Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение Д
(справочное)
Криптографическая поддержка (FCS)
ФБО могут использовать криптографические функциональные возможности для содействия достижению некоторых, наиболее важных целей безопасности. К ним относятся (но ими не ограничиваются) следующие цели: идентификация и аутентификация, неотказуемость, доверенный маршрут, доверенный канал, разделение данных. Класс FCS применяют, когда ОО имеет криптографические функции, которые могут быть реализованы аппаратными, программно-аппаратными и/или программными средствами.
Класс FCS состоит из двух семейств: FCS_CKM "Управление криптографическими ключами" и FCS_COP "Криптографические операции". В семействе FCS_CKM рассмотрены аспекты управления криптографическими ключами, тогда как в семействе FCS_COP рассмотрено практическое применение этих криптографических ключей.
Декомпозиция класса FCS на составляющие его компоненты показана на рисунке Д.1.
Для каждого метода генерации криптографических ключей, реализованного в ОО, автору ПЗ/ЗБ следует применить компонент FCS_CKM.1.
Для каждого метода распределения криптографических ключей, реализованного в ОО, автору ПЗ/ЗБ следует применить компонент FCS_CKM.2.
Для каждого метода доступа к криптографическим ключам, реализованного в ОО, автору ПЗ/ЗБ следует применить компонент FCS_CKM.3.
Для каждого метода уничтожения криптографических ключей, реализованного в ОО, автору ПЗ/ЗБ следует применить компонент FCS_СКМ.4.
Для каждой из криптографических операций, реализованных в ОО, таких как цифровая подпись, шифрование данных, согласование ключей, хэширование и т.д., автору ПЗ/ЗБ следует применить компонент FCS_COP.1.
Криптографические функциональные возможности применимы для достижения целей безопасности, специфицированных в классе FCO, а также в семействах FDP_DAU, FDP_SDI, FDP_UCT, FDP_UIT, FIA_SOS, FIA_UAU. В случае, когда криптографические функциональные возможности используют для достижения целей безопасности из других классов, цели, требующие применения криптографических средств, специфицируют в отдельных компонентах. Цели класса FSC следует учитывать, когда потребители нуждаются в криптографических функциональных возможностях ОО.
Д.1 Управление криптографическими ключами (FCS_CKM)
Замечания для пользователя
Криптографическими ключами необходимо управлять на протяжении всего их существования. Основными этапами жизненного цикла криптографических ключей являются: генерация, распределение, ввод в действие, хранение, доступ (например, к резервному копированию, передаче на хранение, архивации и восстановлению) и уничтожение.
Обязательно присутствуют три стадии: генерация, хранение и уничтожение. Наличие других стадий зависит от принятой стратегии управления ключами. Поскольку ОО не обязательно используют на всех этапах жизненного цикла ключей, то им может выполняться, например, только генерация и уничтожение криптографических ключей.
Семейство FCS_CKM предназначено для поддержки жизненного цикла и поэтому определяет требования к следующим действиям с криптографическими ключами: генерация, распределение, доступ к ним и их уничтожение. Это семейство следует использовать в случаях, когда имеются функциональные требования управления криптографическими ключами.
Если в ПЗ/ЗБ включен компонент семейства FAU_GEN "Генерация данных аудита безопасности", то аудиту следует подвергать события, связанные с:
а) атрибутами объекта, которые могут содержать сведения о пользователе данного криптографического ключа, роли пользователя, криптографических операциях, в которых используется данный криптографический ключ, идентификаторе криптографического ключа и его сроке действия;
б) параметрами объекта, включая значения криптографического ключа (ключей), за исключением любой чувствительной информации, например секретных или приватных криптографических ключей.
Для генерации криптографических ключей обычно используют случайные числа. Тогда вместо FIA_SOS.2 "Генерация секретов ФБО", следует использовать компонент FCS_CKM.1. Компонент FIA_SOS.2 следует применять, когда генерация случайных чисел требуется для иных целей.
FCS_СКМ.1 Генерация криптографических ключей
Замечания по применению для пользователя
Компонент FCS_СКМ.1 содержит требования по определению длины криптографических ключей и метода их генерации, что может быть сделано в соответствии с некоторыми принятыми стандартами. Его следует использовать для определения длины криптографических ключей и метода (т.е. алгоритма) их генерации. Для одного и того же метода и нескольких значений длины ключа этот компонент требуется использовать только один раз. Длина ключа может быть одной и той же или разной для различных сущностей, а также быть либо входным, либо выходным значением алгоритма.
Операции
Назначение
В FCS_CKM.1.1 автору ПЗ/ЗБ следует определить, какой алгоритм генерации криптографических ключей будет использоваться.
В FCS_CKM.1.1 автору ПЗ/ЗБ следует определить, какой длины криптографические ключи будут использоваться. Следует, чтобы длина ключа соответствовала выбранному алгоритму и предполагаемому применению ключа.
В FCS_CKM.1.1 автору ПЗ/ЗБ следует определить стандарт, который устанавливает метод генерации криптографических ключей. При этом можно как ссылаться, так и не ссылаться на один или несколько опубликованных стандартов, например на международные, государственные, отраслевые или стандарты предприятия.
FCS_CKM.2 Распределение криптографических ключей
Замечания по применению для пользователя
Компонент FCS_CKM.2 содержит требование определения метода распределения ключей, который может соответствовать некоторому принятому стандарту.
Операции
Назначение
В FCS_CKM.2.1 автору ПЗ/ЗБ следует определить, какой метод используется для распределения криптографических ключей.
В FCS_CKM.2.1 автору ПЗ/ЗБ следует определить стандарт, который устанавливает метод распределения криптографических ключей. При этом можно как ссылаться, так и не ссылаться на один или несколько опубликованных стандартов, например на международные, государственные, отраслевые или стандарты предприятия.
FCS_CKM.3 Доступ к криптографическим ключам
Замечания по применению для пользователя
Компонент FCS_CKM.3 содержит требование определения метода доступа к криптографическим ключам, который может соответствовать некоторому принятому стандарту.
Операции
Назначение
В FCS_CKM.3.1 автору ПЗ/ЗБ следует определить используемый тип доступа к криптографическим ключам. Примерами операций с криптографическими ключами, к которым предоставляется доступ, являются (но не ограничиваются ими): резервное копирование, архивирование, передача на хранение и восстановление.
В FCS_CKM.3.1 автору ПЗ/ЗБ следует определить, какой метод будет использоваться для доступа к криптографическим ключам.
В FCS_CKM.3.1 автору ПЗ/ЗБ следует определить стандарт, в котором описан используемый метод доступа к криптографическим ключам. При этом можно как ссылаться, так и не ссылаться на один или несколько опубликованных стандартов, например на международные, государственные, отраслевые или стандарты предприятия.
FCS_CKM.4 Уничтожение криптографических ключей
Замечания по применению для пользователя
Компонент FCS_CKM.4 содержит требование определения метода уничтожения криптографических ключей, который может соответствовать некоторому принятому стандарту.
Операции
Назначение
В FCS_CKM.4.1 автору ПЗ/ЗБ следует определить, какой метод будет использован для уничтожения криптографических ключей.
В FCS_CKM.4.1 автору ПЗ/ЗБ следует определить стандарт, который устанавливает метод ликвидации криптографических ключей. При этом можно как ссылаться, так и не ссылаться на один или несколько опубликованных стандартов, например на международные, государственные, отраслевые или стандарты предприятия.
Д.2 Криптографические операции (FCS_COP)
Замечания для пользователя
У криптографической операции могут быть один или несколько криптографических режимов операции, ассоциированных с ней. В этом случае его (их) необходимо определить. Примерами криптографических режимов операций являются сцепление блоков зашифрованного текста, осуществление обратной связи по выходу, применение электронной книги кодов и осуществление обратной связи по зашифрованному тексту.
Криптографические операции могут использоваться для поддержки одной или нескольких функций безопасности ОО. Может возникнуть необходимость в итерациях компонента FCS_COP в зависимости от:
а) прикладной программы пользователя, для которой понадобилась данная функция;
б) применения различных криптографических алгоритмов и/или длины криптографических ключей;
в) типа или чувствительности обрабатываемых данных.
Если в ПЗ/ЗБ включен компонент семейства FAU_GEN "Генерация данных аудита безопасности", то аудиту следует подвергать события, связанные с:
г) типами криптографических операций, к которым могут относиться генерация и/или верификация цифровых подписей, генерация криптографических контрольных сумм для обеспечения целостности и/или верификации контрольных сумм, хэширование (вычисление хэш-образа сообщения), зашифрование и/или расшифрование данных, зашифрование и/или расшифрование криптографических ключей; согласование криптографических ключей и генерация случайных чисел;
д) атрибутами субъекта, которые могут включать в себя как роли субъектов, так и пользователей, ассоциированных с этими субъектами;
е) атрибутами объекта, которые могут включать в себя сведения о пользователях криптографического ключа, роли пользователя, криптографической операции, для которой используется данный ключ, идентификаторе криптографического ключа и сроке его действия.
FCS_COP.1 Криптографические операции
Замечания по применению для пользователя
В этом компоненте содержатся требования указания криптографических алгоритмов и длины ключей, используемых при выполнении определяемых криптографических операций и основанных на некотором принятом стандарте.
Операции
Назначение
В FCS_COP.1.1 автору ПЗ/ЗБ следует определить выполняемые криптографические операции. Типичными криптографическими операциями являются генерация и/или верификация цифровых подписей, генерация криптографических контрольных сумм для обеспечения целостности и/или верификации контрольных сумм, безопасное хэширование (вычисление хэш-образа сообщения), зашифрование и/или расшифрование данных, зашифрование и/или расшифрование криптографических ключей, согласование криптографических ключей и генерация случайных чисел. Криптографические операции могут выполняться с данными как пользователя, так и ФБО.
В FCS_COP.1.1 автору ПЗ/ЗБ следует определить, какой криптографический алгоритм будет использован. Обычно применяют алгоритмы типа DES, RSA, IDEA, но могут использоваться и другие.
В FCS_COP.1.1 автору ПЗ/ЗБ следует определить, какой длины криптографические ключи будут использоваться. Необходимо, чтобы длина ключа соответствовала выбранному алгоритму и предполагаемому применению ключа.
В FCS_COP.1.1 автору ПЗ/ЗБ следует специфицировать стандарт, в соответствии с которым выполняются идентифицированные криптографические операции. При этом можно как ссылаться, так и не ссылаться на один или несколько опубликованных стандартов, например на международные, государственные, отраслевые или стандарты предприятия.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.