Příloha č. 4
Technické požadavky na měření typu C kategorií C1, C2
Minimální požadavky na rozhraní elektroměru pro komunikaci s nadřazenými prvky infrastruktury (např. centrála, koncentrátor, gateway)
+-----------------------------------------------------+
| Minimální kryptografické požadavky |
+-----------------------------------------------------+
| Zajištění důvěrnosti |
+-----------------------------------------------------+
| Použití blokové šifry AES-256 |
+-----------------------------------------------------+
| Zajištění důvěrnosti a integrity |
+-----------------------------------------------------+
| Použití módu blokové šifry GCM, CCM |
+-----------------------------------------------------+
| Zajištění integrity |
+-----------------------------------------------------+
| Digitální podpis DSA 3072, EC-DSA-256, RSA 3072 |
+-----------------------------------------------------+
| Hashe SHA2-256, SHA3-256 |
+-----------------------------------------------------+
| Mód pro ochranu integrity HMAC, CMAC |
+-----------------------------------------------------+
| Zajištění klíčového managementu |
+-----------------------------------------------------+
| DH-3072, ECDH-256 |
+-----------------------------------------------------+
| Generátor náhodných bitů |
+-----------------------------------------------------+
| HMAC_DRBG, Hash_DRBG oba pro SHA2 a SHA3 |
+-----------------------------------------------------+
V případě využití privátní komunikační sítě (např. PLC nebo privátní rádio), mohou být mechanismy pro zajištění integrity a klíčového managementu na rozhraní elektroměru nahrazeny jiným adekvátním zabezpečením této komunikace na nižší vrstvě OSI.
Technické požadavky:
+----+-----------------------------------------------------------+
| 1 | Bezpečné zotavení po chybě, výpadku či poruše |
+----+-----------------------------------------------------------+
| 2 | Spolehlivá časová synchronizace |
+----+-----------------------------------------------------------+
| 3 | Návod na bezpečnou instalaci, inicializaci a provoz |
| | dodaný společně se zařízením |
+----+-----------------------------------------------------------+
| 4 | Validace dat před jejich použitím - ochrana vstupů |
+----+-----------------------------------------------------------+
| 5 | Ochrana před záplavami (DoS) pomocí filtrace provozu |
| | či segmentace sítě, management zdrojů |
+----+-----------------------------------------------------------+
| 6 | Minimalizace rozhraní - deaktivace všech nepotřebných |
| | služeb, protokolů a fyzických rozhraní |
+----+-----------------------------------------------------------+
| 7 | Bezpečnostní události musí být zaznamenány a reportovány, |
| | log musí být chráněn proti modifikaci a smazání, |
| | velikost min. pro 1000 bezpečnostních záznamů |
+----+-----------------------------------------------------------+
| 8 | Každé zařízení musí být jednoznačně identifikovatelné |
+----+-----------------------------------------------------------+
| 9 | Data ve zprávách musí být šifrována |
+----+-----------------------------------------------------------+
| 10| Zprávy musí mít chráněnou integritu |
+----+-----------------------------------------------------------+
| 11| Provedení příkazů musí být potvrzováno |
+----+-----------------------------------------------------------+
| 12| Přístup do prvků zpracovávajících citlivé údaje vyžaduje |
| | proniknutí bezpečnostním perimetrem s plombou |
+----+-----------------------------------------------------------+
| 13| Kryptografická pověření musí být pro elektroměr unikátní |
| | a bezpečně uložena, nesmí po zcizení způsobit snížení |
| | bezpečnosti jiného elektroměru |
+----+-----------------------------------------------------------+
| 14| Oddělení funkcionalit měření a komunikace |
+----+-----------------------------------------------------------+
| 15| Vzdálená aktualizace bezpečnostních funkcionalit |
| | a kryptografických primitiv |
+----+-----------------------------------------------------------+
| 16| Vzdálená aktualizace kryptografických pověření |
+----+-----------------------------------------------------------+
------------------------------------------------------------------