CC:2022 – Ein Überblick
Neue Version der Common Criteria erschienen
Im November 2022 ist eine neue Version der Common Criteria erschienen, die inoffiziell als „CC 4.0“ bezeichnet wird, jedoch offiziell CC:2022 heißt. Wir wollen Ihnen mit diesem Überblick dazu einige erste Informationen geben, damit Sie die Möglichkeit haben, sich auf den Übergang zu dieser neuen Version vorzubereiten.
Zunächst einige Hinweise zu den Rahmenbedingungen der neuen CC-Version: Die CC:2022 ist wie die Vorgänger einerseits als ISO-Standard erschienen, als ISO/IEC 15408:2022, andererseits auch kostenfrei hier auf der Seite des CCRA zu erhalten. Die entsprechende Mitteilung des BSI dazu findet sich unter dem Link hier.
Auf der Seite des CCRA findet sich auch die Übergangsregelung, die kurz gesagt folgendes enthält:
• Bis 30.06.2024 können noch Evaluierungen nach der bisherigen CC Version 3.1 begonnen werden.
• Re-Evaluierungen, Re-Assessments und Maintenance von nach CC 3.1 zertifizierten Produkten sind innerhalb von zwei Jahren nach Zertifikatserteilung noch möglich.
• In Evaluierungen nach CC:2022 dürfen PPs, die nach CC 3.1 geschrieben wurden, noch bis 31.12.2027 verwendet werden.
Hinweis: Vom BSI kam schon die Signalisierung, dass sich diese Übergangsregelung nochmal ändern wird. Darüber hinaus wird es dann auch in Kürze eine detailliertere Transition Policy geben.
Zu den inhaltlichen Änderungen in der CC:2022
Die Änderungen der CC bestehen im wesentlichen darin, dass es künftig mehr Variantenreichtum in der ST-Erstellung und der Durchführung der Evaluierung auf verschiedenen Ebenen geben wird, sie ist aber inhaltlich „abwärtskompatibel“ zur CC 3.1, d.h., wer Evaluierungen im selben Stil wie bisher durchführen will, soll dies im wesentlichen tun können. Im letzteren Fall muss an einigen Stellen des ST der Text etwas angepasst werden, so muss wegen der größeren Zahl an Optionen die Beschreibung des „Conformance Claim“ etwas umfangreicher sein.
Wir fassen hier die wichtigsten Änderungen zusammen (ohne Anspruch auf Vollständigkeit und Präzision)
• Die CC besteht künftig aus 5 statt wie bisher 3 Teilen. Die Erweiterung wurde vorgenommen, weil es sowohl bei der Auswahl der Evaluierungsmethoden (Teil 4) als auch bei sogenannten „Packages“ (Teil 5) nun mehr Varianten gibt als bisher.
• Die CEM besteht wie bisher aus einem Dokument.
• Einige SFRs, die bisher häufig als „extended“ (also selbstdefinierte) Komponenten genutzt wurden, wurden offiziell in die CC aufgenommen. Dies betrifft insbesondere solche zu Zufallszahlen.
• Eine neue Wahlmöglichkeit ist wie folgt: Bisher beruht das Evaluatorurteil am Ende auf einer Schwachstellenanalyse anhand eines definierten Angriffspotentials, wozu der Evaluator möglicherweise Penetrationstests neu definiert. Dieser bisherige Weg wird zur Abgrenzung auch „Attack-based approach“ genannt. In Zukunft soll es neben dieser Vorgehensweise auch eine Variante einer Evaluierung geben, für die eine Menge von Tests fest vorab definiert wird, gegen die jeder TOE geprüft wird. Dies heißt dann „Specification based approach“.
• Die Kompositionsevaluierung, wie sie in der Chipkartenwelt seit langem üblich ist, wurde nun auch offiziell in die CC aufgenommen (bisher war sie durch SOGIS/JIL, also die europäischen CC-Schemata definiert).
• Der „Multi-assurance-approach“ erlaubt es künftig, für verschiedene Teile eines Produktes verschiedene Assurance-Komponenten (also z.B. verschiedene Angriffsstärken) zu definieren. (Auch dies wurde in einzelnen PPs schon in der Vergangenheit modelliert.)
• Das „Package“-Konzept wurde erweitert. • Statt der bisherigen „low assurance“ STs (die kaum genutzt wurden) soll es künftig sogenannte „direct rationale“ STs geben, bei denen SFRs nicht auf Sicherheitsziele sondern unmittelbar auf die „Security Problem Definition“ (also Threats etc.) zurückgeführt werden.
• Die mögliche „Conformance“ zu einem PP kann neben den bisherigen Varianten „demonstrable“ und „strict“ nun auch „exact“ sein. Letzteres bedeutet, dass ein Produkt genau die Sicherheitsanforderungen eines PP erfüllt, nicht aber eventuelle zusätzliche (was bei strict und demonstrable erlaubt ist). Dies wurde als Erweiterung der CC auch bisher schon verwendet, etwa in vielen PPs aus den USA.
• Der oben genannte „specification based approach“ ist primär vorgesehen für das Verwenden eines PPs zusmman mit den Conformance claim „exact“. D.h. ein PP legt sowohl genau fest, was die Funktionalität eines Produktes ist, als auch alle Tests, die vom Evaluator dazu durchgeführt werden. (Anmerkung: Dies ist eine in den USA heute schon oft verwendete Vorgehensweise.)
• Noch einmal der Hinweis auf die „Abwärtskompatibilität“: Wenn man keine der neuen Features benötigt, kann man wie bisher nach einer der bekannten EAL-Stufen evaluieren lassen und muss dann an den Herstellerdokumenten (außer dem Conformance Claim im ST) nichts wesentliches ändern.
Neben diesen genannten Änderungen gibt es noch einige weitere, die die Beschreibung von Evaluatortätigkeiten betreffen, aber nichts Grundlegendes für den Hersteller ändern.
Bitte wenden Sie sich bei Rückfragen und Diskussionsbedarf gern an Ihre Ansprechpartner bei SRC.
___________________________________________________