Router w konfiguracji klastrowej, obsługujący nasz styk internetowy, to urządzenie będące infrastrukturą krytyczną przedsiębiorstwa. Jako takie, musi spełniać najwyższe standardy bezpieczeństwa, potwierdzone certyfikatami. Aby zapewniać bezpieczeństwo informacji, amerykański National Institute of Standards Technology (NIST) opracował standardy pod nazwą Federal Information Processing Standards (FIPS). Najczęściej spotykany standard, FIPS 140-2, stawia wysokie wymagania dla modułów oraz produktów szyfrujących dane, co potwierdzają rygorystyczne testy będące elementem procesu certyfikacji. Certyfikacja ta jest wymagana, aby dowolny producent mógł oferować swoje produkty szyfrujące do jednostek rządowych, a ponieważ certyfikat FIPS 140-2 jest uznawany za jeden z najtrudniejszych do osiągnięcia, jest często wymagany przez instytucje finansowe i globalne organizacje przetwarzające wrażliwe dane z krajów będących członkiem NATO. W zależności od poziomu certyfikacji, posiadanie certyfikatu FIPS 140-2 gwarantuje, że w urządzeniu nie ma tzw. backdoorów, czyli nie jest możliwy ani podsłuch danych, ani niekontrolowana i nierejestrowana rekonfiguracja urządzenia mająca na celu zmianę funkcjonalności lub przełamanie albo obniżenie poziomu zabezpieczenia danych teleinformatycznych, w tym danych osobowych przesyłanych kanałami szyfrowanymi. Weryfikacja zgodności ze standardem FIPS 140-2 na poziomie 2 lub 3 jest w świecie IT uniwersalnie postrzegana jako oznaka bezpieczeństwa i jakości. Certyfikat FIPS 140-2 określa normy bezpieczeństwa w zakresie przetwarzania danych, ze szczególnym naciskiem na skuteczne algorytmy i metody szyfrowania. W ramach standardu określony jest także sposób uwierzytelniania osób i procesów wykorzystywanych w produktach oraz sposób projektowania modułów lub składników odpowiadających za bezpieczną interakcję z innymi systemami. Standard FIPS 140-2 określa cztery poziomy ochrony. W naszym przypadku oczekujemy spełnienia drugiego poziomu certyfikacji. Poziomy wyższe zarezerwowane są do zastosowań, za pomocą których przetwarzane są informacje niejawne, jednak nasze wymagania sprowadzają się do autoryzacji i autentykacji protokołów routingu (w szczególności – zabezpieczenia sesji BGP) z wykorzystaniem algorytmów szyfrowania, organizacji i hierarchii ról administracyjnych oraz szyfrowania ruchu punkt-punkt (IPSec). Więcej informacji można znaleźć w załącznikach do FIPS 140-2, tj. w załącznikach A "Approved Security Functions", B "Approved Protection Profiles", C "Approved Random Number Generators " i D "Approved Key Establishment Techniques" z grupy załączników opisujących wymagania w stosunku do modułów bezpieczeństwa urządzeń ("Security Requirements for Cryptographic Modules"). http://csrc.nist.gov/publications/fips/fips140-2/fips1402annexa.pdf http://csrc.nist.gov/publications/fips/fips140-2/fips1402annexb.pdf http://csrc.nist.gov/publications/fips/fips140-2/fips1402annexc.pdf http://csrc.nist.gov/publications/fips/fips140-2/fips1402annexd.pdf Zgodnie z Narodowym Programem Ochrony Infrastruktury Krytycznej przyjętego uchwałą Rady Ministrów w dniu 26 marca 2013 roku i standardami służące zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej zawartymi w załączniku nr 1 do NPOI (punkt 2.8. "zapewnienie bezpieczeństwa teleinformatycznego"), aby uznać system za odpowiednio zabezpieczony, trzeba zapewnić, że informacja w nim przetwarzana był a traktowana poufnie, zgodnie z przyznanymi prawami dostępu. Informacja ta powinna zachować swoją integralność, tak, aby można było uznać ją za wiarygodną i nie powinny występować problemy z dostępem do tej informacji dla osób mających odpowiednie uprawnienia. Posiadanie przez urządzenie certyfikatu FIPS 140-2 poziomu 2, wystawionego na to urządzenie lub jego moduł bezpieczeństwa, pozwala mieć pewność, że wskazane przez NPOI cechy sprzętu i procesów komunikacji między urządzeniami i oprogramowaniem, takie jak poufność, integralność i dostępność, są dochowane. Według naszej wiedzy, nie istnieje żaden certyfikat, który jest bezpośrednim odpowiednikiem FIPS 140-2 poziomu 2. Istnieje alternatywny system certyfikacji, związany z normą ISO 15408 (tzw. Common Criteria), jednak certyfikaty takie są wydawane w ramach danego rynku i nie są honorowane w sposób uniwersalny. Common Criteria to zestaw standardów testowania sprzętu opisujących procedury pozwalające na zdefiniowanie zagrożeń oraz zabezpieczeń, które na te zagrożenia odpowiadają, oraz sposób formalnej weryfikacji ich faktycznego działania w produkcie. Certyfikacją według CC zajmują się niezależne, akredytowane laboratoria badawcze na całym świecie, często będące częścią instytucji rządowych. Mimo to, sam certyfikat niewiele mówi, gdyż samo zapewnienie potwierdzone przyznaniem poziomu EAL bez profilu ochrony (tzw. Protection Profile), opisującego zastosowane zabezpieczenia, jest niewiele warte. Potwierdzenie tego znajduje się w stanowisku ABW do projektu rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie wymagań technicznych dla warstwy elektronicznej dowodu osobistego oraz protokołu komunikacji elektronicznej z dowodami osobistymi dostępne pod adresem: https://bip.abw.gov.pl/download/1/623/RozporzadzenieMinistraSWiAwsprawiewymagantechnicznychdlawarstwyelektronicznejdow.pdf Produkt certyfikowany zgodnie z normą ISO 15408 (Common Criteria) otrzymuje poziom certyfikacji, tzn. EAL – Evaluation Assurance Level. Istnieje 7 poziomów EAL, z tym, że do zastosowań cywilnych przyjmuje się, że poziom 4 jest wystarczający. Problem z poziomami EAL polega jednak na tym, że w przeciwieństwie do FIPS 140-2, certyfikowane poziomy EAL nie gwarantują funkcjonalności urządzenia, a tylko poziom zaangażowania laboratorium certyfikującego w zakresie sprawdzenia tego, czy urządzenie działa w sposób zadeklarowany przez producenta. Stoi to w kontraście z celami certyfikacji w ramach procedury certyfikacji zgodnej z FIPS 140-2. Działania te mają na celu sprawdzenie zgodności produktu ze standardem ustanowionym przez ciało certyfikujące, a nie deklaracji producenta. Norma ISO 15408 nie stawia urządzeniom żadnych wymagań dot. sfery bezpieczeństwa, podczas gdy FIPS 140-2 wyznacza standardy bezpieczeństwa, które urządzenia powinny spełnić dowolnymi technikami, które podlegają certyfikacji w ramach FIPS 140-2.. To właśnie w celu wypracowania najwyższych standardów bezpieczeństwa, Narodowy Instytut Standardów i Technologii (NIST) Stanów Zjednoczonych ustanowił Program Walidacji Modułów Kryptograficznych (Cryptographic Module Validation Program, CMVP) i wszystkie urządzenia i produkty sprawdzanie są pod kątem wymogów tego programu. Takie podejście do tematu sprawia, że FIPS 140-2 jest uniwersalnie uznawany za jedyny certyfikat, który oddaje stan faktyczny danej konstrukcji i konfiguracji urządzenia i przez to jest uznawany w świecie IT jako uniwersalny i weryfikowalny. Dobrze jest to ujęte w dokumencie dostępnym pod adresem: http://www.secureidnews.com/news-item/an-introduction-to-fips-140-2-and-common-criteria/ Drugi problem z ISO 15408 (Common Criteria) polega na honorowaniu certyfikatów wydanych w ramach tej normy. Zawiązane zostało porozumienie o wzajemnym respektowaniu rezultatów oceny i certyfikacji bezpiecznych produktów informatycznych CCRA (ang. Common Criteria Recognition Arrangement), do którego należy obecnie 26 krajów. Informacje dot. CCRA dostępne są na stronie: https://www.commoncriteriaportal.org/ccra/ Porozumienie to rozróżnia dwie grupy krajów w zależności od zakresu stosowania standardu. Pierwsza grupa to Certificate Authorizing Members zrzeszająca kraje, które opracowały i prawnie przyjęły do stosowania własne schematy oceny, i które mają prawo do wykonywania ocen i wydawania certyfikatów. Należy do tej grupy 17 następujących państw: Australia, Kanada, Francja, Niemcy, Włochy, Japonia, Malezja, Holandia, Nowa Zelandia, Norwegia, Korea Południowa, Hiszpania, Szwecja, Turcja, Wielka Brytania, Stany Zjednoczone, Indie. Druga grupa to Certificate Consuming Members zrzeszająca kraje, które respektują certyfikaty wydane przez innych członków CCRA, ale jeszcze nie przyjęły własnych schematów oceny i nie mogą na razie wykonywać ocen i certyfikacji produktów. Z kolei do tej grupy należy 9 następujących państw: Austria, Czechy, Dania, Finlandia, Grecja, Węgry, Izrael, Pakistan, Singapur. W żadnej z tych grup nie ma Polski, a zatem certyfikat opisujący poziom EAL urządzenia w Polsce nie jest honorowany, podczas gdy certyfikat FIPS 140-2 jest powszechnie uznawany przez agencje rządowe, NBP, GUS, NIK, Straże Miejskie, Wojsko Polskie i Policję – z tym, że te instytucje prawie zawsze wymagają poziomu 3 FIPS 140-2, nawet dla tak prozaicznych urządzeń jak pendrive, vide: http://strazmiejska.waw.pl/images3/Przetargi/SM-36-15/Wz%C3%B3r_umowy.pdf https://bip.nik.gov.pl/plik/id,3983,vp,5074.pdf http://bip.stat.gov.pl/download/gfx/bip/pl/zamowieniapubliczne/425/103/1/34_sisp_2_pn_2015_zal_2_fo_zmieniony_04092015.doc Wydawało by się, że jako odpowiednik FIPS 140-2 można by uznać certyfikat wydany zgodnie z normą ISO 15408, w którym potwierdza się minimalny poziom bezpieczeństwa urządzenia EAL 4 wydany przez Polski urząd lub instytut, np. Departament Bezpieczeństwa Teleinformatycznego ABW. Jednak urządzeń, które posiadają potwierdzony poziom EAL 4 przez polski urząd lub instytut uprawniony do certyfikacji jest bardzo mało i są to urządzenia, które ABW certyfikowała na własne potrzeby. Nie ma wśród nich większości urządzeń, które spodziewamy się otrzymać, a z kolei wszystkie te urządzenia, lub ich modułu odpowiedzialne za bezpieczeństwo i/lub szyfrowanie danych, mają certyfikat FIPS 140-2 poziomu min. 2. Dodatkowo, wg dokumentu „Security Requirements for Cryptographic Modules” opisującego w sposób techniczny aspekty certyfikacji FIPS 140-2, znajdującego się pod adresem: http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf jest jasno napisane, że certyfikat FIPS 140-2 poziomu 2 musi uwzględniać wymagania funkcjonalne profili ochrony (PP) Common Criteria wskazane w załączniku nr B (odnośnik wskazany wcześniej), oraz że urządzenie lub moduł bezpieczeństwa został sprawdzony z EAL poziomu 2.godnie z Common Criteria co czyni wskazanie CC redundantnym, z punktu widzenia procesu certyfikacji, oraz niestosownym, jako że CC sprawdza tylko deklarację producenta, a nie faktyczne funkcje urządzenia lub jego modułu bezpieczeństwa. Wyżej wymienione powody wskazują, że wskazanie zamiennika normy FIPS 140-2 w oparciu o polski certyfikat wydany zgodnie z normą ISO 15408 i zasadami Common Criteria jest niecelowe oraz, w świetle prowadzonego postępowania przetargowego, może prowadzić do problemów w zakresie wyboru wykonawcy, gdyż każde uznanie sprzętu nieposiadającego certyfikatu FIPS 140-2 poziomu 4 a wyłącznie certyfikat wydany zgodnie z normą ISO 15408 może skutkować odwołaniem się od czynności zamawiającego, w którym Wykonawca powołując się na stronę: http://www.commoncriteriaportal.org/ccra/ łatwo może udowodnić, że certyfikat EAL wydany np. w Hiszpanii nie jest i nie powinien być honorowany na terenie Polski, gdyż Polska nie jest członkiem żadnej z ww. grup związanych z porozumieniem o wzajemnym uznawaniu certyfikatów wydanych na podstawie Common Criteria. Powszechność uznawania FIPS 140-2 jako gwarancji bezpieczeństwa pracy i konstrukcji urządzenia potwierdzają to referencje do tego, i wyłącznie tego, certyfikatu, jakie można znaleźć np. w: - rozporządzeniu Prezesa Rady Ministrów z dnia 29 września 2005 r. w sprawie warunków organizacyjno-technicznych doręczania dokumentów elektronicznych podmiotom publicznym [http://www.abc.com.pl/du-akt/-/akt/dz-u-2005-200-1651], - rozporządzeniu Prezesa Rady Ministrów z dnia z dnia 27 listopada 2006 r. w sprawie sporządzania i doręczania pism w formie dokumentów elektronicznych [http://www.abc.com.pl/du-akt/-/akt/dz-u-2006-227-1664] oraz w niezliczonych specyfikacjach istotnych warunków zamówienia, które można znaleźć wyszukując w internecie ciąg znaków „bip fips 140” lub „bip siwz fips”. Istnieje też norma ISO/IEC 19790, która jest funkcjonalnym jest odpowiednikiem certyfikatu FIPS 140-2 poziomu 3, którego jednak w postępowaniu nie wymagamy, gdyż nie przewidujemy wykorzystania sprzętu do przetwarzania ruchu objętego . Lista wydanych certyfikatów FIPS obejmuje producentów z wielu krajów, włączając w to firmy z UE i Dalekiego Wschodu, i można to sprawdzić na stronie: http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm, gdzie znajduje się lista 2554 certyfikatów FIPS wydanych do dnia dzisiejszego tysiącom urządzeń i konfiguracji. Wszyscy liczący się producenci urządzeń typu router brzegowy, w szczególności z Unii Europejskiej i Stanów Zjednoczonych, posiadają urządzenia z certyfikatem FIPS 140-2 poziomu 2. Nie mamy żadnych preferencji co do kraju pochodzenia urządzenia, ani też kraju pochodzenia producenta. Urządzenia typu router produkowane są w wielu krajach, np. w Czechach, Kanadzie, Chinach, na Tajwanie, w Meksyku, USA, na Węgrzech, w Finlandii, Irlandii i w Wielkiej Brytanii. Siedziby głównych graczy na rynku routerów brzegowych to: Stany Zjednoczone – Kalifornia (Cisco Systems – San Jose, Brocade Communications Systems – San Jose, Juniper Networks – Synnvale), Francja (Alcatel-Lucent – Bolonia) i Chiny – (Huawei Technologies Co. Ltd. – Shenzen). Każda z tych firm ma kilka, a nawet kilkanaście (Huwaei – 21) centrów badawczych w wielu krajach, włączając w to Rosję, Turcję i Indie, a produkt końcowy zwykle jest produkowany w jednym z kraków Unii Europejskiej, ze względu na kwestie celne i podatkowe. Przewaga liczebna producentów z USA wynika z faktu, że pierwszy producent routerów, firma Cisco Systems, pochodzi z USA i cała konkurencja czerpie z jej dorobku – Juniper założyli inżynierowie Cisco Systems, Brocade przejęło cały dział urządzeń sieciowych Cisco, a Huawei bazuje na planach i oprogramowaniu urządzeń sieciowych Cisco, w posiadanie których wszedł w trudny do wytłumaczenia sposób. Jedynie Alcatel oferuje produkty opracowane w pewnym stopniu niezależnie od Cisco, gdyż w początkowej fazie były one przeznaczone dla operatorów telefonii stacjonarnej i bezprzewodowej, a nie dla IT.