảm
6.10 Tự kiểm tra
6.11 Đảm bảo vòng đời
6.12 Giảm thiểu các tấn công khác
6.13 Yêu cầu tài liệu
6.14 Chính sách an toàn mô-đun mật mã
6.15 Chức năng an toàn được phê duyệt
6.16 Phương pháp tạo và thiết lập các thông số an toàn nhạy cảm được phê duyệt
6.17 Cơ chế xác thực được phê duyệt
6.18 Chuẩn đo kiểm tra giảm thiểu tấn công không xâm lấn được phê duyệt
Lời nói đầu
TCVN 12211:2018 hoàn toàn tương đương với ISO/IEC 24759:2017.
TCVN 12211:2018 do Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã biên soạn, Ban Cơ yếu Chính phủ đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.
CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – YÊU CẦU KIỂM THỬ CHO MÔ-ĐUN MẬT MÃ
Information technology – Security techniques – Test requirements for cryptographic modules
1 Phạm vi áp dụng
Tiêu chuẩn này quy định các phương pháp được các trung tâm kiểm định sử dụng để kiểm tra xem các mô-đun mật mã có tuân theo các yêu cầu được quy định trong TCVN 11295 hay không. Các phương pháp được phát triển để cung cấp tính chất khách quan cao trong quá trình kiểm thử và để đảm bảo sự nhất quán giữa các trung tâm kiểm định .
Tiêu chuẩn này cũng quy định các yêu cầu đối với thông tin mà các nhà cung cấp cung cấp cho các trung tâm kiểm định như các bằng chứng hỗ trợ để chứng tỏ các mô-đun mật mã của họ tuân theo các yêu cầu được quy định trong TCVN 11295.
Nhà cung cấp có thể sử dụng tiêu chuẩn này như là hướng dẫn để thử xác minh xem mô-đun mật mã của họ có đáp ứng được các yêu cầu được quy định trong TCVN 11295 trước khi đề nghị phòng kiểm thử.
2 Tài liệu viện dẫn
Các tài liệu sau (toàn bộ hoặc một phần) là tham chiếu quy chuẩn trong tài liệu này và không thể thiếu được cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì chỉ áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất của tài liệu được tham chiếu (bao gồm cả các sửa đổi, bổ sung nếu có).
TCVN 11295, Công nghệ thông tin – Kỹ thuật an toàn – Các yêu cầu an toàn cho mô-đun mật mã.
3 Thuật ngữ và định nghĩa
Với mục đích của tiêu chuẩn này, các thuật ngữ và định nghĩa được đưa ra trong TCVN 11295 được áp dụng.
4 Ký hiệu và chữ viết tắt
Với mục đích của tiêu chuẩn này, các ký hiệu và thuật ngữ viết tắt quy định trong TCVN 11295:2016 được áp dụng.
5 Tổ chức tài liệu
5.1 Tổng quan
Điều 6 đặc tả các phương pháp được các trung tâm kiểm định sử dụng và các yêu cầu về thông tin mà nhà cung cấp phải cung cấp cho các trung tâm kiểm định. Điều 6, bên cạnh tiểu mục tổng quan 6.1, còn gồm 11 điều con tương ứng với 11 lĩnh vực về các yêu cầu an toàn và 6 tiểu mục tương ứng với sáu phụ lục từ A đến F của TCVN 11295:2016.
5.2 Các khẳng định và các yêu cầu an toàn
Trong mỗi tiểu mục dưới đây, các yêu cầu an toàn tương ứng từ TCVN 11295:2016 được chia thành một tập các khẳng định (nghĩa là các phát biểu phải đúng cho mô-đun mà thỏa mãn yêu cầu của một lĩnh vực cụ thể ở một mức độ quy định. Tất cả các khẳng định là các trích dẫn trực tiếp từ TCVN 11295:2016.
Các khẳng định được ký hiệu theo dạng:
AS <requirement_number>. <assertion sequence_number>
Trong đó “requirement_number” là số của lĩnh vực tương ứng được đặc tả trong TCVN 11295:2016 (tức là từ 1 đến 12 và từ A đến F), và “assertion_sequence_number” là số xác định tuần tự cho các khẳng định bên trong tiểu mục. Sau mỗi phát biểu của từng khẳng định, các mức độ an toàn mà khẳng định áp dụng (cấp độ từ 1 đến 4) được liệt kê trong dấu ngoặc đơn.
Mỗi một khẳng định sau là một bộ yêu cầu được áp vào nhà cung cấp. Các yêu cầu này mô tả các loại tài liệu hoặc thông tin rõ ràng mà nhà cung cấp phải cung cấp để Kiểm thử viên xác minh sự phù hợp với yêu cầu khẳng định. Những yêu cầu này được ký hiệu bằng mẫu dạng:
VE<requirement_number>.<assertion_sequence_number>.<sequence_number>
Trong đó “sequence_number” và “assertion_sequence_number” là giống với sổ yêu cầu khẳng định, và số tuần tự, “sequence_number” là một xác định tuần tự với các yêu cầu của nhà cung cấp trong yêu cầu khẳng định.
Cũng theo mỗi khẳng định và các yêu cầu được áp cho nhà cung cấp là một bộ yêu cầu được áp cho kiểm thử viên của mô-đun mật mã. Những yêu cầu này hướng dẫn kiểm thử viên làm thế nào để kiểm thử mô-đun mật mã tương ứng với khẳng định cụ thể. Các yêu cầu này được biểu thị theo hình thức sau:
TE<requirement_number>.<assertion_sequence_number>.<sequence_number>
Trong đó “requirement_number” và “assertion_sequence_number” là giống với số yêu cầu khẳng định, và số tuần tự, “sequence_number” là một xác định tuần tự với các yêu cầu của kiểm thử viên trong yêu cầu khẳng định.
Tổ chức chịu trách nhiệm có thể sửa đổi, thêm hoặc xóa VEs và/hoặc TE trong tiêu chuẩn này.
5.3 Khẳng định với tham khảo chéo
Để rõ ràng trong một số khẳng định, các tham chiếu chéo tới TCVN 11295:2016 hoặc các số khẳng định khác đã được đặt giữa dấu ngoặc nhọn “{” và “}“. Các tài liệu tham khảo chéo được viết in nghiêng.
6 Các yêu cầu an toàn
6.1 Tổng quan
CHÚ THÍCH Tiểu mục này đưa ra các yêu cầu chung để đạt được các khẳng định ở các tiểu mục khác trong Điều 6 và TCVN 11295:2016, Phụ lục A đến F. Tiểu mục này không tự khẳng định và không được kiểm tra riêng biệt.
AS01.01: (Tổng quan – Mức 1, 2, 3, và 4)
Điều này đặc tả các yêu cầu an toàn mà mô đun mật mã phải đáp ứng theo TCVN 11295:2016.
AS01.02: (Tổng quan – Mức 1, 2,3, và 4)
Mô-đun mật mã phải được kiểm tra theo các yêu cầu của từng lĩnh vực được đề cập trong Điều này.
CHÚ THÍCH Các bài kiểm tra có thể được thực hiện theo một trong các cách sau:
- a) Kiểm thử viên thực hiện các bài kiểm tra tại cơ sở của kiểm thử viên
- b) Kiểm thử viên thực hiện các bài kiểm tra tại cơ sở của nhà cung cấp
- c) Kiểm thử viên giám sát các nhà cung cấp thực hiện các bài kiểm tra tại cơ sở của nhà cung cấp
– Lý do cơ bản giải thích tại sao kiểm thử viên không thể thực hiện các bài kiểm tra
– Kiểm thử viên xây dựng kế hoạch kiểm tra cần thiết và các bài kiểm tra cần thiết.
– Kiểm thử viên trực tiếp quan sát các bài kiểm tra đang thực hiện.
Một khẳng định thất bại nếu bất kỳ thử nghiệm tiếp theo của nó thất bại.
AS01.03: (Tổng quan – Mức 1, 2,3, và 4)
Mô-đun mật mã phải được đánh giá độc lập ở từng lĩnh vực
AS01.04: (Tổng quan – Mức 1, 2,3, và 4)
Tất cả tài liệu, bao gồm bản sao của người sử dụng và tài liệu cài đặt, các đặc tả thiết kế, tài liệu về vòng đời phải được cung cấp cho một mô-đun mật mã mà phải qua quy trình đánh giá và kiểm tra độc lập.
6.2 Đặc tả mô-đun mật mã
6.2.1 Các yêu cầu chung đối với đặc tả mô-đun mật mã
AS02.01: (Đặc tả – Mức 1, 2, 3, và 4)
Mô-đun mật mã phải là một tập hợp bao gồm phần cứng, phần mềm, phần sụn hoặc sự kết hợp của chúng, mà ở mức tối thiểu, thực hiện một dịch vụ mật mã quy định trước sử dụng một thuật toán mật mã, hàm hoặc tiến trình an toàn được phê duyệt và được chứa trong một ranh giới mật mã quy định.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt.
AS02.02: (Đặc tả – Mức 1, 2, 3, và 4)
Các yêu cầu tài liệu được quy định trong tiểu mục A.2.2 {TCVN 11295:2016}.
CHÚ THÍCH Khẳng định này được kiểm tra trong phần ASA.01.
6.2.2 Các loại mô-đun mật mã
AS02.03: (Đặc tả – Mức 1, 2, 3, và 4)
Một mô-đun mật mã được định nghĩa là một trong các loại mô-đun sau đây:
– Mô-đun phần cứng là một mô-đun mà ranh giới mật mã được đặc tả ở chu vi phần cứng. Phần sụn và/hoặc phần mềm, cũng có thể bao gồm một hệ điều hành, có thể được bao gồm trong ranh giới mật mã phần cứng này.
– Mô-đun phần mềm là mô-đun mà ranh giới mật mã phân định các thành phần phần mềm riêng biệt (có thể là một hoặc nhiều thành phần phần mềm) mà thực thi trong môi trường hoạt động có thể sửa đổi. Nền tảng tính toán và hệ điều hành của môi trường hoạt động mà phần mềm thực thi nằm ngoài ranh giới của mô-đun phần mềm quy định.
– Mô-đun phần sụn là một mô-đun mà ranh giới mật mã phân định các thành phần riêng biệt của phần sụn mà thực thi trong một môi trường hoạt động hạn chế hoặc không thể sửa đổi. Nền tảng tính toán và hệ điều hành của môi trường hoạt động mà phần sụn thực thi nằm bên ngoài ranh giới mô-đun phần sụn được xác định nhưng có ranh giới rõ ràng với mô-đun phần sụn.
– Mô-đun phần mềm lai ghép là một mô-đun mà ranh giới mật mã phân định phức hợp của một thành phần phần mềm và một thành phần phần cứng rời rạc (nghĩa là thành phần phần mềm không được chứa trong ranh giới mô-đun phần cứng). Nền tảng tính toán và hệ điều hành của môi trường hoạt động mà phần mềm thực thi nằm ngoài ranh giới mô-đun phần mềm lai ghép quy định.
– Mô-đun phần sụn lai ghép là một mô-đun mà ranh giới mật mã phân định phức hợp của một thành phần phần sụn và một thành phần phần cứng rời rạc (nghĩa là thành phần phần sụn không được chứa trong ranh giới mô-đun phần cứng). Nền tảng tính toán và hệ điều hành của môi trường hoạt động mà phần sụn thực thi nằm ngoài ranh giới mô-đun phần sụn lai ghép quy định nhưng có ranh giới rõ ràng với mô-đun phần sụn lai ghép.
Thông tin cần thiết từ nhà cung cấp
VE02.03.01: Nhà cung cấp phải cung cấp mô tả của mô-đun mật mã trong đó có mô tả dạng mô-đun mật mã. Phải giải thích lý do lựa chọn dạng mô-đun.
VE02.03.02: Nhà cung cấp phải cung cấp đặc tả của mô-đun mật mã, xác định rõ tất cả thành phần phần cứng, phần mềm hay phần sụn của mô-đun mật mã.
Các thủ tục kiểm thử cần thiết
TE02.03.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp có được quy định là một trong các dạng mô-đun được liệt kê trong AS02.03.
TE02.03.02: Kiểm thử viên phải xác minh từ tài liệu đặc tả của nhà cung cấp đã cung cấp, bằng việc quy định tất cả thành phần phần cứng, phần mềm và hoặc phần sụn (AS02.15 đến AS02.18), mô-đun mật mã đó tương ứng với loại mô-đun mật mã nào.
AS02.04: (Đặc tả – Mức 1, 2, 3, và 4)
Đối với các mô-đun phần cứng và phần sụn, các yêu cầu an toàn vật lý, không xâm lấn được chỉ ra và có thể áp dụng các tiểu mục 7,7 và 7,8 trong {TCVN 11295:2016}.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt.
AS02.05: (Đặc tả – Mức 1, 2, 3, và 4)
Đối với các mô-đun phần mềm đang thực thi trong môi trường có thể sửa đổi, các yêu cầu về an toàn vật lý được chỉ ra trong {TCVN 11295:2016 }. Tiểu mục 7.7 là một tùy chọn và các yêu cầu an toàn không xâm lấn trong tiểu mục 7.8 {TCVN 11295:2016} được áp dụng.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt.
AS02.06: (Đặc tả – Mức 1, 2, 3, và 4)
Đối với mô-đun lai ghép, tất cả yêu cầu áp dụng của tiểu mục 7,5, 7,6, 7,7 và 7,8 {TCVN 11295:2016} được áp dụng.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt.
6.2.3 Ranh giới mật mã
6.2.3.1 Yêu cầu chung đối với ranh giới mật mã
AS02.07: (Đặc tả – Mức 1, 2, 3, và 4)
Ranh giới mật mã bao gồm một chu vi được xác định rõ ràng (ví dụ: bộ các thành phần phần cứng, phần mềm hoặc phần sụn) thiết lập ranh giới của tất cả thành phần của mô-đun mật mã.
Thông tin cần thiết từ nhà cung cấp
VE02.07.01: Tài liệu của nhà cung cấp phải quy định rõ tất cả các thành phần trong ranh giới mật mã.
Các thủ tục kiểm thử cần thiết
TE02.07.01: Kiểm thử viên phải xác minh bằng cách kiểm tra và từ tài liệu của nhà cung cấp xem tất cả thành phần được quy định rõ trong AS02.15 đến AS02.18 đều nằm trong ranh giới mật mã.
TE02.07.02: Kiểm thử viên phải xác minh bằng cách xem xét kỹ từ tài liệu của nhà cung cấp rằng không có thành phần không quy định mà chưa được quy định rõ tại AS02.15 đến AS02.18 trong ranh giới mật mã.
AS02.08: (Đặc tả – Mức 1, 2, 3, và 4)
Các yêu cầu trong {TCVN 11295:2016} áp dụng cho mọi thuật toán, các chức năng an toàn, các tiến trình và các thành phần nội bộ ranh giới mật mã của mô-đun.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt.
AS02.09: (Đặc tả – Mức 1, 2, 3, và 4)
Ranh giới mật mã tối thiểu bao gồm tất cả các thuật toán, các chức năng an toàn, tiến trình và các thành phần của mô-đun mật mã (tức là an toàn có liên quan nằm trong phạm vi của tiêu chuẩn này).
Thông tin cần thiết từ nhà cung cấp
VE02.09.01: Nhà cung cấp phải cung cấp danh sách tất cả thuật toán liên quan tới an toàn, các chức năng an toàn, các tiến trình và các thành phần an toàn trong ranh giới mật mã.
Các thủ tục kiểm thử cần thiết
TE02.09.01: Kiểm thử viên phải xác minh xem nhà cung cấp đã cung cấp tài liệu quy định rõ và liệt kê rõ ràng tất cả thuật toán liên quan tới an toàn, các chức năng an toàn, tiến trình và các thành phần của mô-đun trong ranh giới mật mã.
AS02.10: (Đặc tả – Mức 1, 2, 3, và 4)
Các thuật toán không an toàn liên quan, các chức năng an toàn, các tiến trình hoặc các thành phần được sử dụng theo chế độ hoạt động được phê duyệt phải được thực thi theo cách không can thiệp hoặc làm ảnh hưởng tới hoạt động của mô-đun mật mã được phê duyệt.
Thông tin cần thiết từ nhà cung cấp
VE02.10.01: Tài liệu của nhà cung cấp phải liệt kê các chức năng không an toàn có liên quan sử dụng trong chế độ hoạt động được phê duyệt và lập luận rằng chúng không cản trở vào chế độ hoạt động được phê duyệt của mô-đun.
Các thủ tục kiểm thử cần thiết
TE02.10.01: Kiểm thử viên phải xác minh qua việc xem xét tài liệu và kiểm tra mô-đun xem các chức năng không an toàn liên quan đến là không gây cản trở hoặc làm ảnh hưởng đến chế độ hoạt động được phê duyệt của mô-đun.
TE02.10.02: Kiểm thử viên phải xác minh tính đúng đắn của mọi lý do cơ bản về việc không can thiệp hoặc làm ảnh hưởng đến mô-đun mà nhà cung cấp đưa ra. Trách nhiệm chứng minh là của nhà cung cấp; nếu có bất kỳ sự không chắc chắn hoặc nghi ngờ, kiểm thử viên phải yêu cầu nhà cung cấp cung cấp thêm thông tin khi cần thiết.
AS02.11: (Đặc tả – Mức 1, 2, 3, và 4)
Tên xác định của một mô-đun mật mã miêu tả cho sự tổng hợp của các thành phần trong ranh giới mật mã hóa và không miêu tả cho sự tổng hợp hoặc sản phẩm lớn hơn.
Thông tin cần thiết từ nhà cung cấp
VE02.11.01: Nhà cung cấp phải cung cấp tên của mô-đun.
Các thủ tục kiểm thử cần thiết
TE02.11.01: Kiểm thử viên phải xác minh rằng tên mô-đun của nhà cung cấp phù hợp với sự tổng hợp các thành phần trong ranh giới mật mã.
TE02.11.02: Kiểm thử viên phải xác minh rằng tên mô-đun không miêu tả cho sự tổng hợp các thành phần hoặc các chức năng mà không nhất quán với sự tổng hợp các thành phần trong ranh giới mật mã.
AS02.12: (Đặc tả – Mức 1, 2, 3, và 4)
Mô-đun mật mã tối thiểu phải quy định rõ thông tin về phiên bản các thành phần phần cứng, phần mềm và phần sụn riêng biệt.
Thông tin cần thiết từ nhà cung cấp
VE02.12.01: Nhà cung cấp phải cung cấp thông tin về phiên bản từng thành phần phần cứng, phần mềm và phần sụn riêng biệt.
Các thủ tục kiểm thử cần thiết
TE02.12.01: Kiểm thử viên phải xác minh thông tin về phiên bản của mô-đun phần cứng, phần mềm và phần sụn riêng biệt.
AS02.13: (Đặc tả – Mức 1, 2, 3, và 4)
Các thành phần phần cứng, phần mềm hoặc phần sụn được loại trừ (không kiểm định) phải thực thi sao cho không can thiệp hoặc làm ảnh hưởng đến hoạt động an toàn được phê duyệt của mô-đun mật mã.
Thông tin cần thiết từ nhà cung cấp
VE02.13.01: Nhà cung cấp phải mô tả các thành phần được loại trừ của mô-đun và giải thích rằng các thành phần này phải không can thiệp vào hoạt động an toàn được phê duyệt của mô-đun.
VE02.13.02: Tài liệu của nhà cung cấp phải cung cấp lý do để loại bỏ từng thành phần. Lý do cơ bản phải mô tả mỗi thành phần được loại trừ như thế nào, khi hoạt động bình thường hoặc khi trục trặc, không thể can thiệp vào hoạt động an toàn được phê duyệt của mô-đun. Lý do cơ bản có thể được phê duyệt nếu chúng được cung cấp đầy đủ trong tài liệu, bao gồm:
- a) Thành phần này không được kết nối với các thành phần liên quan đến an toàn của mô-đun, cho phép truyền không hợp lệ về SSP, bản rõ, hoặc các thông tin khác có thể cản trở hoạt động an toàn được phê duyệt của mô-đun,
- b) Mọi thông tin được xử lý bởi thành phần một cách chặt chẽ để sử dụng cục bộ trong mô-đun và không làm ảnh hưởng đến tính chính xác của việc điều khiển, trạng thái hoặc dữ liệu đầu ra.
Các thủ tục kiểm thử cần thiết
TE02.13.01: Kiểm thử viên phải xác minh từ tài liệu do nhà cung cấp cung cấp rằng các thành phần được loại trừ của ranh giới mật mã phải không can thiệp vào hoạt động an toàn được phê duyệt của mô-đun.
TE02.13.02: Kiểm thử viên phải xác minh tính chính xác của mọi lý do cơ bản để loại trừ do nhà cung cấp đưa ra. Trách nhiệm chứng minh là của phía nhà cung cấp; nếu có bất kỳ sự không chắc chắn hoặc nghi ngờ, kiểm thử viên phải yêu cầu nhà cung cấp cung cấp thêm thông tin khi cần thiết.
TE02.13.03: Kiểm thử viên phải thao tác (ví dụ như làm cho thành phần hoạt động không như thiết kế) với các thành phần được loại trừ theo cách gây ra các hoạt động không chính xác của thành phần được loại trừ. Kiểm thử viên phải xác minh rằng sự hoạt động không chính xác của các thành phần được loại trừ phải không can thiệp vào hoạt động an toàn được phê duyệt của mô-đun.
AS02.14: (Đặc tả – Mức 1, 2, 3, và 4)
Phần cứng, phần mềm hoặc phần sụn được loại trừ phải được đặc tả trong phụ lục A của {TCVN 11295:2016}.
Thông tin cần thiết từ nhà cung cấp
VE02.14.01: Mọi thành phần được loại trừ khỏi các yêu cầu về an toàn phải được liệt kê rõ ràng trong tài liệu của nhà cung cấp.
Các thủ tục kiểm thử cần thiết
TE02.14.01: Kiểm thử viên phải xác minh xem nhà cung cấp có chỉ ra rằng mọi thành phần của mô-đun này được loại trừ khỏi các yêu cầu của TCVN 11295:2016.
6.2.3.2 Định nghĩa về ranh giới mật mã
AS02.15: (Đặc tả – Mức 1, 2, 3, và 4)
Ranh giới mật mã của mô-đun mật mã phần cứng phải được giới hạn và xác định:
– Tập các thành phần phần cứng có thể bao gồm:
– Các cấu trúc vật lý, bao gồm các bo mạch, các chất nền, hoặc bề mặt lắp ráp khác mà cung cấp kết nối vật lý giữa các thành phần,
– Các linh kiện điện tử chủ động như các mạch bán tích hợp, các mạch tích hợp tùy biến hay các mạch tích hợp chung, các bộ xử lý, bộ nhớ, các nguồn cung cấp điện, các bộ chuyển đổi,…
– Các cấu trúc vật lý như các lớp bao quanh, các vật liệu bọc hoặc gói, các đầu nối và các giao diện,
– Phần sụn có thể gồm hệ điều hành,
– Các dạng thành phần khác mà không được liệt kê ở trên.
Thông tin cần thiết từ nhà cung cấp
VE02.15.01: Tất cả thành phần phần cứng của mô-đun mật mã phải được quy định trong tài liệu của nhà cung cấp. Các thành phần được liệt kê bao gồm các điều sau đây:
- a) Các cấu trúc vật lý bao gồm bo mạch, các chất nền hoặc bề mặt lắp ráp mà cung cấp dây dẫn vật lý liên kết nối giữa các thành phần.
1) Bo mạch, chất nền và bề mặt lắp ráp.
- b) Các linh kiện điện tử chủ động như các mạch bán tích hợp, mạch tích hợp tùy biến hoặc mạch tích hợp chung, bộ vi xử lý, bộ nhớ, các nguồn cấp điện, các bộ chuyển đổ..
1) Bộ xử lý bao gồm bộ vi xử lý, bộ xử lý tín hiệu số, bộ vi xử lý tùy chỉnh, bộ vi điều khiển hoặc các dạng bộ xử lý khác (quy định nhà sản xuất và loại),
2) Các mạch tích hợp bộ nhớ chỉ đọc (ROM) cho mã có thể thực thi chương trình và dữ liệu (có thể gồm ROM lập trình mặt nạ (mask-programmed ROM), ROM có thể lập trình (PROM) như PROM có thể xóa được bằng tia cực tím (EPROM), ROM lập trình được và xóa được bằng xung điện (EEPROM) hoặc bộ nhớ Flash),
3) Bộ nhớ truy cập ngẫu nhiên (RAM) hoặc các mạch tích hợp khác để lưu trữ dữ liệu tạm thời,
4) Các mạch tích hợp bán tùy biến, quy định cho ứng dụng, như là các mảng cổng (GA), mảng logic khả trình (PLA), mảng cổng khả trình theo trường (FPGA), hoặc các thiết bị logic khả trình khác,
5) Các mạch tích hợp tùy biến hoàn toàn, quy định cho ứng dụng, gồm mọi mạch tích hợp mật mã tùy biến,
6) Các thành phần nguồn điện, gồm bộ cấp nguồn, bộ chuyển đổi nguồn (ví dụ các mô-đun chuyển đổi từ xoay chiều sang một chiều (AC-to-DC) hoặc một chiều sang một chiều (DC-to- DC), máy biến thế), các đầu nối nguồn đầu vào và các đầu nối nguồn đầu ra,
7) Các phần tử điện tử chủ động khác (các phần tử mạch thụ động như điện trở kéo lên/kéo xuống hoặc các tụ điện phân dòng không cần phải bao gồm nếu chúng không cung cấp chức năng liên quan tới an toàn như một phần của mô-đun mật mã).
- c) Các cấu trúc vật lý, như các lớp bao quanh, các vật liệu bọc hoặc đóng gói, các đầu nối và các giao diện,
1) Cấu trúc vật lý và lớp bao quanh, gồm mọi cửa hoặc vật phủ có thể tháo lắp được,
2) Các vật liệu bọc hoặc đóng gói,
3) Các đầu nối ranh giới,
4) Các đầu nối giữa các ghép phần độc lập cơ bản trong mô-đun
- d) Phần sụn, có thể bao gồm hệ điều hành,
1) Mã được thực thi
2) Không sửa đổi được
- i) Không thể sửa đổi được
- ii) Có thể sửa đổi được
- e) Các loại linh kiện khác không được liệt kê ở trên
1) Thiết bị làm mát hoặc sưởi, chẳng hạn như tấm dẫn, luồng không khí làm mát, bộ trao đổi nhiệt, cánh quạt làm mát, quạt, máy sưởi, hoặc các thiết bị khác để giảm hoặc tăng nhiệt.
VE02.15.02: Tài liệu của nhà cung cấp phải quy định rõ thiết kế và các phương pháp lắp ráp (ví dụ: các chốt và sự lắp ráp) của mô-đun, gồm các bản vẽ có kích cỡ ít nhất là xấp xỉ với tỷ lệ.
VE02.15.03: Tài liệu của nhà cung cấp phải mô tả các tham số vật lý chính của mô-đun, gồm mô tả về vỏ, điểm truy cập, bo mạch, vị trí cung cấp điện, cách chạy dây kết nối, thiết bị làm mát và các tham số quan trọng khác.
VE02.15.04: Tài liệu của nhà cung cấp phải bao gồm một sơ đồ khối biểu diễn ranh giới của mô-đun và quan hệ của mô-đun các thành phần phần cứng.
Các thủ tục kiểm thử cần thiết
TE02.15.01: Kiểm thử viên phải quy định tất cả thành phần phần cứng của mô-đun mật mã. Các thành phần được liệt kê bao gồm các điều sau đây:
- a) Các cấu trúc vật lý bao gồm bo mạch, chất nền hoặc bề mặt lắp ráp mà cung cấp đi dây kết nối vật lý giữa các thành phần.
1) Bo mạch, chất nền và bề mặt lắp ráp.
- b) Các linh kiện điện tử chủ động như các mạch bán tích hợp, mạch tích hợp tùy biến hoặc mạch tích hợp chung, bộ vi xử lý, bộ nhớ, nguồn cung cấp điện, bộ chuyển đổ..
1) Bộ xử lý bao gồm bộ vi xử lý, bộ xử lý tín hiệu số, bộ vi xử lý tùy chỉnh, bộ vi điều khiển hoặc mọi dạng bộ xử lý khác (quy định nhà sản xuất và loại),
2) Các mạch tích hợp bộ nhớ chỉ đọc (ROM) cho mã có thể thực thi chương trình và dữ liệu (có thể gồm ROM lập trình mặt nạ (mask-programmed ROM), ROM có thể lập trình (PROM) như PROM có thể xóa được bằng tia cực tím (EPROM), ROM lập trình được và xóa được bằng xung điện (EEPROM) hoặc bộ nhớ Flash),
3) Bộ nhớ truy cập ngẫu nhiên (RAM) hoặc các mạch tích hợp khác để lưu trữ dữ liệu tạm thời,
4) Các mạch tích hợp bán tùy biến, quy định cho ứng dụng, như là các mảng cổng (GA), mảng logic khả trình (PLA), mảng cổng khả trình theo trường (FPGA), hoặc các thiết bị logic khả trình khác,
5) Các mạch tích hợp tùy biến hoàn toàn, quy định cho ứng dụng, gồm mọi mạch tích hợp mật mã tùy biến,
6) Các thành phần nguồn điện, gồm bộ cấp nguồn, bộ chuyển đổi nguồn (ví dụ các mô-đun chuyển đổi từ xoay chiều sang một chiều (AC-to-DC) hoặc một chiều sang một chiều (DC-to- DC), máy biến thế), các đầu nối nguồn đầu vào và các đầu nối nguồn đầu ra,
7) Các phần tử điện tử chủ động khác (các phần tử mạch thụ động như điện trở kéo lên/ kéo xuống hoặc các tụ điện phân dòng không cần phải bao gồm nếu chúng không cung cấp chức năng liên quan tới an toàn như một phần của mô-đun mật mã).
- c) Các cấu trúc vật lý, như các lớp bao quanh, các vật liệu bọc hoặc đóng gói, các đầu nối và các giao diện,
1) Cấu trúc vật lý và lớp bao quanh, gồm mọi cửa hoặc vật phủ có thể tháo lắp được,
2) Các vật liệu bọc hoặc đóng gói,
3) Các đầu nối ranh giới,
4) Các kết nối giữa các thành phần độc lập cơ bản trong mô-đun.
- d) Phần sụn, có thể bao gồm hệ điều hành,
1) Mã được thực thi
2) Không sửa đổi được
- i) Không thể sửa đổi được
- ii) Có thể sửa đổi được
- e) Các loại thành phần khác không được liệt kê ở trên
1) Thiết bị làm mát hoặc sưởi, chẳng hạn như tấm dẫn, luồng không khí làm mát, bộ trao đổi nhiệt, cánh quạt làm mát, quạt, máy sưởi, hoặc các thiết bị khác để giảm hoặc tăng nhiệt.
TE02.15.02: Kiểm thử viên phải xác minh rằng danh sách các thành phần là nhất quán với thông tin được cung cấp cho các khẳng định khác của 6.2.3, được định nghĩa như sau:
- a) Đặc tả về ranh giới mật mã theo khẳng định AS02.07. Xác minh rằng mọi thành phần nội bộ ranh giới mật mã đã có trong danh sách các thành phần và ngược lại. Cũng xác minh rằng mọi thành phần bên ngoài ranh giới mật mã là không được liệt kê là các thành phần của mô-đun mật mã.
- b) Đặc tả của sơ đồ khối theo khẳng định ASA.01. Xác minh rằng mọi thành phần riêng biệt được quy định rõ trong sơ đồ khối (ví dụ bộ vi xử lý, các mạch tích hợp quy định cho ứng dụng) cũng được liệt kê trong danh sách các thành phần.
- c) Mọi thành phần được loại trừ khỏi các yêu cầu của TCVN 11295:2016 tuân theo các quy định của các khẳng định AS02.13 và AS02.14. Xác minh rằng các thành phần được loại trừ như vậy vẫn được liệt kê trong danh sách các thành phần.
TE02.15.03: Kiểm thử viên phải xác minh xem ranh giới mật mã có tiếp giáp về mặt vật lý, chẳng hạn không có kẽ (lỗ) hở mà có thể cho phép truy cập vào, ra không điều khiển hoặc truy cập khác tới mô-đun mật mã. (Bảo vệ vật lý và bảo vệ chống can thiệp được bao phủ riêng biệt theo các yêu cầu trong 7.7 của TCVN 11295:2016). Thiết kế mô-đun cũng phải đảm bảo rằng không có giao diện không điều khiển vào hoặc ra của mô-đun mật mã.
TE02.15.04: Kiểm thử viên phải xác minh xem ranh giới mật mã có bao quanh mọi thành phần được quy định trong sơ đồ khối theo khẳng định ASA.01 như nhập vào, xuất ra, hoặc xử lý SSP, bản rõ hoặc các thông tin khác.
TE02.15.05: Như là một ngoại lệ nhỏ cho các yêu cầu ở trên, nhà cung cấp được phép loại trừ một số thành phần nhất định khỏi yêu cầu của TCVN 11295:2016 khi thỏa mãn các yêu cầu theo khẳng định AS02.13 và AS02.14 trong 6.2.3.1. Kiểm thử viên phải xác minh rằng mọi giao diện hoặc kết nối vật lý giữa các thành phần được loại trừ và phần còn lại của mô-đun không cho phép những điều sau:
- a) Công bố CSP, bản rõ, hoặc các thông tin khác không được điều khiển mà nếu được sử dụng không đúng có thể dẫn tới sự nguy hại,
- b) Các sửa đổi không điều khiển của SSP hoặc các thông tin khác mà nếu sử dụng không đúng có thể gây nguy hại.
TE02.15.06: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp về thiết kế của mô-đun bao gồm vị trí và kích thước gần đúng của các thành phần chính đã khai báo của mô-đun. Điều này bao gồm các bản vẽ mà ít nhất là xấp xỉ về tỷ lệ.
TE02.15.07: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rõ các lắp ráp vật lý chính của mô-đun và cách lắp ráp hoặc đưa chúng vào mô-đun.
TE02.15.08: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp mô tả các tham số vật lý chính của mô-đun. Mô tả này phải bao gồm ít nhất những điều sau đây:
- a) Hình dạng bao quanh và kích cỡ xấp xỉ gồm mọi cửa hoặc vật phủ
- b) Kích thước xấp xỉ của bo mạch, thiết kế, và các kết nối
- c) Vị trí của nguồn cấp điện, bộ chuyển đổi điện và nguồn đầu vào và đầu ra
- d) Cách chạy dây liên kết nối: định tuyến và các đầu cuối
- e) Thiết bị làm mát hoặc sưởi, chẳng hạn như tấm dẫn, luồng không khí làm mát, bộ trao đổi nhiệt, cánh quạt làm mát, quạt, máy sưởi, hoặc các thiết bị khác để giảm hoặc tăng nhiệt vào mô-đun
- f) Các loại thành phần khác mà không được liệt kê ở trên
TE02.15.09: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp sơ đồ khối miêu tả ranh giới và quan hệ của các mô-đun thành phần phần cứng.
AS02.16: (Đặc tả – Mức 1, 2, 3, và 4)
Ranh giới mật mã của một mô-đun phần mềm mật mã được phân định và quy định rõ:
– Một tập các tệp hoặc tệp mã thực thi cấu thành mô-đun mật mã; và
– Một mẫu cụ thể của mô-đun mật mã được lưu trữ trong bộ nhớ và được thực thi bởi một hoặc nhiều bộ xử lý.
Thông tin cần thiết từ nhà cung cấp
VE02.16.01: Tất cả thành phần phần mềm của mô-đun mật mã được xác định trong tài liệu của nhà cung cấp. Các thành phần được liệt kê phải gồm các điều sau đây:
- a) Tập hợp các tập tin thực thi hoặc các tệp cấu thành mô-đun mật mã,
- b) Các loại thành phần an toàn khác có liên quan không được liệt kê ở trên.
VE02.16.02: Tài liệu của nhà cung cấp phải quy định rõ kiến trúc phần mềm nội bộ bao gồm cả cách các thành phần phần mềm tương tác.
VE02.16.03: Tài liệu của nhà cung cấp phải quy định rõ môi trường phần mềm (ví dụ: hệ điều hành, thư viện thời gian chạy,…) mà mô-đun thực thi.
Các thủ tục kiểm thử cần thiết
TE02.16.01: Kiểm thử viên phải xác minh rằng tài liệu cần chứa danh sách các thành phần bao gồm tất cả thành phần phần mềm của mô-đun mật mã.
TE02.16.02: Kiểm thử viên phải xác minh rằng danh sách các thành phần bao gồm tất cả sự cố của các loại thành phần sau đây, không bao gồm các loại thành phần không được sử dụng trong mô-đun:
- a) Bộ các tập tin thực thi hoặc các tệp cấu thành mô-đun mật mã; và
- b) Các loại thành phần khác không được liệt kê ở trên.
TE02.16.03: Kiểm thử viên phải xác minh rằng danh sách các thành phần phải tương ứng với thông tin được cung cấp cho các khẳng định của 6.2.3, được định nghĩa như sau:
- a) Các đặc tả của ranh giới mật mã theo khẳng định AS02.07. Xác minh rằng tất cả thành phần nội bộ ranh giới mật mã bao gồm trong danh sách các thành phần và ngược lại. Cũng xác minh rằng mọi thành phần bên ngoài ranh giới mật mã không được liệt kê như các thành phần của mô-đun mật mã.
- b) Các đặc tả của phần sụn theo khẳng định ASA.01. Xác minh rằng danh sách các thành phần phần sụn giống như trong các đặc tả theo khẳng định AS02.07.
- c) Các đặc tả của sơ đồ khối theo khẳng định ASA.01. Xác minh rằng mọi thành phần riêng biệt được quy định trong biểu đồ khối cũng được liệt kê trong danh sách các thành phần.
- d) Mọi thành phần được loại trừ khỏi các yêu cầu của TCVN 11295:2016 theo các mục các khẳng định AS02.13 và AS02.14. Xác minh rằng các thành phần được loại trừ như vậy vẫn còn được liệt kê trong danh sách các thành phần.
TE02.16.04: Như một ngoại lệ nhỏ đối với các yêu cầu trên, nhà cung cấp được phép loại trừ một số thành phần nhất định khỏi yêu cầu của TCVN 11295:2016 sau khi đáp ứng các yêu cầu theo các khẳng định AS02.13 và AS02.14 trong 6.2.3.1. Kiểm thử viên phải xác minh rằng mọi giao diện hoặc kết nối vật lý giữa các thành phần được loại trừ như vậy và phần còn lại của mô-đun không cho phép các điều sau:
- a) Công bố không được điều khiển của CSP, bản rõ, hoặc các thông tin khác mà nếu sử dụng nhầm có thể gây nguy hại, hoặc
- b) Sửa đổi không được điều khiển của SSP hoặc các thông tin khác mà có thể gây nguy hại.
TE02.16.05: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rõ các thành phần phần mềm chính của mô-đun và cách chúng được liên kết với nhau tạo thành mô-đun.
AS02.17: (Đặc tả – Mức 1, 2, 3, và 4)
Ranh giới mật mã của một mô-đun phần sụn mật mã được phân định và quy định rõ:
– Một tập tệp hoặc các tệp mã thực thi cấu thành mô-đun mật mã; và
– Chương trình cài đặt mô-đun mật mã được lưu trong bộ nhớ và được thực thi bởi một hoặc nhiều bộ xử lý.
Thông tin cần thiết từ nhà cung cấp
VE02.17.01: Tất cả thành phần phần sụn của mô-đun mật mã phải được xác định trong tài liệu của nhà cung cấp. Các thành phần được liệt kê phải gồm:
- a) Tập các tập tin thực thi hoặc các tệp cấu thành mô-đun mật mã,
- b) Các loại thành phần an toàn khác có liên quan mà không được liệt kê ở trên.
VE02.17.02: Tài liệu của nhà cung cấp phải chỉ thị kiến trúc phần sụn nội bộ bao gồm cả cách các thành phần phần sụn tương tác.
VE02.17.03: Tài liệu của nhà cung cấp phải chỉ thị môi trường phần sụn (ví dụ: hệ điều hành, thư viện thời gian chạy,…) mà mô-đun thực thi.
Các thủ tục kiểm thử cần thiết
TE02.17.01: Kiểm thử viên phải xác minh rằng tài liệu bao gồm danh sách các thành phần bao gồm tất cả thành phần phần sụn của mô-đun mật mã.
TE02.17.02: Kiểm thử viên phải xác minh rằng danh sách các thành phần bao gồm sự có mặt của các loại thành phần sau, chỉ loại trừ các loại thành phần mà không được sử dụng trong mô-đun:
- a) Bộ các tập tin thực thi hoặc các tệp cấu thành mô-đun mật mã,
- b) Các loại thành phần khác không được liệt kê ở trên
TE02.17.03: Kiểm thử viên phải xác minh rằng danh sách các thành phần phải tương ứng với thông tin được cung cấp cho các khẳng định của mục dưới đây, như được định nghĩa như sau:
- a) Đặc tả về ranh giới mật mã theo khẳng định AS02.07. Xác minh rằng tất cả thành phần nội bộ ranh giới mật mã đã bao gồm trong danh sách các thành phần và ngược lại. Cũng xác minh rằng mọi thành phần bên ngoài ranh giới mật mã không được liệt kê là các thành phần của mô-đun mật mã.
- b) Đặc tả về phần sụn theo khẳng định ASA.01. Xác minh rằng danh sách các thành phần phần sụn giống như trong đặc tả theo khẳng định AS02.07.
- c) Đặc tả của sơ đồ khối theo khẳng định ASA.01. Xác minh rằng mọi thành phần riêng biệt được quy định trong biểu đồ khối cũng được liệt kê trong danh sách các thành phần.
- d) Mọi thành phần được loại trừ khỏi các yêu cầu của TCVN 11295:2016 theo các mục các khẳng định AS02.13 và AS02.14. Xác minh rằng các thành phần được loại trừ như vậy vẫn được liệt kê trong danh sách các thành phần.
TE02.17.04: Như một ngoại lệ nhỏ đối với các yêu cầu trên, nhà cung cấp được phép loại trừ một số thành phần nhất định khỏi yêu cầu của TCVN 11295:2016 sau khi đáp ứng các yêu cầu theo các khẳng định AS02.13 và AS02.14 trong 6.2.3.1. Kiểm thử viên phải xác minh rằng mọi giao diện hoặc kết nối vật lý giữa các thành phần được loại trừ như vậy và phần còn lại của mô-đun không cho phép các điều sau:
- a) Công bố không được điều khiển của CSP, bản rõ, hoặc các thông tin khác mà nếu sử dụng nhầm có thể gây nguy hại,
- b) Sửa đổi không được điều khiển của SSP hoặc các thông tin khác có thể dẫn tới nguy hại.
TE02.17.05: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rõ các thành phần phần sụn chính của mô-đun và cách chúng được liên kết với nhau tạo thành mô-đun.
AS02.18: (Đặc tả – Mức 1, 2, 3, và 4)
Ranh giới mật mã của một mô-đun mật mã lai ghép phải:
– Là hỗn hợp của ranh giới thành phần mô-đun phần cứng và ranh giới thành phần phần mềm hoặc phần sụn tách rời; và
– Bao gồm tất cả cổng và giao diện từ mỗi thành phần.
CHÚ THÍCH Ngoài các thành phần phần mềm hoặc phần sụn tách rời, thành phần phần cứng cũng có thể bao gồm phần sụn hoặc phần mềm nhúng.
Thông tin cần thiết từ nhà cung cấp
VE02.18.01: Mô-đun mật mã phải được xác định trong tài liệu của nhà cung cấp dưới dạng mô-đun phần mềm lai ghép hoặc mô-đun phần sụn lai ghép.
- a) Đối với các thành phần mô-đun phần mềm lai ghép, tài liệu của nhà cung cấp phải cung cấp thông tin theo yêu cầu tư VE02.15.01 tới 15.04 và từ VE02.16.01 tới VE02.16.03.
- b) Đối với các thành phần mô-đun phần sụn lai ghép, tài liệu của nhà cung cấp phải cung cấp thông tin theo yêu cầu từ VE02.15.01 tới VE02.15.04 và từ VE02.17.01 tới VE02.17.03.
Các thủ tục kiểm thử cần thiết
TE02.18.01: Kiểm thử viên phải xác minh rằng tài liệu quy định mô-đun là hoặc mô-đun phần mềm lai ghép hoặc mô-đun phần sụn lai ghép.
- a) Đối với các thành phần mô-đun phần mềm lai ghép, kiểm thử viên phải thực hiện theo các thủ tục được yêu cầu từ 15.01 tới TE02.15.09 và từ TE02.16.01 tới TE02.16.05.
- b) Đối với các thành phần mô-đun phần sụn lai ghép, kiểm thử viên phải thực hiện theo các thủ tục được yêu cầu từ 15.01 tới TE02.15.09 và từ TE02.17.01 tới TE02.17.05.
6.2.4. Các chế độ hoạt động
6.2.4.1 Các yêu cầu chung của các chế độ hoạt động
AS02.19: (Đặc tả – Mức 1, 2, 3, và 4)
Người vận hành phải có thể vận hành mô-đun trong một chế độ hoạt động đã được phê duyệt.
Thông tin cần thiết từ nhà cung cấp
VE02.19.01: Nhà cung cấp phải cung cấp chính sách an toàn không đăng ký độc quyền về mô tả chế độ hoạt động được phê duyệt.
VE02.19.02: Nhà cung cấp phải cung cấp chính sách an toàn không đăng ký độc quyền để cung cấp chỉ dẫn gọi tới chế độ hoạt động được phê duyệt.
Các thủ tục kiểm thử được yêu cầu
TE02.19.01: Kiểm thử viên phải xác minh rằng chính sách an toàn không đăng ký độc quyền do nhà cung cấp đưa ra, chứa mô tả về chế độ hoạt động được phê duyệt.
TE02.19.02: Kiểm thử viên phải gọi tới chế độ hoạt động được phê duyệt sử dụng các chỉ dẫn do nhà cung cấp đưa ra trong chính sách an toàn không đăng ký độc quyền. Kiểm thử viên phải xác minh, bằng cách thẩm tra và từ tài liệu của nhà cung cấp, rằng mô-đun mật mã là chế độ hoạt động được phê duyệt như là kết quả của các chỉ dẫn của tài liệu.
AS02.20: (Đặc tả – Mức 1, 2, 3, và 4)
Chế độ hoạt động đã được phê duyệt phải được quy định là tập các dịch vụ bao gồm ít nhất một dịch vụ sử dụng thuật toán mật mã, hàm hoặc tiến trình an toàn dược phê duyệt và các dịch vụ hoặc tiến trình được mô tả trong tiểu mục {7.4.3 TCVN 11295:2016}.
Thông tin cần thiết từ nhà cung cấp
VE02.20.01: Nhà cung cấp phải cung cấp chứng chỉ hợp lệ cho từng chức năng an toàn được phê duyệt.
VE02.20.02: Nhà cung cấp phải cung cấp danh sách tất cả chức năng an toàn không được phê duyệt.
Các thủ tục kiểm thử cần thiết
TE02.20.01: Kiểm thử viên phải xác minh rằng nhà cung cấp đã cung cấp chứng chỉ hợp lệ cho từng chức năng an toàn được phê duyệt do tổ chức chịu trách nhiệm hợp lệ.
TE02.20.02: Kiểm thử viên phải xác minh rằng nhà cung cấp đã cung cấp danh sách các chức năng an toàn không được phê duyệt.
AS02.21: (Đặc tả – Mức 1, 2, 3, và 4)
Các thuật toán mật mã, các hàm và tiến trình an toàn hoặc các dịch vụ khác không được phê duyệt không được quy định trong tiểu mục 7.4.3 {TCVN 11295:2016} thì người vận hành không được sử dụng trong một chế độ hoạt động được phê duyệt trừ khi thuật toán mật mã hoặc chức năng an toàn là một phần của tiến trình được phê duyệt và không liên quan đến an toàn cho hoạt động được phê duyệt (ví dụ một thuật toán mật mã hoặc khóa không được phê duyệt có thể được sử dụng để che giấu dữ liệu hoặc CSP nhưng kết quả được xem là bảo rõ không được bảo vệ và không cung cấp chức năng liên quan đến an toàn cho tới khi nó được bảo vệ bằng một thuật toán mật mã được phê duyệt).
Thông tin cần thiết từ nhà cung cấp
VE02.21.01: Tài liệu của nhà cung cấp phải xác định tất cả thuật toán mật mã, các chức năng an toàn hoặc các tiến trình không được phê duyệt được sử dụng cho mỗi dịch vụ trong mỗi chế độ hoạt động được phê duyệt.
VE02.21.02: Tài liệu của nhà cung cấp phải cung cấp lý do cơ bản để giải thích việc sử dụng các thuật toán mật mã, các chức năng an toàn hoặc các tiến trình không được phê duyệt, được xem là không liên quan đến an toàn cho hoạt động của tiến trình được phê duyệt.
Các thủ tục kiểm thử cần thiết
TE02.21.01: Kiểm thử viên phải xác minh bằng cách thẩm tra rằng tài liệu của nhà cung cấp xác định tất cả thuật toán mật mã, các chức năng an toàn hoặc các tiến trình không được phê duyệt được sử dụng cho từng dịch vụ trong từng chế độ hoạt động được phê duyệt.
TE02.21.02: Kiểm thử viên phải xác minh tính chính xác của mọi lý do cơ bản do nhà cung cấp đưa ra. Trách nhiệm chứng minh là bên phía nhà cung cấp; Nếu có bất kỳ sự không chắc chắn hoặc nghi ngờ nào, kiểm thử viên phải yêu cầu nhà cung cấp đưa thêm thông tin bổ sung khi cần thiết.
6.2.4.2 Hoạt động tiêu chuẩn
AS02.22: (Đặc tả – Mức 1, 2, 3, và 4)
Các CSP phải được chọn lọc giữa các dịch vụ và chế độ hoạt động được phê duyệt và không được phê duyệt (ví dụ: không chia sẻ hoặc truy cập).
Thông tin cần thiết từ nhà cung cấp
VE02.22.01: Nhà cung cấp phải cung cấp danh sách tất cả CSP trong mô-đun và quy định cách sử dụng giữa các dịch vụ và chế độ hoạt động được phê duyệt và không được phê duyệt.
VE02.22.02: Nhà cung cấp phải cung cấp mô tả về cách thức mỗi CSP được lựa chọn giữa các dịch vụ và chế độ hoạt động được phê duyệt và không được phê duyệt.
Các thủ tục kiểm thử cần thiết
TE02.22.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp chứa mô tả về sử dụng của mỗi CSP trong một chế độ hoạt động được phê duyệt hoặc không được phê duyệt.
TE02.22.02: Kiểm thử viên phải xác minh bằng cách thẩm tra và từ tài liệu của nhà cung cấp rằng các CSP được lựa chọn giữa các dịch vụ và chế độ hoạt động được phê duyệt và không được phê duyệt.
AS02.23: (Đặc tả – Mức 1, 2, 3, và 4)
Chính sách an toàn của mô-đun phải quy định tập đầy đủ các dịch vụ được cung cấp cho mỗi chế độ hoạt động quy định (cả được phê duyệt và không được phê duyệt).
CHÚ THÍCH Khẳng định này được kiểm tra theo ASB.01
AS02.24: (Đặc tả – Mức 1, 2, 3, và 4)
Tất cả dịch vụ phải cung cấp một chỉ thị khi dịch vụ sử dụng thuật toán mật mã, hàm hoặc tiến trình an toàn được phê duyệt theo một dạng thức đã được phê duyệt và các dịch vụ hoặc tiến trình đó được quy định trong tiểu mục 7.4.3 {TCVN 11295:2016}.
Thông tin cần thiết từ nhà cung cấp
VE02.24.01. Tài liệu của nhà cung cấp phải quy định rõ chỉ thị cho mỗi dịch vụ.
Các thủ tục kiểm thử cần thiết
TE02.24.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp có mô tả về chỉ thị khi dịch vụ sử dụng thuật toán mật mã, chức năng an toàn hoặc tiến trình được phê duyệt theo dạng thức được phê duyệt.
TE02.24.02: Kiểm thử viên phải thực hiện tất cả các dịch vụ và xác minh rằng chỉ thị cung cấp một trình bày rõ ràng về việc liệu dịch vụ có sử dụng thuật toán mật mã được phê duyệt, chức năng hoặc quy trình an toàn theo cách được chấp thuận hay không.
6.2.4.3 Hoạt động bị xuống cấp (Degraded operation)
AS02.25: (Đặc tả – Mức 1, 2, 3, và 4)
Đối với một mô-đun mật mã làm việc trong hoạt động bị xuống cấp, các tiểu mục sau AS02.26 đến AS02.30 {TCVN 11295:2016} phai áp dụng:
CHÚ THÍCH Khẳng định này không được kiểm thử riêng biệt.
AS02.26: (Đặc tả – Mức 1, 2, 3, và 4)
Hoạt động bị xuống cấp chỉ được đưa vào sau khi thoát khỏi trạng thái lỗi;
Thông tin cần thiết từ nhà cung cấp
VE02.26.01: Nếu mô-đun mật mã cho phép hoạt động bị xuống cấp, nhà cung cấp phải cung cấp mô tả về tất cả hoạt động bị xuống cấp sau khi thoát khỏi trạng thái lỗi.
VE02.26.02: Nhà cung cấp phải cung cấp các đặc tả về hoạt động bị xuống cấp. Đối với từng hoạt động bị xuống cấp, phải có đặc tả sau:
- a) Điều kiện chuyển vào và thoát khỏi hoạt động bị xuống cấp
- b) Các thuật toán, các hàm, dịch vụ hoặc tiến trình an toàn hoạt động
- c) Các thuật toán, các chức năng an toàn, các dịch vụ hoặc tiến trình không hoạt động
- d) Các cơ chế, chức năng, hoặc các thành phần bị cô lập trong hoạt động bị xuống cấp
- e) Kỹ thuật để cô lập các cơ chế, chức năng hoặc các thành phần
- f) Thông tin trạng thái được cung cấp trong hoạt động bị xuống cấp
- g) Chỉ thị trạng thái nếu cố gắng sử dụng thuật toán, chức năng an toàn hoặc tiến trình không hoạt động
Các thủ tục kiểm thử cần thiết
TE02.26.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định hoạt động xuống cấp và các điều kiện chuyển vào và thoát khỏi.
TE02.26.02: Kiểm thử viên sử dụng tài liệu của nhà cung cấp để kiểm tra xem hoạt động xuống cấp chỉ có thể được truy cập sau khi thoát khỏi tình trạng lỗi. Kiểm thử viên phải kiểm tra xem có chỉ thị trạng thái lỗi (xem AS03.11) hay không.
TE02.26.03: Kiểm thử viên phải sử dụng mô-đun mật mã, làm cho nó hoạt động trong từng hoạt động bị xuống cấp. Đối với mỗi hoạt động bị xuống cấp, kiểm thử viên phải cố gắng thực hiện dịch vụ để xác minh rằng tất cả thuật toán tự kiểm tra có điều kiện được thực hiện trước khi sử dụng lần đầu tiên của bất cứ thuật toán mật mã nào.
TE02.26.04: Kiểm thử viên trước tiên phải thao tác mô-đun mật mã, làm cho nó hoạt động trong từng hoạt động xuống cấp. Kiểm thử viên phải thực hiện các hoạt động tự kiểm tra trước khi hoạt động để xác minh tồn tại xuống cấp của mô-đun mật mã đến vượt qua các bài thử mà không bị lỗi với mọi hoạt động tự kiểm tra trước thành công.
TE02.26.05: Kiểm thử viên trước hết phải thao tác mô-đun mật mã, làm cho nó hoạt động trong từng hoạt động xuống cấp. Kiểm thử viên phải thực hiện các hoạt động tự kiểm tra trước, tạo ra điều kiện lỗi trong hoạt động tự kiểm tra trước khi xảy ra. Kiểm thử viên phải xác minh rằng môđun mật mã không tồn tại trong hoạt động bị xuống cấp nhưng nhập vào một trạng thái lỗi
AS02.27: (Đặc tả – Mức 1, 2, 3, và 4)
Mô-đun này phải cung cấp thông tin trạng thái khi cấu hình lại và hoạt động xuống cấp.
CHÚ THÍCH Sự khẳng định này không phải là thử nghiệm riêng biệt. Được kiểm tra như là một phần của AS02.26.
AS02.28: (Đặc tả – Mức 1, 2, 3, và 4)
Cơ chế hoặc chức năng lỗi phải bị cô lập.
Thông tin cần thiết từ nhà cung cấp
VE02.28.01: Yêu cầu tài liệu của nhà cung cấp được quy định rõ trong VE02.26.02. Nhà cung cấp thiết kế phải đảm bảo rằng mọi lỗi từ các cơ chế, chức năng và thành phần bị lỗi không thể gây cản trở hoặc làm ảnh hưởng tới hoạt động đã được phê duyệt của mô-đun mật mã.
Các thủ tục kiểm thử cần thiết
TE02.28.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng các cơ chế, chức năng và các thành phần lỗi bị cô lập trước khi đi vào hoạt động bị xuống cấp.
TE02.28.02: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng các cơ chế, chức năng và thành phần lỗi không thể cản trở hoặc làm ảnh hưởng tới hoạt động đã được phê duyệt của mô-đun mật mã.
AS02.29: (Đặc tả – Mức 1, 2, 3, và 4)
Tất cả các thuật toán tự kiểm tra có điều kiện phải được thực thi trước khi hoạt động đầu tiên sử dụng thuật toán mật mã sau khi đưa vào hoạt động bị xuống cấp.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng rẽ. Được kiểm tra như là một phần của AS02.26
AS02.30: (Đặc tả – Mức 1, 2, 3, và 4)
Các dịch vụ phải cung cấp một chỉ thị khi sử dụng một thuật toán, chức năng an toàn hoặc tiến trình không hoạt động.
Thông tin cần thiết từ nhà cung cấp
VE02.30.01: Yêu cầu tài liệu của nhà cung cấp được quy định rõ trong VE02.26.02. Thiết kế của nhà cung cấp phải đảm bảo rằng kết thúc dịch vụ có chỉ thị khi sử dụng một thuật toán, chức năng an toàn hoặc tiến trình không hoạt động.
Các thủ tục kiểm thử cần thiết
TE02.30.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng các dịch vụ cung cấp chỉ thị đã được ghi nhận khi sử dụng một thuật toán, chức năng an toàn hoặc tiến trình không hoạt động.
TE02.30.02: Kiểm thử viên phải thực hiện mô-đun mật mã và xác minh rằng chỉ thị đã được ghi nhận khi sử dụng thuật toán, chức năng an toàn hoặc tiến trình không hoạt động.
AS02.31: (Đặc tả – Mức 1, 2, 3, và 4)
Mô-đun mật mã phải vẫn hoạt động xuống cấp cho đến khi mô-đun mật mã truyền đi mà không bị lỗi tất cả phép thử tự động tiền hoạt động thành công.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng rẽ. Được kiểm tra như là một phần của AS02.26.
AS02.32: (Đặc tả – Mức 1, 2, 3, và 4)
Nếu mô-đun mật mã không thể tự kiểm tra tiền hoạt động, mô-đun này phải không đi vào hoạt động bị xuống cấp.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng rẽ. Được kiểm tra như là một phần của AS02.26.
6.3 Giao diện mô-đun mật mã
6.3.1 Các yêu cầu chung đối với giao diện mô-đun mật mã
AS03.1: (Các giao diện của mô-đun – Mức 1, 2, 3, và 4)
Một mô-đun mật mã phải giới hạn tất cả luồng thông tin logic chỉ đến những điểm truy cập vật lý và các giao diện logic được quy định là các điểm nhập và xuất đến từ ranh giới mật mã của mô-đun.
Thông tin cần thiết từ nhà cung cấp
VE03.01.01: Tài liệu của nhà cung cấp phải quy định rõ từng cổng vật lý và các giao diện logic của mô-đun mật mã bao gồm:
- a) Cổng vật lý và các chân cắm quy định
- b) Các vỏ bọc vật lý, cổng, các lỗ vật lý
- c) Các giao diện logic (ví dụ API và tất cả tín hiệu dữ liệu/điều khiển/trạng thái khác), các tên và chức năng của tín hiệu
- d) Điều khiển thủ công (ví dụ: nút hoặc công tắc) cho đầu vào điều khiển vật lý thích hợp
- e) Các chỉ thị trạng thái vật lý (ví dụ: đèn hoặc màn hình) cho các đầu ra trạng thái thể chất có thể áp dụng
- f) Cách sắp xếp các giao diện logic đến các cổng vật lý, điều khiển thủ công và các chỉ thị trạng thái vật lý của mô-đun mật mã
- g) Các đặc tính vật lý, logic, và điện khi có thể áp dụng cho các cổng và giao diện trên
VE03.01.02: Tài liệu của nhà cung cấp phải quy định rõ các luồng thông tin và các điểm truy cập vật lý của mô-đun mật mã bằng cách làm nổi bật hoặc Chú thích các bản sao của sơ đồ khối, các đặc tả thiết kế và/hoặc mã nguồn và sơ đồ cung cấp trong 6.2 và 6.11 của tiêu chuẩn này. Nhà cung cấp cũng phải cung cấp mọi tài liệu cần thiết để đặc tả mối quan hệ của luồng thông tin và các điểm truy cập vật lý tới các cổng vật lý và các giao diện logic. Nhà cung cấp phải thiết lập các thông tin liệt kê ở trên có liên quan đến các thông tin được cung cấp theo các khẳng định AS02.07 và AS02.15 đến AS02.18 không mâu thuẫn trong việc mô tả các thành phần và thiết kế vật lý cho các cổng đầu vào/đầu ra.
VE03.01.03: Đối với mỗi đầu vào vật lý hoặc logic của mô-đun mật mã, hoặc đầu ra vật lý và logic từ mô-đun, tài liệu của nhà cung cấp phải quy định rõ giao diện logic mà đầu vào hoặc đầu ra vật lý liên quan, và cổng nhập/xuất vật lý. Các đặc tả được cung cấp phải tuân theo các đặc tả của các thành phần mô-đun mật mã được cung cấp theo 6.2 và 6.11 của tiêu chuẩn này và các đặc tả của các giao diện logic được cung cấp trong các khẳng định AS03.04 đến AS03.11 của 6.3.3.
Các thủ tục kiểm thử cần thiết
TE03.01.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định từng cổng vật lý và các giao diện logic của mô-đun mật mã. Các yêu cầu kỹ thuật bắt buộc bao gồm:
- a) Tất cả cổng vào và ra vật lý, bao gồm các chân cắm quy định rõ của chúng, các vị trí vật lý trong mô-đun, tóm tắt các tín hiệu logic truyền qua từng cổng và chuỗi thời gian của các luồng tín hiệu nếu có hai hoặc nhiều tín hiệu chia sẻ cùng một chân cắm vật lý
- b) Tất cả vỏ bọc, cửa ra vào, hoặc lỗ hổng vật lý, kể cả vị trí thực của chúng trong mô-đun mã hóa, và các thành phần hoặc chức năng có thể được truy cập và/hoặc sửa đổi -thông qua mỗi vỏ bọc/cửa/lỗ
- c) Tất cả giao diện logic đầu vào và đầu ra (ví dụ như các API và tất cả tín hiệu dữ liệu/điều khiển/trạng thái khác), bao gồm một sơ đồ khối được liệt kê hoặc Chú thích tất cả dữ liệu logic, các đầu vào điều khiển, dữ liệu, các đầu ra trạng thái của mô-đun mật mã, danh sách mô tả tên và chức năng của tín hiệu
- d) Tất cả điều khiển thủ công được sử dụng để nhập các tín hiệu điều khiển, chẳng hạn như các công tắc hoặc nút bấm, bao gồm vị trí thực của chúng trong mô-đun mật mã, và danh sách mô tả các tín hiệu điều khiển có thể được nhập theo cách thủ công
- e) Tất cả chỉ thị trạng thái vật lý, bao gồm vị trí thực của chúng trong mô-đun và danh sách mô tả các dấu hiệu chỉ thị trạng thái được thể hiện về mặt vật lý
- f) Cách sắp xếp các giao diện đầu vào và đầu ra logic đến cổng vào và ra vật lý, các điều khiển thủ công và các chỉ thị trạng thái vật lý của mô-đun mật mã
- g) Các đặc tính vật lý, logic và điện tương ứng của các cổng và giao diện vật lý nói trên, bao gồm tóm tắt các chân cắm quy định rõ, các tín hiệu logic được vận chuyển trên mỗi cổng, các mức điện áp và ý nghĩa logic của nó (ví dụ: điện áp thấp hoặc cao có ý nghĩa về logic “0”, “1”, hoặc các nghĩa khác) và thời gian của tín hiệu
TE03.01.02: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rõ tất cả luồng thông tin và các điểm truy cập vật lý của mô-đun mật mã, bằng cách kiểm tra các sơ đồ khối, các đặc tả thiết kế và/hoặc mã nguồn và các sơ đồ được cung cấp trong 6.2 và 6.11 của tiêu chuẩn này, và mọi tài liệu khác cung cấp bởi nhà cung cấp. Tài liệu phải quy định rõ mối quan hệ của các luồng thông tin và các điểm truy cập vật lý tới các cổng vật lý và các giao diện logic của mô-đun mật mã. Kiểm thử viên phải so sánh các thông tin trên với thông tin được cung cấp theo các khẳng định AS02.07 và AS02.15 đến AS02.18 và xác minh rằng không có sự không nhất quán trong việc mô tả các thành phần và thiết kế vật lý cho các cổng vào ra.
TE03.01.03: Kiểm thử viên phải xác minh rằng đối với mỗi đầu vào vật lý hoặc logic cho mô-đun mật mã, hoặc đầu ra vật lý và logic từ mô-đun, tài liệu của nhà cung cấp quy định giao diện logic mà đầu vào hoặc đầu ra vật lý liên quan đến cổng vào ra vật lý. Các đặc tả được cung cấp phải tuân theo các đặc tả của các thành phần mô-đun mật mã được cung cấp theo 6.2 và 6.11 của tiêu chuẩn này và các đặc tả của các giao diện logic được cung cấp trong các khẳng định AS03.04 đến AS03.11 của 6.3.3.
TE03.01.04: Kiểm thử viên phải xác minh bằng kiểm tra mô-đun mật mã rằng tất cả đặc tả nêu trên được cung cấp bởi tài liệu của nhà cung cấp tuân theo thiết kế thực tế của mô-đun mật mã.
AS03.02: (Các giao diện của mô-đun – Mức 1, 2, 3, và 4)
Các giao diện logic của mô-đun mật mã phải khác biệt với nhau mặc dù chúng có thể chia sẻ một cổng vật lý (ví dụ dữ liệu đầu vào có thể nhập và dữ liệu đầu ra có thể thoát qua cùng một cổng) hoặc có thể được phân bố qua một hoặc nhiều cổng vật lý (ví dụ dữ liệu đầu vào có thể nhập thông qua cả một cổng nối tiếp và một cổng song song)
CHÚ THÍCH Một giao diện chương trình ứng dụng (API) của thành phần phần mềm của một mô-đun mật mã có thể được định nghĩa như một hoặc nhiều giao diện logic.
Thông tin cần thiết từ nhà cung cấp
VE03.02.01: Thiết kế của nhà cung cấp phải tách các giao diện mô-đun mật mã thành những bộ phân loại hợp lý và riêng biệt bằng cách sử dụng các bộ phân loại được liệt kê trong khẳng định AS03.04, và nếu có thể là AS03.12 và AS03.13 trong 6.3.3. Thông tin này phải tuân theo đặc tả của các giao diện logic và các cổng vật lý được cung cấp trong AS03.01 trong 6.3.1.
VE03.02.02: Tài liệu của nhà cung cấp phải quy định rõ cách sắp xếp từng loại giao diện logic đến cổng vật lý của mô-đun mật mã. Một giao diện logic có thể được phân bố trên nhiều cổng vật lý, hoặc hai hoặc nhiều giao diện logic có thể chia sẻ một cổng vật lý miễn là các luồng thông tin được giữ logic riêng biệt. Nếu hai hoặc nhiều giao diện logic chia sẻ cùng một cổng vật lý, tài liệu của nhà cung cấp phải quy định rõ cách thức thông tin từ các loại giao diện khác nhau được giữ logic riêng biệt.
Các thủ tục kiểm thử cần thiết
TE03.02.01. Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp và qua mô-đun mật mã, rằng các giao diện mô-đun logic là khác nhau và riêng biệt cho các loại giao diện được quy định trong khẳng định AS03.04 và nếu có là AS03.12 và AS03.13 của 6.3.3. Thông tin này phải tuân theo đặc tả và thiết kế của các giao diện logic và các cổng vật lý được cung cấp ở AS03.01 trong 6.3.1.
TE03.02.02: Kiểm thử viên phải xác minh rằng tài liệu cung cấp quy định rõ cách sắp xếp từng loại giao diện logic đến cổng vật lý của mô-đun mật mã. Giao diện logic có thể được phân bố trên nhiều cổng vật lý, hoặc hai hoặc nhiều giao diện hợp lý có thể chia sẻ một cổng vật lý. Nếu hai hoặc nhiều giao diện chia sẻ cùng một cổng vật lý, kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định cách các luồng thông tin cho các giao diện đầu vào, đầu ra, điều khiển và trạng thái được giữ một cách riêng biệt.
AS03.03: (Các giao diện của mô-đun – Mức 1, 2, 3, và 4)
Các yêu cầu tài liệu quy định tại tiểu mục A.2.3 {TCVN 11295:2016} phải được cung cấp.
Thông tin cần thiết từ nhà cung cấp
VE03.03.01: Nhà cung cấp phải cung cấp tài liệu theo quy định tại A.2.3 TCVN 11295:2016.
Các thủ tục kiểm thử cần thiết
TE03.03.01: Kiểm thử viên phải xác minh tính đầy đủ của tài liệu được nêu trong A.2.3 của TCVN 11295:2016.
6.3.2 Phân loại giao diện
6.3.3 Định nghĩa giao diện
AS03.04: (Các giao diện của mô–đun – Mức 1, 2, 3, và 4)
Mỗi mô-đun mật mã phải có năm giao diện sau (“đầu vào” và “đầu ra” được quy định rõ trong mô-đun):
– Giao diện đầu vào dữ liệu
– Giao diện đầu ra dữ liệu
– Giao diện đầu vào điều khiển
– Giao diện đầu ra điều khiển
– Giao diện đầu ra trạng thái
Thông tin cần thiết từ nhà cung cấp
VE03.04.01: Tài liệu của nhà cung cấp chia các giao diện của mô-đun mật mã ra một cách rõ ràng riêng biệt là năm giao diện logic quy định sau đây trong mô-đun mật mã (“đầu vào” và “đầu ra” được quy định rõ trong mô-đun):
- a) Giao diện đầu vào dữ liệu (cho đầu vào của dữ liệu được quy định trong AS03.05),
- b) Giao diện đầu ra dữ liệu (cho đầu ra của dữ liệu được quy định trong AS03.06 và AS03.07),
- c) Giao diện điều khiển đầu vào (cho đầu vào của các phát biểu như được quy định trong AS03.08),
- d) Giao diện điều khiển đầu ra (cho đầu ra của các phát biểu như được quy định trong AS03.09, và 10) và
- e) Giao diện đầu ra trạng thái (cho đầu ra của thông tin trạng thái như đã nêu trong AS03.11).
Các thủ tục kiểm thử cần thiết
TE03.04.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp có quy định rõ năm giao diện logic được liệt kê trong VE03.04.01 đã được thiết kế trong mô-đun mật mã chưa. Nếu có, xác minh rằng các giao diện logic trong mô-đun mật mã có thực thi theo các khẳng định AS03.05 đến AS03.11 trong 6.3.3 hay không.
Giao diện đầu vào dữ liệu
AS03.05: (Giao diện đầu vào dữ liệu – Mức 1, 2, 3, và 4)
Tất cả dữ liệu (trừ dữ liệu điều khiển được nhập thông qua giao diện điều khiển đầu vào) được nhập vào và xử lý bởi một mô-đun mật mã (bao gồm bản rõ, bản mã, SSP và thông tin trạng thái từ một mô-đun khác) phải nhập thông qua giao diện “đầu vào dữ liệu”.
Thông tin cần thiết từ nhà cung cấp
VE03.05.01: Mô-đun mật mã phải có một giao diện đầu vào dữ liệu. Tất cả dữ liệu (trừ dữ liệu điều khiển nhập thông qua giao diện điều khiển đầu vào) được nhập vào và xử lý bởi mô-đun mật mã phải nhập thông qua giao diện đầu vào dữ liệu, bao gồm:
- a) Bản rõ
- b) Bản mã hoặc dữ liệu được ký
- c) Khóa mật mã và dữ liệu quản lý khóa khác (bản rõ hoặc bản mã)
- d) Dữ liệu xác thực (bản rõ hoặc bản mã)
- e) Thông tin trạng thái từ các nguồn bên ngoài
- f) Dữ liệu đầu vào khác
VE03.05.02: Tài liệu của nhà cung cấp phải quy định rõ cho mọi thiết bị đầu vào ngoài được sử dụng với mô-đun mật mã để cho dữ liệu vào giao diện đầu vào dữ liệu, chẳng hạn như thẻ thông minh, thẻ, màn hình và/hoặc các thiết bị lưu trữ khác.
Các thủ tục kiểm thử cần thiết
TE03.05.01: Kiểm thử viên phải xác minh bằng cách kiểm tra xem mô-đun mật mã gồm có một giao diện đầu ra dữ liệu và giao diện đầu ra dữ liệu này hoạt động theo quy định. Kiểm thử viên phải xác minh rằng tất cả dữ liệu (ngoại trừ dữ liệu trạng thái xuất ra thông qua giao diện đầu ra trạng thái và dữ liệu điều khiển xuất ra thông qua giao diện điều khiển đầu ra) đã được xử lý và phải được xuất bởi mô-đun mật mã xuất ra thông qua giao diện đầu ra dữ liệu, bao gồm:
- a) Bản rõ đã được mã hoặc ký bằng mô-đun mật mã
- b) Bản mã hoặc các dữ liệu đã ký mà phải được giải mã hoặc xác minh bởi mô-đun mật mã
- c) Bản rõ hoặc các khoá mật mã và dữ liệu quản lý khóa khác được nhập vào và sử dụng bởi mô-đun mật mã gồm dữ liệu và vectơ khởi tạo, chia nhỏ thông tin khoá và/hoặc thông tin thống kê của khóa. (Các yêu cầu quản lý khóa khác được nêu trong 7.9 của TCVN 11295:2016).
- d) Bản rõ hoặc dữ liệu xác thực được mã hóa là đầu vào của mô-đun mật mã gồm mật khẩu, mã PIN và/hoặc thông tin sinh trắc học.
- e) Thông tin trạng thái từ các nguồn bên ngoài (ví dụ: một mô-đun hoặc thiết bị mật mã khác)
- f) Mọi thông tin khác được nhập vào mô-đun mật mã để xử lý hoặc lưu trữ, ngoại trừ thông tin điều khiển được bảo lưu riêng trong AS03.08.
TE03.05.02: Kiểm thử viên phải xác minh xem tài liệu của nhà cung cấp có nêu rõ mọi thiết bị đầu vào bên ngoài được sử dụng với mô-đun mật mã để nhập dữ liệu vào giao diện dữ liệu đầu vào, chẳng hạn như thẻ thông minh, thẻ, bàn phím, bộ nạp phím và/hoặc thiết bị sinh trắc học. Kiểm thử viên phải nhập dữ liệu vào giao diện dữ liệu đầu vào bằng cách dùng thiết bị đầu vào bên ngoài đã được quy định và kiểm tra xem dữ liệu nhập vào của thiết bị bên ngoài có các chức năng như đã quy định rõ hay không.
Giao diện đầu ra dữ liệu
AS03.06: (Giao diện đầu ra dữ liệu – Mức 1, 2, 3, và 4)
Tất cả dữ liệu (trừ dữ liệu trạng thái xuất ra qua giao diện đầu ra trạng thái và dữ liệu điều khiển xuất ra qua giao diện đầu ra điều khiển) được xuất ra từ một mô-đun mật mã (bao gồm bản rõ, bản mã và SSP) phải thoát ra qua giao diện “đầu ra dữ liệu’’.
Thông tin cần thiết từ nhà cung cấp
VE03.06.01: Mô-đun mật mã phải có một giao diện đầu ra dữ liệu. Tất cả dữ liệu (trừ dữ liệu trạng thái xuất ra thông qua giao diện đầu ra trạng thái và dữ liệu điều khiển xuất ra thông qua giao diện đầu ra điều khiển) được xử lý và xuất ra bởi mô-đun mật mã phải xuất ra thông qua giao diện đầu ra dữ liệu, bao gồm:
- a) Bản rõ
- b) Bản mã và chữ ký số
- c) Khóa mật mã và dữ liệu quản lý khóa khác (bản rõ hoặc bản mã)
- d) Mọi thông tin khác được xuất ra từ mô-đun mã hóa sau khi xử lý hoặc lưu trữ, ngoại trừ thông tin trạng thái được quy định riêng biệt trong AS03.11 và thông tin điều khiển được quy định riêng biệt trong AS03.09 và AS03.10 của 6.3.3
VE03.06.02: Tài liệu của nhà cung cấp phải quy định rõ cho mọi thiết bị đầu ra ngoài được sử dụng với mô-đun mật mã để cho ra dữ liệu từ giao diện đầu ra dữ liệu, chẳng hạn như thẻ thông minh, thẻ, màn hình và/hoặc các thiết bị lưu trữ khác.
Các thủ tục kiểm thử cần thiết
TE03.06.01: Kiểm thử viên phải xác minh bằng cách kiểm tra xem mô-đun mật mã gồm có một giao diện đầu ra dữ liệu và giao diện đầu ra dữ liệu này hoạt động theo quy định. Kiểm thử viên phải xác minh rằng tất cả dữ liệu (ngoại trừ dữ liệu trạng thái xuất ra thông qua giao diện đầu ra trạng thái và dữ liệu điều khiển xuất ra thông qua giao diện đầu ra điều khiển) đã được xử lý và xuất bởi mô-đun mật mã xuất ra thông qua giao diện đầu ra dữ liệu, bao gồm:
- a) Bản rõ đã được giải mã bằng mô-đun mật mã
- b) Bản mã đã được mã hóa và chữ ký số đã được tạo ra bởi mô-đun mật mã
- c) Bản rõ hoặc các khoá mật mã và các dữ liệu quản lý khóa khác đã được tạo ra và xuất ra từ mô- đun, bao gồm dữ liệu khởi tạo và vectơ, thông tin khóa chia nhỏ và/hoặc thông tin thống kê của khóa (các yêu cầu quản lý khóa khác được quy định trong 7.9 của TCVN 11295:2016)
- d) Mọi thông tin khác được xuất ra từ mô-đun mã hóa sau khi xử lý hoặc lưu trữ, ngoại trừ thông tin trạng thái được quy định riêng biệt trong AS03.11 của 6.3.3 và thông tin điều khiển được quy định riêng biệt trong AS03.09 và AS03.10 của 6.3.3.
TE03.06.02: Kiểm thử viên phải xác minh xem tài liệu của nhà cung cấp có nêu rõ mọi thiết bị đầu ra bên ngoài dùng với mô-đun mật mã để lấy dữ liệu đầu ra từ giao diện đầu ra dữ liệu, chẳng hạn như thẻ thông minh, thẻ, hiển thị và/hoặc các thiết bị lưu trữ khác. Kiểm thử viên phải lấy dữ liệu từ giao diện đầu ra dữ liệu bằng cách sử dụng các thiết bị đầu ra ngoài đã được quy định và xác minh rằng dữ liệu đầu ra của thiết bị đầu ra bên ngoài có chức năng như đã quy định.
AS03.07: (Giao diện đầu ra dữ liệu – Mức 1, 2, 3, và 4)
Tất cả dữ liệu xuất ra qua giao diện “đầu ra dữ liệu” phải bị khóa khi thực hiện nhập thủ công, tự kiểm tra tiền hoạt động, nạp phần mềm/phần sụn và xóa trắng; Hoặc khi mô-đun mật mã đang ở trong trạng thái lỗi.
Thông tin cần thiết từ nhà cung cấp
VE03.07.01: Tài liệu của nhà cung cấp phải quy định rõ cách mô-đun mật mã khóa dữ liệu đầu ra trong khi thực hiện nhập thủ công, tự kiểm tra trước khi vận hành, nạp phần mềm hoặc nhúng phần mềm và xóa trắng; Hoặc khi mô-đun mật mã đang ở trong trạng thái lỗi.
VE03.07.02: Tài liệu của nhà cung cấp phải quy định rõ cách thiết kế mô-đun mật mã đảm bảo rằng tất cả dữ liệu xuất ra qua giao diện đầu ra dữ liệu bị khóa trong khi thực hiện nhập thủ công, tự kiểm tra tiền hoạt động, nạp phần mềm/phần sụn và xóa trắng; Hoặc khi mô-đun mật mã đang ở trong trạng thái lỗi.
Các thủ tục kiểm thử cần thiết
TE03.07.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rõ tất cả dữ liệu xuất ra thông qua giao diện đầu ra dữ liệu phải đều bị khóa.
- a) Bất cứ khi nào mô-đun mật mã thực hiện:
1) Nhập thủ công,
2) Tự kiểm tra tiền hoạt động,
3) Nạp phần mềm/phần sụn,
4) Xóa trắng;
- b) Hoặc khi mô-đun mật mã ở trạng thái lỗi
Thủ tục kiểm thử này có thể được điều chỉnh lại như sau:
- a) Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng mỗi khi các dịch vụ sau được khởi động thì tất cả dữ liệu xuất ra thông qua giao diện đầu ra dữ liệu bị khóa cho đến khi dịch vụ hoàn thành:
1) Nhập thủ công,
2) Tự kiểm tra tiền hoạt động,
3) Nạp phần mềm/phần sụn,
4) Xóa trắng;
- b) Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng mỗi khi một điều kiện bị lỗi được phát hiện và chuyển sang trạng thái lỗi, thì tất cả dữ liệu xuất ra thông qua giao diện đầu ra dữ liệu đều bị khóa, cho đến khi lỗi được phục hồi.
TE03.07.02: Kiểm thử viên phải tạo ra mô-đun mật mã để nhập từng trạng thái sau:
- a) Trạng thái thực hiện nhập SSP thủ công,
- b) Trạng thái tự kiểm tra thực hiện tự kiểm tra tiền hoạt động,
- c) Trạng thái nạp phần mềm/phần sụn,
- d) Trạng thái xóa trắng,
- e) Trạng thái lỗi;
Và xác minh rằng tất cả dữ liệu ra thông qua giao diện đầu ra dữ liệu đều bị khóa.
Nếu kiểm thử viên không thể gọi được ra lỗi thì nhà cung cấp phải cung cấp cho kiểm thử viên lý do tại sao không thể thực hiện kiểm tra này. Trong trường hợp này, kiểm thử viên phải làm theo các thủ tục thay thế được cho phép bởi tổ chức kiểm tra có thẩm quyền, để đảm bảo rằng tất cả dữ liệu xuất ra thông qua giao diện đầu ra dữ liệu đều bị khóa.
Ví dụ: Kiểm tra mã nguồn được sử dụng.
TE03.07.03: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rõ tất cả dữ liệu xuất ra thông qua giao diện đầu ra dữ liệu bị khóa bất cứ khi nào mô-đun mật mã đang ở trong điều kiện tự kiểm tra. Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng khi thực hiện tự kiểm tra, tất cả dữ liệu xuất ra thông qua giao diện đầu ra dữ liệu bị khóa cho đến khi hoàn thành tự kiểm tra. Thông tin trạng thái để hiển thị kết quả tự kiểm tra có thể được cho phép từ giao diện đầu ra trạng thái. Kiểm thử viên cũng phải xác minh rằng các điều kiện tự kiểm tra được quy định để đáp lại sự khẳng định này giống hệt với các phép tự kiểm tra được quy định rõ trong AS10.14.
TE03.07.04: Kiểm thử viên phải điều khiển cho mô-đun để thực hiện tự kiểm tra và xác minh rằng tất cả dữ liệu xuất ra thông qua giao diện đầu ra dữ liệu đều bị khóa. Nếu thông tin trạng thái được xuất ra từ giao diện đầu ra trạng thái cho biết kết quả của các phép tự kiểm tra, kiểm thử viên phải xác minh rằng không có CSP, bản rõ, hoặc các thông tin khác được đưa ra mà nếu sử dụng sai có thể dẫn đến sai sót. Nếu kiểm thử viên không thể xuất dữ liệu trong suốt trạng thái tự kiểm tra cụ thể thì nhà cung cấp phải cung cấp cho kiểm thử viên lý do tại sao không thể thực hiện kiểm tra này. Trong trường hợp này, kiểm thử viên phải làm theo các thủ tục thay thế được cho phép bởi tổ chức chịu trách nhiệm, để đảm bảo rằng tất cả dữ liệu xuất ra thông qua giao diện đầu ra dữ liệu bị khóa.
Ví dụ 1: Kiểm tra mã nguồn được sử dụng
Ví dụ 2: Sử dụng trình mô phỏng
Ví dụ 3: Sử dụng trình sửa lỗi
TE03.07.05: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định mô-đun mật mã đảm bảo rằng tất cả dữ liệu xuất ra thông qua giao diện đầu ra dữ liệu phải bị khóa trong các trạng thái lỗi hoặc điều kiện tự kiểm tra. Kiểm thử viên cũng phải kiểm tra thiết kế của mô-đun mật mã để đảm bảo rằng giao diện đầu ra dữ liệu trên thực tế bị khoá về mặt logic hoặc vật lý trong những điều kiện này.
Giao diện đầu vào điều khiển
AS03.08: (Giao diện đầu vào điều khiển – Mức 1, 2, 3, và 4)
Tất cả lệnh, tín hiệu (ví dụ đầu vào đồng hồ) và dữ liệu điều khiển đầu vào (bao gồm cả các gọi hàm chức năng và điều khiển thủ công như công tắc, nút bấm và bàn phím) được sử dụng để điều khiển hoạt động của một mô-đun mật mã phải được nhập thông qua giao diện “đầu vào điều khiển“.
Thông tin cần thiết từ nhà cung cấp
VE03.08.01: Mô-đun mật mã phải có giao diện đầu vào điều khiển. Tất cả lệnh, tín hiệu và dữ liệu điều khiển (trừ dữ liệu được nhập thông qua giao diện đầu vào dữ liệu) được sử dụng để điều khiển hoạt động của mô-đun mật mã phải được nhập thông qua giao diện đầu vào điều khiển, bao gồm:
- a) Các lệnh nhập logic thông qua một API (ví dụ: cho các thành phần phần mềm và phần sụn của mô-đun mật mã)
- b) Tín hiệu nhập logic hoặc vật lý thông qua một hoặc nhiều cổng vật lý (ví dụ: cho các thành phần phần cứng của mô-đun mật mã)
- c) Các đầu vào điều khiển thủ công (ví dụ: sử dụng công tắc, nút bấm hoặc bàn phím)
- d) Mọi dữ liệu điều khiển đầu vào khác
VE03.08.02: Nếu có thể, tài liệu của nhà cung cấp phải quy định rõ mọi thiết bị đầu vào bên ngoài làm việc với mô-đun mật mã để nhập lệnh, tín hiệu và dữ liệu điều khiển vào giao diện đầu vào điều khiển, chẳng hạn như thẻ thông minh, thẻ hoặc bàn phím.
Các thủ tục kiểm thử cần thiết
TE03.08.01: Kiểm thử viên phải xác minh bằng cách kiểm tra xem mô-đun mật mã bao gồm một giao diện đầu vào điều khiển và giao diện đầu vào điều khiển đó có hoạt động theo quy định hay không. Kiểm thử viên phải xác minh xem tất cả lệnh, tín hiệu và dữ liệu điều khiển (trừ dữ liệu được nhập thông qua giao diện đầu vào dữ liệu) được sử dụng để điều khiển hoạt động của mô-đun mật mã phải nhập thông qua giao diện đầu vào điều khiển, bao gồm:
- a) Các lệnh nhập logic thông qua một API, chẳng hạn như gọi hàm trong thư viện phần mềm hoặc trong thẻ thông minh
- b) Tín hiệu đầu vào logic hoặc vật lý thông qua một hoặc nhiều cổng vật lý, chẳng hạn như các lệnh và tín hiệu được gửi qua cổng nối tiếp hoặc thẻ PC
- c) Đầu vào điều khiển thủ công (ví dụ: sử dụng công tắc, nút bấm hoặc bàn phím)
- d) Mọi dữ liệu điều khiển đầu vào khác
TE03.08.02: Kiểm thử viên phải xác minh xem tài liệu của nhà cung cấp có quy định rõ mọi thiết bị đầu vào bên ngoài làm việc với mô-đun mật mã để nhập lệnh, tín hiệu và dữ liệu điều khiển vào giao diện đầu vào điều khiển, chẳng hạn như thẻ thông minh, thẻ hoặc bàn phím. Kiểm thử viên phải nhập các lệnh thông qua giao diện đầu vào điều khiển bằng thiết bị đầu vào bên ngoài quy định và kiểm tra xem các lệnh nhập này với thiết bị đầu vào bên ngoài có hoạt động đúng theo quy định không.
Giao diện đầu ra điều khiển
AS03.09: (Giao diện đầu ra điều khiển – Mức 1, 2, 3, và 4)
Tất cả lệnh, tín hiệu và dữ liệu điều khiển đầu ra (ví dụ lệnh điều khiển cho mô-đun khác) được sử dụng để điều khiển hoặc quy định rõ trạng thái hoạt động của mô-đun mật mã thông qua giao diện “đầu ra điều khiển”.
Thông tin cần thiết từ nhà cung cấp
VE03.09.01: Tài liệu của nhà cung cấp phải quy định rõ tất cả lệnh, tín hiệu và dữ liệu điều khiển đầu ra (ví dụ lệnh điều khiển tới mô-đun khác) được sử dụng để điều khiển hoặc quy định rõ trạng thái hoạt động của một mô-đun mật mã phải đi ra thông qua giao diện đầu ra điều khiển
Các thủ tục kiểm thử cần thiết
TE03.09.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp phải quy định rõ tất cả lệnh, tín hiệu và dữ liệu điều khiển đầu ra (ví dụ lệnh điều khiển tới mô-đun khác) dùng để điều khiển hoặc quy định rõ trạng thái hoạt động của một mô-đun mật mã phải thoát ra thông qua giao diện đầu ra điều khiển
TE03.09.02: Nếu giao diện đầu ra điều khiển được quy định rõ, kiểm thử viên phải xác minh xem giao diện đầu ra điều khiển hoạt động theo quy định hay không.
AS03.10: (Giao diện đầu ra điều khiển – Mức 1, 2, 3, và 4)
Tất cả đầu ra điều khiển thông qua giao diện “đầu ra điều khiển” phải được khóa khi mô-đun mật mã ở trong trạng thái lỗi, trừ các ngoại lệ được quy định và ghi trong chính sách an toàn.
Thông tin cần thiết từ nhà cung cấp
VE03.10.01: Tài liệu của nhà cung cấp phải quy định mô-đun mật mã đảm bảo rằng tất cả đầu ra điều khiển thông qua giao diện đầu ra điều khiển bị khóa bất cứ khi nào mô-đun đang ở trạng thái lỗi (trạng thái lỗi được nêu trong 7.11 của TCVN 11295:2016). Thông tin trạng thái có thể được lấy từ giao diện đầu ra trạng thái để xác định loại lỗi.
VE03.10.02: Tài liệu của nhà cung cấp phải quy định rõ cách thiết kế mô-đun mật mã đảm bảo rằng tất cả đầu ra điều khiển thông qua giao diện đầu ra điều khiển đều bị khóa bất cứ khi nào mô-đun đang ở trong điều kiện tự kiểm tra (tự kiểm tra được trình bày trong 7.10 của TCVN 11295:2016). Thông tin trạng thái để hiển thị kết quả tự kiểm tra có thể được lấy từ giao diện đầu ra trạng thái.
Các thủ tục kiểm thử cần thiết
TE03.10.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp quy định rằng tất cả đầu ra điều khiển thông qua giao diện đầu ra điều khiển bị khóa bất cứ khi nào mô-đun mật mã đang ở trạng thái lỗi. Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng khi phát hiện tình trạng lỗi và nhập trạng thái lỗi, tất cả đầu ra điều khiển qua giao diện đầu ra điều khiển phải bị khóa cho đến khi phục hồi được lỗi. Kiểm thử viên cũng phải xác minh rằng các trạng thái lỗi được quy định rõ trong khẳng định này giống hệt với các trạng thái lỗi quy định trong AS11.08.
TE03.10.02: Kiểm thử viên phải tạo ra mô-đun mã hóa để nhập mỗi trạng thái lỗi quy định và xác minh rằng tất cả đầu ra điều khiển thông qua giao diện đầu ra điều khiển bị khóa. Nếu thông tin trạng thái được xuất ra từ giao diện đầu ra trạng thái để xác định loại lỗi, Kiểm thử viên phải xác minh rằng đầu ra thông tin không nhạy cảm. Các hoạt động sau đây có thể được sử dụng để làm cho mô-đun mật mã chuyển sang trạng thái lỗi như mở nắp, tháo vỏ, cửa ra vào, nhập các lệnh, phím, hoặc thông số không chính xác, giảm điện áp đầu vào và/hoặc các hành động gây lỗi khác.
Nếu không thể cho kiểm thử viên gây ra lỗi thì nhà cung cấp phải cung cấp cho kiểm thử viên lý do tại sao không thể thực hiện kiểm tra này.
TE03.10.03: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp quy định rõ tất cả đầu ra điều khiển thông qua giao diện đầu ra điều khiển bị khóa bất cứ khi nào mô-đun mật mã đang ở trong điều kiện tự kiểm tra. Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng khi thực hiện tự kiểm tra, tất cả đầu ra điều khiển thông qua giao diện đầu ra điều khiển phải bị khóa cho đến khi việc tự kiểm tra hoàn tất. Kiểm thử viên cũng phải xác minh rằng các điều kiện tự kiểm tra được quy định để đáp ứng với sự khẳng định này giống hệt với các phép tự kiểm tra được quy định rõ trong AS10.14.
TE03.10.04: Kiểm thử viên phải làm cho mô-đun thực hiện tự kiểm tra và xác minh rằng tất cả đầu ra điều khiển thông qua giao diện đầu ra điều khiển bị khóa.
TE03.10.05: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định mô-đun mật mã đảm bảo rằng tất cả đầu ra điều khiển thông qua giao diện đầu ra điều khiển phải được khóa trong các trạng thái lỗi hoặc điều kiện tự kiểm tra. Kiểm thử viên cũng phải xác minh bằng cách kiểm tra việc thực hiện mô-đun mã hóa thì giao diện đầu ra điều khiển trên thực tế bị khóa về mặt logic hoặc vật lý trong những điều kiện này hay không.
Giao diện đầu ra trạng thái
AS03.11: (Giao diện đầu ra trạng thái – Mức 1, 2, 3, và 4)
Tất cả tín hiệu, chỉ số (ví dụ như chỉ số báo lỗi), và dữ liệu trạng thái đầu ra [bao gồm mã trả lại và các chỉ số vật lý như hình ảnh (hiển thị, đèn báo), âm thanh (còi, tiếng, chuông) và cơ (rung động) được sử dụng để xác định trạng thái của một mô-đun mật mã phải thoát ra thông qua giao diện “đầu ra trạng thái“.
CHÚ THÍCH Đầu ra trạng thái phải là không rõ ràng hoặc rõ ràng.
Thông tin cần thiết từ nhà cung cấp
VE03.11.01: Mô-đun mật mã phải có giao diện đầu ra trạng thái. Tất cả thông tin trạng thái, tín hiệu, các chỉ thị logic và vật lý được sử dụng để biểu thị hoặc hiển thị trạng thái của mô-đun phải thoát ra thông qua giao diện đầu ra trạng thái, bao gồm:
- a) Thông tin trạng thái xuất logic thông qua một API
- b) Tín hiệu đầu ra logic hoặc vật lý thông qua một hoặc nhiều cổng vật lý
- c) Các đầu ra trạng thái thủ công (ví dụ: sử dụng màn hình, bộ chỉ thị, đèn, còi, tiếng hoặc chuông)
- d) Mọi thông tin trạng thái đầu ra khác
VEQ3.11.02: Nếu có thể, tài liệu của nhà cung cấp phải quy định rõ mọi thiết bị đầu ra bên ngoài làm việc với mô-đun mật mã để cho ra thông tin trạng thái, tín hiệu, chỉ thị logic vật lý thông qua giao diện đầu ra trạng thái như thẻ thông minh, thẻ, màn hình và/hoặc các thiết bị lưu trữ khác.
Các thủ tục kiểm thử cần thiết
TE03.11.01: Kiểm thử viên phải kiểm tra xem mô-đun mật mã gồm một giao diện đầu ra trạng thái và giao diện đầu ra trạng thái đó hoạt động theo quy định hay không. Kiểm thử viên phải xác minh rằng tất cả thông tin trạng thái, tín hiệu, chỉ thị logic và vật lý được sử dụng để biểu thị hoặc hiển thị trạng thái của mô-đun phải đi ra thông qua giao diện đầu ra trạng thái, bao gồm:
- a) Thông tin trạng thái xuất logic thông qua API, chẳng hạn như mã trả về từ thư viện phần mềm hoặc thẻ thông minh
- b) Tín hiệu đầu ra logic hoặc vật lý thông qua một hoặc nhiều cổng vật lý, chẳng hạn như trạng thái thông tin được gửi qua cổng nối tiếp hoặc đầu nối thẻ máy tính
- c) Các đầu ra trạng thái thủ công (ví dụ: sử dụng đèn LED, còi hoặc màn hình)
- d) Mọi thông tin trạng thái đầu ra khác
TE03.11.02: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rõ mọi thiết bị đầu ra bên ngoài (nếu có) được sử dụng với mô-đun mật mã để lấy thông tin trạng thái, tín hiệu, chỉ thị logic và vật lý thông qua giao diện đầu ra trạng thái.
TE03.11.03: Kiểm thử viên phải xác minh rằng thông tin trạng thái lấy ra từ giao diện đầu ra trạng thái không được xuất ra bất kỳ thông tin nào có thể gây ra lỗi tới CSP.
AS03.12: (Các giao diện của mô-đun – Mức 1,2, 3, và 4)
Ngoại trừ các mô-đun mật mã phần mềm, tất cả mô-đun phải có giao diện như sau:
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt
AS03.13: (Các giao diện của mô-đun – Mức 1, 2, 3, và 4)
Giao diện điện: Tất cả nguồn điện bên ngoài đi vào mô-đun mật mã đều thông qua giao diện điện.
CHÚ THÍCH Giao diện điện không cần thiết nếu tất cả nguồn điện được cung cấp hoặc bảo dưỡng nội bộ mô-đun và việc thay thế pin nội bộ được coi là hoạt động bảo dưỡng vật lý và phải tuân thủ các yêu cầu quy định trong 7.7 của TCVN 11295:2016.
Thông tin cần thiết từ nhà cung cấp
VE03.13.01: Nếu mô-đun mật mã yêu cầu hoặc cung cấp điện đến/từ các thiết bị khác bên ngoài (ví dụ: nguồn điện hoặc pin bên ngoài), tài liệu của nhà cung cấp phải quy định rõ một giao diện điện và một cổng vật lý tương ứng.
VE03.13.02: Tất cả nguồn điện vào hoặc ra khỏi mô-đun mật mã đến/từ các thiết bị khác bên ngoài phải được truyền qua giao diện điện quy định.
Các thủ tục kiểm thử cần thiết
TE03.13.01: Kiểm thử viên phải xác minh xem tài liệu của nhà cung cấp có quy định liệu mô-đun mật mã có yêu cầu hay cung cấp điện đến/từ các thiết bị khác ngoài ranh giới mật mã (ví dụ: nguồn điện, dây nguồn, nguồn/đầu ra điện hoặc pin bên ngoài). Kiểm thử viên cũng phải xác minh rằng tài liệu của nhà cung cấp có quy định rõ một giao diện điện và một cổng vật lý tương ứng không.
TE03.13.02: Kiểm thử viên phải xác minh mô-đun mật mã xem tất cả nguồn vào hoặc ra khỏi mô-đun đến/từ các thiết bị khác bên ngoài ranh giới mật mã đều đi qua giao diện điện quy định hay không.
AS03.14: (Các giao diện của mô-đun – Mức 1, 2, 3, và 4)
Mô-đun mật mã phải phân biệt giữa dữ liệu, thông tin điều khiển và công suất cho nguồn đầu vào với dữ liệu, thông tin điều khiển, thông tin trạng thái, và công suất cho nguồn đầu ra.
Thông tin cần thiết từ nhà cung cấp
VE03.14.01: Tài liệu của nhà cung cấp phải quy định rõ mô-đun mật mã phân biệt giữa dữ liệu và điều khiển đầu vào với dữ liệu, điều khiển và trạng thái cho đầu ra và cách đường đi vật lý, logic của dữ liệu đầu vào và thông tin điều khiển đi vào mô-đun thông qua các giao diện logic, vật lý đầu vào khi ngắt kết nối khỏi các đường dẫn vật lý, logic của dữ liệu đầu ra, thông tin điều khiển và trạng thái đi ra khỏi mô-đun thông qua các giao diện đầu ra được sử dụng.
VE03.14.02: Tài liệu của nhà cung cấp phải quy định rõ cách các đường đi vật lý và logic được sử dụng bởi dữ liệu đầu vào và thông tin điều khiển khi ngắt kết nối khỏi các đường dẫn vật lý, logic được sử dụng bởi dữ liệu đầu ra, thông tin điều khiển và trạng thái. Nếu các đường dẫn vật lý và logic được sử dụng bởi dữ liệu đầu vào, thông tin điều khiển và dữ liệu đầu ra được chia sẻ thì tài liệu của nhà cung cấp phải quy định rõ cách thức tách biệt hợp lý mà mô-đun mật mã phải thực thi.
VE03.14.03: Tài liệu của nhà cung cấp phải thể hiện sự nhất quán và phải quy định rõ mô-đun mật mã phân biệt giữa dữ liệu và điều khiển cho đầu vào với dữ liệu, điều khiển và trạng thái cho đầu ra, các đường dẫn vật lý và logic của dữ liệu đầu vào, thông tin điều khiển đi vào mô-đun thông qua các giao diện đầu vào được sử dụng khi ngắt kết nối logic hoặc vật lý từ các đường dẫn vật lý, logic của dữ liệu đầu ra, thông tin điều khiển và trạng thái đi ra khỏi mô-đun thông qua các giao diện đầu ra tương ứng.
Các thủ tục kiểm thử cần thiết
TE03.14.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp phải quy định cách mô-đun mật mã phân biệt giữa dữ liệu và điều khiển cho đầu vào với dữ liệu, điều khiển và trạng thái cho đầu ra. Dữ liệu nhập vào từ giao diện đầu vào dữ liệu và thông tin điều khiển được nhập từ giao diện đầu vào điều khiển phải được phân biệt logic hoặc vật lý với dữ liệu đầu ra đi ra khỏi giao diện dữ liệu đầu ra, điều khiển đầu ra xuất ra từ giao diện điều khiển đầu ra và thông tin trạng thái xuất ra từ giao diện đầu ra trạng thái.
TE03.14.02: Kiểm thử viên phải xác minh rằng các tài liệu cung cấp có quy định rõ cách các đường dẫn vật lý và logic được sử dụng bởi dữ liệu đầu vào và thông tin điều khiển khi ngắt kết nối vật lý hoặc logic khỏi các đường dẫn vật lý và logic được sử dụng bởi dữ liệu ra, thông tin điều khiển và trạng thái. Nếu các đường dẫn vật lý và logic được sử dụng bởi dữ liệu đầu vào và thông tin điều khiển cũng như dữ liệu đầu ra, thông tin điều khiển và trạng thái được chia sẻ về mặt vật lý thì kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rõ cách thức phân chia hợp lý mà mô-đun mật mã phải thực thi.
TE03.14.03: Kiểm thử viên phải xác minh tính nhất quán trong tài liệu của nhà cung cấp và mô-đun mật mã phân biệt giữa dữ liệu và điều khiển cho đầu vào với dữ liệu, điều khiển và trạng thái cho đầu ra và các đường dẫn vật lý và logic cho dữ liệu đầu vào và thông tin điều khiển nhập vào mô-đun thông qua các giao diện đầu vào tương ứng khi bị ngắt kết nối vật lý hoặc logic khỏi các đường dẫn vật lý và logic cho dữ liệu đầu ra, thông tin điều khiển và trạng thái thoát khỏi mô-đun thông qua các giao diện đầu ra tương ứng.
AS03.15: (Các giao diện của mô-đun – Mức 1, 2, 3, và 4)
Đặc tả mô-đun mật mã phải quy định rõ ràng định dạng dữ liệu đầu vào và thông tin điều khiển, bao gồm cả hạn chế độ dài đối với tất cả đầu vào có độ dài biến thiên.
Thông tin cần thiết từ nhà cung cấp
VE03.15.01. Tài liệu của nhà cung cấp phải quy định rõ các đường dẫn vật lý và logic được sử dụng bởi tất cả loại dữ liệu đầu vào cơ bản được nhập vào mô-đun mật mã thông qua giao diện đầu vào dữ liệu và các cổng vật lý tương ứng. Tài liệu này phải bao gồm một đặc tả của các đường dẫn thích hợp (ví dụ các bản sao được đánh dấu hoặc Chú thích của sơ đồ, sơ đồ khối, hoặc các thông tin khác được cung cấp trong AS02.07 và AS02.15 đến AS02.18). Tất cả dữ liệu đầu vào nhập vào mô-đun mật mã thông qua giao diện đầu vào dữ liệu chỉ sử dụng các đường dẫn được quy định rõ trong khi đang được xử lý hoặc lưu trữ bởi từng phân đoạn vật lý hoặc logic của mô-đun. Các đường dẫn dữ liệu đầu vào phải được quy định rõ chi tiết đầy đủ để xác minh loại dữ liệu nào đi qua từng cổng vật lý tương ứng.
CHÚ THÍCH Thuật ngữ “tất cả loại dữ liệu đầu vào cơ bản” đề cập đến các mục được quy định rõ trong AS03.05 đối với đầu vào dữ liệu và các mục được đề cập trong AS03.08 đối với đầu vào điều khiển.
VE03.15.02: Tài liệu của nhà cung cấp phải quy định rõ rằng tất cả dữ liệu đầu vào nhập vào mô-đun mật mã thông qua giao diện đầu vào dữ liệu và các cổng vật lý tương ứng chỉ sử dụng các đường dẫn được quy định rõ. Tài liệu phải quy định rõ tất cả luồng thông tin vật lý và logic được dữ liệu đầu vào sử dụng đều tuân theo thiết kế và hoạt động của mô-đun mật mã. Tài liệu của nhà cung cấp phải quy định rằng không có xung đột giữa các đường dẫn được sử dụng dẫn đến lỗi của CSP, bản rõ hoặc các thông tin khác của mô-đun mật mã.
VE03.15.03: Tài liệu của nhà cung cấp phải quy định rõ ràng định dạng của dữ liệu đầu vào và thông tin điều khiển bao gồm cả hạn chế độ dài cho tất cả đầu vào có độ dài biến thiên.
VE03.15.04: Tài liệu của nhà cung cấp phải quy định thành phần nào trong ranh giới mật mã kiểm tra định dạng.
Các thủ tục kiểm thử cần thiết
TE03.15.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định các đường dẫn vật lý và logic được sử dụng bởi tất cả loại dữ liệu đầu vào cơ bản được nhập vào mô-đun mật mã thông qua giao diện đầu vào dữ liệu. Kiểm thử viên cũng phải xác minh rằng các đường dẫn phải được ghi lại trong đặc tả kỹ thuật (ví dụ: bằng các bản sao được đánh dấu hoặc Chú thích của sơ đồ, sơ đồ khối, hoặc các thông tin khác được cung cấp trong AS02.07 và AS02.15 đến AS02.18). Kiểm thử viên phải xác minh tài liệu mà loại dữ liệu nào đi qua từng cổng vật lý tương ứng.
TE03.15.02: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp và bằng cách kiểm tra mô-đun mật mã rằng tất cả dữ liệu nhập vào mô-đun thông qua giao diện đầu vào dữ liệu và các cổng vật lý tương ứng chỉ sử dụng các đường dẫn được quy định rõ. Kiểm thử viên phải kiểm tra tất cả luồng thông tin hợp lý và vật lý và phải xác minh rằng các đặc tả của các đường dẫn được sử dụng bởi dữ liệu đầu vào tuân theo thiết kế và hoạt động của mô-đun mật mã. Kiểm thử viên phải xác minh rằng không có xung đột giữa các đường dẫn được sử dụng có thể dẫn đến lỗi của CSP, bản rõ hoặc các thông tin khác.
TE03.15.03: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp phải có định dạng rõ ràng cho tất cả dữ liệu đầu vào và thông tin điều khiển, bao gồm cả các hạn chế về độ dài cho mọi đầu vào có độ dài biến thiên.
TE03.15.04: Kiểm thử viên phải xác minh rằng thành phần được quy định trong ranh giới mật mã được đặt trên đường dẫn được quy định rõ theo VE03.15.02.
TE03.15.05: Kiểm thử viên phải kiểm tra mã nguồn được sử dụng để đảm bảo rằng thành phần được quy định có thực sự kiểm tra định dạng hay không.
TE03.15.06: Kiểm thử viên phải cố gắng nhập dữ liệu và/hoặc thông tin điều khiển không tương thích với định dạng và xác minh rằng các đầu vào dịch vụ đó có bị mô-đun mật mã loại bỏ hay không.
CHÚ THÍCH Các nền tảng kiểm tra hoặc cấu hình có thể áp đặt một phần của định dạng/hạn chế.
Ví dụ 1: Một trình điều khiển thiết bị để sử dụng mô-đun mật mã là thực thi một phần của định dạng.
Ví dụ 2: Một lớp trong ngăn xếp giao thức chỉ hỗ trợ gói tin có độ dài cố định.
Nếu không thể cho kiểm thử viên nhập dữ liệu hoặc thông tin điều khiển cố định không tuân theo định dạng thì kiểm thử viên phải yêu cầu nhà cung cấp cung cấp lý do tại sao không thể thực hiện kiểm tra này. Trong trường hợp đó, kiểm thử viên phải làm theo các thủ tục thay thế được cho phép bởi tổ chức chịu trách nhiệm để đảm bảo rằng mô-đun mật mã có kiểm tra định dạng.
6.3.4 Kênh tin cậy
AS03.16: (Kênh tin cậy – Mức 3, và 4)
Đối với việc truyền tải các CSP dạng rõ không được bảo vệ, các thành phần khóa và dữ liệu xác thực giữa mô-đun mật mã và bên gửi hoặc bên nhận đầu cuối của mô-đun mật mã phải được thực hiện trên một kênh tin cậy.
Thông tin cần thiết từ nhà cung cấp
VE03.16.01: Nhà cung cấp phải mô tả phương pháp truyền tải các CSP không được bảo vệ và cách thức chúng được bảo vệ thông qua một kênh tin cậy.
Các thủ tục kiểm thử cần thiết
TE03.16.01: Kiểm thử viên phải xác minh rằng kênh tin cậy có thể bảo vệ các CSP không được bảo vệ giữa ranh giới của mô-đun mật mã và bên gửi hoặc bên nhận đầu cuối.
AS03.17: (Kênh tin cậy – Mức 3, và 4)
Kênh tin cậy phải ngăn chặn sửa đổi, thay thế và tiết lộ trái phép trên kênh truyền.
CHÚ THÍCH Sự khẳng định này không phải là kiểm tra riêng biệt. Được kiểm tra như một phần của AS03.18 hoặc AS03.19
AS03.18: (Kênh tin cậy – Mức 3, và 4)
Các cổng vật lý được sử dụng cho kênh tin cậy phải được cách ly về mặt vật lý với tất cả cổng khác {hoặc thỏa mãn AS03.19}.
Thông tin cần thiết từ nhà cung cấp
VE03.18.01: Tài liệu của nhà cung cấp phải quy định rõ nếu các mô-đun mật mã nhập hoặc xuất ra các CSP dạng rõ. Cổng vật lý được sử dụng cho đầu vào và đầu ra của các CSP dạng rõ phải được tách biệt về mặt vật lý với tất cả cổng vật lý khác của mô-đun mật mã.
VE03.18.02: Nếu mô-đun mật mã nhập hoặc xuất ra các CSP dạng rõ, các mô-đun này phải đảm bảo rằng các CSP dạng rõ vào hoặc ra khỏi mô-đun phải đi qua các cổng vật lý thích hợp, và không có dữ liệu, bản rõ hoặc bản mã được nhập vào hoặc thoát khỏi mô-đun thông qua cổng vật lý tương ứng.
Các thủ tục kiểm thử cần thiết
TE03.18.01: Kiểm thử viên phải xác minh xem tài liệu của nhà cung cấp có quy định liệu các mô-đun mật mã nhập vào hoặc xuất ra các CSP dạng rõ. Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp và kiểm tra các cổng vật lý trên mô-đun mật mã mà các cổng vật lý thích hợp được sử dụng cho đầu vào và đầu ra của CSP dạng rõ được tách biệt về vật lý với tất cả cổng vật lý khác của mô-đun.
TE03.18.02: Nếu mô-đun mật mã nhập vào hoặc xuất ra CSP dạng rõ, kiểm thử viên phải xác minh rằng chỉ các CSP bản rõ vào hoặc ra khỏi mô-đun thông qua các cổng vật lý thích hợp, và không có dữ liệu, bản rõ hoặc bản mã nhập vào hoặc thoát ra qua mô-đun thông qua cổng vật lý tương ứng.
AS03.19: (Kênh tin cậy – Mức 3, và 4)
Các giao diện logic được sử dụng cho kênh tin cậy được tách ra hợp lý khỏi tất cả giao diện khác {hoặc thỏa mãn AS03.18}.
Thông tin cần thiết từ nhà cung cấp
VE03.19.01: Tài liệu của nhà cung cấp phải mô tả các giao diện logic được sử dụng trong kênh tin cậy để nhập và xuất các CSP dạng rõ được tách biệt một cách logic với tất cả giao diện khác như thế nào.
VE03.19.02: Nếu mô-đun mật mã nhập hoặc xuất ra CSP, CES phải đảm bảo rằng các CSP dạng rõ vào hoặc ra khỏi mô-đun thông qua giao diện logic có sử dụng kênh tin cậy và không có dữ liệu, bản rõ hoặc mã hoá nào, nhập hoặc thoát khỏi qua giao diện logic có thể sử dụng kênh tin cậy.
VE03.19.03: Tài liệu của nhà cung cấp phải cung cấp lý do khiến kênh tin cậy ngăn cản việc sửa đổi, thay thế và tiết lộ trái phép theo đường truyền thông.
Các thủ tục kiểm thử cần thiết
TE03.19.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp và bằng cách kiểm tra mô-đun mật mã mà các giao diện logic được sử dụng trong kênh tin cậy để nhập và xuất các bản rõ CSP được tách ra hợp lý khỏi tất cả giao diện logic khác của mô-đun.
TE03.19.02: Nếu mô-đun mật mã nhập hoặc xuất CSP dạng rõ, kiểm thử viên phải xác minh rằng các CSP dạng rõ nhập hoặc thoát khỏi mô-đun thông qua giao diện logic có sử dụng kênh tin cậy không và không có dữ liệu, bản rõ hoặc bản mã nào, nhập hoặc thoát khỏi qua giao diện logic có thể sử dụng kênh tin cậy.
TE03.19.03: Kiểm thử viên phải xác minh tính chính xác của mọi lý do cơ bản được cung cấp bởi nhà cung cấp. Trách nhiệm chứng minh là phía nhà cung cấp; Nếu có bất kỳ sự không chắc chắn hoặc nghi ngờ, kiểm thử viên phải yêu cầu nhà cung cấp cung cấp thêm thông tin khi cần thiết.
TE03.19.04: Kiểm thử viên phải cố gắng truy cập vào đường truyền thông, kiểm tra xem kênh tin cậy có ngăn việc sửa đổi, thay thế và tiết lộ trái phép trên đường truyền hay không.
AS03.20: (Kênh tin cậy – Mức 3, và 4)
Xác thực dựa trên định danh phải được áp dụng cho tất cả dịch vụ sử dụng kênh tin cậy.
Thông tin cần thiết từ nhà cung cấp
VE03.20.01: Nhà cung cấp phải cung cấp mô tả về cơ chế xác thực được sử dụng bởi kênh tin cậy.
Các thủ tục kiểm thử cần thiết
TE03.20.01: Kiểm thử viên phải xác minh rằng cơ chế xác thực dựa trên định danh phải được áp dụng cho tất cả dịch vụ sử dụng kênh tin cậy. Kiểm thử viên phải xác minh rằng các dịch vụ sử dụng kênh tin cậy không được cung cấp mà không cần phải thực hiện thành công hoạt động xác thực.
AS03.21: (Kênh tin cậy – Mức 3, và 4)
Chỉ thị trạng thái phải được cung cấp khi kênh tin cậy đang được sử đụng.
Thông tin cần thiết từ nhà cung cấp
VE03.21.01: Nhà cung cấp phải cung cấp mô tả về chỉ thị được cung cấp khi kênh tin cậy đang được sử dụng.
Các thủ tục kiểm thử cần thiết
TE03.21.01: Kiểm thử viên phải xác minh bằng cách sử dụng mô-đun xem bộ chỉ thị trạng thái có được cung cấp không khi kênh tin cậy đang được sử dụng.
AS03.22: (Kênh tin cậy – Mức 3, và 4)
Ngoài các yêu cầu của mức an toàn 3, đối với xác thực dựa trên định danh nhiều yếu tố với mức an toàn 4 phải được áp dụng cho tất cả dịch vụ sử dụng kênh tin cậy.
Thông tin cần thiết từ nhà cung cấp
VE03.22.01: Nhà cung cấp phải cung cấp mô tả cơ chế xác thực dựa trên định danh đa nhân tố được sử dụng bởi kênh tin cậy
Các thủ tục kiểm thử cần thiết
TE03.22.01: Kiểm thử viên phải xác minh xem cơ chế xác thực dựa trên định danh đa nhân tố được áp dụng cho tất cả dịch vụ sử dụng kênh tin cậy. Kiểm thử viên phải xác minh xem rằng các dịch vụ sử dụng kênh tin cậy không được cung cấp phải không thực hiện thành công việc xác thực người vận hành.
6.4 Các vai trò, dịch vụ và xác thực
6.4.1 Các yêu cầu chung đối với vai trò, dịch vụ và xác thực
AS04.01: (Các vai trò, dịch vụ và xác thực – Mức 1, 2, 3 và 4).
Một mô-đun mật mã phải hỗ trợ các vai trò được phân quyền cho những người vận hành và các dịch vụ tương ứng trong mỗi vai trò.
CHÚ THÍCH Khẳng định này được kiểm thử theo AS04.11.
AS04.02: (Các vai trò, dịch vụ và các xác thực – Mức 1, 2, 3, và 4)
Nếu một mô-đun mật mã hỗ trợ vận hành đồng thời thì mô-đun nội bộ phải đảm nhiệm phân tách các vai trò của từng người vận hành và các dịch vụ tương ứng.
Thông tin cần thiết từ nhà cung cấp
VE04.02.01: Tài liệu của nhà cung cấp phải quy định rõ liệu có cho phép nhiều người vận hành đồng thời hay không. Tài liệu của nhà cung cấp phải quy định rõ phương pháp phân tách các vai trò và dịch vụ được phân quyền cho từng người vận hành. Tài liệu của nhà cung cấp cũng phải mô tả những hạn chế đối với vận hành đồng thời.
Ví dụ 1: Không cho phép một người vận hành đồng thời trong vai trò duy trì và vai trò người dùng.
Ví dụ 2: Cùng một lúc cho phép 16 người vận hành trong vai trò người sử dụng, nhưng chỉ có duy nhất một dịch vụ sinh khóa RSA có thể được chạy cùng một lúc trong mô-đun mật mã.
Ví dụ 3: Khi nhiều người vận hành đồng thời trong vai trò của chuyên viên mật mã được đăng nhập, nhưng mỗi chuyên viên không thể thay đổi dữ liệu xác thực của những người vận hành khác trong vai trò chuyên viên mật mã.
Các thủ tục kiểm thử cần thiết
TE04.02.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp có miêu tả phương pháp được thực thi bởi mô-đun để phân tách vai trò và dịch vụ cho những người vận hành đồng thời hay không.
TE04.02.02: Kiểm thử viên phải nhận diện hai người vận hành độc lập: người vận hành 1 và người vận hành 2. Những người vận hành phải đảm nhận vai trò khác nhau. Kiểm thử viên phải xác minh rằng chỉ có các dịch vụ được phân bổ cho vai trò nào thì phải thực hiện trong vai trò đó. Kiểm thử viên cũng phải cố gắng để từng người vận hành truy cập vào dịch vụ duy nhất với vai trò đảm nhiệm của người vận hành khác để xác minh sự tách biệt được duy trì giữa các vai trò và dịch vụ cho phép trong những người vận hành đồng thời.
TE04.02.03: Nếu tài liệu của nhà cung cấp phải quy định rõ hạn chế đối với những người vận hành đồng thời, kiểm thử viên phải cố gắng vi phạm các hạn chế đó bằng cách cùng một lúc đồng thời đảm nhiệm vai trò bị hạn chế như là người vận hành độc lập và xác minh rằng các mô-đun thực thi có những hạn chế.
AS04.03: (Vai trò – Mức 1, 2, 3, và 4)
Các yêu cầu tài liệu được quy định rõ tại tiểu mục A.2.4 {TCVN 11295:2016}.
Thông tin cần thiết từ nhà cung cấp
VE04.03.01: Nhà cung cấp phải cung cấp tài liệu như mô tả trong A.2.4 {TCVN 11295:2016}.
Các thủ tục kiểm thử cần thiết
TE04.03.01: Kiểm thử viên phải kiểm tra tài liệu của nhà cung cấp tương ứng với mô tả trong A.2.4 {TCVN 11295:2016}.
6.4.2 Vai trò
AS04.04: (Vai trò – Mức 1, 2, 3, và 4)
Một mô-đun mật mã tối thiểu phải hỗ trợ vai trò của chuyên viên mật mã.
Chú thích Khẳng định này không được kiểm tra riêng biệt. Được kiểm tra như là một phần của AS04.05.
AS04.05: (Vai trò – Mức 1,2, 3, và 4)
Vai trò của chuyên viên mật mã được cho là đảm nhiệm việc thực hiện các chức năng khởi tạo hoặc quản lý mật mã và các dịch vụ an toàn chung (ví dụ: cài đặt mô-đun, quản lý CSP, PSP và các chức năng kiểm thử).
Thông tin cần thiết từ nhà cung cấp
VE04.05.01: Trong tài liệu được yêu cầu, nhà cung cấp phải bao gồm ít nhất một vai trò chuyên viên mật mã. Những vai trò phải được quy định rõ theo tên và các dịch vụ được phép.
Các thủ tục kiểm thử cần thiết
TE04.05.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp có ít nhất một vai trò chuyên viên mật mã được quy định. Kiểm thử viên phải xác minh rằng các vai trò được quy định rõ theo tên và các dịch vụ được phép như đã quy định rõ trong AS04.05.
AS04.06: (Vai trò – Mức 1,2,3 và 4)
Nếu mô-đun mật mã hỗ trợ vai trò người dùng thì vai trò người dùng được đảm nhiệm để thực hiện các dịch vụ an toàn chung, bao gồm các thao tác mật mã và các chức năng an toàn được phê duyệt khác.
Thông tin cần thiết từ nhà cung cấp
VE04.06.01: Nếu mô-đun mật mã hỗ trợ vai trò người dùng, nhà cung cấp phải cung cấp tài liệu (1) nêu rõ vai trò người dùng được hỗ trợ và (2) quy định rõ vai trò theo tên và các dịch vụ được phép.
Các thủ tục kiểm thử cần thiết
TE04.06.01: Kiểm thử viên phải quy định từ tài liệu của nhà cung cấp xem mô-đun mật mã có hỗ trợ vai trò người dùng không. Nếu mô-đun mật mã hỗ trợ vai trò người dùng thì kiểm thử viên phải xác thực tài liệu của nhà cung cấp rằng có ít nhất một vai trò người dùng được quy định. Kiểm thử viên phải xác minh rằng vai trò người dùng được quy định rõ theo tên và các dịch vụ được cho phép như đã quy định rõ trong AS04.06.
AS04.07: (Vai trò – Mức 1,2,3 và 4)
Tất cả SSP chưa được bảo vệ phải bị xóa trắng khi nhập vào hoặc thoát khỏi vai trò duy trì.
Thông tin cần thiết từ nhà cung cấp
VE04.07.01: Nếu mô-đun mật mã duy trì một giao diện truy cập, tài liệu của nhà cung cấp phải hướng dẫn 1) quy định rõ ràng vai trò duy trì được hỗ trợ, 2) quy định đầy đủ vai trò theo tên, mục đích và các dịch vụ cho phép, 3) quy định rõ duy trì giao diện truy cập theo VE07.11.01.
VE04.07.02: Tài liệu của nhà cung cấp phải quy định rõ các SSP không được bảo vệ của mô-đun được quy định trong 3.110 của TCVN 11295:2016 phải chủ động xóa trắng khi vai trò duy trì được thực hiện hoặc đã thoát ra.
Các thủ tục kiểm thử cần thiết
TE04.07.01: Kiểm thử viên phải xác minh các đặc tả giao diện mô-đun xem có quy định rõ là giao diện duy trì truy cập (xem AS07.11). Nếu có thì kiểm thử viên phải kiểm tra tài liệu của nhà cung cấp liên quan đến các vai trò phân quyền và xác minh rằng vai trò duy trì được quy định rõ theo tên, mục đích và các dịch vụ được phép.
TE04.07.02: Kiểm thử viên phải xác minh các đặc tả của các giao diện của mô-đun xem có đóng vai trò duy trì và kiểm tra xem có xóa trắng tất cả SSP không được bảo vệ như mô tả trong đặc tả của mô-đun hay không.
TE04.07.03: Trong vai trò duy trì, kiểm thử viên phải nhập tất cả giá trị đã biết vào SSP không được bảo vệ, các giá trị này là rất có hiệu quả trong việc chứng minh xóa trắng và khi thoát khỏi vai trò duy trì thì cần kiểm tra xem đã xóa trắng hay chưa.
6.4.3 Các dịch vụ
6.4.3.1 Các yêu cầu chung về dịch vụ
AS04.08: (Các dịch vụ – Mức 1, 2, 3 và 4)
Các dịch vụ phải tham chiếu đến tất cả dịch vụ, hoạt động hoặc các chức năng có thể được thực thi bởi một mô-đun.
Chú thích Khẳng định này không phải kiểm tra riêng biệt.
AS04.09: (Các dịch vụ – Mức 1, 2, 3 và 4)
Đầu vào dịch vụ bao gồm tất cả dữ liệu hoặc điều khiển nhập vào trong mô-đun mà nó khởi tạo hoặc có dịch vụ, hoạt động hoặc các chức năng cụ thể.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt.
AS04.10: (Các dịch vụ – Mức 1, 2, 3 và 4)
Đầu ra dịch vụ bao gồm tất cả đầu ra dữ liệu, đầu ra điều khiển và đầu ra trạng thái là kết quả từ các dịch vụ, các hoạt động, hoặc các chức năng khởi tạo hoặc đạt được bởi các dịch vụ đầu vào.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt.
AS04.11: (Các dịch vụ – Mức 1, 2, 3 và 4)
Mỗi đầu vào dịch vụ phải tạo ra một đầu ra dịch vụ tương ứng.
Thông tin cần thiết từ nhà cung cấp
VE04.11.01: Tài liệu của nhà cung cấp phải mô tả mục đích và chức năng của mỗi dịch vụ. Tài liệu bao gồm từng dịch vụ: đầu vào dịch vụ, đầu ra dịch vụ tương ứng và vai trò phân quyền hoặc vai trò mà dịch vụ có thể thực thi.
Các thủ tục kiểm thử cần thiết
TE04.11.01: Kiểm thử viên phải kiểm tra tài liệu của nhà cung cấp xem có mô tả mục đích và chức năng của mỗi dịch vụ. Kiểm thử viên cũng phải kiểm tra xem các thông tin cho từng dịch vụ như sau: đầu vào dịch vụ, đầu ra dịch vụ tương ứng và vai trò được phân quyền hoặc những vai trò mà dịch vụ có thể thực thi.
TE04.11.02: Kiểm thử viên phải thực hiện các thao tác sau cho mỗi dịch vụ (tức là các dịch vụ an toàn và không an toàn, cả được phê duyệt và không được phê duyệt):
– Nhập mỗi đầu vào dịch vụ được quy định rõ và Chú thích rằng chúng tạo ra các đầu ra dịch vụ được quy định rõ.
– Đối với các dịch vụ đòi hỏi người vận hành phải đảm nhận một vai trò, vai trò đó là đảm nhận việc nhập vào từng đầu vào dịch vụ được quy định rõ và quan sát để thấy rằng chúng dẫn đến các đầu ra dịch vụ được quy định.
– Đối với các dịch vụ yêu cầu người vận hành phải đảm nhận một vai trò, vai trò đảm nhận không được quy định rõ cho dịch vụ và nhập từng đầu vào dịch vụ được quy định rõ và quan sát để thấy rằng dịch vụ không được cung cấp.
– Đối với các dịch vụ yêu cầu người vận hành đảm nhận vai trò xác thực, vai trò đó là xác thực việc nhập từng đầu vào dịch vụ được quy định rõ và quan sát để thấy chúng phải dẫn đến đầu ra dịch vụ được quy định rõ.
– Đối với các dịch vụ yêu cầu người vận hành phải đảm nhận vai trò xác thực, vai trò phải được đảm nhiệm nhưng dữ liệu xác thực phải được sửa đổi để xác thực sai và nhập vào từng đầu vào dịch vụ được quy định rõ và quan sát để thấy rằng dịch vụ không được cung cấp.
– Đối với các dịch vụ cung cấp dữ liệu đi ra qua giao diện đầu ra dữ liệu, kiểm thử viên phải kiểm tra kết quả so với kết quả mong đợi.
Ví dụ: Nếu dịch vụ cung cấp đầu ra dữ liệu là một chức năng của dịch vụ dữ liệu đầu vào, kiểm thử viên phải xác minh kết quả đầu ra dữ liệu như là một chức năng của dữ liệu đầu vào được cung cấp.
AS04.12: (Các dịch vụ – Mức 1, 2, 3, và 4)
Một mô-đun mật mã phải cung cấp cho những người vận hành những dịch vụ sau.
CHÚ THÍCH Khẳng định này không cần kiểm thử riêng biệt.
Hiển thị thông tin Phiên bản của mô-đun
AS04.13: (Các dịch vụ – Mức 1, 2, 3, và 4)
Mô-đun mật mã phải xuất ra tên hoặc định danh mô-đun và thông tin phiên bản có thể tương quan với bản ghi đã kiểm tra (ví dụ: thông tin phiên bản phần cứng, phần mềm và/hoặc phần sụn).
Thông tin cần thiết từ nhà cung cấp
VE04.13.01: Tài liệu của nhà cung cấp phải mô tả đầu ra của tên hiện tại và thông tin phiên bản của mô-đun mật mã.
VE04.13.02: Tài liệu của nhà cung cấp phải quy định tên hoặc định danh mô-đun và thông tin phiên bản được đăng như là bàn ghi đã kiểm tra.
VE04.13.03: Nhà cung cấp phải cung cấp tài liệu về chính sách an toàn không bản quyền hoặc tài liệu hướng dẫn quản trị viên, phải quy định rõ làm thế nào để tương quan đầu ra của tên hiện tại và thông tin phiên bản với bản ghi đã kiểm tra.
Các thủ tục kiểm thử cần thiết
TE04.13.01: Kiểm thử viên phải xác minh rằng các đầu ra dịch vụ (tức là tên, hoặc định danh mô-đun và thông tin phiên bản) xem có nhất quán với đặc tả và thông tin được cung cấp theo các khẳng định AS02.11, AS02.12 và AS11.04 hay không.
TE04.13.02: Kiểm thử viên phải xác minh xem nhà cung cấp đã cung cấp tài liệu (tức là chính sách an toàn không bản quyền hoặc tài liệu hướng dẫn quản trị viên) cung cấp đầy đủ thông tin để xác định rõ phiên bản của mô-đun.
TE04.13.03: Kiểm thử viên phải xác minh xem đầu ra của tên hiện tại hoặc định danh mô-đun và thông tin phiên bản đã đủ để người vận hành tương quan mô-đun với một bản ghi đã kiểm tra dưới sự trợ giúp của chính sách an toàn không bản quyền hoặc tài liệu hướng dẫn quản trị viên.
Hiển thị trạng thái
AS04.14: (Các dịch vụ – Mức 1, 2, 3, và 4)
Mô-đun mật mã phải xuất ra trạng thái hiện tại.
Thông tin cần thiết từ nhà cung cấp
VE04.14.01: Tài liệu của nhà cung cấp phải mô tả đầu ra của trạng thái hiện tại của mô-đun.
Các thủ tục kiểm thử cần thiết
TE04.14.01: Kiểm thử viên phải kiểm tra tài liệu của nhà cung cấp để xác minh rằng dịch vụ “hiển thị trạng thái” là được phân bổ cho ít nhất một vai trò được ủy quyền. Kiểm thử viên phải xác minh rằng các dịch vụ này được mô tả như đã quy định rõ trong AS04.14.
TE04.14.02: Kiểm thử viên phải xác minh rằng bộ chỉ thị “hiển thị trạng thái” tuân theo tài liệu của nhà cung cấp.
Thực hiện tự kiểm tra
AS04.15: (Dịch vụ – Mức 1, 2, 3, và 4)
Mô-đun mật mã phải khởi tạo và chạy các tự kiểm tra tiền hoạt động như đã quy định trong tiểu mục 7.10.2 {TCVN 11295:2016}.
Thông tin cần thiết từ nhà cung cấp
VE04.15.01: Tài liệu của nhà cung cấp phải mô tả sự khởi tạo và chạy các cuộc tự kiểm tra người dùng.
Các thủ tục kiểm thử cần thiết
TE04.15.01: Kiểm thử viên phải xác minh rằng mô-đun này cung cấp khởi tạo chạy các tự kiểm tra tiền hoạt động quy định rõ trong tiểu mục 7.10 {TCVN 11295:2016}, điều này được thực hiện theo khẳng định trong tài liệu TEA.01.01.
Thực hiện chức năng an toàn đã phê duyệt
AS04.16: (Các dịch vụ – Mức 1, 2, 3, và 4)
Mô-đun mật mã phải thực hiện ít nhất một chức năng an toàn được phê duyệt sử dụng trong chế độ hoạt động đã được phê duyệt quy định rõ trong tiểu mục 7.2.4 {TCVN 11295:2016}.
CHÚ THÍCH Khẳng định này không cần kiểm thử riêng biệt.
Thực hiện xóa trắng
AS04.17: (Các dịch vụ – Mức 1, 2, 3 và 4)
Mô-đun mật mã phải thực hiện xóa trắng các tham số được quy định rõ trong tiểu mục 7.9.7 {TCVN 11295:2016}.
CHÚ THÍCH Khẳng định này không cần kiểm thử riêng biệt.
6.4.3.2 Khả năng bỏ qua
AS04.18: (Khả năng bỏ qua – Mức 1, 2, 3 và 4)
Nếu mô-đun có thể xuất ra dữ liệu quy định hoặc các phần tử trạng thái dưới dạng được bảo vệ bằng mật mã, hoặc (như kết quả của việc cấu hình mô-đun hoặc can thiệp người vận hành) cũng có thể xuất ra các phần tử dưới dạng không được bảo vệ, thì khả năng bỏ qua được định nghĩa.
Thông tin cần thiết từ nhà cung cấp
VE04.18.01: Nếu mô-đun thực thi khả năng bỏ qua thì tài liệu của nhà cung cấp phải mô tả dịch vụ bỏ qua.
Các thủ tục kiểm thử cần thiết
TE04.18.01: Kiểm thử viên phải xác minh rằng mô-đun thực thi khả năng bỏ qua được quy định rõ trong tài liệu của nhà cung cấp.
AS04.19: (Khả năng bỏ qua – Mức 1, 2, 3 và 4)
Nếu một mô-đun mật mã thực hiện khả năng bỏ qua, thì người vận hành đảm nhiệm vai trò được ủy quyền trước khi cấu hình khả năng bỏ qua
Thông tin cần thiết từ nhà cung cấp
VE04.19.01: Nếu mô-đun thực thi khả năng bỏ qua, tài liệu của nhà cung cấp phải mô tả cách thức người vận hành đảm nhiệm vai trò được ủy quyền trước khi cấu hình khả năng bỏ qua.
Các thủ tục kiểm thử cần thiết
TE04.19.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng mô-đun yêu cầu một người vận hành đảm nhận vai trò được phân quyền trước khi cấu hình khả năng bỏ qua.
TE04.19.02: Kiểm thử viên phải đảm nhận vai trò quy định được ghi lại để cấu hình khả năng bỏ qua và thực hiện cấu hình.
TE04.19.03: Kiểm thử viên phải đảm nhận một vai trò quy định mà không ghi trong cấu hình khả năng bỏ qua và cố gắng thực hiện cấu hình này. Khi đó, kiểm thử viên phải xác minh nỗ lực này là thất bại.
AS04.20: (Khả năng bỏ qua – Mức 1, 2, 3 và 4)
Nếu mô-đun mật mã thực thi khả năng bỏ qua, thì hai hành động nội bộ độc lập phải được yêu cầu để kích hoạt khả năng ngăn chặn sự bỏ qua không cố ý bản rõ do một lỗi đơn lẻ.
Thông tin cần thiết từ nhà cung cấp
VE04.20.01: Nếu mô-đun thực thi khả năng bỏ qua, tài liệu của nhà cung cấp phải mô tả dịch vụ bỏ qua như đã quy định rõ trong AS04.20.
VE04.20.02: Mô hình trạng thái hữu hạn và các tài liệu khác của nhà cung cấp phải quy định rõ đối với tất cả quá trình chuyển đổi sang một trạng thái bỏ qua riêng biệt hoặc lần lượt, hai hành động nội bộ độc lập cần phải chuyển sang từng trạng thái bỏ qua.
Các thủ tục kiểm thử cần thiết
TE04.20.01 : Kiểm thử viên phải xác minh xem liệu khả năng bỏ qua có được thực hiện bởi mô-đun. Kiểm thử viên phải xác minh xem tài liệu của nhà cung cấp để kiểm tra rằng khả năng bỏ qua được cấp cho ít nhất một vai trò được ủy quyền.
TE04.20.02: Kiểm thử viên phải xác minh mô hình trạng thái hữu hạn và các tài liệu khác của nhà cung cấp trong đó mỗi quá trình chuyển đổi sang một trạng thái bỏ qua riêng biệt hoặc lần lượt của hai hành động nội bộ độc lập phải xảy ra để mô-đun mật mã chuyển sang trạng thái bỏ qua riêng biệt hoặc lần lượt.
TE04.20.03: Kiểm thử viên phải cố gắng thực hiện chuyển đổi sang từng trạng thái bỏ qua mà trạng thái này quy định rõ sự chuyển đổi và kiểm tra rằng để thực hiện chuyển đổi thì cần phải cả hai hành động nội bộ.
AS04.21: (Khả năng bỏ qua – Mức 1, 2, 3 và 4)
Nếu mô-đun mật mã thực thi chức năng bỏ qua thì hai hành động nội bộ độc lập phải sửa đổi hành vi của phần mềm và/hoặc phần cứng mà nó chỉ ra để làm trung gian khả năng bỏ qua.
Thông tin cần thiết từ nhà cung cấp
VE04.21.01: Nếu mô-đun thực thi chức năng bỏ qua, nhà cung cấp cung cấp tài liệu phải quy định rõ cách hai hành động nội bộ độc lập sửa đổi hành vi phần mềm và/hoặc phần cứng được quy định rõ để làm trung gian khả năng bỏ qua.
VE04.21.02: Tài liệu của nhà cung cấp phải quy định cách hai hành động nội bộ độc lập bảo vệ chống lại sự bỏ qua không cố ý của bản rõ do một lỗi đơn lẻ.
Các thủ tục kiểm thử cần thiết
TE04.21.01: Kiểm thử viên xác minh rằng tài liệu của nhà cung cấp quy định rõ cách hai hành động nội bộ độc lập bảo vệ chống lại sự bỏ qua không cố ý của bản rõ do một lỗi đơn lẻ.
TE04.21.02: Kiểm thử viên phải xác minh rằng hai hành động nội bộ độc lập sửa đổi hành vi của phần mềm và/hoặc phần cứng được quy định rõ để làm trung gian khả năng bỏ qua, bằng cách kiểm tra và bằng cách cố gắng chuyển sang trạng thái bỏ qua từ mỗi trạng thái quy định rõ sự chuyển đổi đó.
AS04.22: (Khả năng bỏ qua – Mức 1, 2, 3 và 4)
Nếu một mô-đun mật mã thực thi một khả năng bỏ qua thì mô-đun phải chỉ ra trạng thái để chỉ ra xem liệu có phải là khả năng bỏ qua hay không:
- a) Không được kích hoạt và mô-đun đang cung cấp riêng các dịch vụ có xử lý mật mã (ví dụ bản rõ được mã hóa); hoặc
- b) Được kích hoạt và mô-đun đang cung cấp riêng các dịch vụ không có xử lý mật mã (ví dụ bản rõ không được mã hóa); hoặc
- c) Tùy chọn kích hoạt hoặc vô hiệu hóa và mô-đun đang cung cấp một số dịch vụ có xử lý mật mã và một số dịch vụ không có xử lý mật mã (ví dụ, đối với các mô-đun với nhiều kênh truyền thông, bản rõ có thể được mã hóa hoặc không được mã hóa tùy thuộc vào cấu hình của mỗi kênh).
Thông tin cần thiết từ nhà cung cấp
VE04.22.01: Tài liệu của nhà cung cấp cho dịch vụ “hiển thị trạng thái” phải quy định rõ trạng thái bỏ qua.
Các thủ tục kiểm thử cần thiết
TE04.22.01: Kiểm thử viên phải xem lại tài liệu của nhà cung cấp cho dịch vụ “hiển thị trạng thái” và xác minh biểu thị dịch vụ bỏ qua.
TE04.22.02: Kiểm thử viên phải chuyển sang từng trạng thái bỏ qua và xác minh rằng chỉ thị “hiển thị trạng thái” quy định rõ trạng thái bỏ qua phù hợp.
6.4.3.3 Khả năng đầu ra mật mã tự khởi hoạt
AS04.23: (Khả năng đầu ra mật mã tự khởi hoạt – Mức 1,2,3 và 4)
Khả năng đầu ra mật mã tự khởi hoạt được cấu hình bởi chuyên viên mật mã và cấu hình này có thể được bảo toàn trong suốt chu kỳ cung cấp điện, khởi động lại hay thiết lập của mô-đun.
Thông tin cần thiết từ nhà cung cấp
VE04.23.01: Nhà cung cấp phải cung cấp mô tả về khả năng đầu ra mật mã tự khởi hoạt.
Các thủ tục kiểm thử cần thiết
TE04.23.01: Kiểm thử viên phải xác minh khả năng đầu ra mật mã tự khởi hoạt phải được cấu hình bởi chuyên viên mật mã.
AS04.24: (Khả năng đầu ra mật mã tự khởi hoạt – Mức 1, 2, 3 và 4)
Nếu mô-đun mật mã thực thi khả năng đầu ra mật mã tự khởi tạo, thì cần phải thực hiện hai hành động nội bộ độc lập để kích hoạt khả năng ngăn chặn đầu ra không cố ý do một lỗi duy nhất.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt và được kiểm tra như là một phần của AS04.25.
AS04.25: (Khả năng đầu ra mật mã tự khởi hoạt – Mức 1, 2, 3 và 4)
Nếu mô-đun mật mã thực thi khả năng đầu ra mật mã tự khởi hoạt, thì hai hành động độc lập nội bộ phải sửa đổi hành vi phần mềm và/hoặc phần cứng được quy định rõ để làm trung gian cho khả năng này (ví dụ: hai cờ phần mềm hoặc phần cứng khác nhau được thiết lập, một trong chúng có thể được người dùng khởi hoạt).
Thông tin cần thiết từ nhà cung cấp
VE04.25.01: Nhà cung cấp phải quy định rõ một tập hợp của hai hành động độc lập nội bộ để kích hoạt khả năng đầu ra mật mã khởi hoạt.
VE04.25.02: Nhà cung cấp cung cấp tài liệu phải quy định rõ cách thức hai hành động nội bộ độc lập sửa đổi hành vi của phần mềm và/hoặc phần cứng làm trung gian cho khả năng đầu ra mật mã tự khởi hoạt này.
VE04.25.03: Nhà cung cấp cung cấp tài liệu phải quy định rõ cách thức hai hành động độc lập nội bộ bảo vệ chống lại đầu ra không cố ý do một lỗi đơn lẻ.
Các thủ tục kiểm thử cần thiết
TE04.25.01: Kiểm thử viên phải kiểm tra xem mô-đun mật mã có thực thi khả năng đầu ra mật mã tự khởi tạo hay không. Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp có quy định rõ hai hành động độc lập nội bộ được thực hiện bởi mô-đun mật mã trước khi kích hoạt khả năng đầu ra mật mã tự khởi hoạt. Kiểm thử viên cũng phải xác minh rằng tài liệu của nhà cung cấp quy định hai hành động nội bộ độc lập bảo vệ chống lại đầu ra không cố ý do một lỗi đơn lẻ.
TE04.25.02: Kiểm thử viên phải kích hoạt khả năng đầu ra mật mã tự khởi tạo và xác minh rằng hai hành động độc lập nội bộ hoạt động theo quy định. Nếu bất kỳ thành phần phần mềm hoặc phần sụn được thực thi trong quá trình kích hoạt, kiểm thử viên phải xác minh mã nguồn có thể áp dụng để đảm bảo rằng phần mềm hoặc phần sụn hỗ trợ yêu cầu cho hai hoạt động độc lập nội bộ trước khi kích hoạt khả năng đầu ra mật mã tự khởi hoạt.
TE04.25.03: Kiểm thử viên phải xác minh rằng một chỉ thị trạng thái được cung cấp để chỉ ra khi nào khả năng đầu ra mật mã tự khởi tạo đã được kích hoạt.
AS04.26: (Khả năng đầu ra mật mã tự khởi hoạt – Mức 1,2, 3 và 4)
Nếu một mô-đun mật mã thực thi khả năng đầu ra mật mã tự khởi hoạt, thì mô-đun phải hiển thị trạng thái để biểu thị khả năng đầu ra mật mã tự khởi hoạt được kích hoạt hay không.
Chú thích Khẳng định này không kiểm tra riêng biệt. Được kiểm tra như là một phần của AS04.25.
6.4.3.4 Nạp phần mềm/phần sụn
AS04.27: (Nạp phần mềm/phần sụn – Mức 1, 2, 3, và 4)
Nếu một mô-đun mật mã có khả năng nạp phần mềm hoặc phần sụn từ nguồn bên ngoài, thì các yêu cầu sau đây phải được áp dụng.
Chú thích Sự khẳng định này không phải là kiểm tra riêng biệt. Được kiểm tra như một phần của AS04.28.
AS04.28: (Nạp phần mềm/phần sụn – Mức 1, 2, 3, và 4)
Phần mềm và phần sụn được nạp phải được kiểm tra bởi một cơ quan có đủ thẩm quyền trước khi nạp để duy trì tính hợp lệ.
Thông tin cần thiết từ nhà cung cấp
VE04.28.01: Nhà cung cấp phải cung cấp chứng chỉ khẳng định tính hợp lệ được cấp bởi cơ quan thẩm quyền hợp lệ. Giấy chứng nhận này phải quy định rõ phần mềm hoặc phần sụn được nạp vào mô-đun mật mã.
Các thủ tục kiểm thử cần thiết
TE04.28.01: Kiểm thử viên phải xác minh xem phiên bản phần mềm hoặc phần sụn do ai khẳng định. Phiên bản này phải tương ứng với phiên bản được quy định rõ trong 7.2.3.1 của TCVN 11295:2016.
AS04.29: (Nạp phần mềm/phần sụn – Mức 1, 2, 3, và 4)
Tất cả dữ liệu xuất ra qua giao diện đầu ra dữ liệu đều bị chặn lại trước khi hoàn thành việc nạp phần mềm/phần sụn.
Thông tin cần thiết từ nhà cung cấp
VE04.29.01: Nhà cung cấp phải mô tả quy trình được sử dụng để chặn dữ liệu đầu ra trong suốt quá trình nạp và kiểm tra nạp.
Các thủ tục kiểm thử cần thiết
TE04.29.01: Kiểm thử viên phải xác minh xem đầu ra dữ liệu có bị chặn lại trong quá trình nạp và kiểm tra nạp phần mềm hoặc phần sụn hay không.
AS04.30: (Nạp phần mềm/phần sụn – Mức 1, 2, 3, và 4)
Kiểm tra nạp phần mềm/phần sụn quy định trong tiểu mục 7.10.3.4 {TCVN 11295:2016} phải thực hiện trước khi nạp mã.
Chú thích Khẳng định này không cần kiểm tra riêng biệt. Được kiểm tra như một phần của AS10.37 đến AS10.41.
AS04.31: (Nạp phần mềm/phần sụn – Mức 1,2, 3, và 4)
Mô-đun mật mã phải từ chối thực hiện bất kỳ việc nạp hoặc sửa đổi các chức năng an toàn được phê duyệt cho đến sau khi hoạt động tự kiểm tra trước quy định tại tiểu mục 7.10.2 {TCVN 11295:2016} được thực hiện thành công.
CHÚ THÍCH Sự khẳng định này không kiểm nghiệm riêng biệt. Được kiểm tra như một phần của AS10.37 thông qua AS10.41
AS04.32: (Nạp phần mềm/phần sụn – Mức 1, 2, 3, và 4)
Thông tin phiên bản mô-đun được sửa đổi để hiển thị bổ sung hoặc cập nhật phần mềm hoặc phần sụn mới được nạp vào (tiểu mục 7.4.3 {TCVN 11295:2016}).
Thông tin nhà cung cấp
VE04.32.01; Nhà cung cấp phải cung cấp phương tiện để đọc phiên bản phần mềm hoặc phần sụn mới được nạp vào.
Các thủ tục kiểm thử cần thiết
TE04.32.01: Kiểm thử viên phải kích hoạt kiểm tra nạp phần mềm/phần sụn. Sau khi tự kiểm tra tiền hoạt động hoàn thành sau kiểm tra nạp phần mềm/phần sụn, kiểm thử viên phải xác minh rằng thông tin phiên bản đã được sửa đổi để hiển thị cho việc bổ sung và/hoặc cập nhật phần mềm hoặc phần sụn mới được nạp.
AS04.33: (Nạp phần mềm/phần sụn – Mức 1,2, 3, và 4)
Nếu việc nạp phần mềm hoặc phần sụn là một sự thay thế hình ảnh hoàn toàn, thì việc thiết lập mô-đun mới này cần phải yêu cầu tổ chức chịu trách nhiệm kiểm tra tính hợp lệ.
Thông tin cần thiết từ nhà cung cấp
VE04.33.01: Tài liệu của nhà cung cấp phải quy định xem các mô-đun hỗ trợ thay thế hình ảnh hoàn toàn như là kết quả của nạp phần mềm/phần sụn và kiểm tra nạp.
VE04.33.02: Nhà cung cấp phải cung cấp chứng chỉ khẳng định hợp lệ của cơ quan kiểm tra có thẩm quyền. Chứng chỉ này phải quy định rõ phần mềm hoặc phần sụn được nạp vào trong mô-đun mật mã.
Các thủ tục kiểm thử cần thiết
TE04.33.01: Kiểm thử viên phải đảm bảo rằng việc thay thế hình ảnh hoàn toàn mới được kiểm tra hợp lệ bởi tổ chức chịu trách nhiệm thông qua kiểm tra tên và phiên bản được quy định rõ trong AS04.13.
AS04.34: (Nạp phần mềm/phần sụn – Mức 1, 2, 3, và 4)
Hình ảnh phần mềm hoặc phần sụn mới chỉ được thực thi sau khi chuyển đổi mô-đun thông qua việc khởi động lại nguồn điện.
Thông tin cần thiết từ nhà cung cấp
VE04.34.01: Nếu được hỗ trợ thay thế hình ảnh hoàn toàn, tài liệu của nhà cung cấp phải quy định rõ cách thức hình ảnh mới chỉ được thực thi sau khi chuyển đổi mô-đun thông qua việc khởi động lại nguồn điện.
Các thủ tục kiểm thử cần thiết
TE04.34.01: Kiểm thử viên phải khởi tạo việc kiểm tra nạp phần mềm/phần sụn. Sau khi kiểm tra nạp phần mềm/phần sụn đã vượt qua, kiểm thử viên phải xác minh rằng phần mềm hoặc phần sụn được nạp không thể được sử dụng cho đến khi tự kiểm tra tiền hoạt động đã được thực hiện thành công thông qua việc khởi động lại nguồn điện.
AS04.35: (Nạp phần mềm/phần sụn – Mức 1, 2, 3, và 4)
Tất cả SSP bị xóa trắng trước khi thực hiện hình ảnh mới.
Thông tin cần thiết từ nhà cung cấp
VE04.35.01: Nếu hỗ trợ thay thế hình ảnh hoàn toàn, tài liệu của nhà cung cấp phải quy định rằng SSP phải xóa trắng trước khi thực thi hình ảnh mới.
VE04.35.02: Nếu hỗ trợ thay thế hình ảnh hoàn toàn, tài liệu của nhà cung cấp phải quy định rõ thông tin xóa trắng SSP bao gồm:
- a) Kỹ thuật xóa trắng
- b) Lý do giải thích cách thức kỹ thuật xóa trắng được thực hiện trong một khoảng thời gian không đủ để thỏa hiệp SSP.
Các thủ tục kiểm thử cần thiết
TE04.35.01: Kiểm thử viên phải xem xét tài liệu của nhà cung cấp để xác minh rằng thông tin được quy định đã có trong VE04.35.01. Kiểm thử viên phải quy định tính chính xác của mọi lý do cơ bản được cung cấp bởi nhà cung cấp. Trách nhiệm chứng minh là của nhà cung cấp; Nếu có bất kỳ sự không chắc chắn hoặc nghi ngờ, kiểm thử viên phải yêu cầu nhà cung cấp cung cấp thêm thông tin khi cần.
TE04.35.02: Kiểm thử viên cần lưu ý những SSP nào có mặt trong mô-đun và khởi động lại nguồn điện sau khi kiểm tra nạp phần mềm/phần sụn. Sau khi hoàn thành tự kiểm tra tiền hoạt động, kiểm thử viên phải cố gắng thực hiện vận hành mật mã bằng cách sử dụng mỗi SSP đã được lưu trữ trong mô-đun. Kiểm thử viên phải xác minh rằng mỗi SSP không thể được truy cập.
6.4.4 Xác thực
Xác thực dựa trên vai trò
AS04.36: (Xác thực dựa trên vai trò – Mức 2, 3, và 4)
Nếu các cơ chế xác thực dựa trên vai trò được hỗ trợ bởi mô-đun mật mã, mô-đun yêu cầu rằng một hoặc nhiều vai trò hoặc được lựa chọn ẩn hoặc được lựa chọn hiển thị bởi người vận hành {và xác thực đảm nhiệm vai trò được lựa chọn (hoặc tập hợp các vai trò)}.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt. Kiểm thử như là một phần AS04.37.
AS04.37: (Xác thực dựa trên vai trò – Mức 2, 3, và 4)
Nếu các cơ chế xác thực dựa trên vai trò được hỗ trợ bởi mô-đun mật mã, mô-đun {yêu cầu rằng một hoặc nhiều vai trò hoặc được lựa chọn ẩn hoặc được lựa chọn hiển thị bởi người vận hành và} phải xác thực đảm nhiệm vai trò được lựa chọn (hoặc tập hợp các vai trò).
Thông tin cần thiết từ nhà cung cấp
VE04.37.01: Nhà cung cấp phải ghi lại các loại xác thực được thực hiện trong mô-đun. Nhà cung cấp phải ghi lại các cơ chế được sử dụng để thực hiện việc lựa chọn ngầm định hoặc rõ ràng về vai trò hoặc tập hợp các vai trò và xác thực người vận hành để đảm nhận vai trò.
Các thủ tục kiểm thử cần thiết
TE04.37.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp có quy định rõ các cơ chế được sử dụng để lựa chọn các vai trò và xác thực người vận hành để đảm nhận một vai trò.
TE04.37.02: Kiểm thử viên phải đảm nhiệm từng vai trò và gây ra lỗi trong quá trình xác thực. Kiểm thử viên phải xác minh rằng việc mô-đun từ chối truy cập đến từng vai trò.
AS04.38: (Cơ chế xác thực dựa trên vai trò – Mức 2, 3 và 4)
Nếu mô-đun mật mã cho phép một người vận hành thay đổi vai trò, thì mô-đun phải xác thực giả định về vai trò bất kỳ đã không được xác thực trước đó đối với người vận hành đó.
Thông tin cần thiết từ nhà cung cấp
VE04.38.01: Tài liệu của nhà cung cấp phải mô tả khả năng người vận hành sửa đổi các vai trò và phải tuyên bố xác thực người vận hành để đảm nhận vai trò mới.
Các thủ tục kiểm thử cần thiết
TE04.38.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp có kiểm tra phương pháp để một người vận hành có thể sửa đổi các vai trò bao gồm xác thực người vận hành để đảm nhận một vai trò mới hay không.
TE04.38.02: Kiểm thử viên phải thực hiện các kiểm thử sau đây:
- a) Đảm nhiệm một vai trò, cố gắng sửa đổi vai trò khác mà người vận hành được phép giả định, và xác minh rằng mô-đun này cho phép người vận hành yêu cầu các dịch vụ được giao cho vai trò mới.
- b) Đảm nhiệm một vai trò, cố gắng sửa đổi một vai trò khác mà người vận hành không được phép giả định, và xác minh rằng mô-đun không cho phép người vận hành yêu cầu các dịch vụ được quy định rõ cho vai trò mới.
Xác thực dựa trên định danh
AS04.39: (Xác thực dựa trên định danh – Mức 3 và 4)
Nếu các cơ chế xác thực dựa trên định danh được hỗ trợ bởi mô-đun mật mã, mô-đun yêu cầu rằng người vận hành phải được quy định rõ một cách duy nhất và riêng biệt, {yêu cầu rằng một hoặc nhiều vai trò hoặc được lựa chọn ẩn hoặc được lựa chọn hiển thị bởi người vận hành và xác thực định danh của người vận hành và phân quyền của người vận hành để đảm nhiệm vai trò hoặc tập hợp các vai trò đã lựa chọn}.
Thông tin cần thiết từ nhà cung cấp
VE04.39.01: Tài liệu của nhà cung cấp phải quy định rõ loại xác thực được thực thi trong mô-đun. Tài liệu của nhà cung cấp phải quy định rõ:
- a) (Các) cơ chế được sử dụng để thực thi việc nhận dạng người vận hành,
CHÚ THÍCH 1 Điều này liên quan đến AS04.39.
- b) (Các) cơ chế được sử dụng để thực hiện việc xác thực định danh của người vận hành,
CHÚ THÍCH 2 Điều này liên quan đến AS04.41.
- c) (Các) Cơ chế được sử dụng để thực hiện việc lựa chọn ngầm định hoặc rõ ràng vai trò hoặc tập hợp các vai trò,
Chú thích 3: Điều này liên quan đến AS04.40.
- d) (Các) cơ chế được sử dụng để thực hiện việc xác minh sự cho phép của người vận hành để đảm nhận vai trò và
Chú thích 4: Điều này liên quan đến AS04.41.
- e) (Các) cơ chế được sử dụng để duy trì mối quan hệ giữa người vận hành được định danh và đã xác thực với vai trò được lựa chọn hoặc tập hợp các vai trò được ủy quyền cho người vận hành.
CHÚ THÍCH 5: Điều này liên quan đến AS04.40, AS04.41, AS04.42 và AS11.13
Các thủ tục kiểm thử cần thiết
TE04.39.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp quy định rõ:
- a) Cách thức người vận hành được định danh duy nhất,
CHÚ THÍCH 6: Điều này liên quan đến AS04.39.
- b) Cách thức định danh được xác thực,
CHÚ THÍCH 7: Điều này liên quan đến AS04.41
- c) Cách thức người vận hành lựa chọn một vai trò,
CHÚ THÍCH 8: Điều này liên quan đến AS04.40.
- d) Cách thức phân quyền của người vận hành để đảm nhận vai trò được thực hiện dựa trên xác thực định danh và
CHÚ THÍCH 9: Điều này liên quan đến AS04.41.
- e) Cách thức mối quan hệ được duy trì nội bộ giữa người vận hành được định danh và được xác thực với vai trò được lựa chọn hoặc tập hợp vai trò phân quyền được đảm nhiệm bởi người vận hành.
CHÚ THÍCH 10; Điều này liên quan đến AS04.40, AS04.41, AS04.42, và AS11.13.
TE04.39.02: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng quy trình định danh và xác thực được thực hiện như được quy định rõ trong tài liệu của nhà cung cấp theo VE04.39.01.
TE04.39.03: Kiểm thử viên phải khởi tạo lỗi trong quá trình xác thực và phải xác minh xem mô-đun không cho phép kiểm thử viên tiến hành vượt qua quy trình xác thực.
TE04.39.04: Kiểm thử viên phải xác thực thành công định danh của mình đối với mô-đun. Khi được yêu cầu chọn một hoặc nhiều vai trò, kiểm thử viên phải chọn các vai trò không tương thích với định danh đã được xác thực và phải xác minh rằng phân quyền để đảm nhận các vai trò bị từ chối.
CHÚ THÍCH 11: Quy trình kiểm thử này được liên kết với AS04.39 và AS04.41.
AS04.40: (Xác thực dựa trên định danh – Mức 3 và 4)
{Nếu các cơ chế xác thực dựa trên định danh được hỗ trợ bởi mô-đun mật mã, thì mô-đun yêu cầu rằng người vận hành phải được định danh một cách duy nhất và riêng biệt}, phải yêu cầu rằng một hoặc nhiều vai trò hoặc được lựa chọn ẩn hoặc được lựa chọn hiển thị bởi người vận hành, {và xác thực định danh của người vận hành và phân quyền của người vận hành để đảm nhiệm vai trò hoặc tập hợp các vai trò đã lựa chọn}.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt.
AS04.41: (Xác thực dựa trên định danh – Mức 3 và 4)
{Nếu các cơ chế xác thực dựa trên định danh được hỗ trợ bởi một mô-đun mật mã, thì mô-đun yêu cầu rằng người vận hành phải được định danh một cách duy nhất và riêng biệt}, phải yêu cầu rằng một hoặc nhiều vai trò được lựa chọn ẩn hoặc hiển thị bởi người vận hành, {và xác thực định dành của người vận hành và phân quyền của người vận hành để đảm nhiệm vai trò hoặc tập hợp các các vai trò đã lựa chọn}.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt.
AS04.42: (Xác thực dựa trên định danh – Mức 3 và 4)
Nếu mô-đun mật mã cho phép một người vận hành thay đổi vai trò thì mô-đun phải kiểm tra phân quyền của người vận hành đã được định danh để đảm nhiệm mọi vai trò không được phân quyền trước đó.
VE04.42.01: Tài liệu của nhà cung cấp phải quy định rõ:
- a) Mô-đun mật mã có cho phép người vận hành thay đổi vai trò hay không,
- b) Cách thức một người vận hành có thể sửa đổi vai trò sau khi người vận hành được định danh và xác thực,
- c) Cách thức mối quan hệ được duy trì nội bộ giữa nhà cung cấp được định danh và xác thực với vai trò được lựa chọn hoặc tập hợp vai trò phân quyền được đảm nhiệm bởi người vận hành [(xem mục e) của 39.01],
- d) Cách thức mô-đun mật mã thực thi việc xác minh sự cho phép người vận hành được định danh để đảm nhận một vai trò mà trước đó không được phân quyền,
- e) Các điều kiện theo đó định danh của người vận hành phải được xác thực lại trong vai trò sửa đổi,
- f) Cách thức mô-đun mật mã được thiết kế để đạt được sự khẳng định AS 11.13:
1) Cách thức mô-đun mật mã ngăn chặn thay đổi sang trạng thái của chuyên viên mật mã từ mọi vai trò khác ngoài chuyên viên mật mã, hoặc
2) Cách thức các kết quả của việc xác thực/phân quyền trước đó được xóa và mô-đun mật mã yêu cầu người vận hành phải xác thực và được phân quyền để đảm nhận vai trò của chuyên viên mật mã, khi thay đổi từ bất kỳ vai trò nào khác ngoài vai trò của chuyên viên mật mã.
Các thủ tục kiểm thử cần thiết
TE04.42.01: Kiểm thử viên phải quy định bằng cách kiểm tra từ tài liệu của nhà cung cấp liệu mô-đun mật mã có cho phép người vận hành sửa đổi vai trò hay không.
TE04.42.02: Kiểm thử viên phải xác minh trong tài liệu của nhà cung cấp xem phương pháp cho phép người vận hành sửa đổi vai trò mà không cần xác thực lại định danh người vận hành, bao gồm xác minh quyền của người vận hành đối với một vai trò mà chưa được xác thực trước đó.
TE04.42.03: Kiểm thử viên phải thực hiện các kiểm thử sau đây:
- a) Đảm nhiệm mỗi vai trò, cố gắng sửa đổi vai trò khác mà kiểm thử viên được ủy quyền đảm nhiệm, kiểm tra định danh của kiểm thử viên là không cần phải xác thực và kiểm tra kiểm thử viên có thể truy cập các dịch vụ liên quan đến vai trò mới. Kiểm thử viên phải thực hiện các dịch vụ trong vai trò mới không liên quan đến vai trò trước đó để minh chứng rằng kiểm thử viên đảm nhiệm là một vai trò khác.
- b) Đảm nhiệm mỗi vai trò, cố gắng thay đổi một vai trò khác mà người vận hành không được phép đảm nhiệm và xác minh rằng mô-đun phủ nhận quyền truy cập vào vai trò dựa trên định danh của người vận hành.
TE04.42.04: Kiểm thử viên phải sử dụng mô-đun mật mã và xác minh rằng việc thay đổi vai trò của chuyên viên mật mã từ mọi vai trò khác ngoài vai trò chuyên viên mật mã là bị cấm, được quy định rõ trong tài liệu của nhà cung cấp được cung cấp theo VE04.42.01.
AS04.43: (Xác thực người vận hành – Mức 1,2,3 và 4)
Khi mô-đun mật mã được tái thiết lập, khởi động lại, tắt nguồn và bật lại sau đó, mô-đun này yêu cầu người vận hành phải được xác thực.
Thông tin cần thiết từ nhà cung cấp
VE04.43.01: Tài liệu của nhà cung cấp phải mô tả cách các kết quả xác thực trước đó bị xóa khi mô- đun tắt.
Các thủ tục kiểm thử cần thiết
TE04.43.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp rằng việc xóa các xác thực trước đó khi tắt nguồn của mô-đun là được mô tả trong tài liệu.
TE04.43.02: Kiểm thử viên phải xác thực mô-đun và đảm nhận một hay nhiều vai trò, tắt mở mô-đun và cố gắng thực hiện các dịch vụ trong những vai trò đó. Để đạt được sự khẳng định này, mô-đun phải từ chối truy cập vào các dịch vụ và yêu cầu kiểm thử viên phải được xác thực lại.
AS04.44: (Xác thực người vận hành – Mức 1, 2, 3 và 4)
Dữ liệu xác thực trong một mô-đun mật mã được bảo vệ chống lại việc sử dụng, tiết lộ, thay đổi và thay thế trái phép.
CHÚ THÍCH Các chức năng an toàn đã được phê duyệt có thể được sử dụng như một phần của cơ chế xác thực.
Thông tin cần thiết từ nhà cung cấp
VE04.44.01: Tài liệu của nhà cung cấp phải mô tả việc bảo vệ tất cả dữ liệu xác thực trong mô-đun. Bảo vệ bao gồm việc thực thi các cơ chế bảo vệ chống lại tiết lộ, sửa đổi và thay thế trái phép.
Các thủ tục kiểm thử cần thiết
TE04.44.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp mô tả bảo vệ xác thực dữ liệu. Kiểm thử viên phải xác minh rằng tài liệu mô tả cách thức dữ liệu được bảo vệ chống lại việc tiết lộ, thay đổi và thay thế trái phép.
TE04.44.02: Kiểm thử viên phải thực hiện các kiểm thử sau đây:
- a) Cố gắng truy cập (bằng cách phá vỡ cơ chế bảo vệ tài liệu) vào dữ liệu xác thực mà kiểm thử viên không được phép truy cập. Nếu mô-đun từ chối truy cập hoặc chỉ cho phép truy cập vào dữ liệu đã được mã hóa hoặc được bảo vệ theo cách khác thì yêu cầu đạt.
- b) Sửa đổi dữ liệu xác thực bằng cách sử dụng bất kỳ phương pháp nào không được quy định rõ bởi tài liệu của nhà cung cấp và cố gắng nhập dữ liệu sửa đổi. Mô-đun này phải không cho phép kiểm thử viên được xác thực bằng cách sử dụng dữ liệu được sửa đổi.
AS04.45: (Xác thực người vận hành – Mức 1, 2, 3 và 4)
Nếu mô-đun mật mã không chứa dữ liệu xác thực được yêu cầu để xác thực người vận hành đối với lần đầu tiên mô-đun được truy cập, thì các phương pháp được phân quyền khác (chẳng hạn như các điều khiển thủ tục hoặc sử dụng tập thông số máy hoặc dữ liệu xác thực mặc định) phải được dùng để điều khiển truy cập tới mô-đun và khởi hoạt các cơ chế xác thực.
Thông tin cần thiết từ nhà cung cấp
VE04.45.01: Tài liệu của nhà cung cấp phải quy định rõ phương tiện để điều khiển để truy cập vào mô đun mật mã trước khi nó được khởi tạo.
Các thủ tục kiểm thử cần thiết.
TE04.45.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp mô tả các thủ tục mà người vận hành được xác thực khi truy cập mô-đun lần đầu tiên.
TE04.45.02: Nếu truy cập vào mô-đun trước khi khởi hoạt được điều khiển, kiểm thử viên phải tạo ra một lỗi trên một mô-đun không khởi tạo và phải xác minh rằng các mô-đun này phải từ chối truy cập. Kiểm thử viên đảm nhiệm vai trò phân quyền và xác minh rằng việc xác thực theo yêu cầu tuân thủ các thủ tục đã được ghi lại. Kiểm thử viên phải cố gắng để đảm nhận vai trò khác trước khi mô-đun đã được khởi tạo và kiểm tra xem mô-đun có từ chối truy cập đến vai trò hay không.
TE04.45.03: Nếu dữ liệu xác thực mặc định được sử dụng để truy cập vào mô-đun và khởi tạo cơ chế xác thực, kiểm thử viên phải đảm nhận vai trò xác thực và xác minh rằng dữ liệu xác thực mặc định là được thay thế theo xác thực lần đầu. Kiểm thử viên cũng phải nhập dữ liệu xác thực mặc định sau khi xác thực lần đầu và xác minh rằng các mô-đun mật mã không cho phép kiểm thử viên được xác thực.
AS04.46: (Xác thực người vận hành – Mức 1, 2, 3 và 4)
Nếu dữ liệu xác thực mặc định được sử dụng để điều khiển quyền truy cập vào mô-đun, thì dữ liệu xác thực mặc định được thay thế bằng xác thực lần đầu (tiểu mục 7.9.7 {TCVN 11295:2016}).
CHÚ THÍCH Khẳng định này không kiểm thử riêng biệt. Kiểm thử như một phần của AS04.45.
AS04.47: (Xác thực người vận hành – Mức 1, 2, 3 và 4)
Nếu mô-đun mật mã sử dụng các chức năng an toàn để xác thực người vận hành, thì các chức năng an toàn đó được phê duyệt là các chức năng an toàn.
Thông tin cần thiết từ nhà cung cấp
VE04.47.01: Tài liệu của nhà cung cấp phải quy định danh sách các chức năng an toàn được sử dụng để xác thực người vận hành.
VE04.47.02: Nhà cung cấp phải cung cấp chứng chỉ kiểm tra hợp lệ cho mỗi chức năng an toàn được phê duyệt như được quy định rõ trong VE02.20.01.
Các thủ tục kiểm thử cần thiết
TE04.47.01: Kiểm thử viên phải xác minh rằng các chức năng an toàn được sử dụng để xác thực người vận hành là tất cả chức năng an toàn được phê duyệt.
AS04.48: (Xác thực người vận hành – Mức 2, 3 và 4)
Mô-đun thực thi cơ chế xác thực được phê duyệt quy định rõ tại phụ lục E {TCVN 11295:2016}.
Thông tin cần thiết từ nhà cung cấp
VE04.48.01: Tài liệu của nhà cung cấp phải mô tả cơ chế xác thực được phê duyệt sử dụng để xác thực người vận hành.
VE04.48.02: Nếu mô-đun thực thi cơ chế xác thực được phê duyệt, nhà cung cấp phải cung cấp chứng chỉ kiểm tra hợp lệ quy định rõ tại VE02.20.01.
Các thủ tục kiểm thử cần thiết
TE04.48.01: Kiểm thử viên phải xác minh cơ chế xác thực được sử dụng để xác thực người vận hành là được phê duyệt.
AS04.49: (Xác thực người vận hành – Mức 2, 3 và 4)
Độ mạnh của cơ chế xác thực đã được phê duyệt phải được quy định rõ trong chính sách an toàn (phụ lục B {TCVN 11295:2016}).
CHÚ THÍCH Khẳng định này không kiểm thử riêng biệt. Kiểm thử như một phân của ASB.01.
AS04.50: (Xác thực người vận hành – Mức 2, 3 và 4)
Đối với mỗi nỗ lực sử dụng cơ chế xác thực đã được phê duyệt, mô-đun phải đáp ứng độ mạnh của mục tiêu xác thực.
Thông tin cần thiết từ nhà cung cấp
VE04.50.01: Tài liệu của nhà cung cấp phải quy định rõ từng cơ chế xác thực và tỷ lệ phê duyệt sai hoặc xác suất mà một truy cập ngẫu nhiên thành công.
Các thủ tục kiểm thử cần thiết
TE04.50.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp cho mỗi cơ chế xác thực mà tỷ lệ phê duyệt sai hoặc tỷ lệ truy cập ngẫu nhiên đã được quy định.
TE04.50.02: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp cho mỗi cơ chế xác thực đáp ứng mục tiêu đặt ra.
AS04.51: (Xác thực người vận hành – Mức 2, 3, và 4)
Đối với nỗ lực nhiều lần cố sử dụng cơ chế xác thực đã được phê duyệt trong khoảng thời gian một phút, mô-đun phải đáp ứng được độ mạnh của mục tiêu xác thực.
Thông tin cần thiết từ nhà cung cấp
VE04.51.01: Tài liệu của nhà cung cấp phải quy định rõ mỗi cơ chế xác thực và xác suất tương ứng của một nỗ lực ngẫu nhiên thành công trong khoảng thời gian một phút.
Các thủ tục kiểm thử cần thiết
TE04.51.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp cho mỗi cơ chế xác thực quy định xác suất tương ứng của một lần ngẫu nhiên thành công là được quy định rõ.
TE04.51.02: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp cho mỗi cơ chế xác thực rằng xác suất tương ứng của một lần ngẫu nhiên thành công là đạt được mục tiêu.
AS04.52: (Xác thực người vận hành – Mức 2, 3, và 4)
Cơ chế xác thực được phê duyệt phải đáp ứng bằng cách thực thi mô-đun và không dựa vào các quy tắc điều khiển quy trình hoặc quy tắc an toàn đã được tài liệu hóa (ví dụ: hạn chế kích thước mật khẩu).
Thông tin cần thiết từ nhà cung cấp
VE04.52.01 : Nhà cung cấp phải cung cấp mô tả đầy đủ về cơ chế xác thực.
Các thủ tục kiểm thử cần thiết
TE04.52.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng cơ chế xác thực đã được phê duyệt là đáp ứng bởi mô-đun thực thi và không dựa vào các quy tắc điều khiển quy trình hoặc quy tắc an toàn đã được tài liệu hóa.
AS04.53: (Xác thực người vận hành – Mức 2)
Nếu hệ điều hành thực hiện cơ chế xác thực, thì cơ chế xác thực phải đáp ứng các yêu cầu của mục này.
Thông tin cần thiết từ nhà cung cấp
VE04.53.01: Nhà cung cấp phải cung cấp đặc tả cơ chế xác thực của hệ điều hành.
Các thủ tục kiểm thử cần thiết
TE04.53.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp và kiểm tra rằng cơ chế xác thực đã phê duyệt thực thi trong hệ điều hành đáp ứng các yêu cầu áp dụng.
AS04.54: (Xác thực người vận hành – Mức 2, 3 và 4)
Phản hồi dữ liệu xác thực cho người vận hành phải được che giấu trong quá trình xác thực (ví dụ: không hiển thị ký tự khi nhập mật khẩu).
Thông tin cần thiết từ nhà cung cấp
VE04.54.01: Tài liệu của nhà cung cấp phải quy định rõ phương pháp được sử dụng để che giấu thông tin phản hồi của dữ liệu xác thực cho người vận hành trong quá trình nhập dữ liệu xác thực.
Các thủ tục kiểm thử cần thiết
TE04.54.01: Kiểm thử viên phải xác minh từ as.04 tài liệu của nhà cung cấp rằng dữ liệu xác thực được che giấu trong quá trình nhập dữ liệu.
TE04.54.02: Kiểm thử viên phải nhập dữ liệu xác thực và xác minh rằng không có hiển thị dữ liệu xác trong quá trình nhập dữ liệu.
AS04.55: (Xác thực người vận hành – Mức 2, 3 và 4)
Phản hồi được cung cấp cho người vận hành trong quá trình nỗ lực xác thực phải ngăn chặn việc làm suy yếu độ mạnh của cơ chế xác thực vượt ra ngoài độ mạnh xác thực được yêu cầu.
Thông tin cần thiết từ nhà cung cấp
VE04.55.01: Tài liệu của nhà cung cấp phải quy định rõ cơ chế phản hồi được sử dụng khi người vận hành đang nhập dữ liệu xác thực.
Các thủ tục kiểm thử cần thiết
TE04.55.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp rằng cơ chế phản hồi không cung cấp thông tin có thể được sử dụng để đoán hoặc xác định dữ liệu xác thực.
TE04.55.02: Kiểm thử viên phải nhập dữ liệu xác thực để đảm nhận vai trò đảm bảo rằng cơ chế phản hồi không cung cấp thông tin hữu ích.
AS04.56: (Xác thực người vận hành – Mức 1)
Nếu một mô-đun không hỗ trợ cơ chế xác thực, thì mô-đun phải yêu cầu người vận hành ngầm định hoặc rõ ràng lựa chọn một hoặc nhiều vai trò.
Thông tin cần thiết từ nhà cung cấp
VE04.56.01: Nhà cung cấp phải ghi lại loại xác thực được thực hiện cho mô-đun. Nhà cung cấp phải ghi lại các cơ chế được sử dụng để thực hiện việc lựa chọn ngầm định hoặc rõ ràng về vai trò hoặc tập hợp các vai trò xác thực của người vận hành để đảm nhận vai trò.
VE04.56.02: Nhà cung cấp cung cấp chính sách an toàn không bản quyền phải cung cấp mô tả về các vai trò, hoặc ngầm định hoặc rõ ràng, mà người vận hành có thể đảm nhiệm.
VE04.56.03: Nhà cung cấp cung cấp chính sách an toàn không bản quyền phải cung cấp hướng dẫn cho người vận hành đảm nhận các vai trò ngầm định hoặc rõ ràng.
Các thủ tục kiểm thử cần thiết
TE04.56.01: Kiểm thử viên phải xác minh rằng nhà cung cấp chính sách an toàn không bản quyền cung cấp mô tả về các vai trò, hoặc ngầm định hoặc rõ ràng, mà những người vận hành có thể đảm nhiệm và các phương tiện để đảm nhiệm từng vai trò.
TE04.56.02: Kiểm thử viên phải gọi phương thức được mô tả trong chính sách an toàn không bản quyền và xác minh rằng mỗi vai trò có thể được giả định ngầm hoặc rõ ràng.
AS04.57: (Xác thực người vận hành – Mức 2)
Một mô-đun mật mã ở mức tối thiểu phải sử dụng xác thực dựa trên vai trò để điều khiển truy cập vào mô-đun.
CHÚ THÍCH Khẳng định này không kiểm thử riêng biệt. Được kiểm thử như là một phần của AS04.36.
AS04.58: (Xác thực người vận hành – Mức 3 và 4)
Mô-đun mật mã phải sử dụng cơ chế xác thực dựa trên định danh để điều khiển truy cập vào mô-đun.
CHÚ THÍCH Khẳng định này không kiểm thử riêng biệt. Được kiểm thử như là một phần của AS04.39 đến AS04.41.
AS04.59: (Xác thực người vận hành – Mức 4)
Mô-đun mật mã phải sử dụng cơ chế xác thực dựa trên định danh nhiều yếu tố để điều khiển truy cập vào mô-đun.
Thông tin cần thiết từ nhà cung cấp
VE04.59.01: Nhà cung cấp phải cung cấp đặc tả xác thực dựa trên định danh nhiều yếu tố và cung cấp kiểm tra các tính năng của cơ chế.
Các thủ tục kiểm thử cần thiết
TE04.59.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp và đánh giá xác thực dựa trên định danh nhiều yếu tố.
6.5 An toàn phần mềm/phần sụn
AS05.01: (An toàn phần mềm/phần sụn – Mức 1, 2, 3, và 4)
Các yêu cầu của mục này phải áp dụng cho các thành phần phần mềm và phần sụn của mô-đun mật mã.
Chú thích Khẳng định này không kiểm thử riêng biệt. Được kiểm tra như là một phần của AS05.02 thông qua AS05.23.
AS05.02: (An toàn phần mềm/phần sụn – Mức 1, 2, 3, và 4)
Các yêu cầu tài liệu quy định rõ tại tiểu mục A.2.5 {TCVN 11295:2016} phải được cung cấp.
Thông tin cần thiết từ nhà cung cấp
VE05.02.01: Nhà cung cấp phải cung cấp tài liệu quy định rõ tại A.2.5 của TCVN 11295:2016.
Các thủ tục kiểm thử cần thiết
TE05.02.01: Kiểm thử viên phải xác minh tính đầy đủ của tài liệu quy định rõ tại A.2.5 của TCVN 11295:2016.
AS05.03: (An toàn phần mềm/phần sụn – Mức 1, 2, 3, và 4)
Các yêu cầu sau đây phải áp dụng cho các thành phần phần mềm và phần sụn của mô-đun mật mã cho mức độ an toàn 1.
CHÚ THÍCH Khẳng định này không kiểm thử riêng biệt.
AS05.04: (An toàn phần mềm/phần sụn – Mức 1, 2, 3, và 4)
Tất cả các phần mềm và phần sụn phải là dưới dạng thỏa mãn các yêu cầu của TCVN 11295:2016 mà không cần sửa đổi trước khi cài đặt (tiểu mục 7.11.7 {TCVN 11295:2016}).
Thông tin cần thiết từ nhà cung cấp
VE05.04.01: Nhà cung cấp phải cung cấp đặc tả phần mềm và phần sụn.
Các thủ tục kiểm thử cần thiết
TE05.04.01: Kiểm thử viên phải xác minh bằng cách kiểm tra mô-đun mật mã, các đặc tả được cung cấp bởi tài liệu của nhà cung cấp xem có tuân theo thiết kế thực tế của mô-đun mật mã hay không.
AS05.05: (An toàn phần mềm/phần sụn – Mức 1, 2, 3, và 4)
Đối với mô-đun phần mềm và phần sụn và thành phần phần mềm hoặc phần sụn của một mô-đun lai ghép (ngoại trừ các thành phần phần mềm và phần sụn bên trong một thành phần phần cứng tách rời của một mô-đun lai ghép): Cơ chế mật mã sử dụng kỹ thuật toàn vẹn được phê duyệt phải được áp dụng cho tất cả thành phần phần mềm và phần sụn trong ranh giới mật mã đã được quy định của mô- đun theo một trong các cách sau:
– bởi chính mô-đun mật mã; hoặc là
– bởi một mô-đun mật mã hợp lệ khác hoạt động trong một chế độ vận hành đã được phê duyệt.
Thông tin cần thiết từ nhà cung cấp
VE05.05.01: Tài liệu của nhà cung cấp phải mô tả kỹ thuật toàn vẹn được áp dụng cho tất cả thành phần phần mềm và phần sụn và thành phần phần mềm hoặc phần sụn của một mô-đun lai ghép (ngoại trừ các thành phần phần mềm và phần cứng bên trong một thành phần phần cứng tách rời của một mô-đun lai ghép).
VE05.05.02: Nhà cung cấp cung cấp tài liệu phải quy định rõ cách thức kỹ thuật toàn vẹn được áp dụng cho tất cả thành phần phần mềm và phần sụn và thành phần phần mềm hoặc phần sụn của một mô-đun lai ghép (ngoại trừ các thành phần phần mềm và phần sụn bên trong một thành phần phần cứng tách rời của một mô-đun lai ghép) sử dụng một trong hai:
- a) Một mã xác thực thông báo hoặc chữ ký hoàn chỉnh đơn lẻ;
hoặc là
- b) Nhiều mã hoặc chữ ký rời rạc.
VE05.05 03: Tài liệu của nhà cung cấp phải mô tả liệu kỹ thuật toàn vẹn đã được phê duyệt là được thực thi bởi mô-đun mật mã này hay bằng một mô-đun mật mã đã được xác thực khác trong một chế độ hoạt động được phê duyệt.
VE05.05.04: Tài liệu của nhà cung cấp phải quy định vị trí của khóa mật mã được sử dụng trong kỹ thuật toàn vẹn. Nếu chữ ký số đã phê duyệt được sử dụng làm kỹ thuật toàn vẹn, nhà cung cấp tài liệu cũng phải quy định rõ vị trí của khóa ký bí mật được sử dụng để tạo ra chữ ký tương ứng.
VE05.05.05: Nhà cung cấp phải cung cấp chứng chỉ khẳng định tính hợp lệ cho kỹ thuật toàn vẹn được phê duyệt như được quy định rõ trong VE02.20.01.
Các thủ tục kiểm thử cần thiết
TE05.05.01: Kiểm thử viên phải xác minh bằng cách kiểm tra mô-đun mật mã mà kỹ thuật toàn vẹn được phê duyệt áp dụng cho tất cả thành phần phần mềm và phần sụn và thành phần phần mềm hoặc phần sụn của mô-đun lai ghép (ngoại trừ các thành phần phần mềm và phần sụn bên trong phần cứng tách rời của một mô-đun lai ghép) nằm trong mô-đun.
TE05.05.02: Kiểm thử viên phải xác minh rằng nhà cung cấp đã cung cấp chứng chỉ khẳng định tính hợp lệ cho kỹ thuật toàn vẹn được phê duyệt như đã chỉ trong VE02.20.01.
TE05.05.03: Nếu mô-đun thực thi băm hoặc MAC để kiểm tra tính toàn vẹn của phần mềm/phần cứng, kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp về kiểm tra tính toàn vẹn của phần mềm/phần sụn mô tả đầy đủ quá trình mà mã băm hoặc MAC được tính toán và xác minh.
TE05.05.04: Nếu mô-đun này thực thi chữ ký số đã được phê duyệt để kiểm tra tính toàn vẹn của phần mềm/phần sụn, kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp về kiểm tra tính toàn vẹn của phần mềm/phần sụn bao gồm như sau:
- a) Đặc tả của thuật toán chữ ký số đã được phê duyệt thực hiện.
- b) Định danh của phần mềm và phần sụn được bảo vệ bằng chữ ký số được phê duyệt.
- c) Xác minh rằng giá trị tiền tính toán của chữ ký số được phê duyệt bao gồm trong phần mềm hoặc phần sụn.
- d) Xác minh chữ ký số được phê duyệt.
- e) Thất bại của việc tự kiểm tra khi không xác minh chữ ký số đã được phê duyệt.
TE05.05.05: Ngay cả khi kỹ thuật toàn vẹn được phê duyệt được cung cấp bởi một mô-đun đã được kiểm chứng khác, kiểm thử viên phải kiểm tra quy định về việc vượt qua hay thất bại của kiểm tra tính toàn vẹn phần mềm/phần sụn như đã quy định rõ trong AS10.01.
TE05.05.06: Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh rằng việc thực hiện kiểm thử phần mềm/phần sụn có tuân theo thông tin được cung cấp trong AS05.05 và AS05.08 hay không.
TE05.05.07: Kiểm thử viên phải sửa đổi các thành phần phần mềm và phần sụn mật mã. Thử nghiệm này thất bại nếu các cơ chế toàn vẹn không phát hiện sửa đổi.
AS05.06: (An toàn phần mềm/phần sụn – Mức 1, 2, 3 và 4)
Đối với các thành phần phần mềm và phần sụn của một mô-đun mật mã phần cứng và các thành phần phần mềm hoặc phần sụn trong thành phần phần cứng tách rời của một mô-đun mật mã lai: Cơ chế mật mã sử dụng kỹ thuật toàn vẹn được phê duyệt hoặc mã phát hiện lỗi (EDC) phải được áp dụng cho tất cả thành phần phần mềm và phần sụn bên trong mô-đun phần cứng được quy định ranh giới mật mã hoặc trong các thành phần phần cứng tách rời của mô-đun lai ghép.
Thông tin cần thiết từ nhà cung cấp
VE05.06.01: Tài liệu của nhà cung cấp phải mô tả kỹ thuật toàn vẹn đã được phê duyệt hoặc mã phát hiện lỗi được áp dụng cho tất cả thành phần phần mềm và phần sụn của một mô-đun mật mã phần cứng và các thành phần phần mềm hoặc phần cứng trong một thành phần phần cứng tách rời của mô-đun mật mã lai.
VE05.06.02: Tài liệu của nhà cung cấp phải quy định kỹ thuật toàn vẹn được phê duyệt hoặc mã phát hiện lỗi được áp dụng cho tất cả thành phần phần mềm và phần sụn của một mô-đun mật mã phần cứng và phần mềm hoặc phần cứng trong một thành phần phần cứng tách rời của một mô-đun lai ghép.
VE05.06.03: Nếu mô-đun thực thi mã phát hiện lỗi, nhà cung cấp phải cung cấp tài liệu yêu cầu theo VE05.07.01.
VE05.06.04: Nếu mô-đun mật mã thực thi một kỹ thuật toàn vẹn đã được phê duyệt để kiểm tra tính toàn vẹn, tài liệu của nhà cung cấp phải cung cấp thông tin được quy định rõ theo VE05.05.02, VE05.05.04 và VE05.05.05.
Các thủ tục kiểm thử cần thiết
TE05.06.01: Kiểm thử viên phải xác minh bằng cách kiểm tra mô-đun mật mã rằng kỹ thuật toàn vẹn được phê duyệt hoặc mã phát hiện lỗi được áp dụng cho tất cả thành phần phần mềm và phần sụn của một mô-đun mật mã phần cứng và tất cả thành phần phần mềm hoặc phần cứng bên trong thành phần phần cứng tách rời của một mô-đun mật mã lai.
TE05.06.02: Nếu mô-đun thực thi mã phát hiện lỗi, kiểm thử viên phải làm theo các quy trình được quy định rõ trong TE05.07.01.
TE05.06.03: Nếu mô-đun thực thi mã băm hoặc MAC để kiểm tra tính toàn vẹn của phần mềm/phần sụn, kiểm thử viên phải tuân thủ các quy trình theo yêu cầu của TE05.05.03.
TE05.06.04: Nếu mô-đun thực thi một chữ ký số đã được phê duyệt để kiểm tra tính toàn vẹn của phần mềm/phần sụn, kiểm thử viên phải làm theo các thủ tục theo yêu cầu của TE5.05.04.
TE05.06.05: Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh rằng việc thực hiện kiểm thử phần mềm/phần sụn tuân theo thông tin được cung cấp từ AS05.06 đến AS05.08.
TE05.06.06: Kiểm thử viên phải sửa đổi các thành phần phần mềm, phần sụn mật mã. Thử nghiệm này thất bại nếu các cơ chế toàn vẹn không phát hiện ra các sửa đổi.
AS05.07: (An toàn phần mềm/phần sụn – Mức 1, 2, 3 và 4)
Nếu EDC được sử dụng, thì EDC có chiều dài ít nhất 16 bit.
Thông tin cần thiết từ nhà cung cấp
VE05.07.01: Nhà cung cấp phải cung cấp đặc tả của mã phát hiện lỗi được sử dụng trong mô-đun. Cơ chế này phải là mã phát hiện lỗi có chiều dài ít nhất 16 bit. Nhà cung cấp phải cung cấp:
- a) Mô tả thuật toán tính EDC,
- b) Tính toán của các EDC khi phần mềm và phần sụn được cài đặt,
- c) Mô tả quá trình xác minh,
1) Tính toán lại các EDC khi tự kiểm tra được khởi hoạt,
2) So sánh EDC lưu trữ với EDC tính lại,
3) Đầu ra thành công hoặc thất bại dự kiến của kiểm thử.
Các thủ tục kiểm thử cần thiết
TE05.07.01: Kiểm thử viên phải xác minh rằng mã phát hiện lỗi có chiều dài ít nhất 16 bit và xác minh bằng cách kiểm tra các thông tin được cung cấp sau đây:
- a) Thực thi thuật toán tính EDC
- b) Quá trình xác minh,
1) Tính toán lại các EDC khi tự kiểm tra được khởi hoạt,
2) So sánh EDC lưu trữ với EDC tính lại, và
3) Đầu ra thành công hoặc thất bại dự kiến của kiểm thử.
AS05.08: (An toàn phần mềm/phần sụn – Mức 1, 2, 3 và 4)
Nếu việc kiểm tra tính toàn vẹn thất bại (ví dụ kết quả tính toán không được xác minh thành công hoặc EDC không thể xác minh phụ thuộc vào loại mô-đun), mô-đun phải nhập vào trạng thái lỗi.
Thông tin cần thiết từ nhà cung cấp
VE05.08.01: Nhà cung cấp phải cung cấp các đặc tả kiểm tra tính toàn vẹn phần mềm/phần sụn. Đây phải là một kỹ thuật toàn vẹn được phê duyệt hoặc mã phát hiện lỗi dựa vào kiểu mô-đun (xem AS05.05 và AS05.06).
Các thủ tục kiểm thử cần thiết
TE05.08.01: Kiểm thử viên phải xác minh xem nếu kiểm tra tính toàn vẹn thất bại, mô-đun phải nhập trạng thái lỗi.
TE05.08.02: Kiểm thử viên phải xác minh rằng mọi giá trị tạm thời được tạo ra trong suốt quá trình kiểm tra tính toàn vẹn được xóa trắng sau khi hoàn thiện kiểm tra tính toàn vẹn.
AS05.09: (An toàn phần mềm/phần sụn – Mức 1, 2, 3 và 4)
Kỹ thuật toàn vẹn được phê duyệt có thể bao gồm một mã xác thực thông báo hoặc chữ ký hoàn chỉnh đơn lẻ, hoặc nhiều mã xác thực hay chữ ký tách rời mà sự thất bại của mã xác thực hoặc chữ ký tách rời đều làm cho mô-đun đi vào trạng thái lỗi.
CHÚ THÍCH Khẳng định này không kiểm thử riêng biệt. Được kiểm tra như là một phần của AS05.05, AS05.06 và AS05.08.
AS05.10: (An toàn phần mềm/phần sụn – Mức 1, 2, 3 và 4)
Các giá trị tạm thời được tạo ra trong quá trình kiểm tra tính toàn vẹn của phần mềm hay phần sụn của mô-đun được xóa trắng khỏi mô-đun khi hoàn thành kiểm tra tính toàn vẹn.
CHÚ THÍCH Khẳng định này không kiểm thử riêng biệt. Được kiểm tra như là một phần của AS05.08.
AS05.11: (An toàn phần mềm/phần sụn – Mức 1,2, 3 và 4)
Một người vận hành có thể thực hiện kiểm tra tính toàn vẹn theo yêu cầu thông qua dịch vụ HMI, SFMI, HSMI hoặc HFMI (tiểu mục 7.3.2 {TCVN 11295:2016}).
Thông tin cần thiết từ nhà cung cấp
VE05.11.01: Tài liệu của nhà cung cấp phải mô tả cách thực thi kiểm tra toàn vẹn theo yêu cầu thông qua một dịch vụ HMI, SFMI, HSMI hoặc HFMI.
Các thủ tục kiểm thử cần thiết
TE05.11.01: Kiểm thử viên phải xác minh rằng việc kiểm tra tính toàn vẹn có thể được thực thi thông qua dịch vụ HMI, SFMI, HSMI hoặc HFMI theo yêu cầu.
TE05.11.02: Kiểm thử viên phải xác minh bằng cách kiểm tra mô-đun rằng tính toàn vẹn của tất cả thành phần phần mềm và phần sụn trong mô-đun được kiểm tra trong suốt quá trình kiểm tra tính toàn vẹn và có thể gọi theo yêu cầu.
AS05.12: (An toàn phần mềm/phần sụn – Mức 1,2,3 và 4)
Tất cả đầu vào dữ liệu và điều khiển và đầu ra dữ liệu, điều khiển và trạng thái (được quy định trong tiểu mục 7.3.3 {TCVN 11295:2016}) của mô-đun và các dịch vụ mật mã (tiểu mục 7.4.3 {TCVN 11295:2016}) đã được chỉ dẫn qua một HMI, SFMI, HFMI or HSMI xác định.
Thông tin cần thiết từ nhà cung cấp
VE05.12.01: Yêu cầu tài liệu của nhà cung cấp được quy định rõ trong VE05.16.01 và 6.3.1, 6.3.3 và 6.4.3.
Các thủ tục kiểm thử cần thiết
TE05.12.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rõ những điều sau:
– Tổng số các lệnh dùng để yêu cầu các dịch vụ của mô-đun mật mã, bao gồm các thông số nhập vào hoặc để lại ranh giới mô-đun mật mã như là một phần của dịch vụ được yêu cầu.
TE05.12.02: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng tất cả đầu vào dữ liệu và điều khiển, và các đầu ra dữ liệu, điều khiển và trạng thái (được quy định tại tiểu mục 7.3.3 của TCVN 11295:2016) của mô-đun và các dịch vụ mật mã (quy định trong tiểu mục 7.4.3 của TCVN 11295:2016) đã được chỉ dẫn qua một HMI, SFMI, HFMI hoặc HSMI xác định.
AS05.13: (An toàn phần mềm/phần sụn – Mức 1, 2, 3 và 4)
Nếu phần mềm hoặc phần sụn được nạp vào mà được liên kết, ràng buộc, sửa đổi hoặc là một điều kiện tất yếu được thực thi của mô-đun hợp lệ, thì việc kiểm tra nạp phần mềm/phần sụn được áp dụng và phải thực thi bởi mô-đun hợp lệ với các trường hợp ngoại lệ sau:
– Mô-đun mật mã là một mô-đun phần mềm và hình ảnh phần mềm được nạp là một thay thế hoặc lớp phủ hình ảnh hoàn thiện của mô-đun đã được kiểm tra hợp lệ.
– Mô-đun mật mã là một mô-đun phần sụn của mức an toàn vật lý 1 và hình ảnh phần sụn được nạp là một thay thế hoặc lớp phủ hình ảnh hoàn thiện của mô-đun đã được kiểm tra hợp lệ.
– Mô-đun mật mã là một mô-đun phần mềm lai và hình ảnh phần mềm được nạp là một thay thế hoặc lớp phủ hình ảnh hoàn thiện của các thành phần phần mềm tách rời.
– Mô-đun mật mã là một mô-đun phần sụn lai của mức an toàn vật lý 1 và hình ảnh phần sụn được nạp là một thay thế hoặc lớp phủ hình ảnh hoàn thiện của các thành phần phần sụn tách rời.
Thông tin cần thiết từ nhà cung cấp
VE05.13.01: Nhà cung cấp phải cung cấp đặc tả của các quy trình nạp phần mềm/phần sụn, bao gồm:
- a) (Các) loại quá trình nạp phần mềm/phần sụn
1 ) Thêm các thành phần phần mềm và phần sụn
2) Cập nhật các thành phần phần mềm và phần sụn hiện có
- b) Vị trí các thành phần phần mềm và phần sụn mới nạp được lưu trữ,
- c) Các thành phần phần mềm/phần sụn/phần cứng hiện có để thực thi việc nạp phần mềm/phần sụn,
- d) Các thành phần phần mềm/phần sụn hiện có bị ảnh hưởng, sửa đổi hoặc thay thế do kết quả của nạp phần mềm/phần sụn,
- e) Các thành phần phần mềm/phần sụn hiện có không bị ảnh hưởng, sửa đổi hoặc thay thế do kết quả của việc nạp phần mềm/phần sụn.
VE05.13.02: Nhà cung cấp phải cung cấp các đặc tả của kiểm tra nạp phần mềm/phần sụn được thực thi bởi mô-đun đã kiểm tra hợp lệ.
Các thủ tục kiểm thử cần thiết
TE05.13.01: Kiểm thử viên phải quy định, bằng cách kiểm tra từ tài liệu của nhà cung cấp, cho dù mô-đun mật mã có một khả năng nạp phần mềm hoặc phần sụn.
TE05.13.02: Nếu mô-đun mật mã có khả năng nạp bất kỳ các thành phần phần mềm hoặc phần sụn, kiểm thử viên phải quy định, bằng cách kiểm tra từ tài liệu của nhà cung cấp, loại (các) phần mềm/phần sụn và phần mềm bổ sung được nạp hay các thành phần phần mềm và phần sụn hiện có được cập nhật.
TE05.13.03: Nếu bổ sung các thành phần phần mềm và phần sụn được nạp, kiểm thử viên phải xác minh rằng việc kiểm tra nạp phần mềm/phần sụn là được thực hiện cùng với việc nạp phần mềm/phần sụn.
TE05.13.04: Kiểm thử viên phải quy định bằng cách kiểm tra từ tài liệu của nhà cung cấp, cho dù đó là các thành phần liên quan đến an toàn bao gồm trong các thành phần hiện có bị ảnh hưởng, sửa đổi hoặc thay thế như là một kết quả của nạp phần mềm/phần sụn.
TE05.13.05: Nếu bất kỳ thành phần liên quan đến an toàn được bao gồm trong các thành phần hiện có bị ảnh hưởng, sửa đổi hoặc thay thế như là kết quả của việc nạp phần mềm/phần sụn, kiểm thử viên phải xác minh xem việc kiểm tra nạp phần mềm/phần sụn có được thực hiện cùng với nạp phần mềm/phần sụn hay không.
TE05.13.06: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp, rằng kiểm thử viên đóng vai trò thực hiện nạp phần mềm/phần sụn.
TE05.13.07: Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh rằng việc thực hiện nạp phần mềm/phần sụn tuân theo thông tin được cung cấp trong E05.13.01.
TE05.13.08: Kiêm thử viên phải xác minh việc thực hiện kiểm tra nạp phần mềm/phần sụn theo TE04.28.01, TE04.29.01, TE04.32.01, TE04.34.01, TE04.35.01 và TE04.35.02.
AS05.14: (An toàn phần mềm/phần sụn – Mức 2, 3 và 4)
Các yêu cầu sau đây phải áp dụng cho các thành phần phần mềm và phần sụn của một mô-đun mật mã ở mức an toàn 2.
CHÚ THÍCH Khẳng định này không kiểm thử riêng biệt. Được kiểm tra như là một phần của AS05.15 đến AS05.18.
AS05.15: (An toàn phần mềm/phần sụn – Mức 2, 3 và 4)
Các thành phần mềm và phần sụn của một mô-đun mật mã chỉ được bao gồm mã dưới dạng thực thi (ví dụ: không phải mã nguồn, mã đối tượng hoặc mã biên dịch đúng thời điểm chạy).
Thông tin cần thiết từ nhà cung cấp
VE05.15.01: Nhà cung cấp phải cung cấp mô tả phần mềm và phần sụn bằng định dạng thực thi được sử dụng.
Các thủ tục kiểm thử cần thiết
TE05.15.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp, rằng các định dạng thực thi đã tài liệu hóa không yêu cầu phải biên dịch thêm và không có mã sửa đổi động.
TE05.15.02: Kiểm thử viên phải xác minh, bằng cách kiểm tra từ tài liệu của nhà cung cấp, rằng các định dạng thực thi đã tài liệu hóa được sử dụng cho mỗi thành phần phần mềm/phần sụn.
AS05.16: (An toàn phần mềm/phần sụn – Mức 2, 3 và 4)
Phải không có dịch vụ thông qua giao diện HMI, SFMI, HFMI hoặc HSMI để cho phép người vận hành kiểm tra mã thực thi.
Thông tin cần thiết từ nhà cung cấp
VE05.16.01: Nhà cung cấp phải cung cấp đặc tả của các dịch vụ HMI, SFMI, HFMI hoặc HSMI.
Các thủ tục kiểm thử cần thiết
TE05.16.01: Kiểm thử viên phải xác minh nhà cung cấp đã ghi lại đặc tả của các dịch vụ.
TE05.16.02: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng các dịch vụ không cho phép người vận hành kiểm tra mã thực thi.
TE05.16.03: Kiểm thử viên phải kiểm tra các dịch vụ để xác minh rằng người vận hành không thể kiểm tra mã thực thi.
AS05.17: (An toàn phần mềm/phần sụn – Mức 2, 3 và 4)
Đối với các mô-đun phần mềm và phần sụn, thành phần phần mềm hoặc phần sụn của một mô-đun lai ghép đối với mức an toàn 2 (ngoại trừ các thành phần phần mềm và phần sụn trong một thành phần phần cứng tách rời của mô-đun lai ghép): Chữ ký số hoặc mã xác thực thông điệp có khóa được phê duyệt phải được áp dụng cho tất cả phần mềm và phần sụn trong ranh giới mật mã xác định của mô- đun.
Thông tin cần thiết từ nhà cung cấp
VE05.17.01: Nhà cung cấp phải cung cấp tài liệu quy định kỹ thuật được sử dụng để duy trì tính toàn vẹn của các thành phần phần mềm và phần sụn mật mã .
Các thủ tục kiểm thử cần thiết
TE05.17.01: Kiểm thử viên phải xác minh rằng các thông tin đã được quy định trong VE05.17.0. Nếu thông tin này không được quy định thì khẳng định này thất bại.
TE05.17.02: Kiểm thử viên phải cố gắng làm hỏng các thành phần phần mềm và phần sụn mật mã. Nếu tính toàn vẹn được duy trì, kiểm tra này thất bại.
AS05.18: (An toàn phần mềm/phần sụn – Mức 2, 3 và 4)
Nếu kết quả tính toán không được xác minh thành công, kiểm tra thất bại và mô-đun phải nhập vào trạng thái lỗi.
CHÚ THÍCH Khẳng định này không kiểm thử riêng biệt. Được kiểm tra như là một phần của AS05.17.
AS05.19: (An toàn phần mềm/phần sụn – Mức 3 và 4)
Ngoài các yêu cầu của mức an toàn 1 và 2, các yêu cầu sau đây phải áp dụng cho mô-đun phần mềm và phần sụn và thành phần phần mềm hoặc phần sụn của một mô-đun lai ghép với mức an toàn 3 và 4 (ngoại trừ các thành phần phần mềm và phần sụn bên trong một thành phần phần cứng tách rời của mô-đun lai ghép).
CHÚ THÍCH Khẳng định này không kiểm thử riêng biệt. Được kiểm tra như một phần của AS05.20 đến AS05.23.
AS05.20: (An toàn phần mềm/phần sụn – Mức 3 và 4)
Cơ chế mật mã sử dụng chữ ký số được phê duyệt phải được áp dụng cho tất cả thành phần phần mềm và phần sụn bên trong ranh giới mật mã được quy định của mô-đun.
Thông tin cần thiết từ nhà cung cấp
VE05.20.01: Nhà cung cấp phải cung cấp tài liệu về cơ chế chữ ký số đã được phê duyệt.
Các thủ tục kiểm thử cần thiết
TE05.20.01: Kiểm thử viên phải xác minh bằng cách kiểm tra mô-đun mật mã rằng cơ chế mật mã sử dụng cơ chế chữ ký số đã được phê duyệt được áp dụng cho tất cả thành phần phần mềm và phần sụn bên trong ranh giới mật mã được xác định của mô-đun.
AS05.21: (An toàn phần mềm/phần sụn – Mức 3 và 4)
Nếu kết quả tính toán không được xác minh thành công, kiểm thử thất bại và mô-đun phải chuyển sang trạng thái lỗi.
CHÚ THÍCH Khẳng định này không kiểm thử riêng biệt. Được kiểm tra như là một phần của AS05.17.
AS05.22: (An toàn phần mềm/phần sụn – Mức 3 và 4)
Kỹ thuật chữ ký số có thể chứa một chữ ký hoàn chỉnh đơn lẻ hoặc nhiều chữ ký tách rời mà trong sự thất bại của một chữ ký tách rời bất kỳ phải làm cho mô-đun chuyển sang trạng thái lỗi.
CHÚ THÍCH Khẳng định này không kiểm thử riêng biệt. Được kiểm tra như là một phần của AS05.05.
AS05.23: (An toàn phần mềm/phần sụn – Mức 3 và 4)
Khóa ký bí mật phải nằm bên ngoài mô-đun.
Thông tin cần thiết từ nhà cung cấp
VE05.23.01: Yêu cầu tài liệu của nhà cung cấp được quy định rõ trong VE05.05.04. Nhà cung cấp phải thiết kế đảm bảo rằng khóa ký bí mật tạo ra chữ ký không nằm trong ranh giới mô-đun mật mã.
Các thủ tục kiểm thử cần thiết
TE05.23.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp, rằng khóa ký bí mật không nằm trong ranh giới mật mã.
6.6 Môi trường hoạt động
6.6.1 Các yêu cầu chung đối với môi trường hoạt động
AS06.01: (Môi trường hoạt động – Mức 1 và 2)
Nếu môi trường hoạt động không thể sửa đổi hoặc môi trường hoạt động bị hạn chế, chỉ có yêu cầu của hệ điều hành trong tiểu mục 7.6.2 (TCVN 11295:2016) phải áp dụng.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt. Được kiểm tra như là một phần của AS06.04.
AS06.02: (Môi trường hoạt động – Mức 1 và 2)
Nếu môi trường hoạt động là một môi trường hoạt động có thể sửa đổi, thì các yêu cầu về hệ điều hành quy định rõ trong tiểu mục 7.6.3 {TCVN 11295:2016} phải được áp dụng.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt. Được kiểm tra như là một phần của AS06.05 đến AS06.29 nếu có.
AS06.03: (Môi trường hoạt động – Mức 1 và 2)
Các yêu cầu tài liệu quy định rõ tại tiểu mục A.2.6 của {TCVN 11295:2016} phải được cung cấp. Thông tin cần thiết từ nhà cung cấp
VE06.03.01: Nhà cung cấp phải cung cấp các yêu cầu tài liệu theo quy định tại A.2.6 của TCVN 11295:2016.
Các thủ tục kiểm thử cần thiết
TE06.03.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu như được quy định trong A.2.6 của TCVN 11295:2016.
6.6.2 Các yêu cầu hệ điều hành đối với môi trường hoạt động không thể sửa đổi hoặc hạn chế AS06.04: (Môi trường hoạt động – Mức 1)
Các yêu cầu trong tiểu mục 7.6.3 của {TCVN 11295:2016} mức an toàn 1 phải áp dụng nếu mô-đun là mức an toàn 1 theo tiểu mục 7.7 của {TCVN 11295:2016}.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt. Được kiểm tra như là một phần của AS06.05 đến AS06.08.
6.6.3 Các yêu cầu hệ điều hành đối với môi trường hoạt động không thể sửa đổi hoặc hạn chế
Chú thích Các yêu cầu AS06.05 đến AS06.29 phải áp dụng cho hệ điều hành hoặc môi trường hoạt động được áp dụng.
AS06.05: (Môi trường hoạt động – Mức 1 và 2)
Từng trường hợp của mô-đun mật mã phải có quyền điều khiển các SSP của chính nó.
CHÚ THÍCH 1 Từng trường hợp của mô-đun mật mã phải có quyền điều khiển các SSP của chính nó và không thuộc sở hữu hoặc điều khiển bởi quy trình/người vận hành bên ngoài.
CHÚ THÍCH 2 Yêu cầu này không thể được thực thi bằng các tài liệu và thủ tục hành chính, nhưng phải được thực thi bởi chính mô-đun mật mã.
Thông tin cần thiết từ nhà cung cấp
VE06.05.01: Nhà cung cấp phải cung cấp mô tả cơ chế hệ điều hành được sử dụng để đảm bảo rằng mỗi trường hợp của mô-đun mật mã có quyền điều khiển đối với các SSP chính nó trong khi đang dùng quá trình mã hóa.
Các thủ tục kiểm thử cần thiết
TE06.05.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp và bằng cách kiểm tra hệ điều hành, rằng mỗi trường hợp của một mô-đun mật mã có quyền điều khiển các SSP chính nó trong khi đang sử dụng mô-đun mật mã.
TE06.05.02: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp và bằng cách kiểm tra hệ điều hành, rằng yêu cầu phải được thực thi bởi chính mô-đun mật mã.
TE06.05.03: Kiểm thử viên phải thực hiện các chức năng mật mã như mô tả trong tài liệu hướng dẫn của chuyên viên mật mã và người dùng. Trong khi các chức năng mật mã đang được thực hiện, chính kiểm thử viên hoặc kiểm thử viên khác phải cố gắng truy cập trái phép vào khóa bí mật và riêng tư, các giá trị sinh khóa trung gian và các SSP khác đang dưới điều khiển của mô-đun mật mã.
AS06.06: (Môi trường hoạt động – Mức 1 và 2)
Môi trường hoạt động phải cung cấp khả năng tách riêng các quá trình ứng dụng riêng biệt để ngăn chặn sự truy cập trái phép vào CSP và các sửa đổi trái phép SSP bất kể dữ liệu này có trong bộ nhớ tiến trình hay được lưu trữ trong bộ lưu trữ liên tục trong môi trường hoạt động.
Thông tin cần thiết từ nhà cung cấp
VE06.06.01: Nhà cung cấp phải cung cấp mô tả về cơ chế hoạt động của môi trường được sử dụng để cung cấp khả năng tách riêng các quá trình ứng dụng riêng biệt để ngăn chặn sự truy cập trái phép vào CSP và các sửa đổi trái phép SSP bất kể dữ liệu này có trong bộ nhớ tiến trình hay được lưu trữ trong bộ lưu trữ liên tục trong môi trường hoạt động.
Các thủ tục kiểm thử cần thiết
TE06.06.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp và bằng cách kiểm tra cơ chế hoạt động môi trường được sử dụng để cung cấp khả năng tách riêng các quy trình ứng dụng riêng biệt để ngăn chặn sự truy cập trái phép vào CSP và các sửa đổi trái phép SSP bất kể dữ liệu này có trong bộ nhớ tiến trình hay được lưu trữ trong bộ lưu trữ liên tục trong môi trường hoạt động.
TE06.06.02: Kiểm thử viên phải thực hiện các chức năng mật mã như mô tả trong tài liệu hướng dẫn của chuyên viên mật mã và người sử dụng. Trong khi các chức năng mật mã đang được thực thi, chính kiểm thử viên hoặc kiểm thử viên khác phải cố gắng truy cập vào CSP và thực hiện các sửa đổi SSP bất kể dữ liệu này có trong bộ nhớ tiến trình hay được lưu trữ trên bộ lưu trữ liên tục trong môi trường hoạt động.
AS06.07: (Môi trường hoạt động – Mức 1 và 2)
Các hạn chế đối với cấu hình của môi trường hoạt động phải được ghi lại trong chính sách an toàn của mô-đun mật mã.
Thông tin cần thiết từ nhà cung cấp
VE06.07.01: Nhà cung cấp phải cung cấp tài liệu mô tả về mọi hạn chế đối với môi trường hoạt động.
Các thủ tục kiểm thử cần thiết
TE06.07.01: Kiểm thử viên phải xác minh rằng mọi hạn chế đối với môi trường hoạt động được ghi lại trong chính sách an toàn.
AS06.08: (Môi trường hoạt động – Mức 1 và 2)
Các quá trình được tạo ra bởi mô-đun mật mã phải do mô-đun sở hữu và không thuộc sở hữu của các quá trình/người vận hành bên ngoài.
CHÚ THÍCH Yêu cầu này không thể được thực thi bằng các tài liệu và thủ tục hành chính, ngoại trừ chính nó.
Thông tin cần thiết từ nhà cung cấp
VE06.08.01: Nhà cung cấp phải cung cấp mô tả cơ chế hệ điều hành được sử dụng để đảm bảo rằng các quy trình được tạo ra bởi mô-đun mật mã phải do mô-đun sở hữu và không thuộc sở hữu của các quá trình/người vận hành bên ngoài.
Các thủ tục kiểm thử cần thiết
TE06.08.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp và bằng cách kiểm tra hệ điều hành, các quá trình được tạo ra bởi mô-đun mật mã phải do mô-đun sở hữu và không thuộc sở hữu của các quá trình/người vận hành bên ngoài.
TE06.08.02: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp và bằng cách kiểm tra hệ điều hành rằng yêu cầu phải được thực thi bởi chính mô-đun mật mã.
TE06.08.03: Kiểm thử viên phải thực hiện các chức năng mật mã như mô tả trong tài liệu hướng dẫn của chuyên viên mật mã và người dùng. Trong khi các chức năng mật mã đang được thực thi, chính kiểm thử viên hoặc kiểm thử viên khác phải cố gắng để đạt được quyền sở hữu của một quá trình mật mã thuộc một mô-đun mật mã hoặc từ tiến trình bên ngoài hoặc từ người vận hành bên ngoài.
AS06.09: (Môi trường hoạt động – Mức 2)
Đối với mức an toàn 2, môi trường hoạt động phải đáp ứng các yêu cầu sau đây hoặc được cho phép bởi tổ chức chịu trách nhiệm.
CHÚ THÍCH 1 Nếu các yêu cầu về môi trường hoạt động không được quy định bởi tổ chức chịu trách nhiệm, khẳng định được kiểm tra từ AS06.10 đến AS06.29.
CHÚ THÍCH 2 Nếu các yêu cầu về môi trường hoạt động được quy định bởi tổ chức chịu trách nhiệm, khẳng định được kiểm tra như sau.
Thông tin cần thiết từ nhà cung cấp
VE06.09.01: Nhà cung cấp phải cung cấp tài liệu mô tả môi trường hoạt động.
VE06.09.02: Nhà cung cấp phải cung cấp tài liệu so sánh môi trường hoạt động với môi trường hoạt động được cho phép bởi tổ chức chịu trách nhiệm.
Các thủ tục kiểm thử cần thiết
TE06.09.01: Kiểm thử viên phải xác minh rằng tài liệu cung cấp phải mô tả về hệ điều hành.
TE06.09.02: Kiểm thử viên phải xác minh bằng cách kiểm tra hệ điều hành xem có tuân theo mô tả về hệ điều hành do nhà cung cấp cung cấp hay không.
TE06.09.03: Kiểm thử viên phải xác minh bằng cách kiểm tra hệ điều hành và mô tả của nhà cung cấp về hệ điều hành được cho phép bởi tổ chức chịu trách nhiệm.
AS06.10: (Môi trường hoạt động – Mức 2)
Tất cả phần mềm, SSP và thông tin điều khiển và thông tin trạng thái mật mã phải nằm dưới sự điều khiển của hệ điều hành thực hiện điều khiển truy cập dựa trên vai trò hoặc tối thiểu là điều khiển truy cập tùy ý với cơ chế quy định các nhóm mới và phân quyền hạn chế chẳng hạn như thông qua danh sách điều khiển truy cập (ACL) và với khả năng gán mỗi người dùng cho nhiều hơn một nhóm.
Thông tin cần thiết từ nhà cung cấp
VE06.10.01: Nhà cung cấp phải cung cấp tài liệu hệ điều hành mô tả về các cơ chế điều khiển của hệ điều hành mà thực hiện điều khiển truy cập dựa trên vai trò hoặc tối thiểu là điều khiển truy cập tùy ý với cơ chế gán định các nhóm mới và gán các quyền hạn chế chẳng hạn như thông qua danh sách điều khiển truy cập (ACL) và với khả năng gán mỗi người dùng cho nhiều hơn một nhóm.
Các thủ tục kiểm thử cần thiết
TE06.10.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp bằng cách kiểm tra các cơ chế điều khiển hệ điều hành, rằng hệ điều hành thực hiện các điều khiển truy cập dựa trên vai trò hoặc tối thiểu là điều khiển truy cập tùy ý với cơ chế gán định các nhóm mới và gán các quyền hạn chế ví dụ như thông qua danh sách điều khiển truy cập (ACL) và với khả năng gán cho mỗi người dùng nhiều hơn một nhóm.
TE06.10.02: Kiểm thử viên phải cấu hình các điều khiển truy cập dựa trên vai trò của hệ điều hành hoặc các điều khiển truy cập tùy ý để phân quyền cho một người dùng hoặc nhóm cụ thể. Kiểm thử viên giả định vai trò người dùng hoặc nhóm được phép phải cố gắng thực hiện, sửa đổi hoặc đọc các SSP, dữ liệu điều khiển hoặc trạng thái mà kiểm thử viên được cho phép truy cập.
TE06.10.03: Kiểm thử viên phải cấu hình các điều khiển truy cập dựa trên vai trò của hệ điều hành hoặc điều khiển truy cập tùy ý để phân quyền cho một người dùng hoặc nhóm cụ thể. Kiểm thử viên giả định vai trò người dùng hoặc nhóm khác nhau phải cố gắng thực hiện, sửa đổi hoặc đọc các SSP, dữ liệu điều khiển hoặc trạng thái mà kiểm thử viên đã truy cập trái phép.
AS06.11: (Môi trường hoạt động – Mức 2)
Hệ điều hành phải được cấu hình để bảo vệ chống lại việc thực thi, sửa đổi và đọc trái phép các SSP, dữ liệu điều khiển và trạng thái.
Thông tin cần thiết từ nhà cung cấp
VE06.11.01 : Nhà cung cấp phải cung cấp tài liệu hệ điều hành mô tả về các cơ chế điều khiển hệ điều hành có thể được cấu hình để bảo vệ chống lại thực thi, sửa đổi và đọc các SSP, dữ liệu điều khiển và trạng thái một cách trái phép.
Các thủ tục kiểm thử cần thiết
TE06.11.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp bằng cách kiểm tra các cơ chế điều khiển hệ điều hành, rằng hệ điều hành có thể được cấu hình để bảo vệ chống lại việc thực thi, sửa đổi và đọc các SSP, dữ liệu điều khiển và trạng thái một cách trái phép.
TE06.11.02: Kiểm thử viên phải cấu hình hệ điều hành để bảo vệ chống thực thi, sửa đổi và đọc các SSP, dữ liệu điều khiển và trạng thái một cách trái phép. Trong khi thực hiện quá trình mật mã, kiểm thử viên phải cố gắng thực hiện, sửa đổi hoặc đọc SSP, dữ liệu điều khiển hoặc trạng thái mà kiểm thử viên đã được cho phép truy cập.
TE06.11.03: Kiểm thử viên phải cấu hình hệ điều hành để bảo vệ chống lại việc thực thi, sửa đổi và đọc SSP, dữ liệu điều khiển và trạng thái một cách trái phép. Trong khi thực hiện, quá trình mật mã, kiểm thử viên phải cố gắng thực hiện, sửa đổi hoặc đọc SSP, dữ liệu điều khiển hoặc trạng thái mà kiểm thử viên có quyền truy cập trái phép.
AS06.12: (Môi trường hoạt động – Mức 2)
{Để bảo vệ bản rõ, phần mềm mật mã, SSP và dữ liệu xác thực, cơ chế điều khiển truy cập của hệ điều hành} phải được cấu hình để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan mà có độc quyền để thực thi phần mềm mật mã được lưu trữ.
Thông tin cần thiết từ nhà cung cấp
VE06.12.01: Nhà cung cấp phải cung cấp tài liệu hệ điều hành mô tả về cách thức các cơ chế điều khiển truy cập của hệ điều hành được cấu hình để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan mà có độc quyền thực thi phần mềm mật mã được lưu trữ.
Các thủ tục kiểm thử cần thiết
TE06.12.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp bằng cách kiểm tra các cơ chế điều khiển hệ điều hành, rằng hệ điều hành được cấu hình để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan mà có độc quyền thực thi phần mềm mật mã được lưu trữ.
TE06.12.02: Kiểm thử viên phải cấu hình các cơ chế điều khiển hệ điều hành để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan để phân quyền độc quyền thực thi phần mềm mật mã được lưu trữ. Kiểm thử viên phải xác minh rằng họ có độc quyền thực thi phần mềm mật mã được lưu trữ.
TE06.12.03: Kiểm thử viên phải cấu hình các cơ chế điều khiển hệ điều hành để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan để không phân quyền độc quyền thực thi phần mềm mật mã được lưu trữ. Kiểm thử viên phải xác minh rằng họ không có độc quyền thực thi phần mềm mật mã được lưu trữ.
AS06.13: (Môi trường hoạt động – Mức 2)
{Để bảo vệ bản rõ, phần mềm mật mã, SSP và dữ liệu xác thực, cơ chế điều khiển truy cập của hệ điều hành} phải được cấu hình để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan để có độc quyền sửa đổi (tức là viết, thay thế và xóa) phần mềm mô-đun mật mã sau đây được lưu trữ trong ranh giới mật mã: các chương trình mật mã, dữ liệu mật mã (ví dụ: dữ liệu kiểm thử mật mã), SSP và bản rõ.
Thông tin cần thiết từ nhà cung cấp
VE06.13.01: Nhà cung cấp phải cung cấp tài liệu hệ điều hành mô tả về cách thức các cơ chế điều khiển truy cập của hệ điều hành được cấu hình để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan để có độc quyền sửa đổi (tức là viết, thay thế và xóa) phần mềm mô-đun mật mã sau đây được lưu trữ trong ranh giới mật mã: các chương trình mật mã, dữ liệu mật mã (ví dụ: dữ liệu kiểm thử mật mã), SSP và bản rõ.
Các thủ tục kiểm thử cần thiết
TE06.13.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp bằng cách kiểm tra các cơ chế điều khiển hệ điều hành, rằng hệ điều hành được cấu hình để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan để có độc quyền sửa đổi (tức là viết, thay thế và xóa) phần mềm mô-đun mật mã sau đây được lưu trữ trong ranh giới mật mã: các chương trình mật mã, dữ liệu mật mã (ví dụ: dữ liệu kiểm thử mật mã), SSP và bản rõ.
TE06.13.02: Kiểm thử viên phải cấu hình các cơ chế điều khiển hệ điều hành để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan để phân quyền độc quyền thực thi phần mềm mật mã được lưu trữ. Kiểm thử viên phải xác minh rằng họ có độc quyền sửa đổi (ví dụ: viết, thay thế và xóa) phần mềm mô-đun mật mã sau đây được lưu trữ trong ranh giới mật mã: các chương trình mật mã, dữ liệu mật mã (ví dụ: dữ liệu kiểm thử mật mã), SSP và bản rõ.
TE06.13.03: Kiểm thử viên phải cấu hình các cơ chế điều khiển hệ điều hành để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế liên quan để không phân quyền độc quyền sửa đổi (ví dụ: viết, thay thế, và xóa) phần mềm mô-đun mật mã được lưu trữ trong ranh giới mật mã sau đây: các chương trình mật mã, dữ liệu mật mã (ví dụ: dữ liệu kiểm thử mật mã), SSP và bản rõ. Kiểm thử viên phải xác minh rằng họ không có quyền độc quyền để sửa đổi (ví dụ: viết, thay thế và xóa) phần mềm mô-đun mật mã được lưu trữ trong ranh giới mật mã sau đây: các chương trình mật mã, dữ liệu mật mã (ví dụ: dữ liệu kiểm thử mật mã), SSP và bản rõ.
AS06.14: (Môi trường hoạt động – Mức 2)
{Để bảo vệ bản rõ, phần mềm mật mã, SSP và dữ liệu xác thực, cơ chế điều khiển truy cập của hệ điều hành} phải được cấu hình để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan có độc quyền đọc dữ liệu mật mã (ví dụ: dữ liệu kiểm thử mật mã), CSP và bản rõ.
Thông tin cần thiết từ nhà cung cấp
VE06.14.01: Nhà cung cấp phải cung cấp tài liệu hệ điều hành mô tả về cách thức các cơ chế điều khiển truy cập của hệ điều hành được cấu hình để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế liên quan mà có độc quyền đọc dữ liệu mật mã (ví dụ: dữ liệu kiểm thử mật mã), CSP và bản rõ.
Các thủ tục kiểm thử cần thiết
TE06.14.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp bằng cách kiểm tra các cơ chế điều khiển hệ điều hành, rằng hệ điều hành được cấu hình để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan mà có độc quyền đọc dữ liệu mật mã (ví dụ: dữ liệu kiểm thử mật mã), CSP và bản rõ.
TE06.14.02: Kiểm thử viên phải cấu hình các cơ chế điều khiển hệ điều hành để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan để phân quyền độc quyền đọc dữ liệu mật mã (ví dụ: dữ liệu kiểm thử mật mã), CSP và bản rõ.
TE06.14.03: Kiểm thử viên phải cấu hình các cơ chế điều khiển hệ điều hành để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan để không phân quyền độc quyền đọc dữ liệu mật mã (ví dụ: dữ liệu kiểm thử mật mã), CSP và bản rõ. Kiểm thử viên phải xác minh rằng họ không có độc quyền đọc dữ liệu mật mã (ví dụ: dữ liệu kiểm thử mật mã), CSP và bản rõ.
AS06.15: (Môi trường hoạt động – Mức 2)
{Để bảo vệ bản rõ, phần mềm mật mã, SSP và dữ liệu xác thực, các cơ chế điều khiển truy cập của hệ điều hành} phải được cấu hình để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan mà có độc quyền nhập SSP.
Thông tin cần thiết từ nhà cung cấp
VE06.15.01: Nhà cung cấp phải cung cấp tài liệu hệ điều hành mô tả về cách thức các cơ chế điều khiển truy cập của hệ điều hành được cấu hình để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế liên quan mà có độc quyền nhập SSP.
Các thủ tục kiểm thử cần thiết
TE06.15.01 : Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp bằng cách kiểm tra các cơ chế điều khiển hệ điều hành, rằng hệ điều hành được cấu hình để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan mà có độc quyền nhập SSP.
TE06.15.02: Kiểm thử viên phải cấu hình các cơ chế điều khiển hệ điều hành để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan mà phân quyền độc quyền nhập SSP.
TE06.15.03: Kiểm thử viên phải cấu hình các cơ chế điều khiển hệ điều hành để xác định và thực thi tập hợp các vai trò hoặc các nhóm và các quyền hạn chế có liên quan mà không phân quyền độc quyền nhập SSP. Kiểm thử viên phải xác minh rằng họ không có độc quyền nhập SSP.
AS06.16: (Môi trường hoạt động – Mức 2)
Các đặc tả sau đây phải tuân theo các vai trò hoặc quyền và dịch vụ của các nhóm được quy định rõ như được định nghĩa trong chính sách an toàn.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt. Được kiểm tra như là một phần của AS06.17 đến AS06.20.
AS06.17: (Môi trường hoạt động – Mức 2)
Khi không hỗ trợ vai trò bảo trì, hệ điều hành phải ngăn chặn tất cả toán tử và tiến trình đang chạy khỏi việc sửa đổi các tiến trình mật mã đang chạy (tức là nạp và thực thi các ảnh chương trình mật mã).
Thông tin cần thiết từ nhà cung cấp
VE06.17.01: Nhà cung cấp phải cung cấp tài liệu về hệ điều hành mô tả về cách thức hệ điều hành ngăn không cho tất cả toán tử và các tiến trình đang chạy từ việc sửa đổi các tiến trình mật mã đang chạy (tức là nạp và thực thi các ảnh chương trình mật mã) khi không ở chế độ bảo trì.
VE06.17.02: Các đặc tả về cách thức hệ điều hành ngăn tất cả toán tử và các tiến trình đang chạy sửa đổi các tiến trình mật mã đang chạy (ví dụ: nạp và thực thi các ảnh chương trình mật mã) khi không ở chế độ bảo trì phải tuân theo các vai trò hoặc các quyền và dịch vụ của các nhóm được quy định rõ như được định nghĩa trong chính sách an toàn.
Các thủ tục kiểm thử cần thiết
TE06.17.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp bằng cách kiểm tra các cơ chế điều khiển hệ điều hành, rằng hệ điều hành được cấu hình để ngăn chặn tất cả toán tử và các tiến trình đang chạy khỏi việc sửa đổi các tiến trình mật mã đang chạy (tức là nạp và thực thi các ảnh chương trình mật mã) khi không ở chế độ bảo trì.
TE06.17.02: Kiểm thử viên phải xác minh xem các vai trò hoặc các quyền và dịch vụ của các nhóm được quy định rõ như trong chính sách an toàn là tuân theo cách thức hệ điều hành được cấu hình để ngăn chặn tất cả toán tử và các tiến trình đang chạy khỏi việc sửa đổi các tiến trình mật mã đang chạy (tức là nạp và thực thi các ảnh chương trình mật mã) khi không ở chế độ bảo trì.
TE06.17.03: Kiểm thử viên phải cấu hình các cơ chế điều khiển hệ điều hành để ngăn tất cả toán tử và các tiến trình đang chạy khỏi việc sửa đổi các tiến trình mật mã đang chạy (tức là nạp và thực thi các ảnh chương trình mật mã) khi không ở chế độ bảo trì. Kiểm thử viên phải đảm nhiệm vai trò điều hành và xác minh rằng họ không thể sửa đổi các tiến trình mật mã đang chạy (tức là nạp và thực thi các ảnh chương trình mật mã) khi không ở chế độ bảo trì. Kiểm thử viên phải xác minh rằng các tiến trình đang chạy được ngăn không cho sửa đổi các tiến trình mật mã đang chạy (tức là nạp và thực thi các ảnh chương trình mật mã) khi không ở chế độ bảo trì.
AS06.18: (Môi trường hoạt động – Mức 2)
Hệ điều hành phải ngăn các tiến trình trong vai trò người dùng hoặc nhóm người sử dụng truy cập vào đọc hoặc ghi vào SSP thuộc sở hữu của các tiến trình khác và vào các SSP hệ thống.
Thông tin cần thiết từ nhà cung cấp
VE06.18.01: Nhà cung cấp phải cung cấp tài liệu hệ điều hành mô tả về cách thức hệ điều hành ngăn cản các tiến trình trong vai trò người dùng hoặc nhóm người sử dụng truy cập vào đọc hoặc ghi vào SSP thuộc sở hữu của các tiến trình khác và vào các SSP hệ thống.
VE06.18.02: Đặc tả về cách thức hệ điều hành ngăn cản các tiến trình trong vai trò người sử dụng hoặc nhóm người sử dụng truy cập vào đọc hoặc ghi vào SSP thuộc sở hữu của các tiến trình khác và vào các SSP hệ thống phải tuân theo vai trò hoặc các quyền và dịch vụ của các nhóm được quy định rõ như được định nghĩa trong chính sách an toàn.
Các thủ tục kiểm thử cần thiết
TE06.18.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp bằng cách kiểm tra các cơ chế điều khiển hệ điều hành rằng hệ điều hành được cấu hình để ngăn cản các tiến trình trong vai trò người dùng hoặc nhóm người sử dụng truy cập vào đọc hoặc ghi các SSP thuộc sở hữu của các tiến trình khác và vào các SSP hệ thống.
TE06.18.02: Kiểm thử viên phải xác minh rằng các quyền và dịch vụ của các nhóm được quy định rõ trong chính sách an toàn tuân theo cách thức hệ điều hành được cấu hình để ngăn các tiến trình trong các vai trò người dùng hoặc nhóm người sử dụng truy cập vào đọc hoặc ghi các SSP thuộc sở hữu của các tiến trình khác và vào các SSP hệ thống.
TE06.18.03: Kiểm thử viên phải cấu hình các cơ chế điều khiển hệ điều hành để ngăn các tiến trình trong vai trò người dùng hoặc nhóm người sử dụng truy cập vào đọc hoặc ghi các SSP do các quá trình khác và các hệ thống SSP. Kiểm thử viên phải xác minh rằng các tiến trình đang chạy trong vai trò người dùng hoặc các nhóm người sử dụng không được tiếp cận đọc hoặc ghi vào các SSP do các quá trình khác và các hệ thống SSP.
AS06.19: (Môi trường hoạt động – Mức 2)
Cấu hình của hệ điều hành đáp ứng các yêu cầu trên {AS06.16 đến AS06.181} phải được quy định rõ trong tài liệu hướng dẫn quản trị viên.
Thông tin cần thiết từ nhà cung cấp
VE06.19.01: Nhà cung cấp phải cung cấp tài liệu hướng dẫn quản trị viên mô tả về cách thức hệ điều hành được cấu hình để đáp ứng các yêu cầu trong AS06.16 đến AS06.18.
Các thủ tục kiểm thử cần thiết
TE06.19.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu hướng dẫn quản trị viên mô tả cách thức hệ điều hành được cấu hình để đáp ứng các yêu cầu trong AS06.16 đến AS06.18.
AS06.20: (Môi trường hoạt động – Mức 2)
Tài liệu hướng dẫn quản trị viên phải chỉ ra hệ điều hành phải được cấu hình như đã quy định rõ trong {AS06.16 đến AS06.18} sao cho nội dung của mô-đun được xem xét bảo vệ.
Thông tin cần thiết từ nhà cung cấp
VE06.20.01: Nhà cung cấp phải cung cấp tài liệu hướng dẫn quản trị viên quy định rõ hệ điều hành phải được cấu hình theo AS06.16 đến AS06.18 sao cho các nội dung mô-đun được xem xét bảo vệ.
Các thủ tục kiểm thử cần thiết
TE06.20.01: Kiểm thử viên phải xác minh rằng nhà cung cấp đã cung cấp tài liệu hướng dẫn quản trị viên quy định rõ hệ điều hành phải được cấu hình theo AS06.16 đến AS06.18 sao cho nội dung mô-đun được xem xét bảo vệ.
AS06.21: (Môi trường hoạt động – Mức 2)
Cơ chế định danh và xác thực cho hệ điều hành phải đáp ứng các yêu cầu của tiểu mục 7.4.3 {TCVN 11295:2016} và được quy định trong chính sách an toàn của mô-đun.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt. Được kiểm tra như là một phần của AS06.24 đến AS06.28.
AS06.22: (Môi trường hoạt động – Mức 2)
Tất cả phần mềm mật mã, SSP, thông tin điều khiển và thông tin trạng thái phải nằm dưới sự điều khiển của {một hệ điều hành có tối thiểu các thuộc tính sau đây}.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt. Được kiểm tra như là một phần của AS06.24 đến AS06.28.
AS06.23: (Môi trường hoạt động – Mức 2)
{Tất cả phần mềm mật mã, SSP, thông tin điều khiển và thông tin trạng thái phải nằm dưới sự điều khiển của} một hệ điều hành phải có ít nhất các thuộc tính sau.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt. Được kiểm tra như là một phần của AS06.24 đến AS06.28.
AS06.24: (Môi trường hoạt động – Mức 2)
Hệ điều hành phải cung cấp cơ chế kiểm thử với ngày và giờ của mỗi sự kiện được kiểm thử.
CHÚ THÍCH Một giả định của khẳng định này là mô-đun mật mã đang sử dụng cơ chế kiểm thử do hệ điều hành cung cấp để kiểm tra các sự kiện đã được quy định. Nó không đủ để phần mềm mô-đun mật mã sử dụng tệp khác làm nhật ký kiểm tra, dù được bảo vệ như thế nào.
Thông tin cần thiết từ nhà cung cấp
VE06.24.01: Nhà cung cấp phải cung cấp tài liệu hệ điều hành mô tả về cơ chế kiểm tra được cung cấp bởi hệ điều hành và cách thức mỗi sự kiện được đánh dấu bằng ngày và giờ.
Các thủ tục kiểm thử cần thiết
TE06.24.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp bằng cách kiểm tra hệ điều hành về cơ chế kiểm thử được cung cấp và mỗi sự kiện được đánh dấu bằng ngày và giờ.
AS06.25: (Môi trường hoạt động – Mức 2)
Mô-đun mật mã phải không bao gồm các SSP như một phần của hồ sơ kiểm thử.
Thông tin cần thiết từ nhà cung cấp
VE06.25.01: Nhà cung cấp phải cung cấp tài liệu hệ điều hành mô tả về các dịch vụ của mô-đun mật mã đưa ra hồ sơ kiểm thử cho cơ chế kiểm thử của hệ điều hành.
Các thủ tục kiểm thử cần thiết
TE06.25.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp bằng cách kiểm tra các dịch vụ của mô-đun mật mã đưa ra hồ sơ kiểm thử cho cơ chế kiểm thử của hệ điều hành mà không có SSP nào được cung cấp trong hồ sơ kiểm thử.
TE06.25.02: Kiểm thử viên phải thực hiện các dịch vụ được cung cấp trong hồ sơ kiểm thử của mô-đun và kiểm tra các bản ghi kiểm thử của hệ điều hành để xác minh rằng không có SSP nào được cung cấp.
AS06.26: (Môi trường hoạt động – Mức 2)
Mô-đun mật mã phải cung cấp các sự kiện sau đây được ghi lại bởi cơ chế kiểm thử của hệ điều hành:
– Sửa đổi, truy cập, xóa và bổ sung các dữ liệu mật mã và SSP;
– Cố gắng cung cấp đầu vào không hợp lệ cho các hàm của chuyên viên mật mã;
– Bổ sung hoặc xóa một người vận hành đến từ vai trò của chuyên viên mật mã (nếu những vai trò đó được quản lý bởi mô-đun mật mã);
– Sử dụng hàm chuyên viên mật mã có liên quan đến an toàn;
– Yêu cầu truy cập dữ liệu xác thực liên quan đến mô-đun mật mã;
– Sử dụng cơ chế xác thực (ví dụ: đăng nhập) liên kết với mô-đun mật mã; và
– Yêu cầu rõ ràng để đảm nhận vai trò của chuyên viên mật mã.
Thông tin cần thiết từ nhà cung cấp
VE06.26.01: Nhà cung cấp phải cung cấp tài liệu hệ điều hành mô tả các sự kiện mô-đun mật mã được cung cấp và ghi lại bởi cơ chế kiểm thử của hệ điều hành.
Các thủ tục kiểm thử cần thiết
TE06.26.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp bằng cách kiểm tra các dịch vụ của mô-đun mật mã mà ghi lại sự kiện kiểm thử cho cơ chế kiểm thử của hệ điều hành, danh sách các sự kiện đã nêu trong AS06.26 {sửa đổi, truy cập, xóa và bổ sung các dữ liệu mật mã và SSP; Cố gắng cung cấp đầu vào không hợp lệ cho các chức năng chuyên viên mật mã; Bổ sung hoặc xóa người vận hành từ vai trò của chuyên viên mật mã (nếu những vai trò đó được quản lý bởi mô–đun mật mã); Sử dụng các hàm chuyên viên mật mã có liên quan đến an toàn; Yêu cầu truy cập dữ liệu xác thực kết hợp với mô-đun mật mã; Sử dụng cơ chế xác thực (ví dụ: đăng nhập) liên kết với mô-đun mật mã và các yêu cầu rõ ràng để đảm nhận vai trò chuyên viên mật mã} được cung cấp bởi mô-đun mật mã để ghi sự kiện.
TE06.26.02: Kiểm thử viên phải thực hiện các dịch vụ của mô-đun cung cấp bản ghi sự kiện kiểm thử và kiểm tra các bản ghi kiểm thử của hệ điều hành để xác minh rằng các sự kiện trong AS06.26 {sửa đổi, truy cập, xóa và bổ sung các dữ liệu mật mã và SSP; cố gắng cung cấp đầu vào không hợp lệ cho các chức năng chuyên viên mật mã; Bổ sung hoặc xóa người vận hành từ vai trò của chuyên viên mật mã (nếu những vai trò đó được quản lý bởi mô-đun mật mã); Việc sử dụng các hàm chuyên viên mật mã có liên quan đến an toàn; Yêu cầu truy cập dữ liệu xác thực kết hợp với mô-đun mật mã; Sử dụng cơ chế xác thực (ví dụ: đăng nhập) liên kết với mô-đun mật mã và các yêu cầu rõ ràng để đảm nhận vai trò chuyên viên mật mã} được ghi lại.
CHÚ THÍCH Kiểm thử viên không phải xác minh cơ chế kiểm thử được cung cấp bởi hệ điều hành và được quy định bởi nhà cung cấp.
AS06.27: (Môi trường hoạt động – Mức 2)
Cơ chế kiểm thử của hệ điều hành phải có khả năng kiểm tra các sự kiện liên quan đến hệ điều hành sau đây:
– Tất cả người vận hành truy cập vào dữ liệu kiểm thử được lưu trữ trong sổ kiểm thử để đọc hoặc ghi;
– Truy cập vào các tệp được sử dụng bởi mô-đun mật mã để lưu trữ dữ liệu mật mã hoặc SSP;
– Bổ sung hoặc xóa bỏ một toán tử đến và đi từ vai trò của chuyên viên mật mã (nếu những vai trò đó được quản lý bởi môi trường hoạt động);
– Yêu cầu sử dụng cơ chế quản lý dữ liệu xác thực;
– Cố gắng sử dụng chức năng kênh tin cậy và theo yêu cầu đã được cấp, khi kênh tin cậy được hỗ trợ ở mức an toàn này; và
– Định danh người khởi tạo và mục đích của kênh tin cậy khi kênh tin cậy được hỗ trợ ở mức an toàn này.
Thông tin cần thiết từ nhà cung cấp
VE06.27.01: Nhà cung cấp phải cung cấp tài liệu hệ điều hành mô tả các sự kiện của hệ điều hành được cung cấp và ghi lại bởi cơ chế kiểm thử của hệ điều hành.
Các thủ tục kiểm thử cần thiết
TE06.27.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp bằng cách kiểm tra tài liệu của hệ điều hành, rằng hệ điều hành cung cấp danh sách các sự kiện được quy định rõ trong AS06.27 {tất cả người vận hành truy cập vào dữ liệu kiểm thử được lưu trữ trong hồ sơ kiểm thử để đọc hoặc ghi; Truy cập vào các tệp được sử dụng bởi mô-đun mật mã để lưu trữ các dữ liệu mật mã hoặc các SSP; Bổ sung hoặc xóa một toán tử đến và đi từ vai trò của chuyên viên mật mã (nếu những vai trò đó được quản lý bởi môi trường hoạt động); cố gắng sử dụng chức năng kênh tin cậy và yêu cầu đã được cấp, khi kênh tin cậy được hỗ trợ ở mức an toàn này và định danh người khởi tạo và mục đích của kênh tin cậy khi kênh tin cậy được hỗ trợ ở mức an toàn này} như là bản ghi sự kiện kiểm thử đến cơ chế kiểm thử của hệ điều hành.
TE06.27.02: Kiểm thử viên phải thực hiện các dịch vụ của mô-đun mật mã để xác minh rằng các sự kiện của hệ điều hành trong AS06.27 {tất cả người vận hành truy cập vào dữ liệu kiểm thử được lưu trữ trong hồ sơ kiểm thử để đọc hoặc ghi; Truy cập vào các tập tin được sử dụng bởi mô-đun mật mã để lưu trữ dữ liệu mật mã hoặc SSP; Bổ sung hoặc xóa một toán tử đến và đi từ vai trò chuyên viên mật mã (nếu những vai trò đó được quản lý bởi môi trường hoạt động); Yêu cầu sử dụng các cơ chế quản lý dữ liệu xác thực, cố gắng sử dụng chức năng kênh tin cậy và yêu cầu được cấp, khi kênh tin cậy được hỗ trợ ở mức an toàn này và định danh người khởi tạo và mục đích của kênh tin cậy khi kênh tin cậy được hỗ trợ ở mức an toàn này} đã được ghi lại.
CHÚ THÍCH Kiểm thử viên không phải xác minh cơ chế kiểm tra được cung cấp bởi hệ điều hành và được quy định bởi nhà cung cấp.
AS06.28: (Môi trường hoạt động – Mức 2)
Hệ điều hành phải được cấu hình để ngăn cản những người vận hành không có quyền được quy định trong chính sách an toàn nhằm sửa đổi phần mềm mô-đun mật mã và dữ liệu kiểm thử được lưu trữ trong môi trường hoạt động của mô-đun mật mã.
Thông tin cần thiết từ nhà cung cấp
VE06.28.01: Nhà cung cấp phải cung cấp tài liệu hệ điều hành quy định cách thức hệ điều hành được cấu hình để ngăn những người vận hành không có quyền được quy định trong chính sách an toàn nhằm sửa đổi phần mềm mô-đun mật mã và dữ liệu kiểm thử được lưu trữ trong môi trường hoạt động của mô-đun mật mã.
Các thủ tục kiểm thử cần thiết
TE06.28.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp bằng cách kiểm tra các cấu hình điều khiển hệ điều hành, rằng hệ điều hành được cấu hình để ngăn những người vận hành không có quyền được quy định trong chính sách an toàn nhằm sửa đổi phần mềm mô-đun mật mã và dữ liệu kiểm thử được lưu trữ trong môi trường hoạt động của mô-đun mật mã.
TE06.28.02: Kiểm thử viên phải cấu hình các điều khiển hệ điều hành để ngăn những người vận hành không có quyền được quy định trong chính sách an toàn nhằm sửa đổi phần mềm mô-đun mật mã và dữ liệu kiểm thử được lưu trữ trong môi trường hoạt động của mô-đun mật mã.
TE06.28.03: Kiểm thử viên phải có các đặc quyền được quy định trong chính sách an toàn để cho phép sửa đổi phần mềm mô-đun mật mã và dữ liệu kiểm thử được lưu trữ trong môi trường hoạt động của mô-đun mật mã và xác minh rằng có thể sửa đổi.
TE06.28.04: Kiểm thử viên phải có các đặc quyền được quy định trong chính sách an toàn không cho phép sửa đổi phần mềm mô-đun mật mã và dữ liệu kiểm thử được lưu trữ trong môi trường hoạt động của mô-đun mật mã và xác minh rằng không thể sửa đổi được.
AS06.29: (Môi trường hoạt động – Mức 2)
Chỉ cho phép các hệ điều hành được cấu hình để đáp ứng các yêu cầu an toàn nêu trên {AS06.05 đến AS06.28} ở mức an toàn này, cho dù mô-đun mật mã hoạt động trong một chế độ hoạt động được phê duyệt hay không.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt. Được kiểm tra như là một phần của AS06.05 đến AS06.28.
6.7 An toàn vật lý
6.7.1 Các biểu hiện an toàn vật lý
AS07.01: (An toàn vật lý – Mức 1, 2, 3 và 4)
Mô-đun mật mã phải sử dụng các cơ chế an toàn vật lý để hạn chế truy cập vật lý trái phép vào nội dung của mô-đun và để ngăn cản việc sử dụng hoặc sửa đổi mô-đun trái phép (bao gồm cả việc thay thế toàn bộ mô-đun) khi cài đặt.
Thông tin cần thiết từ nhà cung cấp
VE07.01.01: Tài liệu của nhà cung cấp phải mô tả các cơ chế an toàn vật lý phù hợp do mô-đun thực hiện. Nội dung của mô-đun bao gồm tất cả phần cứng, phần mềm, phần sụn và dữ liệu (bao gồm CSP dạng rõ) được bảo vệ.
Các thủ tục kiểm thử cần thiết
TE07.01.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp mô tả các cơ chế an toàn vật lý phù hợp được sử dụng bởi mô-đun này.
TE07.01.02: Kiểm thử viên phải xác minh rằng các cơ chế an ninh vật lý đã ghi lại được thực hiện.
AS07.02: (An toàn vật lý – Mức 1, 2,3 và 4)
Tất cả phần cứng, phần mềm, phần sụn và các thành phần dữ liệu, các SSP trong ranh giới mật mã phải được bảo vệ.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt.
AS07.03: (An toàn vật lý – Mức 1, 2, 3 và 4)
Các yêu cầu của mục này phải được áp dụng cho các mô-đun phần cứng và phần sụn, và các thành phần phần cứng và phần sụn của mô-đun lai ghép.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt.
AS07.04: (An toàn vật lý – Mức 1, 2,3 và 4)
Các yêu cầu của mục này phải được áp dụng tại ranh giới vật lý xác định của mô-đun.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt.
AS07.05: (An toàn vật lý – Mức 1, 2,3 và 4)
Tùy thuộc vào cơ chế an toàn vật lý của mô-đun mật mã, những nỗ lực trái phép để truy cập vật lý, sử dụng hoặc sửa đổi phải được phát hiện với xác suất cao:
– Sau một nỗ lực bởi các dấu hiệu hữu hình để lại (tức là giả mạo chứng cứ);
Và/hoặc
– Trong thời gian truy cập
{và các hành động tức thì phù hợp phải được mô-đun mật mã thực hiện để bảo vệ các CSP}.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt.
AS07.06: (An toàn vật lý – Mức 1, 2, 3 và 4)
{Kết hợp với AS07.05:} Các hành động tức thì phù hợp phải được mô-đun mật mã thực hiện để bảo vệ CSP)
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt.
AS07.07: (An toàn vật lý – Mức 1, 2, 3 và 4)
Các yêu cầu tài liệu quy định tại tiểu mục A.2.7 {TCVN 11295:2016} phải được cung cấp.
CHÚ THÍCH Khẳng định này không kiểm tra riêng biệt.
6.7.2 Các yêu cầu chung đối với an toàn vật lý
AS07.08: (An toàn vật lý – Mức 1, 2, 3 và 4)
Các yêu cầu sau đây phải áp dụng cho tất cả dạng biểu hiện vật lý.
CHÚ THÍCH Được kiểm tra như một phần của AS07.09 đến AS07.33.
AS07.09: (An toàn vật lý – Mức 1, 2, 3 và 4)
Tài liệu phải quy định rõ những biểu hiện vật lý và mức độ an toàn mà các cơ chế an toàn vật lý của mô-đun mật mã được thực hiện.
Thông tin cần thiết từ nhà cung cấp
VE07.09.01: Tài liệu của nhà cung cấp phải quy định rõ những biểu hiện vật lý của mô-đun: mô-đun mật mã đơn chip, mô-đun mật mã nhúng đa chip hoặc mô-đun mật mã độc lập đa chip như được định nghĩa trong 7.7.1 của TCVN 11295:2016.
Biểu hiện vật lý cụ thể phải tuân theo thiết kế vật lý mô-đun. Tài liệu của nhà cung cấp cũng phải nêu rõ mức độ an toàn (1 đến 4) mà mô-đun này dự định đáp ứng.
Các thủ tục kiểm thử cần thiết
TE07.09.01: Kiểm thử viên phải xác minh xem nhà cung cấp đã quy định rằng mô-đun mật mã hoặc là mô-đun đơn chip, mô-đun nhúng đa chip hoặc mô-đun độc lập đa chip như được định nghĩa trong 7.7.1 của TCVN 11295:2016.
Kiểm thử viên phải thực hiện khẳng định độc lập rằng những biểu hiện vật lý đáp ứng một trong ba tiêu chí được quy định rõ bên dưới. Các đặc tính cơ bản của ba biểu hiện vật lý và một số ví dụ phổ biến được tóm tắt dưới đây.
- a) Mô-đun mật mã đơn Đặc điểm: Một mạch tích hợp đơn (IC), được sử dụng như một thiết bị độc lập hoặc được nhúng trong một số mô-đun hoặc vỏ khác có thể không được bảo vệ về mặt vật lý. Chip đơn phải bao gồm một đế bán dẫn có thể được phủ một vật liệu bên ngoài đồng nhất như nhựa hoặc gốm, và các kết nối đầu vào/đầu ra bên ngoài. Ví dụ: Các chip IC đơn, thẻ thông minh với một chip IC đơn hoặc các hệ thống khác có một chip IC đơn để thực thi các chức năng mật mã.
- b) Mô-đun mật mã nhúng đa Đặc điểm: Hai hoặc nhiều chip IC kết nối với nhau và được nhúng trong một số sản phẩm hoặc vỏ khác có thể không được bảo vệ về mặt vật lý.
- c) Mô-đun mật mã độc lập đa Đặc điểm: Hai hoặc nhiều chip IC kết nối với nhau và được nhúng trong một vỏ được bảo vệ hoàn toàn về vật lý.
TE07.09.02: Kiểm thử viên phải xác minh rằng các tài liệu của nhà cung cấp quy định mức độ an toàn tương ứng với mô-đun. Kiểm thử viên phải thực hiện việc quy định độc lập mức độ an toàn tương ứng với mô-đun.
AS07.10: (An toàn vật lý – Mức 1, 2,3 và 4)
Bốt cứ khi nào thực hiện xóa trắng cho mục đích an toàn vật lý, việc xóa trắng phải xảy ra trong một khoảng thời gian đủ nhỏ để ngăn chặn việc phục hồi các dữ liệu nhạy cảm giữa thời gian phát hiện và xóa trắng thực tế.
Thông tin cần thiết từ nhà cung cấp
VE07.10.01 : Tài liệu của nhà cung cấp phải quy định rõ thời gian phản hồi xóa trắng sau khi phát hiện giả mạo.
Các thủ tục kiểm thử cần thiết
TE07.10.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp mô tả thời gian phản hồi xóa trắng sau khi phát hiện giả mạo.
TE07.10.02: Kiểm thử viên phải xác minh rằng cơ chế phản hồi xóa trắng được thực thi như đã quy định.
AS07.11: (An toàn vật lý – Mức 1, 2, 3 và 4)
{Nếu một mô-đun bao gồm một vai trò bảo trì đòi hỏi sự truy cập vật lý vào nội dung của mô-đun hoặc nếu mô-đun được thiết kế để cho phép truy cập vật lý (ví dụ: bởi nhà cung cấp mô-đun hoặc cá nhân được ủy quyền khác)}, thì phải quy định giao diện truy cập bảo trì.
Thông tin cần thiết từ nhà cung cấp
VE07.11.01: Tài liệu của nhà cung cấp phải mô tả giao diện truy cập bảo trì được mô-đun sử dụng.
Các thủ tục kiểm thử cần thiết
TE07.11.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp mô tả giao diện truy cập bảo trì.
TE07.11.02: Kiểm thử viên phải xác minh rằng tài liệu và thực hiện của nhà cung cấp là nhất quán.
AS07.12: (An toàn vật lý – Mức 1, 2, 3 và 4)
{Nếu một mô-đun bao gồm vai trò bảo trì đòi hỏi sự truy cập vật lý vào nội dung của mô-đun hoặc nếu mô-đun được thiết kế để cho phép truy cập vật lý (ví dụ: bởi nhà cung cấp mô-đun hoặc cá nhân được ủy quyền khác)}, thì giao diện truy cập bảo trì phải bao gồm tất cả các đường dẫn truy cập vật lý đến nội dung của mô-đun mật mã, bao gồm mọi vỏ bọc hoặc cửa ra có thể tháo rời.
Thông tin cần thiết từ nhà cung cấp
VE07.12.01: Tài liệu của nhà cung cấp phải quy định rõ giao diện truy cập bảo trì, bao gồm mọi vỏ bọc hoặc cửa ra có thể tháo rời.
Các thủ tục kiểm thử cần thiết
TE07.12.01: Kiểm thử viên phải xác minh trong tài liệu của nhà cung cấp rằng có một giao diện truy cập bảo trì được cung cấp, bao gồm mọi vỏ bọc hay cửa ra có thể tháo rời.
AS07.13: (An toàn vật lý – Mức 1, 2,3 và 4)
{Nếu một mô-đun bao gồm vai trò bảo trì đòi hỏi sự truy cập vật lý vào nội dung của mô-đun hoặc nếu mô-đun được thiết kế để cho phép truy cập vật lý (ví dụ: bởi nhà cung cấp mô-đun hoặc cá nhân được ủy quyền khác)}, thì mọi vỏ bọc hoặc cửa ra có thể tháo rời bao gồm bên trong giao diện truy cập bảo trì phải được bảo vệ bằng các cơ chế an toàn vật lý thích hợp.
Thông tin cần thiết từ nhà cung cấp
VE07.13.01: Tài liệu của nhà cung cấp phải quy định rõ bảo vệ vật lý sao cho mọi vỏ bọc hay cửa ra có thể tháo rời bao gồm bên trong giao diện truy cập bảo trì được bảo vệ bằng cách sử dụng các cơ chế an toàn vật lý thích hợp.
Các thủ tục kiểm thử cần thiết
TE07.13.01: Kiểm thử viên phải đảm bảo rằng mọi vỏ bọc hoặc cửa ra có thể tháo rời bao gồm bên trong giao diện truy cập bảo trì được bảo vệ bằng cách sử dụng các cơ chế an toàn vật lý thích hợp.
AS07.14: (An toàn vật lý – Mức 1, 2, 3 và 4)
Các yêu cầu sau đây phải áp dụng cho tất cả mô-đun mật mã với mức an toàn 1.
CHÚ THÍCH Được kiểm tra như là một phần của AS07.15 đến AS07.16.
AS07.15: (An toàn vật lý – Mức 1, 2, 3 và 4)
Mô-đun mật mã phải bao gồm các thành phần được gia cố bền vững mà chúng bao gồm các tiêu chuẩn kỹ thuật kèm theo (ví dụ: một lớp phủ bảo toàn hình dạng hoặc một lớp phủ niêm phong được áp dụng trên toàn bộ kết cấu mạch của mô-đun để bảo vệ chống lại phá hủy môi trường hoặc phá hủy vật lý khác).
Thông tin cần thiết từ nhà cung cấp
VE07.15.01: Mô-đun phải bao gồm tiêu chuẩn, chất lượng sản xuất IC, được thiết kế để đáp ứng các yêu cầu kỹ thuật về điện, nhiệt độ, độ tin cậy, sốc và độ rung… Mô-đun này phải sử dụng các kỹ thuật thụ động tiêu chuẩn cho toàn bộ chip. Tài liệu của nhà cung cấp phải mô tả chất lượng IC. Nếu IC được sử dụng mà không phải là một thiết bị tiêu chuẩn, thiết kế thụ động của nó cũng phải được mô tả.
Các thủ tục kiểm thử cần thiết
TE07.15.01: Kiểm thử viên phải xác minh bằng kiểm tra từ tài liệu của nhà cung cấp, rằng mô-đun này chứa các mạch tích hợp tiêu chuẩn với vật liệu đồng nhất bên ngoài và đầu nối tiêu chuẩn. Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng các chip trong mô-đun này là lớp thương mại liên quan đến điện áp và dải điện áp, nhiệt độ, độ tin cậy, sốc và rung động.
TE07.15.02: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng mô-đun này có áp dụng tiêu chuẩn thụ động hay không. Kỹ thuật thụ động phải là một lớp niêm phong được áp dụng trên các mạch chip để bảo vệ chống lại tác động từ môi trường xung quanh. Nếu không sử dụng tiêu chuẩn thụ động, thì tài liệu phải cung cấp thông tin để xác định lý do tại sao nó tương đương với cách tiếp cận tiêu chuẩn thụ động.
AS07.16: (An toàn vật lý – Mức 1, 2, 3 và 4)
Khi thực hiện bào trì vật lý, phải thực hiện xóa trắng theo thủ tục của người vận hành hoặc tự động bởi mô-đun mật mã.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS07.10.
AS07.17: (An toàn vật lý – Mức 1, 2, 3 và 4)
Yêu cầu sau đây phải áp dụng cho tất cả mô-đun mật mã có mức an toàn 2.
CHÚ THÍCH Được kiểm tra như một phần của AS07.18 đến AS07.20.
AS07.18: (An toàn vật lý – Mức 2, 3 và 4)
Mô-đun mật mã phải cung cấp bằng chứng về giả mạo (ví dụ: trên lớp phủ, vỏ bọc và con dấu) khi truy cập vật lý vào mô-đun.
CHÚ THÍCH Khẳng định này được kiểm tra như một phần của AS07.34 và AS07.35 đối với các phương án đơn chip, AS07.44 và AS07.45 đối với các phương án nhúng đa chip, AS07.62 và AS07.63 cho các phương án độc lập đa chip.
AS07.19: (An toàn vật lý – Mức 2, 3 và 4)
Vật liệu, lớp phủ hoặc vỏ bọc giả mạo phải hoặc đục hoặc mờ trong quang phổ nhìn thấy (tức là ánh sáng có dải bước sóng từ 400nm đến 750nm) để ngăn chặn việc thu thập thông tin về hoạt động nội bộ của các khu vực trọng yếu của mô-đun.
Thông tin cần thiết từ nhà cung cấp
VE07.19.01: Tài liệu của nhà cung cấp phải quy định rõ rằng vật liệu, lớp phủ hoặc vỏ bọc giả mạo phải đục hoặc mờ trong dải phổ nhìn thấy được.
Các thủ tục kiểm thử cần thiết
TE07.19.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng vật liệu, lớp phủ hoặc vỏ bọc giả mạo là đục hoặc mờ trong dải phổ nhìn thấy được.
AS07.20: (An toàn vật lý – Mức 2, 3 và 4)
Nếu mô-đun mật mã chứa lỗ hoặc khe thông gió, thì mô-đun phải được xây dựng theo cách để ngăn việc thu thập thông tin về cấu trúc nội bộ hoặc các bộ phận của mô-đun bằng cách quan sát trực tiếp sử dụng các nguồn sáng nhân tạo trong quang phổ của cấu trúc nội bộ hoặc các thành phần mô-đun.
Thông tin cần thiết từ nhà cung cấp
VE07.20.01 : Nếu mô-đun được chứa trong một lớp phủ hoặc vỏ bọc có chứa lỗ hoặc khe thông gió; thì chúng phải được xây dựng theo cách ngăn cản việc thu thập thông tin về cấu trúc nội bộ hoặc các thành phần mô-đun bằng cách quan sát trực tiếp sử dụng các nguồn ánh sáng nhân tạo trong quang phổ của cấu trúc nội bộ hoặc các thành phần mô-đun. Tài liệu của nhà cung cấp phải mô tả cách tiếp cận thiết kế vật lý ngăn ngừa sự quan sát như vậy.
Các thủ tục kiểm thử cần thiết
TE07.20.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp cho dù mô- đun có lớp phủ hoặc vỏ bọc với lỗ, khe thông gió, hoặc các lỗ khác, và nếu có, cho dù chúng được xây dựng để ngăn cản việc thu thập thông tin về cấu trúc nội bộ của mô-đun hoặc các thành phần của mô-đun bằng cách quan sát trực tiếp sử dụng các nguồn ánh sáng nhân tạo trong quang phổ của cấu trúc nội bộ hoặc các thành phần mô-đun.
AS07.21: (An toàn vật lý – Mức 3 và 4)
Các yêu cầu sau đây phải áp dụng cho tất cả mô-đun mật mã có mức an toàn 3.
CHÚ THÍCH Được kiểm tra như là một phần của AS07.22 đến AS07.28.
AS07.22: (An toàn vật lý – Mức 3 và 4)
Nếu mô-đun mật mã có chứa bất kỳ cửa ra vào hoặc vỏ bọc có thể tháo rời hoặc nếu một giao diện truy cập bảo trì được quy định thì mô-đun phải có phản ứng giả mạo và khả năng xóa trắng.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS07.13 đối với các yêu cầu chung, AS07.38 cho các phương án đơn chip, AS07.50 cho các phương án đa chip và AS07.62 cho các phương án độc lập đa chip.
AS07.23: (An toàn vật lý – Mức 3 và 4)
Các phản ứng giả mạo và khả năng xóa trắng phải ngay lập tức xóa tất cả SSP không được bảo vệ khi mở cửa, mở vỏ hoặc khi giao diện truy cập bảo trì được truy cập.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS07.13 đối với các yêu cầu chung, AS07.38 cho các phương án đơn chip, AS07.50 cho các phương án nhúng nhiều chip và AS07.62 cho các phương án độc lập đa chip.
AS07.24: (An toàn vật lý – Mức 3 và 4)
Các phản ứng giả mạo và khả năng xóa trắng phải vẫn hoạt động khi các SSP không được bảo vệ được chứa trong mô-đun mật mã.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS07.38 đối với các phương án đơn chip, AS07.50 cho các ứng dụng nhúng nhiều chip, và AS07.65 cho các phương án độc lập đa chip.
AS07.25: (An toàn vật lý – Mức 3 và 4)
Nếu mô-đun mật mã chứa các lỗ hoặc khe thông gió, thì mô-đun này phải được xây dựng theo cách ngăn chặn việc thăm dò vật lý không bị phát hiện bên trong lớp vỏ (ví dụ: ngăn chặn thăm dò bằng một đầu dò khớp nối đơn).
Thông tin cần thiết từ nhà cung cấp
VE07.25.01: Nếu mô-đun được chứa trong một tấm phủ hoặc lớp vỏ có chứa bất kỳ lỗ hoặc khe thông gió; thì chúng phải được xây dựng theo cách ngăn chặn việc thăm dò vật lý không bị phát hiện bên trong lớp vỏ. Tài liệu của nhà cung cấp phải mô tả cách tiếp cận thiết kế vật lý thông gió.
Các thủ tục kiểm thử càn thiết
TE07.25.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp cho dù mô-đun có tấm phủ hoặc lớp vỏ với lỗ, khe thông gió hoặc các lỗ khác, và nếu có, cho dù chúng được xây dựng để ngăn chặn sự dò tìm chưa được phát hiện bên trong vỏ bọc.
AS07.26: (An toàn vật lý – Mức 3 và 4)
Vỏ bọc có độ cứng hoặc bền đồng nhất hoặc không đồng nhất, vật liệu phủ ngoài hoặc bên trong phải đảm bảo tính chịu lực và độ cứng trong phạm vi nhiệt độ hoạt động, lưu trữ và phân phối của mô-đun.
Thông tin cần thiết từ nhà cung cấp
VE07.26.01: Tài liệu của nhà cung cấp phải mô tả độ cứng, vỏ bọc có độ cứng đồng nhất hoặc không đồng nhất, vật liệu phủ ngoài hoặc bên trong và có độ bền tương ứng với thiết kế của mô-đun.
Các thủ tục kiểm thử cần thiết
TE07.26.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp bằng cách kiểm tra mô-đun rằng độ cứng, vỏ bọc có độ cứng đồng nhất hoặc không đồng nhất, vật liệu phũ ngoài hoặc bên trong là loại được thiết kế theo quy định.
AS07.27: (An toàn vật lý – Mức 3 và 4)
Nếu sử dụng con dấu giả mạo để làm giả, chúng phải được đánh số duy nhất hoặc nhận dạng độc lập (ví dụ: băng ghi được đánh số duy nhất hoặc con dấu ba chiều nhận dạng duy nhất).
Thông tin cần thiết từ nhà cung cấp
VE07.27.01 : Nhà cung cấp phải cung cấp đặc tả về con dấu giả mạo.
Các thủ tục kiểm thử cần thiết
TE07.27.01: Kiểm thử viên phải xác minh rằng con dấu giả mạo được đánh số duy nhất hoặc quy định độc lập theo tài liệu.
AS07.28: (An toàn vật lý – Mức 3 và 4)
Mô-đun phải bao gồm các tính năng EFP hoặc trải qua EFT.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS07.73.
AS07.29: (An toàn vật lý – Mức 4)
Yêu cầu sau đây phải áp dụng cho tất cả mô-đun mật mã với mức an toàn 4.
CHÚ THÍCH Được kiểm tra như là một phần của AS07.30 đến AS07.33.
AS07.30: (An toàn vật lý – Mức 4)
Mô-đun mật mã phải được bảo vệ bởi lớp phủ cứng chống trầy xước, hoặc bằng vỏ bọc phát hiện giả mạo với khả năng chống lại sự giả mạo và khả năng xóa trắng.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS07.40 đối với các phương án đơn chip, AS07.52 cho các phương án nhúng nhiều chip và AS07.64 cho các phương án độc lập nhiều chip AS07.30.
AS07.31 : (An toàn vật lý – Mức 4)
Mô-đun này phải bao gồm các tính năng EFP.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS07.74.
AS07.32: (An toàn vật lý – Mức 4)
Mô-đun mật mã phải bảo vệ khỏi sự gây ra lỗi.
Thông tin cần thiết từ nhà cung cấp
VE07.32.01: Tài liệu của nhà cung cấp phải quy định rõ cơ chế bảo vệ khỏi sự gây ra lỗi.
Các thủ tục kiểm thử cần thiết
TE07.32.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp và kiểm tra mô-đun các cơ chế bảo vệ khởi tạo lỗi.
AS07.33: (An toàn vật lý – Mức 4)
Các kỹ thuật giảm thiểu lỗi và các chỉ số giảm thiểu được sử dụng phải được ghi lại theo quy định tại phụ lục B {TCVN 11295:2016}.
Thông tin cần thiết từ nhà cung cấp
VE07.33.01: Tài liệu của nhà cung cấp phải quy định rõ các kỹ thuật giảm thiểu lỗi và các chỉ số giảm thiểu được mô-đun sử dụng.
Các thủ tục kiểm thử cần thiết
TE07.33.01: Kiểm thử viên phải xác minh rằng các kỹ thuật giảm thiểu lỗi và các chỉ số giảm thiểu được mô-đun sử dụng ghi lại theo quy định.
6.7.3 Các yêu cầu an toàn cho mỗi thực thể an toàn vật lý
6.7.3.1 Các mô-đun mật mã đơn chip
CHÚ THÍCH 1 Ngoài các yêu cầu an toàn chung được đặc tả trong 7.7.2 của TCVN 11295:2016, các yêu cầu được đặc tả trong AS07.34 đến AS07.42 được quy định rõ cho các mô-đun mật mã đơn chip.
CHÚ THÍCH 2 Không yêu cầu thêm đối với mức an toàn 1 cho các mô-đun mật mã đơn chip.
AS07.34: (Các mô-đun mật mã đơn chip – Mức 2, 3, và 4)
Những yêu cầu sau được áp dụng đối với các mô-đun mật mã đơn chip cho mức an toàn 2.
CHÚ THÍCH Khẳng định này được kiểm tra như một phần của AS07.35.
AS07.35: (Các mô-đun mật mã đơn chip – Mức 2, 3, và 4)
Mô-đun mật mã phải được bọc với một lớp phủ chống giả mạo (ví dụ: một vật liệu thụ động chống giả mạo hoặc một tấm phủ thụ động chống giả mạo) hoặc được đặt trong một vỏ bọc chống giả mạo để ngăn chặn quan sát trực tiếp, thăm dò, hoặc thao tác của mô-đun và để cung cấp bằng chứng của phép thử để can thiệp hoặc gỡ bỏ mô-đun.
CHÚ THÍCH Yêu cầu này được kết hợp với AS07.18.
Thông tin cần thiết từ nhà cung cấp
VE07.35.01: Tài liệu của nhà cung cấp phải quy định lớp vỏ chống giả mạo và đặc tính của nó.
Các thủ tục kiểm thử cần thiết
TE07.35.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp xem mô-đun được bọc bằng một lớp phủ chống giả mạo hay không. Việc kiểm tra này phải xác minh rằng lớp phủ chống giả mạo bao bọc hoàn toàn mô-đun và ngăn chặn quan sát trực tiếp, thăm dò hoặc thao tác với chip đơn.
AS07.36: (Các mô-đun mật mã đơn chip – Mức 3 và 4)
Các yêu cầu sau đây phải áp dụng đối với mô-đun mật mã đơn chip ở mức an toàn 3.
CHÚ THÍCH Yêu cầu này được kiểm tra trong AS07.37 hoặc AS07.38.
AS07.37: (Các mô-đun mật mã đơn chip – Mức 3 và 4)
{Hoặc} mô-đun mật mã phải được bọc bằng lớp phủ mờ cứng chống giả mạo (ví dụ: lớp phủ ngoài nhựa epoxy mờ cứng thụ động) {hoặc thỏa mãn AS07.38}.
Thông tin cần thiết từ nhà cung cấp
VE07.37.01: Tài liệu của nhà cung cấp phải nêu rõ ràng cách tiếp cận quy định trong AS07.37 được sử dụng để đáp ứng yêu cầu.
VE07.37.02: Tài liệu của nhà cung cấp phải cung cấp các thông tin hỗ trợ thiết kế chi tiết, đặc biệt là loại lớp phủ được sử dụng và đặc tính của nó.
Các thủ tục kiểm thử cần thiết
TE07.37.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng mô-đun được bọc bằng lớp phủ cứng chống giả mạo.
TE07.37.02: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp có đầy đủ thông tin chi tiết về thiết kế, đặc biệt là quy định loại lớp phủ được sử dụng và đặc tính của nó.
TE07.37.03: Kiểm thử viên phải xác minh rằng lớp phủ không thể dễ dàng bị xâm nhập vào sâu bên trong các mạch điện bên dưới và để lại bằng chứng giả mạo. Việc kiểm tra xác minh rằng lớp phủ bọc hoàn toàn mô-đun, làm mờ đục và ngăn cản việc quan sát, thăm dò, hoặc thao tác trực tiếp.
AS07.38: (Các mô-đun mật mã đơn chip – Mức 3 và 4)
{Nếu AS07.37 không thỏa mãn, thì} phải thực hiện lớp bọc {để những nỗ lực loại bỏ hoặc xâm nhập vào lớp bọc có khả năng cao gây ra thiệt hại nghiêm trọng cho mô-đun mật mã (tức là mô-đun không hoạt động)}.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt. Được kiểm tra trong AS07.39.
AS07.39: (Các mô-đun mật mã đơn chip – Mức 3 và 4)
{Nếu AS07.37 không thỏa mãn, thì} {phải thực hiện lớp bọc} để những nỗ lực loại bỏ hoặc xâm nhập vào lớp bọc có khả năng cao gây ra thiệt hại nghiêm trọng cho mô-đun mật mã (tức là mô-đun không hoạt động).
Thông tin cần thiết từ nhà cung cấp
VE07.39.01: Tài liệu của nhà cung cấp phải nêu rõ cách tiếp cận quy định trong AS07.38 được sử dụng để đáp ứng yêu cầu.
VE07.39.02: Tài liệu của nhà cung cấp phải cung cấp thông tin chi tiết hỗ trợ thiết kế, đặc biệt là lớp phủ có chứa bất kỳ cửa ra vào hoặc lớp phủ có thể tháo rời và quy định có giao diện truy cập bảo trì. Lớp phủ phải được thiết kế sao cho những nỗ lực loại bỏ nó phải có khả năng cao gây ra hư hỏng nghiêm trọng cho mạch điện bên trong mô-đun.
VE07.39.03: Tài liệu của nhà cung cấp phải cung cấp thông tin chi tiết hỗ trợ thiết kế nếu vỏ bọc có chứa bất kỳ cửa ra vào hoặc lớp phủ có thể tháo rời, hoặc nếu quy định có một giao diện truy cập bảo trì, thì mô-đun phải nên có phản ứng giả mạo và mạch tự hủy. Mạch điện phải liên tục theo dõi các vỏ bọc và các cửa ra vào, và khi tháo vỏ hoặc cửa ra vào, phải xóa trắng tất cả CSP dạng rõ. Mạch tự hủy phải hoạt động ở bất cứ nơi nào có các CSP dạng rõ được lưu bên trong mô-đun.
Các thủ tục kiểm thử cần thiết
TE07.39.01: Kiểm thử viên phải xác minh rằng tài liệu phải quy định rõ lớp vỏ không thể dễ dàng tháo bỏ và mô-đun có thể chứa các cửa ra vào và lớp vỏ có thể tháo rời hoặc có một giao diện truy cập bảo trì. Nếu lớp vỏ có chứa bất kỳ cửa ra vào hoặc lớp vỏ có thể tháo rời, hoặc nếu quy định có một giao diện truy cập bảo trì, thì kiểm thử viên phải xác minh rằng tài liệu mô tả mô-đun có chứa phản ứng giả mạo và mạch điện tự hủy.
TE07.39.02: Nếu vỏ bọc có nắp đậy có thể tháo rời hoặc cửa ra vào, hoặc nếu quy định có một giao diện truy cập bảo trì, Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng mô-đun này phải xóa sạch tất cả CSP dạng rõ ngay khi một nắp đậy hoặc cửa ra vào bị tháo rời hoặc nếu đăng nhập vào giao diện truy cập bảo trì.
TE07.39.03: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng các phản ứng giả mạo và mạch tự hủy vẫn hoạt động khi các CSP dạng rõ đang được lưu bên trong mô-đun.
TE07.39.04: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng lớp vỏ không thể tháo bỏ hoặc bị xâm nhập mà không có khả năng cao gây hư hỏng nghiêm trọng cho mô-đun.
TE07.39.05: Nếu lớp vỏ bọc có các cửa ra vào hoặc lớp vỏ có thể tháo rời, hoặc nếu quy định có giao diện truy cập bảo trì, kiểm thử viên phải xác minh rằng mô-đun tự hủy tất cả CSP dạng rõ ngay khi có một lớp vỏ hoặc cửa ra vào bị tháo bỏ hoặc nếu có truy cập vào giao diện truy cập bảo trì.
TE07.39.06: Kiểm thử viên phải xác minh rằng lớp vỏ không thể tháo bỏ hoặc bị xâm nhập mà không có khả năng cao gây ra hư hỏng nghiêm trọng cho mô-đun.
AS07.40: (Các mô-đun mật mã đơn chip – Mức 4)
Các yêu cầu sau đây áp dụng đối với mô-đun mật mã đơn chip cho mức an toàn 4.
CHÚ THÍCH Khẳng định này được kiểm tra trong AS07.41 và AS07.42.
AS07.41 : (Các mô-đun mật mã đơn chip – Mức 4)
Mô-đun mật mã được bao phủ bởi lớp phủ cứng chống xâm nhập có đặc tính cứng và có độ bám dính sao cho những cố gắng loại bỏ hoặc tách rời lớp phủ chống xâm nhập từ mô-đun phải có khả năng cao gây ra hư hỏng nghiêm trọng cho mô-đun (tức là mô-đun không hoạt động).
Thông tin cần thiết từ nhà cung cấp
VE07.41.01: Tài liệu của nhà cung cấp phải xác định rõ loại lớp phủ được sử dụng và phải cung cấp các chi tiết về đặc tính của nó, đặc biệt là đặc tính cứng và khả năng chống xâm nhập.
VE07.41.02: Tài liệu của nhà cung cấp phải cung cấp các thông tin chi tiết hỗ trợ thiết kế cho mô-đun khi được bao phủ với lớp phủ cứng mờ chống xâm nhập. Đặc tính cứng và độ bám dính của vật liệu sao cho những cố gắng loại bỏ hoặc tách rời vật liệu từ mô-đun phải có khả năng cao gây ra hư hỏng nghiêm trọng cho mô-đun (tức là mô-đun không hoạt động). Vật liệu không cho phép ánh sáng xuyên qua.
Các thủ tục kiểm thử cần thiết
TE07.41.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng mô-đun đã được bao phủ với lớp phủ cứng mờ chống tháo bỏ.
TE07.41.02: Kiểm thử viên phải xác minh đặc tính chống tháo bỏ của lớp phủ mô-đun. Kiểm thử viên phải cố gắng loại bỏ hoặc tách rời vật liệu từ mô-đun, và xác minh rằng điều này không thể thực hiện được với một lực vừa đủ, khi đó các mô-đun ngừng hoạt động, hoặc chắc chắn mạch mô-đun vật lý phải bị phá hủy.
AS07.42: (Các mô-đun mật mã đơn chip – Mức 4)
Lớp phủ chống tháo bỏ có tính chất khả dụng sao cho việc lớp phủ bị phá hủy dẫn đến khả năng rất cao cho việc phá hủy hoặc gây tổn hại nghiêm trọng tới mô đun mật mã (tức là mô-đun không hoạt động).
Thông tin cần thiết từ nhà cung cấp
VE07.42.01: Tài liệu của nhà cung cấp phải mô tả các tính chất hòa tan của lớp phủ chống xâm nhập. Tính chất hòa tan vật liệu sao cho vật liệu bị hòa tan phải có khả năng hòa tan cao hoặc gây ra hư hỏng nghiêm trọng cho mô-đun.
Các thủ tục kiểm thử cần thiết
TE07.42.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp để xác định tính chất hòa tan lớp phủ chống xâm nhập của mô-đun ngay khi lớp bảo vệ bị loại bỏ hoặc tách rời.
TE07.42.02: Kiểm thử viên phải xác minh tính chất hòa tan lớp phủ chống xâm nhập mô-đun ngay khi lớp bảo vệ bị loại bỏ hoặc tách rời. Kiểm thử viên dựa trên tài liệu được cung cấp trong VE07.42.01, phải xác minh rõ loại chất hòa tan nào được yêu cầu để phá hủy lớp phủ chống xâm nhập.
6.7.3.2 Các mô-đun mật mã nhúng đa chip
CHÚ THÍCH Ngoài các yêu cầu an toàn nói chung được nếu trong mục 7.7.2 của TCVN 11295:2016, các yêu cầu từ AS07.43 đến AS07.58 được quy định cho Các mô-đun mật mã nhúng đa chip.
AS07.43: (Các mô-đun mật mã nhúng đa chip – Mức 1, 2, 3, và 4)
Nếu mô-đun mật mã được đặt trong một vỏ bảo vệ hoặc lớp phủ có thể tháo rời, vỏ bọc hoặc lớp phủ có thể tháo rời phải được sử dụng từ lúc sản xuất.
Thông tin cần thiết từ nhà cung cấp
VE07.43.01. Mô-đun phải hoàn toàn nằm trong vỏ bảo vệ hoặc lớp phủ có thể tháo rời từ lúc sản xuất. Tài liệu của nhà cung cấp phải mô tả lớp phủ hoặc vỏ.
Các thủ tục kiểm thử cần thiết
TE07.43.01 : Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng mô-đun phải nằm trong một lớp vỏ bảo vệ hoặc lớp phủ có thể tháo rời trong quá trình sản xuất.
AS07.44: (Các mô-đun mật mã nhúng đa chip – Mức 2, 3, và 4)
Các yêu cầu {AS07.45 đến AS 07.46} áp dụng cho các mô-đun mật mã nhúng đa chip ở mức an toàn 2 {và các khẳng định từ AS07.45 đến AS07.46 phải thỏa mãn một trong các nhóm sau: (AS07.45) hoặc (AS07.46 và AS07.47) hoặc (AS07.46 và AS07.48)}.
Thông tin cần thiết từ nhà cung cấp
VE07.44.01: Tài liệu của nhà cung cấp phải quy định thỏa mãn yêu cầu (AS07.45) hoặc [AS07.46 và (AS07.47 hoặc AS07.48)]
Các thủ tục kiểm thử cần thiết
TE07.44.01 : Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng đáp ứng được yêu cầu (AS07.45) hoặc [AS07.46 và (AS07.47 hoặc AS07.48)].
AS07.45: (Các mô-đun mật mã nhúng đa chip – Mức 2, 3, và 4)
Các thành phần của mô-đun phải được bảo vệ bằng một lớp phủ hoặc vật liệu bên trong chống giả mạo (ví dụ: lớp phủ chống ăn mòn hoặc sơn chống thấm) để ngăn cản quan sát trực tiếp và cung cấp bằng chứng các nỗ lực giả mạo hoặc loại bỏ các thành phần mô-đun (hoặc các nhóm (AS07.46 và AS07.47) hoặc (AS07.46 và AS07.48) phải thỏa mãn).
Thông tin cần thiết từ nhà cung cấp
VE07.45.01: Tài liệu của nhà cung cấp phải quy định rằng mô-đun được bảo vệ bằng một lớp phủ mờ đục chống giả mạo như lớp phủ chống ăn mòn hoặc sơn chống thấm.
Các thủ tục kiểm thử cần thiết
TE07.45.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng mô-đun được bảo vệ bằng một vật liệu mờ đục chống giả mạo.
TE07.45.02: Kiểm thử viên phải xác minh bằng cách kiểm tra rằng mô-đun cung cấp bằng chứng về các nỗ lực giả mạo hoặc loại bỏ các thành phần mô-đun.
AS07.46: (Các mô-đun mật mã nhúng đa chip – Mức 2, 3, và 4)
{Nếu AS07.45 không đạt được, thì} mô-đun phải nằm hoàn toàn trong lớp vỏ bằng kim loại hoặc nhựa cứng trong quá trình sản xuất bao gồm các cửa ra vào hoặc nắp đậy có thể tháo rời {và các nhóm (AS07.47 và AS07.48) hoặc (AS07.47 và AS07.49) phải thỏa mãn yêu cầu}.
Thông tin cần thiết từ nhà cung cấp
VE07.46.01: Mô-đun phải hoàn toàn nằm trong lớp vỏ bảo vệ bằng kim loại hoặc nhựa cứng trong quá trình sản xuất bao gồm các nắp đậy hoặc các cửa ra vào có thể tháo rời. Tài liệu của nhà cung cấp phải mô tả lớp vỏ bảo vệ và đặc tính cứng của nó.
Các thủ tục kiểm thử cần thiết
TE07.46.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng mô-đun nằm trong lớp vỏ bảo vệ đáp ứng những yêu cầu sau:
- a) Lớp vỏ bảo vệ phải bao phủ hoàn toàn mô-đun.
- b) Vật liệu bảo vệ phải có các thành phần được quy định trong tài liệu của nhà cung cấp.
- c) Lớp vỏ bảo vệ phải được bao phủ trong quá trình sản xuất. Tài liệu của nhà cung cấp phải cho thấy các thành phần vật liệu của lớp vỏ bảo vệ được sử dụng trong các sản phẩm thương mại, hoặc cung cấp dữ liệu cho thấy nó đáp ứng tương đương với các sản phẩm thương mại.
AS07.47: (Các mô-đun mật mã nhúng đa chip – Mức 2, 3, và 4)
{Nếu AS07.45 không đáp ứng, thì nếu} lớp vỏ bảo vệ gồm các cửa ra vào hoặc nắp đậy có thể tháo rời, phải đảm bảo các cửa ra vào hoặc nắp đậy được khóa bằng khóa cơ khí chống trộm từ khóa vật lý hoặc khóa logic {hoặc phải đáp ứng AS07.48}.
Thông tin cần thiết từ nhà cung cấp
VE07.47.01: Các cửa ra vào hoặc vỏ bảo vệ bao gồm lớp phủ phải được khóa bằng khóa cơ khí chống trộm từ khóa vật lý hoặc khóa logic. Tài liệu của nhà cung cấp phải mô tả các khóa vật lý và khóa logic.
Các thủ tục kiểm thử cần thiết
TE07.47.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng các cửa ra vào hoặc vỏ bảo vệ được khóa bằng khóa chống trộm từ khóa vật lý hoặc khóa logic.
TE07.47.02: Kiểm thử viên phải cố gắng mở lớp vỏ bảo vệ hoặc cửa ra vào được khóa mà không sử dụng khóa và xác minh rằng vỏ bảo vệ hoặc cửa ra vào không thể mở mà không có dấu hiệu hư hỏng.
AS07.48: (Các mô-đun mật mã nhúng đa chip – Mức 2, 3, và 4)
{Nếu AS07.45 không đạt được và lớp vỏ bảo vệ gồm mọi các cửa ra vào hoặc nắp đậy có thể tháo rời không thỏa mãn AS07.47, thì chúng (ví dụ: các cửa ra vào hoặc nắp đậy có thể tháo rời)) phải được bảo vệ bằng tem chống giả mạo (ví dụ: tem niêm phong hoặc nhãn niêm phong) (và nhóm (AS07.47 và AS07.49) phải đạt được}.
Thông tin cần thiết từ nhà cung cấp
VE07.48.01: Tài liệu của nhà cung cấp phải mô tả tem chống giả mạo.
Các thủ tục kiểm thừ cần thiết
TE07.48.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng nắp đậy hoặc cửa ra vào được bảo vệ bằng tem chống giả mạo chẳng hạn như tem niêm phong hoặc con dấu ba chiều.
TE07.48.02: Kiểm thử viên phải xác minh rằng nắp đậy hoặc cửa ra vào không thể mờ mà không làm hỏng hoặc tháo rời tem, và niêm phong không thể tháo rời và sau đó thay thế.
AS07.49: (Các mô-đun mật mã nhúng đa chip – Mức 3 và 4)
Các yêu cầu sau phải áp dụng cho các mô-đun mật mã nhúng đa chip ở mức an toàn 3.
CHÚ THÍCH Khẳng định này được kiểm thử trong AS07.50 hoặc AS07.51.
AS07.50: (Các mô-đun mật mã nhúng đa chip – Mức 3 và 4)
{Hoặc là} phương án mạch điện đa chip bên trong mô-đun mật mã phải được bao phủ hoàn toàn bằng lớp vỏ bảo vệ cứng hoặc vật liệu bọc kín (ví dụ: vật liệu epoxy cứng ) {hoặc AS07.51 phải đáp ứng yêu cầu} sao cho mọi nỗ lực nhằm loại bỏ hoặc thâm nhập vào lớp vỏ bọc có khả năng cao gây ra hư hỏng nghiêm trọng cho mô-đun (tức là mô-đun không hoạt động).
Thông tin cần thiết từ nhà cung cấp
VE07.50.01: Tài liệu của nhà cung cấp phải cung cấp tài liệu thiết kế cho lớp vỏ bọc cứng hoặc vật liệu bên trong.
VE07.50.02: Tài liệu của nhà cung cấp phải cung cấp tài liệu về các đặc tính mở của lớp vỏ bọc cứng hoặc vật liệu bên trong.
Các thủ tục kiểm thử cần thiết
TE07.50.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp phải quy định rõ lớp vỏ bọc cứng hoặc vật liệu bên trong.
TE07.50.02: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp các đặc tính mờ đục của lớp vỏ bọc cứng hoặc vật liệu bên trong.
TE07.50.03: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng lớp vỏ bọc cứng hoặc vật liệu bên trong không thể tháo bỏ hoặc thâm nhập mà không có khả năng cao gây ra hư hỏng nghiêm trọng cho mô-đun.
AS07.51: (Các mô-đun mật mã nhúng đa chip – Mức 3 và 4)
{Nếu AS07.50 không áp dụng,} mô-đun phải nằm trong lớp vỏ bảo vệ mạnh như vậy mọi nỗ lực nhằm tháo bỏ hoặc thâm nhập lớp vỏ bảo vệ có khả năng cao gây ra hư hỏng nghiêm trọng cho mô-đun (tức là mô-đun không hoạt động).
Thông tin cần thiết từ nhà cung cấp
VE07.51.01: Tài liệu của nhà cung cấp cung cấp tài liệu hỗ trợ thiết kế vỏ bảo vệ mạnh. Mô-đun phải hoàn toàn nằm trong lớp vỏ bảo vệ mạnh. Lớp vỏ bảo vệ phải được thiết kế sao cho mọi nỗ lực nhằm loại bỏ nó phải có khả năng cao gây ra hư hỏng nghiêm trọng cho mạch điện bên trong mô-đun (tức là mô-đun không hoạt động).
VE07.51.02: Nếu lớp vỏ bảo vệ có chứa bất kỳ các cửa ra vào hoặc nắp đậy có thể tháo rời, thì mô-đun phải có cơ chế phản ứng giả mạo và mạch tự hủy và nhà cung cấp phải cung cấp tài liệu hỗ trợ thiết kế đối với các phản ứng giả mạo và mạch tự hủy.
Các thủ tục kiểm thử cần thiết
TE07.51.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp phải quy định rõ khi lớp vỏ bảo vệ có chứa bất kỳ các cửa ra vào hoặc nắp đậy có thể tháo rời và quy định giao diện truy cập bảo trì, thì mô-đun phải chứa cơ chế phản ứng giả mạo và mạch tự hủy.
TE07.51.02: Nếu lớp vỏ bảo vệ chứa bất kỳ các cửa ra vào hoặc nắp đậy có thể tháo rời, hoặc nếu quy định giao diện truy cập bảo trì, thì kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rằng mô-đun tự hủy tất cả CSP dạng rõ ngay khi một cửa ra vào hoặc một nắp đậy bị tháo rời hoặc có truy cập vào giao diện truy cập bảo trì.
TE07.51.03: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định những yêu cầu tùy chọn trong VE07.51.01 và VE07.51.02 được thực hiện và cung cấp tài liệu thiết kế.
TE07.51.04: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng cơ chế phản ứng giả mạo và mạch tự hủy vẫn hoạt động khi các CSP dạng rõ được lưu trong mô-đun.
TE07.51.05: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng lớp vỏ bảo vệ không thể tháo bỏ hoặc thâm nhập mà không có khả năng cao gây ra hư hỏng nghiêm trọng cho mô-đun.
TE07.51.06: Kiểm thử viên phải xác minh rằng độ cứng của lớp vỏ bảo vệ bằng cách thử cố gắng truy cập vào mạch điện bên dưới và xác minh rằng lớp vỏ bảo vệ không dễ bị phá vỡ. Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng lớp vỏ bảo vệ không thể bị tháo bỏ.
TE07.51.07: Nếu lớp vỏ bảo vệ chắc chắn có các cửa ra vào hoặc nắp đậy có thể tháo rời, hoặc nếu quy định có giao diện truy cập bảo trì, kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng mô-đun tự hủy các CSP dạng rõ ngay khi một nắp đậy hoặc cửa bị tháo rời.
TE07.51.08: Nếu lớp vỏ bảo vệ có các cửa ra vào hoặc nắp đậy có thể tháo rời, hoặc nếu có giao diện truy cập bảo trì, kiểm thử viên phải xác minh rằng mô-đun tự hủy tất cả CSP dạng rõ ngay khi một cửa hoặc nắp đậy bị tháo rời hoặc nếu có truy cập vào giao diện truy cập bảo trì.
TE07.51.09: Kiểm thử viên phải xác minh rằng lớp vỏ bảo vệ không thể tháo rời hoặc thâm nhập mà không có khả năng cao gây hư hỏng nghiêm trọng cho mô-đun.
AS07.52: (Các mô-đun mật mã nhúng đa chip – Mức 4)
Các yêu cầu sau đây phải áp dụng mô-đun mật mã đa chip nhúng ở mức an toàn 4.
CHÚ THÍCH Khẳng định này được kiểm thử trong AS07.53 tới AS07.59.
AS07.53: (Các mô-đun mật mã nhúng đa chip – Mức 4)
Các thành phần của mô-đun phải nằm trong một vỏ bảo vệ mạnh hoặc bảo toàn cứng hoặc không bảo toàn.
Thông tin cần thiết từ nhà cung cấp
VE07.53.01. Mô-đun phải nằm trong một bộ phát hiện giả mạo phải phát hiện các cuộc tấn công đối với vật liệu bên trong hoặc lớp vỏ bảo vệ. Tài liệu của nhà cung cấp phải mô tả thiết kế lớp vỏ bảo vệ chống giả mạo.
Các thủ tục kiểm thử cần thiết
TE07.53.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp bằng cách kiểm tra mô-đun có chứa lớp vỏ bảo vệ chống giả mạo xung quanh các thành phần mô-đun. Rào cản này phải được thiết kế sao cho mọi phá hoại bằng các phương tiện như khoan, phay, mài hoặc hòa tan để truy cập vào các thành phần mô-đun có thể được phát hiện bằng cách theo dõi các thành phần có trong mô-đun.
AS07.54: (Các mô-đun mật mã nhúng đa chip – Mức 4)
Lớp phủ được đóng gói bằng một lớp vỏ bọc phát hiện giả mạo (ví dụ: một mạch in mylar mềm dẻo với một mẫu hình học dạng xoắn của các chất dẫn hoặc một gói quấn dây hoặc một mạch giòn, không mềm dẻo hoặc một vỏ bọc bền) {phải phát hiện giả mạo bằng các phương tiện như cắt, khoan, xay, nghiền, đốt, nóng chảy hoặc hòa tan vật liệu bên trong hoặc lớp phủ đủ để truy cập vào các SSP}.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt. Được kiểm tra trong AS07.55.
AS07.55: (Các mô-đun mật mã nhúng đa chip – Mức 4)
{Lớp phủ được đóng gói bằng một lớp vỏ bọc phát hiện giả mạo (ví dụ: một mạch in mylar mềm dẻo với một mẫu hình học dạng xoắn của các chất dẫn hoặc một gói quấn dây hoặc một mạch giòn, không mềm dẻo hoặc một vỏ bọc bền)} phải phát hiện giả mạo bằng các phương tiện như cắt, khoan, xay, nghiền, đốt, nóng chảy, hoặc hòa tan vật liệu bên trong hoặc lớp phủ đủ để truy cập vào các SSP.
Thông tin cần thiết từ nhà cung cấp
VE07.55.01: Mô-đun phải được đặt nằm trong một lớp vỏ phát hiện giả mạo bằng cách phát hiện các cuộc tấn công giả mạo đối với vật liệu hoặc vỏ bảo vệ. Tài liệu của nhà cung cấp phải mô tả thiết kế lớp vỏ phát hiện chống giả mạo.
Các thủ tục kiểm thử cần thiết
TE07.55.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp bằng cách kiểm tra mô-đun có nằm trong lớp vỏ bảo vệ phát hiện giả mạo bao quanh các thành phần mô-đun không. Rào cản này phải được thiết kế sao cho mọi phá hoại như khoan, xay, mài, hoặc hòa tan để truy cập vào các thành phần mô-đun có thể được phát hiện bằng cách giám sát các thành phần có trong mô-đun.
AS07.56: (Các mô-đun mật mã nhúng đa chip – Mức 4)
Mô-đun phải chứa cơ chế phản ứng giả mạo và mạch tự hủy {liên tục theo dõi lớp vỏ phát hiện giả mạo và, ngay khi phát hiện giả mạo, phải xóa trắng tất cả tham số SSP không được bảo vệ).
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt. Được kiểm tra trong AS07.57 và AS07.58.
AS07.57: (Các mô-đun mật mã nhúng đa chip – Mức 4)
{Mô-đun phải chứa cơ chế phản ứng giả mạo và mạch tự hủy} liên tục theo dõi lớp vỏ phát hiện giả mạo {và, ngay khi phát hiện giả mạo, ngay lập tức xóa trắng tất cả tham số SSP không được bảo vệ}.
Thông tin cần thiết từ nhà cung cấp
VE07.57.01: Mô-đun phải chứa cơ chế phản ứng giả mạo và mạch tự hủy liên tục theo dõi lớp vỏ phát hiện giả mạo, và ngay khi phát hiện giả mạo, phải xóa trắng tất cả CSP dạng rõ. Mạch điện phải được vận hành bất cứ lúc nào khi các CSP dạng rõ có trong mô-đun. Tài liệu của nhà cung cấp phải mô tả cơ chế phản ứng giả mạo và thiết kế mạch tự hủy.
Các thủ tục kiểm thử cần thiết
TE07.57.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng mô-đun có cơ chế phản ứng giả mạo và mạch tự hủy liên tục theo dõi lớp vỏ bảo vệ phát hiện giả mạo; phát hiện bất cứ sự phá hoại nào bằng các phương thức như khoan, xay, nghiền hoặc hòa tan bất kỳ phần nào của lớp vỏ bảo vệ; và phải xóa trắng tất cả CSP dạng rõ.
AS07.58: (Các mô-đun mật mã nhúng đa chip – Mức 4)
{Mô-đun phải nằm trong cơ chế phản ứng giả mạo và mạch tự hủy liên tục theo dõi lớp vỏ phát hiện giả mạo} và ngay khi phát hiện giả mạo, ngay lập tức phải xóa trắng các tham số SSP không được bảo vệ.
Thông tin cần thiết từ nhà cung cấp
VE07.58.01: Mô-đun này phải chứa các phản ứng giả mạo và mạch tự hủy liên tục theo dõi lớp vỏ bảo vệ phát hiện giả mạo, và khi phát hiện giả mạo, phải xóa trắng các CSP dạng rõ. Tài liệu của nhà cung cấp phải mô tả cơ chế phản ứng giả mạo và thiết kế mạch tự hủy.
Các thủ tục kiểm thử cần thiết
TE07.58.01: Kiểm thử viên phải phá vỡ hàng rào lớp vỏ phát hiện giả mạo và xác minh rằng mô-đun xóa trắng tất cả các CSP dạng rõ.
AS07.59: (Các mô-đun mật mã nhúng đa chip – Mức 4)
Mạch phản ứng giả mạo phải vẫn hoạt động khi các SSP không được bảo vệ chứa trong mô- đun mật mã.
CHÚ THÍCH Khẳng định này không được kiểm thử riêng biệt.
6.7.3.3 Các mô-đun mật mã đa chip độc lập
CHÚ THÍCH Ngoài các yêu cầu an toàn chung được quy định rõ ở 7.7.2 trong TCVN 11295:2016, các yêu cầu sau đây từ AS07.60 tới AS07.71 được quy định cho các mô-đun mật mã đa chip độc lập.
AS07.60: (Các mô-đun mật mã đa chip độc lập – Mức 1, 2, 3, và 4)
Mô-đun mật mã phải được chứa hoàn toàn trong lớp vỏ kim loại hoặc nhựa cứng trong quá trình sản xuất bao gồm tất cả cửa ra vào hoặc nắp đậy có thể tháo rời.
Thông tin cần thiết từ nhà cung cấp
VE07.60.01: Mô-đun này phải được chứa hoàn toàn trong lớp vỏ bọc kim loại hoặc nhựa cứng trong quá trình sản xuất bao gồm các cửa ra vào hoặc nắp đậy có thể tháo rời. Tài liệu của nhà cung cấp phải mô tả lớp vỏ bảo vệ và đặc tính cứng của nó.
Các thủ tục kiểm thử cần thiết
TE07.60.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng mô-đun được chứa trong một lớp vỏ thỏa mãn các yêu cầu sau đây:
- a) Vỏ bảo vệ phải bao phủ hoàn toàn mô-đun.
- b) Vật liệu lớp vỏ bảo vệ phải có các thành phần được quy định rõ trong tài liệu của nhà cung cấp.
- c) Lớp vỏ bảo vệ phải được phủ hoàn toàn trong quá trình sản xuất. Tài liệu của nhà cung cấp phải cho thấy các thành phần vật liệu của lớp vỏ bảo vệ được sử dụng trong các sản phẩm thương mại, hoặc cung cấp dữ liệu cho thấy nó đạt được tương đương với các sản phẩm thương mại.
AS07.61: (Các mô-đun mật mã đa chip độc lập – Mức 2, 3, và 4)
Các yêu cầu sau đây phải áp dụng cho các mô-đun mật mã đa chip độc lập ở mức an toàn 2.
CHÚ THÍCH Khẳng định này được kiểm tra trong AS07.62 hoặc AS07.63.
AS07.62: (Các mô-đun mật mã đa chip độc lập – Mức 2, 3, và 4)
Nếu vỏ bảo vệ của mô-đun mật mã bao gồm mọi cửa ra vào hoặc nắp đậy có thể tháo rời, thì các cửa ra vào hoặc nắp đậy này phải được khóa bằng các khóa cơ khí chống trộm từ khóa vật lý hoặc khóa logic {hoặc AS07.63 phải được áp dụng}.
Thông tin cần thiết từ nhà cung cấp
VE07.62.01: Nếu lớp vỏ bảo vệ bao gồm mọi cửa ra vào hoặc nắp đậy có thể tháo rời, thì chúng phải bị khóa bằng các khóa cơ khí chống trộm từ khóa vật lý hoặc khóa logic. Tài liệu của nhà cung cấp phải mô tả khóa cơ khí chống trộm bằng khóa vật lý hoặc khóa logic.
Các thủ tục kiểm thử cần thiết
TE07.62.01: Kiểm thử viên phải xác minh rằng lớp vỏ bọc có chứa mọi cửa ra vào hoặc nắp đậy có thể tháo rời hay không. Kiểm thử viên phải xác minh rằng mỗi cửa ra vào hoặc nắp đậy được khóa bằng khóa chống trộm yêu cầu khóa vật lý hoặc khóa logic. Kiểm thử viên phải cố gắng mở nắp đậy hoặc cửa bị khóa mà không sử dụng chìa khóa và xác minh rằng nắp đậy hoặc cửa ra vào không bị mở mà không có dấu hiệu hư hỏng.
AS07.63: (Các mô-đun mật mã đa chip độc lập – Mức 2, 3, và 4)
{Nếu AS07.62 không đạt được, thì các cửa ra vào hoặc nắp đậy} phải được bảo vệ bằng các con dấu chống giả mạo (ví dụ: tem niêm phong hoặc dấu niêm phong).
Thông tin cần thiết từ nhà cung cấp
VE07.63.01: Nếu lớp vỏ được bảo vệ bằng các con dấu chống giả mạo như tem niêm phong hoặc dấu niêm phong, thì tài liệu của nhà cung cấp phải mô tả con dấu chống giả mạo.
Các thủ tục kiểm thử cần thiết
TE07.63.01: Nắp đậy hoặc cửa được bảo vệ bằng tem niêm phong hoặc dấu niêm phong. Kiểm thử viên phải xác minh rằng nắp đậy hoặc cửa ra vào không thể mở mà không làm hỏng hoặc tháo con dấu, và niêm phong không thể tháo rời và sau đó được thay thế.
AS07.64: (Các mô-đun mật mã đa chip độc lập – Mức 3 và 4)
Các yêu cầu sau đây phải được áp dụng cho các mô-đun mật mã đa chip độc lập ở mức an toàn 3.
CHÚ THÍCH Khẳng định này được kiểm thử trong AS07.65.
AS07.65: (Các mô-đun mật mã đa chip độc lập – Mức 3 và 4)
Mô-đun phải được chứa hoàn toàn trong lớp vỏ bảo vệ mạnh để mọi nỗ lực tháo rời hoặc thâm nhập vào lớp vỏ bảo vệ phải có khả năng cao gây ra hư hỏng nghiêm trọng cho mô-đun (tức là mô-đun không hoạt động).
Thông tin cần thiết từ nhà cung cấp
VE07.65.01: Tài liệu của nhà cung cấp phải cung cấp tài liệu hỗ trợ thiết kế cho lớp vỏ bảo vệ mạnh. Mô-đun phải nằm hoàn toàn trong lớp vỏ bảo vệ mạnh, vỏ bảo vệ phải được thiết kế sao cho mọi nỗ lực tháo rời có khả năng cao gây ra hư hỏng nghiêm trọng cho mạch điện bên trong mô-đun (tức là mô-đun không hoạt động).
VE07.65.02: Nếu lớp vỏ có bất kỳ cửa ra vào hoặc nắp đậy có thể tháo rời, thì mô-đun phải chứa cơ chế phản ứng giả mạo và mạch tự hủy và tài liệu của nhà cung cấp phải cung cấp tài liệu hỗ trợ thiết kế cho cơ chế phản ứng giả mạo và mạch tự hủy.
Các thủ tục kiểm thử cần thiết
TE07.65.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định lớp vỏ bảo vệ có chứa bất kỳ cửa ra vào hoặc nắp đậy có thể tháo rời và quy định có giao diện truy cập bảo trì, thì mô-đun phải chứa cơ chế phản ứng giả mạo và mạch tự hủy.
TE07.65.02: Nếu lớp vỏ bảo vệ có chứa bất kỳ các cửa ra vào hoặc nắp đậy có thể tháo rời, hoặc quy định có giao diện truy cập bảo trì, thì kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định mô-đun xóa trắng các CSP dạng rõ ngay khi một cửa ra vào hoặc nắp đậy bị tháo bỏ hoặc đăng nhập giao diện truy cập bảo trì.
TE07.65.03: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định yêu cầu tùy chọn trong VE07.65.01 và VE07.65.02 được thực thi và cung cấp tài liệu thiết kế.
TE07.65.04: Kiểm thử viên xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng cơ chế phản ứng giả mạo và mạch tự hủy vẫn hoạt động khi các CSP dạng rõ được chứa trong mô-đun.
TE07.65.05: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng lớp vỏ bảo vệ không thể tháo rời hoặc thâm nhập mà không có khả năng cao gây ra hư hỏng nghiêm trọng cho mô-đun.
TE07.65.06: Kiểm thử viên phải xác minh độ bền của lớp vỏ bảo vệ bằng cách cố gắng truy cập vào các mạch điện bên dưới và xác minh rằng vỏ bọc không dễ bị phá vỡ. Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng vỏ bảo vệ không thể tháo rời.
TE07.65.07: Nếu vỏ bọc mạnh có các cửa ra vào hoặc nắp đậy có thể tháo rời, hoặc quy định có giao diện truy cập bảo trì, kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng mô-đun xóa trắng tất cả CSP dạng rõ ngay khi một cửa hoặc nắp đậy bị tháo rời.
TE07.65.08: Nếu lớp vỏ bảo vệ có cửa ra vào hoặc nắp đậy có thể tháo rời, hoặc nếu quy định có giao diện truy cập bảo trì, kiểm thử viên phải xác minh rằng mô-đun xóa trắng tất cả CSP dạng rõ ngay khi cửa hoặc nắp đậy bị tháo rời hoặc đăng nhập vào giao diện truy cập bảo trì.
TE07.65.09: Kiểm thử viên phải xác minh rằng lớp vỏ bảo vệ không thể bị tháo rời hoặc xâm nhập mà không có khả năng cao gây ra hư hỏng nghiêm trọng cho mô-đun.
AS07.66: (Các mô-đun mật mã đa chip độc lập – Mức 4)
Các yêu cầu sau đây phải được áp dụng cho các mô-đun mật mã đa chip độc lập ở mức an toàn 4.
CHÚ THÍCH Khẳng định này được kiểm tra từ AS07.67 tới AS07.72.
AS07.67: (Các mô-đun mật mã đa chip độc lập – Mức 4)
Lớp phủ của mô-đun mật mã phải bao gồm lớp vỏ phát hiện giả mạo sử dụng cơ chế phát hiện giả mạo như các thiết bị chuyển mạch (ví dụ: công tác nhỏ, thiết bị chuyển mạch hiệu ứng Hall, bộ phận chuyển động từ vĩnh cửu…), các máy dò chuyển động (ví dụ: siêu âm, hồng ngoại, hoặc sóng điện từ), hoặc các cơ chế phát hiện giả mạo được mô tả trong tiểu mục 7.7.3.2 của {TCVN 11295:2016} mức an toàn 4.
Thông tin cần thiết từ nhà cung cấp
VE07.67.01: Vỏ bảo vệ hoặc vật liệu bên trong phải được đóng gói bằng một vỏ bọc phát hiện giả mạo sử dụng các cơ chế phát hiện giả mạo. Tài liệu của nhà cung cấp phải mô tả thiết kế vỏ bọc phát hiện giả mạo.
Các thủ tục kiểm thử cần thiết
TE07.67.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp bằng cách kiểm tra rằng lớp bảo vệ mô-đun hoặc vật liệu bên trong có chứa cơ chế phát hiện giả mạo, mà phải tạo thành lớp vỏ phát hiện giả mạo bảo vệ các thành phần mô-đun. Các cơ chế phải được thiết kế sao cho mọi phá hoại lên lớp vỏ bảo vệ hoặc vật liệu bên trong để truy cập vào các thành phần mô-đun có thể được phát hiện.
AS07.68: (Các mô-đun mật mã đa chip độc lập – Mức 4)
Các cơ chế phát hiện giả mạo phải phản ứng với các tấn công như cắt, khoan, xay, mài, đốt, nóng chảy hoặc hòa tan đến mức đủ để truy cập các SSP.
CHÚ THÍCH Khẳng định này được kiểm tra như một phần của AS07.71.
AS07.69: (Các mô-đun mật mã đa chip độc lập – Mức 4)
{Mô-đun mật mã phải có cơ chế phản ứng giả mạo và khả năng tự hủy} liên tục theo dõi lớp vỏ bảo vệ phát hiện giả mạo và, ngay khi phát hiện giả mạo, phải lập tức xóa trắng tất cả tham số SSP không được bảo vệ}.
CHÚ THÍCH Khẳng định này được kiểm tra như một phần của AS07.71.
AS07.70: (Các mô-đun mật mã đa chip độc lập – Mức 4)
{Mô-đun mật mã phải có cơ chế phản ứng giả mạo và khả năng tự hủy} liên tục theo dõi lớp vỏ bảo vệ phát hiện giả mạo {và, ngay khi phát hiện giả mạo, phải lập tức xóa trắng các tham số SSP không được bảo vệ}.
CHÚ THÍCH Khẳng định này được kiểm tra như một phần của AS07.71.
AS07.71: (Các mô-đun mật mã đa chip độc lập – Mức 4)
{Mô-đun mật mã phải có các cơ chế phản ứng giả mạo và khả năng tự hủy liên tục theo dõi lớp vỏ phát hiện giả mạo} và, ngay khi phát hiện giả mạo, lập tức xóa trắng tất cả tham số SSP không được bảo vệ.
Thông tin cần thiết từ nhà cung cấp
VE07.71.01: Mô-đun phải có cơ chế phản ứng giả mạo và mạch tự hủy liên tục theo dõi lớp vỏ phát hiện giả mạo, và ngay khi phát hiện giả mạo, phải xóa trắng tất cả SSP dạng rõ. Mạch phải được vận hành bất cứ khi nào các tham số SSP dạng rõ có bên trong mô-đun. Tài liệu của nhà cung cấp phải mô tả cơ chế phản ứng giả mạo và thiết kế mạch tự hủy.
Các thủ tục kiểm thử cần thiết
TE07.71.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng mô-đun có cơ chế phản ứng giả mạo và mạch tự hủy liên tục theo dõi phát hiện giả mạo; phát hiện bất kỳ sự vi phạm nào bằng các phương tiện như khoan, xay, nghiền hoặc hòa tan bất kỳ phần nào của lớp vỏ bảo vệ; và sau đó xóa trắng tất cả tham số SSP dạng rõ.
TE07.71.02: Kiểm thử viên phải phá vỡ hàng rào bảo vệ phát hiện giả mạo và sau đó xác minh rằng mô-đun xóa trắng tất cả tham số SSP dạng rõ.
AS07.72: (Các mô-đun mật mã đa chip độc lập – Mức 4)
Cơ chế phản ứng giả mạo và khả năng tự hủy phải vẫn hoạt động khi các tham số SSP không được bảo vệ nằm bên trong mô-đun mật mã.
CHÚ THÍCH Khẳng định này được kiểm tra như một phần của AS07.71.
6.7.4 Kiểm tra/bảo vệ sự cố môi trường
6.7.4.1 Các yêu cầu chung đối với kiểm tra/bảo vệ sự cố môi trường
CHÚ THÍCH Một mô-đun mật mã không bắt buộc sử dụng các tính năng bảo vệ sự cố môi trường hoặc trải qua các bài kiểm tra về môi trường cho mức an toàn 1 và 2.
AS07.73: (Kiểm tra/bảo vệ sự cố môi trường – Mức 3)
Một mô-đun phải sử dụng tính năng bảo vệ sự cố môi trường (EFP) {từ AS07.75 đến AS07.77} hoặc trải qua các bài kiểm tra về môi trường (EFT) {từ AS07.78 tới AS07.86}.
Thông tin cần thiết từ nhà cung cấp
VE07.73.01: Nhà cung cấp phải sử dụng một trong những yêu cầu sau:
- a) Tính năng bảo vệ sự cố môi trường EFP; hoặc
- b) Trải qua các bài kiểm tra về môi trường EFT
như được quy định trong phần 7.7.4 của TCVN 11295:2016, để đảm bảo rằng bốn điều kiện về môi trường bình thường hoặc bất thường (tình cờ hoặc cố ý) bên ngoài dải phạm vi hoạt động bình thường của mô-đun phải không ảnh hưởng đến tính an toàn của mô-đun:
- a) Nhiệt độ thấp
- b) Nhiệt độ cao
- c) Điện áp âm lớn
- d) Điện áp dương lớn
Nhà cung cấp phải chọn sử dụng EFP hoặc EFT cho mỗi điều kiện, nhưng mỗi lựa chọn đều độc lập đối với các lựa chọn khác. Nhà cung cấp phải cung cấp tài liệu hỗ trợ tương ứng với mỗi điều kiện môi trường EFP/EFT, quy định rõ cách thức phương pháp đã chọn được sử dụng.
Các thủ tục kiểm thử cần thiết
TE07.73.01: Kiểm thử viên phải xác minh rằng tài liệu quy định rõ lựa chọn EFP/EFT cho từng điều kiện cụ thể và cách thức các phương pháp được sử dụng.
AS07.74: (Kiểm tra/bảo vệ sự cố môi trường – Mức 4)
Một mô-đun phải sử dụng các tính năng bảo vệ sự cố môi trường (EFP).
CHÚ THÍCH Khẳng định này được kiểm tra từ AS07.75 tới AS07.77.
6.7.4.2 Tính năng bảo vệ sự cố môi trường
AS07.75: (Tính năng bảo vệ sự cố môi trường – Mức 3 và 4)
Tính năng bảo vệ sự cố môi trường (EFP) phải bảo vệ mô-đun mật mã chống lại các điều kiện môi trường bất thường (tình cờ hoặc cố ý) khi nằm ngoài dải hoạt động bình thường của mô- đun mà có nguy cơ gây tổn hại tính an toàn của mô-đun.
CHÚ THÍCH Khẳng định này được kiểm thử là một phần của AS07.77.
AS07.76: (Tính năng bảo vệ sự cố môi trường – Mức 3 và 4)
Mô-đun mật mã phải theo dõi và phản hồi chính xác khi nhiệt độ và điện áp hoạt động nằm ngoài dải hoạt động bình thường đã quy định của mô-đun.
CHÚ THÍCH Khẳng định này được kiểm thử là một phần của AS07.77.
AS07.77: (Tính năng bảo vệ sự cố môi trường – Mức 3 và 4)
Nếu nhiệt độ hoặc điện áp nằm ngoài dải hoạt động bình thường của mô-đun mật mã, biện pháp bảo vệ hoặc là:
– tắt mô-đun để ngăn chặn các hoạt động tiếp theo,
hoặc
– ngay lập tức xóa trắng tất cả tham số SSP không được bảo vệ.
Thông tin cần thiết từ nhà cung cấp
VE07.77.01: Nếu EFP được chọn cho những điều kiện môi trường cụ thể, mô-đun phải theo dõi và đáp ứng chính xác các sự dao động nhiệt độ hoặc điện áp, nằm ngoài dải hoạt động bình thường của mô-đun đối với điều kiện môi trường đó. Các tính năng bảo vệ phải liên tục đo những điều kiện môi trường hoạt động. Nếu một điều kiện được quy định nằm ngoài dải hoạt động của mô-đun, mạch bảo vệ phải:
- a) Tắt mô-đun; hoặc
- b) Xóa trắng tất cả các tham số SSP dạng rõ.
Tài liệu phải quy định rõ các phương pháp đã được chọn và cung cấp đặc tả các tính năng EFP được thực thi bên trong mô-đun.
Các thủ tục kiểm thử cần thiết
TE07.77.01: Kiểm thử viên phải cấu hình điều kiện môi trường (nhiệt độ xung quanh và điện áp) gần với giá trị cực đại trong dải hoạt động bình thường của mô-đun, và xác minh rằng mô-đun tiếp tục hoạt động bên trong dải hoạt động bình thường của mô-đun.
TE07.77.02: Kiểm thử viên phải mở rộng nhiệt độ và điện áp bên ngoài phạm vi dải hoạt động bình thường và xác minh rằng mô-đun có (hay không) ngừng hoạt động để ngăn chặn các hoạt động tiếp theo hoặc xóa trắng tất cả tham số SSP dạng rõ.
TE07.77.03: Nếu mô-đun được thiết kế để xóa trắng tất cả tham số SSP dạng rõ và mô-đun vẫn hoạt động sau khi trở về dải hoạt động bình thường, kiểm thử viên phải thực hiện dịch vụ yêu cầu các tham số SSP và xác minh rằng mô-đun không thể thực hiện những dịch vụ này.
6.7.4.3 Các thủ tục kiểm tra sự cố môi trường
AS07.78: (Các thủ tục kiểm tra sự cố môi trường – Mức 3)
Kiểm tra sự cố môi trường (EFT) liên quan đến việc kết hợp các phân tích, mô phỏng, và thử nghiệm mô-đun mật mã cung cấp sự đảm bảo tuân theo các điều kiện môi trường (tình cờ hoặc cố ý) khi ở ngoài dải hoạt động bình thường của mô-đun đối với nhiệt độ và điện áp không làm ảnh hưởng đến tính an toàn của mô-đun.
CHÚ THÍCH Khẳng định này được kiểm thử là một phần của AS07.81.
AS07.79: (Các thủ tục kiểm thử sự cố môi trường – Mức 3)
EFT phải chứng minh rằng, nếu nhiệt độ hoạt động hoặc điện áp nằm ngoài dải hoạt động bình thường của mô-đun dẫn đến kết quả hỏng hóc, {tại thời điểm đó tính an toàn của mô-đun mật mã đã bị tổn thương}.
CHÚ THÍCH Khẳng định này được kiểm thử là một phần của AS07.81.
AS07.80: (Các thủ tục kiểm thử sự cố môi trường – Mức 3)
{EFT phải chứng minh rằng, nếu nhiệt độ hoạt động hoặc điện áp nằm ngoài dải hoạt động bình thường của mô-đun dẫn đến kết quả hỏng hóc}, tại thời điểm đó tính an toàn của mô-đun mật mã đã bị tổn thương.
CHÚ THÍCH Khẳng định này được kiểm thử là một phần của AS07.81.
AS07.81: (Các thủ tục kiểm thử sự cố môi trường – Mức 3)
Dải nhiệt độ được kiểm tra là một nhiệt độ bên trong dải hoạt động bình thường tới nhiệt độ thấp nhất (tức là nhiệt độ lạnh nhất) hoặc (1) mô-đun ngừng hoạt động để ngăn chặn các hoạt động tiếp theo hoặc (2) ngay lập tức xóa trắng tất cả tham số SSP không được bảo vệ; và từ một nhiệt độ bên trong dải hoạt động bình thường tới nhiệt độ cao nhất (tức là nhiệt độ nóng nhất) hoặc (1) ngừng hoạt động hoặc đi vào trạng thái lỗi hoặc (2) xóa trắng tất cả tham số SSP không được bảo vệ.
Thông tin cần thiết từ nhà cung cấp
VE07.81.01: Nếu EFT được chọn cho một điều kiện cụ thể, mô-đun phải được kiểm tra trong dải nhiệt độ được quy định trong AS07.82, và dải điện áp được quy định trong AS07.85 và AS07.86. Mô-đun phải:
- a) Tiếp tục hoạt động bình thường; hoặc
- b) Ngừng hoạt động; hoặc
- c) Xóa sạch tất cả tham số SSP
Tài liệu phải quy định rõ các phương pháp nào đã được chọn và mô tả các đặc điểm của EFT.
Các thủ tục kiểm thử cần thiết
TE07.81.01: Kiểm thử viên phải cấu hình điều kiện môi trường (nhiệt độ xung quanh và điện áp) quy định trong AS07.82, AS07.85 và AS07.86, và xác minh rằng mô-đun có tiếp tục hoạt động bình thường, hoặc ngừng hoạt động để ngăn chặn các hoạt động tiếp theo, hoặc xóa trắng tất cả tham số SSP dạng rõ.
TE07.81.02: Nếu mô-đun được thiết kế để xóa trắng tất cả tham số SSP dạng rõ, và mô-đun vẫn hoạt động sau khi trở về dải môi trường hoạt động bình thường, kiểm thử viên phải thực hiện các dịch vụ yêu cầu khóa và xác minh rằng mô-đun không thể thực hiện những dịch vụ này.
AS07.82: (Các thủ tục kiểm thử sự cố môi trường – Mức 3)
Dải nhiệt độ kiểm tra phải từ -100° tới + 200° độ C (từ -150° tới + 400° độ F); {tuy nhiên, kiểm tra phải bị gián đoạn ngay sau khi (1) mô-đun ngừng hoạt động để ngăn chặn các hoạt động tiếp theo, (2) tất cả tham số SSP không được bảo vệ ngay lập tức bị xóa trắng hoặc (3) mô-đun tiến vào trạng thái lỗi}.
CHÚ THÍCH Khẳng định này được kiểm thử là một phần của AS07.81.
AS07.83: (Các thủ tục kiểm thử sự cố môi trường – Mức 3)
{Dải nhiệt độ kiểm tra phải từ – 1000 tới + 200° độ C (từ – 1500 tới + 4000 độ F);} tuy nhiên, kiểm tra phải bị gián đoạn ngay sau khi (1) mô-đun ngừng hoạt động để ngăn chặn các hoạt động tiếp theo, (2) tất cả tham số SSP không được bảo vệ ngay lập tức bị xóa trắng hoặc (3) mô-đun tiến vào trạng thái lỗi.
CHÚ THÍCH Khẳng định này được kiểm thử là một phần của AS07.81.
AS07.84: (Các thủ tục kiểm thử sự cố môi trường – Mức 3)
Nhiệt độ phải được giám sát nội bộ tại các thành phần nhạy cảm và các thiết bị quan trọng và không chỉ là ranh giới vật lý của mô-đun.
CHÚ THÍCH Khẳng định này được kiểm thử là một phần của AS07.81.
AS07.85: (Các thủ tục kiểm thử sự cố môi trường – Mức 3)
Dải điện áp thử nghiệm phải giảm dần từ một điện áp bên trong dải điện áp hoạt động bình thường đến điện áp thấp hơn hoặc (1) mô-đun ngừng hoạt động để ngăn chặn lại các hoạt động tiếp theo hoặc (2) ngay lập tức xóa trắng tất cả tham số SSP không được bảo vệ; {và phải tăng dần từ một điện áp bên trong dải điện áp hoạt động bình thường tới điện áp cao hơn hoặc (1) mô-đun ngừng hoạt động để ngăn chặn các hoạt động tiếp theo hoặc (2) ngay lập tức xóa trắng tất cả tham số SSP không được bảo vệ}.
CHÚ THÍCH Khẳng định này được kiểm thử là một phần của AS07.81.
AS07.86: (Các thủ tục kiểm thử sự cố môi trường – Mức 3)
{Dải điện áp thử nghiệm phải giảm dần từ một điện áp bên trong dải điện áp hoạt động bình thường đến điện áp thấp hơn hoặc (1) mô-đun ngừng hoạt động để ngăn chặn lại các hoạt động tiếp theo hoặc (2) ngay lập tức xóa trắng tất cả tham số SSP không được bảo vệ;} và phải tăng dần từ một điện áp bên trong dải điện áp hoạt động bình thường tới diện áp cao hơn hoặc (1) mô-đun ngừng hoạt động để ngăn chặn các hoạt động tiếp theo hoặc (2) ngay lập tức xóa trắng tất cả tham số SSP không dược bảo vệ.
CHÚ THÍCH Khẳng định này được kiểm thử là một phần của AS07.81.
6.8 An toàn không xâm lấn
AS08.01. (An toàn không xâm lấn – Mức 1, 2, 3, và 4)
Các kỹ thuật giảm thiểu tấn công không xâm lấn được thực thi bởi mô-đun mật mã để bảo vệ các SSP của mô-đun không tham chiếu trong phụ lục F {TCVN 11295:2016} phải đáp ứng các yêu cầu trong tiểu mục 7.12 {TCVN 11295:2016}.
CHÚ THÍCH Khẳng định không được kiểm thử riêng biệt. Được kiểm tra như là một phần từ AS12.01 tới AS12.04.
AS08.02: (An toàn không xâm lấn – Mức 1, 2, 3, và 4)
Các kỹ thuật giảm thiểu tấn công không xâm lấn được thực thi bởi mô-đun mật mã để bảo vệ các SSP của mô-đun không tham chiếu trong phụ lục F {TCVN 11295:2016} phải đáp ứng các yêu cầu sau.
CHÚ THÍCH Khẳng định này không được kiểm thử riêng biệt.
AS08.03: (An toàn không xâm lấn – Mức 1, 2, 3, và 4)
Các yêu cầu tài liệu được quy định trong tiểu mục A.2.8 {TCVN 11295:2016} phải được cung cấp.
Thông tin cần thiết từ nhà cung cấp
VE08.03.01: Nhà cung cấp phải cung cấp các yêu cầu tài liệu được quy định trong A.2.8 của TCVN 11295:2016.
Các thủ tục kiểm thử cần thiết
TE08.03.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp được quy định trong A.2.8 của TCVN 11295:2016.
AS08.04: (An toàn không xâm lấn – Mức 1, 2, 3, và 4)
Tài liệu phải quy định tất cả kỹ thuật giảm thiểu được sử dụng để bảo vệ các CSP của mô-đun khỏi các cuộc tấn công không xâm lấn được tham chiếu trong phụ lục F {TCVN 11295:2016}.
Thông tin cần thiết từ nhà cung cấp
VE08.04.01: Nhà cung cấp phải cung cấp tài liệu hỗ trợ quy định tất cả kỹ thuật giảm thiểu được sử dụng để bảo vệ các CSP của mô-đun từ các cuộc tấn công không xâm lấn được quy định trong phụ lục F {TCVN 11295:2016}.
Các thủ tục kiểm thử cần thiết
TE08.04.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp hỗ trợ quy định tất cả kỹ thuật giảm thiểu được sử dụng để bảo vệ các CSP của mô-đun khỏi các tấn công không xâm lấn được quy định trong phụ lục F {TCVN 11295:2016}.
AS08.05: (An toàn không xâm lấn – Mức 1, 2, 3, và 4)
Tài liệu phải bao gồm bằng chứng về hiệu quả của mỗi kỹ thuật giảm thiểu tấn công.
Thông tin cần thiết từ nhà cung cấp
VE08.05.01: Nhà cung cấp phải quy định rõ trong tài liệu về hiệu quả của các kỹ thuật giảm thiểu.
Các thủ tục kiểm thử cần thiết
TE08.05.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp các tài liệu quy định hiệu quả của các kỹ thuật giảm thiểu.
AS08.06: (An toàn không xâm lấn – Mức 3)
Mô-đun mật mã phải được kiểm tra để đáp ứng được các số liệu kiểm tra giảm thiểu tấn công không xâm lấn đã được phê duyệt cho mức an toàn 3 được quy định trong phụ lục F {TCVN 11295:2016}.
Thông tin cần thiết từ nhà cung cấp
VE08.06.01: Nhà cung cấp phải cung cấp tài liệu cho thấy mô-đun đáp ứng các số liệu kiểm tra giảm thiểu tấn công không xâm lấn đã được phê duyệt cho mức an toàn 3.
Các thủ tục kiểm thử cần thiết
TE08.06.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu rằng mô-đun đáp ứng các số liệu kiểm tra giảm thiểu tấn công không xâm lấn đã được phê duyệt cho mức an toàn 3.
AS08.07: (An toàn không xâm lấn – Mức 4)
Mô-đun mật mã phải được kiểm tra để đáp ứng số liệu kiểm tra giảm thiểu tấn công không xâm lấn đã được phê duyệt cho mức an toàn 4 được quy định trong phụ lục F {TCVN 11295:2016}.
Thông tin cần thiết từ nhà cung cấp
VE08.07.01: Nhà cung cấp phải cung cấp tài liệu rằng mô-đun đáp ứng các số liệu kiểm tra giảm thiểu tấn công không xâm lấn đã được phê duyệt cho mức an toàn 4.
Các thủ tục kiểm thử cần thiết
TE08.07.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu rằng mô-đun đáp ứng các số liệu kiểm tra giảm thiểu tấn công không xâm lấn đã được phê duyệt cho mức an toàn 4.
6.9 Quản lý tham số an toàn nhạy cảm
6.9.1 Các yêu cầu chung đối với quản lý tham số an toàn nhạy cảm
AS09.01: (Quản lý tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Các CSP phải được bảo vệ bên trong mô-đun tránh việc truy cập, sử dụng, tiết lộ, sửa đổi, và thay thế trái phép.
Thông tin cần thiết từ nhà cung cấp
VE09.01.01: Tài liệu của nhà cung cấp phải mô tả việc bảo vệ tất cả CSP bên trong mô-đun. Việc bảo vệ bao gồm thực thi các cơ chế bảo vệ chống lại việc truy cập, sử dụng, tiết lộ, sửa đổi, và thay thế trái phép.
Các thủ tục kiểm thử cần thiết
TE09.01.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp để mô tả việc bảo vệ các CSP. Kiểm thử viên phải xác minh rằng tài liệu mô tả cách thức những CSP được bảo vệ chống lại việc truy cập, sử dụng, tiết lộ, sửa đổi, và thay thế trái phép.
TE09.01.02: Kiểm thử viên phải cố gắng truy cập (bằng cách phá vỡ các cơ chế bảo vệ đã được mô tả) các CSP mà kiểm thử viên không có quyền truy cập. để đạt được khẳng định này, mô-đun được yêu cầu phải từ chối truy cập.
TE09.01.03: Kiểm thử viên phải cố gắng sửa đổi các CSP bằng cách sử dụng mọi phương thức không được quy định rõ trong tài liệu của nhà cung cấp.
CHÚ THÍCH Các CSP được mã hóa sử dụng thuật toán không được phê duyệt hoặc phương pháp độc quyền hoặc các phương thức khác dưới dạng bản rõ, nằm trong phạm vi của tiêu chuẩn này.
AS09.02: (Quản lý tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Các tham số PSP được bảo vệ bên trong mô-đun chống lại việc sửa đổi và thay thế trái phép.
Thông tin cần thiết từ nhà cung cấp
VE09.02.01: Tài liệu của nhà cung cấp phải mô tả cơ chế bảo vệ tất cả các tham số PSP chống lại việc sửa đổi và thay thế trái phép.
Các thủ tục kiểm thử cần thiết
TE09.02.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp mô tả cách thức các tham số PSP được bảo vệ khỏi việc sửa đổi và thay thế trái phép.
TE09.02.02: Kiểm thử viên phải cố gắng sửa đổi tất cả tham số PSP sử dụng phương thức bất kỳ không được quy định trong tài liệu của nhà cung cấp và cố gắng nhập chúng vào trong mô-đun.
AS09.03: (Quản lý tham số an toàn nhạy cảm – Mức 1,2, 3, và 4)
Một mô-đun phải kết hợp với một SSP được tạo ra, nhập vào hoặc xuất ra từ mô đun với các thực thể (ví dụ: người, nhóm, vai trò, hoặc quy trình) mà SSP đã được gán.
Thông tin cần thiết từ nhà cung cấp
VE09.03.01: Các thủ tục SSP được tài liệu hóa phải mô tả các cơ chế hoặc các thủ tục được sử dụng để đảm bảo cho mỗi tham số SSP được gắn chính xác với thực thể.
Các thủ tục kiểm thử cần thiết
TE09.03.01: Kiểm thử viên phải xác minh rằng thủ tục nhập/xuất các tham số SSP tạo ra địa chỉ để nhập hoặc xuất SSP được kết hợp chính xác với thực thể.
TE09.03.02: Đối với mỗi SSP có thể được nhập, trước tiên kiểm thử viên phải nhập tham số SSP trong khi giả định thực thể là chính xác. Kiểm thử viên sau đó phải xác minh rằng việc nhập là không thể khi giả định đối tượng là không chính xác.
TE09.03.03: Đối với mỗi SSP có thể xuất ra, trước tiên kiểm thử viên phải xuất tham số SSP trong khi giả định đối tượng là chính xác. Kiểm thử viên phải xác minh rằng việc xuất là không thể khi giả định đối tượng là không chính xác.
AS09.04: (Quản lý tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Giá trị băm của mật khẩu, thông tin trạng thái RBG và các giá trị sinh khóa trung gian được coi là các CSP.
Thông tin cần thiết từ nhà cung cấp
VE09.04.01: Nhà cung cấp phải cung cấp tài liệu quy định rõ các giá trị băm của mật khẩu, thông tin trạng thái RBG và các giá trị sinh khóa trung gian được định nghĩa là các CSP.
Các thủ tục kiểm thử cần thiết
TE09.04.01. Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rõ các giá trị băm của mật khẩu, thông tin trạng thái RBG và các giá trị sinh khóa trung gian được định nghĩa là các CSP.
TE09.04.02: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp chính sách an toàn quy định bất kỳ giá trị băm nào của mật khẩu, thông tin trạng thái RBG và các giá trị sinh khóa trung gian được định nghĩa là các CSP.
AS09.05: (Quản lý tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Các yêu cầu về tài liệu được quy định trong tiểu mục A.2.9 {TCVN 11295:2016} phải được cung cấp.
Thông tin cần thiết từ nhà cung cấp
VE09.05.01: Nhà cung cấp phải cung cấp yêu cầu tài liệu được quy định trong A.2.9 của TCVN 11295:2016.
Các thủ tục kiểm thử cần thiết
TE09.05.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp các tài liệu được quy định trong A.2.9 của TCVN 11295:2016.
6.9.2 Bộ sinh bit ngẫu nhiên
CHÚ THÍCH Một mô-đun mật mã có thể chứa nhiều RBG, một chuỗi RBG, hoặc có thể chỉ một RBG.
AS09.06: (Bộ sinh bit ngẫu nhiên – Mức 1, 2, 3, và 4)
Nếu một chức năng an toàn đã được phê duyệt, bộ sinh SSP hoặc phương thức thiết lập SSP yêu cầu các giá trị ngẫu nhiên, thì một bộ RBG đã được phê duyệt phải được sử dụng để cung cấp những giá trị này.
CHÚ THÍCH Các bộ RBG đã phê duyệt được liệt kê trong phụ lục C của TCVN 11295:2016.
Thông tin cần thiết từ nhà cung cấp
VE09.06.01: Nhà cung cấp phải cung cấp danh sách tất cả các RBG được sử dụng trong các chức năng an toàn đã được phê duyệt, bộ sinh SSP hoặc các phương thức thiết lập SSP trong mô-đun mật mã và cách sử dụng chính xác của chúng.
VE09.06.02: Nhà cung cấp phải cung cấp tài liệu rằng bất kỳ giá trị ngẫu nhiên nào được sử dụng bởi các chức năng an toàn đã được phê duyệt, bộ sinh SSP hoặc phương thức thiết lập SSP được cung cấp từ một RBG đã được phê duyệt.
Các thủ tục kiểm thử cần thiết
TE09.06.01: Kiểm thử viên phải xác minh rằng tất cả bộ RBG được sử dụng cho các chức năng an toàn đã được phê duyệt, bộ sinh SSP hoặc các phương thức thiết lập SSP được tài liệu hóa và cách sử dụng đã được quy định.
TE09.06.02: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng việc thực thi các bộ RBG được sử dụng bởi các chức năng an toàn đã được phê duyệt, bộ sinh SSP hoặc các phương thức thiết lập SSP tuân theo các RBG đã phê duyệt được liệt kê trong phụ lục C của TCVN 11295:2016.
TE09.06.03: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng mọi giá trị ngẫu nhiên được sử dụng bởi các chức năng an toàn đã được phê duyệt, bộ sinh SSP hoặc phương thức thiết lập SSP được cung cấp từ bộ RBG đã được phê duyệt.
AS09.07: (Bộ sinh bit ngẫu nhiên – Mức 1, 2, 3, và 4)
Nêu entropy được thu thập từ bên ngoài ranh giới của mô-đun mật mã, luồng dữ liệu được tạo ra bằng cách sử dụng đầu vào entropy này phải được coi là một CSP.
Thông tin cần thiết từ nhà cung cấp
VE09.07.01: Nhà cung cấp phải cung cấp tài liệu quy định luồng dữ liệu đầu vào được tạo ra từ việc thu thập entropy bên ngoài ranh giới của mô-đun mật mã được định nghĩa là một CSP.
Các thủ tục kiểm thử cần thiết
TE09.07.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rõ luồng dữ liệu đầu vào được tạo ra từ việc thu thập entropy bên ngoài ranh giới của mô-đun mật mã được định nghĩa là một CSP.
6.9.3 Sinh tham số an toàn nhạy cảm
AS09.08: (Sinh tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Phá hoại an toàn của phương thức sinh SSP sử dụng đầu ra của bộ RBG đã được phê duyệt (ví dụ: phỏng đoán giá trị mầm khóa để khởi tạo bộ RBG tất định) phải yêu cầu ít nhất các hoạt động để xác định giá trị của tham số SSP được tạo ra.
Thông tin cần thiết từ nhà cung cấp
VE09.08.01: Nhà cung cấp phải cung cấp tài liệu và cung cấp cơ sở luận lý cho thấy làm thế nào thỏa mãn yêu cầu an toàn của phương pháp sinh SSP (ví dụ: phỏng đoán giá trị mầm khóa để khởi tạo bộ RBG tất định) phải yêu cầu ít nhất các hoạt động để xác định giá trị của tham số SSP được tạo ra.
Các thủ tục kiểm thử cần thiết
TE09.08.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp cung cấp cơ sở luận lý cho thấy làm thế nào thỏa mãn yêu cầu an toàn của phương thức sinh SSP (ví dụ: phỏng đoán giá trị mầm khóa để khởi tạo bộ RBG tất định) phải yêu cầu ít nhất các hoạt động để xác định giá trị của tham số SSP được tạo ra.
TE09.08.02: Kiểm thử viên phải xác minh tính chính xác của cơ sở luận lý được nhà cung cấp đưa ra. Việc chứng minh là của nhà cung cấp; nếu có bất kỳ sự không chắc chắn hoặc nghi ngờ nào, kiểm thử viên phải yêu cầu nhà cung cấp cung cấp thêm thông tin nếu cần thiết.
AS09.09: (Sinh tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Các SSP được sinh ra bởi mô-đun mật mã từ đầu ra của bộ RBG đã được phê duyệt hoặc được dẫn xuất từ một SSP được nhập vào mô-đun và được sử dụng cho chức năng an toàn đã được phê duyệt hoặc phương pháp thiết lập SSP phải được tạo ra bằng cách sử dụng phương pháp sinh SSP đã phê duyệt được liệt kê trong phụ lục D {TCVN 11295:2016}.
CHÚ THÍCH Các phương pháp sinh tham số an toàn nhạy cảm đã phê duyệt được liệt kê trong phụ lục D của TCVN 11296:2016.
Thông tin cần thiết từ nhà cung cấp
VE09.09.01: Nhà cung cấp phải cung cấp danh sách tất cả SSP được tạo ra bằng mô-đun từ đầu ra của bộ RBG đã được phê duyệt hoặc được dẫn xuất từ một SSP được nhập vào mô-đun và được sử dụng cho chức năng an toàn đã được phê duyệt hoặc phương pháp thiết lập SSP được tạo ra bằng cách sử dụng phương pháp sinh SSP được sử dụng trong mô-đun mật mã và cách sử dụng chính xác của chúng.
VE09.09.02: Nhà cung cấp phải cung cấp tài liệu quy định rõ các SSP được sinh ra bằng mô-đun từ đầu ra của bộ RBG đã được phê duyệt hoặc được dẫn xuất từ một SSP nhập vào mô-đun và được sử dụng cho chức năng an toàn đã được phê duyệt hoặc phương pháp thiết lập SSP được tạo ra bằng cách sử dụng phương pháp sinh SSP đã được phê duyệt.
Các thủ tục kiểm thử cần thiết
TE09.09.01: Kiểm thử viên phải xác minh rằng tất cả SSP được sinh ra bằng mô-đun từ đầu ra của bộ RBG đã được phê duyệt hoặc được dẫn xuất từ một SSP nhập vào mô-đun và được sử dụng cho chức năng an toàn đã được phê duyệt hoặc phương pháp thiết lập SSP được ghi lại và cách sử dụng được xác định.
TE09.09.02: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng việc sinh các SSP thực thi bằng mô-đun từ đầu ra của bộ RBG đã được phê duyệt hoặc được dẫn xuất từ một SSP nhập vào mô-đun và sử dụng cho chức năng an toàn đã được phê duyệt hoặc phương pháp thiết lập SSP là tuân theo các phương pháp sinh SSP đã phê duyệt được liệt kê trong phụ lục D của TCVN 11295:2016.
6.9.4 Thiết lập tham số an toàn nhạy cảm
CHÚ THÍCH Thiết lập tham số an toàn nhạy cảm có thể bao gồm các phương thức vận chuyển SSP tự động hoặc các phương pháp thỏa thuận SSP hoặc nhập thủ công SSP hoặc đầu ra hoặc xuất ra thông qua phương pháp lấy trực tiếp hoặc điện tử.
AS09.10: (Thiết lập tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Việc thiết lập SSP tự động phải sử dụng một phương pháp đã phê duyệt được liệt kê trong phụ lục D của {TCVN 11295:2016}.
CHÚ THÍCH Các phương thức thiết lập tham số an toàn nhạy cảm đã phê duyệt được liệt kê trong phụ lục D của TCVN 11295:2016.
Thông tin cần thiết từ nhà cung cấp
VE09.10.01: Nhà cung cấp phải cung cấp danh sách tất cả phương thức thiết lập SSP tự động được sử dụng trong mô-đun mật mã và cách sử dụng chính xác của chúng.
Các thủ tục kiểm thử cần thiết
TE09.10.01: Kiểm thử viên phải xác minh rằng tất cả phương thức thiết lập SSP tự động được ghi lại và quy định cách sử dụng chúng.
TE09.10.02: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng việc thực thi các phương pháp thiết lập SSP tự động là tuân theo các phương thức thiết lập SSP tự động đã được phê duyệt được liệt kê trong phụ lục D của TCVN 11295:2016.
AS09.11: (Thiết lập tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Việc thiết lập SSP thủ công phải đáp ứng các yêu cầu trong tiểu mục 7.9.5 của {TCVN 11295:2016}.
CHÚ THÍCH Khẳng định này được kiểm thử như một phần của AS09.12 tới AS09.24.
6.9.5 Nhập và xuất tham số an toàn nhạy cảm
CHÚ THÍCH Các tham số an toàn nhạy cảm có thể được nhập hoặc xuất thủ công từ mô-đun một cách trực tiếp (ví dụ: nhập vào thông qua bàn phím hoặc phím số, hoặc hiển thị thông qua màn hình) hoặc điện tử (ví dụ: thông qua thẻ thông minh, thẻ PC, thiết bị nạp khóa điện tử khác, hoặc hệ điều hành riêng của mô-đun).
AS09.12: (Nhập và xuất tham số an toàn nhạy cảm – Mức 1, 2,3, và 4)
Nếu SSP được nhập vào hoặc xuất ra công từ một mô-đun, việc nhập hoặc xuất ra phải thông qua giao diện HMI, SFMI, HFMI hoặc HSMI được định nghĩa trong tiểu mục 7.3.2 của {TCVN 11295:2016}.
CHÚ THÍCH Khẳng định này được kiểm thử như một phần của AS03.04 tới AS03.15.
AS09.13: (Nhập và xuất tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Tất cả SSP được bảo vệ bởi thuật toán mật mã, được nhập vào hoặc xuất ra khỏi mô-đun phải được mã hóa sử dụng chức năng an toàn đã được phê duyệt.
Thông tin cần thiết từ nhà cung cấp
VE09.13.01: Tài liệu của nhà cung cấp phải quy định rõ tất cả SSP được bảo vệ bởi thuật toán mật mã mà được nhập vào hoặc xuất ra từ mô-đun mật mã.
VE09.13.02: Tài liệu của nhà cung cấp phải quy định rõ phương pháp mã hóa được sử dụng để bảo vệ các SSP bởi thuật toán mật mã được nhập vào hoặc xuất ra từ mô-đun mật mã.
Các thủ tục kiểm thử cần thiết
TE09.13.01: Kiểm thử viên phải xác minh rằng nhà cung cấp đã cung cấp tài liệu quy định rõ tất cả SSP được bảo vệ bằng thuật toán mật mã được nhập vào hoặc xuất ra từ mô-đun mật mã.
TE09.13.02: Kiểm thử viên phải xác minh rằng nhà cung cấp đã cung cấp tài liệu quy định rõ phương pháp mã hóa được sử dụng để bảo vệ SSP bằng thuật toán mật mã được nhập vào hoặc xuất ra từ mô-đun mật mã.
TE09.13.03: Kiểm thử viên phải xác minh rằng phương pháp mã hóa được sử dụng để bảo vệ các SSP bằng thuật toán mật mã mà được nhập vào hoặc xuất ra từ mô-đun mật mã thực thi chức năng an toàn phải được phê duyệt.
CHÚ THÍCH Đối với việc nhập trực tiếp SSP, các giá trị được nhập vào có thể tạm thời được hiển thị để cho phép kiểm tra trực quan và nâng cao độ chính xác.
AS09.14: (Nhập và xuất tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Nếu các SSP đã mã hóa được nhập trực tiếp vào mô-đun, thì các giá trị dạng rõ của các SSP phải không được hiển thị.
Thông tin cần thiết từ nhà cung cấp
VE09.14.01: Các cơ chế nhập SSP cho các SSP mã hóa đã được tài liệu hóa phải ngăn cản việc hiển thị các giá trị dạng rõ của chúng.
Các thủ tục kiểm thử cần thiết
TE09.14.01: Kiểm thử viên phải xác minh rằng các cơ chế nhập SSP cho các SSP mã hóa đã được tài liệu hóa phải ngăn cản việc hiển thị các giá trị dạng rõ của chúng trong suốt quá trình nhập SSP đã được mã hóa.
TE09.14.02: Kiểm thử viên phải nhập tất cả SSP đã mã hóa và phải quan sát giao diện đầu ra của mô-đun để xác minh rằng mọi giá trị SSP dạng rõ đều không được hiển thị.
AS09.15: (Nhập và xuất tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Việc nhập trực tiếp (bản rõ hoặc bản mã) các SSP phải được xác minh trong quá trình nhập vào mô-đun đảm bảo tính chính xác bằng cách sử dụng bài kiểm tra nhập thủ công có điều kiện được quy định trong tiểu mục 7.10.3.5 của {TCVN 11295:2016}.
CHÚ THÍCH Khẳng định này được kiểm thử như một phần của AS10.42 tới AS10.46.
AS09.16: (Nhập và xuất tham số an toàn nhạy cảm Mức 1, 2, 3, và 4)
Để ngăn chặn việc hiển thị vô ý các thông tin nhạy cảm, hai hành động độc lập nội bộ phải được yêu cầu để xuất ra CSP dạng rõ bất kỳ.
Thông tin cần thiết từ nhà cung cấp
VE09.16.01: Nếu mô-đun xuất ra CSP dạng rõ bất kỳ, tài liệu của nhà cung cấp phải mô tả các dịch vụ đầu ra.
VE09.16.02: Mô hình trạng thái hữu hạn và tài liệu khác của nhà cung cấp phải quy định rõ, đối với đầu ra của các CSP dạng rõ, có hai hành động độc lập nội bộ được yêu cầu.
Các thủ tục kiểm thử cần thiết
TE09.16.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp hoặc mô hình trạng thái hữu hạn rằng mô-đun cho phép xuất ra các CSP dạng rõ.
TE09.16.02: Kiểm thử viên phải xác minh mô hình trạng thái hữu hạn và tài liệu khác của nhà cung cấp rằng việc xuất ra các CSP dạng rõ yêu cầu hai hành động độc lập nội bộ theo thứ tự cho mô-đun mật mã để xuất ra các CSP dạng rõ.
TE09.16.03: Kiểm thử viên phải cố gắng xuất ra các CSP dạng rõ mà mô-đun không thực thi hai hành động độc lập nội bộ. Mô-đun phải thất bại nếu mô-đun cho phép xuất ra các CSP dạng rõ mà không có hai hành động độc lập nội bộ.
AS09.17: (Nhập và xuất tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Hai hành động độc lập nội bộ phải làm trung gian cho việc xuất ra các CSP dạng rõ.
CHÚ THÍCH Khẳng định này không được kiểm thử riêng biệt. Được kiểm thử như một phần của AS09.16.
AS09.18: (Nhập và xuất tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Đối với đầu vào hoặc đầu ra điện tử thông qua kết nối không dây; các CSP, thành phần khóa và dữ liệu xác thực phải được mã hóa.
Thông tin cần thiết từ nhà cung cấp
VE09.18.01: Nếu mô-đun nhập hoặc xuất các CPS, các thành phần khóa và dữ liệu xác thực thông qua giao diện không dây, thì tài liệu của nhà cung cấp phải mô tả các dịch vụ không dây.
VE09.18.02: Nếu mô-đun nhập hoặc xuất các CPS, các thành phần khóa và dữ liệu xác thực thông qua giao diện không dây, thì tài liệu của nhà cung cấp phải mô tả các phương pháp mã hóa được thực thi để mã hóa các CSP, các thành phần khóa và dữ liệu xác thực.
Các thủ tục kiểm thử cần thiết
TE09.18.01: Kiểm thử viên phải xác minh xem mô-đun có nhập hoặc xuất các CPS, các thành phần khóa và dữ liệu xác thực thông qua giao diện không dây hay không.
TE09.18.02: Kiểm thử viên phải xác minh rằng các phương pháp mã hóa được thực thi để mã hóa các CSP, các thành phần khóa và dữ liệu xác thực bằng các phương pháp mã hóa đã được phê duyệt.
CHÚ THÍCH Đối với mức an toàn 1 và 2, các CSP dạng rõ, các thành phần khóa và dữ liệu xác thực có thể được nhập vào và xuất ra thông qua các cổng vật lý và các giao diện logic được chia sẻ với các cổng vật lý và các giao diện logic khác của mô-đun mật mã.
AS09.19: (Nhập và xuất tham số an toàn nhạy cảm – Mức 1, và 2)
Đối với các mô-đun phần mềm hoặc các thành phần phần mềm của mô-đun phần mềm lai, các CSP, các thành phần khóa và dữ liệu xác thực có thể được nhập vào hoặc xuất ra dưới dạng bản rõ hoặc bản mã với điều kiện là các CSP, các thành phần khóa và dữ liệu xác thực phải được duy trì trong môi trường hoạt động và đáp ứng các yêu cầu của tiểu mục 7.6.3 {TCVN 11295:2016}.
Thông tin cần thiết từ nhà cung cấp
VE09.19.01: Đối với các mô-đun phần mềm hoặc các thành phần phần mềm của mô-đun phần mềm lai, nhà cung cấp phải cung cấp tài liệu rằng các CSP, các thành phần khóa và dữ liệu xác thực phải được nhập vào hoặc xuất ra dưới dạng bản rõ hoặc bản mã với điều kiện là các CSP, các thành phần khóa và dữ liệu xác thực phải được duy trì trong môi trường hoạt động và đáp ứng các yêu cầu trong 7.6.3 của TCVN 11295:2016 {AS06.05 đến AS06.29 được áp dụng}.
Các thủ tục kiểm thử cần thiết
TE09.19.01: Đối với các mô-đun phần mềm hoặc các thành phần phần mềm của mô-đun phần mềm lai, nhà cung cấp phải cung cấp tài liệu rằng các CSP, các thành phần khóa và dữ liệu xác thực phải được nhập vào hoặc xuất ra dưới dạng bản rõ hoặc bản mã với điều kiện là các CSP, các thành phần khóa và dữ liệu xác thực phải được duy trì trong môi trường hoạt động và đáp ứng các yêu cầu trong 7.6.3 của TCVN 11295:2016 {AS06.05 tới AS06.29 được áp dụng}.
AS09.20: (Nhập và xuất tham số an toàn nhạy cảm – Mức 3, và 4)
Các CSP, các thành phần khóa và dữ liệu xác thực phải được nhập vào hoặc xuất ra từ mô-đun có thể được mã hóa hoặc bằng kênh truyền tin cậy.
CHÚ THÍCH Khẳng định này được Kiểm thử như một phần của AS09.13 hoặc AS03.16 tới AS03.22.
AS09.21: (Nhập và xuất tham số an toàn nhạy cảm – Mức 3, và 4)
Các CSP là các khóa mật mã riêng và bí mật dạng rõ phải được nhập vào hoặc xuất ra từ mô–đun bằng cách sử dụng các thủ tục đã biết trước và sử dụng kênh truyền tin cậy.
Thông tin cần thiết từ nhà cung cấp
VE09.21.01: Nhà cung cấp phải cung cấp tài liệu quy định các thủ tục đã biết trước được thực thi trong mô-đun mật mã sử dụng kênh truyền tin cậy cho việc nhập vào hoặc xuất ra các khóa mật mã riêng và bí mật dạng rõ.
Các thủ tục kiểm thử cần thiết
TE09.21.01: Kiểm thử viên phải xác minh rằng tài liệu quy định các thủ tục đã biết trước được thực thi bởi mô-đun mật mã sử dụng kênh truyền tin cậy cho việc nhập vào hoặc xuất ra các khóa mật mã riêng và bí mật dạng rõ tuân theo việc thực hiện.
TE09.21.02: Kiểm thử viên phải xác minh rằng các thủ tục đã biết trước chia khóa làm nhiều thành phần khóa, với mỗi thành phần khóa riêng biệt không tiết lộ thông tin của khóa gốc.
TE09.21.03: Kiểm thử viên phải xác minh rằng một tập hợp con các thành phần đã biết trước hoặc tất cả thành phần được yêu cầu được nhập vào hoặc xuất ra cho mỗi khóa.
TE09.21.04: Kiểm thử viên phải xác minh rằng kênh truyền tin cậy thỏa mãn AS03.16 tới AS03.21 cho mức an toàn 3 và AS03.22 cho mức an toàn 4.
AS09.22: (Nhập và xuất tham số an toàn nhạy cảm – Mức 3)
Nếu mô-đun thực thi các thủ tục chia tách đã biết trước, mô-đun phải thực thi xác thực người vận hành dựa trên định danh riêng biệt để nhập vào hoặc xuất ra từng thành phần khóa, {và ít nhất hai thành phần khóa phải yêu cầu để tái tạo lại khóa mật mã ban đầu}.
Thông tin cần thiết từ nhà cung cấp
VE09.22.01: Tài liệu của nhà cung cấp phải quy định rõ rằng xác thực dựa trên định danh được sử dụng cho từng thành phần khóa riêng biệt.
Các thủ tục kiểm thử cần thiết
TE09.22.01: Kiểm thử viên phải xác minh rằng xác thực dựa trên định danh được thực thi cho từng thành phần khóa riêng biệt.
AS09.23: (Nhập và xuất tham số an toàn nhạy cảm – Mức 3)
{Nếu mô-đun thực thi các thủ tục chia tách đã biết trước, thì mô-đun phải thực hiện xác thực người vận hành dựa trên định danh riêng biệt cho việc nhập vào hoặc xuất ra từng thành phần khóa,} và ít nhất hai thành phần khóa phải được yêu cầu để tái tạo lại khóa mật mã ban đầu.
Thông tin cần thiết từ nhà cung cấp
VE09.23.01: Tài liệu của nhà cung cấp phải quy định rõ số lượng các thành phần được yêu cầu để cấu trúc nên CSP dạng gốc.
Các thủ tục kiểm thử cần thiết
TE09.23.01: Kiểm thử viên phải xác minh trong tài liệu của nhà cung cấp rằng thủ tục chia tách thông tin đã biết yêu cầu ít nhất hai thành phần để cấu trúc nên CSP dạng rõ.
TE09.23.02: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp rằng việc xuất ra các CSP bằng các thủ tục chia tách thông tin đã biết không được hiển thị ở đầu ra của một thành phần đơn lẻ mà có thể được sử dụng để cấu trúc nên CSP ban đầu.
AS09.24: (Nhập và xuất tham số an toàn nhạy cảm – Mức 4)
Mô-đun phải thực hiện xác thực người vận hành dựa trên định danh nhiều yếu tố riêng biệt cho việc nhập vào hoặc xuất ra mỗi thành phần khóa.
Thông tin cần thiết từ nhà cung cấp
VE09.24.01: Tài liệu của nhà cung cấp phải quy định rõ việc xác thực dựa trên định danh nhiều yếu tố được thực hiện cho mỗi thành phần khóa riêng biệt.
Các thủ tục kiểm thử cần thiết
TE09.24.01: Kiểm thử viên phải xác minh rằng việc xác thực dựa trên định danh nhiều yếu tố được thực hiện cho mỗi thành phần khóa riêng biệt.
TE09.24.02: Kiểm thử viên phải xác minh phương pháp xác thực nhiều yếu tố theo AS04.59.
6.9.6 Lưu trữ tham số an toàn nhạy cảm
AS09.25: (Lưu trữ tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Một mô-đun phải kết hợp mọi SSP được lưu trữ bên trong mô-đun với thực thể (ví dụ: người vận hành, vai trò, hoặc tiến trình) mà các SSP được gán.
Thông tin cần thiết từ nhà cung cấp
VE09.25.01: Tài liệu của nhà cung cấp về lưu trữ khóa phải mô tả các cơ chế hoặc thủ tục được sử dụng để đảm bảo rằng mỗi khóa được liên kết chính xác với thực thể.
Các thủ tục kiểm thử cần thiết
TE09.25.01: Kiểm thử viên phải xác minh tài liệu về lưu trữ khóa rằng các thủ tục giải quyết cách thức một khóa lưu trữ được liên kết chính xác với thực thể.
TE09.25.02: Kiểm thử viên phải sửa đổi liên kết giữa khóa với thực thể. Kiểm thử viên phải cố gắng thực hiện các chức năng mật mã như là một trong các thực thể và phải xác minh xem những chức năng này có bị lỗi hay không.
AS09.26: (Lưu trữ tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Cấm người vận hành trái phép truy cập vào các CSP dạng rõ.
CHÚ THÍCH Khẳng định này được kiểm thử trong AS09.01.
AS09.27: (Lưu trữ tham số an toàn nhạy cảm – Mức 1, 2, 3, và 4)
Cấm người vận hành trái phép sửa đổi các PSP.
Thông tin cần thiết từ nhà cung cấp
VE09.27.01: Nhà cung cấp phải cung cấp tài liệu mô tả về việc cấm người vận hành trái phép sửa đổi các PSP.
Các thủ tục kiểm thử cần thiết
TE09.27.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp có mô tả việc cấm người vận hành trái phép sửa đổi các PSP.
TE09.27.02: Kiểm thử viên phải đóng vai trò người vận hành trái phép và cố gắng sửa đổi các PSP được lưu trữ bên trong mô-đun và xác minh rằng mọi nỗ lực tiến hành sửa đổi là không thành công.
6.9.7 Xóa tham số an toàn nhạy cảm
AS09.28: (Xóa tham số an toàn nhạy cảm – Mức 1, 2, 3, 4)
Một mô-đun phải được cung cấp các phương thức xóa trắng toàn bộ các SSP không được bảo vệ và các thành phần chính của nỏ
CHÚ THÍCH 1 Khẳng định này được kiểm thử trong AS09.30.
CHÚ THÍCH 2 Các SSP lưu trữ tạm thời và các giá trị lưu trữ khác của mô-đun cần phải được xóa trắng khi không còn cần thiết sử dụng trong tương lai.
AS09.29: (Xóa tham số an toàn nhạy cảm – Mức 1, 2, 3, 4)
Một SSP bị xóa trắng thì không thể khôi phục hoặc dùng lại.
Thông tin cần thiết từ nhà cung cấp
VE09.29.01: Tài liệu của nhà cung cấp phải quy định rõ cách thức để một SSP bị xóa trắng không thể khôi phục lại hoặc dùng lại.
Các thủ tục kiểm thử cần thiết
TE09.29.01: Kiểm thử viên phải xác minh rằng nhà cung cấp có cung cấp tài liệu quy định rõ cách thức để một SSP bị xóa trắng không thể khôi phục lại hoặc dùng lại.
TE9.29.02: Kiểm thử viên phải xác minh tính chính xác của mọi nguyên nhân được cung cấp bởi nhà cung cấp. Trách nhiệm việc chứng minh là của nhà cung cấp; nếu có bất kỳ sự không chắc chắn hoặc nghi ngờ nào thì kiểm thử viên phải yêu cầu nhà cung cấp cung cấp thêm các thông tin cần thiết.
CHÚ THÍCH 1 Việc xóa các PSP được bảo vệ, CSP mã hóa hoặc CSP được bảo vệ vật lý hoặc logic trong một mô-đun nhúng bổ sung đã kiểm tra hợp lệ (đáp ứng các yêu cầu của tiêu chuẩn này) là không cần thiết.
CHÚ THÍCH 2 Các SSP không cần những yêu cầu xóa này nếu chúng được dùng độc quyền để tiết lộ bản rõ tới các quá trình xác thực Proxy (ví dụ: một CSP là khóa khởi tạo mô-đun).
AS09.30: (Xóa tham số an toàn nhạy cảm – Mức 2, 3, và 4)
Mô-đun mật mã phải thực thi việc xóa các SSP không được bảo vệ (ví dụ: ghi đè với tất cả các số 0 hoặc tất cả các số 1 hoặc với dữ liệu ngẫu nhiên)
Thông tin cần thiết từ nhà cung cấp
VE09.30.01: Tài liệu của nhà cung cấp cần quy định rõ thông tin xóa các SSP như sau:
- a) Các kỹ thuật xóa
- b) Các giới hạn khi các SSP dạng rõ có thể bị xóa
- c) Các SSP dạng rõ bị xóa
- d) Các SSP dạng rõ không bị xóa và nguyên nhân
- e) Nguyên nhân giải thích cách thức kỹ thuật xóa được thực thi trong thời gian không đủ để thỏa hiệp các SSP dạng rõ
Các thủ tục kiểm thử cần thiết
TE09.30.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp có bao gồm các thông tin được quy định rõ trong VE09.30.01. Kiểm thử viên phải xác minh tính chính xác của mọi nguyên nhân từ nhà cung cấp. Trách nhiệm chứng minh thuộc về nhà cung cấp, nếu có bất kỳ sự không chắc chắn hoặc nghi ngờ nào, kiểm thử viên cần yêu cầu nhà cung cấp cung cấp thêm các thông tin cần thiết.
TE09.30.02: Kiểm thử viên phải xác minh khóa nào đang dùng trong mô-đun và khởi tạo lệnh xóa. Sau khi hoàn thành lệnh xóa, kiểm thử viên phải thử thực hiện các thao tác mật mã bằng cách sử dụng từng SSP dạng rõ được lưu trữ trong mô-đun. Kiểm thử viên phải xác minh rằng mỗi SSP dạng rõ không thể được truy cập.
TE09.30.03: Kiểm thử viên phải bắt đầu xóa và xác minh phương pháp hủy khóa được thực hiện trong một khoảng thời gian không đủ để thỏa hiệp các SSP bản rõ.
TE09.30.04: Kiểm thử viên phải xác minh rằng tất cả SSP dạng rõ không bị xóa bằng lệnh xóa đều là
1) được mã hóa sử dụng một thuật toán đã được phê duyệt, hoặc 2) được bảo vệ về mặt vật lý hoặc logic trong một mô-đun mật mã nhúng được kiểm tra hợp lệ (được kiểm tra là tuân theo tiêu chuẩn TCVN 11295:2016).
AS09.31: (Xóa tham số an toàn nhạy cảm – Mức 2, 3, và 4)
Việc xóa phải loại trừ việc ghi đè lên một SSP không được bảo vệ bằng một SSP khác không được bảo vệ.
Thông tin cần thiết từ nhà cung cấp
VE09.31.01: Tài liệu của nhà cung cấp phải quy định rõ rằng việc xóa loại trừ việc ghi đè lên một SSP không được bảo vệ bằng một SSP khác không được bảo vệ.
Các thủ tục kiểm thử cần thiết
TE09.31.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rằng việc xóa loại trừ việc ghi đè lên của một SSP không được bảo vệ bằng một SSP khác không được bảo vệ.
AS09.32: (Xóa tham số an toàn nhạy cảm – Mức 2, 3, và 4)
Các SSP tạm thời phải được xóa khi không còn cần thiết nữa.
Thông tin cần thiết từ nhà cung cấp
VE09.32.01: Tài liệu của nhà cung cấp phải quy định rõ rằng các SSP tạm thời phải bị xóa khi chúng không còn cần thiết nữa.
Các thủ tục kiểm thử cần thiết
TE09.32.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rằng các SSP tạm thời bị xóa khi không cần thiết nữa.
AS09.33: (Xóa tham số an toàn nhạy cảm – Mức 2, 3, và 4)
Mô-đun phải cung cấp một bộ biểu thị trạng thái đầu ra khi việc xóa về ‘0’ hoàn tất.
Thông tin cần thiết từ nhà cung cấp
VE09.33.01: Tài liệu của nhà cung cấp phải quy định rõ rằng mô-đun cung cấp một bộ chỉ thị trạng thái đầu ra khi việc xóa về ‘0’ hoàn tất {AS03.11}.
Các thủ tục kiểm thử cần thiết
TE09.33.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu quy định rằng mô-đun cung cấp một bộ chỉ thị trạng thái đầu ra khi việc xóa hoàn tất.
TE09.33.02: Kiểm thử viên phải thực hiện việc xóa và xác minh bộ chỉ thị trạng thái đầu ra.
AS09.34: (Xóa tham số an toàn nhạy cảm – Mức 4)
Các yêu cầu sau đây: AS09.35 đến AS09.37 của {TCVN 11295:2016} phải được đáp ứng:
CHÚ THÍCH Khẳng định này được kiểm tra trong AS09.35 đến AS09.37.
AS09.35: (Xóa tham số an toàn nhạy cảm – Mức 4)
Việc xóa phải được thực hiện ngay lập tức và không bị gián đoạn {và phải xảy ra trong một khoảng thời gian đủ nhỏ để tránh sự phục hồi của dữ liệu nhạy cảm trong thời gian từ lúc việc xóa được bắt đầu đến khi hoàn thành và {AS09.37 phải được đáp ứng}}.
CHÚ THÍCH Khẳng định này được kiểm tra trong AS09.36.
AS09.36: (Xóa tham số an toàn nhạy cảm – Mức 4)
{Việc xóa phải được thực hiện ngay lập tức và không bị gián đoạn} và phải xảy ra trong một khoảng thời gian đủ nhỏ để tránh sự phục hồi của dữ liệu nhạy cảm trong thời gian từ lúc việc xóa được bắt đầu đến khi hoàn thành và {AS09.37 phải được đáp ứng}.
Thông tin cần thiết từ nhà cung cấp
VE09.36.01: Nhà cung cấp phải cung cấp tài liệu cho thấy việc xóa mô-đun là ngay lập tức và không bị gián đoạn và xảy ra trong khoảng thời gian đủ nhỏ để ngăn chặn sự khôi phục dữ liệu nhạy cảm giữa thời gian từ lúc việc xóa được bắt đầu đến khi hoàn thành.
Các thủ tục kiểm thử cần thiết
TE09.36.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp cho thấy mô-đun xóa là ngay lập tức và không gián đoạn và xảy ra trong khoảng thời gian đủ nhỏ để ngăn chặn sự khôi phục dữ liệu nhạy cảm giữa thời gian từ lúc việc xóa được bắt đầu đến khi hoàn thành.
TE09.36.02: Kiểm thử viên phải thực hiện xóa mô-đun. Kiểm thử viên phải cố gắng làm gián đoạn quá trình xóa để ngăn việc hoàn thành toàn bộ hoặc một phần.
AS09.37: (Xóa tham số an toàn nhạy cảm – Mức 4)
Tất cả SSP phải được xóa cho dù ở dạng rõ hay được bảo vệ bằng mật mã sao cho mô-đun được trả lại trạng thái ban đầu.
Thông tin cần thiết từ nhà cung cấp
VE09.37.01: Nhà cung cấp phải cung cấp tài liệu rằng tất cả SSP không được bảo vệ đều bị xóa cho dù là bản rõ hay bản mã sao cho mô-đun được trả lại trạng thái ban đầu.
Các thủ tục kiểm thử cần thiết
TE09.37.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp rằng tất cả SSP không được bảo vệ đều bị xóa cho dù là bản rõ hay bản mã sao cho mô-đun được trả lại trạng thái ban đầu.
TE09.37.02: Kiểm thử viên phải thực hiện xóa mô-đun. Kiểm thử viên phải xác minh rằng mô-đun được trả lại trạng thái ban đầu.
6.10 Tự kiểm tra
6.10.1 Các yêu cầu chung đối với tự kiểm tra
AS10.01: (Tự kiểm tra – Mức 1, 2, 3, và 4)
Tất cả tự kiểm tra phải được thực hiện, {và kết quả vượt qua hay thất bại phải được thực hiện bởi mô-đun, không có can thiệp điều khiển từ bên ngoài, các vectơ ký tự đầu vào được cung cấp bên ngoài, kết quả đầu ra mong đợi, hoặc sự can thiệp của người vận hành hoặc mô-đun này phải hoạt động theo chế độ được phê duyệt hoặc không được phê duyệt}.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt.
AS10.02: (Tự kiểm tra – Mức 1, 2, 3, và 4)
{Tất cả tự kiểm tra phải được thực hiện} và kết quả vượt qua hay thất bại phải được thực hiện bởi mô-đun, không có can thiệp điều khiển từ bên ngoài, các vectơ ký tự đầu vào được cung cấp bên ngoài, kết quả đầu ra mong đợi, hoặc sự can thiệp của người vận hành hoặc mô-đun này phải hoạt động theo chế độ được phê duyệt hay không được phê duyệt.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt.
AS10.03: (Tự kiểm tra – Mức 1, 2, 3, và 4)
Tự kiểm tra tiền hoạt động phải được thực hiện và vượt qua thành công trước khi mô-đun cung cấp mọi dữ liệu xuất ra thông qua giao diện đầu ra dữ liệu.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.15.
AS 10.04: (Tự kiểm tra – Mức 1, 2, 3, và 4)
Tự kiểm tra có điều kiện phải được thực hiện khi một chức năng hoặc quy trình an toàn được áp dụng được gọi ra (tức là các chức năng an toàn phải được tự kiểm tra).
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.25.
AS10.05: (Tự kiểm tra – Mức 1, 2, 3, và 4)
Tất cả phép tự kiểm tra được quy định trong các tiêu chuẩn thuật toán cơ bản (Các phụ lục C đến E {TCVN 11295:2016}) phải được thực thi theo mô-đun mã hóa.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.06.
AS10.06: (Tự kiểm tra – Mức 1, 2, 3, và 4)
Tất cả phép tự kiểm tra được quy định bổ sung hoặc thay cho các phép đo được quy định trong các tiêu chuẩn cơ bản (Các phụ lục C đến E {TCVN 11295:2016}) phải được thực hiện như được quy định tại các phụ lục C đến E {TCVN 11295:2016} cho mỗi chức năng an toàn được phê duyệt, phương pháp thiết lập SSP và cơ chế xác thực.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.01 đến AS10.04.
AS10.07: (Tự kiểm tra – Mức 1, 2, 3, và 4)
Nếu một mô-đun mật mã thất bại trong việc tự kiểm tra, mô-đun này phải nhập vào một trạng thái lỗi {và phải xuất ra một chỉ thị lỗi được quy định trong tiểu mục 7.3.3 của {TCVN 11295:2016}}.
Thông tin cần thiết từ nhà cung cấp
VE10.07.01: Với mỗi tình trạng lỗi, tài liệu của nhà cung cấp phải cung cấp tên tình trạng, mô tả tình trạng, các sự kiện có thể tạo ra tình trạng lỗi, và các hành động cần thiết để xử lý tình trạng và tiếp tục hoạt động bình thường.
Các thủ tục kiểm thử cần thiết
TE10.07.01: Kiểm thử viên phải xác minh danh sách các phép tự kiểm tra nằm trong danh sách sau:
- a) Tự kiểm tra tiền hoạt động
1) Kiểm tra tính toàn vẹn của phần mềm/phần sụn tiền hoạt động
2) Kiểm tra nối tắt tiền hoạt động
3) Kiểm tra các chức năng chính tiền hoạt động
- b) Tự kiểm tra có điều kiện
1) Kiểm tra thuật toán mật mã có điều kiện
2) Kiểm tra tính nhất quán cặp đôi có điều kiện
3) Kiểm tra nạp phần mềm/phần sụn có điều kiện
4) Kiềm tra nhập vào thủ công có điều kiện
5) Kiểm tra vượt qua có điều kiện
6) Kiểm tra các chức năng chính có điều kiện
TE10.07.02: Kiểm thử viên phải kiểm tra xem thông tin được cung cấp ở trên được quy định rõ cho mỗi tình trạng lỗi.
TE10.07.03: Kiểm thử viên phải gây ra tình trạng lỗi và phải cố gắng xóa tình trạng lỗi. Kiểm thử viên phải xác minh rằng các hành động cần thiết để xóa tình trạng lỗi tuân theo tài liệu của nhà cung cấp. Nếu kiểm thử viên không thể gây ra tình trạng lỗi, kiểm thử viên phải xác minh danh sách mã và/hoặc tài liệu thiết kế liệu các hành động cần thiết để xóa từng tình trạng lỗi tuân theo các mô tả trong tài liệu của nhà cung cấp.
TE10.07.04: Kiểm thử viên phải xác minh rằng tất cả phép tự kiểm tra đều được thực hiện bất kể mô- đun mật mã hoạt động ở chế độ được phê duyệt hay không được phê duyệt.
TE10.07.05: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng khẳng định thành công hay thất bại tại mỗi phép tự kiểm tra bởi mô-đun mà không có điều khiển bên ngoài từ các vectơ đầu vào được cung cấp bên ngoài, các vectơ này là kết quả đầu ra dự kiến, hoặc sự can thiệp của người vận hành.
AS10.08: (Tự kiểm tra – Mức 1, 2, 3, và 4)
{Nếu một mô-đun mật mã thất bại trong việc tự kiểm tra, mô-đun phải nhập vào trạng thái lỗi} và xuất ra một chỉ thị lỗi như được quy định rõ trong tiểu mục 7.3.3 {TCVN 11295:2016}.
Thông tin cần thiết từ nhà cung cấp
VE10.08.01: Nhà cung cấp phải ghi chép tất cả trạng thái lỗi liên quan đến mỗi lần tự kiểm tra và phải quy định rõ chỉ thị lỗi cho mỗi tình trạng lỗi.
Các thủ tục kiểm thử cần thiết
TE10.08.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp, kiểm tra xem nó có liệt kê tất cả tình trạng lỗi mà mô-đun đó nhập vào khi không tự kiểm tra, và quy định rõ chỉ thị lỗi liên quan đến mỗi trạng thái lỗi. Kiểm thử viên phải so sánh danh sách các trạng thái lỗi với các trạng thái quy định trong mô-đun trạng thái hữu hạn (xem AS11.10) để xác minh rằng chúng tương ứng.
TE10.08.02: Bằng cách kiểm tra tài liệu của nhà cung cấp quy định rõ cách thức mỗi lần tự kiểm tra xử lý lỗi, kiểm thử viên phải xác minh rằng:
- a) Mô-đun nhập trạng thái lỗi khi không tự kiểm tra.
- b) Trạng thái lỗi tuân theo tài liệu và mô hình trạng thái hữu hạn.
- c) Mô-đun đưa ra một chỉ thị lỗi.
- d) Chỉ thị lỗi tuân theo tài liệu chỉ thị lỗi.
TE10.08.03: Kiểm thử viên phải chạy mỗi lần tự kiểm tra và làm cho mô-đun chuyển vào trạng thái lỗi. Kiểm thử viên phải so sánh chỉ thị lỗi quan sát được với chỉ thị lỗi được quy định rõ trong tài liệu của nhà cung cấp. Nếu chúng không giống nhau thì kiểm tra này không thành công.
AS10.09: (Tự kiểm tra – Mức 1, 2, 3, và 4)
Mô-đun mật mã phải không thực thi bất kỳ thao tác mật mã hoặc xuất ra đầu ra và dữ liệu thông qua giao diện đầu ra điều khiển và dữ liệu trong khi ở trạng thái lỗi.
Thông tin cần thiết từ nhà cung cấp
VE10.09.01: Yêu cầu về tài liệu của nhà cung cấp được quy định trong VE03.07.01, VE03.07.02, VE03.10.01 và VE03.10.02. Thiết kế của nhà cung cấp cũng phải đảm bảo rằng các thao tác mật mã không thể được thực hiện trong khi mô-đun này ở trạng thái lỗi.
Các thủ tục kiểm thử cần thiết
TE10.09.01: Kiểm thử viên phải xác minh rằng sự kiểm soát đầu ra điều khiển và dữ liệu được thực hiện theo TE03.07.01, TE03.07.02, TE03.10.01, TE03.10.02 và TE03.10.05. Kết quả của việc xác minh phải chỉ ra rằng:
- a) Tài liệu của nhà cung cấp cho thấy rằng tất cả điều khiển và dữ liệu xuất ra thông qua giao diện đầu ra điều khiển và dữ liệu được khóa bất cứ khi nào mô-đun đang ở trong trạng thái lỗi.
- b) Mô-đun kiểm soát tất cả đầu ra điều khiển và dữ liệu khi mô-đun ở trạng thái lỗi.
TE10.09.02: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp quy định rõ rằng các chức năng mật mã bị khóa trong khi mô-đun đang ở trạng thái lỗi.
TE10.09.03: Kiểm thử viên phải làm cho mô-đun nhập trạng thái lỗi và xác minh rằng các thao tác mật mã mà kiểm thử viên cố gắng khởi tạo đều bị khóa.
AS10.10: (Tự kiểm tra – Mức 1, 2, 3, và 4)
Mô-đun mật mã phải không được sử dụng bất kỳ chức năng nào phụ thuộc vào một hàm hoặc thuật toán mà không thành công trong việc tự kiểm tra cho đến khi việc tự kiểm tra có liên quan được thực hiện lại và đã thành công.
Thông tin cần thiết từ nhà cung cấp
VE10.10.0T. Nhà cung cấp phải cung cấp tài liệu thiết kế mà mô-đun mật mã không thể sử dụng bất kỳ chức năng nào phụ thuộc vào một hàm hoặc thuật toán mà không thành công trong việc tự kiểm tra cho đến khi việc tự kiểm tra có liên quan được thực hiện lại và đã thành công.
Các thủ tục kiểm thử cần thiết
TE10.10.01: Kiểm thử viên phải gây ra lỗi trong một chức năng hoặc thuật toán thất bại trong việc tự kiểm tra và khởi tạo một chức năng sau đó sử dụng chúng và xác minh rằng mô-đun không thể sử dụng chức năng này.
TE10.10.02: Kiểm thử viên phải chạy từng lần tự kiểm tra và làm cho mô-đun nhập vào mọi trạng thái lỗi hoặc hoạt động bị xuống cấp. Kiểm thử viên phải sử dụng mô-đun mật mã và xác minh rằng chức năng này không thể được sử dụng cho đến khi tự kiểm tra lại được lặp lại và được thông qua thành công.
AS10.11: (Tự kiểm tra – Mức 1, 2, 3, và 4)
Nếu một mô-đun không xuất ra tình trạng lỗi khi từ chối tự kiểm tra của mô-đun thì người vận hành mô-đun phải có thể quy định xem mô-đun đã nhập vào một trạng thái lỗi thông qua thủ tục rõ ràng được ghi trong chính sách an toàn (phụ lục B của {TCVN 11295:2016}).
Thông tin cần thiết từ nhà cung cấp
VE10.11.01: Nếu mô-đun không xuất ra tình trạng lỗi khi từ chối tự kiểm tra của mô-đun, nhà cung cấp đưa ra chính sách an toàn không bản quyền phải mô tả một cách rõ ràng thủ tục để quy định xem mô-đun mật mã đã chuyển sang trạng thái lỗi hay không.
Các thủ tục kiểm thử cần thiết
TE10.11.01; Kiểm thử viên phải chạy từng lần tự kiểm tra và gây ra lỗi cho mô-đun. Kiểm thử viên phải xác minh rằng mô-đun đã chuyển sang trạng thái lỗi thông qua thủ tục được ghi trong chính sách an toàn không bản quyền.
AS10.12: (Tự kiểm tra – Mức 3, và 4)
Mô-đun này phải duy trì một bản ghi lỗi có thể truy cập được bởi một người vận hành được ủy quyền trong mô-đun.
Thông tin cần thiết từ nhà cung cấp
VE10.12.01: Tài liệu của nhà cung cấp phải quy định rõ chức năng ghi nhật ký lỗi của mô-đun bao gồm các loại thông tin đã ghi trong nhật ký lỗi (ví dụ: khi tự kiểm tra thất bại, khi lỗi xảy ra).
VE10.12.02: Tài liệu của nhà cung cấp phải mô tả cơ chế duy trì tính toàn vẹn của bản ghi lỗi.
Các thủ tục kiểm thử cần thiết
TE10.12.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng một người vận hành trái phép không thể truy cập vào nhật ký lỗi.
TE10.12.02: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp rằng chức năng ghi nhật ký lỗi cung cấp thông tin, ở mức tối thiểu là sự kiện lỗi gần đây nhất.
CHÚ THÍCH TE này là bao gồm cả khẳng định AS10.13.
TE10.12.03. Kiểm thử viên phải đưa mô-đun mật mã vào trạng thái lỗi và xác minh rằng mô-đun này tạo ra nhật ký lỗi, ở mức tối thiểu là bỏ qua lỗi gần đây nhất.
TE10.12.04: Kiểm thử viên phải truy cập vào nhật ký lỗi mà không cần giả định bất kỳ vai trò được xác thực nào được hỗ trợ bởi mô-đun mật mã. Nếu có thể truy cập vào bản ghi lỗi, thì khẳng định này thất bại.
TE 10.12.05: Kiểm thử viên phải sử dụng mô-đun mật mã và xác minh rằng bản ghi lỗi được bảo vệ chống lại sự sửa đổi và thay thế trái phép.
AS10.13: (Tự kiểm tra – Mức 3, và 4)
Nhật ký lỗi phải cung cấp thông tin tối thiểu là sự cố lỗi gần đây nhất (tức là việc tự kiểm tra không thành công).
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.12.
AS10.14: (Tự kiểm tra – Mức 1, 2, 3, và 4)
Các yêu cầu tài liệu quy định tại tiểu mục A.2.10 của {TCVN 11295:2016} phải được cung cấp.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của ASA.01.
6.10.2 Tự kiểm tra tiền hoạt động
6.10.2.1 Các yêu cầu chung đối với tự kiểm tra tiền hoạt động
AS10.15: (Tự kiểm tra tiền hoạt động – Mức 1, 2, 3, và 4)
Tự kiểm tra tiền hoạt động phải được thực hiện và được thông qua thành công bởi một mô-đun mật mã giữa thời gian một mô-đun mật mã được bật hoặc khởi tạo (sau khi tắt nguồn, khởi tạo lại, khởi động lại, khởi động lạnh, ngắt điện…) và trước khi mô-đun chuyển sang trạng thái hoạt động.
Thông tin cần thiết từ nhà cung cấp
VE10.15.01: Tài liệu của nhà cung cấp phải cung cấp thông tin cho từng phép tự kiểm tra tiền hoạt động.
VE10.15.02: Nhà cung cấp phải cung cấp chuỗi các phép tự kiểm tra tiền hoạt động giữa thời gian mô-đun được bật hoặc khởi tạo và trước khi mô-đun chuyển sang trạng thái hoạt động.
Các thủ tục kiểm thử cần thiết
TE10.15.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp quy định rõ mỗi phép tự kiểm tra tiền hoạt động. Kiểm thử viên phải xác minh rằng các phép tự kiểm tra tiền hoạt động được thực hiện như đã quy định.
TE10.15.02: Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh từng phép tự kiểm tra tiền hoạt động được thực hiện và vượt qua thành công giữa thời gian mô-đun mật mã được bật hoặc khởi tạo và trước khi mô-đun chuyển đổi sang trạng thái hoạt động.
AS10.16: (Tự kiểm tra tiền hoạt động – Mức 1, 2, 3, và 4)
Một mô-đun mật mã phải thực thi các phép kiểm tra tiền hoạt động sau đây, nếu có:
– Kiểm tra tính toàn vẹn của phần mềm/phần sụn tiền hoạt động;
– Kiểm tra nối tắt tiền hoạt động; và
– Kiểm tra chức năng chính tiền hoạt động.
CHÚ THÍCH Khẳng định này được kiểm tra như một phần của AS10.17 đến AS10.24.
6.10.2.2 Kiểm tra tính toàn vẹn của phần mềm/phần sụn tiền hoạt động
AS10.17: (Kiểm tra tính toàn vẹn của phần mềm/phần sụn tiền hoạt động – Mức 1, 2, 3 và 4)
Tất cả thành phần phần mềm và phần sụn trong ranh giới mật mã được xác minh bằng cách sử dụng một kỹ thuật toàn vẹn được phê duyệt hoặc EDC đáp ứng các yêu cầu được quy định trong tiểu mục 7.5 {TCVN 11295:2016}.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt. Được kiểm tra như một phần của AS05.05 đến AS05.23.
AS10.18: (Kiểm tra tính toàn vẹn của phần mềm/phần sụn tiền hoạt động – Mức 1, 2, 3 và 4)
Nếu quá trình xác minh thất bại thì kiểm tra tính toàn vẹn của phần mềm/phần sụn tiền hoạt động phải thất bại.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt.
AS10.19: (Kiểm tra tính toàn vẹn của phần mềm/phần sụn tiền hoạt động – Mức 1, 2, 3, và 4)
Nếu một mô-đun phần cứng không có phần mềm hoặc phần sụn, mô-đun này phải thực hiện ít nhất một phép tự kiểm tra thuật toán mật mã đã được quy định trong tiểu mục 7.10.3.2 của {TCVN 11295:2016} như là tự kiểm tra tiền hoạt động.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt.
AS10.20: (Kiểm tra tính toàn vẹn của phần mềm/phần sụn tiền hoạt động – Mức 1, 2, 3, và 4)
Thuật toán mật mã được sử dụng để thực hiện kỹ thuật toàn vẹn được phê duyệt cho kiểm tra phần mềm/phần sụn tiền hoạt động trước tiên phải vượt qua việc tự kiểm tra thuật toán mật mã được quy định theo tiểu mục 7.10.3.2 của {TCVN 11295:2016}.
Thông tin cần thiết từ nhà cung cấp
VE10.20.01: Yêu cầu tài liệu của nhà cung cấp được quy định rõ trong VE10.15.02.
Các thủ tục kiểm thử cần thiết
TE10.20.01; Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh xem việc kiểm thử thuật toán mật mã đã được sử dụng để thực hiện kỹ thuật toàn vẹn được phê duyệt đã được thông qua trước khi bắt đầu kiểm tra tính toàn vẹn của phần mềm/phần sụn.
6.10.2.3 Kiểm tra nối tắt tiền hoạt động
AS10.21: (Kiểm tra nối tắt tiền hoạt động – Mức 1, 2, 3, và 4)
Nếu một mô-đun mật mã thực hiện một tính năng nối tắt, thì mô-đun này phải đảm bảo hoạt động chính xác của việc kích hoạt logic tính năng nối tắt bằng cách thực hiện logic đó.
Thông tin cần thiết từ nhà cung cấp
VE10.21.01: Tài liệu của nhà cung cấp phải quy định rõ cách thức mô-đun mật mã đảm bảo hoạt động chính xác của việc kích hoạt logic tính năng nối tắt.
Các thủ tục kiểm thử cần thiết
TE10.21.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp bằng cách kiểm tra mô-đun rằng việc kích hoạt logic tính năng nối tắt được thực hiện như đã quy định.
TE10.21.02: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng việc kiểm tra nối tắt tiền hoạt động được thực hiện bằng việc kích hoạt logic tính năng nối tắt.
TE10.21.03: Kiểm thử viên phải gây ra mọi điều kiện lỗi của việc kiểm tra nối tắt tiền hoạt động và phải xác minh rằng sự kiểm soát đầu ra đã được thực hiện theo TE03.07.01 đến TE03.07.05 và TE03.10.01 đến TE03.10.05.
TE10.21.04: Kiểm thừ viên phải chạy việc kiểm tra nối tắt tiền hoạt động và phải xác minh xem có bất kỳ chức năng nào dựa vào việc kích hoạt logic tính năng nối tắt không thể sử dụng theo TE10.10.01, TE10.10.02.
AS10.22: (Kiểm tra nối tắt tiền hoạt động – Mức 1, 2, 3, và 4)
Mô-đun này cũng phải xác minh đường dẫn dữ liệu bằng cách:
– Thiết lập công tắc nối tắt để cung cấp quá trình xử lý mật mã và xác minh dữ liệu truyền qua cơ chế nối tắt được xử lý mật mã, và
– Thiết lập công tắc nối tắt để không cung cấp quá trình xử lý và xác minh mật mã rằng dữ liệu truyền qua cơ chế nối tắt không được xử lý mật mã.
Thông tin cần thiết từ nhà cung cấp
VE10.22.01: Tài liệu của nhà cung cấp phải quy định rõ cách thức thiết lập công tắc nối tắt để cung cấp quá trình xử lý mật mã.
VE10.22.02: Tài liệu của nhà cung cấp phải mô tả cơ chế nối tắt được thiết kế như thế nào để thực thi việc truyền dữ liệu được xử lý mật mã thông qua đường dẫn dữ liệu, bằng cách thiết lập công tắc nối tắt để cung cấp quá trình xử lý mật mã.
VE10.22.03: Tài liệu của nhà cung cấp phải quy định rõ cách thức để thiết lập công tắc nối tắt để không cho xảy ra quá trình xử lý mật mã.
VE10.22.04: Tài liệu của nhà cung cấp phải mô tả cách thức cơ chế nối tắt được thiết kế để thực thi việc truyền dữ liệu không được xử lý mật mã thông qua đường dẫn dữ liệu, bằng cách thiết lập công tắc nối tắt để không cung cấp quá trình xử lý mật mã.
Các thủ tục kiểm thử cần thiết
TE10.22.01: Kiểm thử viên phải xác minh bằng cách kiểm tra mô-đun không cung cấp khả năng bỏ qua bằng các thiết lập công tắc nối tắt để cung cấp quá trình xử lý mật mã.
TE10.22.02: Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh rằng việc thực hiện cơ chế nối tắt có tuân theo tài liệu của nhà cung cấp hay không.
TE10.22.03: Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh xem mô-đun có thực hiện kiểm tra nối tắt tiền hoạt động không để xác minh rằng dữ liệu được truyền qua đường dẫn dữ liệu đã được xử lý mật mã bằng cách thiết lập công tắc nối tắt để cung cấp quá trình xử lý mật mã.
TE10.22.04: Kiểm thử viên phải xác minh bằng cách kiểm tra mô-đun cung cấp khả năng bỏ qua bằng cách thiết lập công tắc nối tắt để cung cấp xử lý mật mã bằng cách thiết lập công tắc nối tắt không cung cấp quá trình xử lý mật mã.
TE10.22.05: Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh xem mô-đun có thực hiện phép kiểm tra nối tắt tiền hoạt động không để xác minh rằng dữ liệu được truyền qua đường dẫn dữ liệu không được xử lý mật mã bằng cách thiết lập công tắc nối tắt để không cung cấp xử lý mật mã.
6.10.2.4 Kiểm tra các chức năng quan trọng tiền hoạt động
AS10.23: (Kiểm tra các chức năng quan trọng tiền hoạt động – Mức 1, 2, 3, và 4)
Có thể có các chức năng an toàn quan trọng khác đối với hoạt động an toàn của một mô-đun mật mã phải được kiểm tra như là một kiểm tra tiền hoạt động.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.24.
AS10.24: (Kiểm tra các chức năng quan trọng tiền hoạt động – Mức 1, 2, 3, và 4)
Tài liệu phải quy định việc kiểm tra các chức năng quan trọng tiền hoạt động.
CHÚ THÍCH Các chức năng quan trọng được định nghĩa là những chức năng mà sau khi thất bại có thể dẫn đến việc lộ thông tin về CSP. Ví dụ các chức năng quan trọng bao gồm không giới hạn đối với tạo bit ngẫu nhiên, hoạt động của thuật toán mật mã và nối tắt mật mã.
Thông tin cần thiết từ nhà cung cấp
VE10.24.01: Nhà cung cấp phải cung cấp tài liệu về tất cả chức năng quan trọng. Đối với mỗi chức năng quan trọng, nhà cung cấp phải quy định rõ:
- a) Mục đích của chức năng quan trọng
- b) Các chức năng quan trọng nào được kiểm tra bằng cách tự kiểm tra tiền hoạt động
- c) Các chức năng quan trọng nào được kiểm tra bằng cách tự kiểm tra có điều kiện
Các thủ tục kiểm thử cần thiết
TE10.24.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp về các chức năng quan trọng và các phép tự kiểm tra được thiết kế để kiểm tra chúng. Tài liệu này bao gồm:
- a) Quy định và mô tả tất cả các chức năng quan trọng
- b) Quy định ít nhất một lần tự kiểm tra cho mỗi chức năng quan trọng
TE10.24.02: Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh xem mô-đun có thực hiện các phép tự kiểm tra được quy định cho từng chức năng quan trọng hay không.
6.10.3 Tự kiểm tra có điều kiện
6.10.3.1 Các yêu cầu chung đối với tự kiểm tra có điều kiện
AS10.25: (Tự kiểm tra có điều kiện – Mức 1, 2, 3, và 4)
Tự kiểm tra có điều kiện phải được thực hiện bởi một mô-đun mật mã khi các điều kiện được quy định rõ cho các cuộc kiểm tra sau đây: Tự kiểm tra thuật toán mật mã, kiểm tra tính nhất quán cặp đôi, kiểm tra nạp phần mềm/phần sụn, kiểm tra nhập vào thủ công, kiểm tra nối tắt có điều kiện và kiểm tra có điều kiện các chức năng quan trọng.
Thông tin cần thiết từ nhà cung cấp
VE10.25.01: Tài liệu của nhà cung cấp phải cung cấp thông tin về tự kiểm tra có điều kiện.
Các thủ tục kiểm thử cần thiết
TE10.25.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rõ các phép tự kiểm tra có điều kiện.
TE10.25.02: Kiểm thử viên phải xác minh rằng các phép tự kiểm tra có điều kiện được thực hiện theo quy định.
6.10.3.2 Tự kiểm tra có điều kiện với thuật toán mật mã
AS10.26: (Tự kiểm tra có điều kiện với thuật toán mật mã – Mức 1, 2, 3, và 4)
Một phép kiểm tra thuật toán mật mã phải được thực hiện cho tất cả chức năng mật mã (ví dụ: các chức năng an toàn, các phương pháp thiết lập SSP và xác thực) của từng thuật toán mật mã đã phê duyệt được thực hiện trong mô-đun mật mã theo quy định tại phụ lục C đến E {TCVN 11295:2016}.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.27.
AS10.27: (Tự kiểm tra có điều kiện với thuật toán mật mã – Mức 1, 2, 3, và 4).
Kiểm tra có điều kiện phải được thực hiện trước khi sử dụng thuật toán mật mã lần đầu tiên.
Thông tin cần thiết từ nhà cung cấp
VE10.27.01: Tài liệu của nhà cung cấp phải cung cấp đặc tả tự kiểm tra thuật toán mật mã có điều kiện.
VE10.27.02: Nhà cung cấp phải cung cấp tài liệu trong đó có lý do quy định rõ mỗi thuật toán mã hóa thực hiện tự kiểm tra có điều kiện như thế nào trước khi sử dụng thuật toán mật mã lần đầu tiên.
VE10.27.03: Nhà cung cấp phải quy định cho dù biết trước kết quả, một phép kiểm tra so sánh và/hoặc kiểm tra phát hiện lỗi được sử dụng để kiểm tra thuật toán mật mã của mô-đun. Nếu sử dụng kiểm tra so sánh và/hoặc kiểm tra phát hiện lỗi, nhà cung cấp phải ghi lại thực tế này.
Các thủ tục kiểm thử cần thiết
TE10.27.01: Kiểm thử viên phải xác minh bằng cách kiểm tra mô-đun hoặc từ tài liệu của nhà cung cấp rằng mô-đun này thực hiện tự kiểm tra thuật toán mật mã có điều kiện trước khi lần đầu tiên sử dụng mỗi thuật toán mật mã.
AS10.28: (Tự kiểm tra có điều kiện với thuật toán mật mã – Mức 1, 2, 3, và 4).
Nếu kết quả tính toán không tương đương câu trả lời đã biết, thì tự kiểm tra câu trả lời đã biết của thuật toán mật mã phải thất bại.
Thông tin cần thiết từ nhà cung cấp
VE10.28.01: Tài liệu của nhà cung cấp phải quy định rõ phương pháp được sử dụng để so sánh kết quả với câu trả lời đã biết.
VE10.28.02: Tài liệu phải quy định rõ sự chuyển đổi sang trạng thái lỗi và xuất ra chỉ thị lỗi khi hai đầu ra không bằng nhau.
Các thủ tục kiểm thử cần thiết
TE10.28.01: Kiểm thử viên phải xác minh rằng tài liệu này tuân theo việc thực hiện của mô-đun mật mã.
TE10.28.02: Điều này được kiểm tra theo TE10.07.02, TE10.08.01, TE10.08.02 và TE10.08.03.
AS10.29: (Tự kiểm tra có điều kiện thuật toán mật mã – Mức 1, 2, 3, và 4)
Việc tự kiểm tra thuật toán phải tối thiểu sử dụng độ dài khóa, kích thước mô-đun, số nguyên tố DSA hoặc đường cong đã được phê duyệt có kích thước nhỏ nhất tương ứng với mức hỗ trợ của mô-đun.
Thông tin cần thiết từ nhà cung cấp
VE10.29.01: Tài liệu của nhà cung cấp phải cung cấp các đặc tả của từng phép tự kiểm tra có điều kiện của thuật toán mật mã được thực hiện bởi mô-đun.
Các thủ tục kiểm thử cần thiết
TE10.29.01: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng từng phép tự kiểm tra có điều kiện của thuật toán mật mã tối thiểu sử dụng độ dài khóa, kích thước mô-đun, số nguyên tố DSA hoặc đường cong đã dược phê duyệt có kích thước nhỏ nhất tương ứng với mức hỗ trợ của mô-đun.
AS10.30: (Tự kiểm tra có điều kiện của thuật toán mật mã – Mức 1, 2, 3, và 4)
Nếu một thuật toán quy định nhiều chế độ (ví dụ: ECB, CBC,…), ít nhất phải chọn một chế độ để tự kiểm tra được hỗ trợ bởi mô-đun hoặc theo quy định của tổ chức chịu trách nhiệm.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.29.
AS10.31: (Tự kiểm tra có điều kiện của thuật toán mật mã – Mức 1, 2, 3, và 4)
Ví dụ về các bài kiểm tra đã biết kết quả: Các hàm một chiều: Nhập (các) vec tơ kiểm tra tạo ra kết quả đầu ra phải giống với kết quả mong đợi (ví dụ: hàm băm, băm có khóa, xác thực thông báo, RBG (vectơ entropy cố định), thỏa thuận SSP].
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.28.
AS10.32: (Tự kiểm tra có điều kiện của thuật toán mật mã – Mức 1, 2, 3, và 4)
Ví dụ về các bài kiểm tra đã biết kết quả: Các hàm nghịch đảo: Cả hai hàm khả nghịch và nghịch đảo phải được tự kiểm tra (ví dụ : hàm mã hóa và giải mã khóa đối xứng, mã hóa và giải mã vận chuyển SSP, tạo và kiểm tra chữ ký số).
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.28.
AS10.33: (Tự kiểm tra có điều kiện của thuật toán mật mã – Mức 1, 2, 3, và 4)
Kiểm tra so sánh bao gồm so sánh kết quả của hai hoặc nhiều thực thi thuật toán mật mã độc lập, nếu các kết quả đầu ra không bằng nhau, thì phép tự kiểm tra so sánh thuật toán mật mã phải thất bại.
Thông tin cần thiết từ nhà cung cấp
VE10.33.01: Nhà cung cấp phải mô tả việc thực thi tự kiểm tra so sánh thuật toán mật mã.
VE10.33.02: Yêu cầu với tài liệu của nhà cung cấp được quy định tương ứng với yêu cầu của nhà cung cấp theo VE10.27.03.
Các thủ tục kiểm thử cần thiết
TE10.33.01: Kiểm thử viên phải xác minh tài liệu về kiểm tra so sánh bao gồm:
- a) Sử dụng hai hoặc nhiều thực thi thuật toán mật mã độc lập
- b) So sánh liên tục các đầu ra của việc thực thi thuật toán
- c) Chuyển tiếp sang trạng thái lỗi và xuất ra chỉ thị lỗi khi hai đầu ra không bằng nhau
TE10.33.02: Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh rằng mô-đun thực thi các bước đã được ghi để thực hiện kiểm tra so sánh.
AS10.34: (Tự kiểm tra có điều kiện của thuật toán mật mã – Mức 1,2,3, và 4)
Kiểm tra phát hiện lỗi bao gồm việc thực hiện các cơ chế phát hiện lỗi tích hợp trong quá trình thực hiện thuật toán mật mã, nếu phát hiện lỗi, thì tự kiểm tra phát hiện lỗi của thuật toán mật mã phải thất bại.
Ví dụ: Kiểm tra phát hiện lỗi của RBG phải bao gồm một lỗi của nguồn entropy được xử lý chính xác bên trong việc thực hiện RBG.
Thông tin cần thiết từ nhà cung cấp
VE10.34.01: Nhà cung cấp phải quy định rõ liệu có cần kiểm tra phát hiện lỗi để kiểm tra thuật toán mã mật của mô-đun để bổ sung cho phép kiểm tra đã biết kết quả hoặc phép kiểm tra so sánh.
Các thủ tục kiểm thử cần thiết
TE10.34.01: Kiểm thử viên phải xác minh tài liệu về kiểm tra phát hiện lỗi bao gồm:
- a) Mô tả của từng điều kiện lỗi trong đặc tả/thực thi thuật toán mật mã
- b) Đặc tả của chỉ thị lỗi (nội bộ) tương ứng đối với từng điều kiện lỗi
- c) Lý do cho mỗi điều kiện lỗi được kiểm tra trong kiểm tra phát hiện lỗi
TE10.34.02: Kiểm thử viên phải xác minh rằng tài liệu này tuân theo việc thực thi của mô-đun mật mã.
TE10.34.03: Điều này được kiểm tra theo TE10.07.02, TE10.07.03, TE10.09.02, TE10.09.03, TE10.10.01 và TE10.10.02.
6.10.3.3 Kiểm tra tính nhất quán theo cặp đôi có điều kiện
AS10.35: (Kiểm tra tính nhất quán theo cặp đôi có điều kiện – Mức 1, 2,3, và 4)
Nếu một mô-đun mật mã tạo ra các cặp khóa công khai hoặc bí mật, thì phải thực hiện kiểm tra tính nhất quán theo cặp đôi đối với mỗi cặp khóa công khai và khóa bí mật được tạo ra như quy định trong các phụ lục C đến E {TCVN 11295:2016} cho thuật toán mật mã được áp dụng.
Thông tin cần thiết từ nhà cung cấp
VE10.35.01: Nếu cặp khóa công khai hoặc khóa riêng được sử dụng để thực hiện vận chuyển khóa được phê duyệt, hoặc mật mã phi đối xứng, thì tài liệu của nhà cung cấp phải mô tả phép kiểm tra tính nhất quán theo cặp đôi. Kiểm tra này bao gồm việc áp dụng khóa công khai lên một giá trị bản rõ hoặc một thông điệp được mã hóa. Bản mã kết quả phải được so sánh với bản rõ ban đầu để xác minh rằng chúng khác nhau.
– Nếu hai giá trị bằng nhau, thì mô-đun mật mã phải nhập vào một trạng thái lỗi và xuất ra một chỉ thị lỗi thông qua giao diện trạng thái.
– Nếu hai giá trị khác nhau, thì khóa bí mật phải được áp dụng cho bản mã nếu kết quả không giống bản rõ ban đầu, thì kiểm tra tính nhất quán theo cặp đôi phải thất bại.
VE10.35.02: Nếu cặp khóa công khai hoặc khóa riêng chỉ được sử dụng để tính toán và/hoặc xác minh chữ ký số, thì tài liệu của nhà cung cấp phải mô tả kiểm tra tính nhất quán theo cặp đôi bằng cách tính toán và xác minh chữ ký. Nếu không thể xác minh được chữ ký, thì kiểm tra tính nhất quán theo cặp đôi có điều kiện là thất bại.
VE10.35.03: Nếu cặp khóa công khai hoặc khóa riêng được sử dụng để thực hiện thỏa thuận SSP, tài liệu của nhà cung cấp phải mô tả kiểm tra tính nhất quán theo cặp đôi. Tài liệu của nhà cung cấp phải quy định các thuật toán tiên quyết của thỏa thuận SSP. Phép kiểm tra này phải bao gồm việc áp dụng cặp khóa để xem có vượt qua bài kiểm tra về tính nhất quán theo cặp đôi bằng cách thực hiện các thuật toán tiên quyết được thực thi hay không.
Ví dụ: Thỏa thuận khóa Diffie-Hellman sử dụng tính chất chung về nguyên thủy mật mã trên trường hữu hạn cho thuật toán chữ ký số.
Các thủ tục kiểm thử cần thiết
TE10.35.01: Nếu cặp khóa công khai hoặc khóa riêng được sử dụng để thực hiện vận chuyển khóa được phê duyệt hoặc mật mã phi đối xứng, kiểm thử viên phải xác minh rằng việc thực thi kiểm tra tính nhất quán theo cặp đôi như được định nghĩa trong VE.10.35.01, là tuân theo tài liệu của nhà cung cấp bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế.
TE10.35.02: Nếu cặp khóa công khai hoặc khóa riêng được sử dụng để tính toán và/hoặc xác minh chữ ký số thì kiểm thử viên phải xác minh rằng việc thực hiện kiểm tra tính nhất quán theo cặp đôi được định nghĩa trong VE.10.35.02 là tuân theo tài liệu của nhà cung cấp bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế.
TE10.35.03: Nếu cặp khóa công khai hoặc khóa riêng được sử dụng để thực hiện thỏa thuận SSP, thì kiểm thử viên phải xác minh rằng việc thực hiện kiểm tra tính nhất quán theo cặp đôi có điều kiện được định nghĩa trong VE.10.35.03 tuân theo tài liệu của nhà cung cấp bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế.
TE10.35.04: Nếu có thể, kiểm thử viên phải sửa đổi một trong các cặp chìa khóa trước khi thực hiện kiểm tra tính nhất quán theo cặp đôi. Phép kiểm tra thất bại nếu không phát hiện ra sự sửa đổi.
6.10.3.4 Kiểm tra nạp phần sụn/phần mềm có điều kiện
AS10.36: (Kiểm tra nạp phần sụn/phần mềm có điều kiện – Mức 1, 2, 3, và 4)
Nếu một mô-đun mật mã có khả năng nạp phần mềm hoặc phần sụn từ một nguồn bên ngoài thì phải thực hiện các yêu cầu bổ sung sau đây trong tiểu mục 7.4.3.4 của {TCVN 11295:2016}.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt.
AS10.37: (Kiểm tra nạp phần sụn/phần mềm có điều kiện – Mức 1, 2, 3, và 4).
Mô-đun mật mã phải thực hiện một kỹ thuật xác thực đã được phê duyệt để xác minh tính hợp lệ của phần mềm hoặc phần sụn được nạp.
Thông tin cần thiết từ nhà cung cấp
VE10.37.01: Tài liệu của nhà cung cấp phải mô tả kỹ thuật xác thực đã phê duyệt được sử dụng để bảo vệ tính toàn vẹn của tất cả thành phần phần mềm và phần sụn được nạp bên ngoài.
VE10.37.02: Nếu mô-đun thực hiện một kỹ thuật xác thực được phê duyệt, nhà cung cấp phải cung cấp chứng chỉ kiểm tra tính hợp lệ như đã nêu trong VE02.20.01.
VE10.37.03: Nhà cung cấp phải cung cấp tài liệu quy định cách thức khóa xác thực tham chiếu được nạp độc lập vào mô-đun trước khi nạp phần mềm hoặc phần sụn.
VE10.37.04: Tài liệu của nhà cung cấp phải mô tả các cơ chế để đảm bảo rằng việc nạp phần mềm hoặc phần sụn không thể được sử dụng nếu phép kiểm tra phần mềm/phần sụn thất bại.
Các thủ tục kiểm thử cần thiết
TE10.37.01: Kiểm thử viên phải quy định từ tài liệu cung cấp mà nhà cung cấp chấp thuận kỹ thuật xác thực được sử dụng cho kiểm tra nạp phần mềm/phần sụn.
TE10.37.02: Kiểm thử viên phải xác minh rằng nếu một kỹ thuật xác thực đã được phê duyệt được thực thi, nhà cung cấp đã cung cấp chứng chỉ kiểm tra tính hợp lệ như theo quy định trong VE02.20.01.
TE10.37.03: Nếu mô-đun thực thi một kỹ thuật xác thực được phê duyệt cho phép kiểm tra nạp phần mềm/phần sụn, kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp về kiểm tra nạp phần mềm/phần sụn bao gồm:
- a) Đặc tả kỹ thuật thực thi xác thực đã được phê duyệt.
- b) Quy định phần mềm và phần sụn được bảo vệ bằng cách sử dụng kỹ thuật xác thực được phê duyệt.
- c) Tính toán kỹ thuật xác thực được phê duyệt khi phần mềm và phần sụn được nạp.
- d) Xác minh kỹ thuật xác thực được phê duyệt khi nạp kiểm tra được khởi tạo.
- e) Thất bại của việc tự kiểm tra khi không đạt được chứng nhận kỹ thuật xác thực đã được phê duyệt.
TE10.37.04: Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh rằng việc thực hiện kiểm tra nạp phần mềm/phần sụn là tuân theo TE10.37.01, TE10.37.02 và TE10.37.03.
TE10.37.05: Kiểm thử viên phải xác minh mô-đun bằng cách sửa đổi phần mềm hoặc phần sụn cần nạp hoặc thực thi cơ chế xác thực và khởi tạo phép tự kiểm tra và quan sát đầu ra từ giao diện đầu ra trạng thái. Nếu không có một biểu thị nào cho thấy rằng kiểm tra nạp phần mềm/phần sụn lỗi, khẳng định phải thất bại. Nếu kiểm thử viên không có khả năng sửa đổi phần mềm hoặc phần sụn được nạp, hoặc cơ chế xác thực thực hiện thì nhà cung cấp phải cung cấp cho kiểm thử viên lý do tại sao không thể thực hiện kiểm tra này.
TE10.37.06: Kiểm thử viên phải thực hiện mô-đun mật mã, sửa đổi phần mềm hoặc phần sụn cần nạp, sửa đổi khóa xác thực tham chiếu, hoặc cố gắng bỏ qua cơ chế thực thi xác thực và phải khởi tạo kiểm tra nạp phần mềm/phần sụn. Sau khi tự kiểm tra thất bại, kiểm thử viên phải xác minh rằng phần mềm hoặc phần sụn đã nạp không thể sử dụng và thông tin phiên bản của mô-đun này không thay đổi.
TE10.37.07: Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh rằng khóa xác thực tham chiếu được nạp độc lập từ việc nạp phần mềm hoặc phần sụn.
TE10.37.08: Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh việc nạp phần mềm/phần sụn thất bại nếu mà không cần nạp khóa xác thực tham chiếu trước khi nạp phần mềm hoặc phần sụn.
TE10.37.09: Kiểm thử viên phải thực thi mô-đun mật mã mà không cần nạp khóa xác thực tham chiếu trước và phải bắt đầu kiểm tra nạp phần mềm/phần sụn. Nếu kiểm tra nạp phần mềm/phần sụn vượt qua, thì khẳng định thất bại.
AS10.38: (Kiểm tra nạp phần sụn/phần mềm có điều kiện – Mức 1, 2, 3, và 4)
Khóa xác thực tham chiếu phải được nạp độc lập vào mô-đun trước khi nạp phần mềm hoặc phần sụn.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.37.
AS10.39: (Kiểm tra nạp phần sụn/phần mềm có điều kiện – Mức 1, 2, 3, và 4)
Kỹ thuật xác thực đã phê duyệt phải được xác minh thành công {hoặc kiểm tra nạp phần mềm/phần sụn phải thất bại}.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.37.
AS10.40: (Kiểm tra nạp phần sụn/phần mềm có điều kiện – Mức 1, 2, 3, và 4)
{Kỹ thuật xác thực đã phê duyệt phải được xác minh thành công} hoặc kiểm tra nạp phần mềm/phần sụn phải thất bại.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.37.
AS10.41: (Kiểm tra nạp phần sụn/phần mềm có điều kiện – Mức 1, 2, 3, và 4)
Phần mềm hoặc phần sụn được nạp phải không được sử dụng nếu kiểm tra nạp phần mềm/phần sụn thất bại.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.37.
6.10.3.5 Kiểm tra nhập vào thủ công có điều kiện
Nếu các SSP hoặc các thành phần khóa được nhập thủ công trực tiếp vào một mô-đun mật mã hoặc nếu lỗi của người vận hành con người có thể dẫn đến việc nhập giá trị không chính xác, thì các kiểm tra nhập vào thủ công sau đây phải được thực hiện.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt.
AS10.43: (Kiểm tra nhập vào thủ công có điều kiện – Mức 1, 2, 3, và 4)
SSP hoặc các thành phần khóa phải áp dụng mã phát hiện lỗi (EDC), {hoặc phải được nhập bằng cách sử dụng nhập lặp lại}.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.46.
AS10.44: (Kiểm tra nhập vào thủ công có điều kiện – Mức 1, 2, 3, và 4)
{SSP hoặc các thành phần khóa phải áp dụng mã phát hiện lỗi (EDC),} hoặc phải được nhập bằng cách sử dụng nhập lặp lại.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.46.
AS10.45: (Kiểm tra nhập vào thủ công có điều kiện – Mức 1, 2, 3, và 4)
Nếu EDC được sử dụng, EDC phải có chiều dài ít nhất 16 bit.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.46.
AS10.46: (Kiểm tra nhập vào thủ công có điều kiện – Mức 1, 2, 3, và 4)
Nếu không thể xác minh được EDC, hoặc việc nhập lặp lại không khớp, thì kiểm tra phải thất bại.
Thông tin cần thiết từ nhà cung cấp
VE10.46.01: Nhà cung cấp phải ghi lại việc kiểm tra nhập vào thủ công. Tùy thuộc vào việc sử dụng mã phát hiện lỗi hoặc việc nhập lặp lại của các SSP hoặc các thành phần khóa, kiểm tra nhập vào thủ công phải bao gồm:
- a) Mã phát hiện lỗi (EDC):
1) Mô tả thuật toán tính toán EDC
2) Mô tả quá trình xác minh
3) Kết quả mong đợi cho sự thành công hoặc thất bại của kiểm tra
- b) Các mục trùng lặp:
1) Mô tả quá trình xác minh
2) Kết quả mong đợi cho sự thành công hay thất bại của kiểm tra
VE10.46.02: Nếu EDC được liên kết với SSP hoặc các thành phần khóa, thì tài liệu của nhà cung cấp phải mô tả định dạng của SSP hoặc các thành phần khóa (xem AS09.03) bao gồm các trường cho EDC.
Các thủ tục kiểm thử cần thiết
TE10.46.01: Kiểm thử viên phải xác minh từ tài liệu của nhà cung cấp phương pháp nào được sử dụng cho kiểm tra nhập vào thủ công (mã phát hiện lỗi hoặc việc nhập lặp lại). Dựa trên phương pháp đã sử dụng, kiểm thử viên phải xác minh tài liệu của nhà cung cấp, mã và/hoặc tài liệu thiết kế quy định rõ việc thực hiện kiểm tra nhập thủ công để xác minh xem có bao gồm các thông tin sau:
- a) Mã phát hiện lỗi:
1) SSP hoặc định dạng thành phần khóa cho tất cả SSP hoặc các thành phần khóa được nhập thủ công, bao gồm các trường cho EDC (xem AS09.03)
2) Mô tả thuật toán EDC
3) Mô tả quá trình kiểm tra EDC
4) Tất cả kết quả mong đợi cho sự thành công hay thất bại của kiểm tra
- b) Việc nhập lặp lại của các SSP hoặc các thành phần khóa:
1) Việc nhập lặp lại cho tất cả SSP và các thành phần khóa được nhập thủ công
2) Mô tả quá trình xác minh nhập lặp lại
3) Tất cả kết quả mong đợi cho sự thành công hay thất bại của kiểm tra
TE10.46.02: Đối với các kiểm tra nhập thủ công sử dụng EDC, kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng định dạng của SSP hoặc các thành phần khóa bao gồm các trường cho EDC và EDC có chiều dài ít nhất 16 bit.
TE 10.46.03: Với các kiểm tra đầu vào thủ công sử dụng một EDC, kiểm thử viên phải thực hiện các phép kiểm tra sau đây:
- a) Kiểm thử viên phải nhập thủ công từng loại SSP và xác minh rằng thủ tục được sử dụng để nhập mỗi SSP là tương ứng với thủ tục trong tài liệu bao gồm định dạng SSP được nhập vào.
- b) Kiểm thử viên nhập thủ công mỗi loại SSP mà không có bất kỳ sai sót nào và phải xác minh giao diện đầu ra trạng thái. Nếu không có chỉ thị ở đầu ra, hoặc nếu chỉ thị không đúng với chỉ thị có trong tài liệu cho trạng thái thành công của kiểm tra đầu vào thủ công, thì kiểm tra là thất bại.
- c) Kiểm thử viên phải cố gắng thực hiện các thao tác mật mã với mỗi SSP đã nhập để xác minh rằng nó đã được nhập chính xác.
- d) Kiểm thử viên phải sửa đổi hoặc là EDC liên quan với mỗi lần nhập thủ công SSP hoặc là SSP và nhập chúng vào mô-đun. Kiểm thử viên phải xác minh chỉ thị được xuất ra từ giao diện đầu ra trạng thái; Nếu không có chỉ thị ở đầu ra, hoặc nếu chỉ thị không đúng với chỉ thị có trong tài liệu cho trạng thái thất bại của kiểm tra đầu vào thủ công, thì kiểm tra đã thất bại.
- e) Kiểm thử viên phải cố gắng thực hiện các thao tác mật mã với mỗi SSP mà không được nhập thành công. Mỗi thao tác sử dụng một SSP được yêu cầu để thất bại, và xác minh rằng SSP đã không được nhập.
TE10.46.04. Đối với các kiểm tra nhập thủ công sử dụng việc nhập lặp lại các SSP hoặc các thành phần khóa, kiểm thử viên phải thực hiện các phép kiểm tra sau đây:
- a) Kiểm thử viên phải nhập thủ công từng loại SSP mà không có bất kỳ sai sót nào và phải xác minh giao diện đầu ra trạng thái. Nếu không có chỉ thị ở đầu ra, hoặc nếu chỉ thị không đúng với chỉ thị có trong tài liệu cho trạng thái thành công của kiểm tra đầu vào thủ công, thì kiểm tra là thất bại.
- b) Kiểm thử viên phải cố gắng thực hiện các thao tác mật mã với mỗi SSP đã nhập để xác minh rằng nó đã được nhập chính xác.
- c) Kiểm thử viên phải sửa đổi một trong các SSP được nhập vào thủ công, là nhập trùng lặp lần đầu tiên hoặc thứ hai, và phải nhập vào mô-đun. Kiểm thử viên phải xác minh chỉ thị được xuất ra từ giao diện đầu ra trạng thái; Nếu không có chỉ thị ở đầu ra, hoặc nếu chỉ thị không đúng với chỉ thị có trong tài liệu cho trạng thái thất bại của kiểm tra đầu vào thủ công thì kiểm tra đã thất bại.
- d) Kiểm thử viên phải cố gắng thực hiện các thao tác mật mã với mỗi SSP mà không được nhập thành công. Mỗi thao tác sử dụng một SSP được yêu cầu để thất bại, xác minh rằng SSP đã không được nhập.
6.10.3.6 Kiểm tra bỏ qua có điều kiện
AS10.47: (Kiểm tra bỏ qua có điều kiện – Mức 1, 2, 3, và 4)
Nếu một mô-đun mật mã thực thi một khả năng bỏ qua, mà ở đó có các dịch vụ có thể được cung cấp không cần xử lý mật mã (ví dụ: chuyển bản rõ thông qua mô-đun), thì phải thực hiện các bộ kiểm tra bỏ qua sau đây để đảm bảo rằng một điểm thất bại của các thành phần mô-đun phải không tạo ra đầu ra không chủ định của bản rõ.
CHO THÍCH Khẳng định này được kiểm tra như một phần của AS 10.48 thông qua AS10.51.
AS10.48: (Kiểm tra bỏ qua có điều kiện – Mức 1, 2, 3, và 4)
Mô-đun mật mã phải kiểm tra đối với hoạt động đúng đắn của các dịch vụ cung cấp xử lý mật mã khi một chuyển mạch xảy ra giữa một dịch vụ bỏ qua dành riêng và một dịch vụ mật mã dành riêng.
Thông tin cần thiết từ nhà cung cấp
VE10.48.01: Nếu mô-đun mật mã thực hiện một dịch vụ bỏ qua thì nhà cung cấp phải thực hiện kiểm tra bỏ qua để xác minh dịch vụ mật mã hoạt động chính xác khi xảy ra chuyển mạch giữa một dịch vụ bỏ qua dành riêng và một dịch vụ mật mã dành riêng.
VE.10.48.02: Nhà cung cấp phải cung cấp mô tả về kiểm tra bỏ qua. Kiểm tra bỏ qua phải chứng minh rằng, khi chuyển mạch sang một dịch vụ mã hóa dành riêng, mô-đun không xuất ra bản rõ.
Các thủ tục kiểm thử cần thiết
TE10.48.01: Kiểm thử viên phải xác minh rằng mô-đun thực thi kiểm tra bỏ qua để xác minh tính chính xác của hoạt động dịch vụ mật mã khi một chuyển mạch xảy ra giữa một dịch vụ bỏ qua dành riêng và dịch vụ mật mã dành riêng.
TE10.48.02: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp tuân theo việc thực hiện kiểm tra bỏ qua thông qua việc xem xét lại mã nguồn và/hoặc tài liệu thiết kế.
TE10.48.03: Kiểm thử viên phải chuyển đổi mô-đun từ dịch vụ bỏ qua dành riêng sang dịch vụ mật mã dành riêng và xác minh rằng thông tin bản rõ không được xuất.
AS10.49: (Kiểm tra bỏ qua có điều kiện – Mức 1, 2, 3, và 4)
Nếu một mô-đun mật mã có thể tự động luân phiên giữa một dịch vụ bỏ qua và dịch vụ mật mã, cung cấp một số dịch vụ với quá trình xử lý mật mã và một số dịch vụ mà không có xử lý mật mã, thì mô-đun phải kiểm tra tính hoạt động chính xác của các dịch vụ mà cung cấp xử lý mật mã khi cơ chế điều khiển việc chuyển đổi quá trình được sửa đổi (ví dụ: một bảng địa chỉ IP nguồn/đích).
Thông tin cần thiết từ nhà cung cấp
VE10.49.01: Nếu mô-đun mật mã được thiết kế để tự động luân phiên giữa dịch vụ bỏ qua và dịch vụ mã hóa thì nhà cung cấp phải thực hiện kiểm tra bỏ qua để xác minh hoạt động chính xác của dịch vụ mã hóa khi cơ chế quản trị quá trình chuyển đổi được sửa đổi.
VE10.49.02: Nhà cung cấp phải cung cấp mô tả về kiểm tra. Kiểm tra bỏ qua phải đảm bảo rằng khi cơ chế quản trị quá trình chuyển đổi được sửa đổi:
- a) Cơ chế được xác minh không bị thay đổi kể từ lần sửa đổi cuối cùng. Nếu cơ chế đã được thay đổi, mô-đun mật mã phải nhập vào trạng thái lỗi và đưa ra chỉ thị lỗi cho giao diện trạng thái.
- b) Hoạt động chính xác của dịch vụ mật mã được xác minh bằng cách chứng minh rằng mô-đun không xuất ra thông tin rõ. Kiểm tra bỏ qua thất bại nếu mô-đun xuất ra thông tin rõ.
Các thủ tục kiểm thử cần thiết
TE10.49.01: Kiểm thử viên phải xác minh xem mô-đun có thực thi kiểm tra bỏ qua để xác minh hoạt động chính xác của dịch vụ mật mã khi cơ chế quản trị quá trình chuyển đổi được sửa đổi hay không.
TE10.49.02: Kiểm thử viên phải xác minh rằng mô tả kiểm tra là tuân theo việc thực hiện kiểm tra bỏ qua bằng việc xem xét lại mã nguồn và/hoặc tài liệu thiết kế.
TE 10.49.03: Kiểm thử viên phải xác minh hoạt động chính xác của kiểm tra bỏ qua bằng cách:
- a) Xác minh rằng cơ chế quản trị quá trình chuyển đổi kiểm tra để đảm bảo rằng không có thay đổi nào của cơ chế đã diễn ra kể từ lần sửa đổi cuối cùng. Kiểm thử viên phải ghi lại phương pháp đã sử dụng. Nếu thiết kế cho phép, kiểm thử viên phải sửa đổi cơ chế để kiểm tra phương pháp đã sử dụng.
- b) Sửa đổi cơ chế quản trị quá trình chuyển đổi để xác minh hoạt động chính xác của cơ chế và xác minh hoạt động chính xác của dịch vụ mật mã bằng cách thẩm tra xem có xuất ra thông tin rõ không.
AS10.50: (Kiểm tra bỏ qua có điều kiện – Mức 1, 2, 3, và 4)
Nếu một mô-đun mật mã duy trì thông tin nội bộ điều khiển khả năng bỏ qua thì mô-đun phải kiểm tra tính toàn vẹn của thông tin quản lý thông qua kỹ thuật toàn vẹn đã được phê duyệt ngay trước khi sửa đổi thông tin quản lý, {và phải tạo ra một giá trị toàn vẹn mới sử dụng kỹ thuật toàn vẹn được phê duyệt ngay sau khi sửa đổi}.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt. Được kiểm tra như là một phần của AS10.51.
AS10.51: (Kiểm tra bỏ qua có điều kiện – Mức 1, 2, 3, và 4)
{Nếu một mô-đun mật mã duy trì thông tin nội bộ điều khiển khả năng bỏ qua thì mô-đun phải kiểm tra tính toàn vẹn của thông tin quản lý thông qua kỹ thuật toàn vẹn được phê duyệt ngay trước khi sửa đổi thông tin quản lý,} và phải tạo ra một giá trị toàn vẹn mới sử dụng kỹ thuật toàn vẹn được phê duyệt ngay sau khi sửa đổi.
Thông tin cần thiết từ nhà cung cấp
VE10.51.01: Tài liệu của nhà cung cấp phải quy định rõ phương pháp để sửa đổi thông tin nội bộ để quản trị khả năng bỏ qua.
VE 10.51.02: Nhà cung cấp phải cung cấp một đặc tả chi tiết về thông tin nội bộ quản lý khả năng bỏ qua, trình tự nội bộ tự cập nhật thông tin và cơ chế để duy trì tính toàn vẹn của thông tin bằng cách sử dụng một kỹ thuật toàn vẹn được phê duyệt.
Các thủ tục kiểm thử cần thiết
TE10.51.01: Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh rằng thông tin quản lý được duy trì trong mô-đun mật mã là tuân theo tài liệu của nhà cung cấp.
TE10.51.02: Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh rằng trình tự nội bộ để cập nhật thông tin quản lý là tuân theo tài liệu của nhà cung cấp.
TE10.51.03: Bằng cách kiểm tra mã nguồn và/hoặc tài liệu thiết kế, kiểm thử viên phải xác minh rằng cơ chế duy trì tính toàn vẹn của thông tin quản lý tuân theo tài liệu của nhà cung cấp.
6.10.3.7 Kiểm tra các chức năng quan trọng có điều kiện
AS10.52: (Kiểm tra các chức năng quan trọng có điều kiện – Mức 1, 2, 3, và 4)
Có thể có các chức năng an toàn khác quan trọng đối với thao tác an toàn của một mô-đun mật mã phải được kiểm tra như một phép tự kiểm tra có điều kiện.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.24.
6.10.3.8 Tự kiểm tra định kỳ
AS10.53: (Tự kiểm tra định kỳ – Mức 1, 2, 3, và 4)
Mô-đun mật mã phải cho phép những người vận hành khởi hoạt việc tự kiểm tra tiền hoạt động hoặc có điều kiện theo yêu cầu đối với việc kiểm tra định kỳ của mô-đun. Cách phê duyệt đối với việc khởi động theo yêu cầu của các tự kiểm tra định kỳ là: dịch vụ được cung cấp, tái thiết lập, tái khởi động hoặc chu trình bật nguồn.
Thông tin cần thiết từ nhà cung cấp
VE10.53.01: Nhà cung cấp phải mô tả các quy trình mà người vận hành khởi tạo hoạt động tự kiểm tra trước trong đòi hỏi của chu trình kiểm thử mô đun. Tất cả các hoạt động tự kiểm tra trước đều phải được chứa trong đó.
VE10.53.02: Nhà cung cấp phải mô tả các thủ tục mà người vận hành có thể khởi tạo kiểm tra có điều kiện theo yêu cầu kiểm tra định kỳ của mô-đun. ít nhất phải bao gồm các kiểm tra có điều kiện thuật toán mật mã.
Các thủ tục kiểm thử cần thiết
TE10.53.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp để xác minh rằng việc khởi tạo tự kiểm tra tiền hoạt động theo yêu cầu là được quy định rõ cho tất cả phép tự kiểm tra tiền hoạt động.
TE10.53.02. Kiểm thử viên phải khởi tạo tự kiểm tra tiền hoạt động theo yêu cầu để xác minh rằng việc bắt đầu tự kiểm tra tiền hoạt động là tuân theo tài liệu của nhà cung cấp.
TE10.53.03: Kiểm thử viên phải khởi tạo tự kiểm tra có điều kiện theo yêu cầu để xác minh rằng việc bắt đầu tự kiểm tra có điều kiện theo yêu cầu là tuân theo tài liệu của nhà cung cấp.
AS10.54: (Tự kiểm tra định kỳ – Mức 3 và 4)
Mô-đun này phải thực hiện tự động các phép tự kiểm tra tiền hoạt động hoặc có điều kiện lặp đi lặp lại nhiều lần trong một khoảng thời gian nhất định, không có đầu vào hoặc điều khiển bên ngoài.
Thông tin cần thiết từ nhà cung cấp
VE10.54.01: Nhà cung cấp phải cung cấp tài liệu quy định cách thức tự kiểm tra tiền hoạt động và tự kiểm tra có điều kiện được thực hiện lặp lại trong thời gian quy định, tự động, không có đầu vào hoặc điều khiển bên ngoài.
VE10.54.02: Tài liệu của nhà cung cấp phải bao gồm đặc tả về chỉ thị trạng thái được sử dụng để chỉ ra rằng các hoạt động của mô-đun mật mã bị gián đoạn do các phép tự kiểm tra tiền hoạt động hoặc tự kiểm tra có điều kiện.
VE10.54.03: Nhà cung cấp cung cấp chính sách an toàn không bản quyền phải cung cấp thông tin về khoảng thời gian quy định và bất kỳ điều kiện dẫn đến việc gián đoạn hoạt động của mô-đun trong thời gian lặp lại phép tự kiểm tra tiền hoạt động hoặc tự kiểm tra có điều kiện.
Các thủ tục kiểm thử cần thiết
TE10.54.01: Kiểm thử viên phải xác minh bằng cách kiểm tra mô-đun mật mã rằng các phép tự kiểm tra tiền hoạt động hoặc tự kiểm tra có điều kiện được lặp lại nhiều lần như được quy định rõ trong VE10.54.01 và VE10.54.02.
AS10.55: (Tự kiểm tra định kỳ – Mức 3 và 4)
Trong khoảng thời gian và ở mọi điều kiện có thể gây gián đoạn hoạt động của mô-đun trong thời gian lặp lại các phép tự kiểm tra tiền hoạt động hoặc tự kiểm tra có điều kiện phải được quy định trong chính sách an toàn (phụ lục B {TCVN 11295:2016}) (ví dụ: nếu một mô-đun đang thực hiện các dịch vụ quan trọng không thể dừng lại và khoảng thời gian cần để khởi động các tự kiểm tra tiền hoạt động; các tự kiểm tra có thể bị trì hoãn lại sau khoảng thời trôi qua lần nữa)
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS10.54.
6.11 Đảm bảo vòng đời
6.11.1 Các yêu cầu chung đối với đảm bảo vòng đời
AS11.01: (Đảm bảo vòng đời – Mức 1, 2, 3, và 4)
Cần cung cấp các yêu cầu đối với tài liệu được quy định tại tiểu mục A.2.11 của {TCVN 11295:2016}.
Thông tin cần thiết từ nhà cung cấp
VE11.01.01: Nhà cung cấp phải cung cấp các yêu cầu tài liệu theo quy định tại A.2.11 của TCVN 11295:2016.
Các thủ tục kiểm thử cần thiết
TE11.01.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp theo quy định tại A.2.11 của TCVN 11295:2016.
6.11.2 Quản lý cấu hình
AS11.02: (Quản lý cấu hình – Mức 1, 2, 3, và 4)
Các yêu cầu an toàn sau đây {AS11.03 đến AS11.05 TCVN 11295:2016} phải áp dụng cho các mô-đun mật mã với mức an toàn 1 và 2.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS11.03 tới AS11.05.
AS11.03: (Quản lý cấu hình – Mức 1,2, 3, và 4)
Một hệ thống quản lý cấu hình phải được sử dụng để phát triển một mô-đun mật mã và các thành phần mô-đun trong ranh giới mật mã và tài liệu mô-đun liên quan.
Thông tin cần thiết từ nhà cung cấp
VE11.03.01: Tài liệu của nhà cung cấp phải mô tả hệ thống quản lý cấu hình cho mô-đun mật mã, các thành phần của mô-đun và tài liệu mô-đun liên quan.
Các thủ tục kiểm thử cần thiết
TE11.03.01: Kiểm thử viên phải xác minh các tài liệu của nhà cung cấp về hệ thống quản lý cấu hình đã được thực hiện.
AS11.04: (Quản lý cấu hình – Mức 1, 2, 3, và 4)
Mỗi phiên bản của mỗi mục cấu hình (ví dụ: mô-đun mật mã, các phần cứng của mô-đun, các thành phần phần mềm của mô-đun, mô-đun HDL, tài liệu hướng dẫn người dùng, chính sách an toàn,…) bao gồm mô-đun và tài liệu liên quan phải được gán và dán nhãn với một định danh duy nhất.
Thông tin cần thiết từ nhà cung cấp
VE11.04.01: Tài liệu mô-đun mật mã của nhà cung cấp bao gồm một danh sách cấu hình của tất cả mục cấu hình. Tài liệu của nhà cung cấp phải mô tả phương pháp sử dụng để định danh duy nhất các mục cấu hình.
VE11.04.02: Tài liệu của nhà cung cấp phải mô tả phương pháp được sử dụng để định danh duy nhất phiên bản của mỗi mục cấu hình đã được kiểm tra hợp lệ.
Các thủ tục kiểm thử cần thiết
TE11.04.01: Kiểm thử viên phải xác minh danh sách cấu hình của nhà cung cấp bao gồm các mục cấu hình.
TE11.04.02: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định phương pháp được sử dụng để định danh duy nhất tất cả mục cấu hình.
TE11.04.03: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp mô tả phương pháp được sử dụng để định danh duy nhất từng phiên bản của một mục cấu hình đã được kiểm tra hợp lệ.
TE11.04.04: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp định danh duy nhất phiên bản của mỗi mục cấu hình đã được kiểm tra hợp lệ.
AS11.05: (Quản lý cấu hình – Mức 1, 2, 3, và 4)
Hệ thống quản lý cấu hình phải theo dõi và duy trì các thay đổi đối với định danh và phiên bản hoặc sửa đổi của mỗi mục cấu hình trong suốt vòng đời của mô-đun mật mã đã được kiểm tra hợp lệ.
Thông tin cần thiết từ nhà cung cấp
VE11.05.01: Tài liệu của nhà cung cấp phải quy định rõ các biện pháp sao cho chỉ những thay đổi có thẩm quyền được thực hiện cho các mục cấu hình.
Các thủ tục kiểm thử cần thiết
TE11.05.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp mà quy định rõ các biện pháp sao cho chỉ các thay đổi có thẩm quyền được thực hiện đối với các mục cấu hình.
AS11.06: (Quản lý cấu hình – Mức 3, và 4)
Các mục cấu hình phải được quản lý bằng một hệ thống quản lý cấu hình tự động.
Thông tin cần thiết từ nhà cung cấp
VE11.06.01: Tài liệu của nhà cung cấp phải quy định rõ cách thức hệ thống quản lý cấu hình cung cấp phương tiện tự động để hỗ trợ việc tạo ra mô-đun mật mã.
Các thủ tục kiểm thử cần thiết
TE11.06.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp quy định rõ cách thức hệ thống quản lý cấu hình cung cấp phương tiện tự động để hỗ trợ việc tạo ra mô-đun mật mã.
6.11.3 Thiết kế
AS11.07: (Thiết kế – Mức 1, 2, 3, và 4)
Các mô-đun mật mã được thiết kế để cho phép kiểm tra tất cả dịch vụ liên quan đến an toàn được cung cấp.
CHÚ THÍCH Khẳng định này được kiểm tra trong 6.4.3 của tiêu chuẩn này.
6.11.4 Mô hình trạng thái hữu hạn
AS11.08: (Mô hình trạng thái hữu hạn – Mức 1, 2, 3, và 4)
Hoạt động của một mô-đun mật mã phải được quy định rõ bằng mô hình trạng thái hữu hạn (hoặc tương đương) được biểu diễn bằng sơ đồ chuyển trạng thái và bảng chuyển đổi trạng thái và mô tả trạng thái.
Thông tin cần thiết từ nhà cung cấp
VE11.08.01: Nhà cung cấp phải cung cấp mô tả mô hình trạng thái hữu hạn. Mô tả này phải bao gồm việc quy định và mô tả tất cả trạng thái của mô-đun và mô tả tất cả trạng thái chuyển tiếp tương ứng. Các mô tả về quá trình chuyển đổi trạng thái phải bao gồm các điều kiện mô-đun nội bộ, đầu vào dữ liệu và đầu vào điều khiển gây ra sự chuyển đổi từ một trạng thái này sang trạng thái khác, đầu ra dữ liệu và đầu ra trạng thái do chuyển đổi từ một trạng thái này sang trạng thái khác.
VE11.08.02: Tài liệu của nhà cung cấp phải thiết lập một mô tả đầy đủ như sau:
- a) Hoạt động bình thường
- b) Hoạt động bị xuống cấp
- c) Giao diện nhập dữ liệu
- d) Giao diện xuất dữ liệu
- e) Giao diện đầu vào điều khiển
- f) Giao diện đầu ra điều khiển
- g) Giao diện đầu ra trạng thái
- h) Kênh tin cậy
- i) Vai trò của chuyên viên mật mã
- j) Vai trò của người dùng
- k) Vai trò khác (nếu có)
- l) Dịch vụ an toàn
- m) Dịch vụ nhập SSP (nếu có)
- n) Dịch vụ hiển thị trạng thái
- o) Xác thực người vận hành
- p) Tự kiểm tra
- q) Các dịch vụ, hoạt động và chức năng được ủy quyền khác (nếu có)
- r) Trạng thái lỗi
- s) Dịch vụ bỏ qua (nếu có)
- t) Giao diện truy cập bảo trì (nếu có)
- u) Vai trò bảo trì (nếu một giao diện truy cập bảo trì được cung cấp)
- v) Các dịch vụ tạo và thiết lập SSP (nếu có)
- w) Các dịch vụ đầu ra của SSP (nếu có)
- x) Các trạng thái không hoạt động (nếu có)
- y) Các trạng thái chưa được ban hành (nếu có)
Các thủ tục kiểm thử cần thiết
TE11.08.01: Kiểm thử viên phải xác minh rằng nhà cung cấp đã cung cấp mô tả mô hình trạng thái hữu hạn. Mô tả này phải bao gồm việc quy định và mô tả tất cả trạng thái của mô-đun và mô tả tất cả trạng thái chuyển tiếp tương ứng. Kiểm thử viên phải xác minh rằng các mô tả của quá trình chuyển đổi trạng thái bao gồm các điều kiện mô-đun nội bộ, đầu vào dữ liệu và đầu vào điều khiển gây ra sự chuyển đổi từ một trạng thái này sang trạng thái khác, đầu ra dữ liệu và đầu ra trạng thái kết quả của sự chuyển đổi từ trạng thái này sang trạng thái khác.
TE11.08.02: Kiểm thử viên phải xác minh rằng mô hình trạng thái hữu hạn (ví dụ: sơ đồ chuyển đổi trạng thái, bảng chuyển đổi trạng thái và mô tả trạng thái) tuân theo tài liệu của nhà cung cấp được mô tả như sau:
- a) Hoạt động bình thường
- b) Hoạt động bị xuống cấp
- c) Giao diện nhập dữ liệu
- d) Giao diện xuất dữ liệu
- e) Giao diện đầu vào điều khiển
- f) Giao diện đầu ra điều khiển
- g) Giao diện đầu ra trạng thái
- h) Kênh tin cậy
- i) Vai trò của chuyên viên mật mã
- j) Vai trò của người dùng
- k) Vai trò khác (nếu có)
- l) Dịch vụ an toàn
- m) Dịch vụ nhập SSP (nếu có)
- n) Dịch vụ hiển thị trạng thái
- o) Xác thực người vận hành
- p) Tự kiểm tra
- q) Các dịch vụ, hoạt động và chức năng được ủy quyền khác (nếu có)
- r) Trạng thái lỗi
- s) Dịch vụ bỏ qua (nếu có)
- t) Giao diện truy cập bảo trì (nếu có)
- u) Vai trò bảo trì (nếu một giao diện truy cập bảo trì được cung cấp)
- v) Các dịch vụ tạo và thiết lập SSP (nếu có)
- w) Các dịch vụ đầu ra của SSP (nếu có)
- x) Các trạng thái không hoạt động (nếu có)
- y) Các trạng thái chưa được ban hành (nếu có)
TE11.08.03: Kiểm thử viên phải xác minh rằng mỗi dịch vụ mô-đun mật mã riêng biệt, sử dụng chức năng an toàn, trạng thái lỗi, tự kiểm tra, hoặc xác thực người vận hành được mô tả như một trạng thái riêng biệt.
TE11.08.04: Kiểm thử viên phải xác minh rằng mọi trạng thái được quy định trong sơ đồ chuyển đổi trạng thái cũng được quy định và mô tả trong mô tả trạng thái.
TE11.08.05: Kiểm thử viên phải xác minh rằng mọi trạng thái được quy định và mô tả trong mô tả trạng thái cũng được quy định trong (các) sơ đồ chuyển đổi trạng thái.
TE11.08.06: Kiểm thử viên phải xác minh rằng hoạt động của mô-đun tuân theo sơ đồ chuyển trạng thái, bảng chuyển đổi nhà nước và mô tả trạng thái.
TE11.08.07: Nếu mô-đun bao gồm một giao diện truy cập bảo trì, kiểm thử viên phải xác minh rằng mô hình trạng thái hữu hạn có ít nhất một trạng thái bảo trì được quy định. Tất cả trạng thái bảo trì phải được chứa trong (các) sơ đồ chuyển đổi trạng thái và được mô tả trong mô tả trạng thái.
TE11.08.08: Kiểm thử viên phải xác minh các mô tả của các trạng thái của mô-đun mật mã nếu các mô tả quy định rõ trạng thái không liên kết. Kiểm thử viên phải xác minh rằng tất cả kết hợp dữ liệu có thể và đầu vào điều khiển có thể được phân chia thành các tập rời rạc.
TE11.08.09: Kiểm thử viên phải thực hiện mô-đun mật mã, nhập vào mỗi trạng thái chính của nó. Đối với mỗi trạng thái có chỉ thị khác biệt, kiểm thử viên phải cố gắng xác minh chỉ thị trong khi mô-đun đang ở trong trạng thái. Nếu không quan sát thấy chỉ thị mong đợi, hoặc có hai hoặc nhiều chỉ thị như vậy được quan sát đồng thời (chỉ ra rằng mô-đun này ở nhiều trạng thái cùng một lúc), thì kiểm tra này không thành công.
TE11.08.10: Kiểm thử viên phải xác minh rằng có một chuỗi các quá trình chuyển đổi từ một trạng thái bật nguồn ban đầu đến trạng thái khác trong mô hình mà không phải là trạng thái bật nguồn ban đầu.
TE11.08.11: Kiểm thử viên phải xác minh rằng có một chuỗi các quá trình chuyển đổi từ mỗi trạng thái không tắt nguồn đến trạng thái tắt nguồn của mô hình.
TE11.08.12: Kiểm thử viên phải xác minh rằng có quy định về các hoạt động của mô hình trạng thái hữu hạn như là kết quả của tất cả đầu vào dữ liệu và điều khiển có thể. Một ví dụ của khẳng định chung được phê duyệt là:
“Hoạt động của mô hình trạng thái hữu hạn là kết quả của tất cả kết hợp đầu vào dữ liệu và đầu vào điều khiển khác là đặt mô hình trạng thái hữu hạn vào trạng thái ERROR-3”.
AS11.09: (Mô hình trạng thái hữu hạn – Mức 1, 2, 3, và 4)
FSM phải đầy đủ chi tiết để chứng minh rằng mô-đun mật mã tuân thủ tất cả yêu cầu của TCVN 11295:2016.
CHÚ THÍCH Khẳng định này không được kiểm tra riêng biệt. Được kiểm tra như là một phần của AS11.10 đến AS11.13.
AS11.10: (Mô hình trạng thái hữu hạn – Mức 1, 2, 3, và 4)
FSM của một mô-đun mã hóa phải bao gồm tối thiểu các hoạt động và các trạng thái lỗi sau đây:
– Trạng thái bật/tắt nguồn. Một trạng thái trong đó mô-đun được tắt, được đặt ở chế độ chờ (bộ nhớ thay đổi được duy trì) hoặc trạng thái hoạt động được lưu giữ trong bộ nhớ không thay đổi (ví dụ: chế độ ngủ đông) và trong đó điện sơ cấp, thứ cấp hoặc nguồn dự phòng được áp dụng cho mô-đun. Trạng thái này có thể phân biệt giữa các nguồn điện đang được áp dụng cho mô-đun mật mã. Đối với mô-đun phần mềm, bật nguồn là hành động sản sinh một hình ảnh thực thi của mô-đun mật mã.
– Trạng thái khởi tạo tổng quát: Trạng thái trong đó mô-đun mật mã đang được khởi tạo trước khi mô-đun chuyển sang trạng thái đã được phê duyệt.
– Trạng thái chuyên viên mật mã: Trạng thái mà các dịch vụ chuyên viên mật mã được thực hiện (ví dụ: khởi tạo mật mã, quản trị an toàn và quản lý khóa).
– Trạng thái nhập vào CSP: Một trạng thái để nhập các CSP vào mô-đun mật mã.
– Trạng thái người dùng: (nếu vai trò người dùng được thực hiện): Một trạng thái mà người dùng được ủy quyền có được các dịch vụ an toàn, thực hiện các thao tác mật mã hoặc thực hiện các chức năng đã được phê duyệt khác.
– Trạng thái đã được phê duyệt: Một trạng thái trong đó các chức năng an toàn đã phê duyệt được thực hiện.
– Trạng thái tự kiểm tra: Một trạng thái trong đó mô-đun mật mã đang thực hiện tự kiểm tra.
– Trạng thái lỗi: Một trạng thái khi mô-đun mật mã đã gặp phải tình trạng lỗi (ví dụ: tự kiểm tra thất bại). Có thể có một hoặc nhiều điều kiện lỗi dẫn đến tình trạng lỗi mô-đun đơn. Các trạng thái lỗi có thể bao gồm các lỗi “cứng” chỉ ra sự cố về thiết bị và có thể yêu cầu bảo trì, dịch vụ hoặc sửa chữa mô-đun mật mã hoặc các lỗi “mềm” có thể khôi phục có thể yêu cầu khởi tạo hoặc thiết lập lại mô-đun.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS11.08.
AS11.11: (Mô hình trạng thái hữu hạn – Mức 1, 2, 3, và 4)
Sự phục hồi từ các trạng thái lỗi phải có thể thực hiện được, ngoại trừ các lỗi gây ra bởi các lỗi cứng đòi hỏi phải bảo trì, dịch vụ hoặc sửa chữa mô-đun mật mã.
Thông tin cần thiết từ nhà cung cấp
VE11.11.01: Tài liệu của nhà cung cấp phải mô tả việc phục hồi được áp dụng cho mỗi trạng thái lỗi không yêu cầu bảo trì, dịch vụ hoặc sửa chữa mô-đun mật mã.
Các thủ tục kiểm thử cần thiết
TE11.11.01: Từ mỗi trạng thái lỗi không yêu cầu bảo trì, dịch vụ hoặc sửa chữa, kiểm thử viên phải xác minh rằng mô-đun mã hóa có thể bị chuyển sang trạng thái vận hành hoặc khởi tạo phê duyệt được. Nỗ lực này bao gồm hai phần: thứ nhất, kiểm thử viên phải xác minh rằng mô-đun mật mã biểu thị khi nó ở trong một trạng thái lỗi và thứ hai, rằng mô-đun hoạt động chính xác ở trạng thái đích này. Kiểm thử viên phải báo cáo cách thức yêu cầu đã được xác minh (tức là bằng kiểm tra mã nguồn hoặc thực thi mô-đun).
AS11.12: (Mô hình trạng thái hữu hạn – Mức 1, 2, 3, và 4)
Mỗi dịch vụ mô-đun mật mã khác nhau, sử dụng chức năng an toàn, trạng thái lỗi, tự kiểm tra, hoặc xác thực người vận hành phải được mô tả như một trạng thái riêng biệt.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS11.08.
AS11.13: (Mô hình trạng thái hữu hạn – Mức 1, 2, 3, và 4)
Thay đổi trạng thái của chuyên viên mật mã từ mọi vai trò khác ngoài chuyên viên mật mã phải bị cấm.
Thông tin cần thiết từ nhà cung cấp
VE11.13.01: Nhà cung cấp phải cung cấp tài liệu về thay đổi trạng thái của chuyên viên mật mã từ mọi vai trò khác ngoài chuyên viên mật mã đều bị cấm.
Các thủ tục kiểm thử cần thiết
TE11.13.01: Kiểm thử viên phải xác minh rằng mô tả mô hình trạng thái hữu hạn chứng tỏ rằng việc thay đổi trạng thái của chuyên viên mật mã từ mọi vai trò khác ngoài chuyên viên mật mã đều bị cấm.
TE11.13.02: Nếu mô-đun mật mã hỗ trợ bất kỳ vai trò nào khác ngoài vai trò của chuyên viên mật mã, kiểm thử viên phải xác minh như sau:
- a) Trong bất kỳ chuỗi chuyển tiếp nào từ mỗi vai trò khác đến trạng thái tắt nguồn hoặc đến mỗi trạng thái trong đó việc xác thực/ủy quyền được xóa bỏ để đảm nhận vai trò,
1) Không có trạng thái chuyên viên mật mã, và
2) Không có trạng thái nào trong đó dịch vụ chỉ được phân bổ cho vai trò chuyên viên mật mã được thực hiện.
CHÚ THÍCH Thuật ngữ “bất kỳ vai trò trạng thái khác” biểu thị một trạng thái trong đó vai trò khác được giả định không phải là vai trò chuyên viên mật mã.
6.11.5 Sự phát triển
AS11.14: (Sự phát triển – Mức 1, 2, 3, và 4)
Các yêu cầu sau đây phải áp dụng cho các mô-đun mật mã với mức an toàn 1.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS11.15 đến AS11.21.
AS11.15: (Sự phát triển – Mức 1, 2, 3, và 4)
Nếu một mô-đun mật mã chứa phần mềm hoặc phần sụn, mã nguồn, tham chiếu ngôn ngữ, trình biên dịch, phiên bản trình biên dịch và các tùy chọn trình biên dịch, trình liên kết và các tùy chọn trình liên kết, thư viện thời gian chạy và thiết lập thư viện chạy, thiết lập cấu hình, phương pháp và quá trình biên dịch, các tùy chọn biên dịch, các biến môi trường và tất cả tài nguyên khác được sử dụng để biên dịch và liên kết mã nguồn thành dạng thực thi được phải được theo dõi bằng hệ thống quản lý cấu hình.
Thông tin cần thiết từ nhà cung cấp
VE11.15.01: Đối với các mô-đun mật mã chứa phần mềm hoặc phần sụn, nhà cung cấp phải cung cấp tài liệu về mã nguồn, tham chiếu ngôn ngữ, trình biên dịch, phiên bản trình biên dịch và các tùy chọn trình biên dịch, trình liên kết và các tùy chọn trình liên kết, thư viện thời gian chạy và thiết lập thư viện chạy, thiết lập cấu hình, quá trình và phương pháp biên dịch, các tùy chọn biên dịch, các biến môi trường và tất cả tài nguyên khác được dùng để biên dịch và liên kết mã nguồn thành một dạng thực thi được.
VE11.15.02: Đối với mỗi tài liệu trong VE11.15.01, nhà cung cấp phải cung cấp tài liệu quy định rõ các mục này được theo dõi bằng hệ thống quản lý cấu hình.
Các thủ tục kiểm thử cần thiết
TE11.15.01: Đối với các mô-đun mật mã chứa phần mềm hoặc phần sụn, kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu về mã nguồn, tham chiếu ngôn ngữ, trình biên dịch, phiên bản trình biên dịch và các tùy chọn trình biên dịch, trình liên kết và các tùy chọn trình liên kết, thư viện thời gian chạy và thiết lập thư viện chạy, thiết lập cấu hình, quá trình và phương pháp biên dịch, các tùy chọn biên dịch, các biến môi trường và tất cả tài nguyên khác được dùng để biên dịch và liên kết mã nguồn thành một dạng thực thi được.
TE11.15.02: Đối với mỗi mục trong tài liệu nêu trong VE11.15.01, kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rõ các mục này được theo dõi bằng hệ thống quản lý cấu hình.
AS11.16: (Sự phát triển – Mức 1, 2, 3, và 4)
Nếu một mô-đun mật mã có chứa phần mềm hoặc phần sụn, mã nguồn phải được chú giải với các bình luận mô tả rõ sự tương ứng của phần mềm hoặc phần sụn với thiết kế của mô-đun.
Thông tin cần thiết từ nhà cung cấp
VE11.16.01: Nhà cung cấp phải cung cấp một danh sách tên của tất cả thành phần phần mềm và phần sụn có trong mô-đun mật mã.
VE11.16.02: Nhà cung cấp phải cung cấp danh sách mã nguồn có chú giải của mỗi thành phần phần mềm và phần sụn chứa trong mô-đun mật mã.
Các thủ tục kiểm thử cần thiết
TE11.16.01: Kiểm thử viên phải sử dụng danh sách được cung cấp bởi nhà cung cấp để xác minh rằng một danh sách mã nguồn cho mỗi thành phần phần mềm hoặc phần sụn được chứa trong mô-đun.
AS11.17: (Sự phát triển – Mức 1, 2, 3, và 4)
Nếu một mô-đun mật mã chứa phần cứng, tài liệu phải quy định rõ sơ đồ và/hoặc ngôn ngữ mô tả phần cứng (HDL), nếu có.
Thông tin cần thiết từ nhà cung cấp
VE11.17.01: Nhà cung cấp phải cung cấp một danh sách các thành phần phần cứng chứa trong mô- đun mật mã.
Các thủ tục kiểm thử cần thiết
TE11.17.01: Kiểm thử viên phải sử dụng danh sách do nhà cung cấp cung cấp để xác minh rằng tài liệu này bao gồm các sơ đồ và/hoặc mô tả phần cứng (HDL) cho các thành phần phần cứng.
AS11.18: (Sự phát triển – Mức 1, 2, 3, và 4)
Nếu một mô-đun mật mã chứa phần cứng, HDL phải được chú giải với các bình luận mô tả rõ sự tương ứng của phần cứng với thiết kế của mô-đun.
Thông tin cần thiết từ nhà cung cấp
VE11.18.01: Nhà cung cấp phải cung cấp một danh sách HDL có chú giải của mỗi thành phần phần cứng chứa trong mô-đun mật mã.
Các thủ tục kiểm thử cần thiết
TE11.18.01: Kiểm thử viên phải sử dụng danh sách được cung cấp bởi nhà cung cấp để xác minh rằng một danh sách HDL cho mỗi thành phần phần cứng được chứa trong mô-đun này.
AS11.19: (Sự phát triển – Mức 1, 2, 3, và 4)
{Đối với mô-đun mật mã phần mềm và phần sụn và thành phần phần mềm hoặc phần sụn của mô-đun lai ghép}, kết quả của các cơ chế kỹ thuật xác thực và toàn vẹn được quy định rõ trong tiểu mục 7.5 {TCVN 11295:2016} và tiểu mục 7.10 {TCVN 11295:2016} phải được tính toán và tích hợp vào mô-đun phần mềm hoặc phần sụn của nhà cung cấp trong quá trình phát triển mô-đun.
Thông tin cần thiết từ nhà cung cấp
VE 11.19.01: Đối với mô-đun mật mã phần mềm và phần sụn và thành phần phần mềm hoặc phần sụn của mô-đun lai ghép, nhà cung cấp phải cung cấp tài liệu về kết quả của các cơ chế kỹ thuật xác thực và toàn vẹn được quy định rõ trong tiểu mục 7.5 {TCVN 11295:2016} và tiểu mục 7.10 {TCVN 11295:2016} phải được tính toán và tích hợp vào mô-đun phần mềm hoặc phần sụn của nhà cung cấp trong quá trình phát triển mô-đun.
Các thủ tục kiểm thử cần thiết
TE11.19.01: Đối với mô-đun mật mã phần mềm và phần sụn và thành phần phần mềm hoặc phần sụn của mô-đun lai ghép, kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu về kết quả của các cơ chế kỹ thuật xác thực và toàn vẹn được quy định rõ trong tiểu mục 7.5 {TCVN 11295:2016} và tiểu mục 7.10 {TCVN 11295:2016} phải được tính toán và tích hợp vào mô-đun phần mềm hoặc phần sụn của nhà cung cấp trong quá trình phát triển mô-đun.
AS11.20: (Sự phát triển – Mức 1, 2, 3, và 4)
{Đối với mô-đun mật mã phần mềm và phần sụn và thành phần phần mềm hoặc phần sụn của mô-đun lai ghép} tài liệu mô-đun mật mã phải quy định rõ trình biên địch, phương pháp và thiết lập cấu hình để biên dịch mã nguồn thành dạng thực thi được.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS11.15.
AS11.21: (Sự phát triển – Mức 1, 2, 3, và 4)
{Đối với mô-đun mật mã phần mềm và phần sụn và thành phần phần mềm hoặc phần sụn của mô-đun lai ghép} thì mô-đun mật mã phải được phát triển sử dụng các công cụ phát triển cấp sản xuất (ví dụ: trình biên dịch).
Thòng tin cần thiết từ nhà cung cấp
VE11.21.01: Nhà cung cấp phải cung cấp tài liệu quy định rõ mô-đun mật mã phải được phát triển bằng các công cụ phát triển cấp sản xuất (ví dụ: trình biên dịch).
Các thủ tục kiểm thử cần thiết
TE11.21.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu rằng mô-đun đáp ứng được mô-đun mật mã bằng cách sử dụng các công cụ phát triển cấp sản xuất (ví dụ: trình biên dịch).
AS11.22: (Sự phát triển – Mức 2, 3, và 4)
Các yêu cầu sau AS11.23 đến AS11.26 {TCVN 11295:2016} phải áp dụng cho các mô-đun mật mã với mức an toàn 2 và 3.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS11.23 cho đến AS11.26
AS11.23: (Sự phát triển – Mức 2, 3, và 4)
Tất cả phần mềm hoặc phần sụn phải được thực thi sử dụng ngôn ngữ bậc cao, không độc quyền {hoặc cơ sở lý luận phải được cung cấp cho việc sử dụng một ngôn ngữ bậc thấp (ví dụ: ngôn ngữ hợp ngữ hoặc vi mã) nếu cần thiết cho hoạt động của mô-đun hoặc khi một ngôn ngữ bậc cao là không khả dụng}.
Thông tin cần thiết từ nhà cung cấp
VE11.23.01: Nhà cung cấp phải cung cấp tài liệu rằng tất cả phần mềm hoặc phần sụn trong một mô-đun mật mã được thực thi sử dụng một ngôn ngữ bậc cao, không độc quyền.
Các thủ tục kiểm thử cần thiết
TE11.23.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rõ tất cả phần mềm hoặc phần sụn trong một mô-đun mật mã được thực hiện sử dụng ngôn ngữ bậc cao, không độc quyền.
AS11.24: (Sự phát triển – Mức 2, 3, và 4)
{Tất cả phần mềm hoặc phần sụn được thực hiện bằng ngôn ngữ bậc cao, không độc quyền} hoặc cơ sở lý luận phải được cung cấp cho việc sử dụng một ngôn ngữ bậc thấp (ví dụ: ngôn ngữ hợp ngữ hoặc vi mã) nếu cần thiết cho hoạt động của mô-đun hoặc khi một ngôn ngữ bậc cao là không khả dụng.
Thông tin cần thiết từ nhà cung cấp
VE11.24.01: Nhà cung cấp phải quy định từng thành phần phần mềm và phần sụn không được viết bằng ngôn ngữ bậc cao và cung cấp cơ sở lý luận hoặc lý do tại sao thành phần được viết bằng ngôn ngữ bậc thấp. Lý do căn bản phải dẫn ra hoặc không có ngôn ngữ bậc cao hoặc nhu cầu nâng cao hiệu năng cho phần mềm hoặc phần sụn.
Các thủ tục kiểm thử cần thiết
TE11.24.01: Kiểm thử viên phải kiểm tra mã nguồn cho mỗi thành phần phần mềm và/hoặc phần sụn để kiểm tra xem mã nào được viết bằng ngôn ngữ bậc thấp. Kiểm thử viên phải xác minh rằng không có thành phần phần mềm và/hoặc phần sụn được viết bằng ngôn ngữ bậc thấp mà không được nhà cung cấp nêu trong VE11.24.01.
AS11.25: (Sự phát triển – Mức 2, 3, và 4)
Các mạch tích hợp tùy chỉnh trong mô-đun mật mã phải được thực hiện bằng cách sử dụng ngôn ngữ mô tả phần cứng (HDL) bậc cao (ví dụ: VHDL hoặc Verilog).
Thông tin cần thiết từ nhà cung cấp
VE11.25.01: Nhà cung cấp phải cung cấp tài liệu về các thành phần phần cứng được thực hiện bằng cách sử dụng ngôn ngữ đặc tả bậc cao.
Các thủ tục kiểm thử cần thiết
TE11.25.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp có các thông tin được nêu trong VE11.25.01.
AS11.26: (Sự phát triển – Mức 2, 3, và 4)
Tất cả phần mềm hoặc phần sụn được thiết kế và thực hiện theo cách tránh sử dụng mã, thông số hoặc ký hiệu không cần thiết cho chức năng và việc thực thi của mô-đun.
Thông tin cần thiết từ nhà cung cấp
VE11.26.01: Đối với tất cả phần mềm hoặc phần sụn, nhà cung cấp phải cung cấp tài liệu rằng phần mềm hoặc phần sụn được thiết kế và thực hiện theo cách tránh sử dụng mã, thông số hoặc ký hiệu không cần thiết cho chức năng và việc thực thi của mô-đun.
Các thủ tục kiểm thử cần thiết
TE11.26.01: Đối với tất cả phần mềm hoặc phần sụn, kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp quy định rõ phần mềm hoặc phần sụn được thiết kế và thực hiện theo cách tránh sử dụng mã, thông số hoặc ký hiệu không cần thiết cho chức năng và việc thực thi của mô-đun.
AS11.27: (Sự phát triển – Mức 4)
Yêu cầu sau đây phải áp dụng cho các mô-đun mật mã cho mức an toàn 4.
AS11.28: (Sự phát triển – Mức 4)
Đối với mỗi thành phần phần cứng và phần mềm của mô-đun mật mã, tài liệu phải được chú giải bằng các chú thích nêu rõ (1) các điều kiện tiên quyết yêu cầu khi nhập thành phần, chức năng hoặc thủ tục của mô-đun để thực hiện đúng và (2) điều kiện sau mong đợi phải là đúng khi việc thực thi thành phần, chức năng, hoặc thủ tục mô-đun hoàn tất.
CHÚ THÍCH Các điều kiện tiên quyết và điều kiện sau có thể được quy định rõ bằng bất kỳ ký hiệu nào đủ chi tiết để giải thích hoàn toàn và không rõ ràng hành vi của thành phần, chức năng hoặc thủ tục của mô-đun mật mã.
Thông tin cần thiết từ nhà cung cấp
VE11.28.01: Danh sách mã nguồn cho tất cả thành phần phần cứng, phần mềm và phần sụn phải bao gồm các chú thích, điều kiện tiên quyết và điều kiện sau được yêu cầu trong AS11.28.
VE11.28.02: Tài liệu của nhà cung cấp phải cung cấp cơ sở lý luận hoặc lý do tại sao các điều kiện tiên quyết được đáp ứng, cùng với các trường hợp sử dụng cho mô-đun mật mã.
CHÚ THÍCH Các trường hợp sử dụng phải bao gồm: cung cấp dịch vụ cho các nhà khai thác đồng thời với các vai trò khác nhau, và phát hiện sự giả mạo vật lý.
VE11.28.03: Nếu có bất kỳ điều kiện tiên quyết nào không được thỏa mãn một cách độc lập theo thiết kế mô-đun mật mã, thì tài liệu của nhà cung cấp phải đưa ra những thực tế đó, và quy định rõ các thực thể chịu trách nhiệm cho mỗi điều kiện tiên quyết đố. Các thực thể có thể là mô-đun bổ sung hợp lệ được nhúng bên trong mô-đun mật mã, hoặc các thành phần phần cứng được lắp ráp trong mô-đun. Nếu các thực thể bên ngoài ranh giới mật mã chịu trách nhiệm về điều kiện tiên quyết, thì tài liệu hướng dẫn cho quản trị viên phải cung cấp điều kiện tiên quyết như là quy tắc bắt buộc khi sử dụng mô-đun mật mã.
VE11.28.04: Tài liệu của nhà cung cấp phải cung cấp cơ sở lý luận hoặc lý do tại sao mỗi điều kiện sau được thỏa mãn.
Các thủ tục kiểm thử cần thiết
TE 11.28.01: Kiểm thử viên phải xác minh danh sách mã nguồn bao gồm thông tin được nêu trong VE11.28.01.
TE11.28.02: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng mỗi điều kiện tiên quyết thực sự được thỏa mãn, trong khi phải tính đến các trường hợp sử dụng cho phép. Trách nhiệm chứng minh là của nhà cung cấp; Nếu có bất kỳ sự không chắc chắn hoặc nghi ngờ, kiểm thử viên phải yêu cầu nhà cung cấp cung cấp thêm thông tin khi cần thiết.
CHÚ THÍCH Kiểm tra này phải được thực hiện bằng cách kiểm tra tính nhất quán với các điều kiện sau đã được xác minh, và/hoặc bằng cách kiểm tra mã nguồn.
TE11.28.03: Kiểm thử viên phải xác minh bằng cách kiểm tra từ tài liệu của nhà cung cấp rằng mỗi điều kiện sau thực sự thỏa mãn, trong khi kiểm tra các điều kiện tiên quyết và điều kiện sau. Trách nhiệm chứng minh là của nhà cung cấp; Nếu có bất kỳ sự không chắc chắn hoặc nghi ngờ, kiểm thử viên phải yêu cầu nhà cung cấp cung cấp thêm thông tin khi cần thiết.
TE11.28.04: Nếu nhúng thêm mô-đun kiểm tra tính hợp lệ vào trong mô-đun mật mã, kiểm thử viên phải xác minh rằng các quy tắc áp dụng cho việc sử dụng mô-đun kiểm tra tính hợp lệ bổ sung thực sự được đáp ứng.
6.11.6 Kiểm tra nhà cung cấp
AS11.29: (Kiểm tra nhà cung cấp – Mức 1, 2, 3, và 4)
Tài liệu phải quy định rõ kiểm tra chức năng được thực hiện trên mô-đun mật mã.
Thông tin cần thiết từ nhà cung cấp
VE11.29.01: Nhà cung cấp phải cung cấp tài liệu quy định rõ việc kiểm tra chức năng được thực hiện trên mô-đun mật mã.
Các thủ tục kiểm thử cần thiết
TE11.29.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu mô tả kiểm tra chức năng được thực hiện trên mô-đun mật mã.
AS11.30: (Kiểm tra nhà cung cấp – Mức 1, 2, 3, và 4)
Đối với các mô-đun mật mã phần mềm hoặc phần sụn và thành phần phần mềm hoặc phần sụn của mô-đun lai ghép, nhà cung cấp phải sử dụng các công cụ chẩn đoán an toàn tự động hiện hành (ví dụ: phát hiện tràn bộ đệm).
Thông tin cần thiết từ nhà cung cấp
VE11.30.01: Đối với các mô-đun mật mã phần mềm hoặc phần sụn và thành phần phần mềm hoặc phần sụn của mô-đun lai ghép, nhà cung cấp phải cung cấp tài liệu mà các công cụ chẩn đoán an toàn tự động hiện hành (ví dụ: phát hiện tràn bộ nhớ đệm,…) đã được sử dụng.
Các thủ tục kiểm thử cần thiết
TE11.30.01: Đối với mô-đun mật mã phần mềm hoặc phần sụn và thành phần phần mềm hoặc phần sụn của mô-đun lai ghép, kiểm thử viên phải xác minh rằng nhà cung cấp đưa ra tài liệu về các công cụ chẩn đoán an toàn tự động hiện hành (ví dụ: phát hiện tràn bộ nhớ đệm,…) được sử dụng.
AS11.31: (Kiểm tra nhà cung cấp – Mức 3, và 4)
Tài liệu phải quy định rõ các thủ tục và kết quả của việc kiểm tra mức thấp được thực hiện trên mô-đun mật mã.
Thông tin cần thiết từ nhà cung cấp.
VE11.31.01: Nhà cung cấp phải cung cấp tài liệu quy định rõ các thủ tục và kết quả của việc kiểm tra mức thấp được thực hiện trên mô-đun mật mã.
Các thủ tục kiểm thử cần thiết
TE11.31.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu quy định rõ các thủ tục và kết quả thử nghiệm mức thấp được thực hiện trên mô-đun mật mã.
6.11.7 Chuyển giao và vận hành
AS11.32: (Chuyển giao và vận hành – Mức 1, 2, 3, và 4)
Tài liệu phải quy định rõ các thủ tục cài đặt, khởi tạo và khởi động an toàn của mô-đun mật mã.
Thông tin cần thiết từ nhà cung cấp
VE11.32.01 : Tài liệu của nhà cung cấp phải mô tả các bước cần thiết để cài đặt, khởi tạo và khởi động an toàn mô-đun mã hóa.
Các thủ tục kiểm thử cần thiết
TE11.32.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp rằng nó bao gồm các thủ tục cài đặt, khởi tạo và khởi động dẫn đến cấu hình an toàn.
TE11.32.02: Kiểm thử viên phải thực hiện các thủ tục để cài đặt an toàn, khởi tạo và khởi động của mô-đun mật mã và xác minh tính chính xác của chúng.
AS11.33: (Chuyển giao và vận hành – Mức 2, 3, và 4)
Tài liệu phải quy định các thủ tục cần thiết để duy trì an toàn trong khi phân phối, cài đặt và khởi tạo các phiên bản của một mô-đun mật mã cho người vận hành được ủy quyền.
Thông tin cần thiết từ nhà cung cấp
VE11.33.01: Tài liệu chuyển giao phải mô tả các thủ tục cần thiết để duy trì an toàn khi phân phối mô-đun mật mã cho người vận hành được ủy quyền.
Các thủ tục kiểm thử cần thiết
TE11.33.01: Kiểm thử viên phải xác minh tài liệu của nhà cung cấp rằng các thủ tục cần thiết để duy trì an toàn trong khi phân phối và chuyển giao các phiên bản của mô-đun mật mã cho người vận hành được ủy quyền là chính xác.
AS11.34: (Chuyển giao và vận hành – Mức 2, 3, và 4)
Các thủ tục phải quy định cách thức để phát hiện sự giả mạo trong quá trình chuyển giao, cài đặt và khởi tạo của mô-đun cho người vận hành được ủy quyền.
Thông tin cần thiết từ nhà cung cấp
VE11.34.01: Nhà cung cấp phải cung cấp tài liệu quy định các thủ tục để phát hiện sự giả mạo trong quá trình chuyển giao, cài đặt và khởi tạo mô-đun cho người vận hành được ủy quyền.
Các thủ tục kiểm thử cần thiết
TE11.34.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu quy định các thủ tục để phát hiện sự giả mạo trong quá trình chuyển giao, cài đặt và khởi tạo mô-đun cho người vận hành được ủy quyền.
AS11.35: (Chuyển giao và vận hành – Mức 4)
Các thủ tục phải yêu cầu người vận hành đã ủy quyền được xác thực bởi mô-đun bằng cách sử dụng dữ liệu xác thực cụ thể người vận hành do nhà cung cấp cung cấp.
Thông tin cần thiết từ nhà cung cấp
VE11.35.01: Nhà cung cấp phải cung cấp tài liệu cho các thủ tục mà người khai thác được ủy quyền yêu cầu xác thực tới mô-đun bằng cách sử dụng dữ liệu xác thực do nhà cung cấp cung cấp.
Các thủ tục kiểm thử cần thiết
TE 11.35.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu cho các thủ tục mà người vận hành được ủy quyền yêu cầu xác thực cho mô-đun bằng cách sử dụng dữ liệu xác thực do nhà cung cấp cung cấp.
6.11.8 Tuổi thọ của sản phẩm
AS11.36: (Tuổi thọ của sản phẩm – Mức 1, 2, 3, và 4)
Tài liệu phải quy định rõ các thủ tục duy trì an toàn cho mô-đun mật mã.
Thông tin cần thiết từ nhà cung cấp
VE11.36.01: Nhà cung cấp phải cung cấp tài liệu quy định rõ các thủ tục duy trì an toàn cho mô-đun mật mã.
Các thủ tục kiểm thử cần thiết
TE11.36.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu quy định các thủ tục duy trì an toàn cho mô-đun mật mã.
AS11.37: (Tuổi thọ của sản phẩm – Mức 3, và 4)
Tài liệu phải quy định rõ các thủ tục cần thiết để hủy an toàn mô-đun.
Thông tin cần thiết từ nhà cung cấp
VE 11.37.01: Nhà cung cấp phải cung cấp tài liệu quy định các thủ tục cần thiết để hủy an toàn mô-đun.
Các thủ tục kiểm thử cần thiết
TE11.37.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu quy định các thủ tục cần thiết để hủy an toàn mô-đun.
6.11.9 Tài liệu hướng dẫn
AS11.38: (Tài liệu hướng dẫn – Mức 1, 2, 3, và 4)
Tài liệu hướng dẫn của quản trị viên phải quy định rõ:
– Các chức năng quản trị, các sự kiện an toàn, các tham số an toàn (và giá trị tham số, nếu thích hợp), các cổng vật lý, và các giao diện logic của mô-đun mật mã khả dụng cho chuyên viên mật mã và/hoặc các vai trò quản trị khác;
– Các thủ tục cần thiết để giữ cho dữ liệu và cơ chế xác thực của người vận hành độc lập về mặt chức năng;
– Các quy trình về cách thức quản lý mô-đun mã hóa trong một chế độ hoạt động được phê duyệt; Và
– Các giả định liên quan đến hành vi của người dùng có liên quan đến hoạt động an toàn của mô-đun mật mã.
Thông tin cần thiết từ nhà cung cấp
VE11.38.01: Nhà cung cấp phải cung cấp tài liệu bao gồm danh sách thông tin trong AS11.38.
VE11.38.02: Các hướng dẫn không độc quyền phải có sẵn cho các quản trị viên thích hợp của mô-đun.
Các thủ tục kiểm thử cần thiết
TE 11.38.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp bao gồm danh sách thông tin trong AS11.38.
AS11.39: (Tài liệu hướng dẫn – Mức 1, 2, 3, và 4)
Tài liệu hướng dẫn không dành cho quản trị viên phải quy định rõ:
– Các chức năng an toàn được phê duyệt và không được phê duyệt, các cổng vật lý, và các giao diện logic khả dụng cho người sử dụng của một mô-đun mật mã; Và
– Tất cả trách nhiệm của người sử dụng cần thiết cho chế độ hoạt động được phê duyệt của một mô-đun mật mã.
Thông tin cần thiết từ nhà cung cấp
VE11.39.01: Nhà cung cấp phải cung cấp tài liệu bao gồm danh sách thông tin trong AS11.39.
VE11.39.02: Các hướng dẫn không độc quyền phải có sẵn cho những người không phải là quản trị viên của mô-đun.
Các thủ tục kiểm thử cần thiết
TE11.39.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp bao gồm danh sách thông tin trong AS11.39.
6.12 Giảm thiểu các tấn công khác
CHÚ THÍCH 1 Sự tồn tại và hoạt động đúng đắn của các cơ chế an toàn phải được khẳng định khi các yêu cầu và các kiểm tra liên quan được phát triển.
CHÚ THÍCH 2 Chính sách an toán không độc quyền bao gồm các thông tin được yêu cầu trong tiểu mục B.2.12 của {TCVN 11295:2016}.
AS12.01: (Giảm thiểu các tấn công khác – Mức 1, 2, 3, và 4)
Cần cung cấp các yêu cầu tài liệu quy định tại tiểu mục A.2.12 của {TCVN 11295:2016}.
Thông tin cần thiết từ nhà cung cấp
VE12.01.01: Nhà cung cấp phải cung cấp các yêu cầu tài liệu như quy định tại A.2.12 của TCVN 11295:2016.
Các thủ tục kiểm thử cần thiết
TE12.01.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu theo quy định tại A.2.12 của TCVN 11295:2016.
AS12.02: (Giảm thiểu các tấn công khác – Mức 1, 2, 3, và 4)
Nếu một mô-đun mật mã được thiết kế để giảm thiểu một hoặc nhiều cuộc tấn công cụ thể không được định nghĩa trong tiêu chuẩn {TCVN 11295:2016}, thì các tài liệu hỗ trợ của mô-đun phải liệt kê các tấn công lên mô-đun được thiết kế để giảm thiểu.
Thông tin cần thiết từ nhà cung cấp
VE12.02.01: Nhà cung cấp phải cung cấp tài liệu hỗ trợ liệt kê các tấn công lên mô-đun được thiết kế để giảm thiểu.
Các thủ tục kiểm thử cần thiết
TE12.02.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu hỗ trợ liệt kê các tấn công lên mô-đun được thiết kế để giảm thiểu.
AS12.03: (Giảm thiểu các tấn công khác – Mức 4)
Yêu cầu sau đây phải áp dụng cho các mô-đun mật mã với mức an toàn 4.
CHÚ THÍCH Khẳng định này được kiểm tra như là một phần của AS12.04.
AS12.04: (Giảm thiểu các tấn công khác – Mức 4)
Nếu khẳng định việc giảm thiểu các cuộc tấn công cụ thể không được định nghĩa trong tiêu chuẩn {TCVN 11295:2016}, thì tài liệu phải quy định rõ các phương pháp được sử dụng để giảm thiểu các cuộc tấn công và các phương pháp để kiểm tra hiệu quả của kỹ thuật giảm thiểu.
Thông tin cần thiết từ nhà cung cấp
VE12.04.01: Nhà cung cấp phải quy định rõ trong tài liệu các phương pháp được sử dụng để giảm thiểu các cuộc tấn công.
VE12.04.02: Nhà cung cấp phải quy định rõ trong tài liệu các phương pháp kiểm thử được sử dụng để kiểm tra hiệu quả của các kỹ thuật giảm thiểu.
VE12.04.03: Nhà cung cấp phải quy định rõ trong tài liệu về hiệu quả của các kỹ thuật giảm thiểu.
Các thủ tục kiểm thử cần thiết
TE12.04.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu quy định các phương pháp được sử dụng để giảm thiểu tấn công.
TE12.04.02: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu quy định các phương pháp kiểm tra được sử dụng để kiểm tra tính hiệu quả của các kỹ thuật giảm thiểu.
TE12.04.03: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp tài liệu quy định về hiệu quả của các kỹ thuật giảm thiểu.
6.13 Yêu cầu tài liệu
CHÚ THÍCH Phụ lục A TCVN 11295:2016 quy định các yêu cầu tài liệu tối thiểu của một mô-đun mật mã.
ASA. 01: (Tài liệu – Mức 1, 2, 3, và 4)
Phụ lục này {phụ lục A TCVN 11295:2016} quy định các tài liệu tối thiểu phải được yêu cầu cho một mô-đun mật mã được trải qua một quy trình xác minh độc lập {và tài liệu phải đáp ứng các yêu cầu đó}.
Thông tin cần thiết từ nhà cung cấp
VEA.01.01: Nhà cung cấp phải cung cấp tài liệu cho một mô-đun mật mã đáp ứng được nhưng không giới hạn ở các yêu cầu tài liệu tối thiểu được nêu trong A.2.1 đến A.2.12 của TCVN 11295:2016.
Các thủ tục kiểm thử cần thiết
TEA.01.01: Kiểm thử viên phải xác minh rằng tài liệu của nhà cung cấp cho một mô-đun mật mã đáp ứng được nhưng không giới hạn ở các yêu cầu tài liệu tối thiểu được quy định trong A.2.1 đến A.2.12 của TCVN 11295:2016
6.14 Chính sách an toàn mô-đun mật mã
CHÚ THÍCH Phụ lục B TCVN 11295:2016 quy định các yêu cầu tối thiểu của một chính sách an toàn mô-đun mật mã.
ASB. 01: (Chính sách an toàn – Mức 1, 2, 3, và 4)
Danh sách dưới đây tóm tắt các yêu cầu phải được cung cấp trong chính sách an toàn không độc quyền.
Thông tin cần thiết từ nhà cung cấp
VEB.01.01: Nhà cung cấp phải cung cấp một chính sách an toàn không độc quyền cho mô-đun mật mã đáp ứng được nhưng không giới hạn ở các yêu cầu về chính sách an toàn tối thiểu như được quy định rõ trong B.2.1 đến B.2.12 của TCVN 11295:2016.
Các thủ tục kiểm thử cần thiết
TEB.01.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp một chính sách an toàn không độc quyền cho mô-đun mật mã đáp ứng được nhưng không giới hạn ở các yêu cầu về chính sách an toàn tối thiểu như đã quy định rõ trong B.2.1 đến B.2.12 của TCVN 11295:2016.
ASB.02: (Chính sách an toàn – Mức 1, 2, 3, và 4)
Định dạng của chính sách an toàn phải được trình bày theo thứ tự quy định rõ trong phụ lục này {phụ lục B TCVN 11295:2016} hoặc theo quy định của tổ chức chịu trách nhiệm.
Thông tin cần thiết từ nhà cung cấp
VEB.02.01: Nhà cung cấp phải cung cấp chính sách an toàn không độc quyền của mô-đun mật mã được trình bày theo thứ tự quy định rõ trong B.2.1 đến B.2.12 của TCVN 11295:2016 hoặc theo quy định của tổ chức chịu trách nhiệm.
Các thủ tục kiểm thử cần thiết
TEB.02.01: Kiểm thử viên phải xác minh rằng nhà cung cấp cung cấp chính sách an toàn không độc quyền cho mô-đun mật mã được trình bày theo thứ tự quy định rõ trong B.2.1 đến B.2.12 của TCVN 11295:2016 hoặc theo quy định của tổ chức chịu trách nhiệm.
ASB.03: (Chính sách an toàn – Mức 1, 2, 3, và 4)
Chính sách an toàn phải không được đánh dấu là độc quyền hoặc có bản quyền mà không có tuyên bố cho phép sao chép hoặc phân phối.
Thông tin cần thiết từ nhà cung cấp
VEB.03.01: Nhà cung cấp phải cung cấp chính sách an toàn không được đánh dấu là độc quyền hoặc có bản quyền.
VEB.03.02: Nếu nhà cung cấp cung cấp chính sách an toàn được đánh dấu có bản quyền thì nó phải bao gồm một tuyên bố cho phép sao chép hoặc phân phối.
Các thủ tục kiểm thử cần thiết
TEB.03.01: Kiểm thử viên phải xác minh rằng nhà cung cấp đã cung cấp chính sách an toàn không được đánh dấu là độc quyền hoặc có bản quyền.
TEB.03.02: Nếu nhà cung cấp cung cấp chính sách an toàn được đánh dấu có bản quyền thì kiểm thử viên phải xác minh rằng nó bao gồm một tuyên bố cho phép sao chép hoặc phân phối.
6.15 Chức năng an toàn được phê duyệt
CHÚ THÍCH 1 Phụ lục C TCVN 11295:2016 quy định các chức năng an toàn đã được phê duyệt cho một mô-đun mật mã.
CHÚ THÍCH 2 Không có yêu cầu đối với 6.12.4.
6.16 Phương pháp tạo và thiết lập các thông số an toàn nhạy cảm được phê duyệt
CHÚ THÍCH 1 TCVN 11295:2016 Phụ lục D quy định phương pháp tạo và tạo các thông số an toàn nhạy cảm đã được phê duyệt cho một mô-đun mật mã.
CHÚ THÍCH 2 Không có yêu cầu đối với 6.12.5.
6.17 Cơ chế xác thực được phê duyệt
CHÚ THÍCH 1 Phụ lục E TCVN 11295:2016 quy định cơ chế xác thực đã được phê duyệt cho một mô-đun mật mã.
CHÚ THÍCH 2 Không có yêu cầu đối với 6.12.6.
6.18 Chuẩn đo kiểm tra giảm thiểu tấn công không xâm lấn được phê duyệt
CHÚ THÍCH 1 Phụ lục F của TCVN 11295:2016 quy định chuẩn đo kiểm tra giảm thiểu tấn công không xâm lấn đã được phê duyệt cho một mô-đun mật mã.
CHÚ THÍCH 2 Không có yêu cầu đối với 6.12.7.
TIÊU CHUẨN QUỐC GIA TCVN 12211:2018 (ISO/IEC 24759:2017) VỀ CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – YÊU CẦU KIỂM THỬ CHO MÔ-ĐUN MẬT MÃ | |||
Số, ký hiệu văn bản | TCVN12211:2018 | Ngày hiệu lực | |
Loại văn bản | Tiêu chuẩn Việt Nam | Ngày đăng công báo | |
Lĩnh vực |
Giao dịch điện tử |
Ngày ban hành | 01/01/2018 |
Cơ quan ban hành | Tình trạng | Còn hiệu lực |
Các văn bản liên kết
Văn bản được hướng dẫn | Văn bản hướng dẫn | ||
Văn bản được hợp nhất | Văn bản hợp nhất | ||
Văn bản bị sửa đổi, bổ sung | Văn bản sửa đổi, bổ sung | ||
Văn bản bị đính chính | Văn bản đính chính | ||
Văn bản bị thay thế | Văn bản thay thế | ||
Văn bản được dẫn chiếu | Văn bản căn cứ |