Zertifizierung – ein Gütesiegel, und dann? 4 In diesem Kapitel Welche Zertifizierungsschemata es heute für HSM gibt Welche Vor- und Nachteile Zertifizierungen im Bereich HSM haben Was Sie als Anwender in Bezug auf Zertifizierungen wissen müssen Um die Güte und den Sicherheitslevel eines Geräts für Informationssicherheit bewerten zu können, wurden unterschiedliche Prüfvorschriften und Anforderungskataloge definiert, nach denen eine Begutachtung und anschließende Zertifizierung durchgeführt werden kann. Eigentlich ist es relativ einfach, im Bereich HSM das Thema Zertifizierung zu behandeln. Grundsätzlich gibt es nur zwei weltweit anerkannte Zertifizierungsschemata: FIPS: Die sogenannten Federal Information Processing Standards Publications (FIPS PUBS) des National Institute of Standards and Technology. Common Criteria: Bei der Common Criteria for Information Technology Security Evaluation handelt es sich um einen internationalen Standard zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten. Aber wie immer ist es nicht ganz so einfach, wie es sich im ersten Schritt darstellt. Denn zusätzlich zu den beiden weltweit gültigen Schemata gibt es diverse Prüfvorschriften und Verfahren in den unterschiedlichen nationalen Branchen. So haben wir zum Beispiel innerhalb des deutschen Kreditgewerbes eigene Anforderungen an HSM für den Einsatz in den Netzwerken des Zahlungsverkehrs. Im Bereich der Payment Card Industry werden ebenfalls eigene Definitionen für Hardware-Sicherheitsmodule getroffen. Der FIPS 140-Standard Schauen wir uns den FIPS-Standard einmal genauer unter dem Aspekt des HSM an. Im Rahmen des CMVP (Cryptographic Module Validation Program) wird die Zertifizierung von Hardware-Sicherheitsmodulen gemäß FIPS 140-2 kontrolliert. Das CMVP-Programm wurde durch das US-amerikanische NIST und das kanadische CSEC initiiert. 29
HSM_fuer_Dummies
To see the actual publication please follow the link above