Beveiligingsnormen Cursus informatiebeveiliging Eric Laermans – Tom Dhaene
Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 2 Beveiligingsnormen Voordeel beveiligingsnormen (“security standards”) compatibiliteit en interoperabiliteit openheid door iedereen te gebruiken (?) verbeterde concurrentie gebruiker niet beperkt tot producten van 1 enkele producent schaalvoordeel (vooral voor hardware) kwaliteit en beveiligingsgaranties althans dit is normaal de bedoeling …
Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 3 Beveiligingsnormen Nadeel beveiligingsnormen nodige tijd om tot consensus te komen kan verouderd zijn vóór publicatie schaalvoordeel voor aanvallen problemen met intellectuele eigendom patenten (RSA, IDEA,…) lobbywerk om eigen oplossing door te drukken niet altijd optimaal kerkhof van geflopte normen is groot (WEP, GSM,…) … “The nice thing about standards is there’s so many to choose from” (toegeschreven aan A. S. Tanenbaum)
Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 4 Beveiligingsnormen Soorten basisnormen cryptografische algoritmen –bv. PKCS #1 v1.5 voor RSA gebruiksmodes –bv. NIST-documenten over CCM API’s functionele normen specificaties voor diensten –bv. netwerkbeveiliging: TLS, IPSec –bv. PKI: X.509 –…
Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 5 Beveiligingsnormen Soorten evaluatiecriteria evaluatie van producten en systemen –bv. ISO/IEC 15408: “Evaluation Criteria for IT Security” (zogeheten “Common Criteria”) –bv. FIPS van NIST: “Security Requirements for Cryptographic Modules” gebruiksaanbevelingen (“best practices”) meer gericht op organisationele aspecten –bv. ISO/IEC 17799: “Code of Practice for Information Security Management”
Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 6 Normeringsorganisaties Internationaal formeel ISO: International Organisation for Standardisation –Europese tegenpool: CEN: Comité Européen de Normalisation IEC: International Electrotechnical Commission –ISO/IEC JTC1: joint technical committee »SC17 (SubCommittee): smart cards »SC27: security techniques (3 werkgroepen: Requirements, services, guidelines – Security techniques and mechanisms – Security evaluation criteria) »SC37: biometrics »normteksten verkrijgbaar tegen betaling
Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 7 Normeringsorganisaties Internationaal formeel ITU: International Telecommunications Union –Europese tegenpool: ETSI: European Telecommunications Standards Institute (o.a. beveiliging voor GSM en UMTS)
Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 8 Normeringsorganisaties Internationaal minder formeel IEEE: Institute of Electrical and Electronics Engineers –IEEE : SILS – Standards for Interoperable LAN/MAN Security –IEEE : Wireless LAN Security »WEP (!!): Wired Equivalent Privacy »TKIP (Temporal Key Integrity Protocol) en CCMP (Counter-Mode/CBC-Mac Protocol): verbeterde opvolgers van WEP –IEEE 1363: Public key cryptography
Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 9 Normeringsorganisaties Internationaal minder formeel IETF: Internet Engineering Task Force –vrij snel en efficiënt (zeker in vergelijking met ISO!) –waarschijnlijk belangrijkste bron voor informatiebeveiliging »twintigtal werkgroepen (niet alle even actief)
Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 10 Normeringsorganisaties Internationaal minder formeel IETF: Internet Engineering Task Force –interessante documenten: RFC’s (Requests for Comments) »informational (algemene informatie) »proposed standard (quasi-normen) »teksten vrij beschikbaar in ASCII-tekstvorm »40-tal (actuele) voor IPSec of S/MIME »20-tal (actuele) voor TLS »niets voor SSH vóór 2006 (!), intussen 13
Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 11 Normeringsorganisaties Nationaal nationale instellingen als lid van ISO ANSI: American National Standards Institute DIN: Deutsches Institut für Normung BSI: British Standards Institution BIN/IBN: Belgisch Instituut voor Normalisatie … niet-leden van ISO NIST: National Institute of Standards and Technology –FIPS: Federal Information Processing Standards
Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 12 Normeringsorganisaties Industrie talrijke organisaties, enkele voorbeelden W3C: World Wide Web Consortium –samen met IETF XML-beveiligingsnormen OASIS: Organisation for the Advancement of Structured Information Standards –voor e-business en web services Liberty Alliance –normen voor gefedereerde identiteit (o.a. voor de bescherming van privacy) PKCS: Public Key Crypto Standards (van RSA Security) …
Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 13 Interoperabiliteit Mogelijke problemen ambiguïteiten/vaagheid in tekst van normen implementatie onvolledig –vaak wegens te complexe specificaties gebrekkig