Per comprendere i Common Criteria in modo migliore, qualcuno potrebbe dire se il sistema ha superato una valutazione CC, ad es. EAL4, cosa possiamo dire sulla sicurezza di questo sistema?
Per comprendere i Common Criteria in modo migliore, qualcuno potrebbe dire se il sistema ha superato una valutazione CC, ad es. EAL4, cosa possiamo dire sulla sicurezza di questo sistema?
In primo luogo, non esiste la sicurezza al 100% in primo luogo. Ci sono solo modi in cui si può cercare di ottenere la migliore sicurezza per un costo specifico e quindi bisogna essere in grado di gestire il rischio rimanente (o ignorarlo se è troppo improbabile).
A parte le certificazioni come Common Criteria coprono solo una parte specifica del sistema, cioè l'obiettivo della valutazione. Ad esempio con la recente vulnerabilità ROCA nei chip smartcard il prodotto ha avuto una certificazione molto elevata (EAL7) ma la parte specifica di come i numeri primi sono stati selezionati durante la generazione della chiave non è stato valutato.
E poi, il software è complesso. E più è complesso, più difficile (cioè impossibile) è descrivere completamente cosa dovrebbe fare e creare test che coprano ogni dettaglio, variazione e combinazione di questa funzionalità. E poi gli auditor devono anche essere in grado e avere il tempo per capire tutto, controllare tutto e non commettere errori o ipotesi sbagliate. Ad esempio a EAL7 ( Livello di valutazione della valutazione 7 ) è richiesta una verifica formale che è praticamente impossibile da fare con sistemi complessi come i firewall ( dove al momento ottieni EAL4 +). E anche la prima valutazione EAL4 di un prodotto richiede spesso anni per essere completata, nel qual caso in genere sono state aggiunte nuove funzionalità al prodotto e sono stati corretti errori - che non sono coperti dalla valutazione ma che sono necessari ai clienti.
... if system has passed a CC evaluation ie. EAL4, what can we say about the security of this system?
La certificazione è uno sforzo migliore ma non perfetto. E 'ancora meglio allora che nessuna certificazione e livelli di garanzia più elevati sono migliori di quelli inferiori poiché sono stati compiuti ulteriori sforzi per convalidare la progettazione, la funzionalità, il processo di sviluppo, ecc., Cioè più potenziali problemi sono coperti.
Quindi, un livello più alto significa più sicurezza e meno bug. Ma non necessariamente nell'intero prodotto ma solo nella parte che è stata valutata. Pertanto è necessario ottenere il rapporto di valutazione effettivo per scoprire cosa è coperto dalla valutazione e in quali parti in quale profondità.
Leggi altre domande sui tag common-criteria