Technologies de l'information — Techniques de sécurité — Méthodes d'essai et d'analyse des générateurs de bits aléatoires selon ISO/IEC 19790 et ISO/IEC 15408 (norme ISO/IEC 20543:2019 adoptée, première édition, 2019-10)
Porté:
Ce document spécifie une méthodologie pour l'évaluation des générateurs de bits aléatoires non déterministes ou déterministes destinés à être utilisés pour des applications cryptographiques. Les dispositions données dans ce document permettent au fournisseur d'un RBG de soumettre des revendications de sécurité bien définies à une autorité d'évaluation et doivent permettre à un évaluateur ou à un testeur, par exemple une autorité de validation, d'évaluer, de tester, de certifier ou de rejeter ces revendications.
Ce document est indépendant de la mise en œuvre. Par conséquent, il n'offre aucune orientation spécifique sur les décisions de conception et de mise en œuvre pour les générateurs de bits aléatoires. Cependant, les problèmes de conception et de mise en œuvre influencent l'évaluation d'un RBG dans ce document, par exemple parce qu'il nécessite l'utilisation d'un modèle stochastique de la source aléatoire et parce que tout modèle de ce type est soutenu par des arguments techniques relatifs à la conception du dispositif en question.
Les générateurs de bits aléatoires tels qu'évalués dans ce document visent à produire des chaînes de bits qui semblent uniformément réparties. Cependant, selon la distribution des nombres aléatoires requise par l'application consommatrice, il convient de noter que des étapes supplémentaires peuvent être nécessaires (et peuvent même être critiques pour la sécurité) pour que l'application consommatrice transforme les chaînes de bits aléatoires produites par le RBG en nombres aléatoires d'une distribution adaptée aux exigences de l'application. De telles transformations ultérieures sont hors du champ des évaluations effectuées dans ce document.
Raison d’être du projet
Réviser la norme dans le délai requis de cinq ans.
Note : L’information ci-dessus a été recueillie et est diffusée par le Conseil canadien des normes (CCN) pour les besoins de son système de notification centralisé et transparent pour l’élaboration de nouvelles normes. Le système permet aux organismes d’élaboration de normes (OEN) accrédités par le CCN et aux membres du public d’être informés des nouveaux travaux d’élaboration de normes au Canada. Il donne aussi aux OEN accrédités la possibilité de repérer et de résoudre les cas de doubles emplois éventuels dans les normes et les travaux de normalisation.
Les OEN sont eux-mêmes responsables du contenu et de l’exactitude de l’information présentée ici. Cette information n’existe que dans la langue dans laquelle elle a été fournie au CCN.