白话说CC--五分钟带你了解EAL4+与EAL5+的区别
前不久,由中国金融认证中心(CFCA)信息安全实验室检测的一款芯片获得了首个国内EAL5+认证证书。而在此之前,国内的芯片检测认证一直止步于EAL4+级别,如果想要过EAL5+及以上级别的检测认证,需要到国外去送检,而首个国内EAL5+认证证书的颁发,宣告了这一境况的结束。
为了有助于大家更全面地了解CC,本文在上篇《白话说CC-稍有点小复杂的CC介绍》的基础上,重点介绍一下EAL4+和EAL5+的区别。
那么肯定有人会问,EAL4+和EAL5+来自于哪儿?它们的区别是什么?为什么要过EAL5+?下面我们为大家一一道来。
来自于哪儿?
目前国际范围内最受普遍认可的信息安全评价标准是CC(即Common Criteria),其中共定义了由低到高EAL1到EAL7七个等级,大家可以简单理解为等级越高,消费者使用这款产品时,对它的安全性越有信心。而本文所说的EAL4+和EAL5+的“+”指的是分别在EAL4和EAL5的基础上对部分检测项目进行了升级。
参考国际CC相关标准,我国制定了芯片领域的检测标准GB/T 22186-2016《信息安全技术 具有中央处理器的IC卡芯片安全技术要求》(目前本标准的最新版),国内芯片EAL4+和EAL5+级别的检测就是依据的本标准。标准中将芯片的评估要求分为两方面:a)安全功能要求(Security Functional Requirement,SFR);b)安全保障要求(Security Assurance Requirement,SAR),EAL4+和EAL5+级别对应不同的SFR和SAR。
区别是什么?
我们分别从安全功能要求和安全保障要求两个方面介绍一下EAL4+和EAL5+的区别。
安全功能要求
为了使芯片能够应对所有可能的威胁或攻击,以达到安全目的,标准中提出了其必须满足的安全功能要求,通俗讲就是要求芯片需要具备哪些安全功能,芯片要干什么。包括密码支持(FCS类,注:其中F代表“Functional”,CS是“Cryptographic Support”的简写,其他类的命名方式以此类推)、用户数据保护(FDP类)、标识和鉴别(FIA类)、安全管理(FMT类)、安全功能保护(FPT类)和资源利用(FRU类)6个方面,共包含22个组件,其中17个是EAL 4+检测必选项, 21个是EAL5+检测的必选项,其新增的4个组件如下图:
因此,EAL5+检测在用户数据保护、标识和鉴别、安全功能保护三个方面均增加了新的安全功能要求,不仅要求芯片的用户数据能够防扰动攻击、鉴别机制能够防逻辑攻击,还要求芯片在产生自检条件(如初始启动期间、正常运行期间和授权用户要求)时运行自检程序来验证芯片安全功能的运行是否正确。
安全保障要求
安全保障要求定义了如何保障该芯片的设计和实现的正确性,对从芯片的开发设计到交付使用等整个生命周期都提出了严格的要求,包括安全目标评估(ASE类,注:其中A代表“Assurance”,SE是“Security Target Evaluation”的简写,其他类的命名方式以此类推)、开发(ADV类)、指导性文档(AGD类)、生命周期支持(ALC类)、测试(ATE类)和脆弱性评定(AVA类)6个方面。
标准中规定,针对安全保障要求组件,EAL5+在EAL4+的基础上新增了1个,升级了7个,共分布在4个类里,具体如下表:
| 安全保障要求组件 |
||
| EAL4+要求 |
EAL5+要求 |
|
| ADV类:开发 |
○ |
ADV_INT.2“内部结构合理” |
| ADV_FSP.4“完备的功能规范” |
ADV_FSP.5“附加错误信息的完备的半形式化功能规范” |
|
| ADV_TDS.3“基础模块设计” |
ADV_TDS.4“半形式化模块设计” |
|
| ALC类:生命周期支持 |
ALC_CMS.4“问题跟踪CM覆盖” |
ALC_CMS.5“开发工具CM覆盖” |
| ALC_DVS.1“安全措施标识” |
ALC_DVS.2“充分的安全措施” |
|
| ALC_TAT.1“明确定义的开发工具” |
ALC_TAT.2“遵从实现标准” |
|
| ATE类:测试 |
ATE_DPT.2“测试:安全执行模块” |
ATE_DPT.3“测试:模块设计” |
| AVA类:脆弱性评定 |
AVA_VAN.4“系统的脆弱性分析” |
AVA_VAN.5“高级的系统的脆弱性分析” |
可以明显看出,相比于EAL4+,EAL5+对安全保障要求提出了更多更高的要求,尤其是在开发和生命周期支持这两个类里,下面我们在整体上简单介绍一下都主要增加了哪些新的要求,如下图:
因此,EAL5+不仅要求采用更系统更科学的半形式化方式论述,以减少歧义;还在配置管理系统、功能测试和穿透性测试等多个方面要求增加更多的内容,以提供更全面的保障。
为什么过EAL5+?
上文通过比较EAL4+与EAL5+安全功能要求和安全保障要求的变化情况,总体上EAL5+的优点可以总结如下:
因此,相对于EAL4+检测认证,EAL5+能够使设计人员对芯片的安全性提供更多的保障、检测人员对芯片的安全性进行更深入的评价、用户对芯片的安全性拥有更强的信心。