目前商密認證的企業集中反饋問題比較多的是密碼模塊分級檢測申請材料的編寫。里面抽象的概念和送檢產品本身如何對應，如何回答材料中的安全要求，甚至如何對產品分類等等。這些問題確實是我們面對的第一道關口，關系后面整體材料的方向。受限于時間和精力，這篇文檔不可能面面俱到，我們只能簡單分析出問題比較多的點。后續我會定期更新同類型的產品所對應的密碼模塊要求，以及各類產品涉及的規范要求。如有商密認證問題或需要可站內留言或聯系微信號15011462285。

商用密碼產品認證，在提交認證申請時，首先要同步提交密碼模塊分級檢測材料。該材料立足于GM/T 0028-2014《密碼模塊安全技術要求》和GM/T 0039-2015《密碼模塊安全檢測要求》。由于這兩個規范里面都是抽象的概念，對于初次編寫這個材料的人來說存在一定的困難。

本文的目的是為初次編寫《密碼模塊分級檢測申請材料》的人提供基本的入門指引。雖不能對每種類型的產品都能具體舉例，但編寫文檔時用到基本的概念、編寫思路和關鍵點會重點介紹。

總體而言，《密碼模塊分級檢測申請材料》編寫者需將送檢產品與GM/T 0028和GM/T 0039對應，從密碼規格、接口、角色服務與鑒別、軟件固件安全、運行環境、物理安全、非入侵式安全、敏感安全參數管理、自測試、生命周期保障、對其他攻擊的緩解等共11個域分析產品情況，是否滿足密碼模塊相關等級的安全要求。

密碼模塊的整體評級為11個域中對應的最低評級。因此對于一個產品，應提前熟悉規范，確定產品能達到的評級（安全等級）。在編寫材料時超出自身安全等級的不必關注，但產品達不到該安全等級要求的需及時調整，避免被檢測降級。總體而言，目前通過商密檢測的產品多數為安全一級和安全二級，極個別為三級，目前沒有四級。在密評時會對商密產品的安全等級進行要求，目前來說具備硬件的產品應盡量按照安全二級來申報。

《密碼模塊分級檢測申請材料》中采用“安全要求+產品實現情況”形式實現對產品的安全評估。其中安全要求采用<CYxx.xx: 安全要求>（安全級別）的形式，在文檔模板中已經寫好，編寫者不要修改；產品實現情況為產品針對安全要求的具體實現，由編寫者編寫。材料應回答安全要求中提出的問題，描述產品實現方式，最終得出產品符合安全要求的結論。在編寫時應盡量避免出現“抄規范”或者直接“寫結論”這兩種情況。

下面的章節會選取部分重要安全要求進行解讀并附示例。詳細內容和示例見文檔：https://download.csdn.net/download/Lapedius/12563828

<CY02.03：材料應描述密碼模塊類型，并解釋選擇這一類型的依據；材料應提供密碼模塊的規格，以標識所有密碼模塊的硬件、軟件和/固件部件。>（安全級別1,2,3,4）
密碼模塊類型包括硬件模塊、軟件模塊、固件模塊、混合軟件模塊和混合固件模塊，應根據送檢產品的特征定義該模塊類型，并寫出判斷依據，以及說明送檢產品的軟硬件組成部分。在確定密碼模塊的類型前，需首先劃定密碼邊界，邊界非常非常重要，涉及產品名稱、類型、材料和檢測等所有重要的環節。密碼邊界即為報送的產品要明確哪些軟件和硬件包含在內，哪些不包含。

<CY02.07：材料應明確界定密碼模塊的密碼邊界，詳細說明密碼邊界內的所有軟硬件部件>（安全級別1,2,3,4）
密碼邊界由定義明確的邊線（例如，硬件、軟件或固件部分的集合）組成，該邊線建立了密碼模塊所有部件的邊界，該邊界至少包含密碼模塊內所有安全相關的算法、安全功能、過程和部件。

<CY02.09：材料應提供密碼邊界內所有與安全相關的算法、安全功能、過程和部件清單，安全功能包括但不限于：分組密碼、流密碼、非對稱密碼算法和技術、消息鑒別碼、雜湊函數、實體鑒別、密鑰管理、隨機比特生成器>（安全級別1,2,3,4）
本部分要描述實現算法、實現過程（比如密碼卡實現加解密、簽名驗簽運算，比如pos采用xx算法實現pin管理，安全協議、交易）。一定要寫出產品具體實現什么功能，怎么用算法實現的功能，不能所有產品寫的都像抽象的產品。部件不能簡單只寫密碼卡、芯片、智能密碼鑰匙，要有詳細清單。

CY03.01：材料中應說明密碼模塊的每個物理端口和邏輯接口；材料中應通過GM/T 0028-2014附錄A.2.2和附錄B.2.2要求提供的框圖、設計規格、源代碼以及原理圖，說明密碼模塊的信息流和物理接入點。同時還需提供其他有助于明確說明信息流、物理接入點和物理端口、邏輯接口的關系的文檔；對于密碼模塊的每一個物理或邏輯的輸入，以及物理或邏輯的輸出，材料中應明確邏輯接口所對應的物理輸入或輸出。
應說明密碼模塊所有的物理端口與邏輯接口，并且明確物理端口的輸入輸出、邏輯接口的類型；對于邏輯接口，應說明密碼模塊與外部交互的協議所遵照標準，若無標準則應詳細描述協議過程。

CY03.02：送檢單位的設計應根據AY03.04所列的類別將模塊的接口分成邏輯上不同和相互分離的類別，并且如果適用，AY03.12亦可作為依據。這些信息應符合AY03.01描述的邏輯接口和物理端口的規格。材料中應提供每類邏輯接口到密碼模塊的物理端口的之間的映射。邏輯接口可以在物理上分布在多個物理端口上，或兩個或多個邏輯接口可以共享一個物理端口。如果兩個或多個邏輯接口共享同一個物理端口，送檢單位的文檔中應說明這些不同類別接口的信息流是如何在邏輯上相互分離的。
應說明送檢產品支持幾種邏輯接口和物理端口，物理端口與邏輯接口之間的關系，各個接口實現的功能是什么。
密碼模塊接口這個章節要講物理端口有哪些，邏輯端口有哪些，物理端口就是usb、7816、RJ45、串口等等，邏輯接口就比如軟件API、SDF等各種接口，要定義出來有哪些物理和邏輯，輸入輸出什么輸入，參數是什么。上面兩個標黃的問題，要每個問題都回答。特別是CY03.02中邏輯接口與物理接口的映射，比如PCI各種SDF接口，那怎么對應到一個PCI接口上，這么多邏輯接口都用一個物理端口做輸入輸出，那怎么區分，怎么隔離，怎么知道這個數據是這個邏輯接口的。

CY03.05：密碼模塊應有數據輸入接口。所有輸入到模塊和由模塊處理的數據（除通過控制輸入接口輸入的控制數據）應通過數據輸入接口進入，包括：
——明文數據；
——密文或簽名數據；
——加密密鑰和其他密鑰管理數據（明文或密文）；
——認證數據（明文或加密的）；
——來自外部的狀態信息；
——其他輸入數據。
若適用，材料中應說明所有與密碼模塊同時使用的外部輸入設備，此設備用于輸入數據到數據輸入接口，如智能卡、令牌、鍵盤、密鑰加載器和/或生物識別設備。>（安全級別1,2,3,4）
注：應說明每個數據輸入接口的功能、性能、傳輸數據的報文格式等。如有遠程配置接口、專用密鑰注入接口等也須說明說明。

CY04.05：材料中應描述密碼主管角色的功能，包括：執行密碼初始化或管理功能，以及常用的安全服務，例如，模塊初始化、CSP和PSP的管理以及審計功能。>（安全級別1,2,3,4）
送檢單位的文檔中需描述密碼主管角色的功能，密碼主管角色的權限和許可的服務。密碼主管的定義需要與其執行的操作關聯，并賦予其相應權限，包括執行密碼初始化、CSP和PSP的管理、審計功能。

CY04.16：材料中應說明密碼模塊核準的工作模式中使用核準的安全功能。
（安全級別1,2,3,4）
要與CY02.19回答的對應，各個模式，各個功能。
CY04.43：應記錄模塊內實現的鑒別類型。應記錄用于執行操作員身份鑒別的機制、操作員的身份鑒別、一個或多個角色隱式地或顯示地選擇、操作員擔任角色的鑒別。
CY04.50：材料中應說明采用何種核準的鑒別機制。
CY04.54：材料中應說明密碼模塊鑒別機制的實現方法和原理。
CY04.58：應記錄密碼模塊運行的鑒別類型。應記錄操作員隱式或顯示地選擇一個或一系列角色的機制，及操作員擔任角色的鑒別方法；材料中應提供操作員隱式或顯示地擔任角色的描述。
這部分問題要回答遵循了0028附錄E中哪個規范做的鑒別，具體如何實現，拼接數據的方式，如何跟規范對應的。不能簡單說明發送簽名給服務端或者驗證口令。要寫清楚怎么拼接，如何認證，幾次鑒別。

CY04.53：材料中應說明每個核準的鑒別機制在1min內的多次隨機嘗試使用通過核準的鑒別機制的成功概率。>
1min內可以暴力破解多少次就鎖定啊或者不如登錄啊，這樣分析破解能成功的概率是多少，近乎為0啊，10萬分之一啊，要有分析過程，不是隨便說的。

CY05.09：送檢文檔應說明通過SFMI、HSMI或HFMI服務按需執行已核準的完整性技術的方法。>（安全級別1,2,3,4）
注：SFMI為軟件或固件模塊接口，定義為用于請求軟件或固件模塊服務的命令全集，請求服務的命令中包括輸入到密碼模塊或者由密碼模塊輸出的參數。
HSMI或HFMI為混合軟件或混合固件模塊接口，定義為用于請求混合軟件或混合固件模塊服務的命令全集，請求服務的命令中包括輸入到密碼模塊或者由密碼模塊輸出的參數。

CY05.14：送檢單位應提供HM1、SFM1、HFM1或HSM1服務的說明>
這個問題回答要看0039中相應AY的要求,不能只看這一句話斷章取義。

CY06.03：材料應按照GM/T0028——2014附錄A.2.6中規定的要求編寫。
先分析屬于可修改\不可修改\受限的哪種運行環境
像pci\密碼機這樣硬件模塊基本都是不可修改的,協同簽名這樣軟件模塊安裝到安卓\ios操作系統的都是可修改的,因為操作系統可以再安裝其他軟件.
對于不可修改和受限的運行環境,一級和二級都回答<CY06.05到<CY06.08：內容,并且6.2 不可修改運行環境的操作系統要求這個標題要從可修改改成不可修改.

若密碼模塊完全由軟件實現，使得物理安全僅由計算平臺提供，那么該模塊將不受物理安全要求的限制。
<CY07.09：送檢文檔應按照GM/T 0028—2014中7.7.1的要求明確說明密碼模塊的物理實體，包括單芯片密碼模塊、多芯片嵌入式模塊，或多芯片獨立式模塊>（安全級別1,2,3,4）
注：送檢單位根據產品情況表明所達到的安全級別并劃分物理實體類型：
單芯片密碼模塊：單個集成電路（IC）芯片構成的模塊，該芯片可以作為獨立模塊使用，或者可以嵌入可能沒有物理保護的外殼或其它模塊中。這個單芯片由片裝和外部輸入/輸出連接器組成，其中片裝使用統一的外部材料如塑料或陶瓷包裝。例如：單IC芯片、單IC芯片智能卡或者包含實現密碼功能的單IC芯片的其它系統。
多芯片嵌入式密碼模塊：模塊由兩個或兩個以上互相連接的IC芯片構成，并物理嵌入到其他產品或未被物理保護的外殼中。例如：適配器和擴展板。
多芯片獨立密碼模塊：兩個或兩個以上互相連接的IC芯片嵌入到完全受到物理保護的外殼中。例如：加密路由器、安全無線電話和USB令牌。
物理部件可包括外殼（如材質組成、縫合原理等）、內部元器件、IC芯片或其它硬件部件，能夠監測或執行觸發機制，以保證內部敏感信息安全。

<CY08.04：提供的文檔詳細說明用于保護模塊CSP免受所有非入侵式攻擊的緩解技術。>
通常指密碼模塊實現的,首先要寫出怎么緩解的,具體方法是什么,不是籠統的介紹。要說清楚具體措施和機制。附錄F的非入侵式攻擊包括能量分析、計時分析、電磁泄漏，具體緩解方法詳見附錄F.2。

<CY08.05：材料中應詳細說明每個緩解技術的有效性。>（安全級別1,2,3, 4）
有效性,要能夠證明的,要有數據說話的,不是吧8.4再復制一遍.要給出證明文件,加緩解措施和沒加緩解措施效果對比。

<CY09.01：送檢單位的文檔應描述模塊內所有CSP的保護措施，包括防止非授權的訪問、使用、泄露、修改和替換的實現機制>
像第九章要對每個密鑰都展開描述,不是一句話csp能夠保障xxx就行的,要分開A密鑰xxxx措施xxxx保障使用,xxx措施保障泄露，B密鑰xxxx措施xxxx保障使用,xxx措施保障泄露。

<CY09.03：送檢單位提供的文檔應描述生成的、輸入或輸出模塊的SSP與被分配實體(即人、組、角色或進程)的關聯關系>（安全級別1,2,3, 4）
注：材料書寫時可使用圖標方式將SSP與實體對應起來。

<CY10.07：送檢文檔應記錄每一項自測試對應的錯誤狀態，并標明該錯誤狀態對應的錯誤指示>（安全級別1,2,3, 4）
注：此處應描述每一項自測試對應的錯誤狀態及其對應的錯誤指示。
例：自檢失敗的錯誤狀態和錯誤碼如下所示：
錯誤狀態 錯誤碼
固件完整性校驗失敗 67 10
隨機數自檢失敗 67 19

<CY10.24：送檢文檔應包括條件自測試的相關信息>
要寫出具體原理、算法、隨機數單次、周期、軟固件完整性、密鑰完整性等測試機制，預置數據。寫的順序最好跟執行順序是一致的。

生命周期保障

<CY11.29：應提供材料詳細說明在密碼模塊上執行的功能測試。>（安全級別1,2,3, 4）
這是開發完代碼，你們廠商自己做的運維測試也好，產品測試也好，不屬于來檢測中心做的檢測，這是兩回事。
注：仔細讀規范0028和0039，規范都寫了詳細說明，不要一句話糊弄，不是抄規范，要寫出具體原理機制和自己的心得體會。