Cryptography Reference
In-Depth Information
BSI-Grundschutzhandbuch : Dieses sieht nicht die Evaluierung einzelner Pro-
dukte, sondern ganzer Organisationen vor. Vereinfacht ausgedrückt ist das
BSI-Grundschutzhandbuch das Sicherheitsgegenstück zu ISO 9000. Krypto-
grafie spielt im BSI-Grundschutzhandbuch zwar auch eine Rolle, jedoch nur
als eines von vielen IT-Sicherheitswerkzeugen.
BS 7799 ( ISO 17799 ): Dieser Standard ist das internationale Gegenstück zum
BSI-Grundschutzhandbuch.
Webtrust : Dieser Standard dient der Sicherheitsevaluierung von Webangebo-
ten. Auch hier ist die Kryptografie nur eines von vielen Werkzeugen.
25.1
ITSEC
Die Information Technology Security Evaluation Criteria ( ITSEC ) wurden 1991
gemeinsam von Deutschland, Großbritannien, Frankreich und den Niederlanden
eingeführt (eine Übersicht gibt die Webseite des BSI, weitere Infos bietet [Verste]).
Zweck des ITSEC-Standards ist es, ein Maß für die Sicherheit einer IT-Kompo-
nente (diese wird Evaluationsgegenstand genannt) zu geben. Der Evaluationsgegen-
stand kann etwa ein Hardwaremodul oder ein Softwareprogramm sein. Es muss
sich dabei nicht unbedingt um eine Kryptografie-Lösung handeln, vielmehr lässt
sich auch eine Firewall, ein Betriebssystem oder eine Datenbank ITSEC-evaluieren.
Genau genommen definiert ITSEC zwei unterschiedliche Maße für die Sicher-
heit des Evaluationsgegenstands: Das eine Maß bewertet die Korrektheit der
Implementierung, das andere die Wirksamkeit im Bezug auf die angestrebten
Sicherheitsziele.
Über die Korrektheit und die Wirksamkeit eines Evaluationsgegenstands lässt
sich natürlich erst dann eine Aussage machen, wenn geklärt ist, welchen Zweck
dieser erfüllen soll. Will die Firma Krypt & Co. ein Produkt ITSEC-evaluieren
lassen, dann muss sie daher zunächst die Funktionalität, die Sicherheitsmechanis-
men und die Sicherheitsziele des Evaluationsgegenstands definieren. Der ITSEC-
Standard nennt dazu insgesamt zehn vordefinierte Möglichkeiten (Funktionali-
tätsklassen), die teilweise an den erwähnten TCSEC-Standard (Orange Book)
angelehnt sind. Diese vorgegebenen Funktionalitätsklassen sind allerdings nur als
Vorschläge zu verstehen und daher nicht bindend.
Korrektheit
Bekanntlich können Programmfehler und absichtlich eingebaute Hintertüren ein
Problem für Krypto-Anwenderin Alice sein. Aus diesem Grund sieht der ITSEC-
Standard eine Methode vor, mit der sich die Fehlerfreiheit eines Evaluationsgegen-
stands bewerten lässt. Dabei baut ITSEC auf folgende Erfahrungsregel: Je umfang-
reicher der Evaluationsgegenstand geprüft und getestet wurde, desto höher ist die
Wahrscheinlichkeit, dass er keinen Fehler enthält. Dieser Grundsatz gilt natürlich
Search WWH ::




Custom Search