Re: TCSEC

[Erwan David <erwan@rail.eu.org>]

Le Mon 30/12/2002, nawak disait

> > 1) TCSEC est obsolète, maintenant ce sont les critères communs.
> 
> j'ai lu qqpart que HURD était certifié TSEC, c du vent cette certif', ou
> cmoi qui lit n'importe quoi?

pas forcément, l'important c'est tout ce qu'il y a à côt(é. En plus
TSEC est américano-américain...

> >
> > 2) on ne certifie pas un OS, mais l'adéquation d'un OS a un certain
> >    profil de protection. Ainsi windows 2000 est EAL 4 pour le profil
> >    CAPP, qui ne tient pas compte du réseau ni d'attaques volontaires
> >    (en gros il est bien protégé contre le fausses manips).
> 
> bah c déjà mieux que Windows98 ;)

Ce que tout le monde savait déjà. Et attention, EAL 4 c'est élevé (à
partir de EAL 5 il faudrait une spécification formelle, donc un boulot
énorme). L'important là encore est de dire exactement ce qui est
certifié. On ne certifie pas un programme, on certifie qu'il remplis
un certain cahier des charges avec une certaine confiance. Si on
oublie le cahier des charges, ça ne veut plus rien dire.
 
> >
> > 3) la certification coute cher, surtout si elle est élevée, donc faut
> >    voir qui serait près à payerpour une certification d'un noyau linux.
> 
> Donc j'en arrive à cette question: si HURD est certifié, qui a payé?

Je pense que la FSF est assez motivée pour payer.

-- 
Erwan