Új jelszó kérése

Biztonsági minősítések jelentése - FIPS, CC-EAL5, BSI

Biztonsági minősítések

Az eszközökre vonatkozó biztonsági minősítéseknek komoly szerepük van: meghatározzák az adott eszköz biztonsági funkcióit, titkosításának megfelelőségét – tehát azt, hogy mennyire lehet megbízni az adott eszközben.

 

FIPS 197 (FIPS PUB 197)

A minősítés nem az eszközre, hanem a titkosításhoz használt Advanced Encryption Standard (AES) algoritmusra vonatkozik. Az AES algoritmus szimmetrikus kulcsú titkosítás, tehát az adatok titkosításához ugyanazt a titkosító kulcsot használja, mint az adatok kititkosításához.

 

A FIPS minősítés tehát csak annyit jelent, hogy az eszközben felhasznált titkosító algoritmus megfelel a NIST által megfogalmazott AES szabványnak, a szabványnak megfelelően működik, nem pedig a gyártó hozott létre egy újabb, és ellenőrizetlen titkosítási metódust.

 

A FIPS 197 minősítés alapvető fontosságú az eszközök választásában, ha olyan megoldást szeretnénk, amely szabványos, ellenőrzött és megbízható.

 

FIPS-140-2

 

A FIPS-140-2 az USA kormányának biztonsági szabványa, és a minősítés jóval többet jelent, mint a FIPS 197, mert nem csak a titkosító algoritmus, hanem a teljes eszköz kriptográfiai működése, funkciói kerülnek ellenőrzésre.

 

A FIPS-140-2 Level 3 minősítés elvárja az eszköztől, hogy a felhasznált kriptográfiai áramkör és a titkosítási környezet (beleértve az algoritmust is) fizikailag és logikailag is ellenálló legyen a támadásokkal és visszaélésekkel szemben.

 

Alapvető elvárása a szabványnak, hogy az eszközök zártak legyenek, ne lehessen hozzáférni a titkosító áramkörökhöz, az eszköz reagáljon a bontási és behatolási kísérleteknek (tamper proof), valamint a működését befolyásoló módosítási kísérleteknek.

 

Csak az az eszköz kapja meg a minősítést, amelyet az erre hivatott szervezetek laboratóriumi körülmények között nagyon alaposan leteszteltek.

 

CC-EAL-5

 

A Common Criteria nemzetközi biztonsági szabvány a FIPS-140-hez hasonlóan, de még részletesebb elvárásokat fogalmaz meg az eszközökkel kapcsolatban, tehát egy CC-EAL-5 minősítésű eszköz magasabb biztonsági elvárásoknak kell megfeleljen, mint a FIPS-140-2 esetén, mivel nem csak a felhasznált kriptográfiai áramkör és a titkosítási környezet, de az teljes eszköz működése ellenőrzésre kerül biztonsági szempontok alapján.

 

A minősítés megszerzéséhez a gyártónak át kell adnia a hivatott szervezetnek az eszköz teljes dokumentációját és terveit, majd az eszközt laboratóriumi környezetben vizsgálják és penetrációs tesztekkel (betörési, hekkelési kísérletek) ellenőrzik az eszköz megfelelő működését és ellenálló képességét.

 

 

Nemzeti/állami minősítések – BSI/NSA/NSM

 

Az egyes államok megfogalmazzák saját biztonsági szabványaikat, amelyet teljesítő eszközöket nemzeti minősítéssel látják el. (Végső soron a FIPS-140-2 is nemzeti minősítés, de ennek ellenére nemzetközileg is használják és elismerik).

 

A nemzeti minősítések valamely nemzetközi szabványra és minősítő eljárásra épülnek (pl. Common Criteria), de tartalmazhatnak olyan elvárásokat, amelyek az adott országra specifikusan vonatkoznak.

 

A BSI német állam (Bundesamt für Sicherheit in der Informationstechnik) nemzetbiztonsági felügyeletének neve és minősítése, az EU-ban elterjedt és nagyra becsült tanúsítvány. A BSI minősített eszközök megfelelnek a német állam nemzetbiztonsági felügyelete által megfogalmazott elvárásoknak és az általuk végrehajtott teszteket is sikeresen teljesítette.

 

Az NSM a norvég nemzetbiztonsági felügyelet neve és minősítése, az EU-ban elterjedt és nagyra becsült tanúsítvány. Az NSM minősített eszközök megfelelnek a norvég állam nemzetbiztonsági felügyelete által megfogalmazott elvárásoknak és az általuk végrehajtott teszteket is sikeresen teljesítette.

Webáruház készítés