2022 年 1 月 12 日,欧盟官方公报发布了授权法规 2022/30/EU,要求执行 RED 第 3.3(d)、(e) 和 (f) 条的合规要求。该法规要求对欧盟市场上适用的无线设备进行网络安全、个人数据隐私和欺诈保护,旨在确保此类设备具有更高水平的网络安全,并增强消费者对其的信心。该法案于 2022 年 2 月 1 日生效,并于 2025 年 8 月 1 日强制执行,为设备制造商提供了 42 个月的过渡期。
在此背景下,欧盟于2024年5月发布了RED网络安全要求适用的草稿标准prEN 18031 Final Draft – FprEN 18031。
覆盖产品范围
授权法规 2022/30/EU涵盖了可以通过互联网直接或通过其他设备进行通信(间接)的设备和可能暴露敏感个人数据的无线电设备。例如:
手机、平板电脑和笔记本电脑;
无线玩具和儿童安全设备,例如婴儿监视器;
可穿戴设备,例如智能手表和健身追踪器。
具体法规条款对应的产品范围如下:
Article 3.3 (d):与网络保护相关的设备
Article 3.3 (e):处理个人数据、交通数据或位置数据的设备
Article 3.3 (f):使持有者或用户能够转移由 EU Directive 2019/713 Article 2 (d) 中定义的金钱、货币价值或虚拟货币的无线电设备
FprEN 18031标准主要评估内容:
2022/30/EU | 对应草稿标准 | 评估内容 | |||
安全资产&风险 | 网络资产&风险 | 隐私资产&风险 | 金融资产&风险 | ||
Article 3.3 (d) | FprEN 18031-1 | √ | √ | ||
Article 3.3 (e) | FprEN 18031-2 | √ | √ | ||
Article 3.3 (f) | FprEN 18031-3 | √ | √ | ||
FprEN 18031标准主要评估项目:
标准号 | 通用评估项目 | 独有评估项目 |
FprEN 18031-1 |
| 针对设备中所包含的安全和网络资产,还需评估如下项目:
|
FprEN 18031-2 | 针对设备中所包含的安全和隐私资产,还需评估如下项目:
| |
FprEN 18031-3 | 针对设备中所包含的安全和金融资产,还需评估如下项目:
|
FprEN 18031与ETSI EN 303 645的主要差异:
FprEN 18031与ETSI EN 303 645的要求有很多相似之处,但对被测设备提出了更高的要求,且多项要求中均提供了 “不适用” 条件,为产品通过符合性评估增加了灵活性和标准适用范围。总的来说,如果产品符合ETSI EN 303 645,对企业和其产品通过FprEN 18031标准评估将十分有利。
FprEN 18031-1、FprEN 18031-2和FprEN 18031-3在Annex C中明确了与ETSI EN 303 645的要求对比,为方便企业精准了解两个标准之间的具体差异,Intertek网络安全专家在针对FprEN 18031编写测试计划时对以上三本标准与ETSI EN 303 645重合与覆盖度做了详细梳理(如下图):
我们建议
目前企业对FprEN 18031疑问***多的问题为加密密钥的要求(CCK-1, CCK-2, CCK-3)。对此,我们的网络安全专家做出如下解答。
除应用于访问控制机制、认证机制、安全更新机制、安全存储机制、安全传输机制需做特殊识别和证明外,FprEN 18031要求在设备预装或生成的密钥的***小安全长度为112 bits。
Q:什么是Confidential Cryptographic Keys?
A:由于非对称加密需要消耗更多的资源,为提高加密的速度和效率,同时保证数据的安全性,绝大多数的产品将在使用非对称加密算法完成握手后计算并商定对称加密密钥,该密钥将被作为本次已建立连接会话的 “密码本” 。Q:如何判断一个加密密钥的安全强度?
A:加密密钥的安全强度主要由三个主要参数影响:
Random Number Generator (RNG) 生成时使用的熵(此处概念为信息熵);AND
有效长度(详情见BSI TR-02102-1);AND
所使用的加密算法。
Q: 作为厂商,应该如何选择安全的加密算法以生成足够安全的密钥?
A:密钥的安全强度很大程度上取决于随机数源(熵的主要来源)、随机数生成器和密钥生成/派生算法。错误地选择随机源、随机数生成器和密钥派生算法会导致相关风险,例如:密钥被猜中 / 密钥易被暴力破解 / 密钥可基于可访问信息重建。因此,强烈建议厂商遵循公认的标准。
公认的随机数生成器***佳实践:NIST SP800-90A, NIST SP800-90B, NIST SP800-90C, BSI AIS20, BSI AIS31, ISO/IEC 18031;
公认的密钥派生***佳实践:SOG-IS Crypto Evaluation Scheme Agreed Cryptographic Mechanisms, ISO/IEC 11770, NIST SP 800-108r1, NIST SP 800-132。
Tips: 建议直接使用SOG-IS中推荐的密码套件以确保产品安全性和标准符合性。
我们的FprEN 18031解决方案
我们可以协助客户提供众多方案, 快速获取网络安全要求发证。
关于全道通:
苏州全道通检测技术有限公司是Intertek天祥、UL美华,SGS通标,Dekra德凯,TUV南德,TUV莱茵, TUV奥地利授权认可实验室。
我们为客户提供全球三大主要市场-亚洲(CCC /CQC /SRRC /KC /PSE /SIRIM /TISI /BSMI /Spring /BIS /RCM等), 欧洲(CE/CB /GS /ENEC /UKCA
/EAC /TUV /VDE等)和北美(UL /ETL /CSA /FCC /NOM /RETIE /RETIQ等)南美(巴西等)和南非等国家测试、检验、验货、认证等服务。我们还可以根据相应的国家和地区标准,为企业产品进入其他国家/地区提供检测认证和咨询服务如:一代一路、海关联盟等。
凭借丰富的行业经验和技术能力,我们致力于帮助客户建立便捷的全球市场准入通道,合理优化产品认证周期,加快产品上市和费用优化,为客户赢得市场竞争优势。我们可根据客户的需求,提供专业可靠的检测认证解决方案,让客户享受定制化的认证服务。