earticle

영어

In order to cope with various intelligent cyber security threats, the importance of security quality assurance as well as secure development of IT products based on crypto technology is increasing. There is also a need to expand crypto-related security functional requirements around CCRA(Common Criteria Recognition Arrangement) members which CC-based evaluations up to EAL 2 are mutually recognized. In this paper, we conduct survey research about developing crypto supporting documents for evaluating IT security products using Common Criteria. In addition, we analyze the types of crypto-related security functional requirements as well as its specification methods through the case study of the protection profiles about network device and USB storage. As a result of analyzing the existing common criteria, crypto supporting documents, and the protection profiles, it is described that the detailed standards to specify the crypto-related security functional requirements are insufficient and inconsistent. For this reason, we propose a method for systematically deriving and specifying detailed cryptographic security function requirements, in the viewpoints of 6 families and 30 components.

한국어

각종 지능화된 사이버 보안위협에 대응하기 위해서는 암호기술에 기반한 IT제품의 개발 및 보안 품질 보 증에 대한 중요성이 증대되고 있다. 또한, 공통평가기준 기반 평가결과를 EAL(평가보증등급) 2까지 상호 인정하 는 CCRA(공통평가기준 상호인정협정) 회원국들을 중심으로 암호 관련 보안기능 요구사항을 세분화하기 위한 필 요성이 제기되고 있다. 본 논문에서는 국제공통평가기준 기반 정보보호제품 명세를 위한 암호 보조문서 개발 동향 을 조사한다. 또한, 네트워크 디바이스 및 휴대용 USB 저장장치 보호프로파일의 사례 분석을 통해, 암호에 대한 보안기능 요구사항의 유형 및 명세방법을 분석하고자 한다. 기존 공통평가기준, 암호 보조문서 개발 동향 및 보호 프로파일 사례를 분석한 결과, 암호 보안기능 요구사항을 명세할 수 있는 세부기준이 부족하고, 일관성이 없다는 문제점을 서술한다. 이에 따라, 6가지 패밀리 및 30개의 컴포넌트 측면에서 세부적인 암호 보안기능 요구사항을 체계적으로 도출하고 명세할 수 있는 방안을 제안하고자 한다.