一文读懂| 欧盟RED网络安全标准FprEN 18031

2024-07-29 阅读版式订阅 +

标准建立背景

2022 年 1 月 12 日，欧盟官方公报发布了授权法规 2022/30/EU，要求执行 RED 第 3.3(d)、(e) 和 (f) 条的合规要求。该法规要求对欧盟市场上适用的无线设备进行网络安全、个人数据隐私和欺诈保护，旨在确保此类设备具有更高水平的网络安全，并增强消费者对其的信心。该法案于 2022 年 2 月 1 日生效，并于 2025 年 8 月 1 日强制执行，为设备制造商提供了 42 个月的过渡期。

在此背景下，欧盟于2024年5月发布了RED网络安全要求适用的草稿标准prEN 18031 Final Draft – FprEN 18031。

覆盖产品范围

授权法规 2022/30/EU涵盖了可以通过互联网直接或通过其他设备进行通信（间接）的设备和可能暴露敏感个人数据的无线电设备。例如：

手机、平板电脑和笔记本电脑；
无线玩具和儿童安全设备，例如婴儿监视器；
可穿戴设备，例如智能手表和健身追踪器。

具体法规条款对应的产品范围如下：

Article 3.3 (d)：与网络保护相关的设备
Article 3.3 (e)：处理个人数据、交通数据或位置数据的设备
Article 3.3 (f)：使持有者或用户能够转移由 EU Directive 2019/713 Article 2 (d) 中定义的金钱、货币价值或虚拟货币的无线电设备

FprEN 18031标准主要评估内容：

2022/30/EU 法规条款	对应草稿标准	评估内容
2022/30/EU 法规条款	对应草稿标准	安全资产&风险	网络资产&风险	隐私资产&风险	金融资产&风险
Article 3.3 (d)	FprEN 18031-1	√	√
Article 3.3 (e)	FprEN 18031-2	√		√
Article 3.3 (f)	FprEN 18031-3	√			√

FprEN 18031标准主要评估项目：

标准号	通用评估项目	独有评估项目
FprEN 18031-1	访问控制机制认证机制安全更新机制安全存储机制安全通信机制密钥机密性通用设备能力要求密码学最佳实践	针对设备中所包含的安全和网络资产，还需评估如下项目：弹性机制网络监控机制流量控制机制
FprEN 18031-2		针对设备中所包含的安全和隐私资产，还需评估如下项目：针对儿童玩具的访问控制机制日志记录机制删除机制用户通知机制外部感知能力文档
FprEN 18031-3		针对设备中所包含的安全和金融资产，还需评估如下项目：日志记录机制设备启动进程完整性和软件可信真实性

FprEN 18031与ETSI EN 303 645的主要差异：

FprEN 18031与ETSI EN 303 645的要求有很多相似之处，但对被测设备提出了更高的要求，且多项要求中均提供了 “不适用” 条件，为产品通过符合性评估增加了灵活性和标准适用范围。总的来说，如果产品符合ETSI EN 303 645，对企业和其产品通过FprEN 18031标准评估将十分有利。

FprEN 18031-1、FprEN 18031-2和FprEN 18031-3在Annex C中明确了与ETSI EN 303 645的要求对比，为方便企业精准了解两个标准之间的具体差异，Intertek网络安全专家在针对FprEN 18031编写测试计划时对以上三本标准与ETSI EN 303 645重合与覆盖度做了详细梳理（如下图）：

Intertek专家建议

目前企业对FprEN 18031疑问最多的问题为加密密钥的要求（CCK-1, CCK-2, CCK-3）。对此，Intertek网络安全专家做出如下解答。

除应用于访问控制机制、认证机制、安全更新机制、安全存储机制、安全传输机制需做特殊识别和证明外，FprEN 18031要求在设备预装或生成的密钥的最小安全长度为112 bits。

Q：什么是Confidential Cryptographic Keys？
A：由于非对称加密需要消耗更多的资源，为提高加密的速度和效率，同时保证数据的安全性，绝大多数的产品将在使用非对称加密算法完成握手后计算并商定对称加密密钥，该密钥将被作为本次已建立连接会话的 “密码本” 。
Q：如何判断一个加密密钥的安全强度？
A：加密密钥的安全强度主要由三个主要参数影响：
- Random Number Generator (RNG) 生成时使用的熵（此处概念为信息熵）；AND
- 有效长度（详情见BSI TR-02102-1）；AND
- 所使用的加密算法。
Q: 作为厂商，应该如何选择安全的加密算法以生成足够安全的密钥？
A：密钥的安全强度很大程度上取决于随机数源（熵的主要来源）、随机数生成器和密钥生成/派生算法。错误地选择随机源、随机数生成器和密钥派生算法会导致相关风险，例如：密钥被猜中 / 密钥易被暴力破解 / 密钥可基于可访问信息重建。因此，强烈建议厂商遵循公认的标准。
- 公认的随机数生成器最佳实践：NIST SP800-90A, NIST SP800-90B, NIST SP800-90C, BSI AIS20, BSI AIS31, ISO/IEC 18031；
- 公认的密钥派生最佳实践：SOG-IS Crypto Evaluation Scheme Agreed Cryptographic Mechanisms, ISO/IEC 11770, NIST SP 800-108r1, NIST SP 800-132。

Tips: 建议直接使用SOG-IS中推荐的密码套件以确保产品安全性和标准符合性。

Intertek FprEN 18031解决方案

Intertek Semko AB已在2023年成功扩项Article 3.3 (d), Article 3.3 (e), Article 3.3 (f)，成为无线设备指令（RED）最新授权法案（2014/53/EU）的公告机构（Notified Body, NB），可针对网络安全要求单独发证。

Intertek已在FprEN 18031提交投票后完成测试计划及测试方法的编写，同时Intertek电子电气深圳龙华分公司已获得Notify Body授信，接受其针对FprEN 18031标准的测试报告和测试数据。目前，Intertek可为全球客户提供FprEN 18031本地中英文咨询、培训和测试服务。

特别说明：目前Intertek已推出FprEN 18031解决方案（详情如下图所示）。考虑到FprEN 18031还未成为协调标准，未来还可能有调整和变更，Intertek将密切关注FprEN 18031的动态并及时发布相关资讯，对于已颁发的FprEN 18031 NB证书的产品进行补充性评估测试并更新证书信息，确保产品的合规性。

了解更多标准详情，欢迎联系Intertek销售或拨打Intertek热线电话 400 886 9926。

关于Intertek天祥集团

Intertek是全球领先的全面质量保障服务机构，始终以专业、精准、快速、热情的全面质量保障服务，为客户制胜市场保驾护航。凭借在全球100多个国家的1,000多家实验室和分支机构，Intertek致力于以创新和定制的保障、测试、检验和认证解决方案，为客户的运营和供应链带来全方位的安心保障。

详情请登录：www.intertek.com.cn