HSM für Dummies nen. Will man eine Prüfung nach CC durchführen, ist grundsätzlich, unabhängig von dem jeweiligen Produkt, zwischen der Funktionalität des Systems und dessen Vertrauenswürdigkeit zu unterscheiden. Denn der Grundgedanke der Common Criteria ist, dass das Vertrauen in ein Produkt oder System durch die Prüfung der Funktionalität entsteht. Die Common Criteria umfassen drei Teile: Einführung und allgemeines Modell / Introduction and General Model Funktionale Sicherheitsanforderungen/ Functional Requirements Anforderungen an die Vertrauenswürdigkeit /Assurance Requirements Schaut man sich nun an, welche Schutzprofile bei Common Criteria für Hardware Sicherheitsmodule existieren, so wird man im ersten Schritt nur im Bereich von Security-Modulen fündig – wobei aber Achtung geboten ist, denn es handelt sich hierbei ausschließlich um Security-Module in Form einer Smartcard. Das einzige Schutzprofil (Protection Profile bzw. PP), das heute evaluiert und veröffentlicht ist, ist das PP mit der Nummer BSI-CC-PP-0045 Cryptographic Modules, Security Level »Enhanced«. Dieses Protection Profile wurde vom Bundesamt für Sicherheit in der Informationstechnik entwickelt und findet zum Beispiel im Bereich der Infrastruktur des neuen Personalausweises seinen Einsatz. Was bedeutet eine Zertifizierung für mein Projekt? Gerade im Bereich der Zertifizierung gibt es heutzutage immer wieder Missverständnisse. Durch die Anforderungen der Zertifizierungen im Bereich der Funktionalität werden sehr oft auch die Funktionen von HSM eingeschränkt. Dies hat zur Folge, dass viele Hersteller einen sogenannten »FIPS Mode« eingeführt haben. Auditoren erwarten sehr oft, dass Zertifizierungen eingehalten werden und somit die Geräte im Betriebsmodus »FIPS Mode« betrieben werden. 32
HSM_fuer_Dummies
To see the actual publication please follow the link above