HomeNewsWozu brauchen wir Standards?Welche Standards gibt es?Anwendung im UnternehmenIT-Sicherheits- und RisikomanagementStandards mit IT-SicherheitsanforderungenVorschriftenEvaluierung von IT-SicherheitCommon CriteriaISO/IEC 15408 (CC)ISO/IEC TR 15443ISO/IEC 18045ISO/IEC TR 19791ISO/IEC 19790 (FIPS 140-2)ISO/IEC 24759ISO/IEC 19792ISO/IEC 21827 (SSE-CMM)SchutzprofileNormen zu kryptographischen und IT-SicherheitsverfahrenPhysische SicherheitDanksagung

Schnelleinstieg: 

Logo: Inhalte Verbessern

In Zusammenarbeit mit

Logo: DIN

|||

ISO/IEC 19790 (FIPS 140-2)

ISO/IEC 19790 (FIPS 140-2)

 Titel:  Informationstechnik
 Arbeitsgebiet:  IT-Sicherheitsverfahren
 Name des Standards:  Requirements for Cryptographic Modules
 Anforderungen an kryptographische Module

Inhalt und Anwendungsbereich

Der Standard ISO/IEC 19790 geht als Überarbeitung aus der nationalen US-Norm “Federal Information Processing Standard Publication (FIPS PUB) 140-2, Security requirements for cryptographic modules” hervor. Er soll in Zukunft eine breitere Grundlage anbieten.

Das Dokument dient der Evaluierung von Kryptomodulen und ist daher für Hersteller und Evaluatoren solcher Module interessant, wenn sie sich an FIPS 140-2 anlehnen wollen. FIPS 140-2 beschreibt Sicherheitsanforderungen für Kryptomodule, die in Hardware oder Software realisiert sein können. Eine Anpassung an FIPS 140-3 ist abzusehen.

Die in der Norm detailliert spezifizierten Sicherheitsanforderungen adressieren insgesamt elf Teilbereiche des Designs und der Implementierung derartiger Produkte. Abhängig von der Schärfe dieser Anforderungen unterscheidet der Standard vier Sicherheitsniveaus, vom niedrigsten Level 1 bis zum höchsten Level 4.

FIPS 140 bildet eine wichtige Grundlage für die Zertifizierung von Produkten mit kryptographischen Funktionen und ergänzt in diesem Segment Kriterienwerke wie etwa den Common Criteria. Zu den Produkten zählen unter anderem VPN-Lösungen, Chipkarten oder Sicherheitsmodule. Als Ergebnis einer erfolgreichen Zertifizierung nach FIPS 140-2 wird nicht nur ein Gesamtsicherheitsniveau (Level 1 bis 4) bescheinigt, sondern auch individuelle Prüfergebnisse in verschiedenen Teilbereichen. Letztere sind für konkrete Anwendungsfälle vielfach aussagekräftiger als das Gesamtergebnis.

Zertifizierung

Derzeit ist nur eine Zertifizierung nach FIPS 140-2 möglich. Aktuell sind neun Prüfstellen akkreditiert, davon fünf in den USA, sowie je zwei in Kanada und in UK. Bis Ende 2004 wurden etwa 500 Zertifikate erteilt. Eine Liste der zertifizierten Produkte ist verfügbar.

Weitere Anmerkungen

Mittelfristig plant die ISO, die Anforderungen der ISO/IEC 19790 in die Systematik der ISO/IEC 15408 zu integrieren, wobei weiterhin nicht nur eine Norm für die Evaluierung aller Sicherheitsprodukte existieren wird.

Bisherige Ausgaben

ISO/IEC 19790:2006, 2012
ISO/IEC 19790:2006/Cor.1:2008

 

© 2017, BITKOM - Nutzungsbedingungen für Inhalte der BITKOM-Internetseite