ISO 9001 Certificate
Konformität

Common Criteria (CC)

Der Zertifizierungsstandard Common Criteria (CC) reduziert den Bedarf an Mehrfachbewertungen auf internationalen Märkten. Dadurch werden die Kosten und der Aufwand für die Zertifizierungsprozesse begrenzt.

Indem sie zertifizierte, hochwertige Produkte verwenden, können Unternehmen dafür sorgen, dass sie die sichersten möglichen Lösungen einsetzen.

Der Utimaco CryptoServer Se-Serie Gen2 ist das erste Hardware-Sicherheitsmodul auf dem Markt, das über eine CC-Zertifizierung auf der Grundlage des Schutzprofils EN 419221-5 verfügt und sich nun auf die u.trust Anchor-Plattform erstreckt. Die u.trust Anchor-Plattform ist jetzt auch CC-zertifiziert nach EAL4+.

Weitere Informationen finden Sie hier:

CryptoServer Se-Serie Gen2 u.trust Anchor
Zertifizierungsbericht Zertifizierungsbericht (NSCIB)
  Zertifizierungsbericht (CSA)

 

Utimaco-Zertifizierung

Die Bedeutung von Common Criteria als international anerkannter Bewertungsstandard für IT-Sicherheitsprodukte und Komponenten wie HSM

Die Common Criteria for Information Technology Security Evaluation (CC) ist ein international anerkannter Zertifizierungsstandard für die Sicherheit von IT-Produkten und -Systemen. Es wurde Mitte der 90er Jahre von Kanada, Frankreich, Deutschland, den Niederlanden, Großbritannien und den USA entwickelt.

Ziel dieser Regierungen war es, drei wichtige Standards für die Sicherheitsbewertung und ihre Kriterien zu vereinheitlichen: Die europäische ITSEC, die US-amerikanische TCSEC und die kanadische CTCPEC. Auf diese Weise müssen Produkte, die auf den internationalen Märkten verkauft werden, nicht mehr im Voraus neu bewertet werden.

Common Criteria

 

Das im Jahr 2000 unterzeichnete Common Criteria Recognition Agreement (CCRA) regelt gegenseitig anerkannte CC-Zertifizierungen in verschiedenen Ländern. Die Teilnehmer verpflichten sich zu strengen und standardisierten Bewertungsprozessen, um das hohe Maß an Vertrauen in zertifizierte Produkte zu unterstützen. Sie sind bestrebt, den Bedarf an Mehrfachbewertungen und dadurch Kosten und Aufwand für Zertifizierungsprozesse zu reduzieren. Die Anzahl der bewerteten IT-Produkte ist seitdem gestiegen.

Regierungen und Unternehmen des privaten Sektors verlangen häufig eine Bewertung der gemeinsamen Kriterien. Durch das Vertrauen auf zertifizierte, hochwertige Produkte können sie sicherstellen, dass sie die sichersten Lösungen einsetzen. Dadurch können sie IT-Infrastrukturen möglichst effektiv absichern und geschäftskritische Daten schützen.

Common Criteria und eIDAS

Die US-Regierung stützt sich oft auf Produkte, die von der National Information Assurance Partnership (NIAP) gelistet werden. Die Aufnahme in die Liste erfordert eine Common Criteria-Zertifizierung. Ebenso erfordert die europäische eIDAS-Verordnung eine CC-Bewertung für elektronische Signaturen, um als „qualifizierte digitale Signaturen“ eingestuft zu werden.

Die Verordnung Nr. 910/2014 (eIDAS-Verordnung) des Europäischen Parlaments und des Rates hat die Definition eines neuen Schutzprofils ausgelöst. Das PP „Cryptographic Module for Trust Services“ wird als offizielle Norm EN 419221-5 veröffentlicht und definiert Sicherheitsanforderungen auf einem Sicherheitsniveau EAL4+.

Utimaco Hardware-Sicherheitsmodule sind die ersten HSM auf dem Markt, die eine CC-Zertifizierung erhalten haben

Anwendungen wie Authentifizierung, elektronische Signaturen und Verschlüsselung erfordern starke und sicher verwaltete kryptografische Schlüssel. HSMs bieten höchste Sicherheit beim Erzeugen, Speicherung, Verwaltung und Außerbetriebnahme hochwertiger kryptographischer Schlüssel.

Der Utimaco CryptoServer Se-Serie Gen2 ist das erste Hardware-Sicherheitsmodul, das CC-zertifiziert wurde, basierend auf dem Schutzprofil EN 419 221-5. Mit dieser Bewertung wollen wir sicherstellen, dass Trust Service Provider (TSP) ihren Kunden eIDAS-konforme Lösungen anbieten können. Mit der jüngsten CC-Zertifizierung bestätigt Utimaco die durchdachte, logische Sicherheitsarchitektur der u.trust Anchor-Plattform und die starke Trennung zwischen containerisierten HSMs.

Benötigt Ihre Anwendung ein CC-zertifiziertes HSM? Kontaktieren Sie uns unter .

Wir freuen uns darauf, Ihre Anforderungen kennenzulernen und die passende Lösung zu finden.

Common Criteria-Schlüsselbegriffe und Abkürzungen, die Sie kennen sollten

  • Das Ziel der Bewertung (TOE) ist das Produkt oder System, das anhand der CC-Anforderungen bewertet wird.
  • Die allgemeine Funktionalität und insbesondere die Sicherheitsfunktionsanforderungen (SFR) des TOE sind in einem Sicherheitsziel (ST) beschrieben. Dieses Sicherheitsziel basiert vorzugsweise auf einem anerkannten Protection Profile (PP) oder kann alternativ vom TOE-Hersteller frei definiert werden.
  • PPs fassen Funktions- und Sicherheitsanforderungen für einen bestimmten Produkttyp zusammen, wie etwa eine Smartcard oder ein Hardware-Sicherheitsmodul (HSM). Oder alternativ für ein Gerät mit einer Funktionalität speziell für den Anwendungsfall, wie etwa ein Gerät für Sicherheit bei der Post. Ziel ist es, mehrere Produkte und deren Zertifizierungen miteinander vergleichbar zu machen.

Eine CC-Bewertung überprüft die Sicherheitsmerkmale des Ziels, um die Angaben über das Ziel der Bewertung im Sicherheitsziel zu bestätigen. Zur Qualifizierung und Bewertung des Vertrauens, das man in die Sicherheitsmerkmale eines Produkts setzen kann:

  • Sicherheitsanforderungen (Security Assurance Requirements, SARs) beschreiben die Maßnahmen, die ergriffen werden, um die Übereinstimmung eines IT-Produkts mit den beanspruchten Sicherheitsmerkmalen oder -niveaus zu gewährleisten.
  • Sicherungsstufen der Bewertung (EALs) entsprechen einer Gruppe von SARs. Sie gehen von EAL 1 bis EAL 7 und geben Einblick, wie umfangreich und rigoros eine Bewertung durchgeführt wurde.
  • EAL 1 ist das grundlegendste und am billigsten durchzuführende Niveau.
  • EAL 7 ist die strengste und anspruchsvollste Ebene und mit höheren Kosten und mehr Input verbunden.

Die CCRA legt unter anderem fest, dass Bewertungen mit Sicherungsniveau bis EAL4 in allen teilnehmenden Ländern gegenseitig anerkannt werden. In den meisten Fällen führen höhere EAL dazu, dass die bestimmten Anforderungen des jeweiligen Staates berücksichtigt werden müssen.

Kontakt

Ihre Fragen beantworten wir sehr gerne.

Wie können wir Ihnen helfen?

Sprechen Sie mit einem unserer Spezialisten und erfahren Sie, wie Utimaco Sie unterstützen kann.