¿QUÉ ES UNA CERTIFICACIÓN MEMeC?
jtsec ha colaborado junto al CCN (Centro Criptográfico Nacional) en la creación de una Metodología para la Evaluación de Mecanismos Criptográficos (MEMC) implementados en productos cuya funcionalidad principal se base en el uso de la criptografía.
El objetivo de esta certificación es evaluar la correcta implementación de los mecanismos criptográficos utilizados en productos tecnológicos, que están siendo evaluados bajo las certificaciones Common Criteria (CC), LINCE, STIC o, para los que se evaluen directamente contra la propia metodología como evaluación criptográfica. Creando de esta forma un marco común de validación de mecanismos criptográficos que permita llevar a cabo la certificación criptográfica a nivel nacional.
Una certificación MEMeC define tres niveles de garantía (CL1, CL2 y CL3) incrementales en cuanto a la cantidad de requisitos a cumplir, así como, al grado de profundidad del cumplimiento de los mismos. Dichos requisitos, se engloban en cuatro áreas fundamentales:
- Implementación criptográfica: focalizada en verificar que tanto los mecanismos criptográficos implementados por el producto, así como su parametrización, se realizan conforme a la guía CCN-STIC 221.
- Gestión criptográfica: focalizada en verificar, que el producto implementa los self-tests asociados a dichos mecanismos de manera adecuada, que lleva a cabo una correcta gestión de los Parámetros Sensibles de Seguridad durante todo su ciclo de vida, así como, que implementa mitigación de otros ataques como por ejemplo ataques de canal lateral.
- Conformity Testing: se centra en verificar los resultados de los algoritmos implementados por el producto llevando a cabo pruebas de conformidad.
- Implementation Pitfalls: se centra en verificar que los mecanismos criptográficos se implementan evitando errores comunes de implementación.
DOCUMENTACIÓN Y HERRRAMIENTAS REQUERIDAs EN EL PROCESO DE EVALUACIÓN MEMeC
Dependiendo del nivel de certificación que se pretenda realizar, se requiere la siguiente lista de elementos y documentación para comenzar con el proceso de evaluación:
Para CL1:
- Identificación del TOE: Consiste en definir el alcance de la evaluación criptográfica. Esto significa, definir claramente límites de la propia evaluación dentro criptográfica y proporcionar una definición adecuada del TOE así como de su propósito desde el punto de vista criptográfico.
- Cuestionario del Fabricante (VQ): Documento proporcionado por el laboratorio que contiene las preguntas necesarias para proporcionar evidencia de la correcta implementación y uso de los mecanismos criptográficos implementados por el módulo criptográfico además de documentación adicional necesaria para realizar la evaluación.
- Herramienta para Pruebas de Conformidad (Test Harness): Se compone del conjunto de herramientas software/firmware que debe ser desarrollada íntegramente por el vendedor de forma que permita al laboratorio ejecutar los vectores de test invocando a la impletación criptográfica del TOE.
Además de lo anterior, para CL2 y CL3 se requiere:
- Interfaces de prueba y operación para verificar la funcionalidad del TOE: Espcificación funcional que identifique las interfaces del TOE, así como poder ejecutar cada uno de los mecanismos criptográficos implementados haciendo uso de las mismas y como obtener el resultado asociado a dichas ejecuciones.
- Evidencia de la Prevención de Errores comunes de Implementación (Pitfalls): Presentación de las evidencias necesarias para evitar los errores comunes de implementación asociados a los mecanismos criptográficos implementados.
- Representación de la Implementación (CL3): Código fuente o VHDL del TOE relacionado con la implementación de los mecanismos criptográficos del mismos, incluyendo información como compiladores, opciones de compilación, etc.
- VQ de Generación de Números Aleatorios: En caso de que el TOE implemente un generadore de números aleatorios que de soporte a la funcionliada criptográfica del mismo, será necesario proporcional un VQ asociado al mismo y usar un generador de números aleagorios certificado.
EL PROCESO DE CERTIFICACIÓN MEMeC EN ESPAÑA
Para certificar un producto criptográfico conforme a la MEMeC, el producto debe ser evaluado por un laboratorio autorizado por ENAC y CCN que actúe como tercera parte fiable y técnicamente capacitada.
El laboratorio revisará la documentación del fabricante y realizará pruebas para verificar que los mecanismos criptográficos de un producto se ajustan a los requisitos aplicables e implementa funciones criptográficas autorizadas.
Una vez el fabricante del producto criptográfico entrega al laboratorio el Vendor Questionnaire junto con toda la documentación necesaria para realizar la evaluación, el laboratorio realizará las pruebas necesarias para verificar si el producto cumple con los requisitos de la MEMeC.
Los resultados de la evaluación realizada por el laboratorio se plasman en un Informe Técnico de Evaluación (ETR, Evaluation Technical Report). El CCN validará este informe, y, en caso de que durante la evaluación no se hayan encontrado fallos de implementación o no conformidades, se certifica que el producto ha sido evaluado satisfactoriamente conforme a la MEMeC.
Ellos ya han confiado en nosotros. ¡Hablemos!
¿QUÉ OFRECEMOS?
En jtsec somos líderes en evaluaciones criptográficas, dominando cada fase del proceso gracias a nuestra participación en la redacción de la MEMeC junto con el CCN y por ser el primer laboratorio acreditado por CCN y ENAC a nivel nacional. Con nosotros, evitarás costes innecesarios y agilizarás el proceso de certificación. ¡Contáctanos cuanto antes y garantiza el éxito de tu evaluación!
-
EVALUACIÓN
Como laboratorio acreditado, llevamos a cabo la evaluación completa de tu producto criptográfico. Analizamos detalladamente la información proporcionada en el Vendor Questionnaire y toda la documentación asociada. Además, verificamos que los mecanismos criptográficos estén implementados correctamente y funcionen según los requisitos de la MEMeC, garantizando una certificación ágil y precisa.
-
CONFIANZA Y PROFESIONALIDAD
Con años de experiencia en certificaciones de seguridad, en jtsec contamos con un equipo que ha participado directamente en el desarrollo de la MEMeC. Este profundo conocimiento, combinado con nuestra pericia técnica, no solo agiliza el proceso de evaluación, sino que también te ahorra tiempo y dinero. Confía en nuestro equipo para llevar tu producto al siguiente nivel.
-
ENFOQUE PERSONALIZADO
Cada producto es único, y en jtsec lo sabemos. Por eso, ofrecemos un enfoque completamente personalizado para tu certificación, adaptándonos a las particularidades de tu proyecto. Creamos un entorno de trabajo a medida, en el que tus necesidades específicas son nuestra prioridad. Trabajamos contigo para que el proceso sea lo más eficiente y exitoso posible.
-
CAPACITACIÓN TÉCNICA
En jtsec, nos comprometemos a la excelencia técnica. Solo con la más alta cualificación podemos garantizar la seguridad de tus productos. Nuestro equipo se somete a una formación continua para mantener un proceso de evaluación depurado y preciso. Con nosotros, estarás en manos de profesionales que llevan la seguridad al máximo nivel.
-
TIME TO MARKET
Sabemos que en el mundo de la tecnología, el tiempo es clave. En jtsec, hacemos de la rapidez nuestra fortaleza, sin comprometer la calidad. Si tu proyecto tiene plazos ajustados, puedes confiar en nosotros para cumplir con los tiempos y darte una ventaja competitiva. Ponemos todos nuestros recursos a tu disposición, no solo para ser los mejores, sino también para ser los primeros en entregarte los resultados que necesitas.