ISO/IEC 19790:2025
(Main)Information security, cybersecurity and privacy protection — Security requirements for cryptographic modules
Information security, cybersecurity and privacy protection — Security requirements for cryptographic modules
This document specifies the security requirements for a cryptographic module utilized within a security system protecting sensitive information in Information and Communication Technologies (ICT). It defines four security levels for cryptographic modules to provide for a wide spectrum of data sensitivity and a diversity of application environments. This document specifies up to four security levels for each of the 11 requirement areas with each security level increasing security over the preceding level.
Sécurité de l’information, cybersécurité et protection de la vie privée — Exigences de sécurité pour les modules cryptographiques
Le présent document spécifie les exigences de sécurité pour un module cryptographique utilisé dans un système de sécurité qui protège les informations sensibles dans les technologies de l’information et de la communication (TIC). Il définit quatre niveaux de sécurité pour les modules cryptographiques afin de couvrir un large éventail de sensibilités des données et une diversité d’environnements d’application. Le présent document spécifie jusqu’à quatre niveaux de sécurité pour chacun des 11 domaines d’exigences, chaque niveau de sécurité offrant une augmentation de la sécurité par rapport au niveau précédent.
General Information
Relations
Buy Standard
Standards Content (Sample)
International
Standard
ISO/IEC 19790
Third edition
Information security, cybersecurity
2025-02
and privacy protection — Security
requirements for cryptographic
modules
Sécurité de l’information, cybersécurité et protection de
la vie privée — Exigences de sécurité pour les modules
cryptographiques
Reference number
© ISO/IEC 2025
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2025 – All rights reserved
ii
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Abbreviated terms . 17
5 Cryptographic module security levels . .18
5.1 General .18
5.2 Security level 1 .18
5.3 Security level 2 .19
5.4 Security level 3 .19
5.5 Security level 4 . 20
6 Functional security objectives .21
7 Security requirements .21
7.1 General .21
7.2 Cryptographic module specification .24
7.2.1 Cryptographic module specification general requirements .24
7.2.2 Types of cryptographic modules .24
7.2.3 Cryptographic boundary .24
7.2.4 Module operations . 25
7.3 Cryptographic module interfaces .27
7.3.1 Cryptographic module interfaces general requirements .27
7.3.2 Types of interfaces .27
7.3.3 Categories of interfaces .27
7.3.4 Plaintext trusted path . 28
7.3.5 Protected internal paths . 29
7.4 Roles, services, and authentication . 29
7.4.1 Roles, services, and authentication general requirements . 29
7.4.2 Roles . 29
7.4.3 Services . 30
7.4.4 Authentication .31
7.5 Software/firmware security . 33
7.5.1 Software/firmware security general requirements . 33
7.5.2 Security level 1 . 34
7.5.3 Security level 2 . 34
7.5.4 Security levels 3 and 4. 35
7.6 Operational environment. 35
7.6.1 Operational environment general requirements . 35
7.6.2 Clause applicability . 36
7.6.3 Operating system requirements for modifiable operational environments .37
7.7 Physical security . 39
7.7.1 Physical security embodiments . 39
7.7.2 Physical security general requirements . 40
7.7.3 Physical security requirements for each physical security embodiment .42
7.7.4 Environmental failure protection/testing .43
7.7.5 Environmental failure protection features .43
7.7.6 Environmental failure testing procedures . 44
7.8 Non-invasive security . 44
7.8.1 Non-invasive security general requirements . 44
7.8.2 Security levels 1 and 2.45
7.8.3 Security level 3 .45
7.8.4 Security level 4 .45
© ISO/IEC 2025 – All rights reserved
iii
7.9 Sensitive security parameter management .45
7.9.1 Sensitive security parameter management general requirements .45
7.9.2 Random bit generators .45
7.9.3 Sensitive security parameter generation . 46
7.9.4 Automated sensitive security parameter establishment . 46
7.9.5 Sensitive security parameter entry and output . 46
7.9.6 Sensitive security parameter storage .47
7.9.7 Sensitive security parameter zeroization .47
7.10 Self-tests . 48
7.10.1 Self-test general requirements . 48
7.10.2 Security levels 3 and 4. 49
7.10.3 Pre-operational self-tests . 49
7.10.4 Conditional self-tests . 50
7.11 Life-cycle assurance . 53
7.11.1 Life-cycle assurance general requirements . 53
7.11.2 Configuration management . 53
7.11.3 Design . 54
7.11.4 Finite state model . 54
7.11.5 Development . 55
7.11.6 Vendor testing . 56
7.11.7 Delivery and operation .
...
Norme
internationale
ISO/IEC 19790
Troisième édition
Sécurité de l’information,
2025-02
cybersécurité et protection de la vie
privée — Exigences de sécurité pour
les modules cryptographiques
Information security, cybersecurity and privacy protection —
Security requirements for cryptographic modules
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2025
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2025 – Tous droits réservés
ii
Sommaire Page
Avant-propos .v
Introduction .vii
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 19
5 Niveaux de sécurité des modules cryptographiques . 19
5.1 Généralités .19
5.2 Niveau de sécurité 1 . . 20
5.3 Niveau de sécurité 2 . 20
5.4 Niveau de sécurité 3 . 20
5.5 Niveau de sécurité 4 .21
6 Objectifs de sécurité fonctionnelle .22
7 Exigences de sécurité .22
7.1 Généralités . 22
7.2 Spécification du module cryptographique . 25
7.2.1 Exigences générales relatives à la spécification du module cryptographique . 25
7.2.2 Types de modules cryptographiques . 26
7.2.3 Frontière cryptographique . 26
7.2.4 Fonctionnements du module .27
7.3 Interfaces du module cryptographique . 29
7.3.1 Exigences générales relatives aux interfaces du module cryptographique . 29
7.3.2 Types d’interfaces . 29
7.3.3 Catégories d’interfaces . 29
7.3.4 Chemin de confiance en clair . 30
7.3.5 Chemins internes protégés .31
7.4 Rôles, services et authentification .31
7.4.1 Exigences générales en matière de rôles, de services et d’authentification .31
7.4.2 Rôles .32
7.4.3 Services .32
7.4.4 Authentification . 34
7.5 Sécurité logicielle/micrologicielle . 36
7.5.1 Exigences générales en matière de sécurité logicielle/micrologicielle . 36
7.5.2 Niveau de sécurité 1 . 36
7.5.3 Niveau de sécurité 2 .37
7.5.4 Niveaux de sécurité 3 et 4 . 38
7.6 Environnement opérationnel . 38
7.6.1 Exigences générales relatives à l’environnement opérationnel . 38
7.6.2 Applicabilité des paragraphes . 39
7.6.3 Exigences relatives au système d’exploitation pour les environnements
opérationnels modifiables . 40
7.7 Sécurité physique .42
7.7.1 Matérialisations de la sécurité physique .42
7.7.2 Exigences générales en matière de sécurité physique .43
7.7.3 Exigences de sécurité physique pour chaque matérialisation de sécurité physique . 46
7.7.4 Protection contre les défaillances environnementales/essais de défaillance
environnementale .47
7.7.5 Fonctionnalités de protection contre les défaillances environnementales .47
7.7.6 Procédures d’essai de défaillance environnementale .47
7.8 Sécurité non invasive . 48
7.8.1 Exigences générales en matière de sécurité non invasive . 48
7.8.2 Niveaux de sécurité 1 et 2 . 48
© ISO/IEC 2025 – Tous droits réservés
iii
7.8.3 Niveau de sécurité 3 . 48
7.8.4 Niveau de sécurité 4 . 49
7.9 Gestion des paramètres de sécurité sensibles . 49
7.9.1 Exigences générales relatives à la gestion des paramètres de sécurité sensibles . 49
7.9.2 Générateurs de bits aléatoires . 49
7.9.3 Génération de paramètres de sécurité sensibles . 49
7.9.4 Établissement automatisé de paramètres de sécurité sensibles . 50
7.9.5 Entrée et sortie de paramètres de sécurité sensibles . 50
7.9.6 Stockage des paramètres de sécurité sensibles .51
7.9.7 Abrogation des paramètres de sécurité sensibles .51
7.10 Auto-tests .52
7.10.1 Exigences générales relatives aux auto-tests .52
7.10.2 Niveaux de sécurité 3 et 4 . 53
7.10.3 Auto-tests pré-opérationnels . 53
7.10.4 Auto-tests conditionnels . 54
7.11 Assurance du cycle de vie .57
7.11.1 Exigences générales relatives à l’assurance du cycle de vie .57
7.11.2 Gestion de la configuration . 58
7.11.3 Conception . 58
7.11.4 Modèle à état fini . 58
7.11.5 Développement .59
7.11.6 Essais fournisseur .61
7.11.7 Livraison et fonctionnement.61
7.11.8 Guides (d’orientation).62
7.12 Atténuation des autres attaques .
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.