声明

本文是学习信息安全技术公钥基础设施标准符合性测评. 下载地址而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

公钥基础设施时间戳规范测评

时间戳的产生和颁发

申请和颁发方式

测评依据见GB/T 20520—2006中6.1的内容。

开发者应提供文档，针对时间戳的申请和颁发方式进行说明。

测评方法如下。

根据开发者提供的时间戳申请和颁发方式，向TSA申请时间戳；
检测TSA是否向申请者按开发者提供的颁发方式返回时间戳。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

可信时间的产生方法

测评依据见GB/T 20520—2006中6.2的内容。

开发者应提供文档，针对可信时间的产生方法进行说明。

测评方法如下。

检测TSA能否按规定方式获得可信时间。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

时间的同步

测评依据见GB/T 20520—2006中6.3的内容。

开发者应提供文档，针对时间同步的措施和步骤进行说明。

测评方法如下。

在获得可信时间后，检测TSA能否对所有部件的时间进行调整；
检测TSA能否在规定时间间隔内定期同步时间；
调整时间同步的间隔时间，检测TSA能否在规定时间间隔内定期同步时间；
检测TSA各个部件是否采取统一行动同步时间；
检测可信时间源是否为第一个启动的部件；
检测在TSA开始工作之前，是否进行了时间同步；
在定期同步时间的过程中，模拟无法获得可信时间的情况，检测TSA是否立即停止接受时间戳申请和时间同步，检测是否向管理者发出警报并写入审计日志。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

申请和颁发过程

测评依据见GB/T 20520—2006中6.4的内容。

开发者应提供文档，针对时间戳的申请和颁发过程进行说明。

测评方法如下。

向TSA提交时间戳申请请求，检测请求消息的格式是否符合标准；
提交一个不合法的请求信息，检测TSA是否产生一个时间戳的失败响应，检测TSA是否填写申请被拒绝的原因；
提交一个合法的请求信息，并且使TSA无法颁发这个时间戳，检测TSA是否产生一个时间戳的失败响应，检测TSA是否填写申请被拒绝的原因；
提交一个合法的请求信息，并且TSA运行正常，检测TSA能否颁发一个格式正确的时间戳并签名；
检测TSA签名系统是否通过可信通道把新生成的时间戳发送给时间戳数据库，并由时间戳数据库将其归档保存；
使TSA系统将合法的时间戳按规定方式发给用户，检测能否发送成功；在收到合法的时间戳后，检测用户是否验证时间戳的合法性；
使TSA系统将不合法或错误的时间戳按规定方式发给用户，检测能否发送成功；在收到不合法或错误的时间戳后，检测用户能否验证出不合法或错误的时间戳；
测评人员检测TSA对g)中的情况是否有完备的处理预案，并检测处理预案的可行性。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

时间戳的管理

时间戳的保存

在TSA方的保存

测评依据见GB/T 20520—2006中7.1.1的内容。

开发者应提供文档，针对TSA系统中时间戳的保存进行说明。

测评方法如下。

根据说明，检测TSA系统是否保存了所有颁发的时间戳；
检测是否保存了时间戳的以下信息：入库时间、序列号、完整编码。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

时间戳的备份

测评依据见GB/T 20520—2006中7.2的内容。

开发者应提供文档，针对时间戳的备份进行说明。

测评方法如下。

检测时间戳的备份是否使用异地备份的方式；
检测开发者是否采取严格的措施保护时间戳的备份介质，防止备份介质被盗、被毁和受损；
检测时间戳的备份数据是否以方便检索的方式存放。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

时间戳的检索

测评依据见GB/T 20520—2006中7.3的内容。

开发者应提供文档，针对时间戳的检索进行说明。

测评方法如下。

检测TSA是否提供一个时间戳检索的方式；
检测TSA是否提供现存以及备份的时间戳以供检索；
检测TSA能否通过时间戳入库的时间进行检索；
检测TSA能否通过时间戳的序列号进行检索；
检测TSA能否通过时间戳的完整编码进行检索；
检测时间戳的检索结果能否发送给用户。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

时间戳的删除和销毁

时间戳的删除

测评依据见GB/T 20520—2006中7.4.1的内容。

开发者应提供文档，针对时间戳的删除进行说明。

测评方法如下。

以TSA管理员身份登录系统，备份要删除的时间戳，然后删除此时间戳，检测能否删除成功；
以非授权用户身份登录系统，尝试删除时间戳，检测能否删除成功。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

时间戳的销毁

测评依据见GB/T 20520—2006中7.4.2的内容。

开发者应提供文档，针对时间戳的销毁进行说明。

测评方法如下。

在TSA证书失效前，尝试销毁所有时间戳，检测能否销毁成功；
在TSA证书失效后，并且超过了规定的保存时间，以非授权用户身份登录系统，销毁所有时间戳（包括备份），检测能否销毁成功；
在TSA证书失效后，并且超过了规定的保存时间，以TSA管理员身份登录系统，销毁所有时间戳（包括备份），检测能否销毁成功。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

时间戳的查看和验证

时间戳的查看

测评依据见GB/T 20520—2006中7.5.1的内容。

开发者应提供文档，针对时间戳的查看进行说明。

测评方法如下。

通过TSA提供的查看时间戳的方法，检测用户能否查看时间戳中所有可查看的内容。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

时间戳的验证

测评依据见GB/T 20520—2006中7.5.2的内容。

开发者应提供文档，针对时间戳的验证进行说明。

测评方法如下。

通过CRL或OCSP协议，检测用户能否验证TSA证书的有效性；
通过TSA提供的验证时间戳的方法，检测用户能否验证时间戳是由该TSA签发；
通过TSA提供的验证时间戳的方法，检测用户能否验证时间戳是指定文件的时间戳。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

时间戳的格式

对TSA的要求

测评依据见GB/T 20520—2006中8.1的内容。

开发者应提供文档，针对TSA系统进行说明。

测评方法如下。

检测所颁发的时间戳里，是否包含以下内容：
一个可信时间值；
一个一次性随机整数（nonce域），若此项不存在则为非检测项；
一个唯一的标识符（表明了时间戳生成时的安全策略），若此项不存在则为非检测项。
检测TSA能否检查单向散列函数的标识符，能否验证散列值长度的正确性。
检测是否只在散列值上盖时间戳。
检测时间戳内是否包含任何请求方的标识，如果包含，则此项不符合。
检测TSA系统是否使用专门的密钥对时间戳签名，并检测密钥对应证书中是否说明了该密钥的这个用途。
使请求方在申请消息的扩展域内提出一些额外的要求，如果TSA支持这些扩展，检测时间戳内是否包含相应的扩展信息。
使请求方在申请消息的扩展域内提出一些额外的要求，如果TSA不支持这些扩展，检测TSA是否返回一个出错信息。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

密钥标识

测评依据见GB/T 20520—2006中8.2的内容。

开发者应提供文档，针对密钥标识进行说明。

测评方法如下。

检测TSA系统的所有密钥对应的证书中，是否包含唯一的Key Usage扩展域，并检测格式是否正确。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

时间的表示格式

测评依据见GB/T 20520—2006中8.3的内容。

开发者应提供文档，针对时间的表示格式进行说明。

测评方法如下。

检测时间戳的时间表示格式是否正确。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

时间戳申请和响应消息格式

申请消息格式

测评依据见GB/T 20520—2006中8.4.1的内容。

开发者应提供文档，针对申请消息格式进行说明。

测评方法如下。

检测时间戳的申请消息格式是否正确。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

响应消息格式

测评依据见GB/T 20520—2006中8.4.2的内容。

开发者应提供文档，针对响应消息格式进行说明。

测评方法如下。

检测时间戳的响应消息格式是否正确。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

保存文件

测评依据见GB/T 20520—2006中8.5的内容。

开发者应提供文档，针对时间戳申请和响应消息的文件保存格式进行说明。

测评方法如下。

将时间戳申请消息保存为文件，检测文件扩展名是否为：tsg；使用二进制查看工具查看文件是否只包含消息的DER编码，并检测编码格式是否正确；
将时间戳响应消息保存为文件，检测文件扩展名是否为：tsr；使用二进制查看工具查看文件是否只包含消息的DER编码，并检测编码格式是否正确。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

所用MIME对象定义

电子邮件传输

测评依据见GB/T 20520—2006中8.6.1的内容。

开发者应提供文档，针对电子邮件传输格式进行说明。

测评方法如下。

如果使用电子邮件传输时间戳申请和响应消息，则本项为检测项目，否则为非检测项；
使用电子邮件进行时间戳申请，并获取时间戳；
使用协议分析仪截取整个时间戳申请和响应的数据包，并进行协议还原，检测时间戳申请和响应消息的格式是否符合标准。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

HTTP传输

测评依据见GB/T 20520—2006中8.6.2的内容。

开发者应提供文档，针对HTTP传输格式进行说明。

测评方法如下。

如果使用HTTP协议传输时间戳申请和响应消息，则本项为检测项目，否则为非检测项；
使用HTTP协议进行时间戳申请，并获取时间戳；
使用协议分析仪截取整个时间戳申请和响应的数据包，并进行协议还原，检测时间戳申请和响应消息的格式是否符合标准。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

时间戳格式的安全考虑

测评依据见GB/T 20520—2006中8.7的内容。

开发者应提供文档，针对时间戳格式的安全考虑进行说明。

测评方法如下。

如果请求方产生nonce值，检测请求方是否使用一次性随机数；如果请求方采取其他措施防范重放攻击，检测该措施是否有效；
检测请求方是否不采用局部时钟来考虑等待响应的时间；
分别以不同实体身份用同样的数据和同样的散列算法申请时间戳，检测TSA系统的处理措施是否正确；
以同一实体身份对同一对象多次申请时间戳，检测TSA系统和客户端的处理措施是否正确；
检测TSA系统是否采用nonce域申请消息，以检查重放攻击；
检测TSA系统是否采用局部时钟和移动的时间窗口，以检查重放攻击；如果请求方采取其他措施防范重放攻击，检测该措施是否有效。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项满足。

时间戳系统的安全

审计

审计数据产生

测评依据见GB/T 20520—2006中9.2.5.1的内容。

开发者应提供文档，针对审计事件进行说明。

测评方法如下。

检测TSA的签名系统是否对以下事件产生审计记录：
审计功能的启动和结束；
表1中的事件。

表1 审计事件

TSA功能	事件	附加信息
安全审计	所有对审计变量（如：时间间隔，审计事件的类型）的改变
	所有删除审计记录的企图
	对审计日志签名	数字签名，散列结果或鉴别码应该保存在审计日志之中
本地数据输入	所有的安全相关数据输入系统	若输入的数据与其他数据相关则须验证用户访问相关数据的权限
远程数据输入	所有被系统所接受的安全相关信息
数据输出	所有对关键的或安全相关的信息进行输出的请求
私钥载入	部件私钥的载入
私钥的存储	对为私钥恢复而保存的证书主体私钥读取
可信公钥的输入，删除和存储	所有对于可信公钥的改变（如：添加、删除）	包括公钥和与公钥相关的信息
私钥和对称密钥的输出	私钥和对称密钥（包括一次性会话密钥）的输出
时间戳申请	所有的时间戳申请请求	若申请成功，在日志中保存申请请求和产生的时间戳的拷贝；若申请失败，在日志中保存失败原因和产生的时间戳失败响应的拷贝
部件的配置	所有的与安全相关的配置
可信时间的获取和同步	根据可信时间源同步时间	包括如果可信时间和本地时间不匹配时，根据可信时间改变本地时间，以及同步过程中发生的所有错误