附录A

A.1 概述

密钥管理对于保证密钥全生存周期的安全性至关重要 ,可以保证密钥(除公开密钥外) 不被非授权 的访问 、使用 、泄露 、修改和替换 ,可以保证公开密钥不被非授权的修改和替换 。在信息系统密码应用方 案中 ,需明确信息系统的密钥生存周期管理 。密钥管理包括密钥的产生 、分发 、存储 、使用 、更新 、归档 、 撤销 、备份 、恢复和销毁等环节 。

A.2 密钥产生

密钥产生测评内容如下 。
a) 检查目的
密钥是否在经商用密码认证机构认证的密码产品中产生 , 密钥协商算法是否经国家密码管理 部门核准 。
b) 检查对象
密钥 、密钥管理制度及策略类文档 , 以及信息系统中的密码产品 、密码服务以及密码算法实现 和密码技术实现 。
c) 检查要点

1)    确认密钥产生所使用的随机数发生器是否具有商用密码认证机构颁发的认证证书 ;
2)    确认密钥 协 商 算 法 是 否 符 合 法 律 、法 规 的 规 定 和 密 码 相 关 国 家 标 准 、行 业 标 准 的 有 关 要求 ;
3)    核实密钥产生功能的正确性和有效性 ,如随机数发生器的运行状态 、所产生密钥的关联信 息 ,密钥关联信息包括密钥种类 、长度 、拥有者 、使用起始时间 、使用终止时间等 。

A.3 密钥分发

密钥分发测评内容如下 。
a) 检查目的
密钥分发过程是否保证了密钥的机密性 、完整性以及分发者 、接收者身份的真实性等 。
b) 检查对象
密钥 、密钥管理制度及策略类文档 , 以及信息系统中的密码产品 、密码服务以及密码算法实现 和密码技术实现 。
c) 检查要点

1)    确认信息系统 内 部 采 用 何 种 密 钥 分 发 方 式(离 线 分 发 方 式 、在 线 分 发 方 式 、混 合 分 发 方 式) ;
2)    确认密钥传递 过 程 中 信 息 系 统 使 用 了 何 种 密 码 技 术 保 证 密 钥 的 机 密 性 、完 整 性 与 真 实 性 ,并核实采用密码技术的合规性 、正确性和有效性 。

A.4 密钥存储

密钥存储测评内容如下 。
a) 检查目的
密钥(除公开密钥) 存储过程是否保证了不被非授权的访问或篡改 ,公开密钥存储过程是否保 证了不被非授权的篡改 。
b) 检查对象
密钥 、密钥管理制度及策略类文档 , 以及密钥存储涉及的密码产品 、密码服务以及密码算法实 现和密码技术实现 。
c) 检查要点

1)    确认信息系统内部所有密钥(除公开密钥) 是否均以密文形式进行存储 ,或者位于受保护 的安全区域 ;
2)    确认密钥(除公开密钥) 存储过程中信息系统使用了何种密码技术保证密钥的机密性(除 公开密钥) 、完整性 ,并核实采用密码技术的合规性 、正确性和有效性 ;
3)    确认公开密钥存储过程中信息系统使用了何种密码技术保证公开密钥的完整性 ,并核实 采用密码技术的合规性 、正确性和有效性 。

A.5 密钥使用

密钥使用测评内容如下 。
a) 检查目的
所有密钥是否都有明确的用途且各类密钥是否均被正确地使用 、管理 。
b) 检查对象
密钥 、密钥管理制度及策略类文档 , 以及信息系统中的密码产品 、密码服务以及密码算法实现 和密码技术实现 。
c) 检查要点

1)    确认信息系统内部是否具有严格的密钥使用管理机制 , 以及所有密钥是否有明确的用途 并按用途被正确使用 ;
2)    确认信息系统是否具有鉴别公开密钥的真实性与完整性的认证机制 ,采用的公钥密码算 法是否符合法律 、法规的规定和密码相关国家标准 、行业标准的有关要求 ;
3)    确认信息系统采用了何种安全措施来防止密钥泄露或替换 ,是否采用了密码算法以及算 法是否符合相关法规和标准的要求 ,并核实当发生密钥泄露时 ,信息系统是否具备应急处 理和响应措施 ;
4)    确认信息系统是否定期更换密钥 ,并核实密钥更换处理流程中是否采取有效措施保证密 钥更换时的安全性 。

A.6 密钥更新

密钥更新测评内容如下 。
a) 检查目的
密钥是否根据相应的更新策略进行更新 。
b) 检查对象
密钥 、密钥管理制度及策略类文档 , 以及信息系统中的密码产品 、密码服务以及密码算法实现 和密码技术实现 。
c) 检查要点
确认信息系统是否具有密钥的更新策略 ,并核实当密钥超过使用期限 、已泄露或存在泄露风险时 ,是否根据相应的更新策略进行密钥更新 。

A.7 密钥归档

密钥归档测评内容如下 。
a) 检查目的
密钥归档过程是否保证了密钥的安全性和正确性 ,并生成了审计信息 。
b) 检查对象
密钥 、密钥管理制度及策略类文档 , 以及信息系统中的密码产品 、密码服务以及密码算法实现 和密码技术实现 。
c) 检查要点

1)    确认信息系统内部密钥归档时是否采取有效的安全措施 , 以保证归档密钥的安全性和正 确性 ;
2)    核实归档密钥是否仅用于解密被加密的历史信息或验证被签名的历史信息 ;
3)    确认密钥归档的审计信息是否包括归档的密钥 、归档的时间等信息 。

A. 8 密钥撤销

密钥撤销测评内容如下 。
a) 检查目的
公钥证书 、对称密钥是否具备撤销机制 。
b) 检查对象
密钥 、密钥管理制度及策略类文档 , 以及信息系统中的密码产品 、密码服务以及密码算法实现 和密码技术实现 。
c) 检查要点

1)    如信息系统内部使用公钥证书 、对称密钥 ,则确认是否有公钥证书 、对称密钥撤销机制和 撤销机制的触发条件 ,并确认是否有效执行 ;
2)    核实撤销后的密钥是否已不具备使用效力 。

A.9 密钥备份

密钥备份测评内容如下 。
a) 检查目的
密钥备份过程是否保证了密钥的机密性和完整性 ,并生成了审计信息 。
b) 检查对象
密钥 、密钥管理制度及策略类文档 , 以及信息系统中的密码产品 、密码服务以及密码算法实现 和密码技术实现 。
c) 检查要点

1)    如信息系统内部存在需要备份的密钥 ,则确认是否具有密钥备份机制并有效执行 ;
2)    确认密钥备份过程中 ,信息系统使用了何种密码技术保证备份密钥的机密性 、完整性 ;
3)    确认是否包括备份主体 、备份时间等密钥备份的审计信息 。

A.10 密钥恢复

密钥恢复测评内容如下 。
a) 检查目的
密钥是否具备恢复机制 ,并生成审计信息 。
b) 检查对象
密钥 、密钥管理制度及策略类文档 , 以及信息系统中的密码产品 、密码服务以及密码算法实现 和密码技术实现 。
c) 检查要点

1)    确认信息系统内部是否具有密钥的恢复机制并有效执行 ;
2)    确认是否包括恢复主体 、恢复时间等密钥恢复的审计信息 。

A.11 密钥销毁

密钥销毁测评内容如下 。
a) 检查目的
密钥是否具备销毁机制 ,销毁过程是否具备不可逆性 。
b) 检查对象
密钥 、密钥管理制度及策略类文档 , 以及信息系统中的密码产品 、密码服务以及密码算法实现 和密码技术实现 。
c) 检查要点

1)    确认信息系统内部是否具有密钥的销毁机制并有效执行 ;
2)    核实密钥销毁过程和销毁方式 ,确认是否密钥销毁后无法被恢复 。

附录B

附录C