Consultoria MEMeC

  • Expertos de primer nivel.
  • Experiencia en consultoría en el ámbito criptográfico.
  • Editores de la Metodología de Evaluación de Mecanismos Criptográficos (MEMeC) junto con CCN.
  • Primer laboratorio acreditado por ENAC y CCN para para llevar a cabo certificaciones MEMeC.

Haga clic aquí para encontrar nuestra charla de presentación de la MEMeC en uno de los eventos de ciberseguridad más relevantes en el panorama nacional.
Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.

¿QUÉ ES UNA CERTIFICACIÓN MEMeC?

jtsec ha colaborado junto al CCN (Centro Criptográfico Nacional) en la creación de una Metodología para la Evaluación de Mecanismos Criptográficos (MEMC) implementados en productos cuya funcionalidad principal se base en el uso de la criptografía.

El objetivo de esta certificación es evaluar la correcta implementación de los mecanismos criptográficos utilizados en productos tecnológicos, que están siendo evaluados bajo las certificaciones Common Criteria (CC), LINCE, STIC o, para los que se evaluen directamente contra la propia metodología como evaluación criptográfica. Creando de esta forma un marco común de validación de mecanismos criptográficos que permita llevar a cabo la certificación criptográfica a nivel nacional.

Una certificación MEMeC define tres niveles de garantía (CL1, CL2 y CL3) incrementales en cuanto a la cantidad de requisitos a cumplir, así como, al grado de profundidad del cumplimiento de los mismos. Dichos requisitos, se engloban en cuatro áreas fundamentales:

  • Implementación criptográfica: focalizada en verificar que tanto los mecanismos criptográficos implementados por el producto, así como su parametrización, se realizan conforme a la guía CCN-STIC 221.
  • Gestión criptográfica: focalizada en verificar, que el producto implementa los self-tests asociados a dichos mecanismos de manera adecuada, que lleva a cabo una correcta gestión de los Parámetros Sensibles de Seguridad durante todo su ciclo de vida, así como, que implementa mitigación de otros ataques como por ejemplo ataques de canal lateral.
  • Conformity Testing: se centra en verificar los resultados de los algoritmos implementados por el producto llevando a cabo pruebas de conformidad.
  • Implementation Pitfalls: se centra en verificar que los mecanismos criptográficos se implementan evitando errores comunes de implementación.

DOCUMENTACIÓN Y HERRRAMIENTAS REQUERIDAs EN EL PROCESO DE EVALUACIÓN MEMeC

Dependiendo del nivel de certificación que se pretenda realizar, se requiere la siguiente lista de elementos y documentación para comenzar con el proceso de evaluación:

Para CL1:

  • Identificación del TOE: Consiste en definir el alcance de la evaluación criptográfica. Esto significa, definir claramente límites de la propia evaluación dentro criptográfica y proporcionar una definición adecuada del TOE así como de su propósito desde el punto de vista criptográfico.
  • Cuestionario del Fabricante (VQ): Documento proporcionado por el laboratorio que contiene las preguntas necesarias para proporcionar evidencia de la correcta implementación y uso de los mecanismos criptográficos implementados por el módulo criptográfico además de documentación adicional necesaria para realizar la evaluación.
  • Herramienta para Pruebas de Conformidad (Test Harness): Se compone del conjunto de herramientas software/firmware que debe ser desarrollada íntegramente por el vendedor de forma que permita al laboratorio ejecutar los vectores de test invocando a la impletación criptográfica del TOE.

Además de lo anterior, para CL2 y CL3 se requiere:

  • Interfaces de prueba y operación para verificar la funcionalidad del TOE: Espcificación funcional que identifique las interfaces del TOE, así como poder ejecutar cada uno de los mecanismos criptográficos implementados haciendo uso de las mismas y como obtener el resultado asociado a dichas ejecuciones.
  • Evidencia de la Prevención de Errores comunes de Implementación (Pitfalls): Presentación de las evidencias necesarias para evitar los errores comunes de implementación asociados a los mecanismos criptográficos implementados.
  • Representación de la Implementación (CL3): Código fuente o VHDL del TOE relacionado con la implementación de los mecanismos criptográficos del mismos, incluyendo información como compiladores, opciones de compilación, etc.
  • VQ de Generación de Números Aleatorios: En caso de que el TOE implemente un generadore de números aleatorios que de soporte a la funcionliada criptográfica del mismo, será necesario proporcional un VQ asociado al mismo y usar un generador de números aleagorios certificado.

EL PROCESO DE CERTIFICACIÓN MEMeC EN ESPAÑA

Para certificar un producto criptográfico conforme a la MEMeC, el producto debe ser evaluado por un laboratorio autorizado por ENAC y CCN que actúe como tercera parte fiable y técnicamente capacitada.

El laboratorio revisará la documentación del fabricante y realizará pruebas para verificar que los mecanismos criptográficos de un producto se ajustan a los requisitos aplicables e implementa funciones criptográficas autorizadas.

Una vez el fabricante del producto criptográfico entrega al laboratorio el Vendor Questionnaire junto con toda la documentación necesaria para realizar la evaluación, el laboratorio realizará las pruebas necesarias para verificar si el producto cumple con los requisitos de la MEMeC.

Los resultados de la evaluación realizada por el laboratorio se plasman en un Informe Técnico de Evaluación (ETR, Evaluation Technical Report). El CCN validará este informe, y, en caso de que durante la evaluación no se hayan encontrado fallos de implementación o no conformidades, se certifica que el producto ha sido evaluado satisfactoriamente conforme a la MEMeC.

Ellos ya han confiado en nosotros. ¡Hablemos!

¿QUÉ OFRECEMOS?

En jtsec, no solo hemos colaborado en la redacción de la norma junto con CCN, sino que somos el primer laboratorio acreditado para realizar evaluaciones MEMeC. Esto nos brinda un conocimiento profundo del proceso, lo que nos permite asesorar con precisión y eficiencia. Optimiza tu inversión y evita costes innecesarios contactándonos lo antes posible. Te ofrecemos un servicio de consultoría especializado en MEMeC que garantizará que tu producto cumpla con los estándares desde el primer momento.

  1. GAP ANÁLISIS

    ¿No estás seguro de cumplir con los requisitos de la MEMeC ? Nuestro servicio de GAP Análisis es la herramienta ideal para evaluar la situación actual de tu producto. Nuestros expertos analizarán a fondo tu implementación criptográfica, identificando cualquier deficiencia que pueda impedir la certificación. Este análisis detallado te permitirá entender claramente los pasos necesarios para superar la Evaluación Criptográfica conforme a la MEMeC y enfocarte en corregir los aspectos que no cumplen con la norma. Con nosotros, tendrás una visión completa y precisa para afrontar la evaluación con éxito.

  2. DESARROLLO DE LA DOCUMENTACIÓN

    Sabemos que preparar la documentación adecuada para la certificación MEMeC puede ser un desafío. En jtsec, nos encargamos de redactar el Vendor Questionnaire y te guiamos en la elaboración del resto de la documentación, asegurándonos de que cumpla con todos los requisitos de contenido y formato exigidos por la norma. Nuestro objetivo es ahorrarte tiempo y dinero, ofreciéndote un enfoque eficiente y optimizado, para que te centres en lo que mejor haces: innovar.

  3. FORMACIÓN

    ¿Tu equipo necesita adquirir conocimientos avanzados en criptografía? En jtsec te ofrecemos formación completamente personalizada. Ya sea para laboratorios, desarrolladores o esquemas, adaptamos nuestros cursos para satisfacer tus necesidades específicas. Tras recibir esta formación, tu equipo estará totalmente capacitado para afrontar el proceso de certificación MEMeC con confianza, conocimiento y garantías. Confía en nuestra experiencia para preparar a tu equipo y convertir la criptografía en un punto fuerte de tu empresa.