in IT

[CC 인증] 차라리 삼일 후에 부활해야 한다고 “명령”하지 그래?

최근 모 업체가 CC 인증 평가를 받으려고 제출물설명회를 할 때, 인증자가 NTP 통신을 암호화하라고 되지도 않는 요구를 해서, 아예 제품에서 NTP 동기화 기능을 빼기로 했다는 이야기를 들었다.cIT보안인증사무국 인증자 여러분, 여러분들이 요구하는 얼토당토않은 것들 결국은 모두 다 알게 됩니다. 제발 좀 그러지 마요.

NTP, 이미 오래 전에 나온 UDP 기반 통신이구요, 어디에도 NTP 통신을 암호화해 제공하는 서버는 없습니다. 기밀성을 제공하는 암호화를 지원하지 않는 프로토콜이구요. 보안규격에 모든 외부 통신을 암호화해야 한다는 규정이 있다며 이런 말도 안되는 요구를 하신 분, 반성하세요.

(ADDED. Jan 30, 2017) NTP에서 메시지 인증 기능은 제공합니다. 공개된 NTP 서버가 메시지 인증을 지원하는지는 모르겠습니다. 미국은 NIST가 메시지 인증을 지원하는 NTP 서버를 운영합니다. IT보안인증사무국이 이런 요구를 하려면 먼저 국가 공공기관이 사용할 NTP 서버와 같은 인프라를 정부 차원에서 구축하는 일이 선행해야 한다고 생각합니다.

댓글달기

  1. 안녕하세요 여기에 댓글을 다는게 적합하다고 생각은 않지만 그래도 문의 한번 드려봅니다. CC를 공부중에 의문점이 평가 기관이 제품 테스트시 테스트 범위가 아닌 방법을 오픈하는지 궁금합니다.
    예를 들어 어떤 툴을 사용해서 어떤 명령어를 보내고 그에 대한 에러가 발생시에 로그를 리포트해서 지원자에게 보낸다던지 하는 일련의 프로세스가 있는지요.

    CEM을 보았으나 명칭은 methodology라 하더라도 구체적이진 않은거 같아. 테스트 통과시 또는 실패시에 왜 실패했는지에 대한 테스트 방법 및 로그와 같은 결과를 통보하는지. 그리고 그 전에 어떤 방법으로 테스트를 하는지 밝히는 문서같은 것을 배포하는지 궁금합니다.

    감사합니다.

    • CEM은 말 그대로 평가방법을 다루는 기준일 뿐이고, 시험 방법을 다루는 기술 표준이 아닙니다. 물어보신 내용은 각 평가기관마다 프로세스가 다르고, 평가자마다 다르기도 합니다.

      해외 CC 인증 동향을 보면 cPP와 함께 PP를 지원하는 Supporting Documents들이 함께 발간되고 있습니다. 그런 문서들은 평가자가 반드시 확인해야 하는 사항들을 지시하기도 합니다. 그런 문서들은 다음에 링크된 페이지에서 하단에 있는 SSupporting Documents related to Smart Cards and similar devices와 Additional CCRA Supporting Documents 섹션을 참고하세요: https://www.commoncriteriaportal.org/cc/
      * Evaluation Activities for Stateful Traffic
      * Evaluation Activities for Network Device cPP
      CC 인증 평가에서 평가기관이 수행하는 시험의 범위와 방법 내용을 평가신청기관에 공개할 의무는 없습니다.