Software::Security
SE Linux strebt hohe Sicherheits-Zertifizierung an
Wie GCN.com meldet, hat das Projekt »Security Enhanced Linux« damit begonnen, den Kernel zusammen mit Red Hat Enterprise Linux zertifizieren zu lassen.
Security Enhanced Linux (SE Linux), das von der National Security Agency der USA entwickelt wird, ist ein Kernel mit starken zusätzlichen Sicherheitsmechanismen. SE Linux ist in Fedora Core und die Unternehmens-Distributionen von Red Hat integriert, wo es optional aktiviert werden kann. Da SE Linux nur ein Kernel ist, kann es alleine nicht zertifiziert werden. Daher hat IBM nun Red Hat Enterprise Linux 5 (RHEL 5) in die »Common Criteria«-Evaluierung geschickt. RHEL 5 wird erst in etwa einem Jahr offiziell erscheinen.
In dieser Evaluierung soll der Assurance Level 4 (EAL4) erreicht werden. Damit soll RHEL 5 als vertrauenswürdiges Betriebssystem anerkannt werden, das auch mit vertraulichen Informationen sicher umgehen kann. Bisher wird dieser Markt, der vor allem für (US)-Behörden und das Militär interessant ist, von Trusted Solaris dominiert. Für alle US-Behörden, die vertrauliche Informationen vorhalten, ist die Einhaltung von EAL4 Pflicht.
Das Unternehmen Trusted Computer Solutions Inc. in Herndon, Va. hat einige der Erweiterungen entwickelt, die SE Linux auf diese Ebene heben sollen. Es will damit seinen Kunden Linux als brauchbare Alternative in diesem Sektor anbieten. SE Linux mit seiner auf Richtlinien beruhenden Zugriffskontrolle wird es ermöglichen, daß mehrere Sicherheitsstufen auf demselben Rechner laufen. Dies macht es in Zukunft unnötig, für jede Sicherheitsstufe einen eigenen Rechner auf dem Desktop aufstellen zu müssen.
Die Implementierung von SE Linux kann man in den Testversionen von Fedora Core begutachten, die der offiziellen Veröffentlichung von RHEL 5 gegen Ende nächsten Jahres vorausgehen.
Schon im Februar 2004 hatte Red Hat Enterprise Linux die Zertifizierung gemäß »Common Criteria Evaluation Assurance Level (EAL) 2« erhalten. Konkurrent Novell ist bereits weiter: Die SUSE Linux-Enterprise-Distribution (SLES 9) ist bereits seit Februar 2005 EAL4-zertifiziert.
Eine EAL4-Einstufung bedeutet jedoch nicht automatisch ein sicheres System, da die Anforderungen extrem niedrig sind, wie diese Analyse der EAL4-Zertifizierung von Windows 2000 SP3 zeigt: »Das System ist sicher, solange es nicht ans Netz angeschlossen ist und man den Softwarelieferanten 100% vertrauen kann.« Anders sähe es bei einer Zertifizierung nach EAL7 aus.
