Para comprender mejor los criterios comunes, ¿alguien podría decir si el sistema ha aprobado una evaluación de CC? EAL4, ¿qué podemos decir acerca de la seguridad de este sistema?
Para comprender mejor los criterios comunes, ¿alguien podría decir si el sistema ha aprobado una evaluación de CC? EAL4, ¿qué podemos decir acerca de la seguridad de este sistema?
En primer lugar, no existe tal cosa como seguridad al 100% en primer lugar. Solo hay formas en que uno puede intentar lograr la mejor seguridad a un costo específico y, luego, uno debe ser capaz de manejar el riesgo restante (o ignorarlo si es muy improbable).
Aparte de eso, las certificaciones como Common Criteria solo cubren una parte específica del sistema, es decir, el objetivo de la evaluación. Por ejemplo, con la reciente vulnerabilidad de ROCA en chips de tarjetas inteligentes, el producto tenía una certificación muy alta (EAL7) pero la parte específica de cómo Los números primos seleccionados no fueron evaluados durante la generación de claves.
Y entonces, el software es complejo. Y cuanto más complejo es, más difícil (es decir, imposible) es describir completamente lo que debería hacer y crear pruebas que cubran cada detalle, variación y combinación de esta funcionalidad. Y luego los auditores también necesitan poder y tener tiempo para entender todo, verificar todo y no cometer errores o suposiciones erróneas por sí mismos. Por ejemplo, en EAL7 ( Evaluation Assurance Level 7 ) se requiere una verificación formal que es prácticamente imposible de hacer con sistemas complejos como los firewalls ( donde actualmente se obtiene como máximo EAL4 +). E incluso la primera evaluación EAL4 de un producto suele tardar años en completarse, momento en el que normalmente ya se añadían nuevas características al producto y se solucionaban los errores, que no están cubiertos por la evaluación pero son necesarios para los clientes.
... si el sistema ha pasado una evaluación de CC, es decir. EAL4, ¿qué podemos decir acerca de la seguridad de este sistema?
La certificación es un mejor esfuerzo pero no es perfecto. Sigue siendo mucho mejor que ninguna certificación y los niveles de seguridad más altos son mejores que los más bajos, ya que se hicieron más esfuerzos para validar el diseño, la funcionalidad, el proceso de desarrollo, etc., es decir, se cubren más problemas potenciales.
Por lo tanto, un nivel más alto significa más seguridad y menos errores. Pero no necesariamente en todo el producto sino solo en la parte que se evaluó. Por lo tanto, debe obtener el informe de evaluación real para averiguar qué cubre la evaluación y qué partes en qué profundidad.
Lea otras preguntas en las etiquetas common-criteria