6
Welche Linux Distros, die noch nicht EOL sind, sind CC EAL4+ certified?
Moin Kollegen und Linuxadmins!
Wer hat den Durchblick, was diese spezielle Common Criteria Zertifizierung angeht?
Wir suchen nach Distributionen mit CC EAL4+ (EAL4 ohne + reicht nicht).
Ist da wirklich weit und breit nur Suse Linux Enterprise Server 15 SP2 so zertifiziert?
[OS', die fast (<1 Jahr) oder bereits EOL sind, spielen für uns keine Rolle]
Wer hat den Durchblick, was diese spezielle Common Criteria Zertifizierung angeht?
Wir suchen nach Distributionen mit CC EAL4+ (EAL4 ohne + reicht nicht).
Ist da wirklich weit und breit nur Suse Linux Enterprise Server 15 SP2 so zertifiziert?
[OS', die fast (<1 Jahr) oder bereits EOL sind, spielen für uns keine Rolle]
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671474
Url: https://administrator.de/forum/welche-linux-distros-die-noch-nicht-eol-sind-sind-cc-eal4-certified-671474.html
Ausgedruckt am: 20.02.2025 um 19:02 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Da ich oder meine Kunden das nie benötigt haben, habe ich das nur am Rande mitbekommen.
Ist da wirklich weit und breit nur Suse Linux Enterprise Server 15 SP2 so zertifiziert?
[OS', die fast (<1 Jahr) oder bereits EOL sind, spielen für uns keine Rolle]
Bisher kannte ich eine Release von RHEL (müßte nachschauen welche) und das o.g. SLES 15SP2 als entsprechend zertifiziert. Aber das RHEL war von 2021iirc und wird genauso wie SLES EOL sein.
lks
Zitat von @DerWoWusste:
Moin Kollegen und Linuxadmins!
Wer hat den Durchblick, was diese spezielle Common Criteria Zertifizierung angeht?
Wir suchen nach Distributionen mit CC EAL4+ (EAL4 ohne + reicht nicht).
Moin Kollegen und Linuxadmins!
Wer hat den Durchblick, was diese spezielle Common Criteria Zertifizierung angeht?
Wir suchen nach Distributionen mit CC EAL4+ (EAL4 ohne + reicht nicht).
Da ich oder meine Kunden das nie benötigt haben, habe ich das nur am Rande mitbekommen.
Ist da wirklich weit und breit nur Suse Linux Enterprise Server 15 SP2 so zertifiziert?
[OS', die fast (<1 Jahr) oder bereits EOL sind, spielen für uns keine Rolle]
Bisher kannte ich eine Release von RHEL (müßte nachschauen welche) und das o.g. SLES 15SP2 als entsprechend zertifiziert. Aber das RHEL war von 2021iirc und wird genauso wie SLES EOL sein.
lks
Nabend,
Red Hat Enterprise sollte passen:
vgl. https://www.bsi.bund.de/SharedDocs/Zertifikate_CC/CC/Betriebssysteme/099 ...
oder auch https://www.heise.de/news/Sicherheitszertifizierung-nach-Common-Criteria ...
also mindesten seit Version 4 ... Ob aktuellere Versionen auch zertifiziert wurden, kann ich aber nicht genau sagen.
SuSE Linux Enterprise Server 15 SP2 sollte auch passen: https://www.bsi.bund.de/SharedDocs/Zertifikate_CC/CC/Betriebssysteme/115 ...
Übersicht beim BSI: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standar ...
Gruß
cykes
Red Hat Enterprise sollte passen:
vgl. https://www.bsi.bund.de/SharedDocs/Zertifikate_CC/CC/Betriebssysteme/099 ...
oder auch https://www.heise.de/news/Sicherheitszertifizierung-nach-Common-Criteria ...
also mindesten seit Version 4 ... Ob aktuellere Versionen auch zertifiziert wurden, kann ich aber nicht genau sagen.
SuSE Linux Enterprise Server 15 SP2 sollte auch passen: https://www.bsi.bund.de/SharedDocs/Zertifikate_CC/CC/Betriebssysteme/115 ...
Übersicht beim BSI: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standar ...
Gruß
cykes
Die schnell zu googelnden Infos sind bekannt und sie sind unzureichend.
Die Prüftiefe ist bei der BSI Seite oft gar nicht ausgewiesen und bei SLES 15 sp2 steht beim BSI cceal4 (ohne "+") während bei SuSe das selbe OS als mit cceal4 mit "+" zertifiziert beworben ist. Widersprüchliche Infos vom Hersteller sind ärgerlich, aber sp2 ist seit Silvester eh raus, sp5/6 wäre interessant, aber sp5 hat offenbar auch nur 4 ohne + geschafft
Die Prüftiefe ist bei der BSI Seite oft gar nicht ausgewiesen und bei SLES 15 sp2 steht beim BSI cceal4 (ohne "+") während bei SuSe das selbe OS als mit cceal4 mit "+" zertifiziert beworben ist. Widersprüchliche Infos vom Hersteller sind ärgerlich, aber sp2 ist seit Silvester eh raus, sp5/6 wäre interessant, aber sp5 hat offenbar auch nur 4 ohne + geschafft
Ich finde gerade die Erklärung für die vorige vermeintliche Diskrepanz:
EAL 4+ = EAL 4 Augmented ALC_FLR.3
EAL 4+ = EAL 4 Augmented ALC_FLR.3
Ein Betriebssystem mit CC EAL4+ (Common Criteria Evaluation Assurance Level 4+) bedeutet, dass es nach den Standards der Common Criteria (CC) für IT-Sicherheit evaluiert wurde, und zwar mit einem Sicherheitsniveau von EAL4+ oder höher. EAL4+ steht dabei für einen hohen Sicherheitsgrad, bei dem das Betriebssystem gründlich auf potenzielle Schwachstellen und Angriffsflächen geprüft wurde. Der „+“-Zusatz bedeutet, dass eine erweiterte Prüfung oder zusätzliche Maßnahmen zur Sicherheitsüberprüfung vorgenommen wurden.
Ein solches Betriebssystem ist vor allem in sicherheitskritischen Umfeldern wichtig, etwa in der Finanzbranche, bei Behörden, in der Rüstungsindustrie oder bei anderen Organisationen, die besonders hohe Anforderungen an die IT-Sicherheit stellen. Beispiele von Betriebssystemen, die häufig CC EAL4+ oder höhere Sicherheitsstufen aufweisen, sind:
Windows 10/11 (mit bestimmten Editionen)
Microsoft hat Windows 10 und Windows 11 mit einigen speziellen Versionen zertifizieren lassen, die ein EAL4+ Niveau erreichen, insbesondere für den Einsatz in sicherheitskritischen Umfeldern.
Red Hat Enterprise Linux (RHEL)
Einige Versionen von RHEL haben eine CC EAL4+ Zertifizierung, was sie besonders für den Einsatz in Unternehmen und Behörden geeignet macht.
SE Linux (Security-Enhanced Linux)
SE Linux, in Kombination mit anderen Maßnahmen wie AppArmor, ist ein weiterer Ansatz, um ein hohes Sicherheitsniveau zu erreichen. Bestimmte Konfigurationen oder Distributionen können EAL4+ oder höher zertifiziert werden.
Trusted Solaris
Diese Variante von Solaris ist auf Sicherheitsfeatures ausgelegt und hat verschiedene Sicherheitszertifikate erreicht, darunter auch CC EAL4+.
QNX (in embedded systems)
Das QNX-Betriebssystem, das häufig in eingebetteten Systemen eingesetzt wird, hat ebenfalls eine CC EAL4+ Zertifizierung in bestimmten Versionen.
Betriebssysteme mit einer solchen Zertifizierung bieten einen vertrauenswürdigen Rahmen für die sichere Ausführung von Anwendungen und stellen sicher, dass alle Sicherheitsmaßnahmen gemäß den strengen Anforderungen internationaler Standards implementiert wurden.
Ein solches Betriebssystem ist vor allem in sicherheitskritischen Umfeldern wichtig, etwa in der Finanzbranche, bei Behörden, in der Rüstungsindustrie oder bei anderen Organisationen, die besonders hohe Anforderungen an die IT-Sicherheit stellen. Beispiele von Betriebssystemen, die häufig CC EAL4+ oder höhere Sicherheitsstufen aufweisen, sind:
Windows 10/11 (mit bestimmten Editionen)
Microsoft hat Windows 10 und Windows 11 mit einigen speziellen Versionen zertifizieren lassen, die ein EAL4+ Niveau erreichen, insbesondere für den Einsatz in sicherheitskritischen Umfeldern.
Red Hat Enterprise Linux (RHEL)
Einige Versionen von RHEL haben eine CC EAL4+ Zertifizierung, was sie besonders für den Einsatz in Unternehmen und Behörden geeignet macht.
SE Linux (Security-Enhanced Linux)
SE Linux, in Kombination mit anderen Maßnahmen wie AppArmor, ist ein weiterer Ansatz, um ein hohes Sicherheitsniveau zu erreichen. Bestimmte Konfigurationen oder Distributionen können EAL4+ oder höher zertifiziert werden.
Trusted Solaris
Diese Variante von Solaris ist auf Sicherheitsfeatures ausgelegt und hat verschiedene Sicherheitszertifikate erreicht, darunter auch CC EAL4+.
QNX (in embedded systems)
Das QNX-Betriebssystem, das häufig in eingebetteten Systemen eingesetzt wird, hat ebenfalls eine CC EAL4+ Zertifizierung in bestimmten Versionen.
Betriebssysteme mit einer solchen Zertifizierung bieten einen vertrauenswürdigen Rahmen für die sichere Ausführung von Anwendungen und stellen sicher, dass alle Sicherheitsmaßnahmen gemäß den strengen Anforderungen internationaler Standards implementiert wurden.
Ich kann bei deiner reichhaltigen Antwort leider keine einzige Versionsangabe finden. Hast Du Versionsnummern auf Lager von Linux OS', deren EOL nicht vor 2026 liegt und die 4+ zert. sind?
Da deine Antwort an Chat GPT erinnert, frage ich nun selbst diese allwissende M...
... und diese sagt, dass sie es auch nicht weiß! Ich solle mich mit MonteVista Linux befassen, das könntedie Lösung sein.
Da deine Antwort an Chat GPT erinnert, frage ich nun selbst diese allwissende M...
... und diese sagt, dass sie es auch nicht weiß! Ich solle mich mit MonteVista Linux befassen, das könntedie Lösung sein.
