Blog

Connectivity Security

GDPR: Aan welke criteria moet een laag-1-encryptieoplossing voldoen?

17 mei 2018

Apollo 10 was een legendarische ruimtemissie in het Apollo-ruimtevaartprogramma. Voor het eerst werd live-televisie in kleur uitgezonden vanuit de ruimte. Deze missie was ook de generale repetitie voor de maanlanding die voor Apollo 11 gepland stond. Gedurende de missie mocht niets fout gaan en om dat te kunnen borgen, werden uitgebreide veiligheidsprocedures en checklists gebruikt.

Tom Engels door Tom Engels

In het kader van de GDPR besprak ik in mijn vorige blogs de noodzaak om WAN-verbindingen te beveiligen en de voordelen om dit op de optische laag te doen. Bij de beveiliging van uw IT-infrastructuur wilt u er zeker van zijn dat de gekozen oplossing voldoet. Maar hoe selecteer je nu een fabrikant en oplossing die het gewenste beveiligings- en compliancyniveau biedt? Nationale en internationale certificeringen kunnen helpen bij het nemen van de juiste beslissing. Helaas worden ze ook vaak gebruikt in de verkeerde context. Het is dus belangrijk om een goede checklist te hanteren bij de selectie van een oplossing. In deze blog geef ik een overzicht van de relevante certificeringen.

1. FIPS-certificering

FIPS (Federal Information Processing Standards) is een set van IT-standaarden van de Amerikaanse en Canadese overheden. FIPS 197 specificeert de Advanced Encryption Standard (AES). In FIPS 140-2 zijn de eisen met betrekking tot cryptografische modules opgenomen. Fabrikanten van IT-beveiligingsapparatuur kunnen hun oplossing door een onafhankelijke derde partij laten certificeren tegen de FIPS-standaarden. NIST geeft na positief advies van de testinstantie een certificaat uit en houdt hiervan een register bij.

Als de eisen veranderen kan NIST een certificaat voor een oplossing intrekken of aan het gebruik specifieke eisen verbinden. De FIPS-certificering voor versleuteling conform FIPS 140-2 wordt wereldwijd gezien als de benchmark voor encryptie van hardware en software. Zowel binnen als buiten de overheid staat deze certificering vooraan op de checklist voor laag-1-encryptieoplossingen.

Een certificering tegen FIPS 140-2 kent vier niveaus, waarbij niveau 1 het minst streng is qua eisen en niveau 4 het meest. Dit betekent dat een oplossing die voldoet aan de eisen op niveau 1 minder zekerheden biedt dan die op niveau 4. Op niveau 1 mag bijvoorbeeld gebruik worden gemaakt van generieke chipsets en generieke operatingsystemen. Aangezien versleutelingsoplossingen voor WAN-verbindingen gebruikmaken van specifieke hardware, wordt voor die oplossingen als minimum een certificering op niveau FIPS 140-2 Level 2 gehanteerd.

2. Common Criteria

Common Criteria (CC) is een internationale overeenkomst voor de evaluatie van beveiligingsoplossingen voor IT. CC zorgt er voor dat geëvalueerde en gecertificeerde oplossingen erkend worden door de andere deelnemers in het programma. CC heeft leden die certificaten kunnen en mogen uitgeven en leden die certificaten consumeren.

Common Criteria beveiligingsoplossingen IT
Het Nationaal Bureau voor Verbindingsbeveiliging (NBV), onderdeel van de AIVD, is toezichthouder op het Nederlandse Schema voor Certificatie op het gebied van IT-Beveiliging (NSCIB). De evaluatiemethode die wordt gebruikt om te certificeren tegen de Common Criteria zijn vastgelegd in ISO-norm 18045. In Nederland is TÜV de partij die dergelijke certificeringen verricht.

Om dubbele certificering voor dezelfde producten te voorkomen is binnen Europa de zogenaamde SOG-IS Mutual Recognition Agreement (MRA) opgesteld. De leden erkennen de certificaten (op basis van Common Criteria of ITSEC) die afgegeven worden door gekwalificeerde deelnemers. Gekwalificeerde deelnemers zijn landen die SOG-IS certificaten mogen afgeven. Nederland behoort tot deze groep landen, samen met Duitsland, Frankrijk, Spanje en Engeland.

Whitepaper AVG WAN verbindingen

3. BSI-Certificering

Op Europees niveau wordt te pas en te onpas gerefereerd aan de BSI-certificering. BSI is het Duitse Bundesamt for Sicherheit in der Informationstechnik. Dit is de Duitse evenknie van het Nederlandse NBV. Op lokaal niveau (Duitsland) geeft BSI-VS-NfD certificaten af (Verschlusssache-Nur für den Dienstgebrauch). Een VS-NfD-certificaat is herkenbaar aan het nummer BSI-VSA-xxxxx. Deze certificering wordt niet erkend in Nederland, omdat die specifiek wordt afgegeven voor oplossingen die gebruikt worden door de Duitse overheid.

Naast de lokale VS-NfD-certificering certificeert de BSI ook voor Common Criteria. Hier wordt het interessant. Duitsland is gekwalificeerd deelnemer in de SOGIS-MRA-overeenkomst. Dit betekent dat certificaten op basis van Common Criteria erkend worden door de andere leden. BSI-certificaten op basis van Common Criteria zijn herkenbaar aan hun certificeringsnummer: BSI-DSZ-CC-xxxxx. Doordat deze certificaten voldoen aan Common Criteria, worden ze vaak gebruikt als basis voor lokale certificering, bijvoorbeeld door de NBV tegen een bepaald rubriceringsniveau. Dit bespaart tijd en kosten in een certificeringstraject.

Certificeringen in overvloed

WAN-verbindingen moeten worden beveiligd. Certificatie garandeert een goed werkende oplossing die voldoet aan de vereiste criteria. De FIPS-certificering voor versleuteling conform FIPS 140-2 wordt wereldwijd gezien als de benchmark voor encryptiehardware en -software. Naast FIPS zijn er nog de Common Criteria. De ideale combinatie is een oplossing die gecertificeerd is tegen zowel FIPS als CC. Net als bij een ruimtemissie is het belangrijk dat je encryptieoplossing veilig is, zorg dus voor de juiste certificering. Wil je meer weten over de juiste certificeringen? Neem contact met mij op!

Meer info over Common Criteria is te vinden op: tuv-nederland en commoncriteriaportal

Bekijk hier het FIPS-register dat publiekelijk toegankelijk is.

Bekijk hier de lijst van Duitse IT-certificaten en gecertificeerde fabrikanten en oplossingen.

Fabrikanten en oplossingen ‘onder evaluatie’ worden in een apart overzicht weergegeven.

Geïnteresseerd?

Tom Engels
Neem contact op met onze Connectivity- specialist Tom Engels

Tom Engels is Networking Consultant binnen de sales-afdeling van Telindus. Tom werkt al 19 jaar bij Telindus en heeft als engineer, support engineer en technical consultant op de Technical Operations afdeling gewerkt. Hij heeft diepgaande expertise op het gebied van Ciena en Infinera Optical, Carrier Ethernet en encryptie-oplossingen, Software Defined Networking en NFV (Netwerk Functie Virtualisatie). Tom volgt nauwgezet de razendsnelle ontwikkelingen in zijn vakgebied connectivity.

geen reacties
Plaats een reactie