News CCN
Nueva guía CCN-STIC sobre la metodología de evaluación de mecanismos criptográficos
- Details
Fecha de publicación: 10/12/2024
- La guía CCN-STIC 2100, elaborada por el Centro Criptológico Nacional, ofrece una visión general sobre la metodología de evaluación de mecanismos criptográficos nacional (MEMeC).
- Esta metodología, desarrollada por el CCN, especifica el conjunto de tareas para evaluar las implementaciones criptográficas incluidas en productos tecnológicos que vayan a ser evaluados bajo las certificaciones Common Criteria (CC), LINCE o STIC.
El Centro Criptológico Nacional (CCN) ha publicado la nueva guía CCN-STIC-2100 “Cryptographic Mechanisms Evaluation Methodology”, centrada en la Metodología de Evaluación de Mecanismos Criptográficos nacional (MEMeC).
El objetivo de este documento es definir una metodología común para evaluar las implementaciones criptográficas incluidas en productos tecnológicos que vayan a ser evaluados bajo las certificaciones Common Criteria (CC), LINCE o STIC, considerando tres niveles de evaluación ascendentes: CL1 (nivel básico), CL2 (intermedio) y CL3 (avanzado).
De hecho, la metodología MEMeC, desarrollada por el CCN, especifica el conjunto de tareas de evaluación que se deben tener en cuenta para cada uno de los mecanismos criptográficos que implementa el producto a evaluar. Su objetivo consiste en facilitar y estandarizar el trabajo tanto de laboratorios como de fabricantes, proporcionándoles pautas claras en función del nivel a evaluar: los laboratorios dispondrán de tareas específicas que deberán realizar durante el proceso de evaluación, y los fabricantes podrán conocer los requisitos necesarios para superar la evaluación.
La guía se estructura en cuatro capítulos principales. El primero de ellos proporciona los pasos a seguir para verificar que los mecanismos criptográficos implementados en el Target Of Evaluation (TOE) y su parametrización cumplen con los requisitos criptográficos definidos por el Centro Criptológico Nacional, mientras que el segundo enumera los mecanismos criptográficos autorizados por el CCN, según se especifican en la guía CCN-STIC-221.
El tercer capítulo recoge las llamadas “pruebas de conformidad”, donde se explica el uso de vectores de prueba para verificar la correcta operatividad de cada mecanismo. Por último, el cuarto apartado describe cómo evitar errores de implementación comunes que podrían causar un mal comportamiento en el mecanismo criptográfico y comprometer datos de usuario o Parámetros Sensibles de Seguridad (SSPs).
La metodología MEMeC se apoya en documentación adicional (Vendor Questionnaire, Vendor Questionnaire Lite y Vendor Questionnaire RNG), compuesta por los anexos CCN-STIC 2100A, 2100B y 2100C, respectivamente.
Más información:
Anexos:
Atentamente,
Equipo CCN-CERT


