Beveiligingsnormen Cursus informatiebeveiliging Eric Laermans – Tom Dhaene

Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 2 Beveiligingsnormen Voordeel beveiligingsnormen (“security standards”) compatibiliteit en interoperabiliteit openheid  door iedereen te gebruiken (?) verbeterde concurrentie  gebruiker niet beperkt tot producten van 1 enkele producent schaalvoordeel (vooral voor hardware) kwaliteit en beveiligingsgaranties  althans dit is normaal de bedoeling …

Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 3 Beveiligingsnormen Nadeel beveiligingsnormen nodige tijd om tot consensus te komen  kan verouderd zijn vóór publicatie schaalvoordeel voor aanvallen problemen met intellectuele eigendom  patenten (RSA, IDEA,…)  lobbywerk om eigen oplossing door te drukken niet altijd optimaal  kerkhof van geflopte normen is groot (WEP, GSM,…) … “The nice thing about standards is there’s so many to choose from” (toegeschreven aan A. S. Tanenbaum)

Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 4 Beveiligingsnormen Soorten basisnormen  cryptografische algoritmen –bv. PKCS #1 v1.5 voor RSA  gebruiksmodes –bv. NIST-documenten over CCM  API’s functionele normen  specificaties voor diensten –bv. netwerkbeveiliging: TLS, IPSec –bv. PKI: X.509 –…

Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 5 Beveiligingsnormen Soorten evaluatiecriteria  evaluatie van producten en systemen –bv. ISO/IEC 15408: “Evaluation Criteria for IT Security” (zogeheten “Common Criteria”) –bv. FIPS van NIST: “Security Requirements for Cryptographic Modules” gebruiksaanbevelingen (“best practices”)  meer gericht op organisationele aspecten –bv. ISO/IEC 17799: “Code of Practice for Information Security Management”

Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 6 Normeringsorganisaties Internationaal formeel  ISO: International Organisation for Standardisation –Europese tegenpool: CEN: Comité Européen de Normalisation  IEC: International Electrotechnical Commission –ISO/IEC JTC1: joint technical committee »SC17 (SubCommittee): smart cards »SC27: security techniques (3 werkgroepen: Requirements, services, guidelines – Security techniques and mechanisms – Security evaluation criteria) »SC37: biometrics »normteksten verkrijgbaar tegen betaling

Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 7 Normeringsorganisaties Internationaal formeel  ITU: International Telecommunications Union –Europese tegenpool: ETSI: European Telecommunications Standards Institute (o.a. beveiliging voor GSM en UMTS)

Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 8 Normeringsorganisaties Internationaal minder formeel  IEEE: Institute of Electrical and Electronics Engineers –IEEE : SILS – Standards for Interoperable LAN/MAN Security –IEEE : Wireless LAN Security »WEP (!!): Wired Equivalent Privacy »TKIP (Temporal Key Integrity Protocol) en CCMP (Counter-Mode/CBC-Mac Protocol): verbeterde opvolgers van WEP –IEEE 1363: Public key cryptography

Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 9 Normeringsorganisaties Internationaal minder formeel  IETF: Internet Engineering Task Force –vrij snel en efficiënt (zeker in vergelijking met ISO!) –waarschijnlijk belangrijkste bron voor informatiebeveiliging »twintigtal werkgroepen (niet alle even actief)

Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 10 Normeringsorganisaties Internationaal minder formeel  IETF: Internet Engineering Task Force –interessante documenten: RFC’s (Requests for Comments) »informational (algemene informatie) »proposed standard (quasi-normen) »teksten vrij beschikbaar in ASCII-tekstvorm »40-tal (actuele) voor IPSec of S/MIME »20-tal (actuele) voor TLS »niets voor SSH vóór 2006 (!), intussen 13

Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 11 Normeringsorganisaties Nationaal nationale instellingen als lid van ISO  ANSI: American National Standards Institute  DIN: Deutsches Institut für Normung  BSI: British Standards Institution  BIN/IBN: Belgisch Instituut voor Normalisatie  … niet-leden van ISO  NIST: National Institute of Standards and Technology –FIPS: Federal Information Processing Standards

Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 12 Normeringsorganisaties Industrie talrijke organisaties, enkele voorbeelden  W3C: World Wide Web Consortium –samen met IETF XML-beveiligingsnormen  OASIS: Organisation for the Advancement of Structured Information Standards –voor e-business en web services  Liberty Alliance –normen voor gefedereerde identiteit (o.a. voor de bescherming van privacy)  PKCS: Public Key Crypto Standards (van RSA Security)  …

Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 13 Interoperabiliteit Mogelijke problemen ambiguïteiten/vaagheid in tekst van normen implementatie  onvolledig –vaak wegens te complexe specificaties  gebrekkig