iT邦幫忙

0

微軟的CC證書到底有沒有參考價值?

我是看到底下這個網站所說的,如果說他的條件是不保證聯網,不保證收發電子郵件,不保證安裝軟體可以安全運作的情況下通過的,那這樣的與一般拿來當伺服器的用途差異很大的證書,有參考價值嗎?

http://it.slashdot.org/story/02/11/17/2343231/justifying-the-common-criteria-security-evaluation

Translating that into colloquial English:

Don't hook this to the internet, don't run email, don't install software unless you can 100% trust the developer, and if anybody who works for you turns out to be out to get you you are toast.

1 個回答

8
海綿寶寶
iT邦超人 1 級 ‧ 2013-05-22 15:58:00
最佳解答

我建議你看兩個網站

你的資料是2002 年 Windows 2000 的認證
我提供的是2008 年的 Common Criteria 認證介紹
以及
Coomon Criteria 官方網站

看更多先前的回應...收起先前的回應...

打錯字了
Coomno -> Common 才對
忙

sula3065408 iT邦研究生 1 級 ‧ 2013-05-22 16:03:18 檢舉

重點是微軟的作業系統的CC證書用一個奇怪的Assumptions去拿到,這個基於奇怪的Assumptions的認証的效力問題,而不是CC的價值問題。

sula3065408 iT邦研究生 1 級 ‧ 2013-05-22 16:09:35 檢舉

一般採購看CC應該不會很詳細的去看裏面的假設,只會看EAL X等級來下規格,那在這種情況之下,採購到的伺服器不能連網路,不是很詭異嗎?

那個不是假設
你那篇文章裡有提到
寫法是 CAPP/EAL4 而不是只有 EAL4
而根據官方規格文件中節錄出來

<pre class="c" name="code">
The CAPP provides for a level of protection which is appropriate for an assumed non-hostile and well managed user community requiring protection against threats of inadvertent or casual attempts to breach the system security. The profile is not intended to be applicable to circumstances in which protection is required against determined attempts by hostile and well funded attackers to breach system security. The CAPP does not fully address the threats posed by malicious system development or administrative personnel. CAPP-conformant products are suitable for use in both commercial and gov
ernment environments.

可以看出來
他是針對「較安全的環境」(eg.內網)定義的安全標準
而不是站在大門外面要面對各種安全威脅的安全標準

簡單說
CAPP 只是 CC 裡的一小部份,不代表 CC
CAPP 不是寫給 server 用的認證

另外再提一點
CC 要求「新版本」就要重新驗證
所以
你應該在意的是
Windows 8 拿的是什麼 CC 認證
而不是 Windows 2000 的 CC 認證

sula3065408 iT邦研究生 1 級 ‧ 2013-05-22 17:29:51 檢舉

我的理解是CAPP是Controlled Access Protection Profile,是假定在某些條件下才成立,所以基於假定之下的使用證書才有保障,也就是說你買防火牆,真拿賴打點火燒起來了,這防火牆應該沒責任吧。

現在正在看微軟給的其他server版的TC當中,我是覺得,就是說拿到證書,好像是那麼回事,可是實際上沒去讀完整個TC,也不見得有意義。

sula3065408 iT邦研究生 1 級 ‧ 2013-05-22 17:31:27 檢舉

Sorry 不是TC,是ST。

sula3065408 iT邦研究生 1 級 ‧ 2013-05-22 17:35:09 檢舉

詭異的是,當投標的標準要求是CAPP/EAL 4以上,Red Hat Enterprise Linux一樣也是有過認証,這樣兩個標準能夠拿來比較嗎?

極端的例子就是已知的Windows 2000,跟Red Hat Enterprise Linux比較,一樣都過CAPP/ELA 4。

其實我不太懂你的疑問點

同樣拿到CAPP/EAL4的產品
就表示符合同樣的標準規範(低標)

sula3065408 iT邦研究生 1 級 ‧ 2013-05-22 18:33:52 檢舉

我的疑問點是,不一樣的假設會有不一樣的TEST CASE,那同樣的CAPP/EAL 4的產品,怎麼放在一起比較?
就極端的按例就以Win2k來說,假定不聯網拿到的證書,跟要聯網拿到的證書,同樣都是CAPP/EAL 4的等級,這兩個作業系統的證書怎麼放在一起比較?

一切的答案都在官網CAPP文件

符合文件所有規範,就是 CAPP/EAL 4
不符合,就拿不到認證
就這麼簡單

文件中有沒有要求要聯網?

我沒有看文件
所以不知道

我要發表回答

立即登入回答