前不久,由中國金融認證中心(CFCA)資訊安全實驗室檢測的一款晶片獲得了首個國内EAL5+認證證書。而在此之前,國内的晶片檢測認證一直止步于EAL4+級别,如果想要過EAL5+及以上級别的檢測認證,需要到國外去送檢,而首個國内EAL5+認證證書的頒發,宣告了這一境況的結束。
為了有助于大家更全面地了解CC,本文在上篇《白話說CC-稍有點小複雜的CC介紹》的基礎上,重點介紹一下EAL4+和EAL5+的差別。
那麼肯定有人會問,EAL4+和EAL5+來自于哪兒?它們的差別是什麼?為什麼要過EAL5+?下面我們為大家一一道來。
來自于哪兒?
目前國際範圍内最受普遍認可的資訊安全評價标準是CC(即Common Criteria),其中共定義了由低到高EAL1到EAL7七個等級,大家可以簡單了解為等級越高,消費者使用這款産品時,對它的安全性越有信心。而本文所說的EAL4+和EAL5+的“+”指的是分别在EAL4和EAL5的基礎上對部分檢測項目進行了更新。
參考國際CC相關标準,我國制定了晶片領域的檢測标準GB/T 22186-2016《資訊安全技術 具有中央處理器的IC卡晶片安全技術要求》(目前本标準的最新版),國内晶片EAL4+和EAL5+級别的檢測就是依據的本标準。标準中将晶片的評估要求分為兩方面:a)安全功能要求(Security Functional Requirement,SFR);b)安全保障要求(Security Assurance Requirement,SAR),EAL4+和EAL5+級别對應不同的SFR和SAR。
差別是什麼?
我們分别從安全功能要求和安全保障要求兩個方面介紹一下EAL4+和EAL5+的差別。
安全功能要求
為了使晶片能夠應對所有可能的威脅或攻擊,以達到安全目的,标準中提出了其必須滿足的安全功能要求,通俗講就是要求晶片需要具備哪些安全功能,晶片要幹什麼。包括密碼支援(FCS類,注:其中F代表“Functional”,CS是“Cryptographic Support”的簡寫,其他類的命名方式以此類推)、使用者資料保護(FDP類)、辨別和鑒别(FIA類)、安全管理(FMT類)、安全功能保護(FPT類)和資源利用(FRU類)6個方面,共包含22個元件,其中17個是EAL 4+檢測必選項, 21個是EAL5+檢測的必選項,其新增的4個元件如下圖:
是以,EAL5+檢測在使用者資料保護、辨別和鑒别、安全功能保護三個方面均增加了新的安全功能要求,不僅要求晶片的使用者資料能夠防擾動攻擊、鑒别機制能夠防邏輯攻擊,還要求晶片在産生自檢條件(如初始啟動期間、正常運作期間和授權使用者要求)時運作自檢程式來驗證晶片安全功能的運作是否正确。
安全保障要求
安全保障要求定義了如何保障該晶片的設計和實作的正确性,對從晶片的開發設計到傳遞使用等整個生命周期都提出了嚴格的要求,包括安全目标評估(ASE類,注:其中A代表“Assurance”,SE是“Security Target Evaluation”的簡寫,其他類的命名方式以此類推)、開發(ADV類)、指導性文檔(AGD類)、生命周期支援(ALC類)、測試(ATE類)和脆弱性評定(AVA類)6個方面。
标準中規定,針對安全保障要求元件,EAL5+在EAL4+的基礎上新增了1個,更新了7個,共分布在4個類裡,具體如下表:
| 安全保障要求類 | 安全保障要求元件 |
| EAL4+要求 | EAL5+要求 |
| ADV類:開發 | ○ | ADV_INT.2“内部結構合理” |
| ADV_FSP.4“完備的功能規範” | ADV_FSP.5“附加錯誤資訊的完備的半形式化功能規範” | |
| ADV_TDS.3“基礎子產品設計” | ADV_TDS.4“半形式化子產品設計” | |
| ALC類:生命周期支援 | ALC_CMS.4“問題跟蹤CM覆寫” | ALC_CMS.5“開發工具CM覆寫” |
| ALC_DVS.1“安全措施辨別” | ALC_DVS.2“充分的安全措施” | |
| ALC_TAT.1“明确定義的開發工具” | ALC_TAT.2“遵從實作标準” | |
| ATE類:測試 | ATE_DPT.2“測試:安全執行子產品” | ATE_DPT.3“測試:子產品設計” |
| AVA類:脆弱性評定 | AVA_VAN.4“系統的脆弱性分析” | AVA_VAN.5“進階的系統的脆弱性分析” |
可以明顯看出,相比于EAL4+,EAL5+對安全保障要求提出了更多更高的要求,尤其是在開發和生命周期支援這兩個類裡,下面我們在整體上簡單介紹一下都主要增加了哪些新的要求,如下圖:
是以,EAL5+不僅要求采用更系統更科學的半形式化方式論述,以減少歧義;還在配置管理系統、功能測試和穿透性測試等多個方面要求增加更多的内容,以提供更全面的保障。
為什麼過EAL5+?
上文通過比較EAL4+與EAL5+安全功能要求和安全保障要求的變化情況,總體上EAL5+的優點可以總結如下:
是以,相對于EAL4+檢測認證,EAL5+能夠使設計人員對晶片的安全性提供更多的保障、檢測人員對晶片的安全性進行更深入的評價、使用者對晶片的安全性擁有更強的信心。