Überblick Common Criteria
-
Upload
jens-oberender -
Category
Technology
-
view
385 -
download
0
description
Transcript of Überblick Common Criteria
![Page 1: Überblick Common Criteria](https://reader036.fdocuments.us/reader036/viewer/2022081821/549c0de9b479599b318b462d/html5/thumbnails/1.jpg)
1
Zertifizierte IT-Sicherheit nach Common Criteria - ISO/IEC 15408
Dr. Jens Oberender | SRC security research & consulting GmbH
![Page 2: Überblick Common Criteria](https://reader036.fdocuments.us/reader036/viewer/2022081821/549c0de9b479599b318b462d/html5/thumbnails/2.jpg)
2
Agenda
• Sicherheits-Zertifikate und Anerkennung
• Vom Problem zum IT-Sicherheits-Produkt
• Schwachstellen-Analyse
![Page 3: Überblick Common Criteria](https://reader036.fdocuments.us/reader036/viewer/2022081821/549c0de9b479599b318b462d/html5/thumbnails/3.jpg)
3
Zertifikat (Common Criteria)
Behördliche Zustimmung über die Sicherheit eines Produkts
gemäß einer Untersuchungstiefe
und im Bezug auf die Produktklasse
Bundesamt für Sicherheit in der Informatikstechnik (BSI)
Der abgregrenzte Evaluierungsgegenstand (EVG,
der sicherheitskritische Teil)
Das Security Problem Definition (SPD) wird vollständig abgedeckt durch: a) Sicherheitsfunktionen des EVG oder
b) zugesicherte Eigenschaften der Umwelt des EVG
Ein Schutzprofil definiert SPD und Security Functional Requirements (SFR)
Evaluation Assurance Level (EAL) 4: Methodisches Vorgehen, z.B. Nachvollziehen von SPD bis zur Implementierung
![Page 4: Überblick Common Criteria](https://reader036.fdocuments.us/reader036/viewer/2022081821/549c0de9b479599b318b462d/html5/thumbnails/4.jpg)
4
Anerkennung
![Page 5: Überblick Common Criteria](https://reader036.fdocuments.us/reader036/viewer/2022081821/549c0de9b479599b318b462d/html5/thumbnails/5.jpg)
5
Security Problem Definition
© SRC/BSI Sicherheitsfunktionen
des EVG
Organisatorische Sicherheitspolitiken Annahmen Bedrohungen
Sicherheitsziele für den EVG
Sicherheitsziele für die EVG Umgebung
Anforderungen an die Sicherheitsfunktionen
des EVG
![Page 6: Überblick Common Criteria](https://reader036.fdocuments.us/reader036/viewer/2022081821/549c0de9b479599b318b462d/html5/thumbnails/6.jpg)
6
Bsp.: Security Problem Definition
• Threat Unkontrollierter Informationsfluss
• Security Objective of the TOE Regelbasiertes Filtern von Nachrichten
• Security Functional Requirement
• Security Flow Policy
• FDP_IFC.1 Subset information flow control
• FDP_IFF.1 Simple security attributes
• Sicherheitsfunktion: Einsatz von iptables
The TSF shall enforce the [assignment: information flow control SFP] on [assignment: subjects, information, and
operations covered by the SFP …]
![Page 7: Überblick Common Criteria](https://reader036.fdocuments.us/reader036/viewer/2022081821/549c0de9b479599b318b462d/html5/thumbnails/7.jpg)
7
Nachweise nachvollziehen
![Page 8: Überblick Common Criteria](https://reader036.fdocuments.us/reader036/viewer/2022081821/549c0de9b479599b318b462d/html5/thumbnails/8.jpg)
8
Schwachstellen-Analyse
• Angriffspfade bewerten
Man-in-the-
Middle
Hardware
Power Analysis
© Lars Gierlichs
© Steven Murdoch
![Page 9: Überblick Common Criteria](https://reader036.fdocuments.us/reader036/viewer/2022081821/549c0de9b479599b318b462d/html5/thumbnails/9.jpg)
9
CC
Produkte
• Digitaler Tachograph
• Elektronischer Reisepass
Zusammenfassung
• Zusicherung (‚Assurance‘) in die Sicherheit von IT-Produkten
• Evaluierungsgegenstand | Umgebung
• Evaluation Assurance Levels
• Vertrauen schaffen [email protected]