Fontosabb biztonsági minősítések – FIPS 197, FIPS-140-2, CC-EAL, BSI

 Következzen egy rövid összefoglaló a biztonsági minősítésekről, a teljesség igénye és főleg a nagyon részletes magyarázat nélkül. Az összefoglaló remélhetőleg segítséget nyújt abban, hogy megértsük az egyes minősítések jelentését és értékét, ezáltal pedig eldönthessük, hogy melyik mágikus varázsszó fontos a számunkra.

Az eszközökre vonatkozó biztonsági minősítéseknek komoly szerepük van: meghatározzák az adott eszköz biztonsági funkcióit, titkosításának megfelelőségét – tehát azt, hogy mennyire lehet megbízni az adott eszközben.

FIPS 197 (FIPS PUB 197)

A minősítés nem az eszközre, hanem a titkosításhoz használt Advanced Encryption Standard (AES) algoritmusra vonatkozik. Az AES algoritmus szimmetrikus kulcsú titkosítás, tehát az adatok titkosításához ugyanazt a titkosító kulcsot használja, mint az adatok kititkosításához.

A FIPS minősítés tehát csak annyit jelent, hogy az eszközben felhasznált titkosító algoritmus megfelel a NIST által megfogalmazott AES szabványnak, a szabványnak megfelelően működik, nem pedig a gyártó hozott létre egy újabb, és ellenőrizetlen titkosítási metódust.

A FIPS 197 minősítés alapvető fontosságú az eszközök választásában, ha olyan megoldást szeretnénk, amely szabványos, ellenőrzött és megbízható.

FIPS-140-2 (Level X)

 A FIPS-140-2 az USA kormányának biztonsági szabványa, és a minősítés jóval többet jelent, mint a FIPS 197, mert nem csak a titkosító algoritmus, hanem a teljes eszköz kriptográfiai működése, funkciói kerülnek ellenőrzésre.

A FIPS-140-2 Level 3 minősítés elvárja az eszköztől, hogy a felhasznált kriptográfiai áramkör és a titkosítási környezet (beleértve az algoritmust is) fizikailag és logikailag is ellenálló legyen a támadásokkal és visszaélésekkel szemben.

Alapvető elvárása a szabványnak, hogy az eszközök zártak legyenek, ne lehessen hozzáférni a titkosító áramkörökhöz, az eszköz reagáljon a bontási és behatolási kísérleteknek (tamper proof), valamint a működését befolyásoló módosítási kísérleteknek.

Csak az az eszköz kapja meg a minősítést, amelyet az erre hivatott szervezetek laboratóriumi körülmények között nagyon alaposan leteszteltek.

CC-EAL-5

A Common Criteria nemzetközi biztonsági ajánlás/szabványa a FIPS-140-hez hasonlóan, de még részletesebb elvárásokat fogalmaz meg az eszközökkel kapcsolatban, tehát egy CC-EAL-5 minősítésű eszköz magasabb biztonsági elvárásoknak kell megfeleljen, mint a FIPS-140-2 esetén, mivel nem csak a felhasznált kriptográfiai áramkör és a titkosítási környezet, de a teljes eszköz működése ellenőrzésre kerül biztonsági szempontok alapján.

A minősítés megszerzéséhez a gyártónak át kell adnia a hivatott szervezetnek az eszköz dokumentációját és terveit, majd az eszközt laboratóriumi környezetben vizsgálják és penetrációs tesztekkel (betörési, hekkelési kísérletek) ellenőrzik az eszköz megfelelő működését és ellenálló képességét.

Nemzeti/állami minősítések – BSI/NSA/NSM

Az egyes államok megfogalmazzák saját biztonsági szabványaikat, amelyet teljesítő eszközöket nemzeti minősítéssel látják el. (Végső soron a FIPS-140-2 is nemzeti minősítés, de ennek ellenére világszerte is használják és elismerik).

A nemzeti minősítések általában valamely nemzetközi ajánlásra/szabványra és minősítő eljárásra épülnek (pl. Common Criteria), de tartalmazhatnak olyan elvárásokat, amelyek az adott országra specifikusan vonatkoznak.

A BSI német állam (Bundesamt für Sicherheit in der Informationstechnik) nemzet(i)biztonsági felügyeletének neve és minősítése, az EU-ban elterjedt és nagyra becsült tanúsítvány. A BSI minősített eszközök megfelelnek a német állam nemzet(i)biztonsági felügyelete által megfogalmazott elvárásoknak és az általuk végrehajtott teszteket is sikeresen teljesítette.

Az NSM a norvég nemzet(i)biztonsági felügyelet neve és minősítése, az EU-ban elterjedt és nagyra becsült tanúsítvány. Az NSM minősített eszközök megfelelnek a norvég állam nemzet(i)biztonsági felügyelete által megfogalmazott elvárásoknak és az általuk végrehajtott teszteket is sikeresen teljesítette.