giobbe wrote: > Rissone Ruggero ha scritto [...] >> Da una rapida ricerca su Internet non sembrano molte le infrastrutture di >> virtualizzazione che hanno conseguito la certificazione EAL5+
>> Ad esempio ESX Infrastructure 3 ha conseguito "solo" un EAL4+ >> Altro Big OS (unico EAL5+ tra gli OS) e' XTS-400 [...] >> Quello che non mi e' chiaro e per il quale chiedo lumi al riguardo, la >> "marcia in piu'" e' davvero data dall'hardware dedicato ? Se la risposta e' >> affermativa, a questo punto sarebbe interessante eseguire la stessa TOE >> utilizzata per ESX 3 su un sistema con ZEN per vedere quali sono i risultati. > > Ciao, > il livello EAL4 e' l'ultimo livello internazionalmente riconosciuto e > quindi "utilizzabile" al di fuori degli U.S. : [...] > - Le certificazioni dal livello EAL5 in poi richiedono in aggiunta > l'intervento dell'NSA (National Security Agency) > (http://csrc.nist.gov/groups/SMA/ispab/documents/minutes/2006-03/A_Dale-March2006-ISPAB.pdf) > [...] > Come vedi il NIST considera l'NSA un organismo indipendente (ne ha la > facolta'). Ovviamente per gli altri paesi del mondo non e' esattamente > Ciao a tutti, provo a dire la mia in proposito. in generale non sono molte le certificazioni EAL5 e superiori: i costi sono esorbitanti , quindi difficilmente accettati dal mercato "normale" (per altro anche la necessita' di questo livello di sicurezza non e' da mercato "normale") Considerate la "semplice" certificazione EAL4+ per gli HSM. e' necessaria a renderli compliant alla normativa europea sulla firma digitale: richiede di essere conforme ai security requirement contenuti nei documenti CWA 14167-, CWA 14167-2, CWA 14169 del CEN La commissione europea prese questa decisione nel luglio 2003; da quella data ad oggi, in pratica nessun fornitore di HSM ha ancora una certificazione CC, nella migliore delle ipotesi sono FIPS-2 Lev 3. Le aziende americane con cui ho potuto parlare in questi anni, piu' volte mi hanno detto che non sono interessate a spendere forse piu' di un milione di dollari (era il 2004), solo per entrare in modo legale nel mercato europeo della firma digitale (ma quale mercato ancora?) Obtorto collo, alcuni produttori europei hanno "iniziato" la procedura di valutazione (iniziato e' un termine vago) Hai visto di chi e' XTS-400 ? "BAE Systems is a global company engaged in the development, delivery and support of advanced defence and aerospace systems in the air, on land and at sea." Sono tutte aziende che certificano prodotti per la difesa. Mi riallaccio alla risposta di Giobbe: non e' che c'e' bisogno dell'NSA per la certificazione EAL5 e superiore, ma e' ovvio che gli unici a necessitare --e disposti a pagare-- per una certificazione di questo livello sono i governi, cioe' la difesa e le agenzie di sicurezza nazionale. Quindi in USA, dove ci sono il 90% dei produttori, mi sembra scontato che l'NSA voglia metterci occhi, naso bocca e tutto il resto. In Italia, ammesso che la cosa sia necessaria, venga poi realizzata e valuata secondo i CC, la nostra ANS si comportera' allo stesso modo. Le certificazioni per i prodotti commerciali in genere arrivano ad EAL4+ (vedi qualche CryptoCard aderente agli standard) ma la certificazione CC da EAL1 a EAL7 e' accettata anche dai vari paesi "diciamo" ITSEC: vedi http://www.commoncriteriaportal.org/members.html Quanto poi a fidarsi o meno dell'NSA mi chiedo: perche' hanno rilasciato al mondo un sistema di crittografia simmetrica cosi' forte come l'AES ? [ho sempre sospettato che abbiano computer quantistici dal 1990 e generalmente si muovano su cuscini antigravita' dal 1970) Ciao, S. Sandro Fontana http://www.linkedin.com/in/sfontana
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
