第六章 韓國加密法規研析
第一節 韓國加密法規介紹
MSIT),得於諮詢相關機關與資訊保護系統(information protection systems)之製 造或輸入有關者的意見後,建立與公告與資訊保護系統之性能(performance)與可 信賴性(reliability)有關之標準。又,該法施行細則第 35 條規定,如有資訊保護系 統之製造或輸入者要求驗證其系統是否符合MSIT 所告之標準,MSIT 可要求韓國 網路與安全局(Korea Internet & Security Agency,KISA)或符合 MIST 所定規定者 進行相關驗證活動。
值得一提的是,全國資訊化架構法並未對於資訊保護系統未符合其所公告之 標準者課予任何行政處分。
(二)主管機關
根據全國資訊化架構法第 38 條與政府組織法(Government Organization Act) 之規定,本機制之權責機關為科學技術情報通訊部。
(三)規範標的及適用主體
根據全國資訊化架構法之規定,此一機制設置之目的主要以IT 安全產品為適 用 標 的 , 得 申 請 驗 證 之 IT 安 全 產 品 相 當 地 廣 泛 , 根 據 IT 安 全 驗 證 中 心(IT Security Certification Center,ITSCC)所 公 告 之 驗 證 產 品 清 單(Certificated Products List, CPL),經驗證產品包括 DB 加密產品、智慧電視安全解決方案、電 子文件加密產品…等產品類別,產品數達十項以上116。
116 ITSCC, Certificated Products, https://www.itscc.kr/certprod/list.do?product_class=1 (last visited July 4, 2019).
(四)重點摘要說明
此一評估與驗證機制係由ITSCC 負責運作,ITSCC 隸屬於國家安全研究機構 (National Security Research Institute, NSR)117,為驗證機構(certification body, CA) 負責驗證評估結果與核發驗證(certificates)、負責管理與授權評估機構(evaluation facilities)與支持共同準則(common criteria, CC)的建立、參與國際組織或活動(如:
CCRA)。 所 謂 的 授 權 評 估 機 構 為 經 KOLAS(Korea Laboratory Accreditation Scheme)認可之測試實驗試,負責評估 IT 安全產品、提供評估員教育訓練…等,
目前韓國有 6 家評估機構,包括:KISA、KOSYAS (Korea System Assurance, Inc.)、KSEL (Korea Security Evaluation Laboratory)、TTA(Telecommunications Technology Association)、KOIST (Korea Information Security Technology)、以及 KTC (Korea Testing Certification)。118
117 NSR 成立於 2000 年,以資通安全科技(包括涉及國家安全維護之科技)的研發為主,參見 National Security Research Institute (NSRI) , https://www.nst.re.kr/nst_en/member/03_12.jsp
(last visited July 10, 2019)
118 ITSCC, IT Security Evaluation and Certification Scheme , https://www.itscc.kr/svc/svc/openPage.do?pageId=010200 .
資料來源:ITSCC119
圖 2 KECS 運作機制
韓國於 KECS 發展初期係自行建立驗證標準,如:防火牆評估準則、IDS 評 估準則…等,但自 2002 年起,KECS 開始採用 CC,並於 2007 年正式導入國內 CC, 並 相 繼 改 革 其 國 內 之 機 制 。120所 謂 的 CC 係 是 與 資 訊 科 技(information security , IT)產品驗證有關之協定(agreement),此一協定之目的係為了確保對於 IT 產品與保護文件(protection profiles)之評估標準及水平具有一致性,以使使用 者對於IT 產品及保護文件的品質和安全性具有信心,目前澳洲、加拿大、法國、
119 Id.
120 Id.
德國、印度、日本、馬來西亞、新加坡、西班牙、美國、英國、芬蘭等都有參與 此協定121。實質來說,CC 可謂是一種國際標準與指引,用以評估資訊安全產品,
以確保其符合政府部門使用的需求,其全稱為 IT 安全評估共同準則(Common Criteria for Information Technology Security Evaluation),此一準則主要有二個構 成 要 素 , 分 別 是 保 護 文 件(Protection Profile, PPro)與 評 估 確 保 水 準(Evaluation Assurance Levels, EAL),前者針對特定產品(如:防火牆)設立安全要求,而 EAL 則定義產品應該如何被測試,其水準可從 1 至 1,1 是最低水準,而 7 是最高水 準,但越高水準不表示產品越安全,而是表示其歷經較多的測試。122
根據 TISCC 於第 8 屆國際共同準則研討會(International Common Criteria Conferences)所提出的簡報資料,為了推動 CC,韓國政府部門自己 2006 年起必 須 採 購 經 驗 證 之 IT 安 全 產 品123。 另 , 根 據 韓 國 國 家 情 報 服 務(National Intelligence Service,NIS)依據電子政府法(Electronic Government Act)第 56 條與 公部門檔案管理施行命令(Enforcement Decree of the Management of Archives by Public Agencies)第 5 條所推動之安全認證機制(Security Verification Scheme),其 係採用 CC。政府部門於導入具有安全功能之 IT 產品後,必須通過該安全認證機 制,同時, 當政府部 門導入 NIS 所指定的資訊安全系統時,為符合導入要求 (Introduction requirements),其只能採用經 CC 認證之產品124(參見
121 Members of the CCRA, https://www.commoncriteriaportal.org/ccra/members/
(last visited July 11, 2019).
122Common Criteria (CC) for Information Technology Security Evaluation,
https://whatis.techtarget.com/definition/Common -Criteria-CC-for-Information-Technology-Security-Evaluation (last visited July 11, 2019).
123 Cho Sung, Update on Korean scheme, 8t h International Common Criteria Conferences, 25 -27 Sep. 2007, Rome, Italy,
http://www.ocsi.isticom.it/8iccc/in dexd0bd.html?option=com_content&task=view&id=35&Itemid=43&la ng=en.
124 NIS, Security Verification Scheme, https://eng.nis.go.kr/EAF/1_7_1_1.do (last visited July 26, 2019).
表17 韓國-政府部門資訊安全系統-導入要求與產品種類)。
表17 韓國-政府部門資訊安全系統-導入要求與產品種類
導入要求 產品種類 備註
CC Certification Firewall
Intrusion Prevention System(Including IDS)
Enterprise Security Management Product
Web Application Firewall
Server Access Control Product
DB Access Control Product
Network Access Control Product
VoIP Security Product
Wireless intrusion Prevention System
Wireless LAN Authentication Product
Visualization Product
Network Data Leakage Prevention Product
Complete Deletion for Multi-Function Printer
Mobile Device Management
Above EAL2 or PP compliant
Smart Card Above EAL4
CC Certification &
KCMVP Module
VPN Product
Software-Based Security USB
Host Data Leakage Prevention Product
Above EAL2 or PP compliant embedded with KCMVP module
CC Certification &
GS Certification (complying with national security requirements)
Spam-Mail Prevention System
Patch Management System
Inter-Networks Data Transmission Product
CC Certification:
Above EAL2 or PP compliant
GS Certification:
Evaluated by ISO/IEC 25023 and comply with national security requirements
CC Certification &
Performance assessment
(complying with national security requirements)
Anti-DDoS Product
Anti-Virus Product
Analysis Tool for Source Code Security Weakness
CC Certification : Above EAL2 or PP compliant
Performance
assessment: comply with national security requirements
資料來源:NIS125
125 Id.
二、韓國密碼模組驗證計畫
(一)立法目的
KCMVP 係 為 用 以 驗 證 密 碼 模 組 安 全 性(security)與 執 行 一 致 性 (implementation conformance)之機制。此一機制之設計係為了實踐電子政府法執 行命令第69 條之規定,期確保並於通訊網路傳輸之重要且敏感(important but not classified)政府資訊的安全性。126是以,KCMVP 主要適用於政府部門使用密碼模 組之情境,而不及私部門。
(二)主管機關
目前KCMVP 主要由 NIS 負責推動與維護。
(三)規範標的及適用主體
KCMVP 以密碼模組為標的,包括:硬體元件、軟體、 韌體程式(firmware programs)或以上任一的組合127;密碼模組銷售商(vendor)向測試實驗室(Testing Lab)申請測試,提供申請文件、產品與原始碼(source codes)…等128
(四)重點摘要說明
KCMVP 之 驗 證 係 為 確 認 前 揭 密 碼 模 組 是 否 符 合 軟 體 密 碼 模 組 驗 證 標 準 (Software Cryptographic Module Validation Standard)或硬體或韌體密碼模組驗證 標準(Hardware or Firmware Cryptographic Module Validation Standard),主要是 KS X ISO/IEC 19790。129目前用於加密之資訊安全系統須經 KCMVP 驗證者,包
126 NIS, Overview of KCMVP , https://eng.nis.go.kr/EAF/1_7_2_1.do (last visited July 26, 2019).
127 Id.
128 NIS, Validation Process, https://eng.nis.go.kr/EAF/1_7_2_3.do (last visited Aug 2, 2019).
129 Id.
括電子郵件加密、資料庫加密等產品(參見表 18 韓國-政府部門資訊安全系統-涉 及加密之產品須經KCMVP 驗證者)。
表18 韓國-政府部門資訊安全系統-涉及加密之產品須經 KCMVP 驗證者
產品 CC 水準 包括已驗證之密碼模組
Email encryption
Session encryption
Single Sign-on (SSO)
Disk and file encryption
Document encryption (DRM, etc.)
Hardware security token
DB encryption
Other encryption
無 強制要求
資料來源:NIS130
KCMVP 之 運 作 模 式 如 下 圖 所 示 , 密 碼 模 組 銷 售 商(vendor)向 測 試 實 驗 室 (Testing Lab)申請測試,提供申請文件、產品與原始碼(source codes)…等131。測 試實驗室與銷售商會簽定測試契約,依照密碼模組測試要求(Test Requirements for Cryptographic Modules) (KS X ISO/IEC 24759)與密碼模組安全要求(Security Requirements for Cryptographic Modules) (KS X ISO/IEC 19790)進行測試,並將 測試結果送驗證機關(Validation Authority)。驗證機關檢視測試報告之內容,以確 認該測試是否驗證要求。其間,驗證機關會請由產官學研專家組成之密碼模組驗 證委員會(Cryptographic Module Validation Commission)審定測試公允性與有效性。
驗證機關會將驗證結果通知測試實驗室,將通過驗證之密碼模組登錄之“經驗證 之密碼模組清單”(Validated Cryptographic Module List)132。又,目前之測試實驗
130 NIS, Overview of KCMVP, https://eng.nis.go.kr/EAF/1_7_2_1.do (last visited July 26, 2019).
131 NIS, Validation Process, https://eng.nis.go.kr/EAF/1_7_2_3.do (last visited Aug 2, 2019).
132 NIS, Cryptographic Module Validation System , https://eng.nis.go.kr/EAF/1_7_2_2.do (last visited Aug 2, 2019).
室為ETRI 附設機構(The Attached Institute of ETRI)。133
資料來源:NIS134
圖 3 KCMVP 運作機制
133 NIS, Validation Process, https://eng.nis.go.kr/EAF/1_7_2_3.do (last visited Aug 2, 2019).
134 Supra note 132.