Rapport de certification 2004/34 BULL TrustWay
Contents
1. 3 11 Synth se des r sultats L ensemble des travaux r alis s par le centre d valuation est accept par le centre de certification qui atteste que le produit BULL Trust Way PCI 2400 PCA2 version 76675628 115A S302 identifi au paragraphe 1 1 et d crit au paragraphe 1 3 du pr sent rapport est conforme aux exigences sp cifi es dans la cible de s curit ST L ensemble des travaux d valuation et les r sultats de ces travaux sont d crits dans le rapport technique d valuation RTE Page 18 sur 30 BULL TrustWay PCI 2400 PCA2 Rapport de certification 2004 34 version 76675628 115A S302 Annexe 1 Visite du site BULL Les Clayes sous Bois Le site de d veloppement de BULL TrustWay situ rue jean Jaur s BP 68 78340 Les Clayes sous Bois a fait l objet dans le cadre de l valuation du produit BULL Trust Way PCI 2400 PCA2 version 76675628 115A S302 d une visite sur site pour v rifier la conformit aux crit res d valuation et aux documents fournis pour ce qui concerne Ja gestion de configuration ACM ACM AUT I ACM CAP 4 le support au cycle de vie ALC ALC DVS I La visite par le centre d valuation accompagn d un repr sentant de la DCSSI a permis de conclure que les crit res sont satisfaits sur ce site Le rapport de visite se trouve sous la r f rence Visite Page 19 sur 30 Rapport de certification 2004 34 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S3022. Toute correspondance relative ce rapport doit tre adress e au Secr tariat G n ral de la D fense Nationale Direction Centrale de la S curit des Syst mes d Information Bureau certification 51 boulevard de la Tour Maubourg 75700 PARIS cedex 07 SP certification dessi sgdn pm gouv fr La reproduction de ce document sans alt rations ni coupures est autoris e Page 30 sur 30
3. Annexe 2 Visite du site BULL Angers Le site de d veloppement de BULL S A situ 357 avenue Patton BP 20345 49008 Angers a fait l objet dans le cadre de l valuation du produit BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 d une visite sur site pour v rifier la conformit aux crit res d valuation et aux documents fournis pour ce qui concerne la livraison ADO ADO DEL 2 le support au cycle de vie ALC ALC DVS I La visite par le centre d valuation accompagn d un repr sentant de la DCSSI a permis de conclure que les crit res sont satisfaits sur ce site Le rapport de visite se trouve sous la r f rence Visite Page 20 sur 30 BULL TrustWay PCI 2400 PCA2 Rapport de certification 2004 34 version 76675628 115A S302 Annexe 3 Visite du site SELCO Le site de d veloppement de SELCO situ Le Val d Ombr e 49520 Combr e a fait l objet dans le cadre de l valuation du produit BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 d une visite sur site pour v rifier la conformit aux crit res d valuation et aux documents fournis pour ce qui concerne le support au cycle de vie ALC ALC DVS I La visite par le centre d valuation accompagn d un repr sentant de la DCSSI a permis de conclure que les crit res sont satisfaits sur ce site Le rapport de visite se trouve sous la r f rence Visite Page 21 sur 30 Rapport de certification 2004 34 BULL
4. FDP_ACF 1 Security attribute based access control Le produit doit mettre en uvre des acc s bas s sur des attributs de s curit et des groupes d attributs d sign s Il peut aussi offrir l aptitude d autoriser ou de refuser explicitement l acc s un objet sur la base d attributs de s curit Export to outside TSF control FDP_ETC 1 Export of user data without security attributes Le produit doit appliquer les r gles de s curit appropri es lors de l exportation de donn es de l utilisateur l ext rieur Les donn es de l utilisateur export es par cette fonction le sont sans les attributs de s curit qui leur sont associ s Information flow control policy FDP _IFCA Subset information flow control Le produit doit appliquer les politiques de s curit de contr le de flux d information lesquelles sont sp cifi es dans la cible de s curit ST pour un sous ensemble des op rations possibles sur un sous ensemble des flux d informations Information flow control functions FDP_IFF 4 Partial elimination of illicit information flows Le produit doit couvrir l limination de certains flux d information illicites mais pas n cessairement de tous Residual information protection FDP_RIP 1 Subset residual information protection Le produit doit garantir que toutes les informations r siduelles contenues dans n importe quelle ressource ne sont pas disponibles
5. TSF testing FPT_TST 1 Trusted path FTP_TRP 1 Le composant Trusted Path FTP_TRP 1 est une exigence pour l environnement TI dans le profil de protection PP 0308 Cette exigence a t reprise dans la cible de s curit ST afin de montrer qu elle est r alis e en partie par le produit valu Toutefois comme indiqu dans ST 5 1 7 1 c est l utilisation du produit valu dans un environnement d exploitation s curis qui permet d assurer la confidentialit et l int grit des donn es sur cette liaison Page 16 sur 30 BULL TrustWay PCI 2400 PCA2 Rapport de certification 2004 34 version 76675628 115A S302 3 4 R sistance des fonctions Seules les fonctions d authentification ont fait l objet d une estimation du niveau de r sistance Le niveau de r sistance des fonctions de s curit est jug lev SOF High 3 5 Analyse de la r sistance des m canismes cryptographiques La r sistance des m canismes cryptographiques a t analys e par la DCSSI suivant la proc dure CRY 1 01 3 6 Conformit un profil de protection Le produit r pond aux exigences de s curit du profil de protection CWA 14167 2 version 0 28 du 27 octobre 2003 certifi par la DCSSI sous la r f rence PP 0308 3 7 Reconnaissance europ enne SOG IS Ce certificat est mis dans les conditions de l accord du SOG IS SOG IS 3 8 Reconnaissance internationale CC RA Ce certifica
6. Personnalisation Installation et corfiguration Mise jour logicielle de la carte Fin de vie Figure 2 Cycle de vie de la carte PCA2 1 3 3 P rim tre et limites du produit valu Le produit valu est la carte cryptographique BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 dans son ensemble Cela correspond aux l ments mat riels PCB et PCB Printed Circuit Board circuit imprim Page 8 sur 30 BULL TrustWay PCI 2400 PCA2 Rapport de certification 2004 34 version 76675628 115A S302 composants lectroniques configuration du FCE et logiciels codes firmware et software Pour les besoins de l valuation le produit a t consid r comme tant utilis en environnement physique prot g lors de ses phases d installation et d exploitation Plusieurs profils d utilisation de la carte PCA2 sont disponibles Seul le profil nomm IOP FULL CRYPTO param tr pour 400 signatures seconde a fait l objet de l valuation Ce profil implique en particulier que les commandes USER CODE chargement d un code utilisateur et CREATE OBJECT import de cl s priv es et de cl s secr tes ne soient pas disponibles Pour r aliser certaines exigences fonctionnelles de la carte PCA2 les recommandations s curitaires du d veloppeur identifient la mise sous contr le d authentification d un certain nombre d op rations Enfin le lecteur de carte puce SafePad et les car
7. la famille ALC FLR Les certificats reconnus dans le cadre de cet accord sont mis avec la marque suivante Page 5 sur 30 Rapport de certification 2004 34 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 1 Le produit valu 1 1 Identification du produit Le produit valu est la carte cryptographique BULL Trust Way PCI 2400 PCA2 version 76675628 115A S302 d velopp e par BULL TrustWay Le d tail de la version valu e est le suivant r f rence de la carte 76675628 version hardware firmware 115A version software S302 version du profil IDOP_ FULL CRYPTO 400 signatures seconde 1 2 D veloppeur BULL TrustWay Rue Jean Jaur s BP 68 78340 Les Clayes sous Bois France 1 3 Description du produit valu Les principales fonctions de s curit offertes par le produit valu sont les suivantes la liste n est pas exhaustive Je chiffrement et la signature avec les algorithmes suivants DES et triple DES RC4 40 192 bits RSA 512 2048 bits SHA I1 et HMAC SHA 1 MDS et HMAC MD5 une fonction de sauvegarde sous forme chiffr e et sign e et de restauration des cl s et de leurs attributs la mise jour s curis e des codes applicatifs fournis chiffr s et sign s par le d veloppeur une installation s curis e de la carte PCA2 puisque faisant intervenir un m canisme de cartes puce d installation et d admini
8. a t cherch dans le code source du produit alors que les attaques en SPA et DPA ont tudi es sur le produit Le produit dans son environnement d exploitation est r sistant des attaquants disposant d un potentiel d attaque lev Page 13 sur 30 Rapport de certification 2004 34 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 3 Conclusions de l valuation 3 1 Rapport technique d valuation Le rapport technique d valuation RTE d crit les r sultats de l valuation du produit BULL Trust Way PCI 2400 PCA2 version 76675628 115A S302 3 2 Niveau d valuation Le produit BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 a t valu selon les Crit res Communs CC et sa m thodologie CEM au niveau EAL4 augment des composants d assurance suivants conformes la partie 3 des Crit res Communs Composants Descriptions ADV IMP 2 Implementation of the TSF ALC FLR3 Systematic flaw remediation AVA CCA I Covert channel analysis AVA VLA 4 Highly resistant Tableau 1 Augmentations Pour tous les composants les verdicts suivants ont t mis Class ASE Security Target evaluation ASE DES 1 TOE description R ussite ASE ENV I Security environment R ussite ASE _INT I ST introduction R ussite ASE OB Security objectives R ussite ASE PPC 1 PP claims R ussite ASE REQ I IT
9. ko e Libert galit Fraternit R PUBLIQUE FRAN AISE PREMIER MINISTRE Secr tariat g n ral de la d fense nationale Direction centrale de la s curit des syst mes d information Rapport de certification 2004 34 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 Paris le 26 novembre 2004 Le Directeur central de la s curit des syst mes d information Henri Serres ORIGINAL SIGNE S CURIT P e NOI1V91411439 Rapport de certification 2004 34 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 Avertissement Ce rapport est destin fournir aux commanditaires un document leur permettant d attester du niveau de s curit offert par le produit dans les conditions d utilisation ou d exploitation d finies dans ce rapport pour la version qui a t valu e Il est destin galement fournir l acqu reur potentiel du produit les conditions dans lesquelles 1l pourra exploiter ou utiliser le produit de mani re se trouver dans les conditions d utilisation pour lesquelles le produit a t valu et certifi c est pourquoi ce rapport de certification doit tre lu conjointement aux guides d utilisation et d administration valu s ainsi qu la cible de s curit du produit qui d crit les menaces les hypoth ses sur l environnement et les conditions d emploi pr suppos es afin que l utilisateur puisse juger de l ad quation du produit son besoin en terme
10. l information est r gie par le d cret 2002 535 du 18 avril 2002 publi au Journal officiel de la R publique fran aise Ce d cret indique que e La direction centrale de la s curit des syst mes d information labore les rapports de certification Ces rapports pr cisent les caract ristiques des objectifs de s curit propos s Ils peuvent comporter tout avertissement que ses r dacteurs estiment utile de mentionner pour des raisons de s curit Ils sont au choix des commanditaires communiqu s ou non des tiers ou rendus publics article 7 e Les certificats d livr s par le Premier ministre attestent que l exemplaire des produits ou syst mes soumis valuation r pond aux caract ristiques de s curit sp cifi es Ils attestent galement que les valuations ont t conduites conform ment aux r gles et normes en vigueur avec la comp tence et l impartialit requises article 8 Les proc dures de certification sont publiques et disponibles en fran ais sur le site Internet www ssi gouv fr Accords de reconnaissance des certificats L accord de reconnaissance europ en du SOG IS de 1999 permet la reconnaissance entre les Etats signataires de l accord des certificats d livr s par leur autorit de certification La reconnaissance mutuelle europ enne s applique jusqu au niveau ITSEC E6 et CC EAL7 Les certificats reconnus dans le cadre de cet accord sont mis avec la marque suivante i Securit
11. rifi que toutes les fonctions de s curit et les interfaces de la sp cification fonctionnelle du produit sont reli es au moins un test fonctionnel dans la documentation de test Il a v rifi aussi que toutes les caract ristiques fonctionnelles de chaque fonction de s curit telles qu elles sont d crites dans la conception de haut niveau HLD sont couvertes par les tests du d veloppeur Les tests ont t r alis s sur les versions 76675628 112 et 76675628 107 sur lesquelles la version S302 du software tait charg e Ces deux cartes sont repr sentatives du point de vue mat riel de la version identifi e au paragraphe 1 1 Page 12 sur 30 BULL TrustWay PCI 2400 PCA2 Rapport de certification 2004 34 version 76675628 115A S302 2 5 6 L analyse de vuln rabilit Toutes les vuln rabilit s identifi es par le d veloppeur ont t v rifi es par une analyse compl t e de tests L valuateur conclut que les vuln rabilit s identifi es par le d veloppeur ont t correctement prises en compte dans la conception du produit L valuateur a galement r alis une analyse de vuln rabilit ind pendante dont les r sultats ne montrent pas de vuln rabilit s exploitables au niveau d valuation consid r Les canaux cach s ont t interpr t s dans le profil de protection PP 0308 comme les canaux auxiliaires C est pourquoi durant l valuation aucun code cach n
12. Communs CC l exception des deux exigences fonctionnelles suivantes FCS RND I Quality metrics for random numbers FDP BKP 1 Backup and Recovery Ces exigences fonctionnelles tendues sont d crites au paragraphe 8 7 de la cible de s curit ST La cible de s curit r pond aux exigences de la classe ASE 2 5 Evaluation du produit L valuation consiste v rifier que le produit et sa documentation satisfont aux exigences fonctionnelles et d assurance d finies dans la cible de s curit ST L valuation s est d roul e de novembre 2002 octobre 2004 Page 10 sur 30 BULL TrustWay PCI 2400 PCA2 Rapport de certification 2004 34 version 76675628 115A S302 2 5 1 L environnement de d veloppement Le produit est d velopp sur les sites de BULL TrustWay Rue Jean Jaur s 78340 Les Clayes sous Bois France BULL Angers 357 avenue Patton BP 20845 49008 Angers France SELCO Le Val d Ombr e 49520 Combr e France Les mesures de s curit permettent de maintenir la confidentialit et l int grit du produit valu et de sa documentation Un syst me de gestion de configuration est utilis conform ment au plan de gestion de configuration d fini par le d veloppeur du produit La liste de configuration LGC identifie les l ments g r s par ce syst me Les proc dures de g n ration permettent par ailleurs de s assurer que les bons l ments de configuration
13. FIA _ UAU 1 Timing of authentication Page 23 sur 30 Rapport de certification 2004 34 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 Le produit autorise un utilisateur ex cuter certaines actions sp cifi es dans la cible de s curit ST avant que son identit ne soit authentifi e User identification FIA_UID 1 Timing of identification Le produit autorise les utilisateurs ex cuter certaines actions identifi es dans la cible de s curit ST avant d tre identifi s Class FMT Security management Management of functions in TSF FMT_MOF 1 Management of security functions behaviour Le produit doit limiter la capacit g rer le comportement des fonctions de s curit du produit des utilisateurs autoris s sp cifi s dans la cible de s curit ST Management of security attributes FMT_MSA I Management of security attributes Les utilisateurs autoris s doivent pouvoir g rer les attributs de s curit sp cifi s FMT_MSA2 Secure security attributes Le produit doit garantir que les valeurs assign es aux attributs de s curit sont valides par rapport l tat s r FMT_MSA 3 Static attribute initialisation Le produit doit garantir que les valeurs par d faut des attributs de s curit sont soit de nature permissive soit de nature restrictive Management of TSF data FMT MIDI Management of TSF data Les utilisa
14. TrustWay PCI 2400 PCA2 version 76675628 115A S302 Annexe 4 Exigences fonctionnelles de s curit du produit valu Attention les descriptions des composants fonctionnels suivants sont donn es titre indicatif Seule une lecture attentive de la cible de s curit ST peut apporter la description exacte des exigences fonctionnelles du produit Quality metrics for random numbers FCS RND 1 Backup and recovery FDP _BKP 1 Class FAU Security audit Security audit data generation FAU_GEN 1 Audit data generation Ce composant d finit le niveau des v nements auditables et sp cifie la liste des donn es que chaque enregistrement doit contenir FAU_GEN2 User identity association Le produit doit associer les v nements auditables aux identit s des utilisateurs individuels Security audit event storage FAU STG 2 Guarantees of audit data availability Le produit doit maintenir des garanties sp cifi es dans le document ST sur les donn es d audit malgr l apparition d une condition non souhait e Class FCS Cryptographic support Cryptographic key management FCS_CKM I Cryptographic key generation Le produit doit g n rer des cl s cryptographiques conform ment un algorithme et des tailles de cl s sp cifi es qui peuvent tre bas es sur une norme identifi e Les param tres de cette exigence sont sp cifi s dans la cible de s curit ST FC
15. livraison est consid r e apr s la fabrication du produit Le produit valu d velopp est livr l utilisateur final La proc dure de livraison utilis e DEL permet de conna tre l origine de la livraison et de d tecter une modification du produit pendant la livraison L installation du produit correspond la phase Installation et configuration Figure 2 Les proc dures d installation IGS permettent d obtenir la configuration valu e du produit Lors de la phase des tests fonctionnels cf 2 5 5 l installation de la carte PCA2 a t test e en mode saisie 2 5 4 La documentation d exploitation Du point de vue de l valuation les administrateurs sont les crypto officers et l auditor Les guides livr s ces administrateurs ADM ont t fournis pour valuation Ces guides pr sentent la liste des fonctions C permettant d administrer la carte ainsi que les param tres de configuration du produit d finissant une configuration s re Du point de vue de l valuation les utilisateurs sont les crypto users La seule fonction de s curit disponible aux utilisateurs concerne les op rations de cryptographie Le r f rentiel PKCS 11 contient une description pr cise des fonctions utiliser et des objets manipuler pour mettre en uvre cette fonction Les guides livr s ces utilisateurs USR ont t fournis pour valuation 2 5 5 Les tests fonctionnels L valuateur a v
16. pour un sous ensemble d fini des objets lors de l allocation ou de la d sallocation de la ressource Stored data integrity FDP _SDI 2 Sfored data integrity monitoring and action Le produit doit contr ler les donn es des utilisateurs stock es pour rechercher des erreurs d int grit identifi es et entreprendre des actions sp cifi es dans la cible de s curit ST suite une d tection d erreur Class FIA Identification and authentication Authentication failures FIA AFL 1 Authentication failure handling Le produit doit tre capable d arr ter le processus d tablissement d une session apr s un nombre sp cifi de tentatives d authentification infructueuses d un utilisateur Il doit aussi apr s la cl ture du processus d tablissement d une session tre capable de d sactiver le compte de l utilisateur ou le point d entr e e g station de travail partir duquel les tentatives ont t faites jusqu ce qu une condition d finie par un administrateur se r alise User attribute definition FIA_ATD 1 User attribute definition Les attributs de s curit sp cifi s dans la cible de s curit ST doivent tre maintenus individuellement pour chaque utilisateur Specification of secrets FIA_SOS 1 Verification of secrets Le produit doit v rifier que les secrets r pondent des m triques de qualit d finies User authentication
17. 0 BULL TrustWay IGS Manuel d mstallapon et d utilisation carte TrustWay PCI R f rence DO0U003 Version 4 3 Octobre 2004 BULL TrustWay LGC Liste de configuration de la carte PCA2 R f rence D00P009 Version 1 4 BULL TrustWay PP 0308 Profil de protection CWA14167 2 Cryptographic Module for CSP Signing Operations with Backup version 0 28 27 octobre 2003 Rapport de certification DCSSI PP 0308 RTE Rapport Technique d Evaluation R f rence R4C_ETR Version 1 2 Serma Technologies Page 27 sur 30 Rapport de certification 2004 34 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 ST BULL TrustWay PCI Cryptographic Card Security Target Version 3 2 7 octobre 2004 BULL TrustWay Visite Rapport d valuation des classes ACM ADO et ALC Annexe B C et D Version 3 0 Serma Technologies USR Interface PKCS 11 de la carte TrustWay PCI version 1 0 BULL TrustWay Cryptographic Token Interface Standard Version 2 10 Page 28 sur 30 BULL TrustWay PCI 2400 PCA2 Rapport de certification 2004 34 version 76675628 115A S302 Annexe 7 R f rences li es la certification D cret 2002 535 du 18 avril 2002 relatif l valuation et la certification de la s curit offerte par les produits et les syst mes des technologies de l information CER P 01 Proc dure CER P 01 Certification de la s curit offerte par le
18. 1 Informal correspondence demonstration R ussite ADV SPM I Informal TOE security policy model R ussite Class AGD Guidance AGD ADM Administrator guidance R ussite AGD USR 1 User guidance R ussite Class ALC Life cycle support ALC DVS I Identification of security measures R ussite ALC FLR3 Systematic flaw remediation R ussite ALC LCD 1 Developer defined life cycle model R ussite ALC TAT 1 Well defined development tools R ussite Class ATE Tests ATE COV 2 Analysis of coverage R ussite ATE DPT 1 Testing high level design R ussite ATE FUN I Functional testing R ussite ATE IND2 Independent testing sample R ussite Class AVA Vulnerability assessment AVA CCA I Covert channel analysis R ussite ANA MSU2 Validation of analysis R ussite ANA _SOF I Strength of TOE security function R ussite evaluation ANA VLAA4 Highly resistant R ussite 3 3 Le produit r pond aux exigences fonctionnelles de s curit suivantes Les op rations sur Tableau 2 Composants et verdicts associ s Exigences fonctionnelles ces exigences sont d crites dans la cible de s curit ST Audit data generation FAU GEN I User identity association FAU _GEN 2 Guarantees of audit data availability FAU STG 2 Cryptographic key generation FCS CKM I Cryptographic key distribution FCS CKM2 Annexe 2 tableau des exigences fonctionnelles de s curit du produit valu Rapport de certification 2004 34 BULL TrustWay P
19. 2 NIVEAU D EVALUATION nn ees 14 3 3 EXIGENCES FONCTIONNELLES ucictreiecncesthn ve TR ETA S EER O E EET ERN S i 15 3 4 RESISTANCE DES FONCTIONS nierien i eeii e NEEE E deen 17 3 5 ANALYSE DE LA RESISTANCE DES MECANISMES CRYPTOGRAPHIQUES su senrrrernrrerernee 17 3 6 CONFORMITE A UN PROFIL DE PROTECTION ss essrenensessecsesenernnsessecsesenennensessee 17 3 7 RECONNAISSANCE EUROPEENNE SOG IS TE RE SE PE EE DIRE TE SRE 17 3 8 RECONNAISSANCE INTERNATIONALE CCRA 17 3 9 RESTRICTIONS D USAGE 225502 ege dite rte mn tonnes neo dote leese ee 17 3 10 OBJECTIFS DE SECURITE SUR L ENVIRONNEMENT ss 17 3 11 SYNTHESE DES RESULTATS eee 18 ANNEXE 1 VISITE DU SITE BULL LES CLAYES SOUS BOIS sseesessesenesseneeese 19 ANNEXE 2 VISITE DU SITE BULL ANGERS essessscssessesescssossesesocsossesesocsoesesossossesesocsosssseseeso 20 ANNEXE 3 VISITE DU SITE SELCO issssssencnnssseeesesneeseenncenesennteteesseenennntienesnse 21 ANNEXE A EXIGENCES FONCTIONNELLES DE SECURITE DU PRODUIT EVALUE 22 ANNEXE 5 NIVEAUX D ASSURANCE PREDEFINIS EAL sssseneeneeemsereneneee 26 ANNEXE 6 REFERENCES DOCUMENTAIRES DU PRODUIT EVALUE sms 27 ANNEXE 7 REFERENCES LIEES A LA CERTIFICATION sssssssssesssessesessseeessseeeceseee 29 Page 3 sur 30 Rapport de certification 2004 34 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 Pr face La certification La certification de la s curit offerte par les produits et les syst mes des technologies de
20. 30 Rapport de certification 2004 34 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 les personnes utilisant le produit valu doivent tre inform es de leurs responsabilit s et obligations en fonction de leur r le Elles doivent aussi tre form es l utilisation du produit valu O ENV_ Personnel le produit valu doit tre prot g par des mesures physiques et organisationnelles afin de pr venir toute modification du produit Ces mesures doivent restreindre acc s aux personnes autoris es uniquement O ENV Protect Access des plans et proc dures de recouvrement doivent permettre d assurer la confidentialit et l int grit des biens du produit valu en cas de probl me majeur par exemple blocage du produit discontinuit de service ou d tection d alt ration physique O ENV_ Recovery des proc dures sur l environnement du produit doivent tre d finies permettant de configurer et d initialiser le produit de mani re s curis e Ceci inclut la g n ration et l importation de cl s et des biens concernant les r les et utilisateurs O ENV Secure Init des proc dures sur l environnement du produit doivent tre d finies permettant d op rer le produit avec le syst me d une autorit de certification r pondant aux exigences de la directive europ enne et de la politique de l autorit de certification mettant les certificats qualifi s O ENV Secure Oper
21. CI 2400 PCA2 version 76675628 115A S302 Cryptographic key destruction FCS CKM 4 Cryptographic operation FCS COP 1 Quality metrics for random numbers FCS RND 1 Subset access control FDP ACC Security attribute based access control FDP ACE II Backup and recovery FDP BKP 1 Export of user data without security attributes FDP_ETC 1 Subset information flow control FDP IFC I Partial elimination of illicit information flows FDP_IFF 4 Subset residual information protection FDP RIP 1 Stored data integrity monitoring and action FDP SDI2 Authentication failure handling FIA AFL 1 User attribute definition FIA ATD 1 Verification of secrets FIA SOS I Timing of authentication FIA UAU I Timing ofidentification PIA UID 1 Management of security functions behaviour EMT MOF 1 Management of security attributes EMT MSA I Secure security attributes EMT MSA 7 Static attribute initialisation EMT MSA Management of TSF data EMT MIDI Specification of Management Functions EMT SMF 1 Security roles FMT_SMR 1 Abstract machine testing FPT AMT 1 Failure with preservation of secure state FPT FLS 1 _Inter TSF confidentiality during transmission FPT ITC 1 Inter TSF detection of modification FPT ITI 1 Notification of physical attack FPT PHP 2 Resistance to physical attack FPT PHP 3 Manual recovery FPT RCV I Time stamps FPT STM I
22. S_CKM 2 Cryptographic key distribution Le produit doit distribuer des cl s cryptographiques conform ment une m thode de distribution sp cifi e qui peut tre bas e sur une norme identifi e Les param tres de cette exigence sont sp cifi s dans la cible de s curit ST FCS_CKM 4 Cryptographic key destruction Le produit doit d truire les cl s cryptographiques conform ment une m thode de destruction sp cifi e qui peut tre bas e sur une norme identifi e Les param tres de cette exigence sont sp cifi s dans la cible de s curit ST Cryptographic operation FCS_COP 1 Cryptographic operation Le produit doit ex cuter des op rations cryptographiques conform ment un algorithme sp cifi et des cl s cryptographiques dont les tailles peuvent prendre plusieurs valeurs sp cifi es L algorithme et les tailles des cl s cryptographiques sp cifi s peuvent tre bas s sur une norme identifi e sp cifi s dans la cible de s curit ST Class FDP User data protection Access control policy FDP ACC Subset access control Page 22 sur 30 BULL TrustWay PCI 2400 PCA2 Rapport de certification 2004 34 version 76675628 115A S302 Chaque r gle de contr le d acc s identifi e doit tre mise en place pour un sous ensemble des op rations qu il est possible d effectuer sur un sous ensemble des objets du produit Access control functions
23. connaissance du m canisme utilis TSF physical protection FPT_PHP 2 Notification of physical attack Page 24 sur 30 BULL TrustWay PCI 2400 PCA2 Rapport de certification 2004 34 version 76675628 115A S302 Le produit doit notifier automatiquement l intrusion physique sur certaines parties du produit sp cifi es dans la cible de s curit ST FPT PHP 3 Resistance to physical attack Le produit doit emp cher ou r sister certaines intrusions physiques sp cifi es dans la cible de s curit ST sur certaines parties du produit sp cifi es dans la cible de s curit ST Trusted recovery FPT_RCV 1 Manual recovery Le produit ne doit fournir que des m canismes qui impliquent une intervention humaine pour retourner un tat s r Time stamps FPT_STM 1 Reliable time stamps Le produit doit fournir un horodatage fiable TSF self test FPT TST 1 7SF testing Le produit doit effectuer des tests permettant de s assurer de son fonctionnement correct Ces tests peuvent tre effectu s au d marrage de fa on p riodique la demande d un utilisateur autoris ou quand d autres conditions sont remplies Le produit doit aussi permettre aux utilisateurs autoris s de contr ler l int grit de donn es du produit et du code ex cutable Class FTP Trusted path channels Trusted path FTP_TRP 1 7Trusted path Un chemin de confiance
24. entre le produit et un utilisateur doit tre fourni pour un ensemble d v nements d fini Soit l utilisateur soit le produit initie le chemin de confiance Page 25 sur 30 Rapport de certification 2004 34 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 Annexe 5 Niveaux d assurance pr d finis EAL m e a ess Gestion de DR mn nues M_SCP house in EE Classe ADO ap DEL 2 EE gt Livraison et o 1 Classe ADV D veloppement Casseagp Aoo ADM 1 I 1 Guides d utilisation Geng ES ES ES ES Classe ALC Support ane de vie farc reo DE acm LL EE meo Clase ATE ATEDPT 1 E are ron Fri ATE IND Ta Ea EJ 3 a LT jen AVE JAVA mso TL E vuln rabilit s JAVA SOF 1 Wi sc EU 2 Page 26 sur 30 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 Rapport de certification 2004 34 Annexe 6 R f rences documentaires du produit valu ADM Manuel d installation et d utilisation carte Trust Way PCI R f rence DO0U003 Version 4 3 Octobre 2004 BULL TrustWay API d administration de la carte Trust Way PCI R f rence DOOU001 Version 4 4 Septembre 2004 BULL TrustWay DEL Dispositions s curitaires pour l int gration des cartes PCA2 R f rence PCABILS 01 r vision 03 Octobre 2003 BULL TrustWay FLR Environnement de d veloppement de la carte PCA2 Chapitre 5 R f rence DOOP002 Version 6
25. s d objectifs de s curit Toutefois la certification ne constitue pas en soi une recommandation du produit par le centre de certification et ne garantit pas que le produit certifi soit totalement exempt de vuln rabilit s exploitables Page 2 sur 30 BULL TrustWay PCI 2400 PCA2 Rapport de certification 2004 34 version 76675628 115A S302 Table des mati res 1 LE PRODUIT EVALUE ste n reset Ee tesira seta eie 6 Ek IDENTIFICATION D PRODUIT ees eur deteste ei Reeder dada ea tes vestes ER ess 6 LS DEVELOPPEUR E et e a eg ee A ee EE 6 1 3 DESCRIPTION DU PRODUIT EVALUE iii 6 1 3 1 Architecture eeh Eege eessen 7 1 3 2 Eed RE Ee Ee EE 8 1 3 3 P rim tre et limites du produit valu ss 8 2 P EVALVATIO N EE 10 2 1 COMMANDITAIRE E 10 2 2 REF RENTIELS D EVALUATION een nb tnt re tin pans int 10 2 3 CENTRE D EVALUATION sise secsscennneesscccesenennne esse csesenennene ces ecseeennnees esse 10 2 4 EVALUATION DE LA CIBLE DE SECURITE ner 10 2 5 EVALUATION DU PRODUI Te tnt t led e nes ae gege Beie Lee vob cas des Pal uge ee 10 2 5 1 L environnement de d veloppement sn 11 2 5 2 La conception du produit ss 11 2 5 3 La livraison et l installation sn 12 2 5 4 La documentation d exploitation sn 12 2 5 5 Les tests EE 12 2 5 6 L analyse de vuln rabilit ss 13 3 CONCLUSIONS DE L EVALUATION sssssenennensenseennerenenssssnseseerceneneee 14 3 1 RAPPORT TECHNIQUE D EVALUATION sii a E a 14 3
26. s produits et les syst mes des technologies de l information DCSSI CRY 1 01 Instruction CRY I 01 Analyse des m canismes cryptographiques DCSSI CC Crit res Communs pour l valuation de la s curit des technologies de l information Part1 Introduction and general model August 1999 version 2 1 ref CCIMB 99 031 Part2 Security functional requirements August 1999 version 2 1 ref CCIMB 99 032 Part3 Security assurance requirements August 1999 version 2 1 r f CCIMB 99 033 Le contenu des Crit res Communs version 2 1 est identique celui de la Norme Internationale ISO IEC 15408 1999 comportant les trois documents suivants ISO IEC 15408 1 Part 1 Introduction and general model ISO IEC 15408 2 Part 2 Security functional requirements ISO IEC 15408 3 Part 3 Security assurance requirements CEM M thodologie d valuation de la s curit des technologies de l information Part2 Evaluation Methodology August 1999 version 1 0 ref CEM 99 045 CC RA Arrangement on the Recognition of Common criteria certificates in the field of information Technology Security may 2000 SOG IS Mutual Recognition Agreement of Information Technology Security Evaluation Certificates version 2 0 April 1999 Management Committee of Agreement Group Page 29 sur 30 Rapport de certification 2004 34 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302
27. security requirements R ussite ASE SRE I Explicitly stated IT security R ussite requirements ASE TSS I Security Target TOE summary R ussite specification Class ACM Configuration management ACM AUT Partial CM automation R ussite ACM CAPA Generation support and acceptance R ussite procedures ACM SCP 2 Problem tracking CM coverage R ussite Annexe 5 tableau des diff rents niveaux d assurance d valuation EAL Evaluation Assurance Level pr d finis dans les Crit res Communs CCI Les canaux cach s ont t interpr t s dans le profil de protection PP 0308 comme les canaux auxiliaires C est pourquoi durant l valuation aucun code cach n a t cherch dans le code source du produit alors que les attaques en SPA et DPA ont tudi es sur le produit Page 14 sur 30 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 Rapport de certification 2004 34 Class ADO Delivery and operation ADO DEL 2 Detection of modification R ussite ADO IGS I1 Installation generation and start up R ussite procedures Class ADV Development ADV _FSP 2 Fully defined external interfaces R ussite ADV HLD2 Security enforcing high level design R ussite ADV _IMP2 Implementation of the TSF R ussite ADV _LLD I Descriptive low level design R ussite ADV_RCR
28. sont utilis s pour g n rer le produit valu La v rification de l application des proc dures de d veloppement et de gestion de configuration a t effectu e par une visite des trois sites ci dessus cf Annexe 1 Annexe 2 et Annexe 3 Les proc dures de correction d anomalies d crivent la mani re dont toute anomalie d couverte sera suivie et corrig e ainsi que la diffusion des informations et corrections relatives ces anomalies tant que le produit est maintenu par le d veloppeur Ces proc dures ont t valu es bien que le respect de ces proc dures ne puisse pas tre d termin au moment de l valuation 2 5 2 La conception du produit La classe d assurance ADV d finit les exigences de raffinement des fonctions de s curit du produit depuis les sp cifications globales pr sentes dans la cible de s curit ST jusqu l impl mentation de ces fonctions Page 11 sur 30 Rapport de certification 2004 34 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 L analyse des documents de conception a permis l valuateur de s assurer que les exigences fonctionnelles sont correctement et compl tement raffin es dans les niveaux suivants de repr sentation du produit sp cifications fonctionnelles FSP conception de haut niveau HLD conception de bas niveau LLD impl mentation des fonctions de s curit IMP 2 5 3 La livraison et l installation La
29. sseur de gestion des entr es sorties Code M moire de programme pour l IOP s DPRAM Dual Port Random Access Memory CC Cryptographic Component composant cryptographique effectuant les op rations cryptographiques CIP Control and supervision processor processeur de contr le et supervision g rant les op rations cryptographiques et effectuant les auto tests p riodiques Code M moire de programme pour le CIP et le CC Secure Memory aliment e par la batterie contient les donn es secr tes dont les cl s cryptographiques Serial Connection connecteur vers le SafePad pour l installation et l authentification des administrateurs Le Chemin de confiance Trusted Path est une liaison s rie entre la carte PCA2 et le SafePad Cette liaison est r alis e en local Elle ne peut tre d port e Page 7 sur 30 Rapport de certification 2004 34 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 RTC Real Time Clock signal d horloge LOG m moire contenant les journaux d audit de s curit Config m moire non volatile contenant la configuration du produit valu Tamper detection and response logique de d tection et de r ponse apr s remont e d une alarme 1 3 2 Cycle de vie Le cycle de vie du produit est le suivant D veloppement de la carte Fabrication de la carte et tests Limites de l environnement de d v eloppment
30. stration g n r es lors de l installation puis demand es pour toute demande de r installation et d authentification de la carte PCA2 et des alarmes de s curit lors de l arrachage de la carte lors d une utilisation en dehors des plages de temp rature et de tension permises ou lors des auto tests que la carte PCA2 effectue intervalles r guliers v rifiant ainsi l int grit des codes et des donn es en m moire et le fonctionnement correct des automates cryptographiques Page 6 sur 30 BULL TrustWay PCI 2400 PCA2 Rapport de certification 2004 34 version 76675628 115A S302 L utilisation de la carte se fait par l interm diaire d une interface PKCS 11 incluant entre autres la signature et la v rification de signature le chiffrement et le d chiffrement des fonctions de hachage et de la gestion de cl s 1 3 1 Architecture L architecture technique du produit valu est repr sent e sur la figure ci dessous Les sous syst mes r alisant les t ches d entr es sorties sont indiqu s en orange tandis que ceux r alisant les fonctions de s curit sont en gris Ces deux syst mes sont logiquement et physiquement distincts L External detection and Security response Alert Secure Me mory S Trusted Serial Connection Path PCI Figure 1 Architecture g n rale de la carte cryptographique Interface PCI sp cifications PCI 2 2 JOP Input Output Processor proce
31. t est mis dans les conditions de l accord du CC RA CC RA Toutefois les augmentations suivantes n entrent pas dans le cadre de l accord ADV IMP 2 ANA CCA I et ANA VLA 4 Tableau 1 3 9 Restrictions d usage L environnement d exploitation doit respecter les objectifs de s curit sur l environnement 3 10 ainsi que les recommandations se trouvant dans les guides utilisateur USR et administrateur ADM et IGS Les r sultats de l valuation ne sont valables que dans la configuration sp cifi e dans le pr sent rapport de certification 3 10 Objectifs de s curit sur l environnement Tous les objectifs de s curit sur l environnement sont repris partir du profil de protection PP 0308 l exception de O ENV Human Interface qui est couvert par le produit valu et O ENV Secure Int pour lequel quelques pr cisions ont t apport es Voici un extrait de ces objectifs de s curit sur l environnement les applications utilisant le produit valu doivent v rifier les donn es avant transmission et effectuer les contr les d acc s et les authentifications d utilisateur que le produit valu ne peut effectuer De plus l environnement du produit valu doit aussi pr venir toute manipulation des donn es transmises au produit O ENV Application Jes journaux d audit stock s en dehors du produit valu doivent tre accessibles et disponibles O ENV Audi Page 17 sur
32. tes puce ne font pas partie du p rim tre de l valuation bien qu ils aient t utilis s pour les tests de la carte PCA2 L exigence fonctionnelle de s curit Truted Path FPT TRP 1 repose en majeure partie sur l environnement d exploitation du produit FCE FPGA Crypto Engine composant cryptographique programm dans un FPGA Le lecteur et les cartes puce sont livr s avec la carte PCA2 et utilis s lors de l installation de la carte et des demandes d authentification des administrateurs par la carte chemin de confiance Page 9 sur 30 Rapport de certification 2004 34 BULL TrustWay PCI 2400 PCA2 version 76675628 115A S302 2 L valuation 2 1 Commanditaire BULL TrustWay Rue Jean Jaur s BP 68 78340 Les Clayes sous Bois France 2 2 R f rentiels d valuation L valuation a t men e conform ment aux Crit res Communs CC et la m thodologie d valuation d finie dans le manuel CEM CEM 2 3 Centre d valuation SERMA Technologies 30 avenue Gustave Eiffel 33608 Pessac France T l phone 33 0 5 57 26 08 64 Adresse lectronique m dus serma com 2 4 Evaluation de la cible de s curit La cible de s curit ST d finit le produit valu et son environnement d exploitation Toutes les exigences fonctionnelles et d assurance de la cible de s curit sont extraites respectivement de la partie 2 et de la partie 3 des Crit res
33. teurs autoris s peuvent g rer les donn es des fonctions de s curit du produit Specification of Management Functions FMT_SMF 1 Specification of Management Functions Le produit doit fournir les fonctions de gestion de la s curit sp cifi es dans la cible de s curit ST Security management roles FMT SMR 1 Security roles Les r les relatifs la s curit que le produit reconna t doivent tre identifi s et associ s des utilisateurs sp cifi s dans la cible de s curit ST Class FPT Protection of the TSF Underlying abstract machine test FPT_AMT I Abstract machine testing Ce composant d finit la fa on de tester la machine abstraite sous jacente Fail secure FPT FLS 1 Failure with preservation of secure state Le produit doit pr server un tat s r dans le cas de d faillances identifi es Confidentiality of exported TSF data FPT ITC 1 Inter TSF confidentiality during transmission Le produit doit garantir que les donn es transmises vers un produit TI de confiance distant sont prot g es contre une divulgation pendant leur transit Integrity of exported TSF data FPT _ITI 1 Inter TSF detection of modification Le produit doit avoir l aptitude de d tecter une modification des donn es du produit pendant leur transmission entre le produit et un produit TI de confiance distant dans l hypoth se o le produit TI de confiance distant a
34. y Certified La direction centrale de la s curit des syst mes d information passe aussi des accords de reconnaissance avec des organismes trangers homologues ayant leur si ge en dehors des Etats membres de l Union europ enne Ces accords peuvent pr voir que les certificats d livr s par la France sont reconnus par les Etats signataires Ils peuvent pr voir aussi que les certificats d livr s par chaque partie sont reconnus par toutes les parties article 9 du d cret 2002 535 Ainsi l accord Common Criteria Recognition Arrangement permet la reconnaissance par les pays signataires des certificats Crit res Communs La reconnaissance mutuelle s applique En avril 1999 les pays signataires de l accord SOG IS sont le Royaume Uni 1 Allemagne la France l Espagne Tale la Suisse les Pays Bas la Finlande la Norv ge la Su de et le Portugal En novembre 2003 les pays metteurs de certificats signataires de l accord sont la France l Allemagne le Royaume Uni les Etats Unis le Canada l Australie Nouvelle Z lande et le Japon les pays signataires de l accord qui n mettent pas de certificats sont l Autriche 1 Espagne la Finlande la Gr ce la Hongrie Isra l l Italie la Norv ge les Pays Bas la Su de et la Turquie Page 4 sur 30 BULL TrustWay PCI 2400 PCA2 Rapport de certification 2004 34 version 76675628 115A S302 jusqu aux composants d assurance du niveau CC EALA ainsi qu
Download Pdf Manuals
Related Search