ISO/IEC 19790 (FIPS 140-2)
ISO/IEC 19790 (FIPS 140-2)
Requirements for Cryptographic Modules / Anforderungen an kryptographische Module
© unsplash.com - Annie Spratt
Requirements for Cryptographic Modules / Anforderungen an kryptographische Module
© unsplash.com - Annie Spratt
Titel: | Informationstechnik |
Arbeitsgebiet: | IT-Sicherheitsverfahren |
Name des Standards: | Requirements for Cryptographic Modules / Anforderungen an kryptographische Module |
Inhalt und Anwendungsbereich
Der Standard ISO/IEC 19790 geht als Überarbeitung aus der nationalen US-Norm “Federal Information Processing Standard Publication (FIPS PUB) 140-2, Security requirements for cryptographic modules” hervor. Er soll in Zukunft eine breitere Grundlage anbieten.
Das Dokument dient der Evaluierung von Kryptomodulen und ist daher für Hersteller und Evaluatoren solcher Module interessant, wenn sie sich an FIPS 140-2 anlehnen wollen. FIPS 140-2 beschreibt Sicherheitsanforderungen für Kryptomodule, die in Hardware oder Software realisiert sein können. Eine Anpassung an FIPS 140-3 ist abzusehen.
Die in der Norm detailliert spezifizierten Sicherheitsanforderungen adressieren insgesamt elf Teilbereiche des Designs und der Implementierung derartiger Produkte. Abhängig von der Schärfe dieser Anforderungen unterscheidet der Standard vier Sicherheitsniveaus, vom niedrigsten Level 1 bis zum höchsten Level 4.
FIPS 140 bildet eine wichtige Grundlage für die Zertifizierung von Produkten mit kryptographischen Funktionen und ergänzt in diesem Segment Kriterienwerke wie etwa den Common Criteria. Zu den Produkten zählen unter anderem VPN-Lösungen, Chipkarten oder Sicherheitsmodule. Als Ergebnis einer erfolgreichen Zertifizierung nach FIPS 140-2 wird nicht nur ein Gesamtsicherheitsniveau (Level 1 bis 4) bescheinigt, sondern auch individuelle Prüfergebnisse in verschiedenen Teilbereichen. Letztere sind für konkrete Anwendungsfälle vielfach aussagekräftiger als das Gesamtergebnis.
Zertifizierung
Derzeit ist nur eine Zertifizierung nach FIPS 140-2 möglich. Aktuell sind neun Prüfstellen akkreditiert, davon fünf in den USA, sowie je zwei in Kanada und in UK. Bis Ende 2004 wurden etwa 500 Zertifikate erteilt. Eine Liste der zertifizierten Produkte ist verfügbar.
Weitere Anmerkungen
Mittelfristig plant die ISO, die Anforderungen der ISO/IEC 19790 in die Systematik der ISO/IEC 15408 zu integrieren, wobei weiterhin nicht nur eine Norm für die Evaluierung aller Sicherheitsprodukte existieren wird.
Bisherige Ausgaben
ISO/IEC 19790:2006, 2012
ISO/IEC 19790:2006/Cor.1:2008
ISO/IEC TR 19791 |
|
||||||
ISO/IEC 19790 (FIPS 140-2) |
|
||||||
ISO/IEC 24759 |
|
||||||
ISO/IEC 19792 |
|
||||||
ISO/IEC 21827 (SSE-CMM) |
|
||||||
ISO/IEC TR 15446 |
|
||||||
ISO/IEC 15408 (CC) |
|
||||||
ISO/IEC TR 15443 |
|
||||||
ISO/IEC 18045 |
|