JCMVP観察していた日記

my thoughts to JCMVP

どうすればJCMVPが流行するのか。

JCMVPのトップページからリンクされている情報セキュリティモジュールの認証製品利用に関するガイドライン(PDF)ですが、この内容を理解できる人は世の中に何人いるのでしょうか。。。
そもそも、レベル3からは製品の実装によって同じレベルであってもセキュリティ強度に大きな違い*1があるの*2にそこら辺は一切無視されているのを見ると、何だかなぁです。
こんな小難しいガイドライン*3を用意するのではなく、政府機関の情報セキュリティ対策のための統一基準で、機密性2は最低レベル1、機密性2は最低レベル2の暗号モジュールを使って保護すること、と付け加えた方がよっぽど現実的かと思います。

*1:レベル3以降はHWでないと現実的には取得できませんが、HWをエポキシでgluingして物理的な攻撃をされた際に、受動的に同時に壊れることを想定しているだけのものもあれば、耐タンパのセンサを搭載し、能動的に物理的な攻撃を検知し、鍵を消去するものもあります。一般的には、後者の方が実装は難しく、またセキュリティ強度は高いと考えられます。

*2:FIPS 140-2では。ISO 19790を読んだ限り、その辺りに大きな違いはありませんが、IPAの解釈は知りません。

*3:そもそもこのガイドラインの位置づけが不明です。仮にこのガイドラインを使いたい省庁があったとしても、このガイドラインを使う根拠がありません。