IT Sicherheit: Bewertungskriterien

Transkript

1 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 IT Sicherheit: Bewertungskriterien Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group

2 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Einführung Ziel und Zweck von Bewertungskriterien Zur Beurteilung der Sicherheit von IT-Systemen existieren allgemein anerkannte Vorgehensmodelle und Kriterienkataloge Diese Vorgehensmodelle und Kriterienkataloge erlauben unterschiedlicher Systeme, die eine ähnliche Funktionalität besitzen, hinsichtlich ihrer Sicherheit vergleichen zu können Kriterienkataloge dienen dazu Vertrauen in die Wirksamkeit von IT-Sicherheitsfunktionen von IT-Systemen zu schaffen An Hand einer Prüfung auf Basis der Kriterienkataloge (Evaluierung), wird die Wirksamkeit nachgewiesen und mit einem entsprechenden Zertifikat von einer offiziellen Stelle bestätigt

3 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Einführung Beispiel: Signaturkarten I Signaturkarten, d.h. Chipkarten, enthalten einen geheimen Schlüssel zum Signieren. Um die Sicherheit von Signaturen, die mit diesen Karten ausgestellt wurden, zu beurteilen, müssen u.a. folgende Fragen beantwortet werden können: 1. Sind die verwendeten Signaturalgorithmen (inkl. Schlüssellängen) sicher? 2. Wie werden die Schlüssel erzeugt? 3. Wie werden die für die Signatur notwendigen Zufallszahlen erzeugt? 4. Werden sichere Zufallszahlengeneratoren genutzt?

4 Einführung Beispiel: Signaturkarten II 5. Wie ist der geheime Schlüssel geschützt (z.b. gespeichert in einem nichtauslesbaren Bereich, Zugriff nur mit einer PIN)? 6. Wie werden Signaturkarte und PIN verteilt? 7. Sind die Signaturalgorithmen sicher implementiert, genauer, erlauben Seitenkanalangriffe Rückschlüsse auf den geheimen Schlüssel? 8. Ist der Kartenhersteller, -aussteller vertrauenswürdig? 9. Was passiert bei Verlust der Signaturkarte? Weitere wichtige Frage: sind die oben betrachteten Sicherheitsfragen vollständig oder müssen weitere Aspekte betrachtet werden? Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27

5 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Einführung Geschichtliche Entwicklung I Trusted Computer System Evaluation Criteria (TCSEC): älteste Kriterien zur Bewertung der Sicherheit von IT-Systemen TCSEC wurden 1980 vom US National Computer Security Center entwickelt Fokus auf Stand-Alone-Computer, wurde aber 1985 um die Trusted Network Interpretation ergänzt, um auch vernetzte Systeme evaluieren zu können (Orange Book) Kriterien beziehen sich hauptsächlich auf Betriebssysteme, NICHT auf offene Kommunikationssysteme Weiters gibt es keine Trennung zwischen der Sicherheitsfunktionalität und der Qualität

6 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Einführung Geschichtliche Entwicklung II Kritikpunkte an TCSEC wurden von der Vorgängerbehörde des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) 1989 aufgegriffen (Grünbuch) Festgelegte IT-Sicherheitskriterien beinhalten Trennung zwischen Funktionalität und Qualität Die europäischen ITSEC-Kriterien (Information Technology Security Evaluation Criteria) sind eine Harmonisierung von Bewertungskriterien verschiedener europäischer Länder (Großbritannien, Frankreich, Niederlande und Deutschland)

7 1 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Einführung Geschichtliche Entwicklung III 1993 begann das Editorial Board (CCEB) mit Mitgliedern aus Kanada, Frankreich, Deutschland, Großbritannien und den Vereinigten Staaten mit der Ausarbeitung der for Information Technology Security Evaluation 1 (CC) Diese internationale Normung ist eine anerkannte gemeinsame Grundlage für Bewertungen der Datensicherheit und löste insbesondere den europäischen ITSEC- und den US-amerikanischen TCSEC-Standard ab

8 Einführung Geschichtliche Entwicklung III 1993 begann das Editorial Board (CCEB) mit Mitgliedern aus Kanada, Frankreich, Deutschland, Großbritannien und den Vereinigten Staaten mit der Ausarbeitung der for Information Technology Security Evaluation 1 (CC) Diese internationale Normung ist eine anerkannte gemeinsame Grundlage für Bewertungen der Datensicherheit und löste insbesondere den europäischen ITSEC- und den US-amerikanischen TCSEC-Standard ab Komponenten oder Systeme müssen NICHT in verschiedenen Ländern mehrfach bewertet und zertifiziert werden Weltweit anerkannter Standard: ISO Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27

9 Bestandteile der Die CC umfassen drei Teile (ISO/IEC ): 1. Teil 1: Einführung und allgemeines Modell: Überblick über die erforderlichen Dokumente, die für eine Evaluierung des Produktes (Evaluierungsgegenstand (EVG), Target of Evaluation (TOE)) vorzulegen sind 2. Teil 2: Funktionale Sicherheitsanforderungen: Beschreibung der Kriterien und Anforderungen an Sicherheitsgrundfunktionen (z.b. Authentifizierung). Diese Sicherheitsanforderungen spiegeln allgemein anerkanntes Expertenwissen wider. 3. Teil 3: Anforderungen an die Vertrauenswürdigkeit: Beschreibung der Sicherheitsvorgaben für die Vertrauenswürdigkeit Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27

10 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Gliederung der Bewertung Die Bewertung ist gegliedert (analog zu ITSEC und den älteren BSI-Standard IT-Sicherheitskriterien), in die Bewertung 1. der Funktionalität des betrachteten Systems (d.h. den Funktionsumfang) und 2. der Vertrauenswürdigkeit (d.h. der Qualität der Umsetzung). Die Qualität der Umsetzung wird nach den Gesichtspunkten der Wirksamkeit der verwendeten Methoden und der Korrektheit der Implementierung bewertet Diese Bewertung führt zur Höhe der Evaluationsstufe

11 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Paradigma der Das grundsätzliche Paradigma der ist die Trennung der Betrachtung von Funktionalität und Vertrauenswürdigkeit Es erfolgt durch die Kriterien keine Vorgabe, dass eine bestimmte Funktionalität umgesetzt werden muss eine bestimmte Funktionalität mit einer bestimmten Vertrauenswürdigkeit geprüft werden muss Beide Aspekte werden zu Beginn der Evaluation vom Hersteller des Produkts in den Sicherheitsvorgaben definiert

12 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Evaluierungsschritte I Die Evaluierung erfolgt in mehreren Schritten: 1. Zur Bewertung der Funktionalität wird zunächst eine von fertigen Produkten unabhängige Sicherheitsbetrachtung durchgeführt, die zur Erstellung eines allgemeinen Schutzprofils (Protection Profile (PP)) führt 2. Mit Beginn der Evaluierung werden die Sicherheitsanforderungen des Schutzprofils vom Hersteller in spezielle Sicherheitsvorgaben (Security Target (ST)) für diesen konkreten Evaluierungsgegenstand überführt

13 Evaluierungsschritte II Über das Schutzprofil hinaus können hier weitere Informationen und Beschreibungen über das Produkt oder die genaue Einsatzumgebung hinzugefügt werden Dabei wird auch die geforderte Vertrauenswürdigkeit, die Prüftiefe, im allgemeinen gemäß EAL (Evaluation Assurance Level) festgelegt 3. Vor der Evaluierung des Produkts findet zunächst eine Evaluierung der Sicherheitsvorgaben statt Prüfung ob die Bedrohungen, die in den Sicherheitsvorgaben beschriebenen Einsatzumgebungen, die Sicherheitsziele und die Sicherheitsanforderungen auf einander abgestimmt sind (Grundlagen für die eigentliche Evaluierung des Produktes) Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27

14 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Evaluierungsschritte III 4. Eine unabhängige Prüfstelle prüft, ob der Hersteller des Evaluierungsgegenstandes die beschriebenen Sicherheitsvorgaben umgesetzt hat Die Stufe der Evaluierung gibt an, mit welcher Tiefe geprüft wurde und mit welcher Qualität die Umsetzung erfolgte 5. Im letzten Schritt wird die Prüfung der Prüfstelle von einer amtlichen Stelle überprüft und das Zertifikat vergeben Das Zertifikat ist die Bestätigung dafür, dass die vom Hersteller in den Sicherheitsvorgaben behauptete Sicherheitsfunktionalität umgesetzt wurde und wirksam ist

15 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Zertifikatsausstellung -Zertifikate werden in Deutschland vom BSI als ein amtlich bestätigter Nachweis der Sicherheitsleistung eines Produktes ausgestellt (in den USA ist die NSA für die Evaluierung nach zuständig) Bestandteil des Zertifizierungsverfahrens ist eine technische Prüfung, die von einer vom BSI anerkannten Prüfstelle durchgeführt werden kann Das BSI bestätigt mit der Ausstellung des Zertifikates, dass die Prüfstelle korrekt geprüft hat Dazu wird dem BSI der Prüfbericht von der Prüfstelle übergeben, die wiederrum vom BSI geprüft wird

16 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Funktionsklassen Die Methodik gliedert sich in nicht hierarchisch Funktionalitätsklassen Jede Klasse beschreibt eine bestimmte Grundfunktion der Sicherheitsarchitektur, die getrennt bewertet werden muss Klassen sind in sogenannte Familien aufgeteilt Jede Familie besitzt mindestens eine Komponente, in der die Sicherheitsanforderungen an die konkrete Funktionalität (z.b. Identifizierung, Zugriffskontrolle) beschrieben werden Wichtige Funktionalitätsklassen: Sicherheitsprotokollierung, Kommunikation, Kryptographische Unterstützung, etc.

17 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Beispiele für Funktionsklassen FAU (Sicherheitsprotokollierung): Aufzeichnungen für sicherheitsrelevante Verfahren FCS (Kryptographische Unterstützung): zwei Familien, eine für das Schlüsselmanagement und eine für den kryptographischen Betrieb FDP (Schutz der Benutzerdaten): u.a. Sicherheitspolitiken zum Schutz der Daten (z.b. Zugriffskontrollpolitik oder Informationsflusskontrolle) FRU (Betriebsmittelnutzung): Anforderungen an Verfügbarkeit

18 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Schutzprofile Funktionalitätsklassen werden zu Schutzprofilen zusammengefasst, die den Funktionsumfang bestimmter Produkte (z. B. Firewalls, Smartcards etc.) beschreiben Damit können Standardsicherheitsprobleme einer Klasse von Produkten produktunabhängig zusammengefasst werden Bei der Evaluierung eines konkreten Produktes werden aus dem für dieses Produkt vorgesehene Schutzprofil Sicherheitsvorgaben abgeleitet In Schutzprofilen werden sowohl Anforderungen an die Funktionalität als auch an die Vertrauenswürdigkeit zusammengefasst ( Menge von Sicherheitszielen)

19 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Schutzprofile: Struktureller Aufbau I 1. PP-Einführung: Die Einführung soll das Schutzprofil eindeutig identifizieren und einen kurzen Überblick geben Ziel ist, das Anwender schnell entscheiden können, ob das vorliegende Schutzprofil für sie von Interesse ist 2. EVG-Beschreibung: beschreibt die Klasse von Produkten, auf die das Schutzprofil Anwendung finden kann (im Detail)

20 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Schutzprofile: Struktureller Aufbau II 3. EVG-Sicherheitsumgebungen: Im einem Schutzprofil müssen die allgemeinen IT-Sicherheitseigenschaften, aber auch die Grenzen der Benutzung erläutert werden Dieses Kapitel wir in drei Abschnitte unterteilt: 3.1 Annahmen: Schutzbedarf der zu verarbeitenden Daten und typische Einsatzumgebungen. Aufgenommen werden aber auch gesetzliche Auflagen und vorgeschriebene Sicherheitsstandards 3.2 Bedrohungen: Durchführung einer Art Risikoanalyse und somit Emittlung der abzuwehrenden Bedrohungen 3.3 Sicherheitspolitiken (organisatorisch): Annahmen über den sicheren Betrieb des EVG

21 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Schutzprofile: Struktureller Aufbau III 4. Sicherheitsziele: detaillierte Angaben über die Gegenmaßnahmen der beschriebenen Bedrohungen und wie Sicherheitspolitiken erfüllt werden Das Kapitel wir in zwei Abschnitte unterteilt: 4.1 Sicherheitsziele für den EVG 4.2 Sicherheitsziele für die Umgebung

22 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Schutzprofile: Struktureller Aufbau IV 5. Sicherheitsanforderungen: Ziel eines Schutzprofils ist die Beschreibung des Sicherheitsbedarfs für eine bestimmte Produktfamilie in Form von Sicherheitsanforderungen Zur Erstellung der Anforderungen kann auf die CC-Funktionsklassen und auf die CC-Vertrauenswürdigkeitsklassen zurückgegriffen werden Dieses Kapitel wird wie folgt unterteilt: 5.1 EVG-Anforderungen an den EVG an die Vertrauenswürdigkeit des EVG 5.2 Sicherheitsanforderungen an die IT-Umgebung

23 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Schutzprofile: Struktureller Aufbau V 6. Erklärung: Dieses Kapitel soll den Verfasser zwingen, eine erste Konsistenz- und Vollständigkeitsanalyse durchzuführen und so die Angemessenheit der Anforderungen darzulegen Dieses Kapitel unterteilt sich wieder in die folgenden beiden Abschnitte: 6.1 Erklärung der Sicherheitsprofile 6.2 Erklärung der Sicherheitsanforderungen

24 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Vertrauenswürdigkeitsklassen (Beispiele) Die Sicherheitsanforderungen an die Vertrauenswürdigkeit sind (wie bei den Sicherheitsanforderungen an die Funktionalität) mittels Klassen und Familien strukturiert: ADO (Auslieferung und Betrieb): definiert Anforderungen an Maßnahmen, Prozeduren und Normen, die sich mit der Auslieferung, der Installation und den Betrieb befassen AGD (Handbücher): definieren Anforderungen an die vom Hersteller zur Verfügung gestellten Betriebsdokumentationen ADV (Entwicklung): definiert Anforderungen zur Entwicklung (Implementierung) des Evaluierungsgegenstandes ATE (Testen): siehe nächste Folien

25 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Vertrauenswürdigkeitsklassen II Diese Vertrauenswürdigkeitsklassen und -familien bilden die Grundlage zur Festlegung der Evaluierungsstufen In jeder Familie gibt es verschiedene Komponenten, die durchnummeriert sind Eine höhere Nummer bedeutet eine tiefere Beschreibung, einen tieferen Test usw. Beispiel: Klasse ATE: legt Anforderungen an das Testen des Evaluierungsgegenstandes dar, die nachweisen, dass die Sicherheitsanforderungen erfüllt werden

26 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Vertrauenswürdigkeitsklassen III Die Familie Testabdeckung (ATE COV ) behandelt die Vollständigkeit der vom Entwickler durchgeführten funktionalen Tests der Sicherheitsfunktionen Die Testtiefe (ATE DPT ) befasst sich mit dem Detaillierungsgrad der Tests Die Familie ATE FUN (Funktionale Tests) enthält funktionale Tests zur Prüfung der im Dokument Sicherheitsanforderungen beschrieben Sicherheitsvorgaben Die Familie ATE IND (unabhängige Tests) beschreiben den Detaillierungsgrad, bis zu dem funktionale Tests von unabhängigen Dritten durchgeführt werden

27 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Evaluierungsstufen I Die definieren sieben Stufen der Vertrauenswürdigkeit (Evaluation Assurance Level, EAL1-7) Diese beschreiben die Korrektheit der Implementierung des betrachteten Systems bzw. die Prüftiefe Mit steigender Stufe der Vertrauenswürdigkeit steigen die Anforderungen an die Tiefe, in der der Hersteller sein Produkt beschreiben muss und mit dem das Produkt geprüft wird

28 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Evaluierungsstufen II EAL1: funktionell getestet EAL2: strukturell getestet EAL3: methodisch getestet und überprüft EAL4: methodisch entwickelt, getestet und durchgesehen EAL5: semiformal entworfen und getestet EAL6: semiformal verifizierter Entwurf und getestet EAL7: formal verifizierter Entwurf und getestet