《商用密码应用与安全性评估》第四章密码应用安全性评估实施要点4.5密码应用安全性评估测评工具

目录

测评工具使用和管理要求

测评工具体系

通用测评工具

专用测评工具

典型测评工具概述

---

测评工具使用和管理要求

        测评过程中使用的专用测评工具应通过国家密码管理局的审批或者经检测认证合格。为确保工具测试结果的准确可信，测评机构应确认使用的专用工具是最新版本。

测评工具体系

通用测评工具

（1）协议分析工具：网络传输协议分析工具、无线局域网协议分析工具、蓝牙协议分析工具、串口通信协议分析工具、移动通信网络协议分析工具等。

（2）端口扫描工具：主机服务器端口扫描工具等。

（3）逆向分析工具：静态逆向分析工具、动态逆向调试工具等。

（4）渗透测试工具：渗透测试工具等

专用测评工具

（1）算法和随机性检测工具∶商用密码算法合规性检测工具（支持 SM2、SM3、SM4、ZUC、SM9等商用密码算法）、随机性检测工具、数字证书格式合规性检测工具。

（2）密码安全协议检测工具∶IPSec/SSL 协议检测工具等。

（3）密码应用检测工具∶商用密码基线检测工具、数据存储安全性检测工具、流程不可抵赖性检测工具、密码实现漏洞扫描工具、密码安全配置检查工具等。

典型测评工具概述

1. IPSec/SSL 协议检测工具

        IPSec/SSL 协议检测工具具有VPN密码检查功能，能够对IPSec/SSL VPN 的通信报文进行嗅探分析，自动检测IPSec/ SSLVPN 应用的密码算法，并对密码运算结果的正确性进行验证

①被动式扫描∶实现对 SSL VPN 和IPSec VPN 的被动嗅探分析，解析出当前协议所使用的密码算法。

②主动式扫描∶实现对SSL VPN的主动式扫描，可以通过主动式扫描探测发现 SSL VPN 服务器支持的所有密码套件。

2.商用密码算法检测工具

        商用密码算法检测工具主要用于对常见的商用密码算法计算结果进行正确性验证，工具包括密码算法验证检测工具软件系统和必要的配套软硬件，可用于现场测评过程中的密码算法正确性验证测试。

        商用密码算法检测工具覆盖 SM2、SM3、SM4、ZUC、SM9等密码算法，能够对数据进行加解密、数字签名、密码杂凑等运算，作为基准工具，以验证其他密码算法实现运算结果的正确性

3.随机性检测工具

        测试内容主要包括单比特频数检测、块内频数检测、扑克检测、重叠子序列检测、游程总数检测、游程分布检测、块内最大"1"游程检测、二元推导检测、自相关检测、矩阵秩检测、累加和检测、近似性检测、线性复杂度检测、Maurer 通用统计检测、离散傅里叶检测共计15项检测。

4.数字证书格式合规性检测工具

（1）检测数字证书申请文件是否符合标准的要求，包括DN（Distinct Name）项顺序及编码、签名值、算法等。

（2）检测数字证书基本项和扩展项是否符合标准的要求，包括用户证书格式编码、密钥用途、签名算法、密钥标识符、证书撤销列表（CRL）发布地址等。

（3）检测CRL格式是否符合标准的要求，包括CRL签名算法、有效期和签名值等。

5.商用密码基线检测工具

        商用密码基线检测工具主要用于信息系统通信数据使用的密码算法和密码协议的识别和验证。运用旁路监听等检测技术