공통 기준

Common Criteria

정보기술 보안 평가의 공통 기준(Common Criteria, CC)은 컴퓨터 보안 인증을 위한 국제 표준(ISO/IEC 15408)입니다.현재 버전 3.1 [1]리비전5에 있습니다.

공통 기준은 컴퓨터 시스템 사용자가 보안 대상(ST)에서 보안 기능 요건과 보증 요건(SFR 및 SAR)을 지정할 수 있는 프레임워크로, 보호 프로파일(PP)에서 가져올 수 있습니다.그런 다음 벤더는 제품의 보안 속성에 대해 구현 또는 클레임을 제기할 수 있으며, 테스트 연구소는 제품을 평가하여 실제로 클레임을 충족하는지 여부를 판단할 수 있습니다.즉, 공통 기준은 컴퓨터 보안 제품의 사양, 구현 및 평가 프로세스가 대상 환경에 [2]적합한 수준에서 엄격하고 표준적이며 반복 가능한 방식으로 수행되었음을 보증합니다.공통 기준은 운영 체제, 액세스 제어 시스템, 데이터베이스 및 키 관리 [3]시스템을 포함한 인증된 제품 목록을 유지합니다.

주요 개념

공통 기준 평가는 컴퓨터 보안 제품 및 시스템에서 수행됩니다.

  • 평가 대상(TOE)– 평가 대상이 되는 제품 또는 시스템평가는 대상에 대한 주장을 검증하는 역할을 합니다.실제로 사용하기 위해서는 평가에서 대상의 보안 기능을 확인해야 합니다.이 조작은, 다음의 순서로 실시합니다.
    • Protection Profile(PP; 보호 프로파일)– 사용자 또는 사용자 커뮤니티에 의해 일반적으로 작성되는 문서. 특정 목적을 위해 해당 사용자와 관련된 보안 디바이스 클래스(디지털 서명을 제공하기 위해 사용되는 스마트 카드 또는 네트워크 방화벽 등)의 보안 요건을 식별합니다.제품 벤더는 1개 이상의 PP에 준거한 제품을 실장해, 그러한 PP에 대해서 제품을 평가하도록 선택할 수 있습니다.이러한 경우 PP는 제품의 ST(보안 목표, 아래에서 정의한 바와 같이)의 템플릿 역할을 할 수 있으며, ST의 작성자는 적어도 관련 PP의 모든 요건이 대상의 ST 문서에도 나타나도록 보장할 것이다.특정 유형의 제품을 찾고 있는 고객은 요구 사항을 충족하는 PP에 대해 인증된 제품에 집중할 수 있습니다.
    • 보안 타깃(ST) – 평가 대상의 보안 속성을 식별하는 문서입니다.ST는 하나 이상의 PP에 대한 적합성을 주장할 수 있습니다.TOE는 SFR(Security Functional Requirements)에 대해 평가됩니다.ST에 확립되어 있습니다.그 이상도 이하도 아닙니다.이를 통해 벤더는 제품의 의도된 기능에 정확히 부합하도록 평가를 맞춤화할 수 있습니다.즉, 네트워크 방화벽은 데이터베이스 관리 시스템과 동일한 기능 요건을 충족할 필요가 없으며, 실제로는 전혀 다른 요건 목록과 비교하여 다른 방화벽을 평가할 수 있습니다.일반적으로 ST는 평가에서 인증된 특정 보안 기능을 잠재적 고객이 결정할 수 있도록 게시됩니다.
    • 보안기능요건(SFR)– 제품에 의해 제공되는 개별 보안기능지정합니다.공통 기준은 이러한 기능의 표준 카탈로그를 제공합니다.예를 들어 SFR은 특정 역할을 수행하는 사용자의 인증 방법을 기술할 수 있습니다.SFR 목록은 동일한 유형의 제품이라도 평가마다 다를 수 있습니다.공통 기준에서는 ST에 포함되는 SFR을 규정하지 않지만, 어떤 기능의 올바른 동작(역할에 따라 액세스를 제한하는 기능 등)이 다른 기능(개별 역할 식별 기능 등)에 의존하는 의존관계를 식별합니다.

또한 평가 프로세스에서는 품질 보증 프로세스를 통해 제품의 보안 기능에 가해질 수 있는 신뢰도를 확립하려고 합니다.

  • Security Assurance Requirements (SAR; 보안보증요건)– 제품 개발 및 평가 중 청구된 보안기능의 준수를 보증하기 위해 취해진 조치에 대한 설명.예를 들어 평가에서는 모든 소스 코드를 변경 관리 시스템에 보관하거나 전체 기능 테스트를 수행해야 할 수 있습니다.공통 기준에는 이러한 사항의 카탈로그가 제공되며, 요건은 평가마다 다를 수 있습니다.특정 대상 또는 제품 유형에 대한 요건은 각각 ST 및 PP에 설명되어 있습니다.
  • 평가보증레벨(EAL)– 평가의 깊이와 엄격함을 나타내는 수치평가.각 EAL은 보안보증요건 패키지(SAR, 위 참조)에 대응하고 있습니다.SAR는 특정 수준의 엄격성으로 제품 개발 전체를 커버합니다.공통 기준에는 7가지 레벨이 기재되어 있습니다.EAL 1은 가장 기본적인 것(따라서 구현 및 평가 비용이 저렴함), EAL 7은 가장 엄격한 것(그리고 가장 비싼 것)입니다.일반적으로 ST 또는 PP 작성자는 개별적으로 보증 요건을 선택하지 않고 이러한 패키지 중 하나를 선택하며, 상위 수준의 요건이 있는 몇 가지 영역에서 '증강' 요건이 있을 수 있다.EAL이 높을수록 반드시 "더 나은 보안"을 의미하는 은 아니며, 단지 TOE에 대해 청구된 보안 보증이 더 광범위하게 검증되었음을 의미합니다.

지금까지 대부분의 PP와 가장 평가된 ST/인증 제품은 IT 컴포넌트(방화벽, 운영체제, 스마트카드 등)용이었습니다.IT조달에 공통기준인증이 지정되어 있는 경우가 있습니다.상호 운용, 시스템 관리, 사용자 훈련, 보충 CC 및 기타 제품 표준을 포함하는 기타 표준.를 들어 ISO/IEC 27002 및 독일 IT 기준선 보호 등이 있습니다.

TOE에서의 암호화 실장의 상세한 것에 대하여는, CC 의 범위를 벗어납니다.대신 FIPS 140-2와 같은 국가 표준은 암호화 모듈의 사양을 제공하며 다양한 표준이 사용 중인 암호화 알고리즘을 지정합니다.

최근 PP 저자들은 일반적으로 FIPS 140-2 평가에서 다루어지는 CC 평가에 대한 암호화 요건을 포함하고 있으며, 체계별 해석을 통해 CC의 범위를 넓히고 있다.

일부 국가 평가 체계는 EAL 기반 평가를 단계적으로 폐지하고 승인된 PP에 대한 엄격한 준수를 주장하는 평가용 제품만 받아들인다.미국은 현재 PP 기반 평가만 허용하고 있다.캐나다는 EAL 기반 평가를 단계적으로 폐지하는 과정에 있다.

역사

CC는 다음 세 가지 표준에서 비롯되었습니다.

  • ITSEC – 프랑스, 독일, 네덜란드 및 영국이 1990년대 초에 개발한 유럽 표준.이 역시 두 가지 영국 접근법(국방/정보 시장을 겨냥한 CESG UK 평가 체계와 상업적 사용을 위한 DTI 그린북)과 같은 이전 작업의 통합이었으며, 일부 다른 국가에서 채택되었다.호주.
  • CTCPEC – 캐나다 표준은 미국 국방성 표준을 따랐지만 몇 가지 문제를 피했으며 미국과 캐나다의 평가자들이 공동으로 사용했다.CTCPEC 표준은 1993년 5월에 처음 발표되었다.
  • TCSEC – 미국 국방부 국방성 5200.28 규격으로 오렌지북레인보우 시리즈의 일부라고 불립니다.Orange Book은 1970년대 후반과 1980년대 초에 National Security Agency와 National Bureau of Standards(NBS는 결국 NIST가 )에 의해 수행된 Anderson Report를 포함한 컴퓨터 보안 작업에서 비롯되었습니다.오렌지북의 중심 논지는 일련의 보호 메커니즘을 위해 Dave Bell과 Len LaPadula에 의해 수행된 연구에서 나온 것입니다.

CC는 이러한 기존 표준을 통합함으로써 생산되었으며, 주로 정부 시장(주로 국방 또는 인텔리전스 사용을 위한)용 컴퓨터 제품을 판매하는 기업들이 한 세트의 표준에 대해 컴퓨터 제품을 평가받기만 하면 된다.CC는 캐나다, 프랑스, 독일, 네덜란드, 영국, 미국 정부에 의해 개발되었습니다.

테스트 조직

모든 시험소는 ISO/IEC 17025에 준거해야 하며 인증기관은 일반적으로 ISO/IEC 17065에 대해 승인됩니다.

ISO/IEC 17025 준수는 일반적으로 국가 승인 기관에 입증된다.

이러한 조직의 특성은 ICCC 10에서 조사되고 제시되었다.

상호 인정 협정

공통기준기준과 더불어 하위처리수준의 공통기준 MRA(상호인식협정)도 있어 각 당사자는 다른 당사자가 수행한 공통기준기준기준에 대한 평가를 인정한다.1998년 캐나다, 프랑스, 독일, 영국과 미국이 서명한 호주와 뉴질랜드는 1999년에 가입했고, 핀란드, 그리스, 이스라엘, 이탈리아, 네덜란드, 노르웨이, 스페인이 2000년에 그 뒤를 이었다.그 후 이 협정은 CCRA(Common Criteria Recognition Agreement)로 명칭이 변경되어 회원 수가 계속 확대되고 있습니다.CCRA 내에서는 EAL 2까지의 평가만 상호 인정된다(결함 수정에 의한 증강 포함).구 ITSEC 협정 내 유럽 국가들도 일반적으로 높은 EAL을 인정하고 있다.EAL5 이상의 평가는 주최국 정부의 보안 요건을 수반하는 경향이 있다.

2012년 9월, CCRA 회원국의 과반수는 CC 평가 제품의 상호인증을 EAL 2로 낮추겠다는 비전 성명서를 작성했다(결함 수정을 통한 확대 포함).또한 이 비전은 보증 수준에서 완전히 벗어나는 것을 나타내며, 평가는 명시된 보증 수준이 없는 보호 프로파일에 대한 준수로 제한됩니다.이는 전세계 PP를 개발하는 기술 작업 그룹을 통해 달성될 것이며, 아직 이행 기간이 완전히 결정되지 않았다.

2014년 7월 2일, 2012년 비전 성명에서 개략적으로 설명한 목표에 따라 새로운 CCRA가 비준되었습니다.본 협정의 주요 변경 사항은 다음과 같습니다.

  • 공동 보호 프로파일(cPP) 또는 평가 보증 레벨 1~2 및 ALC_FLR에 대한 평가만 인정합니다.
  • cPP의 작성을 담당하는 기술 전문가 그룹인 국제 기술 커뮤니티(iTC)의 출현.
  • 이전 CCRA로부터의 이행계획(이전 버전의 약정에 따라 발행된 증명서의 인정 포함)

문제들

요구 사항들

공통 기준은 매우 일반적입니다.특정(클래스 오브) 제품에 대한 제품 보안 요건 또는 기능 목록을 직접 제공하는 것은 아닙니다.는 ITSEC가 채택한 접근방식을 따르지만 TCSECFIPS 140-2와 같은 다른 이전 표준의 보다 규범적인 접근방식에 익숙한 접근방식에 대해서는 논란의 대상이 되어 왔습니다.

인정의 가치

Common Criteria 인증은 보안을 보장할 수 없지만 평가 대상 제품의 보안 속성에 대한 클레임이 독립적으로 검증되었는지 확인할 수 있습니다.즉, 공통기준기준에 준거하여 평가된 제품은 사양, 구현 및 평가 프로세스가 엄격하고 표준적인 방식으로 수행되었다는 명백한 증거를 제시합니다.

Windows Server 2003 및 Windows XP 등 다양한 Microsoft Windows 버전이 인증되어 있습니다만, 이러한 Windows 시스템용의 시큐러티의 취약성을 해결하기 위한 시큐러티 패치는 Microsoft에 의해서 공개되고 있습니다.이는 벤더가 공통 기준 인증을 취득하는 프로세스를 통해 분석을 특정 보안 기능으로 제한하고 해당 환경에서 제품이 직면한 위협의 강도와 동작 환경에 대해 특정 가정을 할 수 있기 때문에 가능합니다.또한 CC는 평가된 제품이 보증 수준 또는 PP에 의해 지정된 세부 수준까지 검사되도록 비용 효과적이고 유용한 보안 인증을 제공하기 위해 평가 범위를 제한할 필요성을 인식하고 있다.따라서 평가 활동은 특정 깊이, 시간 사용 및 자원까지만 수행되며 의도된 환경에 대한 합리적인 보증을 제공합니다.

Microsoft 의 경우, 전제 조건에는 A 가 포함됩니다.피어:

"TOE가 통신하는 다른 모든 시스템은 동일한 관리 통제 하에 있으며 동일한 보안 정책 제약 조건 하에서 작동하는 것으로 가정됩니다.TOE는 네트워크 환경 또는 분산 환경에 적용할 수 있는 것은 네트워크 전체가 동일한 제약 조건 하에서 동작하며 단일 관리 도메인 내에 존재하는 경우뿐입니다.외부 시스템이나 이러한 시스템에 대한 통신 링크를 신뢰할 필요가 있는 보안 요건은 없습니다."

이 전제는 해당 제품이 준수하고 있는 Controlled Access Protection Profile(CAPP)에 포함되어 있습니다.범용 운영체제의 일반적인 사용에는 현실적이지 않을 수 있는 이러한 가정 및 기타 가정을 바탕으로 Windows 제품의 보안 기능을 평가합니다.따라서 평가된 구성이라고도 하는 가정된 특정 상황에서만 안전한 것으로 간주해야 합니다.

평가된 정확한 구성에서 마이크로소프트 윈도우즈를 실행하든 실행하지 않든 윈도우즈의 취약성에 대한 마이크로소프트 보안 패치를 계속 적용해야 합니다.제품의 평가된 구성에서 이러한 보안 취약성을 이용할 수 있는 경우 공급업체가 제품의 공통 기준 인증을 자발적으로 취소해야 합니다.또는 벤더는 평가된 구성에 보안 취약성을 수정하기 위한 패치를 적용하도록 제품을 재평가해야 합니다.공급업체가 이러한 절차를 수행하지 않으면 제품이 평가된 국가의 인증 기관에 의한 제품 인증이 무의식적으로 취소됩니다.

인정된 Microsoft Windows 버전은 평가된 구성에 Microsoft 보안 취약점 패치를 적용하지 않고 EAL4+로 유지됩니다.여기에는 평가된 설정의 제한과 강도가 모두 표시됩니다.

비판

2007년 8월, Government Computing News(GCN) 칼럼니스트 William Jackson은 Common Criteria Evaluation and Validation Scheme(CCEVS)[5]에 의한 공통 기준 방법론과 그 미국의 실시를 비판적으로 검토했습니다.이 칼럼에서는 보안업계 중역들과 NIAP(National Information Assurance Partnership)의 대표자들을 인터뷰했다.이 기사에 기재되어 있는 이의는 다음과 같습니다.

  • 평가는 비용이 많이 드는 프로세스(종종 수십만 달러)이며, 벤더의 투자수익률이 반드시 더 안전한 제품이라고는 할 수 없습니다.
  • 평가는 주로 제품 자체의 실제 보안, 기술적 정확성 또는 장점이 아닌 평가 문서를 평가하는 데 초점을 맞춥니다.미국의 평가에서는 EAL5 이상에서만 국가안전보장국의 전문가가 분석에 참여하며, EAL7에서만 완전한 소스 코드 분석이 필요하다.
  • 평가 증거 및 기타 평가 관련 문서 작성에 필요한 노력과 시간이 너무 번거로우므로 작업이 완료될 때까지 평가 대상 제품은 일반적으로 구식이 됩니다.
  • 공통 기준 벤더 포럼 등의 조직을 포함한 업계의 의견은 일반적으로 프로세스 전체에 거의 영향을 미치지 않습니다.

2006년 연구논문에서는 컴퓨터 전문가인 David A.Wheeler는 Common Criteria 프로세스가 자유오픈 소스 소프트웨어(FOSS) 중심의 조직과 개발 [6]모델을 차별한다고 제안했습니다.일반적인 기준 보증 요건은 기존의 워터폴 소프트웨어 개발 방법론에서 영감을 얻는 경향이 있습니다.이와는 대조적으로, 많은 FOSS 소프트웨어는 현대의 신속한 변화를 위한 패러다임을 사용하여 생산됩니다.비록 어떤 이들은 두 패러다임이 [7]잘 맞지 않는다고 주장했지만, 다른 이들은 두 패러다임을 [8]조화시키려고 시도했다.정치학자 Jan Kallberg는 제품이 인증되면 실제 생산에 대한 통제력이 부족해지고, 컴플라이언스를 감시하는 상근 직원이 상주하지 않으며, 공통 기준 IT 보안 인증에 대한 신뢰가 지정학적 경계를 넘어 유지될 것이라는 생각에 대해 우려를 표명했습니다.네,[9] 그렇습니다.

2017년 ROCA 취약성은 Common Criteria 인증 스마트카드 제품 목록에서 발견되었습니다.이 취약성은 공통 기준 인증 [10]체계의 몇 가지 단점을 부각시켰습니다.

  • 이 취약성은 암호화 커뮤니티에서 공개 및 분석되지 않은 자체 개발한 RSA 키 생성 알고리즘에 있습니다.다만, 독일의 시험소 TüV Informationstechnik GmbH(TüViT)는 그 사용을 승인해, 독일의 인증 기관 BSI는 취약 제품에 대한 공통 기준 증명서를 발행했습니다.평가 대상 제품의 보안 대상은 표준 알고리즘에 따라 RSA 키가 생성된다고 주장했습니다. 취약성에 대한 대응으로 BSI는 현재 구현된 자체 암호화가 권장 표준에 정확히 부합하지 않는지를 인증 보고서에 명시하도록 요구함으로써 투명성을 개선할 계획입니다.BSI는, 독자적인 알고리즘을 어떠한 방법으로도 공개할 필요는 없습니다.
  • 현재 인증 기관은 공통 기준 증명서에 지정된 보안 클레임이 더 이상 유지되지 않음을 인식하고 있지만 ANSSI와 BSI 모두 대응하는 증명서를 취소하지 않았습니다.BSI에 따르면, 증명서는 잘못된 증거가 제출된 것으로 판명된 경우 등 오해를 받아 발급되었을 때만 인출할 수 있다.증명서를 발급한 후에는 시간이 지남에 따라 증명서의 유효성이 저하되어 새로운 공격이 검출되는 것을 전제로 해야 합니다.인증 기관은 유지보수 보고서를 발급하거나 제품의 재인증을 수행할 수도 있습니다.그러나 이러한 활동은 벤더가 시작하고 후원해야 합니다.
  • ROCA의 결함에 의해 몇 가지 공통기준 인정제품이 영향을 받고 있지만 인증에 관한 벤더의 대응은 다릅니다.일부 제품에서는 길이가 3072비트 및 3584비트인 RSA 키만 보안 레벨이 100비트 이상임을 나타내는 유지보수 보고서가 발행되었습니다.또한 일부 제품에서는 TOE 변경이 인증 암호화 보안 기능에 영향을 미친다고는 언급하지 않았지만 변경은 RSA 키에서 이루어졌다고 결론짓습니다.지침 문서의 수준이며 보증에 영향을 미치지 않습니다.
  • BSI에 따르면 인증된 최종 제품의 사용자는 벤더로부터 ROCA의 취약성을 통지받아야 합니다.그러나 이 정보는 750,000개 이상의 에스토니아 신분증에 취약한 제품을 배포한 에스토니아 당국에 적시에 도달하지 못했다.

대체 어프로치

CC의 라이프 사이클을 통해서, 특히 캐나다/미국의 FIPS-140의 실장이나 영국의 CESG Assisted Products Scheme(CAPS)[11] 등, 암호화 승인이 개별적으로 취급되고 있는 등, 크리에이터국에 의해서도 보편적으로 채용되고 있지 않습니다.

영국은 또한 상호인정의 기간, 비용 및 오버헤드가 시장의 운영을 방해하고 있는 것으로 판명되었을 때 다음과 같은 여러 가지 대안을 제시해 왔다.

  • 일반 제품과 서비스가 아닌 정부 시스템의 보증을 위한 CESG System Evaluation(SYSN; 시스템 평가) 및 Fast Track Approach(FTA; 패스트트랙 어프로치) 스킴은 현재 CESG 맞춤형 보증 서비스(CTAS)로 통합되었습니다.
  • CESG Claims Tested Mark(CCTV 마크)는 제품 및 서비스에 대한 덜 철저한 보증 요건을 비용 및 시간 효율적으로 처리하는 것을 목적으로 하고 있습니다.

2011년 초, NSA/CSS는 Chris Salter의 논문을 발표하여 평가를 위한 보호 프로파일 지향 접근 방식을 제안했습니다.이 접근방식에서는 테크놀로지 타입을 중심으로 관심 커뮤니티가 형성되고, 테크놀로지 [13]타입의 평가방법을 정의하는 보호 프로파일이 개발됩니다.목표는 보다 견고한 평가입니다.이것이 [14]상호인식에 부정적인 영향을 미칠 수 있다는 우려가 있다.

2012년 9월, Common Criteria는 전년도 Chris Salter의 생각을 대부분 구현하는 비전 스테이트먼트를 발표했습니다.비전의 주요 요소는 다음과 같습니다.

  • 테크니컬 커뮤니티는 합리적이고, 비교 가능하며, 재현 가능하며, 비용 효율이 높은 평가 결과를 목표로 하는 보호 프로파일(PP)의 작성에 주력합니다.
  • 평가는 가능한 한 이들 PP에 대해 실시해야 한다.보안 타깃 평가를 상호 인정하지 않을 경우 EAL2로 제한된다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "The Common Criteria".
  2. ^ "Common Criteria - Communication Security Establishment".
  3. ^ "Common Criteria Certified Products".
  4. ^ Indian Common Criteria Certification Scheme. "Indian Common Criteria Certification Scheme (IC3S) Overview". Retrieved 2022-06-01.
  5. ^ 공격 중: Common Criteria는 많은 비판을 받고 있지만, 2007년 12월 14일에 취득된 Government Computer News에 대한 비난이 쏟아지고 있습니까?
  6. ^ Free-Libre/Open Source Software(FLOSS) 및 소프트웨어 보증
  7. ^ Waeyrynen, J., Bodén, M. 및 Boström, G. 보안 엔지니어링eXtreme 프로그래밍: 불가능한 결혼?
  8. ^ Beznosov, Konstantin; Kruchten, Philippe. "Towards Agile Security Assurance". Archived from the original on 2011-08-19. Retrieved 2007-12-14.
  9. ^ 신뢰, 제휴, 잠재적 배신 등 현실정치에 부합하는 공통기준
  10. ^ Parsovs, Arnis (March 2021). Estonian Electronic Identity Card and its Security Challenges (PhD). University of Tartu. pp. 141–143.
  11. ^ "CAPS: CESG Assisted Products Scheme". Archived from the original on August 1, 2008.
  12. ^ Infosec Assurance and Certification Services(IACS) 2008년 2월 20일 Wayback Machine에서 아카이브
  13. ^ "Common Criteria Reforms: Better Security Products Through Increased Cooperation with Industry" (PDF). Archived from the original (PDF) on April 17, 2012.
  14. ^ "Common Criteria "Reforms"—Sink or Swim-- How should Industry Handle the Revolution Brewing with Common Criteria?". Archived from the original on 2012-05-29.

외부 링크