中国密码学会密评联委会：商用密码应用安全性评估测评工具指引（58页）.pdf

1、 商用密码应用安全性评估商用密码应用安全性评估 测评工具指引测评工具指引 中国密码学会密评联委会中国密码学会密评联委会 二二四年十一月二二四年十一月 I 目 次 前言.III 1 范围.1 2 规范性引用文件.1 3 术语、定义和缩略语.2 3.1 术语和定义.2 3.2 缩略语.3 4 测评工具类别.3 4.1 概述.3 4.2 密码应用安全测评工具.4 4.3 密码应用安全测评辅助工具.5 4.4 密评报告编制工具.5 4.5 密评项目管理工具.5 5 测评工具安全要求.5 5.1 总体要求.5 5.2 部署和使用.6 5.3 维护和更新.6 5.4 卸载和更换.6 6 测评工具技术要求.

2、6 6.1 密码应用安全测评工具.6 6.2 密码应用安全测评辅助工具.14 6.3 密评报告编制工具.17 6.4 密评项目管理工具.17 7 信息系统商用密码应用安全测评工具使用指引.18 7.1 概述.18 7.2 物理和环境安全测评工具使用指引.18 7.3 网络和通信安全测评工具使用指引.19 7.4 设备和计算安全测评工具使用指引.20 7.5 应用和数据安全测评工具使用指引.21 附 录 A（资料性）密码应用安全测评工具使用示例.24 A.1 密码算法校验工具使用示例.24 A.1.1 算法校验场景示例.24 A.1.2 密码算法校验工具测试实施示例.25 A.2 协议分析工具使

3、用示例.28 A.2.1 协议分析场景示例.28 A.2.2 协议分析工具测试实施示例.28 A.3 数字证书校验工具使用示例.31 A.3.1 数字证书校验场景示例.31 A.3.2 数字证书校验工具测试实施示例.32 A.4 随机数检测工具使用示例.32 II A.4.1 随机数检测场景示例.32 A.4.2 随机数检测工具测试实施示例.33 A.5 电子签章校验工具使用示例.36 A.5.1 电子签章校验场景示例.36 A.5.2 电子签章校验工具测试实施示例.36 附 录 B（资料性）密码算法校验工具参考表.39 B.1 对称密码算法.39 B.2 密码杂凑算法.41 B.3 消息鉴别

4、码（MAC）算法.41 B.4 非对称密码算法.44 附 录 C（资料性）密码应用安全测评辅助工具使用示例.48 C.1 源代码审计工具使用示例.48 C.1.1 源代码审计场景示例.48 C.1.2 源代码审计测试实施示例.48 C.2 编码转换工具使用示例.50 C.2.1 编码转换工具场景示例.50 C.2.2 编码转换工具测试实施示例.50 C.3 APDU 报文分析工具使用示例.52 C.3.1 APDU 报文分析工具场景示例.52 C.3.2 APDU 报文分析工具测试实施示例.52 参考文献.54 III 前言 本文件不涉及推荐或推广任何特定产品或服务，未经中国密码学会授权，任何

5、单位或个人不得将本文件用于商业宣传、广告推广、产品销售或其他任何商业性活动。本文件根据商用密码应用安全性评估实际需要给出了测评工具的逻辑分类，难免存在不完善不恰当之处。实际研制、使用测评工具，可选取本文件给出的某类测评工具的专门功能、部分或全部测评工具进行研制集成，或基于新技术、新应用、新业态对测评工具的种类及其功能进行扩展。欢迎对商用密码应用安全性评估测评工具的种类和功能提出进一步丰富的意见，并向中国密码学会密评联委会反馈更新本文件。本文件由中国密码学会密评联委会提出并归口。本文件起草单位：国家信息技术安全研究中心、中国科学院数据与通信保护研究教育中心、商用密码检测认证中心、中国电子科技集团

6、公司第十五研究所（信息产业信息安全测评中心）、工业和信息化部电子第五研究所、智巡密码(上海)检测技术有限公司、北京数字认证股份有限公司、国家网络与信息系统安全产品质量检验检测中心、公安部网络安全等级保护评估中心、深圳市网安计算机安全检测技术有限公司、公安部第一研究所信息安全等级保护测评中心、中科安永科技有限公司、福建金密网络安全测评技术有限公司、广州竞远安全技术股份有限公司、西部安全认证中心有限责任公司、宁夏泽新信息技术服务有限公司、北京银联金卡科技有限公司、上海市信息安全测评认证中心、浙江东安检测技术有限公司、江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）、教育部教育管理信息