Papiery na system

Po półtora roku starań Microsoft uzyskał certyfikat bezpieczeństwa C2 dla Windows NT 4.0 i przeszedł testy FIPS 140-1 przeprowadzane zgodnie z zaleceniami amerykańskiego rządu.

Po półtora roku starań Microsoft uzyskał certyfikat bezpieczeństwa C2 dla Windows NT 4.0 i przeszedł testy FIPS 140-1 przeprowadzane zgodnie z zaleceniami amerykańskiego rządu.

Uzyskanie certyfikatu C2 oznacza, że system spełnia najważniejsze wymagania dotyczące bezpieczeństwa, stosowane w amerykańskiej administracji. Od ub.r. amerykańskie i kanadyjskie agencje rządowe są zobowiązane do kupowania wyłącznie certyfikowanego oprogramowania do ochrony poufnych, ale nie klasyfikowanych jako tajne, informacji. Microsoft uzyskał certyfikat C2 dla systemu Windows NT 4.0 oraz certyfikat FIPS 140-1 dla modułu kryptograficznego zawartego w Windows 95, 98, NT 4.0 i 2000. Gdyby testy nie zakończyły się powodzeniem, to teoretycznie wszystkie agencje rządowe powinny przestać stosować Windows NT (pisaliśmy o tym w CW 13/99).

Wnikliwe badanie

Microsoft próbował uzyskać certyfikat C2 dla Windows NT 4.0 od sierpnia 1998 r. Za jego przyznanie odpowiadała grupa ekspertów z amerykańskiej agencji bezpieczeństwa National Security Agency, która analizowała kod źródłowy Windows NT 4.0, a także cały proces opracowywania, tworzenia i testowania oprogramowania. Sprawdzała także, w jaki sposób Microsoft traktuje wszystkie zgłoszenia, dotyczące naruszenia bezpieczeństwa Windows NT 4.0.

NSA oznacza bezpieczeństwo systemu informatycznego symbolami od A1 do D (A1 - najwyższy poziom bezpieczeństwa, D - najniższy). Microsoft "mierzył" w środek skali, chcąc uzyskać dla swojego systemu certyfikat C2 - najwyższy, jaki można przyznać systemowi operacyjnemu przeznaczonemu do powszechnego użytku.

Problemy z przyznaniem certyfikatu C2 uniemożliwiały uzyskanie znacznie ważniejszego certyfikatu Federal Information Processing Standard (FIPS) 140-1. Zgodność z FIPS 140-1 jest bowiem podstawowym wymogiem stawianym produktom informatycznym kupowanym przez rządy USA i Kanady, jeśli tylko mają one być przeznaczone do pracy w bezpiecznym środowisku do ochrony poufnych informacji.

Test FIPS 140-1 gwarantuje, że algorytmy szyfrujące stosowane w certyfikowanym przez NSA systemie działają zadowalająco przy ochronie poufnych danych. Od razu po uzyskaniu C2 sfinalizowano także formalnie testy FIPS 140-,1 potwierdzając skuteczność algorytmu CryptoAPI nie tylko na platformie Windows NT 4.0, ale także w innych systemach.

Wyzwanie

Naiwnością byłoby twierdzenie, że uzyskanie certyfikatów kończy problemy z bezpieczeństwem systemów. Wciąż w systemach zabezpieczeń pojawiają się luki, umożliwiające ataki włamywaczy. Już 17 lutego br. na rynek trafią także trzy nowe wersje systemu Windows 2000, który nie ma jeszcze certyfikacji. Microsoft powinien jak najszybciej rozpocząć proces certyfikacji C2 dla Windows 2000.


TOP 200