Vypisky_2006

komercnı trıda
B – Mandatory protection, povinna ochrana trıdy urcene pro zpracovavanı klasifikovanych, dat testuje se produkt i jeho zdrojovy program. B1, B2, B2
A – Verified Protection, overena ochrana - pro OS vypracovan formalnı model a formalnı dukazy, ze produkt splnuje navrhovou specifikaci
Information Technology Security Evaluation Criteria, (ITSEC) v soucasnosti kriteria Nahrazovana kriterii Common Criteria, ISO/IEC 15408.
Common Criteria, ISO/IEC 15408
PART 1:
Produkt hodnoceni - Target of Evaluation,
Bezpecnostni cil - Security Target,
produktove nezavisla definice pozadovanych bezpecnostnıch vlastnostı hodnoceneho produktu
obsahuje predpoklad reseneho bezpecnostnım problemu
produkt vyhovuje, pokud se zakaznıkuv bezpecnostnı problem a provoznı prostredı shoduje s problemem, který bezpecnostnim cile resı a s prostredım, ve kterem produkt potrebuje bezet
Profil ochran - Protection Profile
Hodnoceni produktu sestava ze 2 kroku: hodnoceni produktu a hodnoceni bezp. cile Hodnocenı Profilu ochran probıhajı pred formalnım uznanım profilu hodnotıcı autoritou
Struktura Bezpecnostnich cilu a Profilu ochran – uvod, shoda, def. Bezp. Problemu
PART 2:
Funkcni pozadavky
PART 3:
Pozadavky zarucitelnosti
Zakladni rodina ALC_DVS: 2 urovne zaruk 1 ALC_DVS.1, ALC_DVS.2
EALs, Evaluation Assurance Levels, prehled
urovne zarucitelnosti bezpecnosti TOE odvozene z hodnoceni
EAL1, EAL2 nemusi demostrovat ALC_DVS
EAL3, EAL4, EAL5 nemusi demostrovat ALC_DVS.1
EAL6, EAL7 nemusi demostrovat ALC_DVS.2
EAL1, funkcne testovany Produkt hodnoceni, pozaduje se spravny provoz produktu+
EAL2, strukturalne testovany Produkt hodnoceni, vyzaduje spolupraci vyvojare, vyvojar musı dodat specifikace a vysledky testovani. Uziva se v podnikovem ucetnictvi
EAL3, metodicky testovany a kontrolovany Produkt hodnoceni, maximalne vysoka uroven zaruky bezpecnosti produktu a duslednejsi testovani.
EAL4, metodicky navrzeny, testovany a prezkoumany Produkyt hodnoceni, nejvyssı uroven zaruk, kterou lze dosahnout (za rozumne naklady) zpetne pro jiz existujıcı produkt. Navíc vyzdaduje detaily o produktu.
EAL5, semiformalne navrzeny a testovany, je vhodna kdyz se vyzaduje vysoka uroven zaruky nezavisle overene bezpecnosti aniz by naklady na specializovane techniky byly nerozumne vysoke
EAL6, semiformalne navrzeny se semiformalne overenym navrhem a testovany Produkt hodnoceni, vhodna pro vyvoj bezpecnych produktu nebo systemu IT, ktere semajı pouzıvat ve vysoce rizikovych prostredıh a kde hodnota chranenych aktiv ospravedlnuje dodatecne vyssı naklady
EAL7, formalne navrzeny s formalne overenym navrhem a
testovany Produkt hodnoceni, musı byt dosazeno uplneho nezavisleho potvrzenı vysledku všech predlozenych testu. Nejprisnejsi kriteria.
Posledni krok je hodnoceni vyvojare
VI. Public Key Infrastructure, PKI
pro vydavanı certifikatu se pouzıva PKI, struktura 3. duveryhodnych stran lustrujıcıch a dosvedcujıcıch identitu uzivatelu a k uzivatelum vaze hodnoty jejich verejneho klice
Certifikat verejneho klice – informace, ktera vaze identitu entity s konkretnı hodnotou vlastnosti entity. jmeno vlastnıka, hodnota klice, doba platnosti, podpis vydavatele certifikatu
typy certifikatu: Atributovy certifikat, Certifikat podpisoveho klıce, Sifrovacı certifikat,
Autorizacnı certifikat
Prıklad procesu vydanı certifikatu
1. Alice si vygeneruje klıcovy par {VKA, PKA}
2. Alice → CA : PKA, dokumenty dokazujıcı totoznost Alice
3. CA overı validitu dokumentu dokazujıcıch totoznost Alice (2 a 3 nekdy provadi
Registracnı autorita jsou vesmes nejslozitejsı a nejdrazsı casti PKI)
4. CA vytvorı certifikat VKA
5. Alice zıska certifikat VKA od CA
6. Distribuce certifikatu VKA
VKA muze generovat jak vlastnik tak CA (pro a proti).
Duveryhodnost (digitalnıho) certifikatu VK (str. 13)
Trıdy duveryhodnosti certifikatu
Elementarnı trıda – pro surfovani
Zakladnı trıda – on line nakupy
Bezna trıda
Vysoce duveryhodna trıda
Distribuce certifikatu
Rozesılanım nebo stahovanim
Certificate Revocation List (CRL): seznam certifikatu se zrusenou platnosti. Alternativa je On-line Certificate Status Protocol (OCSP)
Role vystupujıcı v PKI
drzitel certifikatu
uzivatel certifikatu
Certifikacnı autorita, CA
Registracnı autorita, RA
Repositar
Vydavatel certifikacnıch politik, PMA (Policy Management Authority)
Schvalovatel certifikacnıch politik, PAA (Policy Approving Authority)
Zivotnı cyklus certifikatu
Inicialnı faze: registrace zadatele, generovanı paru klıcu, vytvorenı certifikatu,
predanı certifikatu zadateli, diseminace certifikatu, zalohovanı klıcu
Faze prace s certifika ty
Faze ruseni certifikatu
Typicka struktura dokumentu CP/CPS
Uvod
Obecne pozadavky na zucastnene strany
Identifikace a autentizace zadatelu
Provoznı pozadavky
Fyzicka, proceduralnı a personalnı bezpecnostnı opatrnı
Technicka bezpecnostnı opatrenı
Profily certifikatu a CRL
Sprava certifikacnı politiky / Sprava CPS
VII. Elektronicke platebnı systemy, EPS
VIII. Sprava identit, Identity Management, IDM
7 zakonu o identite – Microsoft
1. zakon – Uzivatel rıdı a souhlası: Technicke identitnı systemy musı sdelovat pouze ty identifikacnı informace o uzivateli, s jejichz sdelenım uzivatel souhlası
2. zakon – Minimalni odhalovanı: Nejstabilnesim dlouhodobym resenım identitnıho systemu je to, ktere odhaluje nejmensı nutne mnozstvı identitnıch informacı a nejlepe omezuje jejich pouzitı
3. zakon – Ospravedlnitelna participace: uzivatel si musı byt vedom, kdo s nım sdılı jeho identitnı informace
4. zakon – Orientovana identita: Univerza lnı identitnı system musı podporovat jak univerzalnı identifikatory pouzıvane verejny mi entitami (explicitnı identifikaci), tak i ,,jednosmerne ” identifika tory pouzıvane privatnımi entitami (pseudonymy)
5. zakon – Pluralismus operatoru a technologiı: Univerzalnı identitnı system musı umoznit komunikaci a kooperaci vıce identitnim technologiım pouzıvanym vıceposkytovateli identitnıch sluzeb
6. zakon – Integrace lidskeho faktoru: Univerzalnı identitnı system musı definovat lidskeho uzivatele jako komponentu distribuovaneho systemu integrovaneho pomocı mechanismu rozhrani clovek-stroj nabızejıcıch ochranu proti utokum na identitu.
7. zakon – Zachovanı zkusenostı: Jednotıcı identitnı metasystem musı svym uzivatelum zarucit konzistenci bazovych principu v ruznych kontextech ruznych operatorua technologiı
Single sighn on SSO