it-swarm.com.de

Unterschied zwischen EAL 1-7 im Common Criteria Standard?

Ich habe eine Frage zur Norm ISO/IEC 15408: Ich möchte wissen, ob ein höheres Bewertungsniveau vorliegt. Können wir daraus schließen, dass ein Produkt sicherer ist? Wenn wir zwei Produkte haben, ist dasjenige, das per Definition eine höhere EAL hat, sicherer?

9
Juliet

Die EAL-Stufen sind:

  • EAL1 - funktionsgeprüft
  • EAL2 - strukturell getestet
  • EAL3 - methodisch getestet und geprüft
  • EAL4 - methodisch entworfen, getestet und überprüft
  • EAL5 - semi-formal entworfen und getestet
  • EAL6 - semi-formal verifiziertes Design und getestet
  • EAL7 - formal verifiziertes Design und getestet

Sie können sehen, dass diese immer strenger werden, von funktional getestet bis formale Überprüfung . Die Sicherheit von etwas ist kein absoluter Wert, sondern subjektiv und kontextbezogen, d. H. Sie hängt in hohem Maße davon ab, was Sie testen und wofür Sie es verwenden.

Ein "+" - Suffix wird üblicherweise verwendet, um eine erweiterte EAL anzuzeigen: Dies beinhaltet eine oder mehrere Zusicherungen zusätzlich zu der angegebenen Basisstufe. z.B. EAL 4+ für ein Betriebssystem wird häufig gesehen. Die zusätzlichen Zusicherungen umfassen normalerweise Fehlerbehebungskomponenten (ALC_FLR, dokumentierte und formale Verfahren zur Meldung und Verwaltung von Sicherheitsmängeln).

Ein wesentlicher Bestandteil einer EAL ist das Dokument Security Target . Einfach ausgedrückt umfasst dies eine strenge Definition von Funktionen, Merkmalen und Absichten Verwendung, zugeschnitten auf die spezifische zu testende Hardware- oder Softwarekomponente (EVG, Bewertungsziel ). Das EAL-Rating bestimmt den Umfang der Tests und das Vertrauen, dass die Sicherheit den Ansprüchen entspricht. Sie können EALs nicht einfach numerisch vergleichen, die Nummer kann nur im Kontext des Sicherheitsziels richtig verstanden werden. und vor allem kann dies nur im Zusammenhang mit Ihren Sicherheitsanforderungen verstanden werden.

Umgangssprachlich gibt EAL an, inwieweit etwas das tut, was es auf der Dose sagt. Sie müssen sicherstellen, dass Sie die richtige Dose haben ;-)

9
mr.spuratic

Um Ihre Frage zu beantworten: Ja und Nein :-)

Dies wird lange dauern, und Kritik an Common Criteria richtet sich häufig dagegen. Aber es ist eigentlich ganz einfach, wenn Sie ein paar Begriffe kennen.

Kurzfassung : Die EAL-Stufe selbst ist nur ein Indikator für die Sicherheit eines Produkts. Andere wichtige Faktoren sind:

  1. Was ist der Umfang der Bewertung?. Das heißt, Deckt das Sicherheitsziel tatsächlich alle sicherheitsrelevanten Funktionen des realen Produkts ab? Beachten Sie, dass Schutzprofile ein Werkzeug sind, um dies sicherzustellen.
  2. Wenn das Produkt EAL X + ist, worauf bezieht sich das + dann? Ist eine Sicherheitsversicherungskomponente (SAR) erweitert, für die lediglich weitere Dokumentation erforderlich ist, oder handelt es sich um eine SAR, die für die Produktsicherheit von entscheidender Bedeutung ist , wie AVA_VAN?

Längere Erklärung : Wenn Sie sich die EAL-Ebenen ansehen: Jede EAL-Ebene führt eine Reihe von Sicherheitsgarantiekomponenten (SARs) ein , die in die Bewertung einbezogen werden müssen, damit das EAL-Niveau erreicht wird. Wenn Sie sich die CC-Dokumente ansehen, sehen Sie, dass die meisten Sicherheitskomponenten hierarchisch strukturiert sind und jede Hierarchie einige zusätzliche Anforderungen einführt. Nehmen wir zum Beispiel ADV_FSP, bei dem es um die Qualität und den Umfang der Funktionsspezifikation des Bewertungsziels geht:

  • EAL1 erfordert ADV_FSP.1
  • EAL2 erfordert ADV_FSP.2
  • ...
  • EAL7 erfordert ADV_FSP.6

ADV_FSP.1 ist eine "Informelle Funktionsspezifikation" , während ADV_FSP.2 zusätzlich "Vollständig definierte externe Schnittstellen erfordert ". Und das geht weiter und die höheren Hierarchien beinhalten immer mehr Anforderungen.

Im Allgemeinen bedeutet ein höheres EAL-Niveau eine höhere Sicherheit. Es gibt jedoch zwei wichtige Probleme, die die Dinge komplexer machen:

1. Der Umfang der Bewertung. Die EAL-Werte implizieren, dass bestimmte Sicherheitskomponenten (SARs) enthalten sind. Man kann grob sagen, dass Assurance-Komponenten definieren, wie tief und gründlich etwas getestet/bewertet wird. Dann gibt es noch die Sicherheitsfunktionsanforderungen (SFRs) , die in einem Sicherheitsziel niedergeschrieben sind. Die SFRs definieren , was getestet wird - zusammen mit den anderen Kapiteln eines Sicherheitsziels beschreiben sie den Umfang der Bewertung in einem Sicherheitsziel. Ein berühmtes Beispiel für eine gewisse Seltsamkeit ist die Betriebssystembewertung für Microsoft Windows XP, die unter EAL4 ausgewertet wird. Wenn Sie sich jedoch das Sicherheitsziel ansehen, werden Sie feststellen, dass viele Funktionen vorhanden sind wird nicht in Bezug auf SFRs beschrieben und einfach aus dem Ziel der Evaluierung herausgenommen. Wie Netzwerkzugriff . Dies war eine große Schwachstelle in Windows XP und häufig Der Sinn schreibt vor, dass die Windows XP -Zertifizierung) in Bezug auf die Sicherheit wirklich nicht viel bedeutet. Andererseits ist dies ein absolut gültiger Ansatz: Sie konzentrieren sich einfach auf einen Bereich, in dem sich das Produkt befinden muss sicher, aber andere Bereiche liegen außerhalb des Geltungsbereichs. Sie könnten also Anbieter A haben, der etwas ehrlicher ist und sicherstellt, dass sein gesamtes Produkt einer Bewertung unterzogen wird, aber nur mit EAL2 bewertet wird, und Sie könnten Anbieter B haben, der nur a bewertet winziger Bruchteil seines Produkts, entspricht aber EAL4. Dann ist das Produkt von Anbieter Bs nicht unbedingt besser.

Schutzprofile zielen genau auf dieses Problem ab, da sie ein Produkt anhand eines festen Satzes von SFRs und/oder EAL-Level beschreiben. Wenn das Sicherheitsziel einer Produktbewertung diesem Schutzprofil nicht entspricht, wissen Sie, dass der Umfang der Bewertung mindestens so breit ist wie im Schutzprofil beschrieben, und das obige Beispiel für Anbieter A und B wäre einfach unmöglich, wenn Es gab ein geeignetes Schutzprofil, und beide würden sicherstellen, dass ihre Produkte diesem Schutzprofil entsprechen.

2. Erweiterung der Sicherheitssicherungskomponenten (EAL X +). Die andere Antwort erwähnte bereits ALC_FLR (dokumentierte und formale Verfahren zur Meldung und Verwaltung von Sicherheitsmängeln). Dies zielt auf Software ab und bedeutet im Grunde, dass Sie über einen Prozess verfügen müssen, um sicherzustellen, dass Schwachstellen behoben werden. Eine weitere sehr wichtige Sicherheitskomponente ist AVA_VAN - Vulnerability Assessment. Dies ist genau der Teil, in dem die Evaluierungsfunktion Ihr Produkt zerlegt und auf Schwachstellen testet :-) CC definiert diese Beziehungen

  • EAL1: AVA_VAN.1
  • EAL2/3: AVA_VAN.2
  • EAL4: AVA_VAN.3
  • EAL5: AVA_VAN.4
  • EAL6/7: AVA_VAN.5

Ein Problem hierbei ist, dass Sie nach diesen Definitionen suchen, wenn Sie einen hohen AVA_VAN-Level haben möchten und basierend auf diesem Auswahl- und EAL-Level, um beispielsweise AVA_VAN.5 zu erhalten, EAL6 wählen würden. EAL6 eignet sich jedoch für semi-formal verifiziertes Design und Tests, und das könnte ein völliger Overkill sein, da der Entwicklungsprozess einfach zu komplex ist und die gesamte Produktentwicklung zu kostspielig ist.

In der Praxis wird häufig ein niedrigeres EAL-Niveau verwendet, das jedoch durch ein höheres AVA_VAN-Niveau erweitert wird. In der Smartcard-Welt sehen Sie beispielsweise häufig EAL4 +, wobei sich das + auf AVA_VAN.5 bezieht. Sie können dann sicher sein, dass das Produkt wirklich nicht leicht zerbrochen, gehackt/geknackt werden kann, aber dennoch nicht unbedingt semiformal entworfen und verifiziert wurde. Oder mit anderen Worten: Ein Produkt mit EAL4 +/AVA_VAN.5 ist möglicherweise praktisch sicherer als ein Produkt mit (einfachem) EAL5, da für EAL5 nur AVA_VAN.4 erforderlich ist.

4
ndbd