資安產品及密碼模組測試顧問服務

共同準則 (ISO/IEC 15408) 顧問服務

共同準則為世界各國進行資通安全產品評估及驗證時所遵循之共同標準，依其定義之評估保證等級（Evaluation Assurance Level, EAL) 來判定產品之安全等級。安全評估保證等級一共分為七個等級 (EAL1~EAL7)。

EAL 1 (功能性檢測) : 檢驗產品及相關文件的符合性，並確認產品是否符合文件宣稱用途。
EAL 2 (結構性測試) : 透過評估產品的結構、安全功能、功能介面、使用說明等文件確認產品的設計完整性，並藉由獨立測試產品之安全功能確認產品設計之安全設計可以正確運作。
EAL 3 (條理化測試及檢查) : 運用安全功能介面、使用說明、產品設計結構分析說明文件及完整的安全標的 ( Security Target) 及安全功能需求分析了解產品的安全功能，並藉由獨立測試產品之安全功能確認產品設計之安全設計可以正確運作。另在，此安全等級中也要求開發者須針對產品開發漏洞、開發環境控制及產品的組態進行管理。
EAL 4 (條理化設計、測試及審查) : 透過更為嚴謹的設計描述、功能測試、弱點分析、及產品生命週期管控確保產品安全功能的正確性，及產品在開發過程中沒有受到未經授權人員的竄改而影響產品的正確性。
EAL 5 (半正規化設計及測試) : 以半正規化的方式陳述安全功能介面、使用說明、產品設計結構分析說明文件及安全標的 ( Security Target) ，使這些文件不因陳述語言的落差而產生理解上的差異。
EAL 6 (半正規化驗證設計及測試) : 需更為廣泛性的針對產品進行結構化分析、獨立測試及獨立弱點分析，並採用自動化方式進行開發環境及組態的管理。
EAL 7 (正規化驗證設計與測試) : 需運用正規化方法呈現所需之各項文件。

本公司技術長在其職業生涯中曾奉派前往歐洲實驗室學習ISO/IEC 15408（資安產品測試）測試之技術，並將相關技術帶回國內發揚光大，曾參與過多次高階資訊安全產品檢測之專案，在技術上及經驗上均受到客戶的信賴及認同。

密碼模組 (FIPS140-2) 顧問服務

聯邦資訊處理標準 (FIPS) 是美國「國家標準與技術機構 (NIST)」針對聯邦政府電腦系統所頒發的標準及準則，FIPS 140-2「密碼模組需求標準」指的是FIPS的140號標準，第二版。FIPS 140-2訂定了密碼模組在11個安全領域的安全需求，這11個領域分別是：

Cryptographic Module Sepcification
Cryptographic Module Ports and Interfaces
Roles, Services, and Authentication
Finite State Modle
Physical Security
Operational Environment
Cryptographic Key Management
EMI/EMC requirements
Self Tests
Design Assurance
Mitigation of Other Attacks

FIPS 140-2分為4個等級，安全等級一 (Level 1)為最基本要求，安全等級四 (Level 4)為最高等級，安全要求是逐層累積的，較高等級涵蓋所有較低等級的安全需求。

本公司技術長在密碼演算法上有深入的研究，在美國求學期間即跟隨在密蘇里大學堪薩斯城分校任教之密碼學先驅研究密碼演算法，也是少數曾在密碼模組實驗室任職過的密碼專家。優士國際聯合顧問有限公司是國內少數可以提供密碼模組顧問輔導的公司，已有多家科技業所研發之產品在本公司的輔導之下順利通過密碼模組測試。

演算法及通訊協定安全分析

在資訊科技的快速發展之下，各式各樣的新技術、新應用不斷的推陳出新，諸如資料保護、互聯網技術、5G通訊等等，但是在這些新技術新應用的背後都需要好的資訊安全機制（如加密演算、安全通訊協定）來輔佐，但是許多資安技術通常都在背景進行演算及運作，也因為如此往往被產品設計者或使用者所忽略，產品的功能對了並不代表背景執行的資安機制就對了，良好的資安產品就應該要有正確的加密機制或安全的通訊協定來支持。本公司提供密碼演算法及安全通訊協定分析，協助客戶在產品設計之初即針對其密碼演算法及安全通訊協定進行分析，確認其所使用的密碼演算法是符合國際技術規範，發現安全通訊協定中可能的脆弱點。唯有良好的設計規劃，才能降低資安產品日後可能產生的脆弱點。

優士依據您的意見及安全等級需求來協助準備相關文件及測試結果送請國際實驗室及驗證單位進行產品測試及驗證。如果您想了解更多，請聯繫我們（Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它) 。