Hvad er EAL? En Guide til Sikkerhedsniveauer

07/06/2025

★★★★★Rating: 3.94 (5685 votes)

I en stadig mere digitaliseret verden er sikkerheden af vores IT-produkter og -systemer afgørende. Men hvordan kan vi være sikre på, at et produkt lever op til sine sikkerhedsløfter? Her kommer Common Criteria for Information Technology Security Evaluation, ofte forkortet CC, ind i billedet. Det er en international standard (ISO/IEC 15408) for certificering af computersikkerhed. Et centralt element i denne standard er Evaluation Assurance Level, eller EAL. Denne artikel vil dykke ned i, hvad EAL er, hvordan det fungerer, og hvad de forskellige niveauer betyder for både producenter og forbrugere af teknologi.

What is an EAL & how does it work? — Each EAL corresponds to a package of security assurance requirements (SARs, see above) which covers the complete development of a product, with a given level of strictness. Common Criteria lists seven levels, with EAL 1 being the most basic (and therefore cheapest to implement and evaluate) and EAL 7 being the most stringent (and most expensive).

Indholdsfortegnelse

Forståelse af Common Criteria: Grundstenene
Hvad er Evaluation Assurance Level (EAL)?
De Syv EAL-Niveauer i Detaljer
Sammenligning af EAL-niveauer
Kritik og Udfordringer ved Common Criteria
Ofte Stillede Spørgsmål (FAQ)

Forståelse af Common Criteria: Grundstenene

Før vi kan forstå EAL, er det nødvendigt at kende de grundlæggende koncepter i Common Criteria-rammeværket. Evalueringerne udføres på specifikke produkter eller systemer for at validere de sikkerhedsanprisninger, som producenten fremsætter. Processen involverer flere nøgledokumenter og -koncepter:

Target of Evaluation (TOE): Dette er simpelthen det produkt eller system, der skal evalueres. Det kan være alt fra et operativsystem til et smart card eller en firewall.
Protection Profile (PP): Et dokument, typisk skabt af en bruger eller et brugerfællesskab, der identificerer sikkerhedskrav for en bestemt klasse af enheder. En PP definerer et problem og opstiller sikkerhedsmål for en type produkt, f.eks. netværksfirewalls.
Security Target (ST): Dette dokument skrives af produktudvikleren og specificerer de sikkerhedsegenskaber, som deres specifikke TOE besidder. ST'en kan hævde at overholde en eller flere PP'er. Evalueringen foregår udelukkende mod de krav, der er fastsat i ST'en.
Security Functional Requirements (SFRs): Disse specificerer individuelle sikkerhedsfunktioner, som et produkt kan levere. Common Criteria indeholder et standardkatalog over SFR'er, som f.eks. kan beskrive, hvordan en bruger skal autentificeres.
Security Assurance Requirements (SARs): Disse beskriver de foranstaltninger, der træffes under udvikling og evaluering for at sikre, at produktet overholder den påståede sikkerhedsfunktionalitet. Det kan f.eks. være krav om versionsstyring af kildekode eller fuld funktionel testning.

Hvad er Evaluation Assurance Level (EAL)?

Evaluation Assurance Level (EAL) er en numerisk rating fra 1 til 7, der beskriver dybden og stringensen af en sikkerhedsevaluering under Common Criteria. Hvert EAL-niveau svarer til en pakke af Security Assurance Requirements (SARs), som dækker hele produktets udviklingscyklus med en given grad af strenghed. En højere EAL betyder ikke nødvendigvis, at et produkt er "mere sikkert" end et med en lavere EAL. Det betyder snarere, at der er en højere grad af tillid til, at produktets påståede sikkerhedsfunktioner er blevet grundigere verificeret og er implementeret korrekt. Valget af det rette produkt afhænger af, om dets funktionelle krav (i dets ST) matcher de specifikke sikkerhedsbehov i en given situation. Hvis to produkter opfylder de samme funktionelle krav, vil det med den højere EAL-rating generelt være det mest pålidelige valg.

De Syv EAL-Niveauer i Detaljer

Lad os se nærmere på, hvad hvert enkelt niveau indebærer, fra det mest basale til det mest stringente.

EAL1: Funktionelt testet

Dette er det mest grundlæggende niveau. Det er relevant, hvor der er behov for en vis tillid til korrekt funktion, men hvor truslerne mod sikkerheden ikke anses for at være alvorlige. En EAL1-evaluering indebærer en uafhængig test mod en specifikation og en gennemgang af brugerdokumentationen. Målet er at bekræfte, at produktet fungerer som dokumenteret og yder en grundlæggende beskyttelse mod identificerede trusler. Denne type evaluering kan ofte gennemføres uden direkte assistance fra udvikleren og til minimale omkostninger.

EAL2: Strukturelt testet

EAL2 kræver samarbejde fra udvikleren, som skal levere designinformation og testresultater. Kravene er dog designet til ikke at kræve mere indsats, end hvad der er i overensstemmelse med god kommerciel praksis. Dette niveau er anvendeligt, når brugere har brug for et lavt til moderat niveau af uafhængigt sikret sikkerhed, især når den fulde udviklingshistorik ikke er tilgængelig, f.eks. ved sikring af ældre systemer (legacy systems).

EAL3: Metodisk testet og kontrolleret

På dette niveau kan en samvittighedsfuld udvikler opnå maksimal sikkerhed fra positiv sikkerhedsteknik i designfasen uden at skulle ændre væsentligt på eksisterende, sunde udviklingspraksisser. EAL3 er relevant, når der kræves et moderat niveau af uafhængigt sikret sikkerhed og en grundig undersøgelse af TOE'en og dens udvikling, uden at det kræver omfattende re-engineering.

EAL4: Metodisk designet, testet og gennemgået

Dette er det højeste niveau, det sandsynligvis er økonomisk forsvarligt at eftermontere på en eksisterende produktlinje. EAL4 er baseret på god kommerciel udviklingspraksis, som er stringent, men ikke kræver specialiseret viden. Mange kommercielle operativsystemer som Windows, Red Hat Enterprise Linux og SUSE Linux Enterprise Server bliver typisk evalueret på EAL4-niveau. Det er velegnet til situationer, hvor der er behov for et moderat til højt niveau af sikkerhed i almindelige kommercielle produkter.

EAL5: Semiformelt designet og testet

EAL5 kræver anvendelse af specialiserede sikkerhedsteknikker. Et produkt, der sigter mod EAL5, er sandsynligvis designet og udviklet med dette mål for øje fra starten. De ekstra omkostninger er relativt små i forhold til en stringent udviklingsproces. Dette niveau er for situationer, der kræver et højt niveau af uafhængigt sikret sikkerhed, og hvor en stringent udviklingstilgang er nødvendig uden de uforholdsmæssigt store omkostninger, der er forbundet med de højeste niveauer. Mange smart card-enheder evalueres på EAL5.

EAL6: Semiformelt verificeret design og testet

Dette niveau er rettet mod udvikling af produkter til højrisikosituationer, hvor værdien af de beskyttede aktiver retfærdiggør de betydelige ekstra omkostninger. EAL6 kræver anvendelse af avancerede sikkerhedsteknikker i et stringent udviklingsmiljø for at producere et premium-produkt, der kan beskytte mod betydelige risici. Et eksempel er Green Hills Softwares INTEGRITY-178B RTOS.

EAL7: Formelt verificeret design og testet

Det mest stringente og dyreste niveau. EAL7 anvendes i ekstremt højrisikosituationer, hvor de beskyttede aktiver er af meget høj værdi. Den praktiske anvendelse er begrænset til produkter med en meget snævert fokuseret sikkerhedsfunktionalitet, der egner sig til omfattende formel analyse og matematisk bevisførelse af korrekthed.

What does EAL stand for? — The Evaluation Assurance Level (EAL1 through EAL7) of an IT product or system is a numerical grade assigned following the completion of a Common Criteria security evaluation, an international standard in effect since 1999. The increasing assurance levels reflect added assurance requirements that must be met to achieve Common Criteria certification.

Sammenligning af EAL-niveauer

For at give et hurtigt overblik, er her en sammenligningstabel over de forskellige EAL-niveauer.

Niveau	Beskrivelse	Typisk Anvendelse
EAL1	Funktionelt testet	Lavrisiko-miljøer, beskyttelse af personlige data.
EAL2	Strukturelt testet	Lav til moderat sikkerhed, sikring af ældre systemer.
EAL3	Metodisk testet og kontrolleret	Moderat sikkerhed, hvor en grundig undersøgelse er påkrævet.
EAL4	Metodisk designet, testet og gennemgået	Kommercielle standardprodukter (f.eks. operativsystemer).
EAL5	Semiformelt designet og testet	Høj sikkerhed, planlagt udvikling (f.eks. smart cards).
EAL6	Semiformelt verificeret design og testet	Højrisiko-miljøer, beskyttelse af værdifulde aktiver.
EAL7	Formelt verificeret design og testet	Ekstremt højrisiko-miljøer med snævert fokuseret funktionalitet.

Kritik og Udfordringer ved Common Criteria

Selvom Common Criteria er en udbredt standard, er den ikke uden kritik. Processen for certificering kan være ekstremt dyr og tidskrævende, ofte med omkostninger på hundredtusindvis af dollars. En stor del af evalueringen fokuserer på dokumentation snarere end på selve produktets tekniske sikkerhed. Dette har ført til bekymringer om, at processen kan blive en "papirøvelse".

En anden væsentlig udfordring er, at et produkt kan være forældet, når det endelig opnår sin certificering, på grund af de lange tidsrammer. Desuden garanterer en certificering ikke immunitet mod sårbarheder. Microsoft Windows-versioner er blevet certificeret, men der udgives stadig løbende sikkerhedsrettelser. Dette skyldes, at evalueringen udføres under specifikke antagelser om driftsmiljøet (den "evaluerede konfiguration"), som måske ikke afspejler den virkelige verden.

Et konkret eksempel på systemets begrænsninger var ROCA-sårbarheden i 2017, som blev fundet i en række Common Criteria-certificerede smart card-produkter. Sårbarheden eksisterede i en proprietær algoritme til nøglegenerering, som var blevet godkendt af et testlaboratorium. Dette fremhævede, at selv certificerede produkter kan have alvorlige fejl, og rejste spørgsmål om gennemsigtighed og ansvar, da certifikaterne ikke blev trukket tilbage, selv efter sårbarheden var kendt.

Ofte Stillede Spørgsmål (FAQ)

Betyder et højere EAL-niveau altid bedre sikkerhed?

Ikke nødvendigvis. Et højere EAL-niveau betyder, at produktets sikkerhedsanprisninger er blevet mere grundigt testet og verificeret. Men hvis et produkt med lavere EAL har de funktionelle krav, du har brug for, og et produkt med højere EAL ikke har, er det første produkt et bedre valg for dig. Sikkerhed er kontekstafhængig.

Hvem bruger Common Criteria-certificeringer?

Certificeringer bruges ofte af regeringer og store virksomheder, især inden for forsvar, efterretningstjenester og kritisk infrastruktur, som et krav ved indkøb af IT-produkter. Det giver dem en standardiseret måde at vurdere og sammenligne produkters sikkerhedssikring.

Hvad koster en EAL-certificering?

Omkostningerne kan variere betydeligt afhængigt af EAL-niveauet og produktets kompleksitet, men de kan nemt løbe op i hundredtusindvis af dollars. Dette er en af de primære kritikpunkter, da det kan være en barriere for mindre virksomheder og open source-projekter.

Er Common Criteria den eneste sikkerhedsstandard?

Nej, der findes andre vigtige standarder. For eksempel er FIPS 140-2 en amerikansk standard, der specifikt dækker kryptografiske moduler. Der findes også nationale ordninger og andre standarder som ISO/IEC 27002, der fokuserer på systemstyring og bedste praksis for informationssikkerhed.

Hvis du vil læse andre artikler, der ligner Hvad er EAL? En Guide til Sikkerhedsniveauer, kan du besøge kategorien Sundhed.