还剩46页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
点击此处添加号ICS ICS中华人民共和家标准GB/T XXXX.1—202X/IS0/IEC23837-1:2023CCS XXX网络安全技术量子密钥分发的安全要求、测试和评估方法第部分要求1Cybersecurity technology—Security requirements,test andevaluation methodsforquantum key distributionPart1:Requirements(ISO/IEC23837-1:2023Information security-Security requirements,test and)evaluation methodsfor quantum keydistributionPart1:Requirements,IDT(征求意见稿)(本草案完成时间:2025年3月)在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上XXXX-XX-XX发布XXXX-XX-XX实施332量子信号quantum s i gnaI由量子力学中的量子态所描述的信号[来源ETSI GRQKD007vl.
1.1:2018]333原始密钥数据raw data通过测量信号脉冲的量子态产生的密纺萦勿
3.14334原始密钥数据生成raw datagenerationQKD协议
3.24中通过传输和探测量子信号
3.32生成反跆密的戮瘩
3.33的程序注此术语在量子密钥分发领域被称为〃原始密钥交换〃筛选sifting在量子密钥分发协议
3.24的后处理
3.17程序中,处理原始密钥数据
3.33产生筛选后密钥数据QA.A6的过程筛选后密钥数据sifted data合法用户根据约定的策略对原密密钩戮瘩
3.33进行松
3.35后获得的密钥数据第单光子探测器sing I e-photon detector将单光子以非零概率转化为可检测信号的装置[来源:ETSI GRQKD007VL L1:2018,有修改]4缩略语下列缩略语适用于本文件APD雪崩光电二极管Avalanche PhotodiodeCV-QKD连续变量量子密钥分发Continuous-Variable Quantum Key DistributionDV-QKD离散变量量子密钥分发Discrete-Variable Quantum Key DistributionEB-QKD基于纠缠的量子密钥分发Entanglement-Based QuantumKey DistributionFTP:可信路径/信道Trusted Path/ChannelsFUN_QKD量子密钥分发功能QuantumKeyDistribution FunctionFUN_SCM系统控制和管理功能System ControlAnd ManagementFunctionFUN_SP自我保护功能Self-Protection FunctionIT信息技术Information TechnologyKM密钥管理器Key ManagerMDI-QKD测量设备无关的量子密钥分发Measurement-DeviceTndependent QuantumKeyDistributionNRBG非确定性随机比特发生器Non-Deterministic Random Bit GeneratorPM-QKD制备-测量量子密钥分发Prepare-And-Measure QuantumKey DistributionPP保护轮廓Protection ProfileQBER量子比特错误率Quantum BitError RateQKD量子密钥分发QuantumKeyDistributionQRBG量子随机比特发生器Quantum RandomBit GeneratorRBG:随机比特发生器RandomBitGeneratorSFR安全功能要求Security FunctionalRequirementST安全目标Security TargetTOE评估对象Target OfEvaluationTSF评估对象安全功能Target OfEvaluation SecurityFunctionality5量子密钥分发协议的理论层面总述
5.1本章描述了QKD的理论模型,仅讨论QKD协议的理论层面,不考虑实际部署中可能存在的安全漏洞换言之,假设QKD系统的所有组成部分均完全符合理论模型的要求,不存在任何通过实现脆弱性实施攻击的可能理论模型中允许的攻击方式仅限于QKD协议安全模型中已考虑的攻击类型
5.2条阐述了QKD协议的基本概念和原理
5.3和
5.4条节分另对的口协议分类及其结构进行说明,以便后续对QKD协议实现的分析<原理5QKD协议用于将通信双方预共享的密钥扩展为适用于信息加密的更长的安全密钥在QKD协议的一般模型中,通信双方通过两条信道连接一条为量子信道,用于传输量子信号;另一条为经典信道,用于传输经典信号为实现密钥量的按需扩展满足具体应用的密钥需求,通信双方宜执行多次QKD会话,按QKD协议规范进行信息交换和处理经典信道传输的数据通常要经过认证,其认证所使用的密钥称为QKD认证密钥首次QKD会话应使用通信双方预共享的对称密钥作为QKD认证密钥由于单次QKD会话消耗的认证密钥长度远小于该会话生成的密钥长度,因此后续QKD会话可以采用先前会话生成密钥的特定部分作为认证密钥由此可知,QKD本质上是通信双方间的密钥扩展协议理论上,通信双方可将短预共享密钥扩展为满足具体应用需求的任意长度共享密钥注1预共享密钥可在QKD模块的开发、预运行或维护阶段通过人工输入或从外部密钥管理器下载的方式注入实际应用中,通常在QKD系统运行前预共享一组对称密钥序列,而非仅供首次QKD会话所需的单个QKD认证密钥QKD协议通常包含两个核心程序a程序一原始密钥数据生成合法通信方对传输在量子信道上的量子信号进行探测并生成原始密钥数据为便于QKD协议的分类,协议中的通信方依据其在本程序中承担的角色进行区分,负责在协议中发送量子信号的通信方称为QKD发送方简称发送方,负责在协议中探测量子信号的通信方称为QKD接收方简称接收方b程序二后处理通过后处理协议对原始密钥数据进行处理,通常会得到一个长度短于原始密钥数据的对称密钥,称为最终密钥后处理程序一般包括四个子程序——筛选从原始密钥数据中得到筛选后密钥数据;——参数估计估计用于纠错和保密增强的参数;——纠错纠正筛选后密钥数据中的错误;——保密增强从筛选后密钥数据中生成最终密钥注2实际的QKI系统可能包含其他辅助程序以实现其功能完整性,如
6.5所述的初始化程序注3部分情况下,QKD协议的程序可能无法明确区分例如,QBER的估计可能在纠错中完成,而非限定于参数估计过程分类
5.2QKD功能可能通过不同类型的协议实现,其复杂程度一般高于
5.2所述的具有一般性意义的协议,并可从不同角度对其进行分类GB/T XXXX采用以下两种QKD协议分类方法第一种基于量子态的解码方式(见表1),分为离散变量QKD(DV-QKD)和连续变量QKD(CV-QKD)协议DV-QKD协议的接收方通常采用单光子探测器测量光脉冲,而CV-QKD协议的接收方通常采用相干探测技术测量光脉冲第二种基于QKD协议结构(见表2)在制备-测量QKD(PM-QKD)协议中,发送方对量子态进行信息编码,并通过量子信道发送至目标接收方,接收方通过量子态测量获取原始密钥数据(见图1)测量设备无关的QKD(MDI-QKD)协议包含两个发送方和一个接收方,每个发送方均通过量子信道与接收方连接发送方制备并发送量子态给接收方,接收方对这些量子态进行联合测量(见图2)基于纠缠的QKD(EB-QKD)协议包含两个接收方和一个发送方,每个接收方通过量子信道与发送方相连发送方制备一对纠缠量子态,并将此量子态的两部分分别发送给两个接收方,接收方对各自接收到的部分进行测量进而生成原始密钥数据(见图3)注PM-QKD、MDI-QKD和EB-QKD协议均可属于DV-QKD或CV-QKD协议表1根据量子态的解码方式对QKD协议分类类型DV-QKD CV-QKD发送方通常使用无限维希尔伯特空间中量子化电磁场的共甄发送方通常用有限维度的离散变量对信息进行编码,变量(正交)对信息进行编码例如对光的相干态进行编码描述如相位、偏振或时间窗(time-bin)等接收方通常接收方通常使用相干探测技术对量子态进行正交测量,如零使用单光子探测器进行信息解码差或外差探测表2根据协议结构对QKD协议分类类型PM-QKD MDI-QKD EB-QKD此类协议包括一个QKD发送方和两此类协议包括一个QKD发送方和此类协议包括两个QKD发送方和一个QKD接收方发送方准备一对纠一个QKD接收方发送方制备并个QKD接收方发送方制备并通过缠的量子态,并将此量子态的两部通过量子信道向接收方发送量子量子信道向接收方发送量子态,接描述分分别发送给两个接收方两个接态,接收方测量量子态,(经后处收方对两个发送方发送的量子态进收方分别测量量子态,(经后处理)理)得到发送方和接收方共同可用行联合测量,(经后处理)得到两得到两个接收方共同可用的最终密的最终密钥个发送方共向可用的最终密钥钥耳A结构
5.3讨论了三种不同类型的QKD协议,分别如图
1、图2和图3所示一般而言,安全评估的范围与所实现的QKD协议结构密切相关量子信i图1制备-测量QKD协议PM-QKD协议的结果如图1所示,由通过量子信道和经典信道连接的发送方和接收方构成实际QKD系统的安全性依赖于通信双方功能模块的安全实现,因此,QKD发送方和接收方的实现模块均应纳入安全评估范围图2MDI-QKD协议在MDI-QKD协议中,中间方承担QKD接收方的角色,并通过量子信道和经典信道与两个发送方连接;两个发送方之间亦通过经典信道连接(见图2)o QKD会话完成后,仅两个发送方持有最终密钥根据MDI-QKD协议的特点,QKD接收方遵循协议规则即可确保密钥的正确建立,但该协议的安全证明不对接收方作任何安全性假设因此,如
6.
4.3所述,QKD接收方的实现模块不纳入安全评估范围注MDI-QKD协议中存在两类经典信道一类为连接两个QKD发送方的经典信道,其数据传输根据具体QKD协议进行认证;另一类为QKD接收方与各QKD发送方连接的经典信道,用于传输QKD接收方的测量结果且无需消息认证,即攻击者可篡改QKD接收方通过此类信道发送至QKD发送方的测量结果图3EB-QKD协议在EB-QKD协议中,中间方承担QKD发送方的角色,通过量子信道分别与两个接收方连接,两个接收方则通过经典信道连接(如图3)QKD会话完成后,仅两个接收方持有最终密钥根据EB-QKD协议的特点,QKD发送方遵循协议规则即可确保密钥的正确建立,但该协议的安全证明不对发送方作任何安全性假设因此,QKD发送方的实现模块不纳入安全评估范围,详见
6.
4.3在有些QKD协议的实现中,中间角色可与发送方或接收方合并在此情况下,PP或ST的作者应充分考虑合并情况,保障整体安全特别是,当需要评估的部件与通常无需评估的部件集成于同一模块时,应在PP或ST以及TOE定义中明确分离方法示例对于EB-QKD,QKD发送方可与任一QKD接收方集成于同一模块6量子密钥分发协议的实现1总述A本文件中,QKD协议中发送方和接收方的具体实现模块,以下分别称为QKD发送模块(简称“发送模块)和QKD接收模块(简称“接收模块”)o一般而言,QKD协议的安全模型默认威胁主体仅能通过量子信道和经典信道实施窃听攻击然而在工程实践中,当威胁主体通过网络接口远程访问计算设备,甚至物理接触计算设备并侵入其硬件时,计算过程的关键信息可能发生泄露,导致安全模型中的安全声明失效注由于物理特性,1T设备的运行为威胁主体通过侧信道(如功耗测量、电磁辐射等手段)提取数据或信息提供了可能此类侧信道攻击通常作为密码模块测评的考量因素QKD模块的侧信道泄露评估往往要投入大量资源当环境假设可排除部分侧信道的影响时(详见第7章,特别是
7.2和
7.
4.2条),此类资源投入可适当降低基于实际安全视角,通过引入合理的环境假设或采用特定的信息技术(IT)和非IT相关的安全控制措施,可在一定程度上弥合安全模型与工程实践的差距依据GB/T18336标准开展QKD模块的评估,旨在确定其是否达到实际的安全级别,论证QKD协议与工程实现之间不存可被预设强度攻击者利用的潜在差异GB/T XXXX致力于解决以下三个核心问题a)基于实际安全考量,宜建立哪些运行环境假设,宜应对哪些威胁?(见第7章)b)宜采用何种IT相关的安全控制措施应对已识别的威胁并达成安全目标?具体而言,宜对QKD模块提出哪些安全功能要求?(见第9章)c)如何验证QKD模块的安全控制措施及核心功能在产品中的正确实现?(见GB/T XXXX.2)为深入理解上述问题,
6.2描述了典型QKD模块的外部接口,
6.3分析了构成典型QKD系统的内部部件在此基础上,
6.4界定了TOE范围及其TSF的一般性定义最后,
6.5从一般性意义上描述了QKD系统的工作流程量子密钥分发模块的外部接口
656.
2.1概述QKD模块外部接口的一般性描述如图4所示此一般性描述的QKD模块可作为QKD发送方或QKD接收方的实例化实现,取决于具体协议的结构注1QKD模块的完整描述详见ETSI GSQKD0111⑵密伙管亢粕()KM常的泞丹内块OKI图4QKD模块的外部接口除量子信道和经典信道接口外,QKD模块应配置辅助接口支持其功能运行,包括操作者实施控制和管理QKD模块功能的接口(即控制和管理接口),以及QKD模块与外部KM交互上传最终密钥的接口(即密钥管理接口)注2根据实现方案,QKD认证密钥所用的预共享密钥可从KM下载,也可通过控制和管理接口直接人工导入QKD模块经典信道接口用于QKD模块通过经典信道与对端模块进行信息交互及后处理等操作就此而言,该接口与传统网络设备无本质差异,故
6.
2.2至
6.
2.4条着重分析量子信道接口及其他辅助接口
6.
2.2量子信道接口量子信道可能采用单模光纤、多模光纤或自由空间信道实现,但为避免攻击者利用QKD模块多模特性实施潜在攻击,建议量子信道接口仅允许单一横模的光模式传输至QKD模块内部部件因此,GB/T XXXX仅考虑量子信道采用单模光纤实现的情况
6.
2.3控制和管理接口a)根据具体实现,操作者可通过控制和管理接口执行以下操作——配置系统参数;——管理审计信息;——更新软件/硬件包;——监测QKD模块的运行状态并处置异常事件;——输入预共享密钥(仅限特定实现方案)注部分实现方案允许操作者通过控制和管理接口采集QKI)模块审计信息b)工程实践中,QKD模块通常宜实施基于身份认证的访问控制机制,以管理接口的可访问性并防范未授权系统接入
6.
2.4密钥管理接口a)根据具体实现,QKD模块可通过密钥管理接口定期与KM进行以下交互——上传新生成最终密钥的部分数据;——针对特定实现方案,可选下载首轮QKD会话认证密钥所需的预共享密钥b)工程实践中,QKD模块与KM间的通信路径可能跨越不同内部网络,应对该信道上的通信实施防泄露与防篡改保护具体要求参见
7.2a)中的安全假设和
7.2a)2)中的例外情况
6.3量子密钥分发模块的内部结构工程实践中,不同QKD协议的实现方案存在显著差异,主要体现在光源、探测器、调制器及后处理等核心部件为保障普适性,本文件对QKD模块内部结构的描述聚焦于协议抽象化高层实现的共同特征,淡化技术细节差异具体以典型PM-QKD模块为例,其内部功能元素的一般性结构如图5所示注QKD模块的内部结构可根据不同QKD协议的差异进行调整图5PM-QKD协议实现的一般内部结构a)图5所示的QKD发送模块和接收模块的内部结构对应于图1所示的PM-QKD协议,各模块的内部部件构成典型功能单元b)MDI-QKD协议的两个发送模块内部结构与图5所示的发送模块类似,但接收模块内部结构因无安全考量要素,本文件不予讨论,参见
5.4中对MDI-QKD协议结构的分析c)EB-QKD协议的两个接收模块内部结构与图5所示的接收模块类似,但发送模块内部结构因无安全考量要素,本文件不予讨论,参见
5.4中对EB-QKD协议结构的分析QKD内部部件的划分为第7章威胁分析、第9章安全功能要求以及GB/T XXXX.2评估活动的描述奠定了基础为明晰QKD模块的安全问题,本文件将QKD模块内部结构中的部件划分为两类图5中白色方框标识为传统网络部件,实心方框标识为量子光学部件NRBG部件特性取决于具体实现(详见
6.
3.2与
6.
3.3),采用半实心方框表示需特别说明,本部件划分仅具指导意义QKD模块的部件可能进一步细分,PP或ST的作者可选择其他方法表述QKD模块的结构
6.
3.2QKD发送模块中的部件QKD发送模块的内部部件一般包含a)QKD发送模块一般包含信号源部件,用于发送满足QKD协议要求的光子该部件可具备光信号强度调节及信息编码功能b)编码器部件对接收的光子进行量子态调制以编码信息(适用于协议要求独立编码且该功能未集成于信号源的场景)根据QKD协议和编码方案,编码器将信息编码在光子的一组状态上,如特定的相位、偏振或时间窗(time-bin)该部件可具备光信号强度调节功能oc)部分QKD发送模块配置隔离部件(即隔离器),防止光脉冲经由量子信道反向注入到发送模块该部件以虚线框标识为可选部件,可具备光信号强度调节功能d)非确定性随机比特发生器(NRBG)部件用于随机选择信号编码基矢、比特值及生成密钥素材NRBG可通过ISO/IEC18031规定的传统物理噪声方案,或基于量子原理的方案(QRBG)实现传统物理噪声方案实现时为传统网络部件,量子原理方案实现时归为量子光学部件,故图5中NRBG以半实心框标识e)后处理部件负责处理与后处理程序相关的任务,包括QKD会话的筛选、参数估计、纠错和保密增强f)系统控制和管理部件负责全系统的协调与管理,其功能的实现依赖于基础操作系统(通常为嵌入式芯片系统)实现控制功能(包括原始密钥数据生成和后处理的流控制功能),并为QKD模块的运行提供以下管理服务操作事件审计;——操作者识别/认证;——安全相关信息的访问控制(见
7.3中对资产的描述),其有效性依赖于基础操作系统;——角色管理、访问控制及QKD模块生命周期控制等系统参数的配置与管理,相关配置应确保QKD模块可生成安全最终密钥PP或ST宜详述TOE的生命周期各阶段及相应用户角色,明确各阶段安全功能要求,并规定触发阶段转换的条件与保护措施;——系统调试;——固件/软件更新注1QKD模块的生命周期与常规IT产品类似,由一系列高级阶段组成,涵盖需求定义至停用全流程,包括设计、开发、预运行、运行及维护阶段生命周期的阶段转换能够由制造商或操作员控制,并在阶段转换时对QKD模块进行适当的安全配置g)密钥管理部件旨在实现QKD模块与外部KM的交互接口,以及QKD模块内部密钥素材(相关定义见
7.3)的密钥管理功能具体应实现——上传新生成最终密钥的部分数据至外部KM;——可选从外部KM下载用于首轮QKD会话认证的预共享密钥;——存储预共享密钥及新生成最终密钥的部分数据以支持消息认证;——保障密钥上传及下载过程的机密性和完整性;——销毁无效密钥素材本文件规定了QKD模块内部的密钥访问和销毁功能,其余密钥管理功能(如密钥派生与存储)由PP或ST定义外部KM的密钥管理功能规范不属于本文件范畴注2工程实践中,密钥访问的安全性主要通过QKD模块的访问控制机制保障具体表现为,QKD认证密钥的访问权限可限定于特权进程(如后处理程序)访问控制机制也可以将最终密钥及密钥素材的访问权限限定于特权进程此外,密钥访问控制机制可由系统控制和管理部件,或密钥管理部件实现.
3.3QKD接收模块中的部件6QKD接收模块的内部结构与QKD发送模块类似,主要差异如下a)接收模块的解码器和探测器部件应负责解析发送模块中信号源及编码器编码的信号QKD接收模块的隔离部件会对光脉冲离开该模块输出至量子信道前进行强衰减b)图5中的NRBG可能采用无源分束器替代实体NRBG实现无论采用何种实现方式,NRBG均宜提供解码基矢随机选择功能,并且宜始终对其实现中的任何缺陷开展评估活动因此,该部件为可选部件,图5中以虚线框标识量子密钥分发模块的TOE范围
746.
4.1概述基于典型QKD模块的结构分析,可从一般性意义上定义TOE安全功能(TSF)及TOE范围,以适应不同协议结构及其实现的安全评估需求
6.
4.2TSF的定义TSF的定义可综合
6.3条对部件功能的描述,形成QKD模块的共性功能TSF至少应包含以下三类功能a)量子密钥分发功能(FUN_QKD),主要包括原始密钥数据生成和后处理功能部分QKD系统中的QKD模块可在原始密钥数据生成功能中实现参数校准程序b)系统控制和管理功能(FUN_SCM),由QKD模块中的控制和管理部件实现,主要包括
6.3中列出的流控制功能和相关的管理服务c)密钥管理功能(FUN_KM),由QKD模块中的密钥管理部件实现,包括QKD模块与KM间的密钥上传和下载,以及
6.3中所列的密钥销毁功能一般来说,上述三类功能构成QKD模块的基础功能集在无系统异常及攻击场景下,正确实现该功能集即可生成最终密钥但基于工程实践安全视角,QKD模块中的部件可能存在漏洞,随着攻击方法的不断发展,这些漏洞有可能在部署后才被发现攻击是经由QKD模块的外部接口实施的,QKI)模块应保护其免受经由外部接口的入侵和漏洞利用因此,TSF还应包括d)自我保护功能(FUN_SP),保护TSF自身不受攻击,主要包括抵御经由量子信道进行侧信道攻击的保护功能、自检功能、信息留存控制、系统故障恢复、参数校准等需注意的是,TSF具体功能范围只有结合具体协议及实现方案才能确定,本文件仅对TSF的定义进行一般性描述PP或ST的作者应在明确具体实现方案时,形成TSF的具体定义注本文件将参数校准功能归于原始密钥数据生成程序,但逻辑上其属于自我保护功能(保障QKD模块正常运行)此外,参数校准功能也不属于自检功能范畴,具体参见
9.
2.22中FPTJTST.1的安全功能要求以及
9.
3.2中对FTP QKD.1的描述
7.
4.3TOE的定义尽管难以界定QKD系统的具体TOE范围(此系PP或ST的目标),但本文件通过
6.
4.2所述必要功能,从一般性意义上确立了QKD系统的TOE范围原则上,本文件定义的TOE应包含实现FUN_QKD、FUN_SCM、FUN_KM和FUN_SP功能的所有部件TOE不包含QKD系统正常运行要求的量子信道和经典信道,但涵盖连接量子信道和经典信道相关外部接口的实现部件由此定义的TOE具有分布式特性,其具体范围与协议实现结构相关a)对于PM-QKD协议,TOE包含对应QKD发送方与接收方的独立模块,及其外部接口的实现部件(如图4所示)因此,GB/T XXXX不支持仅包含单一QKD发送模块或接收模块的TOE定义b)对于MDI-QKD协议,TOE包含两个发送模块及其外部接口的实现部件此时,接收模块虽为协议正确执行的必要部分,但就QKD系统的安全性而言,无须将其视为可信部件,因此TOE不包含该模块c)对于EB-QKD协议,TOE包含两个接收模块及其外部接口的实现部件此时,发送模块虽为协议正确执行的必要部分,但就QKD系统的安全性而言,无须将其视为可信部件,因此TOE不包含该模块注1上述TOE的定义将MDI-QKD中的接收模块与EB-QKD中的发送模块排除在安全评估范围之外,安全评估得以简化,这意味着在MDI-QKD协议和EB-QKD协议中,TOE可以分别与任何功能正确的接收模块和发送模块一起部署本定义并不否定把此类模块纳入TOE的其他方案,开发者和评估者可以将此类模块视为TOE的非TSF部分注2部分实现方案中,图5所示的几个部件是可选的,若QKD模块中无此类部件,则不将相关部件纳入TOE范围例如,若QKD接收模块采用无源分束器代替NRBG,则NRBG不是TOE的一部分
6.5量子密钥分发模块的一般工作流程组成QKD系统的QKD模块的工作流程通常可分为三个阶段a)阶段一初始化阶段在此阶段,QKD系统中的各QKD模块将完成自举、初始化,并对其主要功能部件,如对密码部件的软件和固件完整性,以及NRBG(若属于TOE)执行启动测试此外,部分实现方案要求模块间执行身份认证后方可进入原始密钥数据生成阶段b)阶段二:原始密钥数据生成阶段在此阶段,量子信号经由量子信道传输后由合法接收方探测,生成含噪声的相关密钥数据在原始密钥数据生成阶段,QKD模块可在限定条件下进行参数调整以保障运行稳定性和安全性c)阶段三后处理阶段在此阶,根据后处理协议对原始密钥数据进行处理,生成长度更短的对称密钥,即最终密钥具体而言,后处理阶段一般包括四个子阶段筛选、参数估计、纠错和保密增强[参见
5.2b)]o注阶段二和阶段三分别对应
5.2中QKD协议的程序一和程序二的实现7量子密钥分发模块的安全问题分析
8.1总述本章旨在为QKD模块PP或ST中的安全问题定义提供基础框架鉴于QKD模块实现方案的多样性,本文件主要针对各类QKD实现的共性问题,不涉及特殊场景的安全问题基于
6.3条的部件划分,由QKD模块漏洞引发的威胁可分为两类传统网络部件相关威胁和量子光学部件相关威胁注实际攻击可能同时利用两类部件漏洞,上述划分不排除此类复合攻击场景72安全假设理论上,QKD协议可在其安全证明的模型假设下,建立安全性不依赖攻击者算力的密钥但基于工程实践安全视角,该模型的部分假设应转化为安全功能要求,并通过一定的机制实现,同时在QKD模块安全性评估中进行验证;其余模型假设应转化为运行环境假设,作为QKD模块正常运行的前提,但在QKD模块安全性评估中不进行验证具体而言,QKD模块的运行环境假设至少包含以下三个方面a)QKD模块在其运行环境中受到物理保护1)假设TOE运行于受保护的物理环境中,确保威胁主体无法接近QKD模块,并通过环境安全措施强制维持最小地理隔离距离该假设排除了TOE受物理侵入和部分非侵入攻击的可能性,此类攻击将危及安全和/或干扰设备的物理互连及正常运行故GB/T XXXX不包含物理篡改防护及部分侧信道攻击防御的要求,详见
7.
10.2a)3描述的符合性要求注2采用较弱环境假设时,对威胁主体可容忍计算能力的分析如下首先,根据QKD协议的安全证明模型,威胁主体在量子信道和经典信道接口上的计算能力无界,仅受量子力学定律的限制此外,威胁主体在密钥管理接口及控制和管理接口上的计算能力假设是有界的,即能够用基于计算安全性的机制防护内部攻击者的攻击3)PP或ST的作者不得削弱或移除本假设,除非TOE已实现特定物理安全攻击防护机制,详见
10.2a)Dob)TOE的操作者(含系统管理员、审计员及其他合法角色)是可信的,其行为符合组织安全的最佳利益,包括接受适当的培训,遵循安全策略,并严格遵守用户指南并且假设管理员遵循特定规程实施系统配置及固件和软件的定期更新,以响应由于已知漏洞和技术改进而发布的补丁或产品更新c)假设预共享密钥在输入QKD模块前满足机密性和随机性要求
7.3资产分析为确保QKD模块的安全性,应防止其内部数据与功能被泄露或破坏本文件从一般性意义上列出了QKD模块的资产,PP或ST能根据具体实现方案对其进行补充完善a)QKD协议运行输出的最终密钥为保障最终密钥的安全性,所有与安全相关的信息应作为独立资产,在定义的生命周期内防范泄露或破坏具体包括1)密钥素材——QKD系统运行过程中产生的原始密钥数据、筛选后密钥数据、纠错数据;——经典信道上用于消息认证的QKD认证密钥;——用于保障KM与QKD模块间最终密钥上传(用于最终密钥上传及可选预共享密钥下载)机密性与完整性的密钥QKD协议默认部分原始密钥数据、筛选后密钥数据及纠错数据能够在量子态传输后被威胁主体获知,或于后处理阶段公开此类预期的泄露已通过参数估计量化,并在实施保密增强后生成最终密钥应根据潜在攻击能力对其他泄露或破坏风险实施适当防护措施部分采用外差探测的CV-QKD协议无筛选步骤(即无筛后密钥数据)2)用户认证数据,包括操作者的用户认证所需的密码、PIN码、数字证书及相关数据3)其他与安全相关的信息,包括审计事件、审计数据、控制和管理接口通信信息,以及支持TOE安全运行的其他信息最终密钥、密钥素材、认证数据以及与安全相关的信息均属TOE的TSF数据范畴b)QKD模块的功能应防范被非法用户滥用74针对传统网络部件的威胁
2.
4.1概述作为一类特殊网络设备,QKD模块可能面临与传统网络设备相似的攻击威胁从密码工程实践角度,QKD模块中隐藏的任何重大漏洞都可能引发实际攻击通过深入分析典型QKD模块结构,可揭示威胁主体通过网络接口实施有害操作的潜在路径,包括改变运行环境,甚至探测设备内部芯片的电路(例如基于网络的攻击、侧信道攻击及物理篡改攻击)具体而言,威胁主体可通过多种策略危害资产,包括绕过访问控制机制、破坏消息认证方案或滥用QKD模块维护功能攻击路径的多样性使得难以穷举QKD模块所有潜在威胁,但从工程实践角度,
7.
4.2中列出的威胁应由QKD模块及其运行环境通过实施IT相关控制或非IT控制(如物理环境保护或组织规程/策略)解决
7.
4.2基于网络的传统攻击威胁QKD模块的威胁分析可参考《网络设备协同保护轮廓》.中针对网络设备的威胁描述传统基于网络的攻击主要通过QKD模块的经典外部接口实施(见
6.2),包括控制和管理接口、密钥管理接口和经典信道接口此类攻击可远程执行,无需威胁主体物理接近或实际控制TOE本文件按攻击路径对威胁进行粗略分类注以下威胁清单非穷举性列表,仅反映当前学术界和工业界对网络设备及QKD模块安全的认知所列威胁可能存在相互依赖性,因其通常通过威胁主体构建的攻击路径交互作用,但危害QKD模块的资产是其共同目标a)审计规避作为一类特殊网络设备,QKD模块应该向管理员提供系统审计功能该功能宜支持系统运行状态监控或审计数据调阅若审计功能存在实现缺陷,威胁主体可能无需管理员权限即可隐藏地访问、绕过或篡改审计数据及功能审计机制的失效将导致威胁主体危害QKD模块资产而未被管理员察觉b)密码漏洞利用QKD模块依赖加密机制实现其核心功能,特别是后处理程序(至少含消息认证及保密增强)、QKD会话成功后密钥上传至相关KM,以及登录前的用户认证等相关功能威胁主体可能通过利用加密算法、协议设计或实现中潜藏漏洞危害QKD模块及其资产c)故障利用QKD模块在运行阶段可能因以下原因发生故障TOE内部错误、运行环境不稳定(如环境温度或电源异常波动)、量子信道和/或经典信道通信受威胁主体干扰、利用TOE未知及隐藏漏洞的攻击QKD模块应在故障时保持安全状态,否则威胁主体可利用故障状态危害目标QKD模块的资产d)功能滥用在QKD模块生命周期的开发、预运行、运行及维护阶段,部分测试、调试或管理功能可被保留以支持开发或管理需求此类功能应在QKD模块全生命周期严格管控(包括阶段转化后删除或锁定),否则可能被威胁主体滥用以危害目标QKD模块的资产e)物理安全违规QKD模块宜防范侵入式与非侵入式的物理攻击本文件仅讨论受限物理攻击场景(宜根据QKD的具体实现进行完善)——侵入式物理攻击导致QKD模块发生物理性质改变根据QKD模块在其运行环境中受到适当防护的假设[详见
7.2a)],此类攻击不属于本文件讨论范围——要求近距离实施的非侵入式物理攻击,如故障诱导、简单/差分功耗或电磁攻击根据QKD模块在其运行环境中受到适当防护的假设[详见
7.2a)],此类攻击也不属于本文件讨论范围——本文件仅考虑远程可实施的非侵入式物理攻击,此类攻击可以在物理保护边界外或远距离执行,如时序攻击(参见ISO/IEC TS30104:2015,
9.2).缓存时序攻击等无须直接接触QKD模块即可获取可用侧信道信息的攻击f)随机性缺陷利用QKD模块中的随机比特串用于以下场景——量子态的随机编码;——测量基矢随机选取;——误码估计比特随机选取;——保密增强的全域哈希函数随机选择;——双计数事件随机分配;——用户认证随机数生成(如基于挑战-响应的协议);——后处理程序其他用途QKD模块内NRBG对维持系统安全运行状态至关重要若NRBG输出存在爆缺陷,威胁主体可以预测或直接获取信息,进而破坏上述功能并危害TOE的资产g)残留数据滥用QKD模块宜将安全相关信息作为生成最终密钥及维持安全状态的核心要素出于安全考虑,参数及信息有效期宜在合理时间范围内换言之,超过指定时限后,其应以不可逆方式及时从QKD模块中删除否则,若威胁主体渗透进QKD模块,可能提取或恢复这些参数和信息,进而危害目标QKD模块的历史资产h)未经授权访问QKD模块管理和维护功能的访问要求部署完备的访问控制机制威胁主体可通过以下途径利用机制设计和实现缺陷实施攻击——通过控制和管理接口突破访问控制机制;——利用TOE配置错误获取管理员或特权操作者权限;——使用窃取或非法获取的凭证冒充管理员或特权操作者绕过访问控制;——(部分实现场景中)伪装为合法QKD模块诱骗其他QKD模块组建系统并执行QKD会话上述路径均能使威胁主体获取未经授权的信息,并危害QKD模块的资产示例QKD模块可以要求登录前进行用户认证,并可以在系统层级实施访问控制以限制资产访问特别地,最终密钥的明文在设计上禁止任何操作者(含管理员)访问75针对量子光学部件的威胁
7.
5.1概述为深入分析与QKD模块中量子光学部件安全漏洞相关的威胁,本文件考虑了主动型与被动型两种漏洞,这通常对应威胁主体两类不同攻击策略主动漏洞型是由主动攻击引发的信息泄露,如特洛伊木马攻击、光源篡改攻击或致盲攻击被动型漏洞源于光学部件固有缺陷的侧信道漏洞,如量子态调制不完美、脉冲强度波动及单光子探测器探测效率失配下文将对此类漏洞进行详细分析注ETSI的《量子密码的实现安全白皮书(White Paperon Implementation Security ofQuantum Cryptography)对QKD系统的攻击进行了更全面的综述.
7.
5.2利用源缺陷的威胁威胁主体可能通过利用QKD发送模块中量子光学部件(包括信号源和编码器)的漏洞窃取最终密钥此类威胁可针对运行PM-QKD协议和MDI-QKD协议的QKD发送模块示例在DV-QKD模块中,通常假设每个信号脉冲的相位是均匀随机的,但实际无法完全满足该假设若未满足,威胁主体通过相空间测量QKD发送模块制备的量子态,就可能部分区分这些量子态其他基于源缺陷的攻击手段包括光源篡改攻击、木马攻击、量子态制备不完美和信号源相位未随机化
7.
5.3利用光学探测漏洞的威胁威胁主体可能通过利用QKD接收模块中量子光学部件(包括解码器和探测器)的漏洞窃取最终密钥此类威胁可针对运行PM-QKD协议或EB-QKD协议的QKD接收模块示例大多数QKD接收模块采用两个单光子探测器,但其在时域、频域或偏振等自由度难以完美匹配威胁主体可能利用单光子探测器的不匹配,通过控制输入量子态参数完全或部分控制单光子探测器的响应其他基于探测器缺陷的攻击手段包括致盲攻击、伪态攻击、死时间攻击和波长攻击
7.
5.4利用参数校准漏洞的威胁威胁主体可能通过利用QKD系统参数校准程序中隐藏的漏洞,诱骗QKD模块误判系统处于安全状态,进而窃取最终密钥此类威胁可针对运行PM-QKD协议的QKD发送或接收模块,或运行MDI-QKD协议的发送模块,或运行EB-QKD协议的接收模块示例在QKD会话前或会话期间,QKD发送模块和接收模块可能会进行系统参数校准(如单光子探测器时序与量子态到达时间匹配)威胁主体可能通过主动改变不同信号的时序,诱导不同单光子探测器间的时序失配,进而引入主动17时序失配漏洞8量子密钥分发实现的扩展安全功能组件R1总述一般而言,GB/T
18336.2定义了可用于描述QKD模块安全功能要求的标准安全功能组件但由于标准安全功能组件无法通过直接细化或定制来恰当处理QKD模块的所有特殊属性,应定义扩展的安全功能组件GB/T
18336.2中标准化的安全功能类FTP(可信路径/信道)旨在规定网络互联实体(或更具体地说,TSF和另一可信IT产品)之间建立可信信道的相关要求鉴于QKD协议可达成相似目标(QKD协议生成的最终密钥可用于建立密钥使用者间的可信信道),因此适合对FTP类安全功能组件进行扩展以涵盖QKD安全功能
8.2中描述了用于规范QKD协议实现的扩展安全功能组件FTP_QKD.1和FTP_QKD.2可信路径/信道类(FTP)的扩展安全功能组件
878.
2.1量子密钥分发(FTP_QKD)
8.
2.
1.1族行为本族定义了同构QKD系统中QKD模块间密钥建立的要求同构是指所涉及的QKD模块实现相同的QKD协议本族包含原始密钥数据生成及后处理阶段实现的要求,对应
6.5条所述QKD模块的一般工作流程当存在通过QKD协议安全建立加密密钥的要求时,宜包含本族
9.2,
1.2组件层次与描述量/烹钥分发FTP_QKD本族的组件层次如图6所示图6FTP_QKD量子密钥分发FTP_QKD.1QKD协议和原始密钥数据生成”,要求根据定义的涉及量子信号传输和探测的协议建立对称密钥,其中包括配置协商及必要的参数校准FTP_QKD.2QKD后处理”,要求QKD模块根据QKD协议,从原始密钥数据中安全建立对称密钥
10.
2.
1.3FTP_QKD.1管理FMT中的管理功能可考虑下列行为:a)QKD模块支持的协议;b)QKD模块支持的功能角色;c)执行消息认证的规则;d)QKD模块所需的静态参数;e)QKD模块的可用配置
8.
2.
1.4FTP_QKD.2管理FMT中的管理功能可考虑下列行为a)后处理各子程序支持方案的管理
9.
2.
1.5FTP_QKD.1审计若PP/ST中包含FAU_GEN安全审计数据产生”,审计事件包括且不限于a)最小级原始密钥数据生成程序执行失败b)最小级参数校准程序执行失败c)最小级已实现QKD协议的标识d)最小级通信参与方标识及角色e)基本级原始密钥数据生成程序的执行尝试f)基本级参数校准程序的触发g)详细级实现QKD协议使用的静态参数h)详细级QKD系统运行中协商的配置1)详细级协议执行选用的消息认证机制j)详细级原始密钥数据生成程序执行失败时生成的原始密钥数据注审计的级别,如“最小级”、“基本级”和“详细级”,由安全审计数据生成(FALGEN)系列的组件定义,详见GB/T
18336.2-2024,
7.
1.
3.6的描述
10.
2.
1.6FTP_QKD.2审计若PP/ST中包含FAU_GEN安全审计数产生”,审计事件包括且不限于a)最小级后处理程序执行失败,包括具体失败的步骤b)基本级后处理程序的执行尝试c)基础级后处理程序中筛选、参数估计、纠错和保密增强环节采用方案的标识d)详细级后处理程序执行失败时,涉及的筛选后密钥数据、纠错后密钥或最终密钥的中间值
8.
2.
1.7FTP_QKD.1QKD协议和原始密钥数据生成组件关系从属于无其他组件依赖关系FTP_QKD.2QKD后处理a)FTP_QKD.
1.1TSF应实现[赋值QKD协淤,并承担[赋值定义的协议角色\b)FTP_QKD.
1.2TSF应按照下列一种或多种机制[赋值安全消息认证方案列表\,按照[赋值认证执行的规*俵]对经典信道传输的相关数据进行认证c)FTP_QKD.
1.3TSF应允许[赋值TOE的QKD模块列表\发起QKD协议执行d)FTP_QKD.
1.4TSF应强制执行下列静态协议选项[赋值选项列表\e)FTP_QKD.
1.5TSF应通过经典信道在TOE的QKD模块间协商下列协议配置项之一[赋值配置歹表]f)FTP_QKD.
1.6TSF应发起[赋值参数校准程序列表、实施自身参数校准,每个赋值的参数校准程序具体要求如下1触发方式[选择授权用户要求时触发、检测到[赋值故障事件列表]时触发、[赋值其他触发事件列表]时触发];2执行限制[选择,选择其一允许与QKD会话并行运行、禁止与QKD会话并行运行、[赋值其他限制列表]];3待校准参数[赋值参数校准列表\g)FTP_QKD.
1.7在参数校准执行期间,TSF应维持安全状态除非参数校准程序允许与QKD会话并行运行,否则TSF不应在QKD会话期间执行任何参数校准程序h)FTP QKD.
1.8当TOE执行下列操作时,TSF应提供状态指示[选择密钥生成、禁止与QKD会话并行运行的参数校准程序、[赋值:其他操作列表口i)FTP_QKD.
1.9TSF应生成原始密钥数据并传递至后处理程序
8.
2.
1.8FTP_QKD.2QKD后处理组件关系从属于无其他组件依赖关系FTP_QKD.1QKD协议和原始密钥数据生成a FTP_QKD.
2.1TSF应实施与FTP_QKD.
1.1所声明QKD协议相匹配的后处理程序b FTP_QKD.
2.2在后处理阶段,TSF应采用下列筛选方案之一[赋值筛选方案]c FTP_QKD.
2.3在后处理阶段,TSF应采用下列参数估计方案之一[赋值参数估计方案]d FTP_QKD.
2.4在后处理阶段,TSF应采用下列纠错机制之一[赋值纠错方案\e FTP_QKD.
2.5在后处理阶段,TSF应采用下列保密增强机制之一[赋值保密增强方案\f FTP_QKD.
2.6在后处理阶段,若所选纠错方案未包含一致性检查,TSF应在纠错完成后对TOE的QKD模块间的相关密钥素材实施一致性检查该完整性检查应使用下列一致性检查方案中的一个或多个[选择纠错方案、[赋值:其他方案列表如果检测到不一致,TSF应[选择终止QKD会话且不生成最终密钥、[赋值:动作列表口注1一致性检测后可执行额外的后处理,如保密增强若一致性检查机制涉及密钥信息潜在泄露,相关信息泄露建议在QKD协议中予以考量注2在部分实现方案中,一致性检查可作为纠错方案的组成部分
8.
2.2用户说明
8.
2.
2.1FTP_QKD.1QKD协议和原始密钥数据生成
8.
2.
2.
1.1用户应用说明本安全功能组件宜用于通信双方使用QKD模块建立对称密钥的场景该组件赋予PP或ST的作者充分灵活性,可具体规定预期采用的QKD协议,以及TOE的QKD模块在协议中承担的角色完整的QKD协议必须包含消息认证机制,但具体消息认证方案由PP或ST的作者根据协议的安全目标进行明确参与QKD协议的模块角色宜相互匹配TOE可实现多个QKD协议,FTP_QKD.1元素中的部分赋值与选择操作可针对具体QKD协议此时建议PP或ST的作者复用FTP_QKD.1,分别具体说明各QKD协议实现对应的SFR复用操作应符合GB/T
18336.2-2024,
8.
2.2的耍求示例若TOE实现两种不同的QKD协议,PP或ST的作者能够复用FTP_QKD.1形成如下两个SFRFTP_QKD.1/1QKD协议和原始密钥数据生成(协议1),和FTP_QK始1/2QKD协议和原始密钥数据生成(协议2)
8.
2.
2.
1.2赋值操作在FTP_QKD.
1.1中,第一项赋值用于声明QKD模块实现的QKD协议,该协议应附有经主管评估机构认可的安全性证明评估机构可参考标准化组织等权威机构意见作为安全性证明审批依据第二项赋值用于声明TOE中各QKD模块的协议角色,例如“QKD发送方”和/或“QKD接收方”在FTP_QKD.
1.2中,第一项赋值用于声明QKD协议在经典信道上采用的消息认证方案所赋值的方案可能是无条件安全的(如基于2-Universal的哈希函数族)或计算安全的,且宜与TOE的安全目标以及第二项赋值中声明的规则相匹配所赋值的认证规则应与实现的QKD协议相匹配,这条规则可以为“除[赋值无须认证的数据流量列表]外,经典信道上所有数据流量均应经过认证”在FTP_QKD.
1.3中,赋值用于明确QKD协议的许可发起方,其范围能够根据QKD协议特点和TOE实现方案设定单个或两个QKD模块在FTP_QKD.
1.4中,若QKD协议存在静态配置选项(如信号编码方法和同步时钟频率),其赋值用于声明相关配置项当赋值“无”时,表明QKD协议无静态配置选项,此时,本SFR的元素无效且无评估活动在FTP_QKD.
1.5中,若QKD协议的执行支持参数定制,这一项赋值赋予QKD模块间进行配置协商的灵活性具体配置取决于QKD模块实现的协议类型及实现方案,如时间同步数据、心跳检测间隔,或FTP.QKD.
1.2中定义的消息认证方案选择以及FTP_QKD.2中定义的后处理方案选择当赋值“无”时,表明QKD协议宜不协商任何配置,此时,本SFR的元素无效且无评估活动在FTP_QKD.
1.6中,第一项赋值用于声明TOE实现的所有参数校准程序第二项赋值用于声明触发各特定参数校准程序的故障事件第三项赋用于声明触发各特定参数校准程序的其他事件(若存在)第四项赋值用于声明执行参数校准程序的其他限制条件(若存在),第五个赋值用于声明各特定参数校准程序校准的安全相关参数在FTP_QKD.L8中,赋值用于声明QKD模块应指示的其他操作(若存在),具体选择操作说明参见
8.
2.
2.
1.3o可赋值“无”,表明无须指示其他操作
8.
2.
2.
1.3选择操作在FTP_QKI).L6中,第一项选择用于定义触发参数校准程序的信号或方法,例如,授权用户要求时触发,或检测到故障事件时触发第二项选择用于声明参数校准程序的执行限制,例如,是否允许与QKD会话并行运行FTP_QKD.
1.6赋予PP或ST的作者执行此类限制条件的灵活性,且ST中宜包含安全相关论证,PP中可选择性包含FTP_QKD.L8中的选择用于声明QKD模块应指示的操作,便于操作者实时掌握QKD系统状态并采取告警或应急处理措施状态指示可记录于审计数据中,或以声、光等形式出现
8.
2.
2.2FTP_QKD.2QKD后处理
8.
2.
2.
2.1用户应用注释本组件宜用于规范TOE后处理程序的要求,该程序通常包含四个子程序筛选、参数估计、纠错和保密增强对于每个子程序,若TOE采用了多种方案,QKD模块宜按FTP_QKD.L5要求将其作为协议配置项进行协商当TOE实现多个QKD协议且协议后处理程序存在差异时,建议PP或ST的作者复用FTP_QKI).2,具体说明各QKD协议后处理对应的SFR复用操作应符合GB/T
18336.2-2024,
8.
2.2的耍求示例若TOE运行两种QKD协议且后处理程序不同,PP或ST的作者可以复用FTP_QKD.2形成如下两个SFR——FTP_QKD.2/1QKD后处理(协议1),与FTP_QKD.1/1QKD协议和原始密钥数据生成(协议1)相互依赖;——FTP_QKD.2/2QKD后处理(协议2),与FTP_QKD.1/2QKD协议和原始密钥数据生成(协议2)相互依赖QKD协议可对后处理的子程序进行整合,优化后处理的执行此类情况下,FTP_QKD.2的元素可以根据第10章和GB/T
18336.2-2024,
8.
2.5进行细化或组合
8.
2.
2.
2.2赋值操作在FTP_QKD.
2.2中,赋值用于声明筛选方案,并要求在ST或PP中对其进行详细描述该赋值应与FTP_QKD
1.1中的QKD协议赋值相匹配在FTP_QKD.
2.3中,赋值用于声明参数估计方案,并要求在ST或PP中对其进行详细描述该赋值应与FTP_QKD.
1.1中的QKD协议赋值相匹配在FTP_QKD.
2.4中,赋值用于声明纠错方案,并要求在ST或PP中对其进行详细描述赋值应与FTP_QKD.
1.1中的QKD协议赋值相匹配在FTP_QKD.
2.5中,赋值用于声明保密增强方案,并要求在ST或PP中对其进行详细描述赋值应与FTP_QKD.L1中的QKD协议赋值相匹配在FTP_QKD.
2.6中,第一项赋值用于声明后处理程序采用的一致性检查方案列表,并要求在ST或PP中对其进行详细描述一致性检查可作为纠错方案的子功能第二项赋值用于声明检测到密钥素材不一致时TOE可能执行的操作根据实现方式,密钥对的比较步骤可显式执行或隐含于后处理程序的其他环-44-To
8.
2.
2.
2.3选择操作在FTP_QKD.
2.6中,第一项选择用于声明后处理程序采用的一致性检查方案第二项选择用于声明检测到密钥素材不一致时,TOE执行的操作9量子密钥分发模块的安全功能要求91总述本章描述了QKD模块应满足的一组安全功能要求(SFR)的基线集(SFR的列表见表3)实现这些SFR对于确保TOE能够抵御
7.4和
7.5中分析的潜在威胁至关重要因此,这些SFR具有强制性,是编写PP和ST的基础然而,考虑到QKD模块的不同实现方式及其运行环境,第10章规定了PP或ST的作者能够省略或定制SFR的特定条件,保障了QKD模块实现的灵活,但PP或ST的作者应对SFR的任何修改或省略提供合理说明关于符合性框架下SFR调整原则的详细解释,参见第10章SFR分三组进行描述传统网络部件要求(见
9.2),QKD协议的实现要求(见
9.3),以及量子光学部件要求(见
9.4)从安全功能角度分析,每个SFR都能够映射至TSF的一个或多个特定功能,且每个功能能够通过传统网络部件、量子光学部件或二者组合实现二者间的对应关系分别在表3第三列和第四列中予以描述为保障QKD模块实现的灵活性,本文件未对大部分SFR的操作元素进行实例化在编写PP或ST时,SFR各操作元素的实例化应满足GB/T
18336.1-2024,
8.2的要求,以及GB/T
18336.2中对安全功能组件使用的相关规定特别地,对源自GB/T
18336.2标准化安全功能组件的SFR中所含赋值项和选择项的实例化,应参考GB/T
18336.2中针对各安全功能组件的相关原则,以确定“无”是否可作为实例化的有效选项每个SFR下方的应用说明提供了选用指导,并给出实例化过程的具体要求或建议GB/T XXXX.2规定了与SFR相关的评估方法及活动GB/T XXXX基于GB/T18336的框架,为QKD模块的安全评估提供了一般性框架,可用于指导QKD模块保护轮廓的开发QKI)模块保护轮廓的编制指南见附录Ao表3QKD模块的SFR基线集条款安全功能要求安全功能实现部件
9.
2.1FAU.GEN.1FUN.SCM
9.
2.2FCS_CKM.6FUN.KMFUN_QKD,FUN SCM,FUN.KM
9.
2.3FCS_COP.l
9.
2.4FCS_RNG.l FUN.QKD
9.
2.5FDP-ACC.l FUN.SCM
9.
2.6FDP_ACF.l FUN.SCM
9.
2.7FDPJRC.l FUN_SP
9.
2.8FDPJTC.l FUN.SCM传统网络部件
9.
2.9FIA_UAU,2FUN.SCM
9.
2.10FIA_UID.l FUN.SCM
9.
2.11FMT_LIM.l FUN_SCM
9.
2.12FMT.LIM.2FUN.SCM
9.
2.13FMT_MSA.l FUN.SCM
9.
2.14FMT.MTD.l FUN.SCM
9.
2.15FMT_SMF.l FUN_SCM
9.
2.16FMT_SMR.l FUN.SCM
9.
2.17FPT_EMS.1/Convention FUN.SP
9.
2.18FPT_FLS.l FUN_SP表3QKD模块的SFR基线集(续)
9.
2.19FPTJTC.l FUNJCM条款安全功能要求安全功能实现部件
9.
2.20FPTJTI.1FUN_KM传统网络部件
9.
2.21FPT_RCV.2FUN_SP
9.
2.22FPT_TST.l FUN.SP传统网络部件和量子光学部件
9.
3.2FTP_QKD.l FUN.QKD传统网络部件
9.
3.3FTP_QKD.2FUN_QKD量子光学部件
9.
4.2FPT_EMS.1/Quantum FUN_SP传统网络部件和量子光学部件
9.
4.3FPT.PHP.3FUN_SP9量子密钥分发模块中传统网络部件的一般性要求
9.
2.1FAU_GEN.1审计数据产生
10.
2.
1.1要求a)FAU.GEN.
1.1TSF应能生成以下可审计事件的审计数据1)审计功能的开启和关闭;2)属于[选择,选择其一最小级、基本级、详细级、未规定】审计级别的所有可审计事件;3)[赋值其他明确定义的可审计事件]b)FAU_GEN.
1.2TSF应在审计数据中至少记录以下信息1)可审计事件的日期和时间、事件类型、主体身份(如果适用)、事件结果(成功或失效);2)对每种可审计事件类型,基于PP/ST所含功能组件的可审计事件定义,[赋值其他审计相关信息\O
9.
2.
1.2应用说明
9.
2.L1中规定的SFR旨在保护QKD模块免受审计规避威胁FAU_GEN.
1.2中,若应该提供更多审计相关信息,PP或ST的作者应完成相应的赋值操作,否则赋值“无”
9.
2.2FCS_CKM.6密钥销毁的时间和事件
9.
2.
3.1要求a)FCS_CKM.
6.1当I选择不再需耍、(赋值:密钥或密钥素材销毁的其他情况)、时,TSF应销毁[赋值密钥(包括密钥素材)的列表\b)FCS_CKM.
6.2TSF应根据符合下列标准[赋值周准清单]的一个指定的密钥销毁方法[赋值加密密钥销毁方法\来销毁FCS
3.
6.1中指定的密钥和密钥素材
9.
2.
2.2应用说明
9.
2.
2.1中规范的SFR旨在保护QKD模块免受残留数据滥用的威胁在FCS_CKM.
6.1中,第二项赋值包括TOE运行过程中使用或生成的密钥及密钥素材根据实际情况,建议按表4第一列内容完成FCS_CKM.
6.1中的两项赋值操作表4FCS_CKM.
6.1的赋值密钥情况(包括密钥素材)设备退役,或者QKD协议执行期间发生特定系统故障事件且密钥素材正在使原始密钥数据、筛选后密钥数据、纠错数据用状态时上传最终密钥的部分数据该部分成功上传至相关KM后,或密钥上传过程中发生特定系统故障事件时设备退役,或密钥已在最近一次通信中被消耗,或密钥使用期间发生特定系QKD认证密钥统故障事件时在FCS_CKM.
6.2中,PP或ST的作者应在第二项赋值中至少明确一种加密密钥销毁方法,例如,使用无关常量值或随机模式直接覆写关键变量,或使密钥的原始引用无效第一项赋值明确了第二项赋值中所用加密密钥销毁方法的对应标准若密钥销毁方法无对应标准,可赋值“无”由于不同密钥可能采用不同的方法销毁,建议以表格形式完成这两项赋值操作例如,表格的第一列列出应被销毁的密钥(或密钥素材),第二列列出与同一行中的密钥(或密钥素材)相对应的密钥销毁方法,第三列列出与同一行中的销毁方法相对应的标准
9.
2.3FCS_COP.1密码运算
9.
2.
3.1要求FCS_COP.
1.1TSF应根据符合下列标准[赋值标准列表1的指定的密码算法[赋值密码算法和密钥长度[赋值密钥长度]来执行[赋值密码运算列表]
9.
2.
3.2应用说明
9.
2.
3.1中规定的SFR旨在保护QKD模块免受密码分析和未授权访问的威胁第一项赋值用于声明所赋值密码算法符合的标准如无相关标准,可赋值“无”第二和第三项赋值分别用于规定所采用的密码算法及其密钥长度赋值内容应与TOE密钥管理接口及控制和管理接口的计算安全性要求相符建议未来赋值优先选择理论完备、计算安全且标准化的量子安全密码算法,以增强对未来攻击的防御能力若密钥长度非固定值,第三项赋值可描述确定密钥长度的方法若工程实践中采用多种密码算法,可复用本组件以指定所有应用的算法第四项赋值规定了所执行的密码运算,可提供——QKD模块与外部KM间通信的机密性和完整性保护;——QKD模块与操作者间通过控制和管理接口通信的机密性和完整性保护;——用户身份认证功能的支持
2.
2.4FCS_RNG.1随机数生成
9.
2.
4.1要求a)FCS_RNG.
1.1TSF应提供一个[选择物理、海合物留的随机数发生器来实现[赋值一安全能力列表ob)FCS_RNG.
1.2TSF应提供满足[赋值定义的质量指标\的1选擀:位、八位字节、数字[赋值:数字的格式R o
9.
2.
4.2应用说明
9.
2.
4.1中规定的SFR旨在规范QKD模块中NRBG部件的安全功能要求,保护QKD模块免受随机性缺陷利用的威胁在FCS_RNG.
1.1中,安全能力赋值项取决于所采用的NRBG类型,例如NRBG的自检能力(具体要求详见GB/T
18336.2-2024,E.5的应用说明)在FCS_RNG.
1.2中,质量指标赋值项应与密码运算的安全定义以及QKD的安全定义相符建议PP或ST的作者参考GB/T
18336.2-2024,E.5的应用说明完成本SFR示例下述的例子来自GB/T
18336.2-2024,E.5的应用说明,以进一步阐明FCS^RNG.1操作的实例化安全能力——当RNG启动时,(对已实现的RBG)完全故障测试立即检测焙源的完全故障当检测到完全故障时,则不会输出随机数——在线检测在
(1)RNG启动后立即对原始随机数序列中不可接受的统计缺陷进行检测,在
(2)RNG运行时也需要如此操作在上电在线检测成功完成或检测到缺陷之前TSF不输出任何随机数质量指标——每个内部随机比特的平均香农燧均大于
0.998o——每个输出比特独立于所有其他输出比特
9.
2.
5.FDP_ACC.1子集访问控制
9.
2.
6.1要求FDP_ACC L1TSF应对[赋值主体、客体及SFP所涵盖主体和客体之间的操作列表\视行醍檀:访问控制SFR o
9.
2.
7.
2.
5.2应用说明
9.
2.
5.1中规范的SFR旨在保护QKD模块免受未授权访问TOE的威胁,应该通过访问控制机制防范可能危害TOE资产的恶意行为第一项赋值宜用至少三列的表格形式定义主体、客体及允许对相应客体执行的操作其中,主体定义为QKD模块中的主动系统进程或实体,通常代表授权外部实体/实体组或TOE自身组成部分(见GB/T
18336.2)客体定义为TOE中的被动实体,通常为包含密钥素材或用户认证数据的数据容器操作定义为主体可对客体执行的允许动作,通常包括读取、写入、删除或使用第一项赋值应至少禁止向任何外部实体输出密钥素材及用户认证数据(QKD协议规定的操作除外)该赋值应确保输入到TOE或TOE内部生成的安全关键数据不会不当泄露至外部实体在第二项赋值中,PP或ST的作者应规定由TSF强制执行的唯一命名的访问控制SFP,其规则细则应在FDP_ACF.1(基于安全属性的访问控制)中予以描述
9.
2.6FDP.ACF.1基于安全属性的访问控制
9.
2.
6.1要求a)FDP_ACF.
1.1TSF应基于[赋值指定SFP控制下的主体和客体列表,以及每个对应的SFP的相关安全属性或SFP相关的已命名安全属性组对客体执行[赋值访问控制SFKb)FDP_ACF.
1.2TSF应执行以下规则,以确定在受控主体与受控客体间的一个操作是否被允许[赋值在受控主体和受控客体间,通过对受控客体采取受控操作来管理访问的一些规贝见c)FDP.ACF.
1.3TSF应基于以下附加规则[赋值基于安全属性的,明确授权主体访问客体的规则明确授权主体访问客体d)FDP_ACF.
1.4TSF应基于以下附加规则[赋值基于安全属性的,明确拒绝主体访问客体的规贝叭明确拒绝主体访问客体
9.
2.
6.2应用说明
9.
2.
6.1中规定的SFR旨在保护QKD模块免受未授权访问TOE的威胁,其应与FDP_ACC.1联合作为配套SFR使用QKD模块中实现的访问控制规则细节应通过结合具体实施策略对SFR中各元素进行定制化描述赋值操作应至少满足FDP_ACC.1中关于禁止向任何外部实体输出密钥素材及用户认证数据的要求
9.
2.7FDP_IRC.1信息保留控制
10.
2.
7.1要求a)FDP.IRC.
1.1TSF应在[赋值蔡作冽阖所需的[赋值客体勿隹上执行[赋值信息擦除策略\,使所选客体在结束所选操作后,立即从TOE中不可逆且不可追踪地删除b)FDP_IRC.
1.2TSF应确保[赋值客体列阖在它们被释放之后和它们不可逆且不可追踪的删除之前不能被访问
9.
2.
7.2应用说明
9.
2.
7.1中规定的SFR旨在保护QKD模块免受残留数据滥用的威胁确保不再需耍的安全相关信息不会被威胁主体利用以危害QKD模块的安全性为有效缓解残留数据滥用威胁、,FDP_IRC.1应与密钥销毁要求FCS_CKM.6(仅考虑密钥及密钥素材的销毁)联合使用在FDP_IRC.
1.1中,建议按表5进行赋值表5FDP_IRC,
1.1的赋值客体操作信息擦除策略a)触发条件不再需要用于身份认证程序;或发生系统复位事件用户认证数据(见
7.3)操作者身份认证b)擦除方法用无关常量或随机模式进行覆写a)触发条件不再需要用于系统审计和管理流程;或发生系统复位事件其他安全相关信息(见
7.3)安全审计及相关的系统管理或维护操作b)擦除方法用无关常量或随机模式进行覆写在FDP_IRC.
1.2中,PP或ST的作者应赋值一个客体列表,构成FDP_IRC.
1.1中赋值列表的子集
9.
2.8FDP_ITC.1不带安全属性的用户数据输入
9.
2.
9.1要求a)FDP_ITC.
1.1在SFP控制下从TOE之外输入用户数据时,TSF应执行[赋值访问控制SFP和/或信息流控制SFR ob)FDP_ITC.
1.2从TOE外部输入用户数据时,TSF应忽略任何与用户数据相关的安全属性c)FDP_ITC.
1.3在SPF控制下从TOE之外输入用户数据时,TSF应执行下面的规则[赋值附加的输入控制规则\o
9.
2.
8.2应用说明
9.
2.
8.1中规定的SFR旨在保护QKD模块免受未经授权访问TOE的威胁当从QKD模块外部输入数据时应强制执行访问控制SFP预期从外部输入的数据包括预共享密钥(用于QKD认证密钥)及使QKD模块正常运行的系统(初始化)配置,此类数据可通过系统控制和管理接口输入极端情况下,若QK1)模块内部无可用QKD认证密钥时,可从相关KM下载新密钥(或直接输入至QKD模块)以确保QKD系统正常运行在FDP_ITC.
1.1中,第一项赋值指定的SFP应包含明确的数据输入安全控制,且应确保输入过程中数据的机密性,用于机密性保护的密码算法应在FCS_COP.1中描述在FDP」TC.L3中,若无须附加输入控制规则,可赋值“无”
9.
2.9FIAJJAU.2任何动作前的用户认证
9.
2.
9.1要求FIA_UAU.
2.1在允许执行代表该用户的任何其他TSF促成动作前,TSF应要求每个用户都已被成功认证
9.
2.
9.2应用说明
1.
1.
9.1中规定的SFR旨在保护QKD模块免受未经授权访问TOE的威胁用户操作QKD模块前,应通过其控制和管理接口成功认证本文件不限定用户认证方式,但要求实现方案的安全性应与QKD模块整体安全预期相匹配FIA_UAU.2用于用户认证部分QKD系统实现中,QKD模块间应在进入原始密钥数据生成阶段前完成双向认证(如
6.5条初始化阶段所述)此时,PP或ST的作者可以采用GB/T18336-2中安全功能要求FTP_ITC.1或FTP_TRP.1,或定义新组件规范双向认证功能(若适用)
9.
2.10FIA_UID.1标识的时机
9.
3.
10.1要求a FIA_UID.
1.1在用户被识别之前,TSF应允许执行代表用户的[赋值TSF促成的动作列表\b FIA_UID.
1.2在允许执行代表该用户的任何其它TSF促成的动作前,TSF应要求每个用户身份都已被成功识别
9.
2.
10.2应用说明
9.
2.
10.1中规定的SFR旨在保护QKD模块免受未经授权访问T0E的威胁PP或ST的作者可根据具体条件为TSF促成的动作赋值若在标识前无法执行任何动作,可赋值“无”
9.
2.11FMT_L IM.1有限能力
9.
2.
11.1要求FMT_LIM.
1.1TSF应限制其能力,以便同“有限的可用性FMT_LIM.2”一起执行以下策略[赋值:有限能力和可用性策略]o
9.
2.
11.2应用说明
9.
2.
11.1中规定的SFR旨在保护QKD模块免受功能滥用的威胁QKD模块可集成若干专用于功能测试和维护的功能,供TOE设计者或管理员在TOE生命周期的特定阶段使用若此类功能被威胁主体利用,可能导致TOE部分或全部功能遭受最严重损害,特定情况下甚至可能引发系统损毁因此,任何QKD模块均应彻底关闭/锁定此类功能,或严格限制其可用性或能力PP或ST的作者应明确列举归类为测试功能的具体功能如有,并论证其能力已被限制或已移除不可再用另一方面,本文件不排除TOE中不存在此类测试功能的情形在此情况下,编写PP或ST时可赋值“无”或省略此SFR
9.
2.12FMTJJM.2有限的可用性
9.
2.
12.1要求FMT.LIM.
2.1TSF应以限制其可用性的方式进行设计,以便同“有限能力FMT.LIM.1”一起执行以下策略[赋值有限能力和可用性策略\
9.
2.
12.2应用说明
9.
2.
12.1中规定的SFR旨在保护QKD模块免受功能滥用的威胁,应作为FMT_LIM.1的配套SFR使用若TOE实现方案中未包含测试功能,编写PP或ST时可赋值“无”或省略此SFR参见
9.
2.
11.2中FMT_LIM.1的相关说明
9.
2.13FMT_MSA.1安全属性的管理
9.
2.
13.1要求FMT_MSA.
1.1TSF应执行[赋值访问控制SFR,以仅限于[赋值已标识的授权角色\能够双安全属性[赋值安全属性列阖进行[选择改变默认值、查询、修改、删除、[赋值:其它操作1\
9.
2.
13.2应用说明
9.
2.
13.1中规定的SFR旨在保护QKD模块免受未授权访问TOE的威胁安全属性的赋值项及其允许操作取决于授权的标识角色,宜根据表6进行实例化关于TOE安全角色的定义,参见
9.
2.16中FMT_SMR.1的要求表6FMT_MSA.
1.1的赋值安全属性角色和操作密码算法选用(若多种替代算法用于相同目的)管理员改变默认值、查询、修改FPT.RCV.244故障事件判定的阈值,如a)规定的时间内,原始密钥数据生成阶段连续故障的最大可容忍次管理员改变默认值、查询、修改数;b)规定的时间内,后处理阶段连续故障的最大可容忍次数QKD协议的静态参数或配置管理员改变默认值、查询、修改
9.
2.14FMT_MTD.1TSF数据的管理
9.
2.
14.1要求FMT_MTD.L1TSF应仅限于[赋值己标阳的茂杈苗色]能够对[赋值TSF数据列表、[选择改变默认值、查询、修改、删除、清除、[赋值:其它操作
9.
2.
14.2应用说明
9.
2.
14.1中规定的SFR旨在保护QKD模块免受未经授权访问TOE的威胁根据授权的标识角色,对TSF数据允许的操作宜与表7一致关于TOE安全角色的定义,参见
9.
2.16中FMT_SMR.1的要求表7FMT_MTD,
1.1的赋值TSF数据角色和操作认证密钥管理员修改、删除QKD码管理员更改默认值,修改,删除(所有用户的码)(仅当需要基于的用户认证时)PIN PIN
9.
2.15FMT_SMF,1管理功能规范TSF PIN
9.
2.
15.1要求FMT_SMF.L1TSF应能够执行如下管理功能[赋值TSF提供的安全管理功能列表\
9.
2.
15.2应用说明
9.
2.
15.1中规定的SFR旨在保护QKD模块免受对TOE未授权访问的威胁TSF提供的管理功能可包含:——QKD模块的密钥管理与系统参数配置;——审计日志查询与分析;——其他依据实现方案确定的系统维护功能PP或ST的作者应根据实现方案明确管理功能若设计中未包含管理功能,可赋值“无”止匕外,本安全功能组件与FMT类中其他组件协同工作若实际需要限制管理功能使用能力,宜选择FMT类中的其他安全功能组件(如FMT_MOF.1)表述特定要求详见GB/T
18336.2-2024,
13.8O
9.
2.16FMT_SMR.1安全角色
9.
2.
1.1要求a)FMT_SMR.
1.1TSF应维护角色[赋值己标识的授权角色\b)FMT_SMR.
1.2TSF应能将用户与角色关联起来
9.
2.
1.2应用说明
9.
2.
16.1中规定的SFR旨在保护QKD模块免受未经授权访问T0E的威胁授权角色至少应包含“管理员”为保证实现方案的灵活性,本文件未限定TOE包含其他可能的角色PP或ST的作者可根据实现方案定义扩展角色,如定义TOE审计策略及管理审计记录的“审计员”,维护QKD模块的“维护员”,以及代表QKD模块所有授权用户的“标识用户”
9.
2.17FPT_EMS.1/Convention TSF和用户数据的泄露
9.
2.
17.1要求FPT.EMS.
1.1TSF应确保TOE在其攻击面上产生的数据泄露量不会导致表8中明确的TSF数据和用户数据被非授权获取表8FPT_EMS.
1.1的赋值序号泄露攻击面TSF数据用户数据传统网络部件泄露的远程可利用的[赋值与安全相关的信1侧信道信息,如不同输入操作的时经典信道息列表\间差异,缓存缺失信息[赋值TSF数据类型列[赋值用户数据类型列2[赋值泄露类型列检[赋值攻击面的类型列雨阖阖O
9.
2.
17.2应用说明
9.
2.
17.1中规定的SFR旨在保护QKD模块免受主要由传统网络部件漏洞引发的远程可利用的物理安全攻击(参见
7.
4.2中描述的物理安全违规威胁)密码设备的实现缺陷或不安全设计,可能导致安全相关信息(如认证数据或密钥素材等)在其运行过程中出现非QKD协议预期地泄露若威胁主体能够发现并分析此类侧信道,该泄露信息可能被利用实施侧信道攻击(SCA)QKD协议通常涉及在经典信道传输无需保密的信息,此类信息可能包含部分密钥素材,QKD协议运行过程中主动通信的信息不属于FPT_EMS.Convention考虑的范畴大部分SCA方法无法远程实施,因其部署需要威胁主体设备物理接触TOE电气接口或临近设备表面例如简单功耗分析、差分功耗分析及电磁场分析均无法远程执行根据
7.2a)的假设,此类攻击已通过TOE运行环境的物理保护措施予以防御,故不属于本文件考虑的范畴换言之,本文件着重考虑的安全功能要求用于防范可远程实施的物理攻击,如时序攻击(包括缓存时序攻击)或其他可能的SCA方法此类侧信道信息可能通过经典信道以主动或被动方式被威胁主体收集PP或ST的作者应根据TOE传统网络部件的具体实现,对表8内容进行填充和细化这些内容应综合考虑SCA领域最新分析方法以及GB/T
18336.2-2024,J.2中的相关应用说明
9.
2.18FPT_FLS.1故障即保持安全状态
9.
2.
18.1要求FPT_FLS.
1.1TSF在下列故障发生时应保持一种安全状态[赋值TSF的故障类型列表\
9.
2.
18.2应用说明
9.
2.
18.1中规定的SFR旨在保护QKD模块免受故障利用的威胁参见
9.
2.21中FPT_RCV.
2.2要求的应考虑的故障事件类型“安全状态”指TOE以一致的TSF数据运行且TSF持续正确执行SFR的状态,亦包括检测到故障的状态但TOE已防范该故障状态被利用的情形例如,可通过阻断除管理员专用接口外的所有接口实现此类防护对于赋值的故障类型,采用特定QKD实现方案的TSF可选择向管理员发送事件通知
9.
2.19FPTJTC.1传输过程中TSF间的机密性
9.
2.
19.1要求FPT_ITC.
1.1TSF应保护所有从TSF传输到另一个可信IT产品的TSF数据在传输过程中不会被未授权泄露
9.
2.
19.2应用说明
1.
2.
19.1中规定的SFR旨在确保QKD模块在密码学层面免受密码分析的威胁此处的TSF数据包括从QKD模块上传到KM的(部分)最终密钥,以及可选从相关KM传输至QKD模块的预共享密钥,两者均通过密钥管理接口传输TSF应通过密码算法确保TSF数据的机密性,相关算法应在SFR FCS_COP.1中明确
9.
2.20FPT_ITI.1TSF间修改的检测
10.
2.
20.1要求a)FPT.ITI.
1.1TSF应提供能力,以检测在下列度量标准下[赋值一个既定的修改度量标准],TSF与另一可信IT产品间所传输的所有TSF数据是否被修改b)FPT_ITI.
1.2TSF应提供能力,以验证在TSF与另一可信IT产品之间所传输的所有TSF数据的完整性,以及如果检测到修改将执行[赋值应采取的动作\
9.
2.
20.2应用说明
9.
2.
20.1中规定的SFR旨在保护QKD模块免受密码分析的威胁此处的TSF数据包括从QKD模块上传到KM的(部分)最终密钥,以及可选从相关KM传输至QKD模块的预共享密钥,两者均通过密钥管理接口传输完整性保护能够通过密码算法实现,相关算法应在SFR FCS_COP.1中明确第一项赋值应根据所赋值算法的安全属性进行明确,进而实现完整性保护检测到修改后,TSF应弃用接收的数据,并根据实现方案采取进一步动作,第二项赋值应符合此要求
9.
2.21FPT_RCV,2自动恢复
9.
2.
21.1要求a)FPT_RCV.
2.1当无法从[赋值故障/服务中断列表\中总动恢复肘,TSF应进入维护模式,该模式提供返回到安全状态的能力b)FPT_RCV.
2.2当[赋值故障/服务中断列表TSF应使用自动化程序确保TOE返回到安全状态
9.
2.
21.2应用说明
9.
2.2L1中规定的SFR旨在保护QKD模块免受故障利用的威胁在讨论完善本要求前,首先阐明其技术内涵及与其他SFR的关系维护模式下,正常操作通常不能运行或受到严格限制,否则可能引发不安全状态原则上宜仅允许授权用户访问该模式,故FPT_RCV.2宜与FMT_SMF.1和/或FMT类的其他要求协同工作例如维护模式可能阻断除管理员专用接口外的所有接口“安全状态”指TOE以一致的TSF数据运行且TSF持续正确执行SFR的状态该机制检测运行异常条件的要求归属于FPT_FLS.1和FPT_TST.1(详见
9.
2.17和
9.
2.22)在FPT_RCV.
2.1中,应该赋值TSF应进入维护模式并人工恢复至安全状态的故障或服务中断场景,因实践中此类故障的自动恢复难以实现PP或ST应包括涵盖以下所有故障事件[a)、b)和c)]的赋值,且事件描述宜根据TOE的实现方案进行细化a)给定时间段内,原始密钥数据生成阶段出现过多错误或故障可由以下或者其他原因引发——量子态生成、传输或探测过程中持续异常;——参数校准程序执行时持续异常b)给定时间段内,后处理阶段出现过多错误或故障可由以下或其他原因引发——参数估计完成过程中持续异常;——消息认证连续失败;---------致性校验连续失败c)初始化阶段一次或多次自检出现不可自动恢复的过多故障例如,QKD模块可能多次尝试完成初始化阶段仍遭遇相同故障时,应进入维护模式(该模式宜被PP或ST的作者定义为安全状态)并提供人工恢复能力此类故障可由以下或其他原因引发——QKD模块内部主要功能部件故障引发的引导错误;——启动测试或周期性自检失败(参见FPTJTST.1)为完成上述赋值,PP或ST的作者应明确故障判定的相关阈值,并可提供安全属性管理对应功能(详见FMT_MSA.1)此外,进入维护模式时,采用特定QKD实现方案的TSF可选择向管理员通报故障事件,并指示已进入特定运行模式FPT_RCV.
2.2中的赋值项至少宜考虑以下故障事件a)在FTP_QKD.
1.6中赋值的故障事件此时TSF可通过进一步运行参数校准程序尝试恢复b)后处理阶段密钥素材相关的一致性校验失败此时应终止当前QKD会话并立即销毁该会话相关的所有中间密钥素材,随后,QKD自动启动新会话c)TOE的QKD模块间(当QKD模块间实施双向认证时),或QKD模块与外部IT产品(如相关外部KM)间的双向认证失败此时相关实体能尝试重新认证FPT_RCV.
2.1和FPT_RCV.
2.2之间的关系为,当定义时间段内累计故障超过FMT_MSA.1定义的阈值时,FPT_RCV.
2.1生效且TOE进入维护模式密钥素材的销毁操作应符合FCS_CKM.6的要求
9.
2.22FPT_TST.1TSF自检
9.
2.
22.1要求a FPT_TST.
1.1TSF应在[选择初始化启动期间、正常工作期间周期地、授权用户要求时,在[赋值产生自检的条件]条件时]运行一套自检程序[赋值TSF运行的自检列表],以证明[选择[赋值部分TSF]、TSF]运行的正确性b FPT_TST.
1.2TSF应为授权用户提供验证[选择[赋值部分TSF数据],TSF数据]完整性的能力c FPTJTST.
1.3TSF应为授权用户提供验证[选择[赋值部分TSF],TSF]完整性的能力
9.
2.
22.2应用说明
9.
2.
22.1中规定的SFR旨在保护QKD模块免受故障利用的威胁在FPT_TST.L1中,第一和第三项赋值应至少覆盖表9所列项目,且宜根据TOE的实现方案进行细化表9FPT_TST.
1.1的赋值自检时间/条件方法用于NRBG的健康测试的统计测非确定性随机比特发生器NRBG初始化启动期间,或授权用户请求时试或其他方法经典密码算法的实现系统上电后首次调用算法时密码算法的已知答案测试基于QKD模块内部存储参考值的软件和固件的完整性初始化启动期间完整性验证在FPT_TST.L2中,若实现方案无需用户验证TSF数据或其部分,可赋值“无”在FPTJTST.
1.3中,若实现方案无需用户验证TSF或其部分,可赋值“无”若自检过程中检测到故障,TOE应进入安全状态,并遵循SFR FPT_FLS.1和FPT_RCV.2规定的要求9」量子密钥分发协议实现的一般性要求
9.
1.1概述QKD协议的实现迫切需要定义新的SFR,特别需要覆盖原始密钥数据生成和后处理阶段的SFR这些新定义构成了TOE应满足的基准SFR集,是确保TSF有效的基础性要求体系关于这些SFR对应的评估活动,相关评估方法已在GB/T XXXX.2予以规范
9.
1.2FTP_QKD.1QKD协议和原始密钥数据生成
9.
3.
2.1要求a FTP_QKD.
1.1TSF应实现[赋值QKD协处,并承担[赋值定义的协议角色\b FTP_QKD.
1.2TSF应按照下列一种或多种机制[赋值安全流官认证方案列毒,按照[赋值认证摘为矽翅妫例/君对经典信道传输的相关数据进行认证c FTP_QKD.
1.3TSF应允许[赋值TOE的QKD模块列表、发起QKD协议执行d FTP_QKD.
1.4TSF应强制执行下列静态协议选项[赋值选项列表\e FTP_QKD.
1.5TSF应通过经典信道在TOE的QKD模块间协商下列协议配置项之一[赋值配置列表f FTP_QKD.
1.6TSF应发起[赋值参数校准程序列表、实施自身参数校准,每个赋值的参数校准程序具体要求如下本文件按照GB/T
1.1-2020《标准化工作导则第1部分标准化文件的结构和起草规则》的规定起草本文件是GB/T XXXX《网络安全技术量子密钥分发的安全要求、测试和评估方法》的第1部分GB/T XXXX已经发布了以下部分——第1部分要求;——第2部分测试和评估方法本文件等同采用ISO/IEC23837-1:2023《信息安全量子密钥分发的安全要求、测试和评估方法第1部分要求》本文件做了下列最小限度的编辑性改动——为与现有标准协调,将标准名称改为《网络安全技术量子密钥分发的安全要求、测试和评估方法第1部分要求》请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任本文件由全国网络安全标准化技术委员会SAC/TC260提出并归口本文件起草单位本文件主要起草人1触发方式[选择授权用户要求时触发、检测到[赋值故障事件列表]时触发、[赋值其他触发事件列表]时触发];2执行限制[选择,选择其一允许与QKD会话并行运行、禁止与QKD会话并行运行、[赋值其他限制列表]];3待校准参数[赋值参数校准列表\g FTP_QKD.
1.7在参数校准执行期间,TSF应维持安全状态除非参数校准程序允许与QKD会话并行运行,否则TSF不应在QKD会话期间执行任何参数校准程序h FTP_QKD.
1.8当TOE执行下列操作时,TSF应提供状态指示[选择密的生成、禁止与QKD会话并行运行的参数校准程序、[赋值:其他操作列表i FTP_QKD.
1.9TSF应生成原始密钥数据并传递至后处理程序j
3.
2.2应用说明FTP_QKD.
1.1用于声明所实现的QKD协议及协议角色该要求应在ST中完成实例化,或选择性地在PP中完成,具体赋值应与QKD模块的实现方案保持一致FTP_QKD.L1中两个赋值项均不得赋值“无”若TOE实现多个协议,建议对每个协议复用本SFR,具体操作参见
2.
2.
1.1中的用户应用说明对于FTP_QKD.
1.2,PP或ST的作者应选择与TOE安全目标相匹配的消息认证方案对于FTP_QKD.
1.6,PP或ST的作者应描述QKD模块中通过参数校准程序设计的可调节参数对于FTP_QKD.1中的其他元素,PP或ST的作者应参照
8.
2.2中关于扩展安全功能组件的用户说明要求执行k
3.3FTP_QKD.2QKD后处理
9.
3.
3.1要求a FTP_QKD.
2.TSF应实施与FTP_QKD.
1.1所声明QKD协议相匹配的后处理程序1b在后处理阶段,TSF应采用下列筛选方案之一[赋值筛选方案\c FTP_QKD.
2.在后处理阶段,TSF应采用下列参数估计方案之一[赋值参数估计方案\2d在后处理阶段,TSF应采用下列纠错机制之一[赋值纠错方案\FTP_QKD.
2.e在后处理阶段,TSF应采用下列保密增强机制之一[赋值保密增强方案\3f在后处理阶段,若所选纠错方案未包含一致性检查,TSF应在纠错完成后对TOEFTP_QKD.
2.的QKD模块间的相关密钥素材实施一致性检查该完整性检查应使用下列一致性检查方案中的一个或多个[选择纠错方案、[赋值:其他方案列表口如果检测到不一致,TSF应[选择终止QKD
9.
3.
3.2应用说明会话且不生成最终密钥、[赋值:动作列表
9.
3.
3.1中规定的SFR用于声明QKD模块后处理程序的实现PP或ST的作者应参考
8.
2.2中相关安全功能组件的用户说明94量子密钥分发模块中量子光学部件的一般性要求
9.
4.1概述本章旨在规范量子光学部件抵御已知主耍通过量子信道实施侧信道攻击的安全功能耍求,主要包括两个层面要求抵御被动式侧信道攻击的安全功能要求FPT_EMS.1和抵御主动式侧信道攻击的安全功能要求FPT_P11P.3o关于这些SFR的对应评估活动,相关评估方法已在GB/T XXXX.2予以规范
9.
4.2FPT_EMS.1/Quantum TSF和用户数据的泄露
9.
4.
2.1要求FPT_EMS.
1.1TSF应确保TOE在其攻击面上的数据泄露量不会导致表10中明确的TSF数据和用户数据被非授权获取表10FPT_EMS.
1.1的赋值序号信息泄露类型攻击面TSF数据用户数据量子信道(可能与经典信道结原始密钥数据,包括编码1编码信息泄露合)基矢量子信道(可能与经典信道结原始密钥数据,包括解码2探测信息泄露合)基矢[赋值TSF数据类型的[赋值用户数据类型列为3[赋值泄露类型列表\[赋值攻击面的类型列表\列表\O
9.
4.
2.2应用说明
9.
4.
2.1规定的SFR旨在防护QKD模块因量子光学部件漏洞引发的侧信道攻击所述泄露包含QKD模块量子光学部件漏洞能被用于被动式攻击的所有信息FPT_EMS.1/Quantum与FPT_EMS.1/Convention的区别在于,后者仅规范传统网络部件产生的、能通过经典信道远程利用的侧信道漏洞而FPT_EMS.1/Quantum涵盖通过量子信道独立实施、或通过量子信道与经典信道协同实施的侧信道攻击能引发编码信息泄露的情形包括——编码态信号脉冲在非编码自由度存在差异性表征例如采用光脉冲偏振进行编码的QKD模块,当不同偏振态信号脉冲在频率、脉冲波形、时序等呈现差异时,将形成编码信息泄露——信号脉冲编码自由度未被精确调制——诱骗态QKD协议中信号脉冲的相位未实现完全随机化——单光子QKD协议中光源存在概率性多光子发射——部分QKD协议的相邻光脉冲强度可能存在关联,导致码间串扰能引发探测信息泄露的情形包括——APD因探测事件产生的光子经量子信道外泄
4.3FPT.PHP.3物理攻击抵抗
9.
4.
3.1要求
10.FPT_PHP.
3.1TSF应通过自动响应来抵抗对[赋值75F及备/元存如麦]的[赋值物理篡改场景这样才能满足SFR要求
4.
3.2应用说明
11.
9.
4.
3.1中规定的SFR旨在保护QKD模块免受针对量子光学部件的威胁此处的物理篡改是指对QKD模块量子光学部件实施的主动式攻击“自动响应”是指TSF在受到所赋值的篡改攻击时,不仅应检测到攻击行为,还应基于明确定义的响应规则和/或物理防护措施主动实施防御或“延迟”攻击者的攻击注“延迟”指延长威胁主体预期达成攻击目标所需时间鉴于实际应用中TOE自身无法完全抵御所有攻击,通过延迟攻击者直至操作者进行系统修复,或者耗尽攻击者行动意愿均属于有效防护手段TSF应通过适当机制持续对抗物理篡改攻击该机制可能通过专用部件实现,如防止强光脉冲注入QKD发送模块的专用隔离器;也可能通过TOE的架构设计实现,如QKD模块各部件协同产生的整体隔离效果两项赋值至少应按照表11完成实例化,PP或ST的作者应列明响应规则和/或所需的物理防护措施,确保SFR在不同的物理篡改场景下得到满足示例响应规则包括——检测到篡改攻击后,自动销毁相关安全信息并进入安全状态以保护后续操作;——检测到特定的篡改事件后触发告警并进入维护模式以保护后续操作;——通过忽略攻击效应维持正常运行状态以降低风险例如部分协议检测到双计数事件时,安全响应规则是随机丢弃其中一次触发表11FPT_PHP.
3.1的赋值情况物理篡改场景TSF设备/元件特洛伊木马攻击编码器、解码器激光破坏攻击编码器、解码器种子光攻击编码器相位重映射攻击编码器脉冲能量监测器攻击编码器波长相关攻击解码器探测器致盲攻击探测器探测器效率不一致攻击探测器门后攻击探测器探测器超线性攻击探测器死时间攻击探测器双计数攻击探测器参数校准攻击QKD模块本地振荡攻击QKD模块10符合性声明总述
12.1GB/T XXXX为QKD模块PP或ST的编制提供了基础框架因此有必要明确PP(或ST)或评估方法声明符合GB/T XXXX的符合性要求具体而言,PP和ST的符合性要求见
10.2和
10.3,测试和评估方法的符合性要求详见GB/T XXXX.2o一般而言,当PP或ST声称符合本文件时,意味着该PP/ST应提供针对本文件所述一般性安全问题的解决方案PP/ST可通过等同于或严于本文件要求的方式实现此目标,即允许PP/ST对本文件相关内容进行调整,前提是PP/ST对TOE的限制要求整体上相同或更严格,同时对TOE运行环境的假设相同或更宽松为保障工程实践的灵活性,
10.2和
10.3中描述了若干附加例外的情形本文件的符合性声明主要涉及安全问题定义和安全功能要求两个方面针对安全问题定义的符合性声明102本文件的符合性要求规定,PP/ST中定义的安全问题应该等于、等同于或严于第7章规范的内容,并应对下列允许的例外情形提供合理性论证a)PP/ST应完整包含
7.2定义的所有假设项,但允许以下例外情形1)用IT相关的安全控制替代运行环境相关假设当
7.2中拟通过运行环境解决的假设项(全部或部分)被TOE的IT相关安全控制措施替代时,PP/ST可省略或限制该部分假设2)增加不影响IT相关安全控制的假设项若新增假设项无法缓解本文件规定的、应由TOE的IT相关安全控制应对的威胁(或部分威胁),则可在PP/ST添加新的假设项来补充
7.2中定义的假设集此类新增假设项可包含对
7.2中现有假设的扩展3)增加经论证的运行环境假设除2)的描述外,若PP/ST中的符合性论证能同时满足下列两个条件,可在PP/ST中补充运行环境相关的新增假设项——新增假设项能够在TOE特定运行环境中合理实现——相较于通过IT相关安全控制应对新假设相关的潜在威胁,补充运行环境假设更具可操作性此类新增假设项可包含对
7.2中现有假设的扩展注典型应用场景为假设QKD模块及其连接的KM位于受物理保护的环境内(与
7.2中的假设b)不同)此时密钥管理接口与控制和管理接口无需IT相关安全控制保护,相应接口通信防护SFR(如FPT」TC1和FPT」TI.1)可根据a)3)要求进行弱化b)PP/ST应完整列出
7.4和
7.5中分析的威胁项,但允许以下例外情形1)新增威胁项PP/ST可根据TOE特性补充新增威胁项2)由于新增运行环境假设而忽略的威胁项若通过上述a)2)或a)3)条建立的TOE运行环境新假设已能应对
7.4或
7.5中特定威胁,则PP/ST可忽略该威胁项针对安全功能要求的符合性声明103第9章定义的SFR保障TOE对已识别威胁的抵御能力对本文件的符合,要求PP/ST中定义的SFR应等于、等同于或严于第9章规范的内容因此,除下述允许的例外情形外,PP/ST应包含第9章规定的所有SFR a)SFR的移除当PP/ST中的符合性论证满足下列任一条件时,可移除第9章规定的相应SFR1)依据
10.2a)2)或
10.2a)3)对TOE运行环境作出新的或扩展假设,导致不再需要相关SFRo2)基于TOE自身特性,不再需要相应SFR3)采用层级更高的SFR替代原有要求,或选用扩展的SFR满足相同需求b)SFR的调整当PP/ST中的符合性论证满足下列条件时,可对第9章规定的SFR进行调整1)每项SFR的操作实例化符合其应用说明2)调整后的要求维持与第9章规定要求相当的约束强度,除非TOE特性允许放宽约束条件c)新增SFR的声明当PP/ST中的符合性论证满足下列条件时,可声明新增或采用层级更高的SFR新增SFR应与第9章相关SFR保持内在一致附录A(资料性)编制量子密钥分发模块的保护轮廓指南A.1总述GB/T XXXX依据GB/T18336确立了量子密钥分发(QKD)安全评估的一般性框架,可用于指导QKD模块保护轮廓的开发简言之,QKD模块的PP提供了特定类型QKD模块的安全要求规范,用于表征用户模块的安全预期,并确保相关安全要求的技术可行性GB/T
18336.1-2024的附件B和ISO/IEC TR15446分别从一般性意义上给出了PP结构的详细描述及开发指南本附录的补充信息旨为特定类型QKD模块PP提供必要内容,其描述遵循GB/T
18336.1-2024,B.3规定的标准PP的强制性内容结构A.2PP引言规范PP引言部分旨在抽象描述T0E的用途和结构为此,该部分宜首先给出唯一性PP标识,然后对TOE的类型、用途和主要安全特征进行概述说明为确保完整性,该部分还宜简要说明TOE正常运行所需的非TOE硬件/软件/固件更多建议如下所述a)TOE类型宜定义为分布式系统,包含与所实现QKD协议相对应的QKD模块因此,PP该部分宜概述TOE实现的具体QKD协议及结构,并通过识别必要的QKD模块及其功能组件界定TOE范围本文件第5和第6章为PP描述TOE类型提供了基础示例在MDI-QKD协议类型的PP中,若QKD接收模块不属于TOE范围,则对TOE类型的描述可声明包含两个QKD发送模块b)TOE类型的用途和主要安全特征宜说明TOE用于实现分布式QKD模块间的密钥建立功能,并列举TOE为保护密钥建立功能运行所采用的IT相关控制PP该部分宜描述TOE启动正常运行前输入预共享密钥的要求为补充TOE的安全特性,该部分宜说明TOE支持的有效传输距离及对应的最终密钥生成速率c)非TOE硬件/软件/固件宜描述使TOE运行所需的外部IT系统、功能及条件,至少包括量子信道、经典信道及支撑QKD功能的底层计算平台止匕外,虽然QKD模块通常构成独立系统,但当外部KM向QKD模块发出请求,生成的最终密钥(或其部分)可能会上传至此KM因此,PP该部分宜简要说明与QKD模块连接的外部KMoA.3符合性声明和符合性陈述规范PP的符合性声明描述了其与GB/T
18336、其他PP(若有)及功能包(若有)的符合性关系,PP的符合性陈述则说明其引用的源自GB/T30270的评估方法和/或评估活动针对特定类型QKD模块PP的补充内容如下a)当PP的安全问题定义及SFR将遵循或调整本文件第7章和第9章的内容时,PP的符合性声明描述与本文件的符合性关系定制安全问题定义及SFR的符合性要求见第10章b)当PP要求结合GB/T XXXX.2定义的评估方法和/或评估活动进行安全评估时,PP的符合性陈述描述对GB/T XXXX.2的引用关系定制评估方法及活动的符合性要求见GB/T XXXX.2的第13章QKD模块PP的安全问题定义用于正式界定TOE拟解决安全问题的性质和范围,包括对运行环境假设、资产威胁及组织安全策略的描述本文件第7章从一般性意义上描述了QKD模块的假设条件和威胁类型特定类型QKD模块的PP可以遵循该规范,亦允许根据具体用例的新特性和QKD最新研究成果进行调整扩展安全问题定义的原则见第10章示例1若TOE采用生物特征识别技术实现用户身份认证,QKD模块的PP可以将生物特征模板视为资产示例2QKD模块的PP可弱化对运行环境的假设例如,若未来出现QKD的单芯片实现且环境防护约束减少,则功耗特征及基于电磁信号的侧信道攻击可能被视为威胁A.5安全目标规范PP的安全目标提供了对安全问题预期响应的高级自然语言陈述,充当SFR和安全问题定义间的逻辑桥梁因此,该部分用于总结TOE及其运行环境如何解决安全问题,具体编写要求参见GB/T
18336.1o本文件采用安全问题与SFR的直接映射方法,故未对安全目标作显式规范,该部分也未提供更多细节建议遵循GB/T
18336.1中的要求及ISO/IEC TR15446中的建议编写QKD模块PP中安全目标部分A.6扩展安全功能组件定义当GB/T
18336.2中现有安全功能组件无法满足新的安全要求时,可以开发扩展的安全功能组件但通常建议尽量避免扩展安全功能组件,因为当安全要求涉及不同的扩展安全功能组件时,更加难以比较不同QKD模块间的安全性PP的作者宜优先采用本文件及GB/T
18336.2中的现有组件从GB/T
18336.2中唯一扩展的安全功能族是FTP_QKD,其包含FTP_QKD.1和FTP_QKD.2两项扩展安全功能组件PP的作者可通过对操作实例化及SFR的细化,表征特定类型QKD模块的安全特性止匕外,若既有安全功能组件(即FTP_QKD.1和FTP_QKD.2)不适用,则允许开发更多扩展安全功能组件止匕时,PP的作者宜遵循GB/T18336系列及ISO/IEC TR15446中的相关要求A.7安全要求规范GB/T
18336.2和68/丁
18336.3中规范的两类安全要求分别为安全功能要求和安全保障要求GB/T18336提供了详细的方法和建议,说明如何选择适当的安全要求以实现安全目标及规范的评估活动对于QKD模块,补充安全功能要求的编写指南如下对于特定类型QKD模块的PP宜基于第9章规定的SFR基线集描述QKD模块的安全功能该基准集旨在涵盖大多数已知QKD实现的SFR的一般要求为提供充分的实现灵活性,PP可通过赋值、复用、选择和细化操作,对SFR进行调整以表达特定的安全功能要求为适应实际应用场景,PP还可基于以下原因对SFR基准集进增删a)当安全问题定义的改进反映实际攻击特征与环境防护水平时,可新增SFR补充第9章的基准集,同时可删除基准集中的部分SFRb)当部分运行环境安全目标转化为TOE安全目标时,可新增SFR补充第9章的基准集c)当选用更适用的安全功能组件或扩展组件表达SFR时,可新增SFR修订或补充第9章的基准集宜提供理由说明新增或删除SFR的合理性,并确保新SFR集合与既有SFR间的一致性一般来说,建议按照第10章的说明来确定PP中的SFR参考文献
[1]ISO/IEC15408all parts,Information security,cybersecurity andprivacyprotection一Evaluation criteriafor IT security
[2]ISO/IEC19790:2012,Information technology—Security techniques-Security requirementsforcryptographic modules
[3]ISO/IEC19792:2009,Information technology-Security techniques-Security evaluationofbiometrics
[4]ISO/IEC10181-2:1996,Information technology—Open SystemsInterconnection一Securityframeworks foropen systems:Authentication framework
[5]ISO/IEC11770-1:2010,Information technology-Security techniques-Key management-Part1:Framework
[6]ISO/IEC18031:2011,Information technology-Security techniques-Random bitgeneration
[7]ISO/IEC/TS30104:2015,Information Technology—Security Techniques—Physical SecurityAttacks,Mitigation Techniquesand SecurityRequirements
[8]ISO/IEC/TR15446:2017,Information technology-Security techniques-Guidance fortheproduction ofprotection profilesand securitytargets
[9]ISO/IEC18045:2022,Information security,cybersecurity andprivacy protection一Evaluation criteriafor ITsecurity-Methodology forITsecurityevaluation
[10]ETSIGR QKD003V
2.
1.12018-03,Quantum keydistribution QKD;Componentsand InternalInterfaces
[11]ETSIGR QKD007VI.
1.12018-12,Quantum keydistribution QKD;Vocabulary
[12]ETSIGS QKD011VI.
1.12016-05,Quantum keydistribution:Componentcharacterisation:characterising opticalcomponents forQKD systems
[13]ETSIWhite PaperNo.27July2018,ImplementationSecurityof QuantumCryptography,introduction,challenges,solutions
[14]COLLABORATIVE PROTECTIONPROFILE FORNETWORK DEVICES.V
2.2e,23-March-
2020.Available atGB/T XXXX在GB/T18336的框架下,确立了量子密钥分发(QKD)的安全要求、测试和评估方法本文件主要规定了QKD模块通用安全功能要求(SFR)基线集QKD是一种通过预共享密钥生成长对称密钥的技术,其安全性理论上不依赖于攻击者的算力;所生成的密钥能够用于构建安全通信信道等密码应用场景QKD协议的理论安全性已在严格的安全模型(假设通信双方预先共享安全密钥)下得到了证明,但理论模型与工程实现间的偏差往往会出现在QKD模块生命周期的各个阶段这种偏差可能导致实际QKD系统出现安全漏洞目前,部分威胁性较高的侧信道攻击方案已在QKD攻击实验中完成了原理性验证与传统密码模块及网络设备一样,QKD模块在投入实际应用前,宜通过严格的安全测试与评估,以防范安全攻击导致的信息泄露风险实施严格且完整的安全评估是QKD产品获业界广泛认可的重要前提为此,GB/T XXXX为QKD模块制造商确立了严格统一的安全规范制造商能依此标准规范开发基于QKD技术的IT产品;评估者能按此标准方法实施安全测试和评估,从而有效降低QKD系统运行中因安全功能失效带来的风险本文件采用GB/T18336中标准化的模型与描述语言,规定了QKD模块的通用SFR基线集,覆盖从传统网络部件到量子光学部件的QKD协议的全部实现附录A提供了QKD模块保护轮廓的开发指南GB/T XXXX的第二部分(GB/T XXXX.2)则明确了QKD模块达到预期评估保障级所需的具体安全评估活动注本文件对扩展安全功能组件(见
8.2)和SFR(见第9章)的描述,在安全功能族、组件结构、文本格式(即黑体和粗体)等方面与GB/T
18336.2的安全功能组件保持一致,这些样式是按照GB/T
18336.2的约定进行描述的,以便将某些术语与其他文本区分开来这种描述方式便于熟悉GB/T18336的用户直接应用扩展安全功能组件和SFR编制QKD模块的评估文档网络安全技术量子密钥分发的安全要求、测试和评估方法第部分要求11范围本文件依据GB/T18336确立了量子密钥分发(QKD)安全评估的一般性框架,并规定了QKD模块通用的安全功能要求(SFR)基线集,具体涵盖传统网络部件与量子光学部件的SFR,以及QKD协议的实现本文件基于对QKD模块安全功能的结构分析及QKD协议分类,分析了其在运行环境中可能面临的安全问题,进而推导出解决相应安全问题所需的SFR集QKD模块传统网络部件的SFR主要依据GB/T18336进行界定,同时参考ISO/IEC19790的方法,以及密码模块和网络设备测试相关的标准2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T
18336.1-2024信息安全技术信息技术安全评估准则第1部分简介和一般模型(IS0/IEC15408-1:2022,IDT)GB/T
18336.2-2024信息安全技术信息技术安全评估准则第2部分安全功能组件(IS0/IEC15408-2:2022,IDT)3术语和定义GB/T
18336.1-2024界定的以及下列术语和定义适用于本文件
3.1攻击者adversary/attacker试图利用量子密铝分发(QKD)系统(
3.28)潜在漏洞的实体[来源:IS0/IEC19792:2009,
4.2,有修改]3身份认证authent i cat i on为实体所声称的身份提供保证[来源:ISO/IEC10181-2:1996,
3.3]经典信道c Iass ica Ichanne I通信双方用于交互编码数据的通信信道,所交互的数据可被无损读取和完全复制[来源:ETSI GRQKD003v
2.
1.1:2018]部件component3〈QKD模块>QKD模块
3.23的组成部分示例QKD模块中的传统网络部件和量子光学部件注GB/T
18336.1中为安全功能要求元素集合定义了一个与上述名称相同的术语component本文件的用户能从上下文中分辨出特指哪个术语r密码模块cryptograph ic modu Ie一系列包含于密码边界之中的硬件、软件、固件或其组合的集合[来源:ISO/IEC19790:2012,
3.25]解码decod ingr温量子信号
3.32转换为经典信息的过程探测效率detect i on eff ici ency3某一特定能量频谱或波长的光子入射在探测门内被探测并产生输出信号的概率[来源ETSI GRQKD007vl.
1.1:2018]g双计数事件doub Ie-c I i ckevent3两个单光子探测器
3.37同时输出探测信号的事件编码encod ing3将经典信息转换为量子信号
3.32的过程1C纠错数据error correcteddata3筛选后密钥数据
3.36进行错误比特纠正后得到的密翎素君
3.14o11纠错error correction对传输或存储过程中发生的数据错误进行纠正的过程3[来源:ETSI GRQKD007vl.
1.1:2018]19key最终密钥final的完整运行所产生的密钥QKD会话
3.27313零差探测homodyne detection3一种通过将强相位参考信号与弱信号干涉来检测弱信号正交分量的方法14密钥素材key ing materi aI用于建立和维护密钥及其派生关系的数据[来源:ISO/IEC11770-1:2010,
2.27]与1非确定性随机比特发生器non-determ in ist ic randombit generator(NRBG)随机比特发生器,其安全性取决于对一个或多个燧源的采样[来源:ISO/IEC18031:2011,
3.23,有修改]1A参数校准程序parameter adjustmentprocedure旨在调整系统特定参数的程序或功能17后处理post-process ingQKD协议
6.24)中、将原始密钥数据(
3.33)我联为最终密钥(
3.12)的过程预共享密钥pre-shared key开启会话(
3.27)前,合法各方间以安全方式预先建立的密钥注在初始QKD会话中,预共享密钥用于认证通过经典信道(
3.3)发送的信息1保密增强pr ivacy ampIifi cat ion从已发生部分信息泄露的数据中提取密钥的过程[来源ETSI GRQKD007VI.
1.1:2018,有修改]
3.2C量子信道quantum channeI传输量子信号⑶32)的通信信道[来源:ETSI GRQKD007vl.
1.1:2018]321量子密钥分发quantumkeyd istr ibut ion(QKD)量子密钥分配合法双方使用预共享密筋⑶18)达成一致对称密钥的程序或方法,其安全性基于量子信息理论注有些励加汉(
3.24)的密钥建立是由合法双方共同参与的,有些则是将一方产生的密钥传送给另一方QKD认证密钥QKD authenticationkey用于在血奏统⑶28)的经典信道(
3.3)上认证消息的加密密钥QKD模块QKD moduIe实现仞发送方(
3.30)或接收方(
3.26)功能的一系列硬件、软件、固件或其组合的胡存(
3.4)集合QKD协议QKD protocol实现量子密钥分发(工2\)功能的协议325QKD接收模块QKD recei vemoduIeQKD系统Q
3.28)用于实现切勿汉(
3.24)中QKD接收方
6.26)的功能模块326QKD接收方QKD recei vepartyQKD协议(
3.24)中量子信号(
3.32)的接收者[来源:ETSI GRQKD007VL
1.1:2018,有修改]327QKD会话QKD session由Q筋勿送(
3.24)定义的一系列用于生成所终密纷(
3.12)的操作组成的会话,一般包括原始密钥数据生成(
3.34)和后处理(
3.17)阶段28QKD系统QKD system实现Q初勿以(
3.24)的系统,至少包含两个QM模决(
3.23)及其互联的量子(
3.20)和经典信道(
3.3)oQKD发送模块QKD transmittermoduIeQKD系统Q328)用于实现仞勿设(
3.24)中也发送方(
3.30)的功能模块QKD发送方QKD transmitterpartyQKD协议
3.24中量子信号
3.32的发送者[来源:ETSI GRQKD007VL L1:2018,有修改]量子随机比特发生器quantum randombit generator(QRBG)根据量子力学原理生成随机比特的随机比特发生器。
个人认证
优秀文档
获得点赞 0
