4 Zertifizierung – ein Gütesiegel, und dann? Auf der Webseite des CMVP finden Sie alle weiterführenden Informationen rund um den FIPS 140: http://csrc.nist.gov/groups/ STM/cmvp/index.html. Des Weiteren finden Sie in der Sektion »Module Validation Lists« eine Übersicht der zertifizierten Geräte nach Hersteller sortiert. In der Sektion »Modules in Process« finden Sie alle Hersteller, deren Module sich derzeit in Evaluierung befinden. Werfen wir mal einen kurzen Blick auf die ISO/IEC 19790. Die Norm spezifiziert detailliert die Sicherheitsanforderungen an »Cryptographic Modules«, also Sicherheitsmodule. Es werden insgesamt elf Teilaspekte von Modulen betrachtet, vom Design der Hardware über die Implementierung bis hin zur Kryptografie. Der Umfang an Maßnahmen für diese Teilaspekte bestimmt dann den entsprechenden Sicherheitslevel. Zurück zum FIPS-Standard. Mit FIPS 140-2 haben wir einen internationalen Standard vorliegen, der wesentlich bei der Auswahl von Hardware-Sicherheitsmodulen zum Tragen kommt. Als Ergebnis einer erfolgreichen Zertifizierung nach FIPS 140-2 wird nicht nur ein Gesamtsicherheitsniveau (Level 1 bis 4) bescheinigt, sondern auch individuelle Prüfergebnisse in verschiedenen Teilbereichen. Letztere sind für konkrete Anwendungsfälle wesentlich aussagekräftiger als das Gesamtergebnis. Mittelfristig plant die ISO, die Anforderungen der ISO/IEC 19790 in die Systematik der ISO/IEC 15408 zu integrieren, wobei weiterhin nicht nur eine Norm für die Evaluierung aller Sicherheitsprodukte existieren wird. Common Criteria und HSM Schauen wir uns noch das zweite weit verbreitete Zertifizierungsschema an, die Common Criteria. Die Common Criteria, kurz auch CC genannt, sind aus den europäischen ITSEC (Information Technology Security Evaluation Criteria), den amerikanischen Federal Criteria (FC) und den kanadischen CTCPEC (Canadian Trusted Computer Product Evaluation Criteria) entstanden. Bei den CC handelt es sich im Grunde um einen generellen Katalog von vordefinierten Funktionen und Funktionalitäten, der die Vertrauenswürdigkeit von Produkten der IT-Sicherheit im Allgemeinen festlegt. Diese werden dann in vorevaluierten sogenannten Schutzprofilen zusammengefasst, womit entsprechende Produktklassen definiert werden kön- 31
HSM_fuer_Dummies
To see the actual publication please follow the link above