Common Criteria

Weltweite Anerkennung von IT-Sicherheitszertifikaten
Die Bewertung für die Sicherheitseigenschaften praktisch aller informationstechnischen Produkte und Systeme richtet sich nach den "Gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik/Common Criteria for Information Technology Security Evaluation (CC)". Um Mehrfachzertifizierungen zu vermeiden, wurde im Rahmen eines Staatsübereinkommens eine gegenseitige Anerkennung von IT-Sicherheitszertifikaten – sofern sie auf Information Technology Security Evaluation Criteria (ITSEC) auf europäischer Ebene oder CC auf weltweiter Ebene beruhen – vereinbart. Damit ist sicher gestellt, dass ein Zertifikat, welches vom BSI ausgestellt wurde, in den Unterzeichnerstaaten ebenfalls anerkannt wird.

Untersuchung umfangreicher Anforderungen
Einerseits werden die funktionalen Sicherheitsanforderungen anhand eines umfangreichen Katalogs (bspw. Sicherheitsprotokollierung, Schutz der Benutzerdaten, Identifikation und Authentisierung oder vertrauenswürdiger Pfad) und im Zusammenhang mit Bedrohungen und Sicherheitszielen untersucht. Andrerseits werden die Anforderungen an die Vertrauenswürdigkeit einschließlich der Anforderungen an die Dokumentationen, ebenfalls anhand von definierten Klassen (bspw. Konfigurationsmanagement, Auslieferung und Betrieb, Entwicklung, Handbücher oder Testen) geprüft.

Übersicht aller Zertifizierungsreporte für OpenLimit Software

BSI prüft OpenLimit Software
Die OpenLimit SignCubes Basiskomponenten 2.1-2.5 (einschließlich PDF-Plug-In für Adobe und XML-Plug-In für IBM Lotus Forms Viewer) als modulare Client Applikation wurden anhand dieser (international anerkannten) Kriterien vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) als international anerkannte Prüfstelle auf folgende Sicherheitsfunktionalitäten geprüft:

  • Hashwertberechnung und Anstoss der Erzeugung elektronischer Signaturen mit Zertifikaten unter Verwendung eines Kartenterminals und einer Smartcard.
  • Prüfung von Hashwerten und Signaturen unter Verwendung von Sperrlisten und optionaler OCSP-Abfrage (OCSP = Online Certificate Status Protocol) und Zeitstempelabfrage.
  • Schutz vor Manipulation von Komponenten (Modulen).
  • Sichere Anzeige der zu signierenden und signierten Daten.
  • Schutz vor Hashwertverfälschungen.
  • Sicherheit der Integrität
  • Verarbeitung der OSCP-Information für die Zertifikatsprüfung
  • Anwendung von Zeitstempeln
  • Prüfung von Zeitstempeln

Die Evaluierung eines Produktes durch die beauftragte Prüfstelle führt zur Erstellung eines Prüfberichtes, welcher wiederum die Grundlage für den Zertifizierungsreport darstellt. Darin wird eine Zusammenfassung der Untersuchungen vorgenommen. Gleichzeitig wird ein IT-Sicherheitszertifikat ausgestellt, welches zusammen mit dem Zertifizierungsreport und den Sicherheitsvorgaben für das evaluierte Produkt veröffentlicht wird.

Das Resultat im Zusammenhang mit der Prüfung der Sicherheitsfunktionalitäten der OpenLimit SignCubes Basiskomponenten 2.1 hat ergeben, dass die eingesetzten Sicherheitsfunktionen die Stärke ‚hoch’ erreichen.

Im Zusammenhang mit der Beurteilung des Schutzes der OpenLimit Software gegen Bedrohungen (ausgehend von einem Angreifer mit hohen Angriffspotential) wurde eine Vertrauenswürdigkeit konform zu EAL 4+ der CC festgestellt, während der Gesetzgeber für Signaturanwendungskomponenten lediglich EAL 3 verlangt (Anlage 1 I. 1.1 d) SigV). Die geschützten Objekte sind eine Benutzerdatei (jede Datei, die aus Sicht des Benutzer schützenswert ist), eine signierte Datei (jede Datei, die mit einer elektronischen Signatur zum Schutz vor z.B. Manipulationen versehen worden ist) und die OpenLimit SignCubes Basiskomponenten (Softwareprodukt, das i.A. aus ausführbaren Dateien und aus Datendateien besteht).

Common Criteria

Bedeutung für den Anwender

  • Die Vertrauenswürdigkeit der Signaturen ist von staatlicher Seite bestätigt.
  • Mit OpenLimit erstellte Signaturen genießen das weltweit höchste Sicherheitsniveau Common Criteria EAL4+.
  • Empfänger signierter Dokumente vertrauen der digitalen Unterschrift des Unterzeichners.

Links

 OpenLimit
 
<script>