Cryptography Reference
In-Depth Information
muss das Modul gegen solche Einflüsse reistent sein oder es muss gegebenen-
falls seinen Betrieb einstellen.
■
Ein-Chip-Module
: Krypt & Co. muss ein solches in Stufe 4 in eine Schutz-
hülle eingießen. Ein Entfernen der Schutzhülle muss dazu führen, dass das
Modul nicht mehr nutzbar ist.
■
Eingebettete Mehr-Chip-Module
: Ein eingebettetes Mehr-Chip-Modul muss
einen Mechanismus enthalten, der bei einer physikalischen Beeinträchtigung
alle vertraulichen Daten auf dem Modul löscht.
■
Nichteingebettetes Mehr-Chip-Modul
: Hier gelten dieselben Anforderungen
wie bei einem eingebetteten Mehr-Chip-Modul.
Einsatzumgebung
Operational environment (what sort of operating system the module uses and is
used by)
Die Einsatzumgebung eines Evaluationsgegenstands kann laut FIPS 140 zwei
Formen annehmen:
■
Modifizierbar (modifiable operational environment)
: Als modifizierbare Ein-
satzumgebung gelten beispielsweise die gängigen PC-, PDA- und Smartcard-
Betriebssysteme. Sie alle erlauben Schreibzugriffe auf große Teile des Speichers
sowie das Installieren unterschiedlicher Software. Eine modifizierbare Einsatz-
umgebung kann man daher mit einem Betriebssystem gleichsetzen. Ist der Eva-
luationsgegenstand ein Stück Software, dann ist die modifizierbare Einsatzum-
gebung das Betriebssystem, auf dem dieser läuft. Im Falle einer Hardware ist
die modifizierbare Einsatzumgebung Teil des Evaluationsgegenstands.
■
Eingeschränkt (limited operational environment)
: Eine eingeschränkte Einsat-
zumgebung liegt beispielsweise bei einer Hardwareimplementierung vor, die
keine Codeänderungen oder -erweiterungen zulässt.
Für eingeschränkte Einsatzumgebungen (also für Betriebssysteme) sieht FIPS 140
eine ganze Reihe von Kriterien vor, die für die jeweilige Stufe erfüllt sein müssen:
■
Stufe 1
: Für die niedrigste Stufe muss das Betriebssystem sicherstellen, dass
die vom Evaluationsgegenstand ausgeführten Prozesse unter der Kontrolle des
Anwenders liegen. Darüber hinaus muss das Modul den eigenen Code mit-
hilfe einer digitalen Signatur oder einer schlüsselabhängigen Hashfunktion
überprüfen (dies wird auch im Sicherheitsbereich Selbsttests gefordert).
■
Stufe 2
: In dieser Stufe muss das verwendete Betriebssystem nach Common
Criteria evaluiert sein (EAL2 und ein spezielles Schutzprofil). Auch eine äqui-
valente Evaluierung, z.B. nach ITSEC, ist zulässig. Darüber hinaus ist eine
sichere Trennung zwischen den unterschiedlichen Rollen und Prozessen sowie
eine Logdaten-Erhebung vorgeschrieben.
