信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 標(biāo)準(zhǔn)符合性測評-編制說明

一、工作簡況1.1任務(wù)來源根據(jù)國家標(biāo)準(zhǔn)化管理委員會在2019年第一批國家標(biāo)準(zhǔn)制修訂計劃，《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)一致性測試評價指南》由上海辰銳信息科技公司承辦，計劃號：。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口。1.2主要起草單位和工作組成員本標(biāo)準(zhǔn)由上海辰銳信息科技公司主要負(fù)責(zé)起草，公安部第三研究所、中國科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心、北京數(shù)字認(rèn)證股份有限公司、格爾軟件股份有限公司、中國電子科技集團(tuán)公司第十五研究所（信息產(chǎn)業(yè)信息安全測評中心）、北京信安世紀(jì)科技股份有限公司、西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司、數(shù)安時代科技股份有限公司等共同參與該標(biāo)準(zhǔn)的起草工作。1.3主要工作過程（1）2019年3月至9月，標(biāo)準(zhǔn)起草組討論并確定標(biāo)準(zhǔn)的范圍、框架及主要技術(shù)內(nèi)容，開展標(biāo)準(zhǔn)文本的起草工作，完成了標(biāo)準(zhǔn)草案。（2）2019年9月至10月，WG4工作組秘書處在組內(nèi)對本標(biāo)準(zhǔn)進(jìn)行了征求意見，根據(jù)成員單位的反饋意見，對標(biāo)準(zhǔn)文本進(jìn)行了修改完善。（3）2019年10月15日，WG4工作組在北京組織召開了組內(nèi)專家評審會，與會專家同意通過對本標(biāo)準(zhǔn)草案的評審，并建議標(biāo)準(zhǔn)名稱修改為：《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)符合性測評》。標(biāo)準(zhǔn)編制組根據(jù)會議的評審意見對標(biāo)準(zhǔn)文本進(jìn)行了修改完善。（4）2019年10月27日至29日，WG4工作組在重慶組織召開了“WG4工作組第2次會議周（2019）”，共有69家成員單位的代表參加了本次會議。會議討論和審議了本標(biāo)準(zhǔn)，并同意本標(biāo)準(zhǔn)形成征求意見稿，同意標(biāo)準(zhǔn)名稱變更為《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)符合性測評》。標(biāo)準(zhǔn)編制組根據(jù)會議周的反饋意見對標(biāo)準(zhǔn)文本進(jìn)行了修改完善，形成征求意見稿（第一稿）。（5）2019年10月1日至12月1日,信安標(biāo)委秘書處向工業(yè)和信息化部科技司、公安部十一局、國家保密局、國家密碼管理局、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、中國信息安全測評中心、中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局等上級主管部門發(fā)函征求意見,并在信安標(biāo)委官網(wǎng)、國家標(biāo)準(zhǔn)委官網(wǎng)公開征求意見，征求意見范圍具有廣泛性和代表性。共收到意見X條，意見處理結(jié)果為采納X條、未采納X條、部分采納X條。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題（一）本標(biāo)準(zhǔn)基于以下原則編制：1．遵循現(xiàn)行國家標(biāo)準(zhǔn)，采用和借鑒國內(nèi)外先進(jìn)標(biāo)準(zhǔn)本標(biāo)準(zhǔn)按國家標(biāo)準(zhǔn)GB/T1.1-2009規(guī)定的格式予以編寫。2．貫徹國家有關(guān)政策與法規(guī)本標(biāo)準(zhǔn)中涉及的密碼算法遵循國家密碼管理部門的有關(guān)規(guī)定。3．認(rèn)真聽取、分析各方意見，做好意見的處理和反饋《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)一致性測試評價指南》標(biāo)準(zhǔn)草案稿的編制過程中，各起草單位齊心協(xié)力，進(jìn)行了充分地溝通和交流，形成了標(biāo)準(zhǔn)起草組內(nèi)統(tǒng)一的標(biāo)準(zhǔn)文本，并按照信安標(biāo)委的要求開展了廣泛的征求意見工作。（二）本標(biāo)準(zhǔn)的主要內(nèi)容本標(biāo)準(zhǔn)在GB/T30272-2013的測評方法和評價指南基礎(chǔ)上，針對：GB/T25064-2010《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施電子簽名格式規(guī)范》、GB/T35285-2017《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施基于數(shù)字證書的可靠電子簽名生成及驗證技術(shù)要求》，提出科學(xué)、完整、可行的測試評價方法。同時，本標(biāo)準(zhǔn)對GB/T20518-2018《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式》的最新修訂內(nèi)容，進(jìn)行相應(yīng)的修訂。具體修訂內(nèi)容分為新增、修改和刪除3類：1）新增：對于GB/T25064-2010中的電子簽名格式，新增電子簽名格式、驗證數(shù)據(jù)格式和簽名策略要求等測試評價方法；對于GB/T35285-2017中的基于數(shù)字證書的可靠電子簽名生成及驗證技術(shù)要求，新增：電子簽名相關(guān)數(shù)據(jù)的要求、電子簽名生成設(shè)備的要求、電子簽名生成過程與應(yīng)用程序要求、電子簽名驗證過程與應(yīng)用程序要求等測試評價方法。2）修改：對于GB/T20518-2018中的頒發(fā)機構(gòu)密鑰標(biāo)識符、個人身份標(biāo)識碼、密碼算法等修訂內(nèi)容，對GB/T30272-2013的相應(yīng)測試評價方法進(jìn)行修改；如果其他標(biāo)準(zhǔn)的修訂也成功立項，本標(biāo)準(zhǔn)也將和其他編制組積極溝通，針對修訂內(nèi)容同步修改測試評價方法。3）刪除：對于GB/T20519-2006《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施特定權(quán)限管理中心技術(shù)規(guī)范》，由于標(biāo)準(zhǔn)已經(jīng)被廢止，在GB/T30272-2013中將刪除相應(yīng)的測試評價方法。（三）本標(biāo)準(zhǔn)在確定主要內(nèi)容時主要基于如下幾個方面本標(biāo)準(zhǔn)在GB/T30272-2013的基礎(chǔ)上，新增2個標(biāo)準(zhǔn)的測評方法和評價指南，刪除1個標(biāo)準(zhǔn)的測評方法和評價指南，修訂1個標(biāo)準(zhǔn)的測評方法和評價指南。針對GB/T25064-2010《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施電子簽名格式規(guī)范》、GB/T35285-2017《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施基于數(shù)字證書的可靠電子簽名生成及驗證技術(shù)要求》，增加相應(yīng)的測試評價方法和評價指南。同時，本標(biāo)準(zhǔn)對GB/T20518-2018《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式》的最新修訂內(nèi)容，進(jìn)行相應(yīng)的修訂。對于廢止的GB/T20519-2006《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施特定權(quán)限管理中心技術(shù)規(guī)范》，刪除相應(yīng)的測試評價方法。本標(biāo)準(zhǔn)的技術(shù)難點在于根據(jù)標(biāo)準(zhǔn)內(nèi)容，需要結(jié)合國內(nèi)相關(guān)技術(shù)的發(fā)展現(xiàn)狀，努力研究相關(guān)測評技術(shù)和工具，制定出科學(xué)、完整、可行的測試評價方法和評價指南。本標(biāo)準(zhǔn)的修訂，將解決國內(nèi)測評機構(gòu)對公鑰基礎(chǔ)設(shè)施測評方法不一致、測評結(jié)果不統(tǒng)一的問題，保障國內(nèi)公鑰基礎(chǔ)產(chǎn)業(yè)的健康、有序發(fā)展。三、主要試驗[或驗證]情況分析本標(biāo)準(zhǔn)在編制過程中，將組織國內(nèi)一流的檢測機構(gòu)、主流的公鑰基礎(chǔ)設(shè)施廠商，對標(biāo)準(zhǔn)內(nèi)容的可行性一并進(jìn)行驗證，以確保標(biāo)準(zhǔn)內(nèi)容的完備、準(zhǔn)確。四、知識產(chǎn)權(quán)情況說明本標(biāo)準(zhǔn)未涉及已知的專利等知識產(chǎn)權(quán)內(nèi)容。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果《中華人民共和國電子簽名法》的頒布實施，使得數(shù)字簽名證書和手寫簽名在法律上具有了同等的地位，這為數(shù)字簽名證書的廣泛應(yīng)用打下了良好的法律基礎(chǔ)，也對電子認(rèn)證服務(wù)提供者提出了更高的要求。為了規(guī)范公鑰基礎(chǔ)設(shè)施的建設(shè)和運行，國標(biāo)委發(fā)布了一系列公鑰基礎(chǔ)設(shè)施的國家標(biāo)準(zhǔn)。國標(biāo)委頒布的一系列公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)，為我國公鑰基礎(chǔ)設(shè)施的規(guī)范發(fā)展起到了巨大的作用。公鑰基礎(chǔ)設(shè)施開發(fā)者依據(jù)發(fā)布的國家標(biāo)準(zhǔn)，統(tǒng)一了功能、規(guī)范了接口，陸續(xù)推出了廣受用戶歡迎的公鑰基礎(chǔ)設(shè)施產(chǎn)品和服務(wù)。《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)一致性測試評價指南》（GB/T30272-2013）發(fā)布后，國內(nèi)測評機構(gòu)依據(jù)該標(biāo)準(zhǔn)，能夠?qū)€基礎(chǔ)設(shè)施進(jìn)行標(biāo)準(zhǔn)化的測試和評價，從而保證測試評價結(jié)果的完整性和一致性。隨著公鑰基礎(chǔ)設(shè)施的新國家標(biāo)準(zhǔn)的發(fā)布，以及對已發(fā)布國家標(biāo)準(zhǔn)的修訂，GB/T30272-2013在內(nèi)容上已經(jīng)無法滿足國內(nèi)測評機構(gòu)對公鑰基礎(chǔ)設(shè)施的測評需求，迫切需要依據(jù)最新的公鑰基礎(chǔ)設(shè)施系列標(biāo)準(zhǔn)，對GB/T30272-2013進(jìn)行修訂。本標(biāo)準(zhǔn)的修訂，將解決國內(nèi)測評機構(gòu)對公鑰基礎(chǔ)設(shè)施測評方法不一致、測評結(jié)果不統(tǒng)一的問題，保障國內(nèi)公鑰基礎(chǔ)產(chǎn)業(yè)的健康、有序發(fā)展。六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況本標(biāo)準(zhǔn)未直接采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)，在編制過程中，編制組對IETF、美國、歐洲、國內(nèi)最新發(fā)布的公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)、規(guī)范進(jìn)行調(diào)研，了解國內(nèi)外最新研究動態(tài)，以期對國內(nèi)外公鑰基礎(chǔ)設(shè)施研究工作的成果、前沿和進(jìn)展有深層次的把握，對本項目工作提供借鑒。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性本標(biāo)準(zhǔn)在編制過程中，已經(jīng)查閱了《中華人民共和國電子簽名法》等相關(guān)法規(guī)，確保本標(biāo)準(zhǔn)內(nèi)容遵守相關(guān)法律規(guī)定。同時查閱了GB/T19713-2005、GB/T19714-2005、GB/T19771-2005、GB/T20518-2018、GB/T20520-2006、GB/T25064-2010、GB/T35285-2017等相關(guān)標(biāo)準(zhǔn)和規(guī)范，確保相關(guān)內(nèi)容和術(shù)語與這些標(biāo)準(zhǔn)的內(nèi)容保持一致。八、重大分歧意見的處理經(jīng)過和依據(jù)暫無。九、標(biāo)準(zhǔn)性質(zhì)的建議建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實施。十、貫徹標(biāo)準(zhǔn)的要求和措施建議本標(biāo)準(zhǔn)的技術(shù)已較為成熟，實施難度不大，建議本標(biāo)準(zhǔn)的發(fā)布日期與實施日期相隔六個月的時間。為了使標(biāo)準(zhǔn)的規(guī)定得到有效貫徹，建議信安標(biāo)委及時通知行業(yè)內(nèi)各單位本標(biāo)準(zhǔn)的發(fā)布信息，在過渡期內(nèi)組織編寫標(biāo)準(zhǔn)宣貫材料及宣貫活動。十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議本標(biāo)準(zhǔn)修訂GB/T30272-2013《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)一致性測試評價指南》，本標(biāo)準(zhǔn)發(fā)布后，建議廢止GB/T30272-2013。十二、其它應(yīng)予說明的事項2019年10月15日，WG4工作組在北京組織召開了組內(nèi)專家評審會，與會專家建議標(biāo)準(zhǔn)名稱修改為：《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)符合性測評》。2019年10月27日-29日，WG4工作組在重慶組織召開了“WG4工作組第2次會議周（2019）”，共有69家成員單位的代表參加了本次會議。會議