1附件2I型终端厂商调查问卷.doc

电话终端安全评估送检指南（附件2） 银行卡检测中心厂商调查问卷1.说明1. 请填写下列用于评估的电话终端的信息2. 请按照电话终端安全要求手册的格式，确认问卷中所有您回答“是”的部分。3. 请将确认部分的每个项目都填写完整。4. 请提供足够的细节信息以描述清楚电话终端的属性或功能。5. 必要时请参阅并提供附加文件。6. 厂商必须在“备注”部分提供必要细节，对所有“N/A”回答做出说明。示例：电话终端安全要求手册表格中问题A1的回答为“是”，则问卷中A1部分中的所有项目（1到6）都必须做出回答。电话终端生产商:电话终端标志市场型号/编号:硬件版本号:固件版本号:应用程序版本号:2.问卷填写人签名日期打印名3.安全特性声明3.1核心物理安全特性A1如果电话终端安全要求手册中A1部分的答案为“是”，请描述： 1电话终端采用的防篡改机制。2会触发防篡改机制的行为。3电话终端检测到入侵行为后的反应。（回答应包括关于入侵检测机制如何工作以及如何擦除秘密信息或者（和）不可用的书面描述）4除入侵检测外，请描述防止访问敏感信息或者防止置入窃取装置的保护措施。5防止设备被物理渗透攻击的保护机制。6请说明为什么电话终端的实现使侵入和修改电话终端从而泄漏敏感信息或植入PIN窃取装置的攻击分值至少为25。备注: A2如果电话终端安全要求手册中A2部分的答案为“是”，请描述：1每个数字键的音调。2发音装置。3发音装置的能量信号。备注 A3如果PIN 输入设备安全要求手册中A3部分的答案为“是”，请描述：1请说明通过购买元件复制PED或IC卡读卡器是不可行性2PED或IC卡读卡器的外壳是否是定制的3外壳的材料备注3.2核心逻辑安全特性 B1如果电话终端安全要求手册中B1部分的答案为“是”，请描述：1电话终端进行的所有自检。2各种自检失败时电话终端的反应。3各种测试中触发自检的事件类型。4表征自检已经执行的可见提示或数据反应。备注 B2如果电话终端安全要求手册中B2部分的答案为“是”，请描述：1用于固件认证的密码算法和密钥。2升级固件认证失败时设备的反应。备注 B3如果电话终端安全要求手册中B3部分的答案为“是”，请描述：1持卡人输入PIN数字时屏幕输出的提示信息和数据。2表征键被按下的信息，是如何传送给显示设备的。备注 B4如果电话终端安全要求手册中B4部分的答案为“是”，请描述：1如何确保持卡人确认完整输入PIN后，PIN在电话终端内会立刻被加密。2如何确保PIN在加密后，在电话终端内任何位置都不存在PIN的明文。3持卡人完成输入后，PIN以明文形式存在的最长时间。4交易完成后，电话终端缓冲区自动清除的数据。5所有进行清空的缓冲区的位置。6清空缓冲区的流程。7电话终端等待持卡人或商户响应的超时时间。8电话终端等待超时后的行为。备注 B5如果电话终端安全要求手册中B5部分的答案为“是”，请描述：1使用敏感功能时，操作次数的限制是多少？2请解释选择此数目作为限制条件的原因。3为什么选定的操作次数限制可将未授权用户使用敏感服务的风险最小化？4若操作次数达到限制，电话终端如何响应？5一旦访问敏感功能，电话终端保持非活动状态的最长时间。6若非活动状态超时后，电话终端如何响应？7从电话终端开始访问敏感功能到其恢复正常模式之前的最长时间。8若到达最长间隔时间，电话终端如何响应？备注 B6如果电话终端安全要求手册中B6部分的答案为“是”，请描述：1哪些特性能够防止或大多数情况下杜绝窃取设备的使用以保护PIN不被穷举？2PIN的输入如何被限制在平均30秒1次？备注 B7如果电话终端安全要求手册中B7部分的答案为“是”，请描述：1关于固定密钥、主密钥或一次一密的PIN保护技术。2各密钥是否只用于一个加解密用途？这点是如何确保的？3保存密钥时，如何保护其不受非授权的更改和替换？4密钥存储时，如何保证密钥分散管理？5电话终端实现的所有加密算法。6对电话终端内的所有密钥说明以下信息名称密钥长度相关加密算法可能用此密钥加密的数据此种密钥的实例和注册数量为确保该密钥只用于既定目的，电话终端是如何标识此密钥的7电话终端是否有擦除密钥的功能？8哪些密钥可能被擦除？9擦除具体流程。10何种情况下擦除密钥？请针对所有设备状态（上电、下电、休眠）进行描述。11其他可能被擦除的数据有哪些？在何种情况下？12所有设备中出现的或者使用的密钥如何加载？包括由谁生成以及密钥加载是否以加密形式、或者明文形式、还是加密或明文组件/秘密共享。13是否有使用带有公钥的不对称算法替换对称密钥的密钥分配技术，请对以下几点进行描述：是否利用随机/伪随机密钥生成过程从而使生成的密钥不可预测或确定其可能密钥空间？随机数产生源是否在密钥生成前就已经通过恰当的测试？如何做到对公钥的认证？是否有签名分级制度？这些签名（密钥交换签名公钥）如何生成，例如：由谁签名。是否有设备双向认证？如果使用证书，那么对证书是如何测试、接受或拒绝的？是否对包含对称密钥的信息是否有进行安全的格式化和填充？接收者是否对信息结构的正确性进行测试？如何保证对原始信息的认证，比如交换信息的签名是否经过测试？若认证测试失败，电话终端如何反应？加密算法使用哪种（些）有效的密钥长度？选定的密钥长度是否适合该算法及其安全要求？假设使用RSA，密钥长度是否至少1024位？14单成分密钥能否被载入？输入密钥时用来加密的算法是什么？15请描述设备中存在或使用的各个密钥存储和应用的区域。16请描述电话终端所支持的密钥交换技术和密钥存储机制的混合使用。（如ANSI TR-31）备注 B8如果电话终端安全要求手册中B8部分的答案为“是”，请描述：1是否有允许输出明文密钥或明文PIN的机制？若有，请描述该机制（包括如何加密密钥）2如何防止明文密钥和明文PIN的输出？3加密密钥的明文可以存在于电话终端的哪个部分？4在何种情况下一个密钥明文可能从上述区域转移到电话终端的其他区域？备注 B9如果电话终端安全要求手册中B9部分的答案为“是”，请描述：1持卡人或商户可以用来触发选择密钥命令的方法（如按下后可以在各账户之间进行选择的键）。2电话终端如何禁止非授权的密钥更换和滥用？备注B10如果电话终端安全要求手册中B10部分的答案为“是”，请描述：1电话支付终端如何保证只在交易存