Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Version der Vorgaben zu Funktionalitätsklassen von Zufallszahlengeneratoren veröffentlicht. Die überarbeitete Version 3.0 des Dokumentes der AIS 20/31-Richtlinien ist ein wichtiger Baustein des deutschen Common Criteria-Schemas und bringt signifikante Verbesserungen in der Anwendbarkeit und Klarheit der Richtlinien sowie eine Harmonisierung mit den Anforderungen der NIST.
Die letzte Version 2.0 der AIS 20/31 stammt aus dem Jahr 2011. Die bestehenden Funktionalitätsklassen wurden inhaltlich weiterentwickelt und es wurde eine weitere Funktionalitätsklasse eingeführt. Ein weiteres Ziel der im neuen Dokument eingefügten Text- und Strukturänderungen war es, die Anwendung der Richtlinien zu vereinfachen und sie verständlicher zu formulieren.
Ein besonderes Augenmerk bei der neuen Version 3.0 lag auf der Einsteigerfreundlichkeit. Das Dokument wurde klarer strukturiert, um den Einstieg in die komplexe Materie der Zufallszahlengeneratoren zu erleichtern. Zusätzlich wurden mehr Beispiele und detaillierte mathematische Hintergründe eingefügt, um Entwicklerinnen und Entwicklern sowie Evaluatorinnen und Evaluatoren die Anwendung der Richtlinien in der Praxis zu erleichtern.
Ein weiterer wesentlicher Punkt der Überarbeitung ist die Harmonisierung mit den Richtlinien des National Institute of Standards and Technology (NIST), insbesondere mit der NIST SP 800-90 Reihe (A bis C). Diese Harmonisierung erleichtert es, Zufallszahlengeneratoren zu entwickeln und zu evaluieren, die sowohl den deutschen als auch den internationalen Sicherheitsstandards entsprechen.
Die AIS 20/31 sind ein essenzielles Werkzeug für die IT-Sicherheit und die Qualität von Zufallszahlengeneratoren. Sie werden in zahlreichen Schutzprofilen des BSI, wie beispielsweise im Schutzprofil BSI-PP-0084, sowie in Technischen Richtlinien, darunter die TR-02102-1, referenziert. Zufallszahlengeneratoren, die nach diesen Richtlinien evaluiert werden, gewährleisten höchste Sicherheitsstandards und sind ein wichtiger Baustein moderner Kryptographie.
Mit dieser neuen Version setzt das BSI weiterhin hohe Maßstäbe in der Evaluierung und Zertifizierung von sicherheitskritischen IT-Systemen.
(Quelle: BSI vom 19.09.2024)