Sicherheitszertifizierung nach Common Criteria EAL4+ für Red Hat Linux
Durch die erfolgreiche Evaluierung qualifiziert sich die Distribution Red Hat Enterprise Linux 4 für den Einsatz in Bereichen mit hohen Sicherheitsanforderungen.
Red Hat Enterprise Linux (RHEL) Version 4 hat die international anerkannte Sicherheitszertifizierung nach Common Criteria seines Zugangskontrollsystems erhalten, gab der Linux-Distributor bekannt. Die Evaluierung umfasste die Anforderungen des Schutzprofiles Controlled Access Protection Profile (CAPP) und richtete sich nach dem Standard Common Criteria EAL4+. Eine CAPP/EAL4+-Zertifizierung erhielt vor einem Jahr auch Suse Linux Enterprise Server 9.
Derartige Zertifizierungen sind häufig Grundvoraussetzung für den Einsatz eines Produkts in sicherheitsrelevanten Bereichen von Regierungsorganisationen sowie im Finanz- und Gesundheitswesen. Die Evaluierung von RHEL4 wurde von der US-amerikanischen National Information Assurance Partnership (NIAP) bestätigt, die sich als Gemeinschaftsprojekt des National Institute of Standards and Technology (NIST) und der National Security Agency (NSA) der Förderung des Einsatzes sicherheitszertifizierter Produkte verschrieben hat. Die NIAP bietet dazu eine Auswahl bereits anerkannter Schutzprofile, den so genannten Protection Profiles oder kurz PPs, nach denen Hersteller ihre Produkte evaluieren lassen können. Diese gruppieren sich nach diversen Kategorien, angefangen von Antivirus und Betriebsystemen, über Intrusion-Prevention und Trusted-Computing bis hin zum Zertifikatsmanagement.
Zertifizierungen nach den Qualitätsstandards der Common Criteria (CC) sind international anerkannt. Die Zertifizierung wird nach einem Abkommen, das Ende 1998 zuerst von den USA, Kanada, Frankreich, Deutschland und Großbritannien geschlossen wurde, in den Unterzeichnerstaaten des Vertrags wechselseitig anerkannt. Die Common Criteria wurden unter anderem aus europäischen ITSEC- und US-TCSEC-Standards entwickelt und sind die Basis für die Beschreibung von IT-Sicherheit nach ISO-IEC 15408. Diverse Hersteller haben ihr Produkte den notwendigen Evaluierungen unterzogen. So wurde beispielsweise auch MacOS X mit dem "Common Criteria Tools Package" nach CAPP/EAL3 zertifiziert. Windows erhielt erst Ende vergangenen Jahres eine Zertifizierung nach EAL4+. Die CC-Zertifizierungen sind jedoch nicht unumstritten. So sollen die CC-Richtlinien beispielsweise nicht immer strikt genug sein und den Prüfern häufig zu großen Ermessensspielraum lassen.
Siehe dazu auch: (cr)
