- A hozzászóláshoz be kell jelentkezni
- 2175 megtekintés
Hozzászólások
Jó lenne tudni, milyen protection profile szerint, bár gondolom csak CAPP és nem LSPP. De azért ha ezzel tényleg végeznek, és az eredmény visszakerül a kernelbe/disztribúciókba... Félformális matematikai bizonyítással jelenleg igen-igen kevés kód rendelkezik.
- A hozzászóláshoz be kell jelentkezni
http://news.google.com/news?as_scoring=d&num=100&ie=UTF-8&q=EAL5
EAL5-je csak IBM mainframeknak van, de az sem teljeskoru es csak a z900 es z990-nek.
Persze a katonai beagyazott rendszerek masok, de az mas business.
- A hozzászóláshoz be kell jelentkezni
Ez a helyes link:
http://news.google.com/news?q=EAL5
- A hozzászóláshoz be kell jelentkezni
itt van egy kicsivel tobb info (franciaul): http://www.mandrakesoft.com/company/press/pr?n=/pr/corporate/2509
a protection profile-t itt sem nevezik neven.
- A hozzászóláshoz be kell jelentkezni
Hali!
Sok helyen nem adnak meg PP-t, s az ST tartalmazza is, hogy nincs PP conformance.
CAPP-pal AEL5-re? A CAPP csak EAL3-mal rendelkezik...
Akkor inkább MLOSPP jobb lenne, de talán csak SLOSPP lesz. (Bár ezek is csak EAL4+-osak.)
Az is egy kérdés, hogy mi lesz az értékelés tárgya. A kiinduló lépések elvégzése igencsak kérdéses lesz, de attól is tartok, hogy a verziószámozással is gondok lesznek (vagy teljes split lesz - ami mégnagyobb gáz).
Közben megtaláltam - az eredeti bejelentés MLOSPP-re utal.
- A hozzászóláshoz be kell jelentkezni
Én úgy gondolom, hogy a projekt eredménye három év múlva egy cirka másfél éves, minden szempontból elavult Mandrake disztribúció lesz, amely -ha nem nyúlsz hozzá- rendelkezik ezzel a minősítéssel.
Nem jól látom?
- A hozzászóláshoz be kell jelentkezni
Ez azért érdekes, mert a Windows 2000 CAPP/EAL4 minősítést kapott... Szeirntem CAPP-ot is tudsz minősíteni tetszőleges EAL szintre, csak EAL4 fölött problémás, hogy nincs a kiértékelésnek egyezményesen elfogadott módszertana. (EAL4-ig van). MLOSPP-re meg azért lenne nehéz minősíteni, mert ennek csak SeLinuxot intenzíven használva (és nem a jelenleg elérhető default base policyval) bír megfelelni a Linux.
- A hozzászóláshoz be kell jelentkezni
Jól látod, csak azt nem szabad elfelejteni, hogy a kernel fontosabb részeinek félformális matematikai bizonyítása során rengeteg hibára fény derülhet, ami a Linux kód tisztaságának egy erőteljes lökést adhat. Másrészt pl. a Windows 2000-et sem használja senki azokkal a beállításokkal és azon a hardveren, amire a CAPP/EAL4-et kapta, mégis rengeteg helyen komoly érv, hogy az CC szerint EAL4-re minősített, a Linux meg legjobb esetben is csak CAPP/EAL3+-ra.
- A hozzászóláshoz be kell jelentkezni
Ez tipikusan az a kérdés, hogy a Symantec Enterprise Firewall EAL4+-os alkalmazás szintű tűzfal. Ha megnézed a reportot, EAL4+ mint csomagszűrő és EAL2 (vagy 3?) mint alkalmazás szintű tűzfal, s a PP húzza le.
A W2K reportjának 9. pontja azt mondja: a termék EAL4+-os, s mellesleg megfelele a CAPPnak is. (S sokan használják az auditált környezeten :) ) Az ST szerint EAL4-et akarnak, ahol azonben minden pont minimum egfelel a CAPP-nak. Az ST-SOja saját PP-t tartalmaz, CAPP hivatkozással, az SFR külön megjegyzi, hogy a CAPP alapján saját rendszert tartalmaz. A 7.3 fejezet egyértelművé teszi a dolgot: a CAPP és az ST PP-je közötti deltát adja meg, ami az EAL3-at EAL4-re emeli.
Ezek szerint lehet olyan terméket csinálni, ami EAL5-ös egy gyengépp PP követelményeiből kiindulva. Én akkor is valamely újabb PP-t támogatnám :)
A szöveg marketinges és PR-osok által átírt változata azt mondja, hogy "Linux based multi-level security operating system solution meeting Evaluation Assurance Level 5 of the Common Criteria (CC-EAL5)" - olyan, mintha egy 'kicsit' olvasmányossá tették volna, nem? :)
- A hozzászóláshoz be kell jelentkezni
Így gondoltam :)
- A hozzászóláshoz be kell jelentkezni