金融数据密码机国密标准GMT0045-2016

        金融数据密码机是在金融领域内,用于确保金融数据安全,并符合金融磁条卡、IC卡月特定的,主要实现PIN加密、PIN转加密、MAC产生和校验、数据加解密、签名验证以及密钥管理等密码服务功能的密码设备,也称为HSM主机加密机。相关标准包括:

        GMT 0045-2016 金融数据密码机技术规范(密码产品类)

        GMT 0046-2016 金融数据密码机检测规范(密码检测类)

        功能要求

        (1)密码算法

        对称密钥算法(SM4、也可支持DES/3DES/AES,至少支持ECB和CBC,用于PIN加密、PIN转加密、MAC计算、数据加解密和密钥保护)

        公钥密码算法(SM2、也可支持RSA,用于数据签名和验签、密码信封和密钥分发)

        杂凑算法(SM3,也可以支持SHA-1,用于数字签名和验证、杂凑值生成和验证)

        (2)密钥管理

        基本要求(应具有明确的密钥保护措施,应具有防止密钥类型混用的防护措施)

        密钥结构(主密钥KEK采用强安全措施、次主密钥KEK、数据密钥DK)

        密钥存储(主密钥-加密存储或微电保护存储(明文),只有在备份时导出密码机(多段多人分段分别),次主密钥和数据密钥(只有在主密钥的保护下才能存储在密码机外))

        密钥注入(若手工明文注入采用分段传输、保存和注入,至少2名以上的授权管理员在注入现场共同完成)

        密钥备份和恢复(主密钥和次主密钥支持备份和恢复功能,以密文形式存储到介质中)

        (3)随机数

        至少2个物理噪声源的产生随机数,配用的随机数发生器应通过送样、出厂、上电和使用检测。

        (4)访问控制

        启动、停止和配置只能有授权管理员完成。提供网络访问控制机制,至少验证合法IP地址。

        (5)设备管理(设备自检、日志审计、远程管理)

        (6)设备初始化(不能由厂商进行)

        业务安全要求

        (1)根据应用的不同,应用编程接口可划分为磁条卡应用、IC卡应用和基础密码运算服务。

        (2)针对密钥和PIN的计算均采用ECB模式。

        (3)针对数据的计算均采用CBC模式,且首块IV为全0。

你可能感兴趣的:(密码应用安全性评估,国密标准,金融,安全,密码学,网络安全,系统安全)