Common Criteria: Unterschied zwischen den Versionen

Aus Foxwiki
Subpages:
Keine Bearbeitungszusammenfassung
 
(217 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' kurze Beschreibung
'''Common Criteria''' ('''CC''') - [[Standard]] zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten
== Beschreibung ==
== Installation ==
== Anwendungen ==
=== Fehlerbehebung ===
== Syntax ==
=== Optionen ===
=== Parameter ===
=== Umgebungsvariablen ===
=== Exit-Status ===
== Konfiguration ==
=== Dateien ===
== Sicherheit ==
== Dokumentation ==
=== RFC ===
=== Man-Pages ===
=== Info-Pages ===
== Siehe auch ==
== Links ==
=== Projekt-Homepage ===
=== Weblinks ===
=== Einzelnachweise ===
<references />
== Testfragen ==
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>


[[Kategorie:Entwurf]]
=== Beschreibung ===
Internationaler [[Standard]] zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten


= Wikipedia =
; Löst seit 1996 ab
Die '''Common Criteria for Information Technology Security Evaluation''' (kurz auch '''Common Criteria''' oder '''CC'''; zu deutsch: ''Allgemeine Kriterien für die Bewertung der Sicherheit von Informationstechnologie'') sind ein internationaler [[Standard]] zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten.
{| class="wikitable options"
|-
| Amerikanisch || [[Trusted Computer System Evaluation Criteria|TCSEC]]
|-
| Europäisch || [[Information Technology Security Evaluation Criteria|ITSEC]]
|}


== Geschichte ==
; Evaluierung und Zertifizierung
Im Juni 1993 begann das ''Common Criteria Editorial Board'' (CCEB) mit Mitgliedern aus Kanada, Frankreich, Deutschland, Großbritannien und den Vereinigten Staaten mit der Ausarbeitung der Common Criteria.
Erfolgt in Deutschland in der Regel durch das [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI)
* Dazu glich das CCEB die bisherigen Standards [[CTCPEC]] (kanadisch), [[ITSEC]] (europäisch) und [[TCSEC]] (amerikanisch) einander an.
* So wurde eine gemeinsam anerkannte Grundlage für Bewertungen der Datensicherheit geschaffen.
* Das soll vermeiden, dass Komponenten oder Systeme in verschiedenen Ländern mehrfach bewertet und zertifiziert werden müssen.
* Die erste Version (1.0) wurde im Januar 1996 veröffentlicht.
* Version 2.0 folgte nach einer langen Revisions-Phase durch das neu gegründete ''CC Implementation Board'' (CCIB) im Mai 1998.
* Zu den sogenannten Projektsponsoren gehörte seit dieser Version neben den bisher genannten Staaten auch die Niederlande.


=== ISO/IEC-Standard ===
; Internationale [[Qualitätsmanagementnorm]]
Seit 1994 war die ''International Organization for Standardization'' (ISO) gemeinsam mit dem CCEB bzw.
* Bewertung und [[Zertifizierung]] der ''Sicherheit von Computersystemen''
* dem Nachfolger CCIB bemüht, einen internationalen Standard zu entwickeln.
* Common Criteria for Information Technology Security Evaluation
* Durch die Verabschiedung der Norm [[ISO]]/[[International Electrotechnical Commission|IEC]]&nbsp;15408 am 1.
* Allgemeine Kriterien für die Bewertung der Sicherheit von [[Informationstechnologie]]
* Dezember 1999 in mehreren Teildokumenten<ref>[http://www.iso.org/iso/search.htm?qt=15408&searchSubmit=Search&sort=rel&type=simple&published=on Suchergebnis bei ISO zur ISO/IEC&nbsp;15408]</ref> sind die Common Criteria ein allgemeiner und weltweit anerkannter Standard.<ref name="Kemmerer2001">{{Internetquelle |autor=Richard A.
* Kemmerer |url=http://www.cs.ucsb.edu/~kemm/courses/cs177/ency.pdf |titel=Computer Security |datum=2001 |zugriff=2013-06-13 |format=PDF; 135&nbsp;kB |sprache=en}}</ref><ref name="CC21">{{Internetquelle |autor=CCIB |url=http://www.commoncriteriaportal.org/files/ccfiles/ccpart1v21.pdf |titel=Common Criteria for Information Technology Security Evaluation |titelerg=Part 1: Introduction and general model |datum=1999-08 |zugriff=2013-06-13 |format=PDF; 260&nbsp;kB |sprache=en |archiv-url=https://web.archive.org/web/20120419062255/http://www.commoncriteriaportal.org/files/ccfiles/ccpart1v21.pdf |archiv-datum=2012-04-19 |offline=ja |archiv-bot=2019-03-10 22:31:40 InternetArchiveBot }}</ref> Die Norm unterliegt den üblichen Änderungsverfahren der ISO.
* Im Jahr 2005 folgte die Version 2.3, im September 2006 ein Versionssprung auf 3.1.
* Neue Projektsponsoren sind seitdem Australien, Neuseeland, Japan und Spanien.<ref name="CC31">{{Internetquelle |autor=CCIB |url=http://www.commoncriteriaportal.org/files/ccfiles/CCPART1V3.1R1.pdf |titel=Common Criteria for Information Technology Security Evaluation |titelerg=Part 1: Introduction and general model |datum=2006-09 |zugriff=2013-06-13 |format=PDF; 561&nbsp;kB |sprache=en |archiv-url=https://web.archive.org/web/20121224195718/http://www.commoncriteriaportal.org/files/ccfiles/CCPART1V3.1R1.pdf |archiv-datum=2012-12-24 |offline=ja |archiv-bot=2019-03-10 22:31:40 InternetArchiveBot }}</ref> Im September 2012 wurde die vierte Revision der Common Criteria 3.1 veröffentlicht, im April 2017 folgte Revision 5.


== Vorgehensmodell ==
;  Teile der Common Criteria
{{Infobox Norm
{| class="wikitable big options col1center"
|Typ= ISO/IEC
|-
|Nummer = 15408
! Kapitel !! Beschreibung!! Dokument
|Teile= 3
|-
|Bereich = IT-Sicherheit
| 1 || Einführung und allgemeines Modell|| [https://www.commoncriteriaportal.org/files/ccfiles/CC2022PART1R1.pdf Introduction and general model]
|Titel = Informationstechnik – IT-Sicherheitsverfahren – Evaluationskriterien für IT-Sicherheit
|-
|Beschreibung =
| 2 || Funktionale Sicherheitsanforderungen|| [https://www.commoncriteriaportal.org/files/ccfiles/CC2022PART2R1.pdf Security functional requirements]
|Stand = Teil 1&2:2020-12
|-
|nationale Übernahmen = EN ISO/IEC 15408<br /> DIN EN ISO/IEC 15408,<br />ÖVE/ÖNORM EN ISO/IEC 15408,<br />SN EN ISO/IEC 15408
| 3 || Anforderungen an die Gewährleistung der Sicherheit|| [https://www.commoncriteriaportal.org/files/ccfiles/CC2022PART3R1.pdf Security assurance requirements]
}}
|-
| 4 || Rahmen für die Spezifikation von Evaluationsmethoden und -aktivitäten|| [https://www.commoncriteriaportal.org/files/ccfiles/CC2022PART4R1.pdf Framework for the specification of evaluation methods and activities]
|-
| 5 || Vordefinierte Pakete von Sicherheitsanforderungen|| [https://www.commoncriteriaportal.org/files/ccfiles/CC2022PART5R1.pdf Pre-defined packages of security requirements]
|}


Die Common Criteria unterscheiden zwischen der [[Funktionalität (Technik)|Funktionalität]] (Funktionsumfang) des betrachteten Systems und der [[Vertrauenswürdigkeit]] ([[Qualität]]).
; CEM 2022
* Die Unterscheidung zwischen der Funktionalität eines Systems auf der einen Seite und dem Vertrauen, das durch eine Prüfung in diese Funktionalität entstehen kann, ist eines der wesentlichen Paradigmen der Common Criteria.
Common Methodology for Information Technology Security Evaluation (CEN 2022)
* Die Vertrauenswürdigkeit wird nach den Gesichtspunkten der Wirksamkeit der verwendeten [[Methode (Softwaretechnik)|Methoden]] und der [[Korrektheit (Informatik)|Korrektheit]] der [[Implementierung]] betrachtet.
{| class="wikitable big options"
* Das Vorgehen kann als rückgekoppeltes [[Wasserfallmodell]] verstanden werden.
|-
! Option !! Beschreibung
|-
| | CEM
| | [https://www.commoncriteriaportal.org/files/ccfiles/CEM2022R1.pdf CEM2022R1.pdf ]
|-
| | Errata to CC:2022 and CEM:2022
| | [https://www.commoncriteriaportal.org/files/ccfiles/CCMB-2024-02-001-v1_0-Final-Errata_Interpretation_CC_CEM_2022_Release%20Candidate.pdf CC2022CEM2022Errata_Interpretation.pdf ]
|-
| | Transition Policy to CC:2022 and CEM:2022
| | [https://www.commoncriteriaportal.org/files/ccfiles/CC2022CEM2022TransitionPolicy.pdf CC2022CEM2022TransitionPolicy.pdf ]
|-
|}


Idealerweise wird zunächst eine von fertigen Produkten unabhängige Sicherheitsbetrachtung durchgeführt, die zur Erstellung eines allgemeinen [[Schutzprofil]]s führt.
=== Vorgehensmodell ===
* Aus diesem Sicherheitskatalog können dann für bestimmte Produkte gezielt [[Sicherheitsvorgaben]] erarbeitet werden, gegen die dann die Evaluierung gemäß CC durchgeführt wird.
Rückgekoppeltes [[Wasserfallmodell]]
* Dabei wird die geforderte Vertrauenswürdigkeit, die ''Prüftiefe'', im Allgemeinen gemäß EAL (Evaluation Assurance Level, s.&nbsp;u.) festgelegt.
* Eine Angabe der Prüftiefe ohne zugrunde liegende funktionale Sicherheitsanforderungen ist sinnlos.
* Vor allem die Nennung der EAL-Stufen ohne weitere Angaben hat sich durchgesetzt, was vielfach zu Irritationen und hitzigen Debatten führt.


Im Dezember 1999 sind die Common Criteria zum International Standard [[International Organization for Standardization|ISO]]/[[International Electrotechnical Commission|IEC]]&nbsp;15408 erklärt worden.
; Unterscheidung
* Der deutsche Anteil an dieser Arbeit wird u.&nbsp;a.
* zwischen der Funktionalität eines Systems auf der einen Seite und dem
* vom [[IT-Sicherheitsverfahren|DIN NIA-01-27 IT-Sicherheitsverfahren]] betreut.
* Vertrauen
** das durch eine Prüfung in diese Funktionalität entstehen kann
ist eines der wesentlichen Paradigmen der Common Criteria


Die CC umfassen drei Teile:
Die Vertrauenswürdigkeit wird nach den Gesichtspunkten der Wirksamkeit der verwendeten [[Methode (Softwaretechnik)|Methoden]] und der [[Korrektheit (Informatik)|Korrektheit]] der [[Implementierung]] betrachtet
* Teil 1: Einführung und allgemeines Modell / Introduction and General Model
* Teil 2: Funktionale Sicherheitsanforderungen / Functional Requirements
* Teil 3: Anforderungen an die Vertrauenswürdigkeit / Assurance Requirements


In Deutschland sind die Normteile als [[DIN-Norm]]en [[DIN]] ISO/IEC 15408-1…3 veröffentlicht.
; Funktionalität und Vertrauenswürdigkeit
{| class="wikitable big options"
|-
! Option !! Beschreibung
|-
| [[Funktionalität (Technik)|Funktionalität]] || Funktionsumfang
|-
| [[Vertrauenswürdigkeit]] || [[Qualität]]
|}


== Zertifizierung ==
==== Schutzprofile ====
Den Common Criteria liegt ein Vier-Augen-Prinzip bei der Prüfung der Sicherheitseigenschaften eines Produktes zugrunde.
Idealerweise wird zunächst eine von fertigen Produkten unabhängige Sicherheitsbetrachtung durchgeführt, die zur Erstellung eines allgemeinen [[Schutzprofil]]s führt
Das Produkt muss zuerst von einer [[Akkreditierung (Wirtschaft)|akkreditierten]] Prüfstelle evaluiert werden und kann dann bei einer Zertifizierungsstelle (in Deutschland ist dies das [[Bundesamt für Sicherheit in der Informationstechnik|Bundesamt für Sicherheit in der Informationstechnik (BSI)]]) zertifiziert werden.
* Aus diesem Sicherheitskatalog können dann für bestimmte Produkte gezielt [[Sicherheitsvorgaben]] erarbeitet werden, gegen die dann die Evaluierung gemäß CC durchgeführt wird
* Dabei wird die geforderte Vertrauenswürdigkeit, die ''Prüftiefe'', im Allgemeinen gemäß EAL (Evaluation Assurance Level, s.&nbsp;u.) festgelegt
* Eine Angabe der Prüftiefe ohne zugrunde liegende funktionale Sicherheitsanforderungen ist sinnlos
* Vor allem die Nennung der EAL-Stufen ohne weitere Angaben hat sich durchgesetzt, was vielfach zu Irritationen und hitzigen Debatten führt


== Internationale Anerkennung ==
=== Paradigmen ===
Eine Zertifizierung gemäß den Common Criteria ist international nach [[CCRA]] bis zum EAL2 und nach [[SOGIS-MRA]] bis zum EAL 4 (siehe unten) gegenseitig anerkannt.
; Trennung von Funktionalität und Vertrauenswürdigkeit
* Höhere EALs müssen international nicht anerkannt werden, haben aber in der privaten Wirtschaft wegen ihrer enormen Komplexität ohnehin kaum praktische Bedeutung.
* Das grundsätzliche Paradigma der Common Criteria ist die Trennung der Betrachtung von Funktionalität und Vertrauenswürdigkeit
* Innerhalb von Europa sind innerhalb des „SOGIS-Abkommens“ und innerhalb bestimmter technischer Gebiete auch Zertifizierungen bis EAL 7 unter Umständen anerkannt.
* Grundsätzlich erfolgt durch die Kriterien keine Vorgabe, dass eine bestimmte Funktionalität umgesetzt werden muss oder dass diese mit einer bestimmten Vertrauenswürdigkeit geprüft werden muss
== Paradigma der Kriterien ==
* Beide Aspekte werden zu Beginn der Evaluation vom Hersteller des Produkts in einem Dokument, dem „Security Target“, definiert
Das grundsätzliche Paradigma der Common Criteria ist die Trennung der Betrachtung von Funktionalität und Vertrauenswürdigkeit.
* Grundsätzlich erfolgt durch die Kriterien keine Vorgabe, dass eine bestimmte Funktionalität umgesetzt werden muss oder dass diese mit einer bestimmten Vertrauenswürdigkeit geprüft werden muss.
* Beide Aspekte werden zu Beginn der Evaluation vom Hersteller des Produkts in einem Dokument, dem „Security Target“, definiert.


=== Funktionalitätsklassen ===
==== Funktionalitätsklassen ====
Teil II der Common Criteria enthält eine Reihe von sogenannten „Security Functional Requirements“ (SFR).
Teil II der Common Criteria enthält eine Reihe von sogenannten „Security Functional Requirements“ (SFR)
* Mit Hilfe dieser halbformalen Bausteine wird die Sicherheitsfunktionalität eines zu prüfenden Produkts beschrieben.
* Mit Hilfe dieser halbformalen Bausteine wird die Sicherheitsfunktionalität eines zu prüfenden Produkts beschrieben
Im Gegensatz zu anderen Normen sind die Funktionalitätsklassen nicht hierarchisch gegliedert.
* Stattdessen beschreibt jede Klasse eine bestimmte Grundfunktion der Sicherheitsarchitektur, die getrennt bewertet werden muss.
* Wichtige Funktionalitätsklassen sind:
* FAU ([[Logdatei|Sicherheitsprotokollierung]])
* FCO ([[Kommunikation]])
* FCS ([[Kryptographie|Kryptographische]] Unterstützung)
* FDP ([[Datenschutz|Schutz der Benutzerdaten]])
* FIA ([[Identifikator|Identifikation]] und [[Authentisierung]])
* FMT ([[Sicherheitsmanagement]])
* FPR ([[Privatsphäre]])
* FPT ([[Schutz der Sicherheitsfunktionen]])
* FRU ([[Betriebsmittelnutzung]])
* FTA ([[Schnittstelle]])
* FTP ([[vertrauenswürdiger Pfad]]/Kanal)


Grundsätzlich obliegt die Auswahl der Funktionalität, die ein zu prüfendes System bereitstellen soll, dem Hersteller.
Im Gegensatz zu anderen Normen sind die Funktionalitätsklassen nicht hierarchisch gegliedert
* Es fällt in seinen Verantwortungsbereich, diese Funktionalität mit den anderen beteiligten Parteien – insbesondere dem Kunden – abzustimmen.
* Stattdessen beschreibt jede Klasse eine bestimmte Grundfunktion der Sicherheitsarchitektur, die getrennt bewertet werden muss
* Im Rahmen einer Evaluation nach Common Criteria werden grundsätzlich nur solche Funktionen geprüft, die der Hersteller in seinem „Security Target“ modelliert hat.


Bei der Auswahl von SFR aus Teil II der Common Criteria sind gewisse Rahmenbedingungen zu beachten.
; Wichtige Funktionalitätsklassen
* So pflegt Teil II der CC auch Abhängigkeiten zwischen SFRs, die bei der Auswahl beachtet werden müssen.
{| class="wikitable big options col1center"
* Wird z.&nbsp;B. ein SFR zur Beschreibung einer Zugriffskontrollpolitik auf Daten verwendet, schreibt die Abhängigkeit vor, dass auch SFRs zur Authentisierung der Nutzer zu verwenden sind.
|-
! Klasse !! Beschreibung
|-
| FAU || [[Logdatei|Sicherheitsprotokollierung]]
|-
| FCO || [[Kommunikation]]
|-
| FCS || [[Kryptografie|Kryptographische]] Unterstützung
|-
| FDP || [[Datenschutz|Schutz der Benutzerdaten]]
|-
| FIA || [[Identifikator|Identifikation]] und [[Authentisierung]]
|-
| FMT || [[Sicherheitsmanagement]]
|-
| FPR || [[Privatsphäre]]
|-
| FPT || [[Schutz der Sicherheitsfunktionen]]
|-
| FRU || [[Betriebsmittelnutzung]]
|-
| FTA || [[Schnittstelle]]
|-
| FTP || [[vertrauenswürdiger Pfad]]/Kanal
|}
 
==== Auswahl ====
; Auswahl der Funktionalität, die ein zu prüfendes System bereitstellt Obliegt dem Hersteller
* Es fällt in seinen Verantwortungsbereich, diese Funktionalität mit den anderen beteiligten Parteien – insbesondere dem Kunden – abzustimmen
* Im Rahmen einer Evaluation nach Common Criteria werden prinzipiell nur solche Funktionen geprüft, die der Hersteller in seinem „Security Target“ modelliert hat


Kollektionen von SFRs werden zu [[Schutzprofil]]en zusammengefasst, die den typischen Funktionsumfang bestimmter Produkte (z.&nbsp;B. [[Firewall]]s, [[Smartcard]]s etc.) beschreiben.
; Rahmenbedingungen
* Solche Schutzprofile werden klassischerweise von Herstellerverbänden oder großen Kunden geschrieben, um ihre Anforderungen an eine bestimmte Klasse von Produkten auszudrücken.
Bei der Auswahl von SFR aus Teil II der Common Criteria sind gewisse Rahmenbedingungen zu beachten
* So pflegt Teil II der CC auch Abhängigkeiten zwischen SFRs, die bei der Auswahl beachtet werden müssen
* Wird z.&nbsp;B.&nbsp;ein SFR zur Beschreibung einer Zugriffskontrollpolitik auf Daten verwendet, schreibt die Abhängigkeit vor, dass auch SFRs zur Authentisierung der Nutzer zu verwenden sind


=== Vertrauenswürdigkeit ===
; Schutzprofile
Die Common Criteria definieren sieben Stufen der [[Vertrauenswürdigkeit]] (Evaluation Assurance Level, EAL1-7), die die Korrektheit der [[Implementierung]] des betrachteten Systems bzw.  
* Kollektionen von SFRs werden zu [[Schutzprofil]]en zusammengefasst
* die ''Prüftiefe'' beschreiben.
* Die den typischen Funktionsumfang bestimmter Produkte (z.&nbsp;B.&nbsp;[[Firewall]]s, [[Smartcard]]s etc.) beschreiben
* Mit steigender Stufe der Vertrauenswürdigkeit steigen die Anforderungen an die Tiefe, in der der Hersteller sein Produkt beschreiben muss und mit dem das Produkt geprüft wird.
* Solche Schutzprofile werden klassischerweise von Herstellerverbänden oder großen Kunden geschrieben, um ihre Anforderungen an eine bestimmte Klasse von Produkten auszudrücken
* Die folgende Tabelle gibt eine Übersicht über die ''Evaluation Assurance Levels'' und stellt diese auch Prüftiefen in anderen Kriterien gegenüber.


{| class=wikitable style="text-align:center;"
==== Vertrauenswürdigkeit ====
! CC EAL
Die Common Criteria definieren sieben Stufen der [[Vertrauenswürdigkeit]] (Evaluation Assurance Level, EAL1-7), die die Korrektheit der [[Implementierung]] des betrachteten Systems bzw.&nbsp;die ''Prüftiefe'' beschreiben
! Bedeutung
* Mit steigender Stufe der Vertrauenswürdigkeit steigen die Anforderungen an die Tiefe, in der der Hersteller sein Produkt beschreiben muss und mit dem das Produkt geprüft wird
! [[Information Technology Security Evaluation Criteria|ITSEC]] E
 
! [[Deutsche IT-Sicherheitskriterien|BSI ITS]] Q
; Übersicht über die ''Evaluation Assurance Levels''
! [[Trusted Computer System Evaluation Criteria|TCSEC]]
Prüftiefen in anderen Kriterien
{| class="wikitable big options col1center"
|-
|-
| EAL1
! CC EAL !! Bedeutung !! [[Information Technology Security Evaluation Criteria|ITSEC]] E !! [[Deutsche IT-Sicherheitskriterien|BSI ITS]] Q !! [[Trusted Computer System Evaluation Criteria|TCSEC]]
| style="background-color:#EEE; text-align:left;" |funktionell getestet
| E0-E1
| Q0-Q1
| D-C1
|-
|-
| EAL2
| EAL1 || funktionell getestet || E0-E1 || Q0-Q1 || D-C1
| style="background-color:#EEE; text-align:left;" |strukturell getestet
| E1
| Q1
| C1
|-
|-
| EAL3
| EAL2 || strukturell getestet || E1 || Q1 || C1
| style="background-color:#EEE; text-align:left;" |methodisch getestet und überprüft
| E2
| Q2
| C2
|-
|-
| EAL4
| EAL3 || methodisch getestet und überprüft || E2 || Q2 || C2
| style="background-color:#EEE; text-align:left;" |methodisch entwickelt, getestet und durchgesehen
| E3
| Q3
| B1
|-
|-
| EAL5
| EAL4 || methodisch entwickelt, getestet und durchgesehen || E3 || Q3 || B1
| style="background-color:#EEE; text-align:left;" |semiformal entworfen und getestet
| E4
| Q4
| B2
|-
|-
| EAL6
| EAL5 || semiformal entworfen und getestet || E4 || Q4 || B2
| style="background-color:#EEE; text-align:left;" |semiformal verifizierter Entwurf und getestet
| E5
| Q5
| B3
|-
|-
| EAL7
| EAL6 || semiformal verifizierter Entwurf und getestet || E5 || Q5 || B3
| style="background-color:#EEE; text-align:left;" |formal verifizierter Entwurf und getestet
|-
| E6
| EAL7 || formal verifizierter Entwurf und getestet || E6 || Q6 || A
| Q6
| A
|}
|}


== Methodik der Bewertung für die Zertifizierung ==
=== Zertifizierung ===
; Vier-Augen-Prinzip
* Den Common Criteria liegt ein Vier-Augen-Prinzip zugrunde
* Kann dann bei einer Zertifizierungsstelle zertifiziert werden
 
; Zertifizierungsstelle
* Deutschland: [[Bundesamt für Sicherheit in der Informationstechnik|Bundesamt für Sicherheit in der Informationstechnik (BSI)]]
 
; Methodik der Bewertung für die Zertifizierung
* Ergänzend zu den Common Criteria wurde von den beteiligten Gremien und Einrichtungen eine Zertifizierungsmethodik entwickelt, die die Ergebnisse von Zertifizierungen nachvollziehbar und vergleichbar machen soll
* Derzeit (Stand 2007) sind sie für die Teile 1 und 2 ausgeführt und analog zu den EAL 1–4 aufgebaut
 
==== Internationale Anerkennung ====
Eine Zertifizierung gemäß den Common Criteria ist international nach [[CCRA]] bis zum EAL2 und nach [[SOGIS-MRA]] bis zum EAL 4 (siehe unten) gegenseitig anerkannt
* Höhere EALs müssen international nicht anerkannt werden, haben aber in der privaten Wirtschaft wegen ihrer enormen Komplexität ohnehin kaum praktische Bedeutung
* Innerhalb von Europa sind innerhalb des „SOGIS-Abkommens“ und innerhalb bestimmter technischer Gebiete auch Zertifizierungen bis EAL 7 unter Umständen anerkannt
 
<noinclude>
 
== Anhang ==
=== Normen und Standards ===
==== ISO/IEC-Standard ====
{| class="wikitable options float"
|+ Nationale Übernahmen
|-
! Organisation !! Nummer
|-
| EN ISO/IEC || 15408
|-
| DIN EN ISO/IEC || 15408
|-
| ÖVE/ÖNORM EN ISO/IEC || 15408
|-
| SN EN ISO/IEC || 15408
|}


Ergänzend zu den Common Criteria wurde von den beteiligten Gremien und Einrichtungen eine Zertifizierungsmethodik entwickelt, die die Ergebnisse von Zertifizierungen nachvollziehbar und vergleichbar machen soll.
[[ISO/IEC 15408]]
* Derzeit (Stand 2007) sind sie für die Teile 1 und 2 ausgeführt und analog zu den EAL 1–4 aufgebaut.
* Informationstechnik – IT-Sicherheitsverfahren – Evaluationskriterien für IT-Sicherheit
* Internationaler Standard zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten


== Kritik ==
Seit 1994 war die ''International Organization for Standardization'' (ISO) gemeinsam mit dem CCEB bzw.&nbsp;dem Nachfolger CCIB bemüht, einen internationalen Standard zu entwickeln
Den Common Criteria liegt ein sehr formaler Ansatz zu Grunde, der für die internationale Anerkennung der Zertifikate als Basis erforderlich ist.  
* Durch die Verabschiedung der Norm [[ISO]]/[[International Electrotechnical Commission|IEC]]&nbsp;15408 am 1. Dezember 1999 in mehreren Teildokumenten sind die Common Criteria ein allgemeiner und weltweit anerkannter Standard
* Dies führt zu der häufigen Kritik, dass in Prüfungen nach Common Criteria zu viel Papier und zu wenig Produkt geprüft wird.


Die Evaluierung nach CC ist generell recht aufwendig und nimmt einige Zeit in Anspruch.
==== DIN-Normen ====
* Auch dies führt häufig zu Kritik an der Anwendung dieser Kriterien.
In Deutschland sind die Normteile als [[DIN-Norm]]en [[DIN]] ISO/IEC 15408-1…3 veröffentlicht
* Der deutsche Anteil an dieser Arbeit wird u.&nbsp;a. vom [[IT-Sicherheitsverfahren|DIN NIA-01-27 IT-Sicherheitsverfahren]] betreut


Im Jahr 2017 wurde die [[ROCA-Verwundbarkeit|ROCA-Schwachstelle]] in einer Liste von nach Common Criteria zertifizierten Chipkartenprodukten gefunden.
=== Siehe auch ===
* Die Schwachstelle machte mehrere Mängel des Common Criteria-Zertifizierungssystems deutlich: <ref name=parsovs_phd>Arnis Parsovs, March 2021, Estonian Electronic Identity Card and its Security Challenges, University of Tartu,https://dspace.ut.ee/handle/10062/71481parsovs_arnis.pdf, pages 141-143</ref>
{{Special:PrefixIndex/Common Criteria}}
* Die Schwachstelle befand sich in einem selbst entwickelten [[RSA-Kryptosystem|RSA]]-Schlüsselgenerierungsalgorithmus, welcher nicht veröffentlicht und von der Kryptoanalyse-Community analysiert werden konnte.
* Die in Deutschland anerkannte Prüfstelle TÜV Informationstechnik GmbH ([[TÜViT]]) genehmigte jedoch seine Verwendung und die deutsche Zertifizierungsstelle BSI stellte Common Criteria-Zertifikate für die anfälligen Produkte aus.
* In den [[Sicherheitsvorgaben]] des evaluierten Produkts wurde behauptet, dass die RSA-Schlüssel nach dem Standardalgorithmus erzeugt werden.
* Als Reaktion auf diese Schwachstelle plant das BSI nun, die Transparenz zu verbessern, indem es verlangt, dass im Zertifizierungsbericht zumindest angegeben wird, wenn die implementierte proprietäre Kryptographie nicht genau mit einem empfohlenen Standard übereinstimmt.
* Das BSI plant nicht, die Veröffentlichung des proprietären Algorithmus in irgendeiner Form zu verlangen.
* Obwohl die Zertifizierungsstellen inzwischen wissen, dass die in den Common Criteria-Zertifikaten spezifizierten Sicherheitsansprüche nicht mehr gelten, haben weder [[Agence nationale de la sécurité des systèmes d'information|ANSSI]] noch das BSI die entsprechenden Zertifikate widerrufen.
* Laut BSI kann ein Zertifikat nur dann zurückgezogen werden, wenn es unter falschen Voraussetzungen ausgestellt wurde, z.&nbsp;B. wenn sich herausstellt, dass falsche Nachweise vorgelegt wurden.
* Nach der Ausstellung eines Zertifikats muss davon ausgegangen werden, dass die Gültigkeit des Zertifikats im Laufe der Zeit durch verbesserte und neu entdeckte Angriffe abnimmt.
* Zertifizierungsstellen können Wartungsberichte ausstellen und sogar eine erneute Zertifizierung des Produkts durchführen.
* Diese Aktivitäten müssen jedoch vom Hersteller initiiert und unterstützt werden.
* Während mehrere nach Common Criteria zertifizierte Produkte von der ROCA-Schwachstelle betroffen waren, haben die Hersteller im Rahmen der Zertifizierung unterschiedlich reagiert.
* Für einige Produkte wurde ein Wartungsbericht herausgegeben, der besagt, dass nur RSA-Schlüssel mit einer Länge von 3072 und 3584 Bits ein Sicherheitsniveau von mindestens 100 Bits haben, während für andere Produkte im Wartungsbericht nicht erwähnt wird, dass die Änderung des [[Evaluierungsgegenstand]]s (EVG) die zertifizierte kryptografische Sicherheitsfunktionalität beeinträchtigt, sondern die Schlussfolgerung gezogen wird, dass die Änderung auf der Ebene der Anleitungsdokumentation liegt und keine Auswirkungen auf die Sicherheit hat.
* Laut BSI hätten die Anwender der zertifizierten Endprodukte von den Herstellern über die ROCA-Schwachstelle informiert werden müssen.
* Diese Informationen erreichten jedoch nicht rechtzeitig die estnischen Behörden, die das anfällige Produkt auf mehr als 750.000 estnischen Personalausweisen eingesetzt hatten.


== Einzelnachweise ==
====== Weblinks ======
<references />
# https://de.wikipedia.org/wiki/Common_Criteria_for_Information_Technology_Security_Evaluation
# https://www.iso.org/search.html
# [https://www.heise.de/newsticker/meldung/Neue-Version-des-Sicherheitsstandards-Common-Criteria-165478.html Überarbeitung im Rahmen der 7. CC-Konferenz]
# [https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Produktzertifizierung/ZertifizierungnachCC/zertifizierungnachcc_node.html Common Criteria beim Bundesamt für Sicherheit in der Informationstechnik (BSI)]
# [http://www.commoncriteriaportal.org/ Common Criteria Official Website]
# [http://www.beuth.de/cmd%3Bjsessionid=5B80B13F06BCEF20B9222BC1E36E7895.3?workflowname=infoInstantdownload&customerid=&docname=9847694&orgdocname=&contextid=beuth&servicerefname=beuth&LoginName=&ixos=toc Inhaltsverzeichnis der DIN ISO/IEC 15408-1:2007-11 beim Beuth-Verlag]
# [http://www.beuth.de/cmd%3Bjsessionid=5B80B13F06BCEF20B9222BC1E36E7895.3?workflowname=infoInstantdownload&customerid=&docname=9847695&orgdocname=&contextid=beuth&servicerefname=beuth&LoginName=&ixos=toc Inhaltsverzeichnis der DIN ISO/IEC 15408-2:2007-11 beim Beuth-Verlag]
# [http://www.beuth.de/cmd%3Bjsessionid=5B80B13F06BCEF20B9222BC1E36E7895.3?workflowname=infoInstantdownload&customerid=&docname=9847696&orgdocname=&contextid=beuth&servicerefname=beuth&LoginName=&ixos=toc Inhaltsverzeichnis der DIN ISO/IEC 15408-3:2007-11 beim Beuth-Verlag]


== Weblinks ==
# https://www.commoncriteriaportal.org/cc/index.cfm
* [https://www.heise.de/newsticker/meldung/Neue-Version-des-Sicherheitsstandards-Common-Criteria-165478.html Überarbeitung im Rahmen der 7. CC-Konferenz]
* [https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Produktzertifizierung/ZertifizierungnachCC/zertifizierungnachcc_node.html Common Criteria beim Bundesamt für Sicherheit in der Informationstechnik (BSI)]
* [http://www.commoncriteriaportal.org/ Common Criteria Official Website]
* [http://www.beuth.de/cmd%3Bjsessionid=5B80B13F06BCEF20B9222BC1E36E7895.3?workflowname=infoInstantdownload&customerid=&docname=9847694&orgdocname=&contextid=beuth&servicerefname=beuth&LoginName=&ixos=toc Inhaltsverzeichnis der DIN ISO/IEC 15408-1:2007-11 beim Beuth-Verlag]
* [http://www.beuth.de/cmd%3Bjsessionid=5B80B13F06BCEF20B9222BC1E36E7895.3?workflowname=infoInstantdownload&customerid=&docname=9847695&orgdocname=&contextid=beuth&servicerefname=beuth&LoginName=&ixos=toc Inhaltsverzeichnis der DIN ISO/IEC 15408-2:2007-11 beim Beuth-Verlag]
* [http://www.beuth.de/cmd%3Bjsessionid=5B80B13F06BCEF20B9222BC1E36E7895.3?workflowname=infoInstantdownload&customerid=&docname=9847696&orgdocname=&contextid=beuth&servicerefname=beuth&LoginName=&ixos=toc Inhaltsverzeichnis der DIN ISO/IEC 15408-3:2007-11 beim Beuth-Verlag]


[[Kategorie:Qualitätsmanagementnorm]]
[[Kategorie:Common Criteria]]
[[Kategorie:Qualitätsmanagement (Softwaretechnik)]]
</noinclude>
[[Kategorie:IT-Sicherheit]]

Aktuelle Version vom 14. Mai 2024, 06:42 Uhr

Common Criteria (CC) - Standard zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten

Beschreibung

Internationaler Standard zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten

Löst seit 1996 ab
Amerikanisch TCSEC
Europäisch ITSEC
Evaluierung und Zertifizierung

Erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Internationale Qualitätsmanagementnorm
  • Bewertung und Zertifizierung der Sicherheit von Computersystemen
  • Common Criteria for Information Technology Security Evaluation
  • Allgemeine Kriterien für die Bewertung der Sicherheit von Informationstechnologie
Teile der Common Criteria
Kapitel Beschreibung Dokument
1 Einführung und allgemeines Modell Introduction and general model
2 Funktionale Sicherheitsanforderungen Security functional requirements
3 Anforderungen an die Gewährleistung der Sicherheit Security assurance requirements
4 Rahmen für die Spezifikation von Evaluationsmethoden und -aktivitäten Framework for the specification of evaluation methods and activities
5 Vordefinierte Pakete von Sicherheitsanforderungen Pre-defined packages of security requirements
CEM 2022

Common Methodology for Information Technology Security Evaluation (CEN 2022)

Option Beschreibung
CEM CEM2022R1.pdf
Errata to CC:2022 and CEM:2022 CC2022CEM2022Errata_Interpretation.pdf
Transition Policy to CC:2022 and CEM:2022 CC2022CEM2022TransitionPolicy.pdf

Vorgehensmodell

Rückgekoppeltes Wasserfallmodell

Unterscheidung
  • zwischen der Funktionalität eines Systems auf der einen Seite und dem
  • Vertrauen
    • das durch eine Prüfung in diese Funktionalität entstehen kann

ist eines der wesentlichen Paradigmen der Common Criteria

Die Vertrauenswürdigkeit wird nach den Gesichtspunkten der Wirksamkeit der verwendeten Methoden und der Korrektheit der Implementierung betrachtet

Funktionalität und Vertrauenswürdigkeit
Option Beschreibung
Funktionalität Funktionsumfang
Vertrauenswürdigkeit Qualität

Schutzprofile

Idealerweise wird zunächst eine von fertigen Produkten unabhängige Sicherheitsbetrachtung durchgeführt, die zur Erstellung eines allgemeinen Schutzprofils führt

  • Aus diesem Sicherheitskatalog können dann für bestimmte Produkte gezielt Sicherheitsvorgaben erarbeitet werden, gegen die dann die Evaluierung gemäß CC durchgeführt wird
  • Dabei wird die geforderte Vertrauenswürdigkeit, die Prüftiefe, im Allgemeinen gemäß EAL (Evaluation Assurance Level, s. u.) festgelegt
  • Eine Angabe der Prüftiefe ohne zugrunde liegende funktionale Sicherheitsanforderungen ist sinnlos
  • Vor allem die Nennung der EAL-Stufen ohne weitere Angaben hat sich durchgesetzt, was vielfach zu Irritationen und hitzigen Debatten führt

Paradigmen

Trennung von Funktionalität und Vertrauenswürdigkeit
  • Das grundsätzliche Paradigma der Common Criteria ist die Trennung der Betrachtung von Funktionalität und Vertrauenswürdigkeit
  • Grundsätzlich erfolgt durch die Kriterien keine Vorgabe, dass eine bestimmte Funktionalität umgesetzt werden muss oder dass diese mit einer bestimmten Vertrauenswürdigkeit geprüft werden muss
  • Beide Aspekte werden zu Beginn der Evaluation vom Hersteller des Produkts in einem Dokument, dem „Security Target“, definiert

Funktionalitätsklassen

Teil II der Common Criteria enthält eine Reihe von sogenannten „Security Functional Requirements“ (SFR)

  • Mit Hilfe dieser halbformalen Bausteine wird die Sicherheitsfunktionalität eines zu prüfenden Produkts beschrieben

Im Gegensatz zu anderen Normen sind die Funktionalitätsklassen nicht hierarchisch gegliedert

  • Stattdessen beschreibt jede Klasse eine bestimmte Grundfunktion der Sicherheitsarchitektur, die getrennt bewertet werden muss
Wichtige Funktionalitätsklassen
Klasse Beschreibung
FAU Sicherheitsprotokollierung
FCO Kommunikation
FCS Kryptographische Unterstützung
FDP Schutz der Benutzerdaten
FIA Identifikation und Authentisierung
FMT Sicherheitsmanagement
FPR Privatsphäre
FPT Schutz der Sicherheitsfunktionen
FRU Betriebsmittelnutzung
FTA Schnittstelle
FTP vertrauenswürdiger Pfad/Kanal

Auswahl

Auswahl der Funktionalität, die ein zu prüfendes System bereitstellt Obliegt dem Hersteller
  • Es fällt in seinen Verantwortungsbereich, diese Funktionalität mit den anderen beteiligten Parteien – insbesondere dem Kunden – abzustimmen
  • Im Rahmen einer Evaluation nach Common Criteria werden prinzipiell nur solche Funktionen geprüft, die der Hersteller in seinem „Security Target“ modelliert hat
Rahmenbedingungen

Bei der Auswahl von SFR aus Teil II der Common Criteria sind gewisse Rahmenbedingungen zu beachten

  • So pflegt Teil II der CC auch Abhängigkeiten zwischen SFRs, die bei der Auswahl beachtet werden müssen
  • Wird z. B. ein SFR zur Beschreibung einer Zugriffskontrollpolitik auf Daten verwendet, schreibt die Abhängigkeit vor, dass auch SFRs zur Authentisierung der Nutzer zu verwenden sind
Schutzprofile
  • Kollektionen von SFRs werden zu Schutzprofilen zusammengefasst
  • Die den typischen Funktionsumfang bestimmter Produkte (z. B. Firewalls, Smartcards etc.) beschreiben
  • Solche Schutzprofile werden klassischerweise von Herstellerverbänden oder großen Kunden geschrieben, um ihre Anforderungen an eine bestimmte Klasse von Produkten auszudrücken

Vertrauenswürdigkeit

Die Common Criteria definieren sieben Stufen der Vertrauenswürdigkeit (Evaluation Assurance Level, EAL1-7), die die Korrektheit der Implementierung des betrachteten Systems bzw. die Prüftiefe beschreiben

  • Mit steigender Stufe der Vertrauenswürdigkeit steigen die Anforderungen an die Tiefe, in der der Hersteller sein Produkt beschreiben muss und mit dem das Produkt geprüft wird
Übersicht über die Evaluation Assurance Levels

Prüftiefen in anderen Kriterien

CC EAL Bedeutung ITSEC E BSI ITS Q TCSEC
EAL1 funktionell getestet E0-E1 Q0-Q1 D-C1
EAL2 strukturell getestet E1 Q1 C1
EAL3 methodisch getestet und überprüft E2 Q2 C2
EAL4 methodisch entwickelt, getestet und durchgesehen E3 Q3 B1
EAL5 semiformal entworfen und getestet E4 Q4 B2
EAL6 semiformal verifizierter Entwurf und getestet E5 Q5 B3
EAL7 formal verifizierter Entwurf und getestet E6 Q6 A

Zertifizierung

Vier-Augen-Prinzip
  • Den Common Criteria liegt ein Vier-Augen-Prinzip zugrunde
  • Kann dann bei einer Zertifizierungsstelle zertifiziert werden
Zertifizierungsstelle
Methodik der Bewertung für die Zertifizierung
  • Ergänzend zu den Common Criteria wurde von den beteiligten Gremien und Einrichtungen eine Zertifizierungsmethodik entwickelt, die die Ergebnisse von Zertifizierungen nachvollziehbar und vergleichbar machen soll
  • Derzeit (Stand 2007) sind sie für die Teile 1 und 2 ausgeführt und analog zu den EAL 1–4 aufgebaut

Internationale Anerkennung

Eine Zertifizierung gemäß den Common Criteria ist international nach CCRA bis zum EAL2 und nach SOGIS-MRA bis zum EAL 4 (siehe unten) gegenseitig anerkannt

  • Höhere EALs müssen international nicht anerkannt werden, haben aber in der privaten Wirtschaft wegen ihrer enormen Komplexität ohnehin kaum praktische Bedeutung
  • Innerhalb von Europa sind innerhalb des „SOGIS-Abkommens“ und innerhalb bestimmter technischer Gebiete auch Zertifizierungen bis EAL 7 unter Umständen anerkannt


Anhang

Normen und Standards

ISO/IEC-Standard

Nationale Übernahmen
Organisation Nummer
EN ISO/IEC 15408
DIN EN ISO/IEC 15408
ÖVE/ÖNORM EN ISO/IEC 15408
SN EN ISO/IEC 15408

ISO/IEC 15408

  • Informationstechnik – IT-Sicherheitsverfahren – Evaluationskriterien für IT-Sicherheit
  • Internationaler Standard zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten

Seit 1994 war die International Organization for Standardization (ISO) gemeinsam mit dem CCEB bzw. dem Nachfolger CCIB bemüht, einen internationalen Standard zu entwickeln

  • Durch die Verabschiedung der Norm ISO/IEC 15408 am 1. Dezember 1999 in mehreren Teildokumenten sind die Common Criteria ein allgemeiner und weltweit anerkannter Standard

DIN-Normen

In Deutschland sind die Normteile als DIN-Normen DIN ISO/IEC 15408-1…3 veröffentlicht

Siehe auch

Weblinks
  1. https://de.wikipedia.org/wiki/Common_Criteria_for_Information_Technology_Security_Evaluation
  2. https://www.iso.org/search.html
  3. Überarbeitung im Rahmen der 7. CC-Konferenz
  4. Common Criteria beim Bundesamt für Sicherheit in der Informationstechnik (BSI)
  5. Common Criteria Official Website
  6. Inhaltsverzeichnis der DIN ISO/IEC 15408-1:2007-11 beim Beuth-Verlag
  7. Inhaltsverzeichnis der DIN ISO/IEC 15408-2:2007-11 beim Beuth-Verlag
  8. Inhaltsverzeichnis der DIN ISO/IEC 15408-3:2007-11 beim Beuth-Verlag
  1. https://www.commoncriteriaportal.org/cc/index.cfm