商用密码产品认证依据标准为《商用密码产品认证目录(第一批)》《商用密码产品认证目录(第二批)》和《商用密码产品认证目录(第三批)》中规定的相关标准。这些标准涵盖了密码算法标准、产品标准、应用标准、检测标准等各个方面,为商用密码产品的检测提供了统一的技术依据。
GM/T 0028-2014《密码模块安全技术要求》是密码模块检测的核心标准,规定了密码模块的安全要求,包括11个安全域:密码模块规格,密码模块接口,角色、服务和认证,软件/固件安全,运行环境,物理安全,非入侵式攻击缓解,敏感安全参数管理,自检,生命周期保障,其他攻击缓解。密码模块的安全等级分为4级,从1级到4级安全要求逐级增强。
GM/T 0065《商用密码产品生产和保障能力建设规范》和GM/T 0066《商用密码产品生产和保障能力建设实施指南》是商用密码产品生产和保障能力建设的重要标准。这两个标准规定了商用密码产品生产企业的生产能力、质量保障能力、安全保障能力的要求,是初始工厂检查的重要依据。
GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》是密评最重要的技术标准,规定了信息系统从第一级到第四级的密码应用基本要求。该标准从总体要求、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理以及安全管理等方面提出了具体要求,是商用密码产品检测和密评的重要依据。
GM/T 0053-2025《密码设备管理 远程监控与合规性检验接口数据规范》规定了密码设备管理的应用体系,定义了对密码设备进行远程监控、设备合规性检验等管理应用的接口数据,为密码设备的统一管理提供了标准依据。该标准促进了不同厂商密码设备之间的互操作性和统一管理。
GM/T 0031-2025《安全电子签章密码技术规范》规定了电子签章的密码应用安全机制和密码应用协议,主要包括电子印章数据格式、电子印章生成流程、电子印章验证流程,以及电子签章数据格式、电子签章流程和电子签章验证流程等。该标准有效提升了电子印章系统使用密码技术的安全性和规范性,有利于推动不同厂商产品之间的兼容性与协同效率。