Ligera introducción al mundo de la certificación Common Criteria

2.  La seguridad es una necesidad
 Aunque sea intangible por definición
 ¿Qué certificaciones existen?

3. ¿Es posible demostrar
la seguridad de un
producto?

4.  Demostrar que un producto es seguro (es decir, que carece de
vulnerabilidades) es como intentar demostrar que los
extraterrestres no existen.
“Certificar lo que no-es como prueba de hechos negativos, en caso de que sea
posible, obliga a la exhaustividad heurística comprobando pericialmente todas las
posibilidades positivas de lo que sí es, o de lo que sí puede ser, o bien a
razonamientos probatorios indirectos por reducción al absurdo, o a la prueba por
casos. Es relativamente fácil probar lo que sí es y algo más difícil probar lo que sí
fue, pero resulta metafísicamente imposible, sólo por prueba directa, la
certificación de lo que no es, y más imposible aún si cabe, llegar a la certeza de lo
que no fue, salvo en casos con coartadas excepcionalmente sólidas o absurdos
lógicos incontrovertibles.”
Miguel Ángel Gallardo Ortiz, Principios de metaperitación judicial para peritaje de
peritajes en juzgados y tribunales

5.  Sin embargo, si que es posible decir con cierto grado de
confianza que un producto cumple con una especificación de
requisitos de seguridad.

6.  Un poco de historia
 Años 80, USA: Trusted Computer System Evaluation Criteria (TCSEC). El famoso
libro naranja.
 1991, Europa: ITSEC (Information Technology Security Evaluation Criteria)
 1993, Canada: CTCPEC (Canadian Trusted Computer Product Evaluation)
 1993, USA: Federal Criteria
 Decisión conjunta de buscar un estándar internacional
 Common Criteria (o ISO/IEC 15408)

7.  CCRA: Common Criteria Recognition Arrangement
The purpose of this Arrangement is to advance those objectives by bringing about
a situation in which IT products and protection profiles which earn a Common
Criteria certificate can be procured or used without the need for further
evaluation. It seeks to provide grounds for confidence in the reliability of the
judgements on which the original certificate was based by requiring that a
Certification/Validation Body (CB) issuing Common Criteria certificates should
meet high and consistent standards.
 Actualmente (2012) firmado por 26 naciones
 España se incorporó en el año 2000 como consumidor, y en el 2006 como
productor de certificados.

8.  Los usuarios pueden comparar sus requerimientos
específicos frente a los estándares de Common Criteria para
determinar si un producto provee las características de
seguridad que el usuario necesita.
 Cada vez más, la certificación CC es requisito previo para
muchos concursos públicos.
 La independencia crítica está garantizada puesto que las
evaluaciones son realizadas por laboratorios
independientes.
 Es un estándar internacional y el reconocimiento mutuo
permite traspasar fácilmente las fronteras entre países.

9.  Es comparable
 Es repetible

10.  Las certificaciones son muy caras.
 Elevados costes de desarrollo
 Coste propio de la evaluación
 Pueden existir certificaciones “vacías” que aporten una
falsa sensación de seguridad.

11. Organismo de
Certificación
Laboratorio
Fabricante Sponsor
de evaluación

12.  Entre las funciones que el Real Decreto 421/2004, de 12 de marzo, asigna al Centro
Criptológico Nacional (CCN), está la de "constituir el organismo de certificación del
Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de
la Información, de aplicación a productos y sistemas en su ámbito".
 Este Organismo de Certificación (OC), en lo relativo a la certificación funcional de la
seguridad de las TI, se articuló mediante el Reglamento de Evaluación y Certificación
de la Seguridad de las Tecnologías de la Información, aprobado por Orden
PRE/2740/2007, de 19 de septiembre, completado por su propia normativa interna
adaptada a los requisitos necesarios para ser reconocido tanto a nivel nacional, según
la norma EN45011, como a nivel internacional, de acuerdo con el «Arreglo de
Reconocimiento de Certificados de Criterios Comunes» (CCRA), como entidad de
certificación de la seguridad de las TIC.

13.  Dividida en tres partes (más una)
 Parte 1: define una estructura y un lenguaje para describir los requisitos de
seguridad de un producto IT
 Parte 2: Catálogo de requisitos funcionales de seguridad (SFRs), definen qué es
lo que hace el producto, es decir, cuáles son sus funciones de seguridad.
 Identificación y autenticación
 Auditoría…
 Parte 3: Catálogo de requisitos de garantía (SARs) permiten otorgar confianza
en que el producto hace las funciones de seguridad que declara de una manera
correcta.
 Manuales
 Soporte al ciclo de vida…
 CEM: Metodología de evaluación que describe el trabajo que tienen que hacer
los evaluadores

14.  Producto o sistema de las tecnologías de la información
formado por su software/firmware/hardware junto con su
documentación.
 Normalmente es una parte delimitada de un producto. Por
ejemplo, el kernel de un sistema operativo.

15.  Es un documento que describe al TOE y sus propiedades de
seguridad.
 Es el documento clave en la evaluación del TOE
 Describe qué funciones de seguridad implementa el TOE
 Distingue qué es el TOE dentro de un producto más completo
 Asume un nivel de garantía (EAL)

16.  Contenido
Introducción
•Ámbito físico
•Ámbito lógico
Definición del problema de seguridad
•Hipótesis
•Amenazas
•Políticas de seguridad
Objetivos de seguridad
•Del TOE
•Del entorno
Requisitos de seguridad
•Funcionales
•De garantía
Especificación resumida del TOE

17.  El problema de seguridad

18.  Niveles de garantía
EAL1
• Funcionalmente probado
EAL2
• Estructuralmente probado
EAL3
• Metódicamente probado y comprobado
EAL4
• Metódicamente diseñado, probado y revisado
EAL5
• Semiformalmente diseñado y probado
EAL6
• Diseño verificado semiformalmente y probado
EAL7
• Diseño verificado semiformalmente y probado

19.  A mayor EAL, el esfuerzo a
realizar por los evaluadores
aumenta, así como la cantidad
de documentación a entregar
por el fabricante y la garantía de
seguridad.

22.  El fabricante envía al laboratorio el TOE y su documentación
 El laboratorio revisa la documentación y el TOE
cumplimentando las unidades de trabajo que exige la norma y
envía no conformidades al fabricante
 El fabricante corrige las no conformidades y envía una nueva
versión de la documentación
…

23.  Análisis de caja blanca o de caja negra en función del nivel de
evaluación.
 Profundo estudio previo de la tecnología
 El objetivo de todo el trabajo anterior es conocer el producto
mejor que el propio fabricante para encontrar vulnerabilidades.
 Si la declaración de seguridad permite el acceso físico las cosas
pueden ser realmente divertidas
 Análisis de emanaciones
 Ataques físicos
 Taladros, sondas, …

24.  El fabricante tiene dos opciones:
 A) Arreglar los problemas
 B) Modificar el alcance de la evaluación

26.  España
 Safelayer TrustedX v3.0.10S1R1_T (versiones appliance VIRTUAL y HW)
EAL4+ALC_FLR.1
 SVS (Secuware Virtual System) v4.1.0.276 EAL2
 TB-Solutions ASF (Advanced Signature Framework) v4.1 EAL3+ALC_FLR.1
 FNMT RCM DNIe v1.13 EAL4+AVA_VLA.4 AVA_MSU.3 ALC_FLR.1
…
 El mundo
 Apple Mac OS X 10.6 EAL3+
 Windows Vista Enterprise; Windows Server 2008 Standard Edition;
Windows Server 2008 Enterprise Edition; Windows Server 2008 Datacenter
Edition EAL4+ALC_FLR.1
 SUSE Linux Enterprise Server 8 with service pack 3 EAL3+ALC_FLR.3
…

27. Category Products Archived
Access Control Devices and 77 11
Systems
Biometric Systems and Devices 2 0
Boundary Protection Devices and 120 27
Systems
Data Protection 65 15
Databases 53 12
Detection Devices and Systems 33 13
ICs, Smart Cards and Smart 508 2
Card-Related Devices and
Systems
Key Management Systems 34 5
Multi-Function Devices 223 11
Network and Network-Related 139 29
Devices and Systems
Operating Systems 101 25
Other Devices and Systems 191 65
Products for Digital Signatures 65 4
Trusted Computing 1 0
Totals: 1612 219
Grand Total: 1831