> >-----Messaggio originale-----
> >Da: [EMAIL PROTECTED]
> >[mailto:[EMAIL PROTECTED] Per conto di giobbe
> >Inviato: sabato 20 settembre 2008 5.06
> >A: [email protected]
> >Oggetto: Re: [ml] Certificazione CC-EAL5 per sistemi di
> >virtualizzazione
> >> >Ciao,
> >il livello EAL4 e' l'ultimo livello internazionalmente
> >riconosciuto e quindi "utilizzabile" al di fuori degli U.S. :
> >
> >- Le certificazioni dal livello EAL5 in poi richiedono in
> >aggiunta l'intervento dell'NSA (National Security Agency)
> >(http://csrc.nist.gov/groups/SMA/ispab/documents/minutes/2006
> >-03/A_Dale-March2006-ISPAB.pdf)
> >
> >
> >Il mio punto di vista personale e' che qualunque cosa
> >closed-source al di sopra di EAL4 non e' sicuro neanche come
> >comodino, che si tratti di un software o di una smart card,
> >e non importa se a scopi civili o militari, perche' non
> >siamo negli stati uniti.
> >
> >In conclusione non mi stupisce che i sistemi di
> >virtualizzazione e gli OS dal 5 al 7 siano pochissimi.
> >
> >Ciao,
> >giobbe
> >
Lo scarso numero di prodotti EAL5+ potrebbe anche essere motivato dagli elevati
costi di certificazione, tenendo inoltre presente che la certificazione viene
persa nel momento che il sistema certificato si discosta anche in minima parte
rispetto alla configurazione utilizzata per ottenerla ed oggetto di TOE.
Altra motivazione potrebbe essere che alcuni vendor non possono/vogliono
comparire nella lista, per ovvi motivi di segretezza : non e' escluso pero' che
non abbiano sottoposto i loro sistemi all'analisi da parte della NSA.
Il discorso Closed Source non credo si applichi al 100% alle certificazioni EAL
(anche quelle dalla 4 in su), in quanto comunque viene messo a disposizione da
parte del vendor un hardware in grado di verificare se la checklist descritta
dalla TOE viene superata o meno...
Stiamo parlando di certificazioni di prodotto, cosi' come e' intesa la ISO/IEC
15408 e cio' porta alla ovvia domanda : e' sufficiente come garanzia ? Io credo
di no, proprio per il fatto poc'anzi citato dell'essere estremamente
"configuration dependent". Purtroppo pero' molte societa' statunitensi te la
chiedono.
Sinceramente dire che un prodotto certificato EAL7 non vada bene come comodino
la trovo una frase un po' forte :-))
Saluti e grazie per aver risposto/letto
RR
--------------------------------------------------------------------
CONFIDENTIALITY NOTICE
This message and its attachments are addressed solely to the persons above and
may contain confidential information. If you have received the message in
error, be informed that any use of the content hereof is prohibited. Please
return it immediately to the sender and delete the message. Should you have any
questions, please contact us by replying to [EMAIL PROTECTED]
Thank you
www.telecomitalia.it
--------------------------------------------------------------------
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
