Cryptography Reference
In-Depth Information
nicht nur in der IT-Sicherheit, sondern auch in jedem anderen Teilgebiet der Infor-
mationstechnik. Die ITSEC zugrunde liegenden Methoden zur Fehlerüberprüfung
gibt es daher in ähnlicher Form auch anderswo. Entstanden sind diese Techniken
vor allem im Zusammenhang mit Atomwaffen und in der Raumfahrt, wo Pro-
grammfehler eine besonders verheerende Wirkung haben können. Für die Korrekt-
heit eines Evaluationsgegenstands gibt es gemäß ITSEC folgende Stufen:
■
E0
: Diese Stufe hat jedes Produkt automatisch.
■
E1
: Diese Stufe erreicht ein Evaluationsgegenstand, wenn seine Sicherheitsziele
definiert sind und es eine informelle Beschreibung der Systemarchitektur gibt.
■
E2
: Diese Stufe setzt eine informelle, aber detaillierte Spezifikation der
Systemarchitektur und der durchgeführten Tests voraus. Der Evaluationsge-
genstand muss zudem eine Trennung zwischen Sicherheitskomponenten und
anderen Bestandteilen vorsehen.
■
E3
: Für diese Stufe ist zusätzlich ein Test des Quellcodes notwendig. Zudem
muss Hersteller Krypt & Co. geeignete Verteilungs-, Wartungs- und Konfigu-
rationsverfahren festlegen.
■
E4
: Für diese Stufe muss Hersteller Krypt & Co. ein formales Modell für die
Sicherheitsrichtlinien des Evaluationsgegenstands und eine strukturierte
Beschreibung der Architektur vorlegen. Zudem muss der Hersteller ausführli-
che Tests über die Verwundbarkeit des zertifizierten Produkts durchführen
und dokumentieren.
■
E5
: In dieser Stufe müssen ein detaillierter Entwurf und der Quellcode über-
einstimmen. Tests über die Verwundbarkeit des Produkts müssen auf Quell-
code-Ebene durchgeführt werden.
■
E6
: Für diese Höchststufe muss eine formale Beschreibung der Systemarchi-
tektur vorliegen.
Wirksamkeit
Neben der Korrektheit bewertet ITSEC auch die Wirksamkeit des Evaluationsge-
genstands. Hier gibt es drei Stufen:
■
Niedrig
: Diese Stufe erreicht der Evaluationsgegenstand, wenn erkennbar ist,
dass dieser einen Schutz gegen zufällige, unbeabsichtigte Sicherheitsverletzun-
gen bietet.
■
Mittel
: Diese Stufe ist erreicht, wenn erkennbar ist, dass der Evaluationsge-
genstand Schutz gegen Angreifer mit beschränkten Gelegenheiten oder
Betriebsmitteln bietet.
■
Hoch
: Diese Stufe ist erreicht, wenn erkennbar ist, dass der Evaluationsgegen-
stand nur von Angreifern überwunden werden kann, die über sehr gute Fach-
kenntnisse, Gelegenheiten und Betriebsmittel verfügen, wobei ein solcher
erfolgreicher Angriff als normalerweise nicht durchführbar beurteilt wird.
