Cryptography Reference
In-Depth Information
FIPS-140-Kriterien schreiben vor, dass für die Nutzung der diversen Dienste min-
destens zwei Rollen unterschieden werden müssen. Zum einen gibt es den
Anwender, der das Modul nutzen darf (z.B. zum Verschlüsseln); und zum ande-
ren ist ein Administrator (
Crypto Officer
) vorgesehen, der Administrationsaufga-
ben durchführen darf. Diese Anforderung an das Rollenkonzept gilt für alle vier
FIPS-140-Stufen.
Unterschiedliche Anforderungen gibt es dagegen an die Authentifizierung.
Anwender, Administrator (und weitere Rollen, falls sie existieren), müssen sich
vor einem Zugriff auf das Modul wie folgt authentisieren:
■
In Stufe 1 fordern die FIPS-140-Kriterien gar keine Authentifizierung.
■
In Stufe 2 ist eine Authentifizierung (in der Regel durch ein Passwort) vorgese-
hen. Der Evaluationsgegenstand muss in der Lage sein, Anwender und Admi-
nistratoren jeweils als solche zu erkennen. Es ist jedoch nicht notwendig, dass
das Modul verschiedene Administratoren voneinander unterscheiden kann.
Auch verschiedene Anwender muss das Modul nicht unterscheiden können.
■
In Stufe 3 und 4 muss der Evaluationsgegenstand verschiedene Anwender
voneinander unterscheiden können. Gleiches gilt für Administratoren.
Zustandsmaschinen-Modell
Finite state model (documentation of the high-level states the module can be in,
and how transitions occur)
Dieser FIPS-140-Sicherheitsbereich fordert, dass Krypt & Co. dem Evaluator
eine Beschreibung des Evaluationsgegenstands in Form eines
Zustandsmaschi-
nen-Modells
vorlegt. Als Zustandsmaschinen-Modell bezeichnet man in der
Informatik ein Diagramm, das alle Zustände eines Objekts sowie die Übergänge
zwischen diesen beschreibt.
Physikalische Sicherheit
Physical security (tamper evidence and resistance, and robustness against extreme
environmental conditions)
Die Anforderungen an die physikalische Sicherheit des Evaluationsgegenstands
sind die komplexesten im FIPS-140-Standard. Der entsprechende Sicherheitsbe-
reich sieht eine lange Liste von Sicherheitskriterien vor, die das Modul vor physi-
kalischen Angriffen schützen sollen. Diese Anforderungen gelten jedoch nur,
wenn der Evaluationsgegenstand als Hardwarekomponente realisiert ist. Handelt
es sich dagegen um eine reine Softwarelösung, dann spielen alle im Folgenden
genannten Kriterien keine Rolle.
Wenn wir also von einer Hardwarelösung ausgehen, dann sieht FIPS 140 eine
Einteilung in drei Klassen vor:
