Kripto (TS ISO/IEC 19790-24759)

**TS ISO/IEC 19790 ve TS ISO/IEC 24759 standartları ile ilgili olarak belgelendirme altyapısı hazırlanmakta olup şu anda başvuru alınmamaktadır.

Bilgi Teknolojisi sistemlerinde işlenen kritik verilerin güvenli saklanması, güvenli iletimi, kaynağının doğrulanması şifreleme, şifre çözme, bütünlük kontrolleri, elektronik imza vb. kriptografik işlemleri zorunlu kılmaktadır.

*Haberleşme ve bilgisayar sistemlerinde bu işlemler sistem içerisinde yer alan kripto modülleri ile sağlanmaktadır.

*Bu kripto modüllerinin güvenlik özelliklerini aksatmadan yerine getirmesi önem arz etmektedir.

ISO/IEC 19790, bilgi teknolojisi sistemlerinde yer alan ve kritik verilerin güvenliğini sağlayan bu kripto modülleri için güvenlik gereklerini belirleyen bir standarttır.

ISO/IEC 19790 standardı, kripto modülleri içinde yer alan kriptografik yapılar, fiziksel yapılar, işletim ortamı, dokümantasyonu vb. çeşitli konularda isterler içermektedir

İstenilen güvenlik özellikleri standart içerisinde aşağıdaki ana başlıklar altında verilmektedir:

Modül özellikleri (specification);
Portlar ve arayüzler;
Roller, servisler ve asıllama (authentication);
Sonlu durum modeli;
Fiziksel güvenlik;
İşletim ortamı;
Kriptografik anahtar yönetimi;
Öz sınama (self-test);
Tasarım garantisi (design assurance);
Diğer saldırıların azaltılması (mitigation of other attacks)

ISO/IEC 19790 Test Metodolojisi Olarak TS ISO/IEC 24759 Standardı

Kripto modüllerinin ISO/IEC 19790 standardına uygunluğunu test etmek için ISO/IEC 24759 standardı test metodolojisi olarak hazırlanmıştır.

Bu standart, ISO/IEC 19790 uygunluk testlerinin laboratuvardan laboratuvara öznellik göstermesini engellemek amacı ile geliştirilmiştir.

ISO/IEC 24759 standardı, ISO/IEC 19790 standardından alıntılanan güvenlik gereklerini içermektedir.

ISO/IEC 19790, TS ISO/IEC 24759 Standardı ve FIPS 140 Standardı

Amaç ve içerik olarak Federal Information Processing Standards (FIPS) 140 isterleri ve ISO/IEC 19790 isterleri arasında temel farklar bulunmamaktadır

FIPS140 için katılımcı ülkeler Amerika, İngiltere, Kanada ve Almanya olup, FIPS140 kriterleri kapsamında değerlendirmeye tabi tutulan algoritmalar ABD-NIST tarafından onaylanmış algoritmalar ile sınırlıdır.

Bundan dolayı ISO/IEC JTC1/SC27 çalışma grubu FIPS 140-2 kriterlerini yeniden ele alarak bu kriterlerin eşleniği olan ISO/IEC 19790 standardını yayınlamıştır. Bu standart, FIPS140-2´nin değerlendirme dışı bıraktığı algoritmaları da değerlendirmeye almaktadır.

NIST tarafından yayınlanmış olan FIPS-140 testleri test metodolojisi "Derived Test Requirements´dır. Bu metodolojinin eşleniği ise ISO/IEC JTC1/SC27 çalışma grubu tarafından "ISO/IEC 24759 Test requirements for cryptographic modules" olarak yayınlanmıştır.