Cible de sécurité
Contents
1. 37 PP RECE V4 0 Page 3 51 08 12 2009 5 1 4 5 38 5 15 Protection of the wai 39 5 1 6 Trusted Path Channels cette cones 39 40 5 2 EXIGENCES DE S CURIT D ASSURANCE et 41 5 3 ARGUMENTAIRE DES EXIGENCES DE S CURIT 41 5 3 1 Objectifs rein seta ashe a ba 4 5 3 2 Tables de couverture entre objectifs et exigences de s curit 43 5249 D pendances santa D is 45 534 Argumentaire pour les exigences de s curit d assurance 47 5 3 5 ARCI Security architecture description 5999 47 5 3 6 VAN 2 Vulnerability analysis 47 5 27 ADV TDS T BASIC COSIQIN sais deg eech EE adidas dey E anse 47 5 38 ADV FSP 2 Security enforcing functional specification 3 48 5 39 ASE 2 Security objectives 48 5 3 10 ASE 2 Derived security requirements 99 48 5 3 11 ASE SPD 1 Security problem definition 48 6 LS 6 4 3 GORE 49 INDEX 512. 77 1 4 LIMITES DELA TOE u d gd EN vide anda a Tue eg wt 11 74 7 Architecture Physique uuu gaan EEN 77 1 42 Archit cture IOgIQUe n u 12 1 5 ENVIRONNEMENT OP RATIONNEL DELATOE 4 13 1 5 1 Le Gestionnaire de S curit 13 41 6 525 525 14 17 e 14 1 8 Sauna eau ren 14 2 DECLARATIONS DE CONFORMI 1 15 2 1 D CLARATION DE CONFORMIT AUX CL 15 2 2 DECLARATION DE CONFORMIT UN PAQUET 15 2 3 DECLARATION DE CONFORMIT 4 15 2 4 D CLARATION DE CONFORMIT AU a a aei 15 3 D FI NI TI ON DU PROBL ME DE S CURIT 16 BUENS le tan ve Wa Sp
3. 4 0 4 51 08 12 2009 Table des Tables Table 1 Association menaces vers objectifs de s curit 29 Table 2 Association objectifs de s curit vers menaces 31 Table 3 Association politiques de s curit organisationnelles vers objectifs de s curit 31 Table 4 Association objectifs de s curit vers politiques de s curit organisationnelles 32 Table 5 Association hypoth ses vers objectifs de s curit pour l environnement op rationnel 32 Table 6 Association objectifs de s curit pour l environnement op rationnel vers hypotheses 33 Table 7 Association objectifs de s curit de la TOE vers les exigences fonctionnelles 43 Table 8 Association exigences fonctionnelles vers objectifs de s curit de la 44 Table 9 D pendances des exigences fonctionnelles ci 46 Table 10 D pendances des exigences d assurance 47 RECE V4 0 5 51 08 12 2009 1 Introduction au Profil de Protection Cette introduction au Profil de Protection PP est constitu e de 4 paragraphes paragraphe 1 1 introduit le document et fournit les r f rences du pr sent Profil de Protection Le paragraphe 1 2 nonce les
4. 16 2 0 MENACES E NEE SE 17 3 21 Menaces li s la compromission des informations 17 3 2 2 Menaces li s aux d faillances techniques 18 3 2 3 Menaces li s aux actions illicites iris 18 3 2 4 Menaces li s la compromission des fonctions 18 3 3 POLITIQUES DE S CURIT ORGANISATIONNELLES 2 19 ER WEE Gd eg 19 4 OBJECTIFS DE S CURIT ee intense Re 21 4 1 OBJECTIFS DE S CURIT POUR LATOE NEE 21 4 2 OBJECTIFS DE S CURIT POUR L ENVIRONNEMENT OPERATIONNEL 44 22 4 3 ARGUMENTAIRE DES OBJECTIFS DE S CURITE dieser 23 4 3 1 MenaceSu Ta a eee 23 4 3 2 Politiques de s curit organisationnelles OS l 28 E GE 28 4 3 4 Tables de couverture entre d finition du probl me et objectifs de s curit 28 5 34 5 1 EXIGENCES DE S CURIT FONCTIONNELLES een 34 5 1 1 Audit security alerts 34 5 1 2 ESTER RoUt er management una wayana eed 35 5 1 3 Identification authentication
5. La s l ction du composant ASE_SPD 1 est n cessaire pour l valuation de la cible de s curit se conformant ce PP afin de d crire les menaces les OSP et les hypoth ses s appliquants l environement op rationel de la TOE PP RECE V4 0 Page 48 51 08 12 2009 6 Notice Ce document a t g n r avec TL SET version 2 3 6 for CC3 Pour plus d informations sur l outil d dition s curitaire de Trusted Labs consultez le site internet www trusted labs com PP RECE V4 0 Page 49 51 08 12 2009 Glossaire Cette annexe d finie les principaux termes utilis s dans ce document Pour la d finition des termes Crit res Communs se r f rer 1 84 Terme Administrateur D scription R le endoss par une personne responsable d une ou de plusieurs op rations sur routeur ESTER Ses t ches peuvent tre l installation le param trage le maintien la mise jour des mat riels ou des logiciels li s la TOE Le terme administrateur utilis dans le PP d signe les trois r les d administrateurs administrateur de s curit administrateur de r seaux et administrateur d audit Plan de confiance Notion introduite dans ce projet qui repr sente le plan dans lequel s ex cute le minimum des fonctions critiques la s curit d un quipement ou d une architecture Plan de contr le Contient les fonctionnalit s tablissant et maintenant les bases d information
6. FCS_CKM 4 FCS_COP 1 MAC FCS_CKM 1 ou FCS_CKM 1 FCS_CKM 4 generation FDP_ITC 1 ou FDP_ITC 2 et FCS_CKM 4 5 1 Hashing 5 1 ou 1 ou FDP_ITC 2 et FCS_CKM 4 FCS 1 RNG FCS_CKM 1 ou FDP_ITC 1 ou FDP_ITC 2 et FCS_CKM 4 5 1 FCS_CKM 2 ou FCS COP 1 Data FCS_COP 1 et encryption decryption FCS_COP 1 FCS_CKM 4 MAC generation 5 4 FCS_CKM 4 FCS_CKM 1 ou FCS_CKM 1 FDP_ITC 1 ou FDP_ITC 2 PP RECE V4 0 Page 45 51 08 12 2009 Table 9 D pendances des exigences fonctionnelles Argumentaire pour les d pendances non satisfaites La d pendance FCS_CKM 4 de FCS_COP 1 Hashing n est pas support e La fonction de hachage ne requiert pas des cl s cryptographiques La d pendance FCS_CKM 1 FDP_ITC 1 FDP_ITC 2 de FCS 1 Hashing n est pas support e La fonction hashage ne n cessite la g n ration ni l importation de cl s dans la TOE La d pendance FCS_CKM 1 or FDP_ITC 1 or FDP_ITC 2 de FCS_COP 1 RNG n est pas support e Le RNG ne necessite ni la g n ration ni l importation de cl s dans la TOE La d pendance FCS_CKM 4 de FCS_COP 1 RNG n est pas support e RNG ne requiert pas des cl s cryptographiques PP RECE V4 0 Page 46 51 08 12 2009 5 3 3 2 D pendances des exigences de s curit d assurance Exigences D pendances CC D pendances
7. actions d crites dans la section 1 2 1 Utilisation de la TOE PP RECE V4 0 Page 13 51 08 12 2009 Les modules Key Mngmt dans le gestionnaire et dans la carte a puce interagissent pour la gestion des cl s et certificats 1 6 D finitions Un glossaire donnant la d finition des principaux termes utilis s dans la suite du document est fourni en Annexe A 1 7 Acronymes AC Autorit de Certification API Application Programming Interface AS Systeme Autonome Common Criteria Crit res Communs ANSSI Agence Nationale de la S curit des Syst mes d Information EBIOS Expression des Besoins et Identification des Objectifs de S curit GP Global Platform IP Internet Protocol MPLS Multiprotocol Label Switching OSPF Open Shortest Path First PP Profil de Protection SNMP Simple Network Management Protocol TOE Target of Evaluation 1 8 R f rences CC1 Revision 3 J uly 2009 Common Criteria for Information Technology Security Evaluation Part 1 Introduction and general model Version 3 1 CC2 Common Criteria for Information Technology Security Evaluation Part 2 Security functional requirements Version 3 1 Revision 3 uly 2009 CC3 Common Criteria for Information Technology Security Evaluation Part 3 Security Assurance Requirements Version 3 1 Revision 3 July 2009 CEM Common Methodology for Information Technology Secu
8. curit pour l environnement op rationnel PP RECE V4 0 Page 32 51 08 12 2009 Objectifs de s curit pour Hypoth ses l environnement op rationnel OE SERVICES H SERVICES OE SURVEILLANCE LOG OE MOTS DE PASSE OE INTEGRITE_ OE ADMIN SECRET OE EVOLUTION H EVOLUTION OE REDONDANCE OE LOCAUX H ATTAQUE_ PHYSIQUE DE CYCLE DE VIE H MESURES_DE_ SECURITE OE PROTOCOLES OE AFFICHAGE_ETIQUETTE OE LECTEUR H LECTEUR Table 6 Association objectifs de s curit pour l environnement op rationnel vers hypoth ses PP RECE V4 0 Page 33 51 08 12 2009 5 Exigences de s curit 5 1 Exigences de s curit fonctionnelles 5 1 1 Audit and security alerts FAU_ARP 1 Security alarms FAU_ARP 1 1 The TSF shall take the following actions alert the administrator and audit events upon detection of a potential security violation FAU_GEN 1 Audit data generation FAU_GEN 1 1 The TSF shall be able to generate an audit record of the following auditable events a Start up and shutdown of the audit functions All auditable events for the selection choose one of minimum basic detailed not specified level of audit and c assignment other specifically defined auditable events FAU_GEN 1 2 The TSF shall record within each audit record at least the following information a Date and time
9. d viter que l attaque se propage vers les r seaux voisins 1 2 4 Environnement de la TOE Un domaine d administration ou syst me autonome AS se d finit comme une portion contigu de l Internet contr l e par une m me autorit administrative La fronti re d un tel domaine est marqu e par les routeurs de bordure PP RECE V4 0 Page 7 51 08 12 2009 Un syst me autonome voir la Figure 1 poss de un num ro d identification de 1 a 65535 Ce num ro est g r au niveau international La TOE est un n ud d un syst me autonome interagissant avec d autres routeurs qu ils fassent partie du m me AS ou non Ces routeurs pourront tre de type ESTER routeur carte a puce ou non AS1 Routeur d aire ED Routeur de bordure d aire Routeur de bordure de syst me autonome AS Figure 1 Composition des syst mes autonomes 1 3 Description de la TOE 1 3 1 Architecture g n rale de la TOE La Figure 2 repr sente l architecture d un routeur ESTER avec ses diff rents plans PP RECE V4 0 Page 8 51 08 12 2009 Plan de confiance Processus de confiance Processus de Plan de gestion gestion Plan de contr le Processus de routage a per asss Plan de transfert Processus de transfert de paquets Figure 2 Les diff rents plans dans le cas d un routeur L architecture d un routeur repose sur une s paration logique des fonctionnalit s support es par l quipement
10. de l volution du syst me d information OE REDONDANCE L organisation doit assurer le remplacement imm diat du routeur ou de la carte en cas de panne OE LOCAUX Les locaux se trouve le routeur ESTER doivent tre prot g s contre toute menace physique OE CYCLE_DE_VIE Des proc dures doivent assurer la protection du mat riel du logiciel et des informations de la TOE pendant la phase d usage du cycle de vie de la TOE Elles comprennent les objectifs suivants Protection physique contre les dommages externes Proc dures s curis s de manipulation et de stockage Tra abilit des TOE en cours de livraison Non divulgation des informations relatives la s curit Identification des l ments a livrer PP RECE V4 0 Page 22 51 08 12 2009 Respect des r gles de confidentialit Note d application Ces mesures de s curit ne concernent pas toutes les phases du cycle de vie de la TOE mais seulement les phases li es la partie op rationnelle OE PROTOCOLES L op rateur doit s assurer de la conformit des protocoles impl ment s avec la norme standard et les sp cifications de l industrie pour garantir l interop rabilit du routeur OE AFFI CHAGE_ ETIQUETTE La TOE doit afficher une tiquette indiquant un avertissement sur le mode d emploi de la TOE OE LECTEUR Le lecteur de carte puce doit tre valuer et attester conforme une norme de s curit reconnue l
11. de la mise jour des logiciels PP RECE V4 0 Page 42 51 08 12 2009 O AUDIT_INTEGRITE Cet objectif est couvert par FMT_MOF 1 qui sp cifie les fonctionnalit s qui doivent tre fournies aux administrateurs de la TOE De plus cet objectif est couvert par STG 2 qui assure l int grit des fichiers d audit enregistr s dans la TOE O AUDIT_ ALERT Cet objectif est couvert l s exigences de s curit FAU ARP let FAU_SAR 1 qui alertent les TSF lors d une detection de violation potentielle de la TOE et permet l administrateur d audit de lire les fichiers d audit Les r gles de d tection sont d finies dans FAU_SAA 1 O REJ EU Cet objectif est couvert par l xigence de s curit FPT_RPL 1 qui assure que les messages d authentification des paquets de routages sont prot g s contre les attaques de rejeu Les TSF peuvent d tecter et r agir en rejetant les paquets de routages 5 3 2 Tables de couverture entre objectifs et exigences de s curit Objectifs de s curit Exigences fonctionnelles pour la Argumentaire TOE O ROLE ADMIN FMT_SMR 2 Administrator role Section 5 3 1 O CRYPTO 5 1 Data Section 5 3 1 encryption decryption FCS COP 1 MAC generation FCS_COP 1 Hashing FCS 1 RNG FCS 1 FCS 4 5 ROBUSTE FIA UID 2 UAU 2 FIA AFL 1 Section 5 3 1 FMT_SMR 2 Administrator role O AUTHENTIFICATION ADMIN FIA UAU 2 FIA UID 2 FMT
12. du routeur doit s assurer de la p rennit des solutions en regard de l tat de l art et de l volution du syst me d information H LECTEUR Cette hypoth se est confirm e par l objective de s curit sur l environnement de la TOE OE LECTEUR qui guaranti que le lecteur de carte puce doit tre valuer et attester conforme une norme de s curit reconnue l chelle mondiale 4 3 4 Tables de couverture entre d finition du probl me et objectifs de s curit PP RECE V4 0 Page 28 51 08 12 2009 Menaces M ECOUTE COM Objectifs de s curit O CRYPTO OE MOTS DE PASSE O REJ EU Argumentaire Section 4 3 1 M DIVULG_ CLES O CRYPTO JOUR 5 DE PASSE OE ADMIN SECRET Section 4 3 1 M USURPATION_ O ROLE ADMIN O MODE REACTION O MISE_A JOUR OE MOTS PASSE O AUTHENTIFICATION ADMIN O REJEU Section 4 3 1 PATCH O MISE_A JOUR JOUR LOGICIEL Section 4 3 1 M DYSFONCTION ROUTEUR OE REDONDANCE OE LOCAUX OE INTEGRITE_MAT Section 4 3 1 M DYSFONCTION CARTE OE REDONDANCE OE LOCAUX OE INTEGRITE_MAT O AUDIT_ ALERT O MODE REACTION Section 4 3 1 M OBSOLETE JOUR LOGICIEL OE EVOLUTION Section 4 3 1 M UTIL ILLICITE O ACCES_ROBUSTE Section 4 3 1 M ALTER_CLES O CRYPTO JOUR O AUTHENTIFICATION_ A
13. informations sur les derniers v nements li s au fonctionnement du routeur Localisation routeur Protection int grit confidentialit PP RECE V4 0 Page 16 51 08 12 2009 Note d application La localisation des biens sensibles prot ger par la TOE d pendra de l impl mentation du produit final routeur ESTER C est au r dacteur de la cible de s curit se conformant a ce PP de pr ciser la localisation exacte de chaque bien sensible dans les composants de la TOE 3 2 Menaces Les agents menacants peuvent tre des utilisateurs autoris s de la TOE les utilisateurs qui ont des droits pr d finis d utilisation de la TOE comme les administrateurs par example ou des utilisateurs non autoris s de la TOE Lorsqu une menace provient soit des utilisateurs autoris s ou non autoris s ceux ci sont consid r s comme des attaquants Les attaquants sont cens s avoir diff rents niveaux d expertise de motivation et des ressources Leur expertise pourrait couvrir la g nie logiciel l administration r seau les routeurs le hacking etc En effet la TOE peut faire l objet de nombreuses menaces qui touchent la confidentialit et l int grit de ses donn es et services Ces attaques peuvent tre de nature physique ou logique 3 2 1 Menaces li s la compromission des informations MECOUTE COM Un attaquant capture et analyse les donn es qui transitent entre les l ments de la TOE afin d
14. of the event type of event subject identity if applicable and the outcome success or failure of the event and b For each audit event type based on the auditable event definitions of the functional components included in the PP ST assignment other audit relevant information FAU_GEN 2 User identity association FAU_GEN 2 1 For audit events resulting from actions of identified users the TSF shall be able to associate each auditable event with the identity of the user that caused the event PP RECE V4 0 Page 34 51 08 12 2009 FAU_ SAA 1 Potential violation analysis FAU_SAA 1 1 The TSF shall be able to apply a set of rules in monitoring the audited events and based upon these rules indicate a potential violation of the enforcement of the SFRs FAU_SAA 1 2 The TSF shall enforce the following rules for monitoring audited events a Accumulation or combination of assignment subset of defined auditable events known to indicate a potential security violation b assignment any other rules FAU_SAR 1 Audit review FAU_SAR 1 1 The TSF shall provide the audit administrator with the capability to read assignment list of audit information from the audit records FAU_SAR 1 2 The TSF shall provide the audit records in a manner suitable for the user to interpret the information FAU_STG 2 Guarantees of audit data availability FAU_STG 2 1 The TSF shall protect the stored a
15. qui sont mises jour par l interm diaire d changes entre fonctionnalit s de ce plan des quipements voisins Plan de gestion Contient les fonctionnalit s qui concernent la configuration de l l ment de r seau Plan de transfert Contient les fonctionnalit s appliquant la synth se des bases d informations du plan contr le et de gestion au trafic de donn es du r seau PP RECE V4 0 Page 50 51 08 12 2009 Index Audits 16 Cl s__priv es 16 Cl s__publiques 16 1 34 1 34 2 34 FAU_SAA 1 34 FAU_SAR 1 35 FAU_STG 2 35 FCS_CKM 1 36 37 FCS_COP 1 __Data__encryption decryption 35 FCS_COP 1 __ Hashing 36 FCS_COP 1 __MAC __ generation 36 FCS_COP 1 __RNG 36 FIA_AFL 1 37 FIA_UAU 2 37 FIA_UID 2 37 FMT_MOF 1 38 FMT_MTD 1 38 FMT_SMF 1 38 FMT_SMR 2 __Administrator__role 38 FPT_RPL 1 39 FPT_STM 1 35 FTP_ITC 1 39 FTP_TRP 1 40 H PHYSIQUE 19 H EVOLUTION 20 H LECTEUR 20 H MESURES_DE_SECURITE 19 H SERVICES 20 M M ADMIN_ERREUR 18 M ALTER_CLES 18 M ALTER_LOGS 18 M ALTER_NSC 18 M ALTER_PAQUET_DE_ROUTAGE 18 M ALTER_TABLE DE 18 M DIVULG_CLES 17 M DYSFONCTION_CARTE 18 M DYSFONCTION_ROUTEUR 18 M ECOUTE_COM 17 M OBSOLETE 18 M PIEGEAGE_PATCH 17 M RENIEMENT_CONFIG 19 M RENIEMENT_CONTROLE 19 M USURPATION_FORCE 19 M USURPATION_ID 17 M UTIL_ILLICITE 18 0 O ACCES_R
16. r f rences de la cible d valuation TOE Le paragraphe 1 3 donne une vue d ensemble de la TOE destin e aux clients potentiels de la TOE Le paragraphe 1 4 fournit plus de d tails de la TOE destin plut t aux r dacteurs de cible de s curit valuateurs et certificateurs 1 1 Identification du Profil de Protection PP Alcatel Lucent Oppida Telecom ParisTech Telecom amp Management SudParis Trusted Labs et Trusted Logic se sont r unis au sein du groupe ESTER Evolution de la S curit dans les T l communications et Equipements de R seau pour lancer une initiative visant a int grer une base de confiance sur une carte puce dans les l ments d infrastructure du r seau afin d en am liorer la protection Ce projet a t financ par l ANR Agence Nationale de la Recherche Ce PP a t r dig dans le cadre du projet ESTER et d finit un ensemble d objectifs et d exigences de s curit ind pendant de l impl mentation d un routeur integrant une carte a puce Titre Profil de Protection Routeur avec l ment de Confiance Embarqu Auteur Trusted Labs Version 4 0 Date 8 d cembre 2009 R f rence PP RECE Version des CC 3 1 R vision 3 1 2 Vue d ensemble de la TOE La TOE est un noeud du r seau un routeur int grant un module de s curit une carte a puce Son r le principal est l acheminement des informations entre les diff rents n uds du r
17. s curis Le plan de confiance dispose d un certain nombre de librairies et d interfaces API afin d assurer des fonctionnalit s cryptographiques et autres e g Crypto API GP API etc PP RECE V4 0 Page 12 51 08 12 2009 Le plan de confiance peut garder des traces de certaines op rations ou actions dans sa base de Filtered logs et peut stocker des informations sensibles cl s certificats etc y sont trusted part Mngmt Smart Card Comm Interface Figure 4 Architecture logique de la TOE 1 5 Environnement op rationnel de la TOE Pour la s curit de la TOE les routeurs ESTER et les quipements d administration doivent se trouver dans un endroit s r et leurs acc s doivent tre contr l s L administration a distance du routeur ESTER et la supervision du routeur ESTER est possible via une station distante 1 5 1 Le Gestionnaire de S curit L architecture logique de la TOE n cessite un gestionnaire de s curit qui est principalement en charge d assurer la gestion des cl s et des certificats de leur g n ration de leur mise jour etc Celui ci fait parti de l environnement op rationnel la TOE Le gestionnaire communique directement avec la carte puce via un canal s curis Un proxy est n cessaire sur le routeur pour assurer cette communication s curis e de bout en bout Ce gestionnaire poss de une interface graphique de gestion pour effectuer des
18. seau d une mani re s curis Ce PP d finit les exigences de s curit auxquelles la TOE doit se conformer en vue d une valuation de s curit 1 Dans le reste du document le terme routeur ESTER d signe un routeur avec l ment de confiance embarqu RECE PP RECE V4 0 Page 6 51 08 12 2009 1 2 1 Utilisation de la TOE L infrastructure r seau comprend les l ments mat riels qui permettent d assurer la connexion des terminaux des utilisateurs par l interm diaire du r seau d acc s Les fonctions de routage mises uvre d pendent du r le du routeur dans l infrastructure routeur de bordure ou de c ur Un domaine d administration appel aussi syst me autonome AS se d finit comme une portion contig e de l internet contr l e par une m me autorit administrative La fronti re d un tel domaine est marqu e par les routeurs de bordure Un flot individuel consiste en une s quence de paquets issus d un utilisateur Ces flots sont agr g s selon les classes de services On obtient alors des agr gats de flots Cette architecture conduit proc der un ordonnancement des agr gats de flots au c ur du r seau et au contr le des flots individuels en bordure La TOE est un n ud du r seau C est un routeur d infrastructure int grant une carte puce et dont le r le est de g rer le routage des flots individuels d une mani re s curis e 1 2 2 de La TOE est un p
19. son environnement op rationnel fait appel directement ou indirectement aux r les d crits ci dessous Administrateur R seau Administrateur r seau du routeur ESTER Son r le est de d finir la configuration du routeur par d faut de monter un tunnel s curis avec la carte consulter le mode courant de la carte monter un tunnel s curis avec le routeur consulter les logs et modifier la configuration du routeur Administrateur de s curit Administrateur local de s curit du routeur ESTER Son r le est de d finir la politique de s curit par d faut de la TOE de monter un tunnel s curis avec la carte consulter le mode courant de la carte modifier le mode courant de la carte mettre jour les cl s et les certificats d finir les v nements tracer et d analyser les v nements d audit concernant la gestion du routeur Op rateur Op rateur du routeur Son r le est d assurer le bon fonctionnement du routeur ESTER dans l infrastructure du r seau tant que les conditions de s curit restent r unies en assurant par exemple la remise en route suite une coupure de courant 11 est responsable du maintien en condition op rationnelle de la TOE dans le syst me d information au sein duquel elle se trouve Utilisateur Les utilisateurs du routeur sont les routeurs voisins qui communiquent avec la TOE Un utilisateur a pour r le d envoyer et de recevoir des messages OSPF Superviseur Superviseur local ou d
20. 08 12 2009 Criteria PROFIL DE PROTECTION ROUTEUR AVEC ELEMENT DE CONFIANCE EMBARQUE V4 0 PP RECE V4 0 Page 1 51 08 12 2009 PP RECE V4 0 Page 2 51 08 12 2009 Table des mati res TABLE DES MATI RES isc uu uu te 3 TABLE DES TABLES sicscscasestesvecscssusdcesvnsvgaechscccensunsutucduasvnsxsasevsusasesuauccdecteucdsasuatcsenduevuessaiess 5 1 INTRODUCTION AU PROFIL DE PROTECTION 6 1 1 IDENTIFICATION DU PROFIL DE PROTECTION PP 6 1 2 I a fes Ok 6 1 2 1 Utilisation d la E E S u A naa au een reds m ayuy ha 7 1 2 2 Type de TOB une rar aha biaya 7 12 3 Caract ristiques de s curit de la 7 7 1 2 4 Environnement DENG TOE seis chests avis tenant ane u a a 7 1 2 DESCRIPTION DE LATOE 2 EEN 8 1 3 1 Architecture g n rale de la 7 8 17 20 Cycle rire ana larme nantes 10 4 22
21. DMIN O MODE_REACTION O AUDIT_ ALERT Section 4 3 1 M ALTER_LOGS O MODE_ REACTION O AUDIT_ ALERT O AUDIT_INTEGRITE Section 4 3 1 M ALTER_TABLE DE ROUTAGE O CRYPTO O AUDIT ALERT Section 4 3 1 M ALTER_NSC O CRYPTO O MODE_REACTION JOUR O AUDIT_ALERT Section 4 3 1 M ALTER_PAQUET_DE_ROUTAGE O CRYPTO O MISE_A JOUR O AUDIT_ ALERT O MODE_REACTION Section 4 3 1 M ADMIN_ERREUR O GESTION Section 4 3 1 M USURPATION_FORCE O CRYPTO 5 ROBUSTE REACTION OE MOTS DE PASSE Section 4 3 1 M RENIEMENT_ CONTROLE O AUDIT_INTEGRITE OE SURVEILLANCE_ LOG O AUTHENTIFICATION ADMIN Section 4 3 1 M RENIEMENT CONFIG O AUDIT_INTEGRITE OE SURVEILLANCE_ LOG O AUTHENTIFICATION ADMIN Section 4 3 1 Table 1 Association menaces vers objectifs de s curit PP RECE V4 0 Page 29 51 08 12 2009 Objectifs de s curit Menaces O ROLE_ ADMIN 1 O CRYPTO M ECOUTE M DIVULG CLES M USURPATION 10 M ALTER_CLES M ALTER_TABLE_DE_ROUTAGE M ALTER_NSC M ALTER_PAQUET_DE_ROUTAGE M USURPATION_FORCE 5 5 M USURPATION 1 M UTIL_ILLICITE M USURPATION_ FORCE ADMIN M USURPATION ID M ALTER_CLES M RENIEMENT CONTROLE M RENIEMENT CONFIG O MODE_REACTION M USURPATION 1 M DYSFONCTION CARTE M ALTER_CLES M ALT
22. DV_ARC 1 est n cessaire afin de fournir suffisamment de donn es sur l architecture de s curit pour effectuer les analyses de vuln rabilit s 5 3 6 AVA_VAN 2 Vulnerability analysis La s lection du composant AVA VAN 2 est n cessaire afin d tendre la couverture de l analyse des vuln rabilit s et des tests de p n tration 5 3 7 ADV TDS 1 Basic design La s lection du composant ADV TDS 1 est n cessaire afin de fournir suffisamment de donn es de conception en particulier les fonctions de s curit SFR enforcing pour effectuer l analyse des vuln rabilit s PP RECE V4 0 Page 47 51 08 12 2009 5 3 8 ADV FSP 2 Security enforcing functional specification La s lection du composant ADV_FSP 2 est n cessaire afin de fournir des sp cifications fonctionnelles avec suffisamment de d tails pour effectuer l analyse des vuln rabilit s 5 3 9 ASE 2 Security objectives La s l ction du composant 5 2 est n cessaire pour l valuation de la cible de s curit se conformant ce PP afin de fournir les argumentaires de couvertures des menaces OSP et des hypoht ses par les objectifs de s curit 5 3 10 ASE 2 Derived security requirements La s l ction du composant ASE_REQ 2 est n cessaire pour l valuation de la cible de s curit se conformant ce PP afin de fournir les argumentaires de couvertures des objectifs de s curit par les SFR 5 3 11 ASE _SPD 1 Security problem definition
23. ER_LOGS M ALTER_NSC M ALTER_PAQUET_DE_ROUTAGE M USURPATION FORCE O GESTION M ADMIN_ERREUR O MISE_A_JOUR M DIVULG_CLES M USURPATION 1 PATCH M ALTER_CLES M ALTER_NSC M ALTER_PAQUET DE ROUTAGE JOUR LOGICIEL PATCH M OBSOLETE O AUDIT_INTEGRITE M ALTER_LOGS M RENIEMENT CONTROLE M RENIEMENT CONFIG O AUDIT_ ALERT M DYSFONCTION CARTE M ALTER_CLES M ALTER_LOGS M ALTER_TABLE_ DE ROUTAGE M ALTER_NSC M ALTER_PAQUET_ DE ROUTAGE O REJEU M ECOUTE_COM M USURPATION 1 OE SERVICES OE SURVEILLANCE LOG M RENIEMENT CONTROLE M RENIEMENT CONFIG 5 DE PASSE M DIVULG CLES M USURPATION_ID M USURPATION FORCE OE INTEGRITE_ M DYSFONCTION ROUTEUR M DYSFONCTION CARTE OE ADMIN_SECRET M DIVULG CLES OE EVOLUTION M OBSOLETE OE REDONDANCE M DYSFONCTION ROUTEUR PP RECE V4 0 Page 30 51 08 12 2009 Objectifs de s curit Menaces M DYSFONCTION CARTE OE LOCAUX M DYSFONCTION ROUTEUR M DYSFONCTION CARTE OE CYCLE DE VIE OE PROTOCOLES OE AFFICHAGE_ ETIQUETTE OE LECTEUR Table 2 Association objectifs de s curit vers menaces Politiques de s curit Objectifs de s curit Argumentaire organisationnelles OSP P ETIQUETTE OE AFFICHAGE ETIQUETTE Section 4 3 2 P COMPATIBILITE OE PROTOCOLES Section 4 3 2 P ACCES_ADMIN O
24. IT_INTEGRITE qui garantit que les logs sont prot g s en int grit O AUTHENTIFICATION ADMIN qui assure qu un administrateur s est bien authentifi avant de se connecter au routeur OE SURVEILLANCE LOG qui permet de retracer les op rations r alis es et d identifier les auteurs CONFIG Cette menace est couverte par les objectifs suivants O AUDIT_INTEGRITE qui garanti que les logs sont prot g s en int grit PP RECE V4 0 Page 26 51 08 12 2009 O AUTHENTIFICATION ADMIN qui assure qu un administrateur s est bien authentifi avant de se connecter au routeur OE SURVEILLANCE_LOG qui permet de retracer les op rations r alis es et d identifier les auteurs PP RECE V4 0 Page 27 51 08 12 2009 4 3 2 Politiques de s curit organisationnelles OSP QUETTE Cette politique de s curit organisationnelle est couverte par l objectif de s curit sur l environnement OE AFFICHAGE ETIQUETTE garantissant qu une tiquette indiquant un avertissement sur le mode d emploi de la TOE doit tre affich e clairement sur la TOE P COMPATI BI LI TE Cette politique de s curit organisationnelle est couverte par l objectif de s curit sur l environnement OE PROTOCOLES qui assure une conformit des protocoles impl ment s avec la norme standard et les sp cifications de l industrie pour garantir l interop rabilit du routeur P ACCES ADMIN Cette politique de s curit organ
25. L qui assure que la version de l OS et des logiciels de la TOE sont mis a jour pour fournir les fonctions exig es OE EVOLUTION qui assure que les proc dures administratives assureront la p rennit des solutions technologiques de la TOE en regard de l tat de l art et de l volution du syst me d information 4 3 1 3 Menaces li s aux actions illicites M UTIL_ ILLICITE Cette menace est couverte par les objectifs de s curit suivants ROBUSTE qui assure que la TOE poss de un m canisme de contr le d acc s logique interdisant l acc s un attaquant M ALTER_CLES Cette menace est couverte par les objectifs suivants O CRYPTO qui permet de chiffrer les donn es sensibles de la TOE dans le but de prot ger les cl s cryptographiques O MISE_A_JOUR qui assure des m canismes de s curit lors de la mise jour des cl s secr tes REACTION qui assure que la TOE est capable de r agir pour contrer l attaque et viter de propager les donn es corrompues aux routeurs voisins O AUDIT ALERT qui alerte l administrateur lors de la d tection d une alt ration des cl s O AUTHENTIFICATION ADMIN qui assure qu un administrateur s est bien authentifi avant de se connecter au routeur M ALTER_ LOGS Cette menace est couverte par les objectifs suivants O AUDIT INTEGRITE qui garanti que les logs sont prot g s en int grit O MODE_REACTION qui assure que la TOE est capable de r agi
26. OBUSTE 21 O AUDIT_ALERT 21 O AUDIT_INTEGRITE 21 O AUTHENTIFICATION_ADMIN 21 O CRYPTO 21 O GESTION 21 O MISE_A_JOUR 21 O MISE_A_JOUR_LOGICIEL 21 O MODE_REACTION 21 O REJEU 22 O ROLE_ADMIN 21 OE ADMIN_SECRET 22 OE AFFICHAGE ETIQUETTE 23 OE CYCLE_DE_VIE 22 OE EVOLUTION 22 OE INTEGRITE_MAT 22 OE LECTEUR 23 OE LOCAUX 22 OE MOTS_DE_PASSE 22 OE PROTOCOLES 23 OE REDONDANCE 22 OE SERVICES 22 OE SURVEILLANCE_LOG 22 P ACCES_ADMIN 19 P COMPATIBILITE 19 L ART 19 P ETIQUETTE 19 Paquet__de__routage 16 Secrets 16 T Table__de__routage 16 PP RECE V4 0 Page 51 51
27. ROLE ADMIN Section 4 3 2 ADMIN O ACCES_ROBUSTE DE L ART OE EVOLUTION Section 4 3 2 Table 3 Association politiques de s curit organisationnelles vers objectifs de s curit PP RECE V4 0 Page 31 51 08 12 2009 Objectifs de s curit Politiques de s curit O ROLE_ ADMIN organisationnelles OSP P ACCES_ADMIN O CRYPTO O ACCES_ROBUSTE P ACCES_ADMIN O AUTHENTIFICATION_ADMIN P ACCES_ADMIN O MODE_REACTION O GESTION A JOUR O MISE A JOUR_LOGICIEL O AUDIT_INTEGRITE O AUDIT_ALERT O REJEU OE SERVICES OE SURVEILLANCE LOG 5 DE PASSE OE INTEGRITE OE ADMIN SECRET OE EVOLUTION DE L ART OE REDONDANCE OE LOCAUX OE CYCLE DE VIE OE PROTOCOLES P COMPATIBILITE OE AFFICHAGE_ ETIQUETTE P ETIQUETTE OE LECTEUR Table 4 Association objectifs de s curit vers politiques de s curit organisationnelles Hypoth ses Objectifs de s curit pour Argumentaire l environnement op rationnel H ATTAQUE PHYSIQUE OE LOCAUX Section 4 3 3 H MESURES DE SECURITE OE CYCLE DE VIE Section 4 3 3 H SERVICES OE SERVICES Section 4 3 3 H EVOLUTION OE EVOLUTION Section 4 3 3 H LECTEUR OF LECTEUR Section 4 3 3 Table 5 Association hypoth ses vers objectifs de s
28. SMR 2 Section 5 3 1 Administrator role O MODE REACTION FAU_ARP 1 FAU_GEN 1 FAU_GEN 2 Section 5 3 1 FAU SAA 1 FAU SAR 1 STM 1 RPL 1 O GESTION FMT MOF 1 FMT MTD 1 FMT 5 1 Section 5 3 1 O MISE A JOUR FIA UID 2 FTP 1 FTP TRP 1 Section 5 3 1 FIA UAU 2 O MISE A JOUR LOGICIEL FTP ITC 1 FTP TRP 1 Section 5 3 1 O AUDIT INTEGRITE FAU_STG 2 1 Section 5 3 1 O AUDIT ALERT ARP 1 FAU SARL FAU SAA 1 Section 5 3 1 O REJ EU RPL 1 Section 5 3 1 Table 7 Association objectifs de s curit de la TOE vers les exigences fonctionnelles PP RECE V4 0 Page 43 51 08 12 2009 Exigences fonctionnelles pour la TOE Objectifs de s curit FAU_ARP 1 O MODE REACTION O AUDIT ALERT FAU_GEN 1 O MODE REACTION FAU GEN 2 O MODE REACTION 1 REACTION O AUDIT ALERT FAU_SAR 1 O MODE REACTION O AUDIT ALERT STG 2 O AUDIT INTEGRITE STM 1 O MODE REACTION FCS 1 Data O CRYPTO encryption decryption FCS COP 1 O CRYPTO generation FCS_COP 1 Hashing O CRYPTO FCS 1 RNG O CRYPTO 5 1 O CRYPTO FCS CKM 4 O CRYPTO FIA AFL 1 5 ROBUSTE 2 5 ROBUSTE O AUTHENTIFICATION ADMIN O MISE A JOUR UID 2 5 ROBUSTE O AUTHENTIFICATION ADMIN O MISE_A_JOUR FMT MOF 1 O GESTION O AUDIT INTEGRI
29. Satisfaites ADV_FSP 2 ADV_TDS 1 ADV_TDS 1 ADV_ARC 1 ADV_FSP 1 et ADV_TDS 1 ADV_FSP 2 ADV_TDS 1 ADV_TDS 1 ADV_FSP 2 ADV_FSP 2 AGD_OPE 1 ADV_FSP 1 ADV_FSP 2 1 Pas de d pendance ALC _CMC 1 ALC_CMS 1 ALC_CMS 1 ALC_CMS 1 Pas de d pendance ASE_CCL 1 ASE_ECD 1 et ASE_INT 1 et ASE ECD 1 ASE_INT 1 ASE_REQ 1 ASE_REQ 2 ASE_ECD 1 Pas de d pendance ASE INT 1 Pas de d pendance ASE 081 2 ASE SPD 1 ASE SPD 1 ASE _REQ 2 ASE_ECD 1 et ASE 2 ASE _ECD 1 ASE 2 ASE TSS 1 ADV_FSP 1 et ASE_INT 1 et ADV_FSP 2 ASE_INT 1 ASE_REQ 1 ASE_REQ 2 ASE_SPD 1 Pas de d pendance ATE_IND 1 ADV_FSP 1 et AGD_OPE 1 et ADV_FSP 2 AGD_OPE 1 AGD_PRE 1 AGD PRE 1 AVA_VAN 2 1 et ADV FSP 2 et ADV_FSP 2 ADV_ARC 1 ADV_TDS 1 et AGD_OPE 1 et ADV_TDS 1 AGD_OPE 1 AGD_PRE 1 AGD PRE 1 Table 10 D pendances des exigences d assurance 5 3 4 Argumentaire pour les exigences de s curit d assurance Les augmentations rajout es au niveau d valuation EAL1 visent fournir une meilleure couverture des attaques potentielles Cet objectif sera atteint en assurant que les audits de vuln rabilit et des tests de p n tration se basent sur les documents de conception basique et et d architecture de s curit en plus des sp cifications fonctionnelles plus d taill es 5 3 5 ADV_ARC 1 Security architecture description La s lection du composant A
30. TE FMT MIDI O GESTION FMT SMF 1 O GESTION FMT SMR 2 O ROLE ADMIN O ACCES_ROBUSTE Administrator role O AUTHENTIFICATION_ADMIN RPL 1 O MODE REACTION O REJ EU FTP AE O MISE A_JOUR O MISE A_JOUR_LOGICIEL FTP TREL JOUR JOUR LOGICIEL Table 8 Association exigences fonctionnelles vers objectifs s curit la TOE PP RECE V4 0 Page 44 51 08 12 2009 5 3 3 D pendances 5 3 3 1 D pendances des exigences de s curit fonctionnelles Exigences D pendances CC D pendances Satisfaites FAU_ARP 1 FAU_SAA 1 FAU_SAA 1 FAU_GEN 1 FPT_STM 1 5 1 FAU_GEN 2 FAU_GEN 1 et FAU_GEN 1 UID 2 FIA_UID 1 FAU_SAA 1 FAU_GEN 1 FAU_GEN 1 FAU_SAR 1 FAU_GEN 1 FAU_GEN 1 FAU_STG 2 FAU_GEN 1 FAU_GEN 1 5 1 Pas de d pendance FIA_AFL 1 FIA_UAU 1 UAU 2 FIA_UAU 2 FIA_UID 1 FIA UID 2 FIA UID 2 Pas de d pendance FMT MOF 1 FMT_SMF 1 et FMT 5 1 FMT_SMR 2 FMT_SMR 1 Administrator role FMT MIDI FMT_SMF 1 et FMT 5 1 FMT_SMR 2 FMT_SMR 1 Administrator role FMT_SMF 1 Pas de d pendance FMT_SMR 2 FIA_UID 1 FIA_UID 2 Administrator role FPT_RPL 1 Pas de d pendance FTP ITC 1 Pas de d pendance FTP TRP 1 Pas de d pendance FCS COP 1 Data FCS_CKM 1 ou FCS_CKM 1 FCS_CKM 4 encryption decryption FDP_ITC 1 ou FDP_ITC 2 et
31. ance PP RECE V4 0 Page 20 51 08 12 2009 4 Objectifs de s curit 41 Objectifs de s curit pour la TOE O ROLE_ADMIN La TOE doit fournir des fonctionnalit s d administrateur qui seront capables d isoler les actions administratives et d effectuer des fonctions administratives localement et distance d une mani re s curis O CRYPTO La TOE doit fournir des fonctionnalit s cryptographiques cryptage d cryptage et la signature num rique performantes et s curis es O ACCES_ROBUSTE La TOE doit fournir des m canismes qui contr lent l acc s logique des utilisateurs et d interdire l acc s des utilisateurs sp cifiques le cas ch ant O AUTHENTI FI ADMIN La TOE doit authentifier les administrateurs afin de les affect s les r les correspondants O MODE_ REACTION En r ponse a la d tection d une attaque la TOE doit r agir pour viter de propager les donn es corrompues aux routeurs voisins 5 La TOE doit fournir toutes les fonctionnalit s et les installations qui facilitent la tache aux administrateurs dans leur gestion de la s curit tout en fournissant une restriction d acc s pour des utilisateurs non autoris s O MISE_A_JOUR Des m canismes de s curit doivent tre mis en place pour prot ger les donn es sensibles pendant leur mis a jour O MISE_A_JOUR_LOGICIEL Des mises jour r guli res des logiciels doivent tre faites Celles ci ne doiv
32. ce avec le routeur doivent tre en accord avec les performances des syst mes existants 115 doivent aussi suivre l tat de l art des technologies r seaux 3 4 Hypoth ses PHYSIQUE Le syst me cible est plac en phase d usage dans des locaux con us pour assurer sa protection contre toutes attaques physiques sur la carte ou le routeur Par exemple la carte puce ne peut pas tre retir e brutalement du routeur en fonction 50 5 DE SECURITE Des proc dures traitant de mesures techniques physiques organisationnelles et li es aux personnels quant la confidentialit et l int grit du mat riel du logiciel et des informations propri taires du concepteur de la TOE doivent exister et tre appliqu es pendant la phase d usage du cycle de vie de la TOE PP RECE V4 0 Page 19 51 08 12 2009 Note d application Ces mesures de s curit ne concernent pas toutes les phases du cycle de vie de la TOE mais seulement les phases li es la partie op rationnelle H SERVICES La fourniture des services essentiels au fonctionnement des mat riels lectricit r seau est assur e de bonne qualit et ma tris e H EVOLUTION L organisation s assure de la p rennit des solutions en regard de l tat de l art et de l volution du syst me d information H LECTEUR Le lecteur de carte puce fait parti de l environnement op rationnel de la TOE est consid r de confi
33. chelle mondiale 4 3 Argumentaire des objectifs de s curit 4 3 1 Menaces 4 3 1 1 Menaces li s la compromission des informations M ECOUTE_ COM Cette menace est couverte par les objectifs de s curit suivants O CRYPTO qui permet de chiffrer les donn es sensibles transitant entre les l ments de la TOE OE MOTS DE PASSE qui assure que les mots de passe utilis s par l op rateur pour s authentifier aupr s de la TOE sont robustes et renouvel s r guli rement Cette menace est aussi couverte par l objectif O REJEU qui assure une d tection et un refus des messages rejou s M DIVULG_CLES Cette menace est couverte par les objectifs suivants O CRYPTO qui fournit des fonctionnalit s cryptographiques performantes prot geant les cl s secr tes contre la divulgation A JOUR qui assure des m canismes de s curit lors de la mise jour des cl s secr tes OE MOTS DE PASSE qui assure que les mots de passe utilis s par l op rateur pour s authentifier aupr s de la TOE sont robustes et renouvel s r guli rement OE ADMIN SECRET qui assure que l administrateur est sensibilis au respect du secret professionnel et de la discr tion M USURPATION 10 Cette menace est couverte par les objectifs suivants O ROLE ADMIN qui permet de fournir des fonctionnalit s d administrateur qui seront capables d isoler les actions administratives et d effectuer des fonctions administratives localement et dis
34. du a plan de confiance Ce plan de confiance est int gr dans l architecture d finie par le groupe de travail ETF ForCES sous la forme d un plan situ au niveau le plus haut au dessus des plans de contr le de gestion est charg d op rer le minimum de fonctions requises pour tablir la confiance dans la s curit du routeur tout particuli rement pour le protocole OSPF PP RECE V4 0 Page 9 51 08 12 2009 En effet l id e est d viter de propager une attaque aux routeurs voisins communicants avec le routeur ESTER par le biais du protocole OSPF et de la confiner au sein du routeur ESTER attaqu Une fois le routeur ESTER corrompu il est consid r comme n tant plus de confiance et sera isol du r seau 1 3 2 Cycle de vie Les cycles de vie du routeur et de la carte puce suivent deux routes diff rentes avant l int gration et la mise en op ration Ces deux processus seront prot g es de deux mani res diff rentes la sensibilit des biens manipul s n tant pas la m me Le routeur n cessite de ce fait une protection plus l g re puisque les l ments sensibles seront stock s sur la carte A contrario celle ci suivra un processus plus s curis en utilisant une authentification base de cl s ou de codes PIN diff rents pour chacune des phases correspondant chacun des intervenants sur la carte PP RECE V4 0 Page 10 51 08 12 2009 1 3 3 R les Le fonctionnement de la TOE dans
35. e alt ration de la table de routage REACTION qui assure que la TOE est capable de r agir pour contrer l attaque et viter de propager les paquets de routage corrompues aux routeurs voisins 4 3 1 4 Menaces li s la compromission des fonctions MADMIN ERREUR Cette menace est couverte par les objectifs suivants O GESTION qui assure que la TOE fournit toutes les fonctionnalit s et les installations qui facilitent la t che aux administrateurs dans leur gestion de la s curit tout en fournissant une restriction d acc s pour des utilisateurs non autoris s M USURPATION_ FORCE Cette menace est couverte par les objectifs suivants qui assure que les fonctions de s curit de la TOE fournissent des m canismes de s curit base de cl s cryptographiques garantissant un haut niveau de s curit OE MOTS DE PASSE qui assure que les mots de passe utilis s par l op rateur pour s authentifier aupr s de la TOE sont robustes et renouvel s r guli rement O MODE_REACTION qui assure que la TOE est capable de r agir pour contrer l attaque et viter de propager les donn es corrompues aux routeurs voisins O ACCES ROBUSTE qui assure que la TOE poss de un syst me de contr le d acc s logique interdisant l acc s un attaquant souhaitant casser par force brute l acc s la TOE CONTROLE Cette menace est couverte par les objectifs suivants O AUD
36. e r cup rer les donn es d authentification ou d autres informations sensibles et rejouer ces messages d authentification pour avoir un acc s inappropri aux donn es sensibles ou configurer la TOE d une fa on inappropri e Ce qui peut ouvrir la porte aux attaques ciblant le routeur M DIVULG_CLES Un attaquant parvient a acc der sur le syst me cible aux cl s secr tes utilis es pour prot ger les donn es et les rend publiques Ce qui entraine une perte d image et de cr dibilit de l op rateur li e la perte de donn es sensibles Cela peut aussi causer une perte financi re li e la g n ration et la redistribution d une nouvelle cl M USURPATION_ID Un attaquant usurpe l identit d un utilisateur autoris afin d acc der aux donn es sensibles et de r cup rer les donn es d identification ou d authentification PATCH Un attaquant parvient partir du m canisme de mise jour de la TOE y installer un logiciel d coute ou de contr le La plupart des donn es contenues ou manipul es par le routeur deviennent potentiellement accessibles et modifiables Cl s donn es d authentification les fichiers logs etc PP RECE V4 0 Page 17 51 08 12 2009 3 2 2 Menaces li s aux d faillances techniques M DYSFONCTION_ ROUTEUR Le routeur ne fonctionne plus correctement soit cause d une panne ventuelle ou d un acte de malveillance d un utilisateur Ce qui cause une perturbation d
37. ent cryptographic key destruction method that meets the following assignment list of standards Application note This SFR applies to the smart card 5 1 3 Identification and authentication Fl A_AFL 1 Authentication failure handling FIA_AFL 1 1 The TSF shall detect when an administrator configurable positive integer within assignment range of acceptable values unsuccessful authentication attempts occur related to Administrator s authentication FIA_AFL 1 2 When the defined number of unsuccessful authentication attempts has been selection met surpassed the TSF shall block the communication with the card Fl A_UAU 2 User authentication before any action FIA_UAU 2 1 The TSF shall require each user to be successfully authenticated before allowing any other TSF mediated actions on behalf of that user PP RECE V4 0 Page 37 51 08 12 2009 FIA UID 2 User identification before any action FIA_UID 2 1 The TSF shall require each user to be successfully identified before allowing any other TSF mediated actions on behalf of that user Application note These SFRs apply to the router and or the smart card components depending on the product s implementation 5 1 4 Security management FMT_MOF 1 Management of security functions behaviour 1 1 The TSF shall restrict the ability to determine the behaviour of enable modify the behaviour of and disable
38. ent d grader ni la s curit ni les fonctionnalit s des versions ant rieures O AUDIT_INTEGRITE L int grit des fichiers de log enregistr es et manipul es par la TOE doit tre garantie O AUDIT_ ALERT La TOE doit fournir des moyens pour alerter l administrateur lors de la d tection d une violation de potentielle de la TOE PP RECE V4 0 Page 21 51 08 12 2009 O REJ EU La TOE doit fournir un moyen de d tection et de refus du rejeu de l authentification et d autres messages sensibles 4 2 Objectifs de s curit pour l environnement op rationnel OE SERVICES La fourniture des services essentiels au fonctionnement des mat riels lectricit r seau doit tre assur e de bonne qualit et ma tris e OE SURVEI LLANCE_ LOG Pour tout syst me il doit tre possible de d tecter en temps r el ou a posteriori un comportement anormal de retracer les op rations r alis es et d identifier les auteurs OE MOTS_DE_ PASSE L organisation doit s assurer de la bonne gestion changements r guliers et de l utilisation de mots de passe de l op rateur suffisamment robustes OE INTEGRITE_ L organisation doit contr ler l int grit et l authenticit du routeur et de la carte OE ADMIN SECRET L administrateur doit tre sensibilis au respect du secret professionnel et de la discr tion OE EVOLUTION L organisation doit s assurer de la p rennit des solutions en regard de l tat de l art et
39. guration de la TOE est possible aussi qu il installe une TOE corrompue entrainant l inefficacit des m canismes de s curit PP RECE V4 0 Page 18 51 08 12 2009 M USURPATION_ FORCE Un attaquant profite de la faiblesse du syst me d authentification pour casser par force brute l acc s la TOE Note d application Le syst me d authentification repose sur MD5 qui est l algorithme d authentification standard de OSPF M RENI CONTROLE Un attaquant renie avoir utilis le routeur pour l acc s aux informations sensibles Un attaquant renie avoir utilis le routeur pour des finalit s de configuration 3 3 Politiques de s curit organisationnelles OSP P ETIQUETTE La cible d valuation doit afficher une tiquette d crivant des restrictions d utilisation les accords l gaux ou n importe quelle autre information appropri e laquelle les utilisateurs consentent en acc dant la TOE BI LITE La TOE doit rester compatible avec les normes et les protocoles courants et futurs L int gration du composant de s curit doit tre le plus possible transparente vis vis de l infrastructure ADMIN Les administrateurs doivent avoir la possibilit d administrer la TOE distance ou sur place Cette communication doit tre effectu e par des canaux s curis s DE L ART Les exigences sur la carte et sur l interfa
40. isationnelle est couverte par les objectifs de s curit O ROLE ADMIN et O AUTHENTIFICATION ADMIN qui garantissent une administration s curis de la TOE De plus l objectif O ACCES ROBUSTE assure que la TOE poss de un syst me de contr le d acc s logique garantissant un acc s privil gi aux administrateurs L ART Cette politique de s curit organisationnelle est couverte par l objectif de s curit sur l environnement OE EVOLUTION qui garantie que l organisation en charge de la TOE doit s assurer de la p rennit des solutions en regard de l tat de l art et de l volution du syst me d information 4 3 3 Hypoth ses PHYSIQUE Cette hypoth se est couverte par le l objectif de s curit OE LOCAUX assurant que la TOE se trouve dans des locaux s curis s HMESURES DE SECURITE Cette hypoth se est couverte par l objectif de s curit sur l environnement OE CYCLE_DE_VIE qui garantie l existence des proc dures assurant la protection du mat riel du logiciel et des informations de la TOE tout le long de son cycle de vie H SERVICES Cette hypoth se est couverte par l objective de s curit sur l environnement OE SERVICES qui assure que la fourniture des services essentiels au fonctionnement des mat riels est assur e de bonne qualit et ma tris e H EVOLUTION Cette hypoth se est couverte par l objectif de s curit sur l environnement OE EVOLUTION qui garantie que l organisation en charge
41. istant du routeur ESTER Son r le est de v rifier le bon fonctionnement du routeur monter un tunnel s curis avec la carte consulter le mode courant de la carte consulter les logs et recevoir des traps SNMP Dans la suite du document le r le Administrateur regroupe les r les Administrateur de s curit et Administrateur R seau 1 4 Limites de la TOE Cette section distingue pr cis ment ce qui est inclus dans la TOE qui sera donc valu de ce qui fait partie de son environnement op rationnel 1 4 1 Architecture physique La Figure 3 pr sente un exemple d architecture physique envisageable pour la TOE PP RECE V4 0 Page 11 51 08 12 2009 Figure 3 Exemple d architecture physique de la TOE faut noter que le lecteur de carte a puce ne fait pas parti de la TOE et appartient donc a son environnement op rationnel 1 4 2 Architecture logique La Figure 2 pr sente un exemple des composants fonctionnels qui constituent la TOE au niveau logique Une partie du processus de traitement ou de la pile OSPF trusted part est d port e sur le plan de confiance dont l impl mentation est r alis e par une carte a puce La partie restante sur le routeur est appel e de non confiance untrusted part La partie de la pile OSPF trusted communique avec la partie de la pile OSPF lt untrusted gt par l interm diaire de l interface de communication lt Smart Card Comm Interface Ce canal n est pas
42. lesquelles peuvent tre r parties sur diff rents plans Plan de contr le ou plan de commande control plane il tablit et maintient les tables de routage RIB Routing Information Base qui sont mises jour par l interm diaire d changes des protocoles de routages OSPF RIP g re galement les tables de labels L B Label Information Base dans le cas de MPLS En ce qui concerne particuli rement le protocole OSPF la mise jour des LSAs le calcul du chemin plus court algorithme de Dijkstra l laboration de la table de routage RIB et de la table d aiguillage FIB sont localis s dans plan Plan de transfert ou plan de donn es data plane il regroupe les fonctions de commutation partir des tables d aiguillage ou forwarding F B Forwarding Information Base ou LFIB Label Forwarding Information Base pour l acheminement des paquets IP ou MPLS La FIB est l agr gation des RIBs des interfaces et des routes statiques configur es localement Plan de gestion management plane contr le notamment la configuration de l l ment de r seau stocke et analyse diff rentes mesures provenant du r seau 11 inclut diff rents modules comme l interface de commande en ligne CLI les connexions Telnet SSH la supervision r seau SNMP etc Le routeur ESTER int gre une base de confiance prot g e par une carte puce dans les l ments d infrastructure Le terme de base de confiance est alors ten
43. ply to the router and or the smart card components depending on the product s implementation 5 1 5 Protection of the TSF FPT_RPL 1 Replay detection FPT_RPL 1 1 The TSF shall detect replay for the following entities authentication data FPT_RPL 1 2 The TSF shall perform reject routing paquets audit event selection assignment list of specific actions none when replay is detected Application note This SFR applies to the smart card 5 1 6 Trusted Path Channels 1 Inter TSF trusted channel 1 1 TSF shall provide a communication channel between itself and another trusted IT product that is logically distinct from other communication channels and provides assured identification of its end points and protection of the channel data from modification or disclosure 1 2 The TSF shall permit another trusted IT product to initiate communication via the trusted channel 1 The TSF shall initiate communication via the trusted channel for creation of cryptographic keys shared keys assymetric keys PP RECE V4 0 Page 39 51 08 12 2009 update of cryptographic keys FTP_TRP 1 Trusted path FTP_TRP 1 1 The TSF shall provide a communication path between itself and remote users that is logically distinct from other communication paths and provides assured identification of its end points and protection of
44. r pour contrer l attaque et viter de propager les donn es corrompues aux routeurs voisins OAUDIT ALERT qui alerte l administrateur lors de la d tection d une alt ration des logs M ALTER_TABLE_DE_ROUTAGE Cette menace est couverte par les objectifs suivants O CRYPTO qui fournit des m canismes cryptographiques permettant de garantir l int grit des paquets de routage O AUDIT ALERT qui alerte l administrateur lors de la d tection d une alt ration des paquets de routage M ALTER_NSC Cette menace est couverte par les objectifs suivants O CRYPTO qui permet de chiffrer les donn es sensibles de la TOE dans le but de prot ger les cl s cryptographiques 00 REACTION qui assure que la TOE est capable de r agir pour contrer l attaque et viter de propager les donn es corrompues aux routeurs voisins PP RECE V4 0 Page 25 51 08 12 2009 O MISE_A_JOUR qui assure des m canismes de s curit lors de la mise jour des cl s secr tes O AUDIT ALERT qui alerte l administrateur lors de la d tection d une alt ration du NSC M ALTER_PAQUET_DE_ROUTAGE Cette menace est couverte par les objectifs suivants O CRYPTO qui fournit des m canismes cryptographiques permettant de garantir l int grit des tables de routage A JOUR qui assure des m canismes de s curit lors de la mise jour des tables de routage O AUDIT ALERT qui alerte l administrateur lors de la d tection d un
45. rity Evaluation Evaluation Methodology Version 3 1 Revision 3 uly 2009 ForCES http www ietf org html charters forces charter html PP RECE V4 0 Page 14 51 08 12 2009 2 D clarations de conformit Ce chapitre contient les sections suivantes D claration de conformit aux CC 2 1 D claration de conformit un Paquet 2 2 D claration de conformit du PP 2 3 D claration de conformit au PP 2 4 2 1 D claration de conformit aux CC Ce profil de protection est conforme aux Crit res Communs version 3 1 Ce PP a t crit conform ment aux CC version 3 1 e CC Partie 1 CCI e CC Partie 2 CC2 e CC Partie 3 CC3 CEM Aucune interpr tation ou extension aux parties 2 et 3 n a t retenue 2 2 D claration de conformit a un Paquet Le niveau d assurance d valuation EAL est EAL1 augment de ADV_ARC 1 AVA_VAN 2 ADV_TDS 1 ADV FSP 2 ASE OBJ 2 ASE REQ 2 et ASE_SPD 1 2 3 D claration de conformit du Ce PP ne d clare de conformit a aucun autre PP 2 4 D claration de conformit au PP La conformit retenue dans PP pour les Cibles de S curit et Profils de Protection qui s y d clarent conformes est la conformit d montrable selon la d finition dans la Partie 1 des CC1 PP RECE V4 0 Page 15 51 08 12 2009 3 D finition du probleme de s curit 3 1 Biens Les biens sensibles prot ger par la TOE sont les sui
46. roduit compos des l ments mat riels et logiciels suivants un routeur carte puce l application embarqu e sur le routeur assurant les fonctionnalit s de base pour lesquelles l quipement est pr vu l application ESTER embarqu e sur la carte puce 1 2 3 Caract ristiques de s curit de la TOE Afin d am liorer la s curit des infrastructures r seau notamment l authentification des messages de gestion et de contr le la TOE comprend en plus des fonctionnalit s d un routeur normal une carte puce Celle ci agissant comme un coffre fort lectronique protege les l ments sensibles donn es de protocole cl s au sein m me des n uds de ces infrastructures Cette solution assure un environnement de confiance pour la g n ration la protection des cl s cryptographiques la signature des messages en vue de leur authentification Ce qui permet de se prot ger contre des attaques visant d truire et falsifier les l ments vitaux au fonctionnement du r seau La TOE assurera un niveau lev de s curit pour l infrastructure en prot geant efficacement les protocoles de gestion et de contr le cl s OSPF tables de routage Le n ud lui m me en permettant mode minimal de s curit m me si le n ud a t attaqu et qu il est sous contr le complet de l attaquant certaines informations resteront secr tes et prot g es par la carte puce Ceci afin
47. s improbables li s au fonctionnement de la TOE dans des fichiers de logs pour ensuite pouvoir tracer l attaque L xigence de s curit FPT_RPL 1 assure que les TSF peuvent d tecter et r agir aux attaques de rejeu en rejetant les paquets de routages et enregistrer les venements dans des logs O GESTION Cet objectif est couvert par les exigences de s curit s fonctionnelles FMT_MOF 1 qui fournit l administrateur d audit les fonctionnalit s sp cifiques EMT MTD 1 qui fournit des fonctions de s curit restrictives aux administrateurs de s curit PP RECE V4 0 Page 41 51 08 12 2009 FMT_SMF 1 qui sp cifie les fonctionnalit s qui doivent tre fournies aux administrateurs de la TOE JOUR Cet objectif est couvert par FIA_UID 2 et UAU 2 qui exigent l identification et l authentification des Administrateurs R seaux S curit et Audit avant d effectuer toute op ration d administration FTP_TRP 1 qui impose un chemin de confiance avec l Administrateur lors de la mise jour des attributs de s curit FTP_ITC 1 qui exige l impl mentation d un canal s curis assurant l origine de l administration du routeur et de la carte O MISE_A JOUR _ LOGICIEL Cet objectif est couvert par FTP_ITC 1 qui exige l impl mentation d un canal s curis assurant l origine de l administration du routeur et de la carte FTP_TRP 1 qui impose un chemin de confiance avec l Administrateur lors
48. sur la s curit de la TOE 4 3 1 2 Menaces li s aux d faillances techniques M DYSFONCTION ROUTEUR Cette menace est couverte par les objectifs de s curit suivants OE INTEGRITE qui garantit que les proc dures administratives contr lent l int grit et l authenticit du routeur pour viter tout dysfonctionnement OE REDONDANCE qui assure que le routeur sera remplac imm diatement par un autre en cas de dysfonctionnement OE LOCAUX qui assure que les locaux o se trouve le routeur sont bien s curis s contre tout type de menace physique M DYSFONCTION_ CARTE Cette menace est couverte par les objectifs de s curit suivants O AUDIT ALERT qui alerte l administrateur lors de la d tection d un dysfonctionnement de la carte 00 REACTION qui assure que la TOE est capable de r agir cette menace et viter de propager les donn es corrompues aux routeurs voisins OE INTEGRITE MAT qui garanti que les proc dures administratives contr lent l int grit et l authenticit de la carte pour viter tout dysfonctionnement OE REDONDANCE qui assure que la carte sera remplac e imm diatement par une autre en cas de dysfonctionnement PP RECE V4 0 Page 24 51 08 12 2009 OE LOCAUX qui assure que les locaux o se trouve la TOE sont bien s curis s contre tout type de menace physique M OBSOLETE Cette menace est couverte par les objectifs de s curit suivants O MISE_A_JOUR_LOGICIE
49. tance de mani re s curis e PP RECE V4 0 Page 23 51 08 12 2009 qui fournit des fonctionnalit s cryptographiques performantes prot geant contre l usurpation d identit O REJEU qui assure que la TOE d tectera et refusera toute tentative de rejeu des donn es d identification usurp es REACTION qui assure que la TOE est capable de r agir pour contrer l attaque et viter de propager les donn es corrompues aux routeurs voisins JOUR qui assure des m canismes de s curit lors de la mise jour des donn es sensibles et ainsi ne pas permettre une usurpation d identit lors du processus d authentification OE MOTS DE PASSE qui assure que les mots de passe utilis s par l op rateur pour s authentifier aupr s de la TOE sont robustes et renouvel s r guli rement O AUTHENTIFICATION ADMIN qui assure qu un administrateur s est bien authentifi avant de se connecter au routeur ROBUSTE qui assure que la TOE poss de un syst me de contr le d acc s logique interdisant l acc s un attaquant souhaitant usurper l identit d un utilisateur autoris M PIEGEAGE PATCH Cette menace est couverte par les objectifs suivants JOUR qui garanti que les fonctions de s curit de la TOE permettent de prot ger les donn es sensibles lors de leur mis jour A JOUR LOGICIEL qui assure que les logiciels mis jour n ont aucun impact
50. tandards 5 1 Hashing Cryptographic operation FCS 1 1 Hashing The TSF shall perform hash generation in accordance with specified cryptographic algorithm assignment cryptographic algorithm and cryptographic key sizes assignment cryptographic key sizes that meet the following assignment list of standards FCS 1 RNG Cryptographic operation FCS 1 1 RNG TSF shall perform random number generation in accordance with a specified cryptographic algorithm assignment cryptographic algorithm and cryptographic key sizes assignment cryptographic key sizes that meet the following assignment list of standards Application note These SFRs apply to the smart card 5 1 2 2 Key management FCS_CKM 1 Cryptographic key generation FCS CKM 1 1 The TSF shall generate cryptographic keys in accordance with a specified cryptographic key generation algorithm assignment cryptographic key generation algorithm and specified cryptographic key sizes assignment cryptographic key sizes that meet the following assignment list of standards Application note This SFR applies to the smart card PP RECE V4 0 Page 36 51 08 12 2009 5 1 2 3 Key destruction FCS 4 Cryptographic key destruction FCS 4 1 The TSF shall destroy cryptographic keys in accordance with a specified cryptographic key destruction method assignm
51. the communicated data from modification and disclosure FTP_TRP 1 2 The TSF shall permit remote users to initiate communication via the trusted path FTP_TRP 1 3 The TSF shall require the use of the trusted path for initial user authentication and assignment other services for which trusted path is required Application note These SFRs apply to the smart card 5 1 7 Conclusion Application note Subjects objects operations security attributes are not defined in this PP because they are not used in the SFRs and the SARs The security target writer shall define these elements in case they are used in an SFR that has been added to the original set of SFRs defined in this PP PP V4 0 Page 40 51 08 12 2009 5 2 Exigences de s curit d assurance Le niveau des exigences d assurance de s curit est EAL augment de ADV_ARC 1 AVA_VAN 2 TDS 1 FSP 2 2 ASE_REQ 2 et ASE 1 5 3 Argumentaire des exigences de s curit 5 3 1 Objectifs 5 3 1 1 Objectifs de s curit pour la TOE O ROLE ADMIN Cet objectif est couvert par l exigence de s curit ENT SMR 2 Administrator role qui assure que l utilisateur humain doit tre affect un ou plusieurs r les d administrateur S curit R seaux et Audit et les fonctions de s curit affect s chaque r le sont isol es O CRYPTO Cet objectif est couvert par toutes les exigences concernant la gestion des cl s cryp
52. the functions Security Audit FAU_SAR 1 FAU_SAR 2 Security Audit Analysis FAU_SAA 1 Security Alarms FAU_ARP 1 to Audit Administrator FMT_MTD 1 Management of TSF data FMT_MTD 1 1 The TSF shall restrict the ability to selection change default query modify delete clear assignment other operations the assignment list of TSF data to Security Administrator FMT_SMF 1 Specification of Management Functions 5 1 1 The TSF shall be capable of performing the following management functions assignment list of management functions to be provided by the TSF Application note The editor of the Security Target that complies with this PP shall describe each management function and to which administrator this function is provided FMT_SMR 2 Administrator role Restrictions on security roles FMT_SMR 2 1 Administrator role The TSF shall maintain the roles Security Administrator role Network Administrator role Audit Administrator role PP RECE V4 0 Page 38 51 08 12 2009 FMT_SMR 2 2 Administrator role The TSF shall be able to associate users with roles FMT_SMR 2 3 Administrator role The TSF shall ensure that the conditions assignment conditions for the different roles are satisfied Application note The TOE administration is limited to the capabilities associated with an administrative role Application note These SFRs ap
53. tographiques et les op rations cryptographiques FCS COP 1 Data encryption decryption FCS COP 1 MAC generation FCS COP 1 Hashing FCS COP 1 RNG FCS_CKM 1 FCS_CKM 4 O ACCES ROBUSTE Cet objectif est couvert par FIA_UID 2 et FIA_UAU 2 qui exigent l identification et l authentification des Administrateurs R seaux S curit et Audit avant d effectuer toute op ration d administration De plus cet objectif est galement couvert par FMT_SMR 2 Administrator role qui demande le maintien des diff rents r les par la TOE suivant des conditions pr cises et par FIA AFL 1 qui limite le nombre de fausses authentifications de l administrateur avant de passer en mode r action O AUTHENTIFICATION ADMIN Cet objectif est couvert par FIA_UID 2 et UAU 2 qui exigent l identification et l authentification des Administrateurs R seaux S curit et Audit avant d effectuer toute op ration d administration Cet objectif est galement couvert par FMT_SMR 2 Administrator role qui demande le maintien des diff rents r les par la TOE suivant des conditions pr cises O MODE_REACTION Cet objectif est couvert par l xigence de s curit FAU ARP 1 qui alerte les TSF lors de d tection d une violation potentielle de la TOE afin de r agir et blocker l acc s la carte Cet objectif est galement couvert par les xigences de s curit GEN LEAU 2 1 GAR Jet STM 1 qui d tectent et enregistre des venement
54. u service et une perte financi re li e la r paration ou au remplacement du routeur M DYSFONCTION_ CARTE La carte puce li e au routeur ne fonctionne plus correctement soit cause d une panne ventuelle ou d un acte de malveillance d un utilisateur Ce qui peut compromettre les fonctions de s curit du routeur et une perte financi re li e la r paration ou au remplacement de la carte M OBSOLETE Le syst me d exploitation ou le logiciel du routeur ou de la carte puce ne sont plus au niveau pour assurer les fonctions exig es 3 2 3 Menaces li s aux actions illicites M UTIL_ ILLICITE Un op rateur en dehors des phases de contr le ou un utilisateur non autoris utilise le syst me cible notamment pour l acc s aux informations secr tes M ALTER_CLES Un attaquant parvient a modifier les cl s stock es dans la TOE M ALTER_LOGS Un attaquant parvient modifier les journaux d v nements stock s dans la TOE M ALTER TABLE DE _ ROUTAGE Un attaquant parvient modifier la table de routage stock e dans la TOE M ALTER_NSC Un attaquant parvient a modifier le num ro de s quence cryptographique stock sur la carte M ALTER_PAQUET_DE_ROUTAGE Un attaquant parvient a modifier les paquets de routage qui transitent entre les diff rents noeuds du r seau 3 2 4 Menaces li s a la compromission des fonctions M ADMIN_ERREUR Un administrateur peut commettre une fausse installation ou une fausse confi
55. udit records in the audit trail from unauthorised deletion FAU_STG 2 2 The TSF shall be able to detect unauthorised modifications to the stored audit records in the audit trail FAU_STG 2 3 The TSF shall ensure that assignment metric for saving audit records stored audit records will be maintained when the following conditions occur audit storage exhaustion failure and attack FPT_STM 1 Reliable time stamps 5 1 1 The TSF shall be able to provide reliable time stamps Application note These SFRs apply to the router and or the smart card components depending on the product s implementation 5 1 2 ESTER Router management 5 1 2 1 Cryptographic operations PP RECE V4 0 Page 35 51 08 12 2009 FCS 1 Data encryption decryption Cryptographic operation FCS_COP 1 1 Data encryption decryption The TSF shall perform data encryption decryption in accordance with a specified cryptographic algorithm assignment cryptographic algorithm and cryptographic key sizes assignment cryptographic key sizes that meet the following assignment list of standards FCS_COP 1 MAC generation Cryptographic operation FCS_COP 1 1 MAC generation The TSF shall perform MAC generation in accordance with a specified cryptographic algorithm assignment cryptographic algorithm and cryptographic key sizes assignment cryptographic key sizes that meet the following assignment list of s
56. vants Paquet de routage Les paquets OSPF de routage qui transitent entre les diff rents noeuds du r seau Ces paquets contiennent l information n cessaire dont le routeur besoin pour accomplir sa fonction de routage Localisation carte puce et routeur Protection int grit Table de routage La table de routage comporte des informations sur l aiguillage des messages afin d atteindre un quipement ou un r seau donn Localisation routeur et carte puce Protection int grit Cl s priv es Ensemble des cl s cryptographiques priv es utilis es par le plan de confiance pour assurer la communication s curis e entre la TOE et la station d administration Ces cl s permettent le d chiffrement et la cr ation de signature Localisation carte puce Protection int grit confidentialit Cl s publiques Ensemble des cl s cryptographiques publiques utilis es par le plan de confiance pour assurer la communication s curis e entre la TOE et la station d administration Ces cl s permettent le chiffrement et la v rification de signature Localisation routeur et carte puce Protection int grit Secrets Les cl s partag es les mots de passe et les PIN codes pour s identifier aupr s de la TOE et avoir acc s des fonctionnalit s sp cifiques administrateurs Localisation carte puce Protection int grit confidentialit Audits Les audits repr sentent les fichiers contenant les
Download Pdf Manuals
Related Search