外銷美國密碼產品可在臺驗證

臺灣電信技術中心日前獲美國認可，成為亞洲第1家可進行FIPS 104-2密碼產品驗證的實驗室，對於臺灣廠商而言，將可節省將產品送國外驗證的成本。

目前有2大資通安全產品驗證標準，分別是共通標準Common Criteria（ISO 15408）以及美國的密碼驗測標準FIPS 140-2（ISO 19790）。臺灣電信技術中心資通安全組經理林家弘表示，Common Criteria因為是以國家為主要會員參與主體，使得臺灣遲遲未能成為會員之一。但美國的FIPS標準，只需要通過美國志願性實驗室認證體系（NVLAP）評估，具備驗證相關密碼模組產品的能力即可。

目前臺灣電信技術中心可以驗證的產品包括指紋隨身碟、OTP（一次性密碼）的權杖（Token）、晶片加解密產品以及HSM（硬體加密模組））等。林家弘提醒，FIPS 140-2是針對單一產品的單一版本進行驗證，一旦改版或版本升級，都必須要重新送測，但相關驗測時間將大幅減少。

林家弘說，目前FIPS 140-2針對11個領域進行1-4級密碼模組的驗證，依照人力、投入時間、投入內容及是否需配合廠商開發流程做驗證，以專案計價，大約90萬元起跳。他說：「產品驗測時，需要相關人員到場說明，在臺灣驗測的好處在於，至少可節省相關人員到國外說明的差旅費用和國外較昂貴的驗測人力成本。」文⊙黃彥棻