Common Criteria EAL 5 Augmented minősítés UNIX-szerű OS-nek

a gyakorlatban az a problema, hogy az 'elvi' tulajdonsagok nem igazak, mivel senkinek nincs EAL7-es szinten bevizsgalt rendszere (most altalanos celu OS-ekrol beszelek). a gyakorlatban ez ugye kihasznalhato kernel bugokban nyilvanul meg. az SKPP abban uj, hogy egyreszt explicit hangsulyt rak a kernel (TCB) biztonsagara, masreszt minimum EAL6-ot (+ kiegeszitesek) ir elo (mas kerdes, hogy ki fog a mi eletunkben ilyet alkotni ;-).

a dolog masik resze meg nem arrol szol, hogy szabad-e bevizsgalt rendszereket halozatba kotni (szabad), hanem arrol, hogy milyen halozatba szabad csak kotni oket ("under the same management control", 3.3.4 Connectivity Assumptions az LSPP-bol). az internet ugye minden, csak nem 'same management control', a joszandeku felhasznalokrol mar nem is beszelve (az LSPP ugye felteszi, hogy mind a userek, mind az adminok nem arto szandekuak, egymassal egyuttmukodnek, stb). nem veletlen, hogy az egyetlen PP, amelyik explicite megemliti az internetet az SKPP, a tobbieket egyszeruen nem erre terveztek.

FreeBSD-ről tud valaki valamit? Arra lennék kíváncsi, hogy neki hanyas.

Mikor fogom megérni, hogy egy ilyen hír mellé odaírják azt is, hogy milyen PP alapján? Ez így kb. annyit ér, mintha leírnád, hogy Józsika diplomát szerzett az egyetemen. De azt nem, hogy mérnök-fizikus, programtervező-matematikus, vagy büfé-ruhatár akarom mondani kórusszervező-népművelő szakon.

Hogy ne kelljen keresgélni: CAPP és LSPP szerint is. Ez jelenleg tulajdonképpen a legdurvább.

johans wrote:
> Mikor fogom megérni, hogy egy ilyen hír mellé odaírják azt is, hogy milyen
> PP alapján? Ez így kb. annyit ér, mintha leírnád, hogy Józsika diplomát
> szerzett az egyetemen. De azt nem, hogy mérnök-fizikus,
> programtervező-matematikus, vagy büfé-ruhatár akarom mondani
> kórusszervező-népművelő szakon.
Én csak bíztatni tudlak arra, hogy ilyen témájú korrekt cikkeket küldj. :)

> Hogy ne kelljen keresgélni: CAPP és LSPP szerint is. Ez jelenleg
> tulajdonképpen a legdurvább.
Johans, egy csoki/kóla/sör erejéig a vendégem vagy, ha ezeket a
fogalmakat szépen ledokumentálod a wikiben. :)

Csendben megjegyezném, hogy idén februátban a SLES9 EAL4-es minősítést kapott... a listában viszont nem szerepel.

itt [www.novell.com]

nezd az ipari kurv@t ;-D

Bocs, nem b@szogatásnak szántam, még ha így utólag elolvasva annak tűnik is.

Most mar megnyugodtam es nem fogom felvagni az ereimet, hogy kiderult a fontos informacio (sot INFORMACIO), hogy a CAPP es LSPP szerint is .....

Johans, szerintem Magyarorszagon a fenti ket os-nek zero v. mondjuk nehany darab installacioja letezik, az EAL-5 minosites meg gondolom keves embernek mond egyaltalan valami erdemit. Szoval vihar a biliben, hogy az mittudomenmilyen minosites a senki altal nem latott os-nek milyen PP (ezt sem tudom, mit jelent, tessek megwikizni) szerint lett kiosztva. Sot, nem is erzem magam lenyegesen hulyebbnek annal, aki ismeri ezeknek a pontos jelenteset....

Az én vendégem is, ha ezekről mind lesz magyar leírás. :)

Már benne van. http://www.hup.hu/wiki/index.php/Common_Criteria

PP=Protection Profile, azaz a szempontrendszer, amit figyelembe veszel a kiértékelésnél

EAL=Evaluation Assurance Level, azaz mennyire gondosan vizsgáltad meg, hogy az adott program a PP-ben levő funkcionalítást teljesíti.

CAPP=Controld Access Protection Profile, az általánosan elfogadott diszkrét hozzáférésvédelmi modellt leíró PP, gyakorlatilag minden ACL-lel ellátott unix ezt tudja + a win2k is erre van minősítve

LSPP=Labeled Security Protection Profile, a kötelező hozzáférésvédelem általánosan elfogadott PP-je. Ezt teljesíteni valamilyen implementált MAC-modellel lehet csak, a legelterjedtebben a Bell-LaPadula-t választják, de funkcionálisan teljesítheti az itt leírt követelményeket pl. a SeLinuxban implementált extended Type Enforcement (TE) modell is.

Az LSPP minőségileg más, mint a CAPP, csak a marketing droidok csak az EAL szintet látják.

Bocs, mindig elfelejtem, hogy te agyműtétet is tudsz végezni, hiszen láttad a Spectrumon, hogy hogyan kell.

Annak, hogy létezik EAL5 minősítés LSPP szerint, igenis nagy jelentőséggel bír, ugyanis sokan kétségbe vonták, hogy egyáltalán lehetséges ezt megszerezni. De gondolom téged a Föld lakosságának az az alig kifejezhető százaléka, akik ezeknek a szabványoknak a kifejlesztésével, használatával, vagy egy-egy termék minősítésével foglalkozik cseppet sem érdekel, mert te SOKKAL OKOSABB VAGY NÁLUK.

Nem vagyok sokkal okosabb naluk, de nem erzem magam hulyenek amiatt, hogy nem tudom, illetve amiatt sem erzem magam bunkonak, hogy nem erdekel.

Tokeletesen igaza van Trey-nek. Ez a portal osszegyujti a hireket, de nem az a dolga, hogy mindenrol kimerito informaciot adjon. Az olyanok, mint en ertesulnek a dologrol, megorulnek neki (v. nem orulnek neki), majd tovabbolvasnak. Az olyanok, mint Te, meg vagy tudjak az egeszet mar joelore (ahogy ez valszeg jelen esetben tortent), vagy utananeznek az erre szakosodott helyeken....

Egyebkent meg igy is, hogy tudom, hogy az LSPP milyen durva dolog (azt meg mindig nem tudom, hogy sacperkabe miajoeget jelenthet). Es hidd el a hup olvasok jo resze teljesen ignorans az ilyen kerdesek irant. Orulok, hogy van olyan a portal olvasoi kozott, aki ilyesmiben is jartas, de ne kelljen egy harom soros cikk helyett 2 oldalason atragni magam, ha nem mozgok a temaban.

Nem tudom, hogy miert kell felkapni a vizet? Csak rohejesse teszed magad itt az okoskodassal...

Akkor nézzük a sallangoktól mentes viselkedésmintád:

Belsépsz egy fórumra, ahol X dologról van szó, majd kijelented, hogy te nem értesz X-hez, és nem is érdekel X, de te ettől még nem vagy hülye. Egyébként is X csak vihar a biliben.

Ezek után gondold végig, ki teszi magát nevetségessé.

Lassuk a te viselkedesmintad:

Belepsz egy portalra, amit valaki tunkeppen a szabadidejet felaldozva keszit, es elkezded fikazni valamelyik hiret, amit egyebkent te is bekuldhettel volna.

Na oke, akkor nezzuk kozelebbrol ezt az X dolgot. Legyen ez nemhivatalos szavazas. Hanyan tudjak akar csak korulbelul pontosan ezeknek a dolgoknak a jelenteset, tartalmat? Meglepodnek, ha 1%-nal tobb lenne, aki otthon van ebben a temaban, akar csak, mint erdeklodo. Vazz itt a tobbseg a SuSE, UHU, BSD problemait beszeli meg, es sokszor az a legegetobb gondjuk, hogy a tuner kartyat hogyan izzitsak be rajta.

Azt vegkepp nem tudom megerteni, hogy probalsz itt osszevissza csusztatni arrol, hogy mit mondtam es mit nem. Egy szoval sem mondtam, hogy az EAL minosites vihar a biliben. Annak, aki ezzel foglalkozik, annak biztos fontos, aki nem foglalkozik ilyesmivel (hidd el ok vannak SOKKAL tobben meg az IT szakman belul is), annak nem fontos (illetve max annyira fontos, amennyit a hir eleve tartalmazott). A vihar a biliben a Te pattogasod, tudalekossagod es a szanalmas csusztatasaid....

Nyiss egy forumot a temarol, es lassuk ellepik-e az ertelmes szakmai hozzaszolasok?

Meg gondolom a certificate megszerzese nem ket filler (anno hallottam olyan minositesekrol, aminek a megszerzese parszazezer dollar volt, fuggetlenul attol, hogy megvolt-e a minosites v. nem), gondolom a BSD-sek tudjak ertelmesebb helyre tenni azt a penzt, ami befolyik hozzajuk.

jollehet minosegileg mas, de sajnos se a CAPP se az LSPP nem eleg arra, hogy az adott gepet internetre lehessen kotni, marpedig nekunk, mezei usereknek ez szamitana. addig meg marad a varakozas az SKPP-ra (Separation Kernel PP, http://niap.nist.gov/pp/draft_pps/pp_draft_skpp_hr_v0.621.html).

1. Nem fikáztam. Legalábbis nem ez volt a szándékom, mint ahogy ezt feljebb le is írtam. De mint azt akár a hupwiki-ben is elolvashatod, EAL-ról beszélni PP nélkül ÉRTELMETLEN, csak a marketingesek szoktak. A HUP-ot pedig én egy szakmai fórumnak ismertem meg. Szokták javítani a hibákat a kitett írásokban.

2. Az, hogy a HUP-ot látogatók mindössze 1 százalékát érdekli, most hogy jön ide? (költői kérdés, nem kell válaszolj)

3. Ha nem értesz hozzá, és nem is érdekel, minek szólsz hozzá? (költői kérdés, nem kell válaszolj)

4. Idézet az előző hozzászólásodból: "szoval vihar a biliben, hogy az mittudomenmilyen minosites a senki altal nem latott os-nek milyen PP (ezt sem tudom, mit jelent, tessek megwikizni) szerint lett kiosztva." és ebből a hozzászólásodból: "Egy szoval sem mondtam, hogy az EAL minosites vihar a biliben" Mindenki döntse el, hogy ki csúsztat.

részemről befejeztem, már ez is elég off-topic volt.

Azért LSPP alatt a különböző domainek nem átjárható volta miatt elvileg (hangsúlyozom: elvileg) egy hiba nem az összes domaint érinti, csak azt, amelyikben a bug volt. Ennél sokkal többet - a tévedés jogának fenntartásával - az SKPP-t használva sem tudsz elérni.

Ha arra gondolsz, hogy a cimkézésnek át kéne mennie a hálózaton, az nem annyira problémás, mint elsőre látszik. A Trusted Solarisban legalábbis meg van oldva, hogy ha két ilyen beszélget, akkor átmennek a cimkék, ha meg valaki címkézetlen adatot küld, akkor az bizonyos szabályok szerint (küldő gép, bejövő port stb.) megcímkéződik.

Leirom egyszeruen, hogy megertsd, aztan en is befejezem.

Forditsuk le egyszerubb nyelvezetre a problemat, aztan vagy megerted vagy.

Namost hany ember szamara novelte a hir erteket az, hogy megtudtuk hogy milyen PP szerint lett minositve (azota mar en is elolvastam a wikit, ennyi ertelme mar volt a dolognak)? Mert az erthetoseget feltehetoleg csokkentette volna a nagyatlag szamara. Hiaba van ott +3 rovidites, hamar az EAL jelentesevel sincsenek tisztaban az idelatogatok.

Es akkor idejossz es lekezelo stilusban helyrerakod Trey-t, hogy miert nem tette oda azt a +3 roviditest, ami tonkeppen senkinek nem mond semmi lenyegeset (illetve neked pl. mond, de te az egesszel eleve tisztaban voltal). Es ez a viharkavaras a biliben.

Mondok egy egyszerubb peldat. Amikor a HUP-ot olvasom az tok klassz dolog, hogy itt latom, hogy megjelent az mplayer uj verzioja. Ez egy csomo segitseg nekem, mert igy nem kell rendszeresen latogatnom az mplayer oldalt, vagy feliratkoznom a levlistara. Viszont tokre nem varom el, hogy itt legyen az osszes lenyeges info arrol, hogy mi van az uj release-ben. Ha erdekel, ugyis elmegyek a homepage-re es elolvasom, minek koptassa az ujjat v. az egeret az aki bekuldte a hirt?

Azt kerdeztem, hogy van-e 1% otthon ebben a temaban, akar mint erdeklodo (azaz a fenti "pontositas" mond neki valamit). Kapcsolj at writeonly-bol es rajossz, hogy mar megint pofaraeses. Csusztatsz es kiragadott felmondatokkal probalsz vagdalkozni. Nem mondtak neked, hogy egy mondat ertelme a kontextusbol kiragadva megvaltozhat, sot az ellenkezojere fordulhat.

Nade en is visszafogom magam, mert a vegen meg Trey kirug a francba.

"Azt kerdeztem, hogy van-e 1% otthon ebben a temaban"

Jo pap holtig...

johans wrote:
> Már benne van. http://www.hup.hu/wiki/index.php/Common_Criteria
> PP=Protection Profile, azaz a szempontrendszer, amit figyelembe veszel a
> kiértékelésnél
[...]
Máris írtál olyanokat, amikkel ki lehetne egészíteni a fenti oldalt. :)

én első körben egy pax/kernseal featurenek is nagyon örülnék... ;-P

A US Common Criteria Evaluation and Validation Scheme...

Oroszoknál ФСТЭК России "hítelesit". Magyarországon mely állami intézmény foglalkozik ezzel?