Citat:
Ursprungligen postat av
Joakim-fotografen
Så att det skulle vara samma skydd som militären har är bull.
Om man tänker militärt skydd rent materiellt vs civilt skydd så är ju militärt väldigt bra men hur långt före civila företag ligger armen när det gäller IT?
Att militärt skydd skulle vara långt före civila företag skall du nog ta med en nypa salt. Det är inte nödvändigtvis sant. Den stora skillnaden mellan det militära och civila är fokus och resurser att satsa på procedurer.
Militären och många andra "högsäkerhets"-brancher går främst på beprövade och vältestade sätt att skydda sig och de har resurser att implementera det.
Som exempel så kan man ha en dator med valfritt OS som är klassad för använding av information upp till en viss säkerhetsklass. Den får inte anslutas till något som inte har minst lika hög säkerhetsklass och skulle den anslutas till något med högre så klassas den automatiskt upp. Det innebär att man får lufttäta skott och man behöver inte bekymra sig nämnvärt om vilken programvara som används eller om något skall läcka till Internet, sålänge procedurerna hålls och de kan i det militära upprätthållas med hjälp av en beväpnad person som är svår att argumentera med.
Vad gäller programvara och produkter så krävs det ofta att de certifierats enligt Common Criteria och/eller godkännas enligt någon annan liknande specifik (Såsom godkännas för NATO användning). Common criteria och de flesta andra liknande standarder är väldigt svår att bedömma utan väldigt god kunskap men handlar oftast om att leverantören eller producenten har gjort ett visst pappersarbete och intygar att den följer vissa riktlinjer (samt betalat en massa pengar för att detta godkänts av en tredjepart). I vissa fall (som EAL 5+ i Common Criteria) kan det innebära att väldigt strikta rutiner följts och att man kan ha hyffsad tillförlitlighet till designen men det är sällan möjligt för mer komplexa produkter.
För enskilda områden finns det, som nämns ovan, särskilda standarder (såsom FIPS standarderna för krypton och kryptomoduler från NIST i USA) som kan säga att ett visst protokoll eller en viss produkt är godkänt att användas för viss typ av användningsområde eller information. T ex AES (FIPS 197) som är godkänd för att användas till säkerhetsklassad information i USA om modulen med kryptot godkänts enligt FIPS 140-2. Liknande procedurer finns i Sverige där jag tror det hanteras av FOI.
Märk dock att hela systemet skall vara godkänt innan det får användas, det räcker inte att bara införskaffa en vpn-klient som är klassad som godkänd för att använda till en viss nivå. Även resten av systemet måste godkännas och man måste även följa vissa procedurer när man använder produkten.
Så vad innebär det att en produkt påstår att den har en militär säkerhetsklass? Mycket lite, beroende på vad mer de redovisar. I många fall kan det innebära att det är godkänt att användas i vissa militära sammanhang (kanske t om endast för ickeklassad information) eller att den har en algoritm som är godkänd för militärt brukt men där produkten saknar godkännande (det kostar en massa pengar).
T ex finns det gott om produkter som använder AES eller någon annan algoritm godkänd för militära hemligheter men det är helt utan att produkten godkänts för bruk.
Av naturen släpar ofta militären efter vad gäller tekniken då det tar lång tid innan en produkt kan bli godkänd. Det kompenseras dock med råge med hjälp av robusta procedurer.
För exempel på några militärt godkända IT-produkter i Sverige kan du ta en titt på Tutus produkter:
http://www.tutus.se/products.html
Vad man oftast kan märka på militära produkter till skillnad från konsumentprodukter och produkter riktade mot företag är avsaknad av funktioner, högt pris samt att de möjligen ligger några år efter i prestanda. Detta är naturligt för att man skall kunna och hinna säkerhetsklassa samt spendera en hel del resurser på byråkratin att få den godkänd. Men stirra dig inte blind på om en produkt är godkänd för det militära eller ej för då måste du också kika på _hur_ man får hantera den i det militära. Ett gammalt exempl är Windows NT gamla C2 certfication enligt Orange Book (delvis föregångare till Common Criteria i USA) där operativet var godkänt under förutsättningarna att du har en speciell HP-dator och inte har något nätverk, diskenheter eller dylikt. Den militära säkerheten handlade alltså inte alls om att den var "säker" så som i dagligt tal kan tyckas eftersom handhavandet av datorn begränsades till mycket liten. Moderna konsumentoperativsystem godkänns ofta för nätverksbruk men har också rätt hårda restriktioner på _hur_ de får användas innan de kan användas på ett godkänt sätt.
Vad jag kan se har inte Avast någon produkt godkänd enligt Common Criteria eller för militärt bruk efter några snabba googlingar, men jag kan ha missat något. Vad påståendet som du refererar till i första inlägget så antar jag de menar att algoritmerna som används är godkända för militärt bruk men det betyder inte att Avast implementation är godkänd på något sätt. Påståendet kan alltså vara korrekt men det betyder ingenting alls eftersom det inte har någon klar innebörd.
