我们一起来学习CC认证之“安全认证难,到底难在哪里?”(二)
为了方便描述,这里混淆CC认证=安全认证=TEE安全认证。
关于CC认证的相关介绍,请参考以前文章,链接如下:
目前参照CC标准的进行的TEE安全认证有:
1、泰尔实验室组织的安全认证。
2、GP安全认证,GP官网指定比如DPLS实验室。
3、国家信息产品安全认证,这一块还没有开展。
大家知道信息安全产品过安全认证难度很大,那么难在哪里?
我觉得是难在功能定量化、产品文档化、测试规范化!
由于CC 标准采用半形式化语言,比较难以理解;如果直接去看国标,会一头雾水!
上述国标只要你打开看,保证你看得云里雾里!比如下面介绍。
由于国标《GBT 18336.1-2008 信息技术 安全技术 信息技术安全性评估准则》中的内容基本上是翻译CC标准文档,因此强烈建议大家看英文文档。
最新版本的文档是CC3.1,可以直接从网站上下载下来。
现在说说TEE在安全性认证,目前GP组织的安全性认证,基本上也是依照CC文档的要求来进行的。因此上述CC文档是重中之重。特别是文档的规范化、与产品的一致性。这是难点之一。
说到测试案例,由于参考的PP文档和ST文档的安全功能定量化,因此在安全测试中的脆弱性分析和渗透测试案例,这部分内容非常繁多。如何测,如何测完善,这是难点之二。
最后,由于大部分厂商都是先有产品后进行测试,因此安全功能的定量分析都显得十分凑合。导致测试案例、测试方法、评估方法都十分难以量化。这是难点之三。
说到最后,那么针对TEE安全性测试来说,最关键的文档TEE PP 和ST文档。请参考之前文章!
最近国内的TEE厂商豆荚科技通过的安全认证也就是依据泰尔实验室的标准《移动终端安全评估内容和方法》所进行的,虽然说是行业测试认证,但这毕竟是国内TEE厂商的第一次安全认证,因此意义重大,我们下次来详细聊聊这个标准里到底讲了些什么!
