FIPS 140-2, CC 인증의 차이점

Posted in Uncategorized by smilehun2 on January 8, 2010

회사 업무로 FIPS 140-2, CC 인증에 대해서 조사하다 좋은 자료를 발견해서 정리 해 보았다.
다른 자료가 그렇듯이 구글링을 통해서 좋은 자료를 발견했다. 앞으로 나와 비슷한 일을 할 사람은 아래의 2 링크를
찾아보면 많은 도움이 될 듯 하다.

강추 링크
http://nulonge.tistory.com/52
http://www.krnet.or.kr/board/include/download.asp?no=397&db=program&fileno=2

FIPS 140-2, CC 인증의 차이점은?

CC 인증
정의
IT 제품 및 시스템의 보안성을 평가하기 위한 기초가 되는 기준을 정의
특정 모듈이 아닌 전체 IT 제품의 안정성을 검증하는 제도이며 국가 간 상호 인증의 인정 가능

시기 : ITSEC 1991에서 발전하여 1996 V1.0, 1998 V2.0 발표함
평가대상 : 운영체제, 네트워크 제품, 응용소프트웨어, 분산시스템 등의 IT 제품
특화된 기술이나 IT 보안과 다소 차이가 있는 경우 제외됨 (관리 방법, 평가 방법론, 암호 알고리즘 등)
평가기관 : CCRA(CC Recognition Agreement) 국제공통평가기준 기반 상호인정협정을 받은 기관에서 인증 발행
평가 기관은 인증서 발행국(CAP:Certificate Authorizing Participants)과 인증서 수용국 (CCP:Certificate Consuming Participants)로 이원화 됨

실제 평가 방법
PP (Protection Profile) : 보호 프로파일 사용자 요구사항을 정의한 문서
ST (Security Target) : 보안 목표 명세서 평가를 위한 근거로 사용되는 보안요구사항과 설계 명세서의 집합

FIPS 140-2
정의
지정한 암호 모듈과 암호 알고리즘이 표준에 적합하고 안전하게 작성되었는가를 평가함
CC에서는 암호 모듈, 암호 알고리즘 평가는 시행하지 않고 CC 평가는 FIPS 140의 평가로 대치가 불가하다. 하지만 FIPS 140-2의 cryptographic module 평가를 위한 내용과 CC의 평가 내용에 유사한 면들이 존재함

시기 : FIPS 140-1 – 1994년 1월, FIPS 140-2 – 2001년 5월
평가 대상 : 암호화 모듈 및 암호화 알고리즘
평가 기관 : NIST, CMT Labs

FIPS 140-2 Level 정의
FIPS Level -1
하드웨어 보다는 소프트웨어 기반의 모듈 구현에 대한 안전성 수준
기본적인 수준의 안전성을 보장
하나 이상의 승인된 알고리즘 또는 승인된 안전한 함수 사용
특정한 물리적 메커니즘은 필요하지 않음
FIPS Level -2
Level-1 + 물리적 접근 시도를 탐지, Role-based 인증 메커니즘 사용
tamper-evidence

FIPS Level 3
Security Level 2 + tamper-resistance
tamper detection/response circuitry 에 의해 암호화 키가 파기 되도록 설계

FIPS Level 4
물리적 보안 메커니즘 : 해당 모듈에 인가되지 않은 물리적 접근에 대해서 완벽한 방어, 봉쇄 기능 제공
가장 높은 안전성을 제공하는 단계

M	T	W	T	F	S	S
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

Smilehun2's Blog