SecOVID Reader III
Contents
1. Seite 7 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader III KAAN TriB nk Secrrity Target KOBI L I l Pia Die Verifikation einer Signatur der Firmware mit dem asymmetrischen Elliptischen Kurven Algorithmus ECDSA und einer Schl ssel L nge von 192 Bit garantiert die Integrit t und Authentizit t der Firmware beim Laden der Firmware in den Chipkartenleser Die Signatur Pr fung wird dabei innerhalb des EVG von dessen Firmware durchgef hrt Nur nach erfolgreicher Signatur Pr fung wird die neue Firmware aktiviert andernfalls wird sie abgewiesen Der Hersteller KOBIL Systems stellt ein Software Tool bereit das die bertragung der Firmware an den EVG vornimmt und nicht Teil des EVG ist Die sichere Generierung und Verwaltung der f r die Erzeugung der sicheren Signatur notwendigen Schl ssel werden durch den Hersteller KOBIL Systems gew hrleistet Der Hersteller garantiert dass jede neue Version des EVGs eine neue Versionsnummer erh lt und damit eindeutig identifizierbar ist Wird eine neue unbest tigte Firmware eingespielt so verliert die Best tigung ihre G ltigkeit Eine neue Firmware muss einem neuen Best tigungsverfahren unterzogen werden Die aktuell best tigten Versionen der Firmware und der Hardware des EVG sind auf den Webseiten der Bundesnetzagentur BNetzA unter http www bundesnetzagentur de f r den Benutzer abrufbar die zertifizierten Versionen beim Bundesamt f r Sicherheit in2. Signaturanwendungskomponenten nach 17 Abs 2 des Signaturgesetzes m ssen gew hrleisten dass 1 bei der Erzeugung einer qualifizierten elektronischen Signatur a d e Identifikationsdaten nicht preisgegeben und diese nur auf der jeweiligen sicheren Signaturerstellungseinheit gespeichert werden werden durch die folgenden Sicherheitsfunktionen abgedeckt SF CLMEM In diesem Dokument ist mit Speicherung der Identitifikationsdaten die dauerhafte Speicherung der Identifikationsdaten gemeint die ber den zur Verarbeitung unbedingt notwendigen Umfang hinausgeht Der zur Verarbeitung unbedingt notwendige Umfang ist der Zeitraum zwischen Eingabe der PIN ber die Tastatur und dem Senden des PIN Kommandos an die Chipkarte Seite 8 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOB l L I PAAR SF PINCMD e Die Anforderung aus 15 S gV 7 Abs 4 Sicherheitstechnische Ver nderungen an technischen Komponenten nach den Ab s tzen 1 bis 3 m ssen f r den Nutzer erkennbar werden werden durch die folgenden Sicherheitsfunktionen abgedeckt SF SEAL SF SECDOWN Seite 9 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOBI L I l VE 3 EVG Sicherheitsumgebung ASE_ENV 1 Dieses Kapitel beschreibt die S cherheitsaspekte der Umgebung in der der EVG eingesetzt wir
3. Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader Ill KAAN TriB nk Security Target Stand 10 11 2008 Version 1 13 KOBIL Systems GmbH Pfortenring 11 67547 Worms KOBIL I secure your identity Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader III KAAN TriB nk Security Target KOB l L i I N PAAR Inhalt 1 ST Einf hrung ASE UNT I een anne een aaa ae 3 bel O A ENUIKINO ie ee 3 2 OUES W een une ae ee 4 1 3 Postulat der bereinstimmung mit den CC esnnsssnnesnsnnennnnnnnnnnnn 5 2 EVG Beschrei ung ASE DES T een 6 3 EVG Sicherheitsumgebung ASE_ENV 1 zu 0220000200002020000nn0onnnnunnnnnnnn nun 10 9 1 ANNANN ee ee 10 92 Bedona ae rennen er 11 4 Sicherneltsziele ASE OBJ T unseren een 12 4 1 Sicherheitsziele f r den TOE EVG uuu0sseusssseeessesnnnennnnennnnnnneneeennnnnnn 12 4 2 Sicherheitsziele f r die Umgebung 02220000000sneesseneenssnnnensnnnnnnnnnnnennnnn 12 5 IT Sicherheitsanforderungen ASE_REQ 1 02u000200002a00nnanonnnnennnn 14 5 1 Funktionale Sicherheitsanforderungen an den TOE EVG 14 5 2 Anforderungen an die Vertrauensw rdigkeit des TOE EVG 20 9 3 Sicherheitsanforderungen an die IT Umgebung eeeeeee 21 6 EVG bersichtsspezifikation ASE_TSS 1 u 020000002000
4. 0n00nnnnnnnnnnnnn anne 22 6 1 EVG Sicherheitsfunktionen 22000002sssenssnsenssnnennnnnsnnnnnnsnnnnnnsnnnnnnnennnnnn 22 6 2 Ma nahmen zur Vertrauensw rdigkeit uueeeeesseeesssssnenssssnnensnnnnnennennnnn 24 7 PP Postulate ASE_PPC 1 u02u02200000n000000nunn nun nun un nnunnunn nun nun nun nunnunn nun 25 e EIKIALUNG AAA E een en ern E are T ns Hans A A ehet rien 25 8 1 Erkl rung der Sicherheitsziele us0ssseesssseessnnenssnnennnnennnnnennnnnenennnnnnnn 25 8 2 Erkl rung der Sicherheitsanforderungen eeeensseneneneenenenennennn 21 8 3 Erkl rung der EVG bersichtsspezifikation 20022000022neeennneeeeneeeenennn 35 8 4 Erkl rung der PP Postulate 2222000002200sseenssnsenenssnsennnnnnnsennnnsnnnennnnnnenn 38 9 Literaturverzeichnis zeensuasssinsnann nennen mann eae een ehnae nennen nennen gEenehnsehren enge 39 10 Abk rzungsverzeichnis 0022000000000an00nan0nn anno nnnnnnnnnnnnnnnnnnnnnnnnnn anne 41 Seite 2 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOBI L I N VER 1 ST Einf hrung ASE_INT 1 Der Evaluations Gegenstand ist das S gnatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader III und KAAN Tr B nk jeweils in der folgenden Version Hardware Version Platine KCT106r1 identisch bei allen
5. 26 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOB l L I N A Das Sicherheitsziel O STORE wirkt gegen Bedrohung T STORE T REVEAL l und T REVEAL2 da die nicht stattfindende dauerhafte Speicherung der Identifikationsdaten 1m EVG ein sp teres Auslesen derselben ausschlie t Das S cherheitsziel O MODIFY_DLD wirkt gegen Bedrohung T MODIFY l da keine unauthorisierte Ver nderung der Firmware in den EVG ber die Update Funktion eingebracht werden kann und der Benutzer gem OE USER RESP3 nur best tigte und zertifizierte Komponenten installiert Das Sicherheitsziel O MODIFY_SEAL wirkt gegen Bedrohung T MODIFY 2 da eine physikalische Manipulation am EVG f r den Benutzer sichtbar wird und es gem OE USER RESP4 in seiner Verantwortung liegt den EVG in diesem Fall nicht mehr zu benutzen Querverweise Bedrohungen Sicherheitsziele des EVG O REVEAL O MODE 0 STORE O MODIFY_DLD 0 MODIFY_SEAL T REVEALI V J O Y D o T A BE 2 BEER A BE BEE T STORE 1 zmory ne nn BET TO 3 1 29 HE EEE HE lo o Querverweise Annahmen Bedrohungen Sicherheitsziele der Umgebung a USER USER USER USER en Ei RESP1 RESP2 i Bis D e A USER RESPI V aus ns zi C e A USER RESP3 J Fo oo S S S A USER RESP4 J o F S S A USER RESP5 J o y F S A USER RESP6 J J y y F A USER RESP7 J o oo o S S Sra T REVEALI Jo o o o S S S o S o T RE
6. MSU 1 Pr fung der Handb cher Schwachstellenbewertung AVA SOF 1 St rke der EVG Sicherheitsfunktionen AVA VLA 1 Schwachstellenanalyse des Entwicklers Konfigurationsmanagement Entwicklung Handb cher Testen Dar ber hinaus werden aufgrund S gG S gV 6 7 die folgenden Anforderungen an die Vertrauensw rdigkeit des EVG gestellt ADO_DEL 2 Erkennung von Modifizierungen ersetzt ADO_DEL 1 ADV_IMP 1 Teilmenge der Implementierung der TSF ADV_LLD 1 Beschreibender Entwurf auf niedriger Ebene ALC_TAT 1 Klar festgelegte Entwicklungswerkzeuge AVA_MSU 3 Analysieren und Testen auf unsichere Zust nde ersetzt AVA_MSU e AVA_VLA 4 Hohe Widerstandsf higkeit ersetzt AVA_VLA I Seite 20 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Secrrity Target KOBI L I N En 5 3 Sicherheitsanforderungen an die IT Umgebung FDP_RIP 1_ SSEE Teilweiser Schutz bei erhalten gebliebenen Informationen Ist hierarchisch zu Keinen anderen Komponenten FDP_RIP 1_SSEE 1 Die SF der IT Umgebung SSEE m ssen sicherstellen da der fr here Informationsinhalt eines Betriebsmittels bei Wiederfreigabe eines Betriebsmittels von folgenden Objekten OB PIN Identifikationsdaten nicht verf gbar ist Abh ngiskeiten Keine Abh ngigkeiten Seite 21 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Secrrity Target KOBI L I N V
7. Signaturgesetzes 1 Sig ndG vom 04 01 2005 BGBl I S 2f 10 01 2005 Verordnung zur elektronischen Signatur Signaturverordnung SigV vom 16 11 2001 BGBl I S 3074ff 21 11 2001 Ge ndert durch Erstes Gesetz zur nderung des Signaturgesetzes 1 Sig ndG vom 04 01 2005 BGBl I S 2f 10 01 2005 CCID USB Implementors Forum Inc Device Working Group DWG Universal Serial Bus Device Class Specification for USB Chip Smart Card Interface Devices Revision 1 00 March 20 2001 http www usb org Seite 39 41 Signaturverordnung Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOB l L I rAMA A So kd 10 m m pd pd N p el el 13 r p p k l 19 20 Anmerkung die neuere Version 1 1 unterscheidet sich nur marginal von Version 1 0 bei Fehlercodes Um die R ckw rts Kompatibilit t zu erhalten arbeiten wir mit Version 1 0 BSI Siegel Bundesamt f r Sicherheit in der Informationstechnik BSI Technische Leitlinie Produkte f r die materielle Sicherheit BSI 7500 BSI TL 03400 November 2006 EMV 2000 EMVCo LLC EMV Integrated Circuit Card Specifications for Payment Systems Version 4 0 2000 http www emvco org Anmerkung die neue Version 4 1 wird weltweit noch nicht genutzt Daher verwenden wir Version 4 0 Common Criteria Gemeinsame Kriterien f r die Pr fung und Bewertung der Sicherheit vo
8. Zeitraums festgelegt durch die Verfeinerung gespeichert sind Seite 30 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOB l L I l FE Das Anforderungselement FCS_COP 1_ECDSA 1 tr gt zum Sicherheitsziel O MODIFY_ DLD bei da der kryptographische Mechanismus ECDSA Signatur mit 192 Bit Schl ssel L nge authorisierte Software Aktualisierungen erkennbar macht und somit ein gesichertes Software Update erm glicht Das Anforderungselement FCS_COP 1_SHA 1 tr gt zum Sicherheitsziel O MODIFY_ DLD bei da der kryptographische Mechanismus SHA 1 authorisierte Software Aktualisierungen erkennbar macht und somit ein gesichertes Software Update erm glicht Das Anforderungselement FPT_PHP 3 1 tr gt zum Sicherheitsziel O MODIFY_DLD bei da als nicht authentisch betrachtete Software Updates abgelehnt werden Das Anforderungselement ACM_CAP 3 tr gt zum Sicherheitsziel O MODIFY_DLD bei da die Firmware beim Hersteller einem Konfigurationsmanagement unterliegt und eindeutig gekennzeichnet ist Das Anforderungselement ADO_DEL 2 tr gt zum Sicherheitsziel O MODIFY_DLD bei da der Hersteller daf r sorgt dass die ausgelieferte Firmware authentisch ist Das Anforderungselement ALC_DVS 1 tr gt zum Sicherheitsziel O MODIFY_DLD bei da der Hersteller f r die Sicherheit in der Entwicklungsumgebung sorgt Das Anforderungselement FPT_PHP 1 1 tr gt zum Sicherheitsziel O MO
9. der Informationstechnik BSI unter http www bsi bund de Es obliegt der Verantwortung des Benutzers sich hier vor der Installation einer neuen Firmware davon zu berzeugen ob eine neu zu installierende Firmware Version nach SigG S gV 6 7 best tigt und nach Common Criteria 11 zertifiziert ist Die entsprechenden Downloads stellt der Hersteller KOBIL Systems auf seinen Webseiten unter http www kobil de deutschsprachig bzw http www kobil com englischsprachig bereit Den Benutzern wird empfohlen diese Webseiten regelm ig zu besuchen um s ch ber Aktualisierungen zu informieren Die aktuell im EVG befindliche Firmware Version und der Typ EMV Tr CAP Reader KAAN Tr Bank und SecOVID Reader III werden beim Einschalten am LC Display des EVG angezeigt die Hardware Version ist auf dem Typschild des EVG aufgebracht Das Geh use ist mittels einer f lschungssicheren durch das BSI zertifizierten Versiegelung verschlossen welche sich bei Entfernung zerst rt und damit nur einmal verwendbar ist Der EVG ist ausschliesslich f r den Einsatz im nicht ffentlichen oder privaten Bereich konzipiert Daher wird auf eine verschl sselte bertragung der Identifikationsdaten zwischen Chipkartenterminal und Chipkarte verzichtet In Abschnitt 6 sind die einzelnen Sicherheitsfunktionen spezifiziert welche die folgenden Anforderungen aus 15 S gV 7 Abs 2 und 4 wie folgt abdecken e Die Anforderungen aus 15 S gV 7 Abs 2
10. drei Ger ten Art kelnummern aufgedruckt auf dem Typschild HCPNCKS AO3 f r EMV TriCAP Reader HCPNCKS BOS f r SecOVID Reader Ill HCPNCKS COS f r KAAN Tr B nk Firmware Versionen 69 18 EMV TriCAP f r EMV TriCAP Reader 69 18 SecOVID III f r SecOVID Reader III 68 17 KAAN TriB nk f r KAAN TriB nk Die Kurznamen werden am Display des EVG angezeigt die Handelsnamen stehen in Klammern Bedienungsanleitung Versionen KOBIL EMV TriCAP Reader Manual Dokumenten ID DB22 DEEN Version 2 10 vom 21 5 2008 f r EMV Tr iCAP Reader KOBIL SecOVID Reader II Manual Dokumenten ID DB21 DEEN I Version 2 16 vom 21 5 2008 f r SecOV ID Reader III KAAN Tr B nk Manual Dokumenten ID DB25 DE l Version 1 17 vom 21 5 2008 f r KAAN Tr B nk in Verbindung mit KAAN Tr B nk Beipackzettel Version 1 19 vom 10 11 2008 Developer Notes KAAN Tr B nk EMV Tr CAP Reader SecOVID Reader Ill Version 1 0 vom 23 10 2008 Die Versionsangaben sind in den Bedienungsanleitungen abgedruckt Die Hardware Version und die Artiel Nummer sind von aussen auf dem EVG f r den Benutzer ersichtlich auf dem Typschild angegeben Die drei Chipkartenterminals bestehen aus der identischen Hardware verf gen jedoch ber unterschiedliche Firmware Auspr gungen die aus zwei St nden des gleichen Quellcode Stammes 68 17 f r KAAN Tr Bank und 69 18 f r EMV TriCAP Reader sowie SecOVID Reader III erzeugt werden jeweils mit verschiedenen Compile Zielen
11. m Online Betrieb SecOVID Reader III Erzeugung von Einmal Passw rtern One Time Password OTP mit Hilfe von Chipkarten nach dem KOBIL SecOVID Verfahren 21 f r alle Arten von Benutzer Authentisierungen KAAN TriB nk Erzeugung von Einmal Passw rtern gem dem SmartITAN SmartIAN Verfahren 22 f r sicheres Online Banking sowie das Auslesen der GeldKarte Ausserdem auch die Secoder Funktion gem 23 f r den Zugriff auf die ZKA SECCOS Chipkarte im Online Betrieb Die Funktionalit t m Offline Betrieb ist nicht Bestandteil dieser Evaluierung Die Sicherheitsfunktionen sind in allen drei Bauformen in gleicher Weise umgesetzt und allesamt im Offline Teil realisiert e Sichere Entgegennahme der Identifikationsdaten PIN vom Benutzer und Weitergabe derselben ausschlie lich an die Sichere S gnatur Erstellungseinheit SSEE e Anzeige des Betriebsmodus der sicheren PIN Eingabe e Sicherer Software Download f r Aktualisierungen des EVG e Erkennbarkeit sicherheitstechnischer Ver nderungen am EVG Es werden alle g ngigen asynchronen Prozessor Chipkarten nach ISO IEC 7816 4 und EMV 2000 10 unterst tzt Synchrone Speicherkarten werden nicht unterst tzt Die universellen Chipkartenterminals unterst tzen eine gro e Anzahl von Betriebssystemen die Microsoft Windows Treiber sind WHQL zertifiziert und entsprechen internationalen Standards Neben der qualifizierten Signatur werden viele weitere Chipkarten basierte Anwendungen un
12. nicht ffentlichen oder privaten Bereich eingesetzt werden OE USER RESP6 F r die qualifizierte Signatur ist der EVG nur in Verbindung mit Signatur Chipkarten Sichere S gnatur Erstellungseinheit SSEE zu verwenden die den Anforderungen des SigG SigV 6 7 entsprechen OE USER RESP F r die qualifizierte Signatur ist der EVG nur in Verbindung mit S gnatur Anwendungs komponenten zu verwenden die den Anforderungen des S gG S gV 6 7 entsprechen Seite 13 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Secrrity Target KOBI L i I N En 5 IT Sicherheitsanforderungen ASE_REQ 1 5 1 Funktionale Sicherheitsanforderungen an den TOE EVG Die Mindestst rkestufe der Funktionen ist SOF hoch Die Bewertung der algor thmischen St rke der kryptographischen Operationen ist nicht Gegenstand der Evaluierung FCS_COP 1 ECDSA Kryptographischer Betrieb Ist hierarchisch zu Keinen anderen Komponenten FCS_COP 1_ECDSA 1 Kryptographischer Betrieb Die TSF m ssen die Entschl sselung asymmetrisch mit dem ffentlichen Schl ssel als Bestandteil der Verifikation der Firmware Signatur gem eines spezifizierten kryptographischen Algorithmus nach ECDSA basierend auf dem Diskreten Logarithmus Problem in der Gruppe E Fp gem SigG Alg 12 Kap 3 2 a und kryptographischer Schl ssell ngen von 192 bit Parameter p und q die den folgenden Normen FIPS 186 2
13. 1 1 ST Identifikation Titel der Sicherheitsvorgaben S gnatur Modul f r die KOBIL Chipkartenterminals EMV Tr CAP Reader SecOVID Reader III KAAN Tr B nk Security Target Version 1 13 Ausgabedatum 10 11 2008 Autor Markus Tak KOBIL Systems GmbH Seite 3 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Secrurity Target KOBI L I N VER Best tigungskennung BS1 02096 TE Zertifizierungskennung BSI DSZ CC 0480 Es liegen die Common Criteria in Version 2 3 zugrunde 1 2 ST bersicht Die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader HI und KAAN Tr B nk s nd universelle Chipkartenleseger te mit Tastatur zur sicheren PIN Eingabe sowie einer updatef higen Firmware Der Anschlu erfolgt ber eine f r alle Modelle identische Docking Station an der USB Schnittstelle des Host PCs Online Betrieb Die Docking Station ist kein Bestandteil des EVG und erbringt selbst keine eigene Sicherheitsleistungen Die drei Bauformen unterscheiden sich nur im abnehmbaren Offline Teil der auch ohne Anschlu an den Host PC betrieben werden kann Offline Betrieb hierbei werden die Ger te von Batterien mit Strom versorgt und k nnen mit Hilfe der eingelegten Chipkarten zus tzliche Funktionen bereitstellen EMV TriCAP Reader Erzeugung von Kreditkarten Authentifikationsdaten gem EMV CAPI2O zum sicheren Bezahlen und Online Banking im Internet sowohl m Offline als auch
14. 1 25 ISO IEC 10118 3 International Organization for Standardization ISO and International Electrotechnical Commission IEC Information technology Security techniques Hash functions Part 3 Dedicated hash functions 2004 02 24 EMV CAP Mastercard International Chip Authentication Programme Functional Architecture September 2004 Errata from February 2005 Seite 40 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOB l L I N A SecOVID One Time Password Authentication System 21 KOBIL SecOVID KOBIL Systems GmbH www kobil com SecOVID 22 SmartTAN SRC Security Research amp Consulting Schnittstellenspezifikation f r die ZKA Chipkarte Hand Held Device HHD zur TAN Erzeugung Version 1 3 vom 26 10 2007 SRC Security Research amp Consulting Secoder Connected Mode Reader Applications Version 1 2 vom 21 12 2007 Version 1 vom 5 11 2004 25 Remote Procedure KOBIL Systems GmbH Projekt EMV CAP Leser SecOVID Reader Plus Nachfolger Systemspezifikation Abschnitte 4 2 und 4 3 Version 0 3 vom 5 9 2005 10 Abk rzungsverzeichnis CC CCID CT CT API ECDSA EMV EVG HBCI PC LC OCF PC SC PIN SHA I SigG SigV SPI SSEE VPN WHQL Common Criteria Integrated Circuit s Cards Interface Device Card Terminal Card Terminal Application Programming Interface Elliptic Curve Digital Signature Algorithm Europay Mast
15. 17 ISO IEC 15946 2 18 ANSI X9 62 14 und IEEE 1363 15 entsprechen durchf hren Abh ngigkeiten IFDP_ITC 1 Import von Benutzerdaten ohne Sicherheitsattribute oder FDP_ITC 2 Import von Benutzerdaten mit Sicherheitsattributen oder FCS_CKM 1 Kryptographische Schl sselgenerierung FCS_CKM 4 Zerst rung des kryptographischen Schl ssels FMT_MSA 2 Sichere Sicherheitsattribute FCS_COP 1 SHA Kryptographischer Betrieb Ist hierarchisch zu Keinen anderen Komponenten FCS_COP 1_SHA 1 Kryptographischer Betrieb Die TSF m ssen die Hash Berechnung als Bestandteil der Verifikation der Firmware Signatur gem eines spezifizierten kryptographischen Algorithmus nach SHA 1 gem SigG Alg 12 Kap 2 und kryptographischer Schl ssell ngen welche hierbei nicht relevant sind die den folgenden Normen FIPS 180 2 16 und ISO IEC 10118 3 19 entsprechen durchf hren Abh ngigkeiten FDP_ITC 1 Import von Benutzerdaten ohne Sicherheitsattribute oder FDP_ITC 2 Import von Benutzerdaten mit Sicherheitsattributen oder FCS_CKM 1 Kryptographische Schl sselgenerierung FCS_CKM 4 Zerst rung des kryptographischen Schl ssels FMT_MSA 2 Sichere Sicherheitsattribute Seite 14 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOB l L I v FDP_ACC 1 Teilweise Zugriffskontrolle Ist hierarchisch zu Keinen anderen Komponenten FDP_ACC 1 1 Die TSF m ssen die Chipkart
16. 1_SHA 1 wird durch SF SECDOWN umgesetzt da der kryptographische Mechanismus SHA 1 zur Hashwertbildung hier implementiert ist Die Sicherheitsanforderung FPT_PHP 3 1 wird durch SF SECDOWN umgesetzt da als nicht authentisch erkannte Software Aktualisierungen an dieser Stelle abgelehnt werden und wieder in den Bootloader Modus verzweigt wird Die Sicherheitsanforderung FPT_PHP 1 1 wird durch SF SEAL umgesetzt da das ffnen des Geh uses als materielle Manipulation am EVG durch Besch digung von zertifizierten Sicherheitsetiketten Verfeinerung erkannt wird Die Sicherheitsanforderung FPT_PHP 1 2 wird durch SF SEAL umgesetzt da eine besch digte Versiegelung f r den Benutzer erkennbar ist Anforderungen und Ma nahmen zur Vertrauensw rdigkeit Die nachfolgend dargestellten Ma nahmen zur Vertrauensw rdigkeit entsprechen den Anforderungen zur Vertrauensw rdigkeit Alle Anforderungen zur Vertrauensw rdigkeit werden durch die vorhandenen Ma nahmen zur Vertrauensw rdigkeit die sich gegenseitig zu einem s cheren Gesamtsystem erg nzen abgedeckt Ma nahme zur Anforderungen Kommentar Vertrauens zurVertrauens w rdigkeit w rdigkeit management ACM_SCP 1 EVG CM Umfang Auslieferung und ADO_DEL 2 Erkennung von Modifizierungen Betrieb ADO_IGS 1 Installat ions Generierungs und Anlaufprozeduren SM3 Informelle funktionale ADV_FSP l Informelle funktionale Spezifikation Spezifikation Sicherheitsspezifischer ADV_H
17. BI L I l PAA Die Verifikation einer Signatur der Firmware mit dem asymmetrischen ECDSA Algorithmus und einer Bitl nge von 192 garantiert die Integrit t und Authentizit t der Firmware beim Laden einer neuen Firmware in den Chipkartenleser Der Hash Wert ber die neu zu ladende Firmware wird basierend auf dem Algorithmus SHA 1 mit einer L nge von 160 Bit ermittelt Die Verifikation der Integrit t und Authentizit t erfolgt im EVG durch Vergleich des ermittelten Hash Wertes und des Hash Wertes als Bestandteil der entschl sselten Signatur Der ffentliche Schl ssel ist hierf r im EVG gespeichert SF SEAL Das Geh use des EVG ist durch eine Versiegelung so verschlossen dass es ohne eine Besch digung der Versiegelung nicht ge ffnet werden kann Die Versiegelung ist so beschaffen dass eine Abl sung vom Untergrund also vom Geh use nicht ohne erkennbare Besch digung der Versiegelung m glich ist Hersteller der Siegel Firma Trautwein Security Fabrikat S coTra Die Siegel sind als Sicherheitsetiketten evaluiert durch das BSI nach Sicherheitsstufe 2 Nachzulesen n 9 Kap 5 4 Der Kunde wird n der Benutzerdokumentation belehrt die Unversehrtheit der Versiegelung vor jeder PIN Eingabe zu kontrollieren und das Ger t m Falle einer besch digten Versiegelung nicht weiter zu benutzen Durch organisatorische und vertragliche Massnahmen ist sichergestellt dass die Siegel nur im Rahmen der regul ren Produktion von KOBI
18. DIFY_SEAL bei da materielle Manipulationen Offnen des Geh uses an der Versiegelung des EVG durch Besch digung derselben erkannt werden Das Anforderungselement FPT_PHP 1 2 tr gt zum Sicherheitsziel O MODIFY_SEAL bei da eine besch digte Versiegelung f r den Benutzer erkennbar ist Das Anforderungselement ACM_CAP 3 tr gt zum Sicherheitsziel O MODIFY_SEAL bei da die Versiegelung beim Hersteller des EVG der Lagerverwaltung unterliegt die den Bestand genau kontrolliert Das Anforderungselement ADO_DEL 2 tr gt zum Sicherheitsziel O MODIFY_SEAL bei da der Hersteller daf r sorgt dass der versiegelte EVG bei der Auslieferung nicht materiell manipuliert ist Das Anforderungselement FDP_RIP 1_SSEE 1 tr gt zum Sicherheitsziel OE USER RESP6 bei da die PIN OB PIN nach der Verarbeitung in der SSEE gel scht wird Seite 31 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOBI L I N En Abh ngiskeiten der funktionalen Sicherheitsanforderungen Sicherheits Anforderungen Abh ngigkeiten SFR1 FCS_COP l1_ECDSA IFDP_ITC 1 oder nicht zutreffend FDP_ITC 2 oder nicht zutreffend FCS_CKM l nicht zutreffend FCS_CKM 4 nicht zutreffend FMT_MSA 2 SFR2 FCS_COP 1_SHA IFDP_ITC 1 oder nicht zutreffend FDP_ITC 2 oder nicht zutreffend FCS_CKM l nicht zutreffend FCS_CKM 4 nicht zutreffend FMT_MSA 2 sm FDP_ACC 1 FDP_ACF 1 SFRA FMT ee 3 e zutreffend Keine i O Se pma
19. ER 6 EVG bersichtsspezifikation ASE_TSS 1 6 1 EVG Sicherheitsfunktionen SF PINCMD Die Firmware im Leseger t pr ft die Kommandos vom PC an den Chipkartenleser anhand ihrer Kommandostruktur gem CCID 8 bzw CT BCS 2 nachdem diese von der USB Docking Station gem 24 und 25 empfangen wurden Werden diese Kommandos als solche zum Verifizieren bzw Modifizieren der PIN erkannt und ist ein an d e Chipkarte weiterzuleitendes Kommando mit einem der folgenden Instruction Bytes enthalten e VERIFY ISO IEC 7816 4 INS 0x20 e CHANGE REFERENCE DATA ISO IEC 7816 8 INS 0x24 e ENABLE VERIFICATION REQUIR EMENT ISO IEC 7816 8 INS 0x28 e DISABLE VERIFICATION REQUIREMENT ISO IEC 7816 8 INS 0x26 e RESET RETRY COUNTER ISO IEC 7816 8 INS 0x2C e UNBLOCK APPLICATION EMV2000 INS 0x18 wird in den Modus zur sicheren Erfassung der PIN ber das integrierte Keypad geschaltet Die Sicherheitsfunktion SF PINCMD erkennt die von der Host Software bermittelten Kommandos zur PIN Eingabe und f gt die ber das Keypad eingegebenen Nummern als PIN an die entsprechenden Stellen des Kommandos an die Chipkarte ein Es findet keinerlei R ckmeldung ber die eingegebene PIN an den PC statt Die Eingabe wird durch Sternchen am LC Display des EVG angezeigt Der Benutzer kann die Eingabe der PIN mit der roten Abbruchtaste jederzeit abbrechen wodurch die bertragung der PIN zur Chipkarte verhindert wird Der Benutzer muss die Eingab
20. Identifikations daten nicht verf gbar ist Verfeinerung Eine Speicheraufbereitung des Buffers zur bertragung der PIN OB PIN vom Keypad zur Chipkarte erfolgt im Rahmen der sicheren PIN Eingabe SF PINCMD nach bertragung des Kommandos an die Chipkarte auch bei Kommunikationsfehlern oder zwischenzeitlich gezogener Karte bei Abbruch durch den Anwender und bei einem Timeout w hrend der PIN Eingabe Abh ngigkeiten Keine Abh ngigkeiten FTP_TRP 1 Vertrauensw rdiger Pfad Ist hierarchisch zu Keinen anderen Komponenten FTP_TRP 1 1 Die TSF m ssen einen Kommunikationspfad zwischen sich und lokalen Benutzern bereitstellen der logisch von den anderen Kommunikationspfaden getrennt ist und eine gesicherte Identifikation seiner Endpunkte Verfeinerung durch eine optische Anzeige am LC Display sowie den Schutz der Kommunikationsdaten vor Modifizierung oder Preisgabe bereitstellt FTP_TRP 1 2 Die TSF m ssen den TSF erlauben eine Kommunikation ber den vertrauensw rdigen Pfad einzuleiten FTP_TRP 1 3 Die TSF m ssen den Gebrauch des vertrauensw rdigen Pfads f r die sichere PIN Eingabe erfordern Abh ngiskeiten Keine Abh ngigkeiten Seite 17 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Secrrity Target KOBI L I N VER FPT_PHP 1 Passive Erkennung materieller Angriffe Ist hierarchisch zu Keinen anderen Komponenten FPT_PHP 1 1 Die TSF m ssen mate
21. L Chipkartenterminals eingesetzt werden und Dritten nicht zur Verf gung stehen Die Sicherheitsfunktion SF SECDOWN beruht auf kryptographischen Wahrscheinlichkeits Mechanismen SF SEAL basiert auf einem Mechanismus der mechanischen Versiegelung die hohem Angriffspotential w dersteht Seite 23 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Secrurity Target KOBI L I Ae 6 2 Ma nahmen zur Vertrauensw rdigkeit Die Ma nahmen zur Vertrauensw rdigkeit werden durch folgende Dokumente des Herstellers reflektiert e Konfigurationsmanagement e Auslieferung und Betrieb e Entwicklung o I nformelle funktionale Spezifikation o Sicherheitsspezifischer Entwurf auf hoher Ebene o Darstellung der Implementierung o Entwurf auf niedriger Ebene o Informeller Nachweis der bereinstimmung Benutzerhandbuch Lebenszyklus Unterst tzung Identifikation der S cherheitsma nahmen Testdokumentation Schwachstellenbewertung Seite 24 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Secrrity Target KOB l L i I N AR 7 PP Postulate ASE_PPC 1 Es wird keine Erf llung eines PP durch die vorliegenden Sicherheitsvorgaben angestrebt 8 Erkl rung 8 1 Erkl rung der Sicherheitsziele Zusammenh nge Annahmen Bedrohungen Sicherheitsziele Sicherheitsziele BEN itszi Al A USER RESPI OE USER RESPI Durch die Formulierung der Ann
22. LD 2 Sicherheitsspezifischer Entwurf auf hoher Entwurf auf hoher Ebene Ebene Darstellung der ADV_IMP 1 Teilmenge der Implementierung der TSF Seite 37 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOBI L I vn Implementierung SM6 EEE Ebene EN der bereinstimmung bereinstimmung SMS Bedienungsanleitung AGD_ADM Il Systemverwalterhandbuch AGD_USR 1 Benutzerhandbuch M9 Lebenszyklus ALC_DVS Identifikation der Sicherheitsma nahmen Unterst tzung ALC_TAT 1 Klar festgelegte Entwicklungswerkzeuge S Identifikation der S cherheitsma nahmen SM10 Testdokumentation ATE_COV 2 Analyse der Testabdeckung ATE_DPT l Testen Entwurf auf hoher Ebene ATE_FUN Funktionales Testen ATE_IND 2 Unabh ngiges Testen Stichprobenartig SM11 Schwachstellen AVA_MSU 3 Analys eren und Testen auf unsichere bewertung Zust nde AVA_SOF 1l St rke der EVG Sicherheitsfunktionen AVA_VLA 4 Hohe Widerstandsf higkeit 8 4 Erkl rung der PP Postulate Es existiert derzeit kein Protection Profile f r Chipkartenleser zum Einsatz im Rahmen s gG SigV Seite 38 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Secrrity Target KOBI L I VER 9 Literaturverzeichnis Referenz Beschreibung 1 CT API Deutsche Telekom AG PZ Telesec GMD Darmstadt T V Informationstechnik GmbH TeleTrusT Deu
23. VEAL 2 JY o o o o r STORE T MODIFY1 BEE BEE Ze HE HE S T MODIFY 2 SFS S S 8 2 Erkl rung der Sicherheitsanforderungen Die Mindestst rke der Funktionen SOF hoch wird von S gV 7 Anhang 1 Ziffer 1 2 gefordert und ist somit angemessen und konsistent mit den Sicherheitszielen des EVGs Die in FCS_COP l_ECDSA und FCS_COP l_SHA verwendeten Parameter und Schl ssell ngen entsprechen der Mechanismen St rke SOF hoch wie S gG Alg 12 Kap 2 und 3 2 a zu entnehmen ist Seite 27 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Secrrity Target KOBI L I l PAA Die Mindestst rke der Funktionen SOF hoch ist den Anforderungen an die Vertrauensw rdigkeit angemessen was sich in den ber EAL3 hinausgehenden Anforderungen e ADO_DEL 2 Erkennung von Modifizierungen ADV_IMP Teilmenge der Implementierung der TSF ADV_LLD Beschreibender Entwurf auf niedriger Ebene ALC_TAT 1 Klar festgelegte Entwicklungswerkzeuge AVA_MSU 3 Analysieren und Testen auf unsichere Zust nde e AVA_VLA 4 Hohe Widerstandsf higkeit widerspiegelt Die Menge der gew hlten Sicherheitsanforderungen bilden ein sich gegenseitig unterst tzendes und in sich konsistentes Ganzes da alle relevanten Abh ngigkeiten ber cksichtigt werden Zusammenh nge IT Sicherheitsziele Sicherheitsanforderungen Sicherheits Ziele Sicherheits Kommentar anforderungen O1 O REVEAL FDP
24. _ACC 1 Die Ablaufsteuerung zur Sicheren FDP_ACEF PIN Eingabe garantiert dass nur zugelassene Kommandos an die Chipkarte weitergeleitet werden und FTP_TRP l verhindert damit dass der Benutzer FDP_UCT 1 die PIN eingibt w hrend die Tastatur FDP_ETC 1 vom Host auslesbar ist Die PIN wird ber die einzig verf g bare Eingabeschnittstelle zum Benut zer die Tastatur entgegengenom men und die Chipkartenleser Zugriffspolitik durchgesetzt 02 O MODE FTP_TRP 1 Das LC Display des EVG zeigt den Modus der Sicheren PIN Eingabe an 03 O STORE FDP_RIP Eine Speicheraufbereitung des Buffers zur bertragung der PIN vom Keypad zur Chipkarte erfolgt m Rahmen der sicheren PIN Eingabe SF PINCMD nach bertragung des Kommandos an die Chipkarte auch bei Kommunikationsfehlern oder zwischenzeitlich gezogener Karte bei Abbruch durch den Anwender und bei einem Timeout w hrend der PIN Eingabe O MODIFY_DLD FCS_COP l1_ECDSA Die Verifikation einer Signatur der FCS_COP 1_SHA Firmware mit dem Hash Algorithmus SHA I1 und dem asymmetrischen ECDSA Algorithmus mit einer Bitl nge von 192 garantiert die Integrit t und Authentizit t der Firmware beim Laden der Firmware Seite 28 41 28 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOBI L I v in den Chipkartenleser FPT_PHP 3 Die Absicherung des Firmware Downloads garantiert dass nur authen
25. ach Teil 2 und in ihren Anforderungen zur Vertrauensw rdigkeit konform zu Teil 3 der Common Criteria Version 2 3 EAL3 mit Zusatz ADO_DEL2 ADV_IMP I ADV_LLD 1l ALC_TAT l AVA_MSU 3 AVA_VLA 4 Die Sicherheitsfunktionsst rke ist mit SOF hoch eingestuft Seite 5 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOB l L I l PAA 2 EVG Beschreibung ASE_DES 1 Die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II und KAAN Tr B nk im folgenden EVG genannt stellen universelle Chipkartenleseger te dar die Prozessorchipkarten nach ISO IEC 7816 4 und EMV 2000 10 ber verschiedene Applikationsschnittstellen CT API 1 PC SC 3 OCF 13 verarbeiten k nnen Die Ger te arbeiten mit allen Chipkarten Daten bertragungsprotokollen gem ISO IEC 7816 4 T 0 T 1 Die Daten bertragungsprotokolle f r Speicherchipkarten I2C 2 Wire 3 Wire Protokoll werden nicht unterst tzt Die Ger te verf gen ber ein Keypad mit S l kontasten um eine sichere PIN Eingabe zu garantieren Es besitzt die numerischen Tasten 0 bis 9 sowie die Tasten Korrektur gelb Best tigung gr n und Abbruch rot eine Stern Taste eine Funktionstaste F und eine Punkt Taste Desweiteren verf gen die Ger te ein LC Display mit 2 Zeilen zu je 16 alphanumerischen Zeichen Im Online Betrieb ist der EVG b
26. ahmen und Ziele ist die Korrespondenz gegeben A USER RESP2 OE USER RESP2 Durch die Formulierung der Annahmen und Ziele ist die Korrespondenz gegeben A USER RESP3 OE USER RESP3 Durch die Formulierung der Annahmen und Ziele ist die Korrespondenz gegeben A USER RESPS5 OE USER RESP5 Durch die Formulierung der Annahmen und Ziele ist die Korrespondenz gegeben A USER RESP6 OE USER RESP6 Durch die Formulierung der Annahmen und Ziele ist die Korrespondenz gegeben A USER RESP7 OE USER RESP7 Durch die Formulierung der Annahmen und Ziele ist die Korrespondenz gegeben A4 A USER RESP4 OE USER RESP4 Durch die Formulierung der Annahmen und Ziele ist die Korrespondenz gegeben Seite 25 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Secrrity Target KOBI L I N VER _ Bedrohung Sicherheitsziele T1 T REVEAL O REVEAL Der EVG garantiert dass die PIN den Leser nicht in Richtung Host verl sst sie O STORE wird n cht dauerhaft im EVG gespeichert T2 T REVEAL 2 O MODE Der EVG zeigt den Modus der sicheren PIN Eingabe durch das LC Display eindeutig an O REVEAL Der EVG garantiert dass die PIN den Leser nicht in Richtung Host verl sst O STORE diese wird im EVG nicht dauerhaft gespeichert und ist somit nicht ausserhalb der SSEE verf gbar OE USER RESP2 Der Endawender muss w hrend der PIN Eingabe mittels der LC Displays verifizieren dass sich der Leser im Mo
27. bracht werden FCS_COP 1_SHA FDP_ITC 1 oder FDP_ITC 2 e Import von Benutzerdaten ohne mit Sicherheitsattribute n e Keine Abh ngigkeit da der Hash Algorithmus keine Schl ssel verwendet FCS_CKM e Kryptographische Schl sselgenerierung e Keine Abh ngigkeit da der Hash Algorithmus keine Schl ssel verwendet FCS_CKM 4 e Zerst rung des kryptographischen Schl ssels e Keine Abh ngigkeit da der Hash Algorithmus keine Schl ssel verwendet FMT_MSA 2 e Sichere Sicherheitsattribute e Keine Abh ngigkeit da der Hash Algorithmus keine Schl ssel verwendet FDP_ACC 1 FDP_ACEF 1 e Zugriffskontrolle basierend auf Sicherheitsattributen e Siehe FDP_ACF 1 FDP_ACF 1 FDP_ACC 1 e Teilweise Zugriffskontrolle e Siehe FDP_ACC 1 FMT_MSA 3 e Initialisierung statischer Attribute e An die In tialisierung statischer Attribute ist keine Anforderung zu stellen weil die Chipkartenleser Zugriffspolitik auf keinen Attributen basiert Seite 33 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOB l L I PER SFR5 FDP_RIP 1 Keine Abh ngigkeiten SFR6 FTP_TRP 1 Keine Abh ngigkeiten SFR7 FPT_PHP 1 Keine Abh ngigkeiten SFR8 FPT_PHP 3 Keine Abh ngigkeiten SFR9 FDP_ETC 1 FDP_ACC 1 e Teilweise Zugriffskontrolle e Siehe FDP_ACC 1 SFR10 FDP_UCT 1 FDP_ACC 1 e Teilweise Zugriffskontrolle e Siehe FDP_ACC 1 FTP_TRP 1 e Vertrauensw rdiger Pfad e Sieh
28. bzw bei Nicht Unterst tzung mit einer geeigneten Fehlermeldung abzulehnen e VERIFY ISO IEC 7816 4 INS 0x20 e CHANGE REFERENCE DATA ISO IEC 7816 8 INS 0x24 e ENABLE VERIFICATION REQUIR EMENT ISO IEC 7816 8 INS 0x28 e DISABLE VERIFICATION REQUIREMENT ISO IEC 7816 8 INS 0x26 e RESET RETRY COUNTER ISO IEC 7816 8 INS 0x 2C e UNBLOCK APPLICATION EMV2000 INS 0x18 Die Auslieferung der KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II und KAAN TriB nk geschieht auf zwei Wegen im Urzustand mit einer darin enthaltenen Firmware die bei der Produktion eingebracht wird und die M glichkeit zum Update der Firmware durch einen gesicherten Download um f r zuk nftige Anforderungen vorbereitet zu sein Zum Lieferumfang der KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II und KAAN Tr B nk geh ren im Auslieferungsweg Urzustand neben dem Chipkartenterminal mit vorinstallierter Firmware Teil des EVG noch eine gedruckte Benutzeranleitung Teil des EVG und eine CD ROM mit Treibern und Software zum Auslesen der Firmware Version kein Teil des EVG sowie die USB Docking Station kein Teil des EVG In Auslieferungsweg Download besteht der Lieferumfang aus der Firmware Teil des EVG einem Software Tool zum Laden der Firmware in den EVG kein Teil des EVG Die auf der CD ROM enthaltenen Treiber und Software kein Teil des EVG ist ebenfalls ber den Auslieferungsweg Download zu beziehen
29. d die zu sch tzenden Werte und die handelnden Subjekte wie Benutzer und Angreifer Des Weiteren sind die organ satorischen S cherheitsma nahmen und Hinweise zur sicheren Nutzung des EVGs dargestellt Die zu sch tzenden Werte sind die Identifikationsdaten PIN des Nutzers sowie die Firmware und Hardware des Chipkartenlesers selbst 3 1 Annahmen A USER RESP1 Die Regeln zur sicheren Handhabung und Nichtweitergabe der PIN werden dem Anwender vom Herausgeber der Chipkarte mitgeteilt insbesondere die unbeobachtete Eingabe der PIN A USER RESP2 W hrend der PIN Eingabe ber das Keypad des Lesers berpr ft der Endanwender das LC Display dahingehend dass der Mode der sicheren PIN Eingabe aktiv ist A USER RESP3 Zertifizierte bzw best tigte Firmware die von KOBIL Systems zum Download angeboten wird st durch Angabe der Zertifizierungs bzw Best tigungs IDs gekennzeichnet Der Endanwender berzeugt s ch vor der Installation einer neuen Firmware davon dass diese nach SigG SigV 6 7 best tigt und nach Common Criteria 11 zertifiziert ist A USER RESP4 Der Endanwender pr ft die Versiegelung vor jeder PIN Eingabe auf Unversehrtheit A USER RESP gt 5 Der EVG wird ausschliesslich im nicht ffentlichen oder privaten Bereich eingesetzt A USER RESP 6 F r die qualifizierte Signatur wird der EVG nur in Verbindung mit Signatur Chipkarten Sichere Signatur Erstellungseinheit SSEE verwendet die den Anforderungen des S
30. die Operationen OP P_ENTRY Eingabe der PIN und OP P_CMD Kommando Template vom PC vollst ndig implementiert wird und S_USER das Kommando OP P_CMD nicht ausf hrt und S_HOST die Eingabe OP P_ENTRY nicht ausf hrt Die Sicherheitsanforderung FDP_ACF 1 1 wird durch SF PINCMD umgesetzt da in SF PINCMD keine Sicherheitsattribute verwendet werden wie in FDP_ACF 1 1 gefordert Die Sicherheitsanforderung FDP_ACF 1 2 wird durch SF PINCMD umgesetzt da die Kommando Templates in OP P_CMD hier auf ihre Unbedenklichkeit hinsichtlich der Preisgabe der Identitifkationsdaten gepr ft werden Positiv Liste der erlaubten Instruction Bytes Der Abbruch der PIN Eingabe OP P_ENTRY durch den Benutzer S_USER ist jederzeit m glich Die Sicherheitsanforderungen FDP_ACF 1 3 und FDP_ACF 1 4 werden durch SF PINCMD umgesetzt da keine Authorisierung oder Regel basierte Verweigerung beim Zugriff spezifiziert ist Die Sicherheitsanforderung FDP_ETC 1 1 wird durch SF PINCMD umgesetzt da der Export des Objekts OB PIN Identifikationsdaten an die Signatur Chipkarte unter Kontrolle der Chipkartenleser Zugriffspolitik hier implementiert ist Die Sicherheitsanforderung FDP_ETC 1 2 wird durch SF PINCMD umgesetzt da da keine S cherheitsattribute mit dem Objekt OB PIN verkn pft sind Die Sicherheitsanforderung FDP_UCT 1 1 wird durch SF PINCMD umgesetzt da der Empfang des Objekts OB PIN bei der Eingabe durch S USER von der Tastatur unter Kontrolle der Chipkartenl
31. dus der sicheren PIN Eingabe befindet OE USER RESP6 Es werden f r qualifizierte Signaturen nur best tigte Signatur Chipkarten eingesetzt welche die PIN nicht preisgeben T3 T STORE 1 O STORE Der EVG speichert dauerhaft keine Identifikationsdaten T4 T MODIFY 1 O MODIFY_DLD Das sichere Firmware Download des EVG garantiert dass der EVG nicht unautorisiert ver ndert werden kann OE USER RESP3 Der Endanwender pr ft vor der Installation einer neuen Firmware ob diese best tigt und zertifiziert ist T5 T MODIFY 2 O MODIFY_SEAL Die Versiegelung zeigt einen Manipu lationsversuch an der Hardware des EVG an OE USER RESP4 Der Endanwender kann am Zustand der Versiegelung erkennen dass keine Manipulationen an der Hardware vorgenommen wurden Das Sicherheitsziel O REVEAL wirkt gegen Bedrohung T REVEAL und T REVEAL2 da die Weitergabe der PIN ausschliesslich im Rahmen eines zul ssigen Kommandos und nur an die S gnatur Chipkarte erfolgt Das Sicherheitsziel O MODE wirkt gegen Bedrohung T REVEAL 2 da die Anzeige des Modus der sicheren PIN Eingabe ber das LC Display den Benutzer davon abh lt die PIN zu einem Zeitpunkt einzugeben an dem die Eingabe vom PC aus ggf lesbar w re Das Sicherheitsziel OE USER RESP 2 legt dieses Verhalten in die Verantwortung des Benutzers genauso wie OE USER RESP6 sicherstellt dass nur best tigte S gnatur Chipkarten zum Einsatz kommen welche ihrerseits die PIN nicht preisgeben Seite
32. e FTP_TRP 1 SFR11 FDP_RIP 1_SSEE Keine Abh ngigkeiten Anmerkung Die Abh ngigkeit von FMT_MOF 1 wurde in Final Interpretation 212 entfernt Seite 34 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Secrrity Target KOB l L I l PAA 8 3 Erkl rung der EVG bersichtsspezifikation Die Sicherheitsfunktionen SF PINCMD und SF CLMEM zur sicheren PIN Eingabe ein schlie lich Steuerung des LC Displays und Speicheraufbereitung sind aufgrund ihrer Implementierungen nicht direkt angreifbar F r die Sicherheitsfunktionen SF SECDOWN und SF SEAL wird die St rke SOF hoch gefordert Dies st konsistent mit der geforderten Mindestst rkestufe Sicherheitsanforderungen und Sicherheitsfunktionen Die nachfolgend dargestellten S cherheitsfunktionen erg nzen sich und entsprechen in ihrem Zusammenwirken den Si cherheitsanforderungen des EVGs Wie zu erkennen ist wird jede S cherheitsanforderung von jeweils einer einzelnen Sicherheitsfunktion erf llt Alle S cherheitsanforderungen werden durch die vorhandenen Sicherheitsfunktionen die sich gegenseitig zu einem sicheren Gesamtsystem erg nzen abgedeckt Sicherheits Sicherheits Kommentar Funktion anforderungen SF1 SF PINCMD FDP_ACC 1 Die Sicherheitsfunktion garantiert FDP_ACEF dass nur zugelassene Kommandos an die Chipkarte weitergeleitet werden FTP_TRP 1 Das LC Display des Lesers zeigt den Modus der Sicheren PIN Ei
33. e der PIN mit der gr nen Best tigungstaste abschliessen alternativ kann die PIN L nge vorgegeben werden so dass die letzte Ziffer der PIN die Eingabe automatisch abschliesst W hrend der PIN Eingabe zeigt das LC Display des EVG den sicheren Eingabemodus an SF CLMEM Die Speicherbereiche f r die PIN Daten werden im Rahmen der sicheren PIN Eingabe SF PINCMD nach bertragung des Kommandos an die Chipkarte auch bei Kommunikationsfehlern oder zwischenzeitlich gezogener Karte bei Abbruch durch den Anwender und bei einem Timeout w hrend der PIN Eingabe w ederaufbereitet Nach der Wiederaufbereitung ist die PIN nicht mehr im Speicher des EVG vorhanden SF SECDOWN Eine neue Firmware kann in den EVG eingespielt werden Dazu wird der EVG in den Bootloader Modus versetzt in dem alle Funktionen des EVG deaktiviert werden bis auf die Entgegennahme einer neuen Firmware die mit einer elektronischen Signatur des Herstellers versehen ist Aus dem Bootloader Modus kann nur eine neu entgegen genommene korrekt signierte Firmware s u wieder aktiviert werden eine R ckkehr zur vormals installierten Firmware ist nicht mehr m glich Eine entgegengenommene Firmware mit fehlerhafter Signatur wird nicht aktiviert sondern es wird wieder in den Bootloader Modus verzweigt der wiederum auf eine neue Firmware wartet Seite 22 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KO
34. ement FTP_TRP 1 1 tr gt zum Sicherheitsziel O REVEAL bei da die Identifikationsdaten beim Empfang vor Preisgabe gesch tzt werden Das Anforderungselement FTP_TRP 1 2 tr gt zum Sicherheitsziel O REVEAL bei da die Identifikationsdaten beim Empfang vor Preisgabe gesch tzt werden Das Anforderungselement FTP_TRP 1 tr gt zum Sicherheitsziel O REVEAL bei weil der von FDP_UCT l geforderte gesch tzte Empfang durch die Verwendung eines vertrauensw rdigen Pfades f r die sichere PIN Eingabe FTP_TRP 1 3 von einem lokalen Benutzer FTP_TRP 1 1 realisiert werden soll Die Trennung von anderen Kommunikationspfaden FTP_TRP 1 1 in Verbindung mit der Einleitung der Kommunikation durch die TSF FTP_TRP 1 2 gew hrleistet den Schutz der Identifikationsdaten vor Preisgabe an den Host Das Anforderungselement FTP_TRP 1 1 tr gt zum Sicherheitsziel O MODE bei da der Kommunikationspfad logisch von anderen Kommunikationspfaden getrennt ist und dessen Endpunkt das LC Display sicher identifiziert werden kann Das Anforderungselement FTP_TRP 1 3 tr gt zum Sicherheitsziel O MODE bei da der Modus der sicheren PIN Eingabe durch einen vertrauensw rdigen Pfad realisiert wird Das Anforderungselement FDP_RIP 1 1 tr gt zum Sicherheitsziel O STORE bei da nach der Wiederfreigabe des Betriebsmittels Kommando Puffer die Identifikationsdaten gel scht werden so dass diese nicht dauerhaft ausserhalb des f r die Verarbeitung unbedingt notwendigen
35. enleser Zugriffspolitik f r die Subjekte S USER Benutzer ber die Tastatur Schnittstelle S bC Schnittstelle gem 24 25 zur USB Docking Station die Objekte OB PIN PIN und die durch die SFP abgedeckten Operationen OP P_ENTRY sichere PIN Eingabe OP P_CMD PIN Kommando vom Host durchsetzen Abh ngiskeiten FDP_ACF 1 Zugriffskontrolle basierend auf Sicherheitsattributen Verfeinerung Zusammenh nge Subjekte Objekte Operationen SPC S USER OB PIN OP P_CMD OP P_ENTRY Seite 15 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader III KAAN TriB nk Secrrity Target KOBI L i I N En FDP_ACF 1 Zugriffskontrolle basierend auf Sicherheitsattributen Ist hierarchisch zu Keinen anderen Komponenten FDP_ACF 1 1 Die TSF m ssen die Chipkartenleser Zugriffspolitik f r Objekte die auf keinen Sicherheitsattributen basieren durchsetzen FDP_ACF 1 2 Die TSF m ssen die folgenden Regeln durchsetzen um festzustellen ob eine Operation zwischen kontrollierten Subjekten und kontrollierten Objekten zul ssig ist 1 Der Host PC S PC sendet Kommandos an den Leser die den EVG nur dann dazu veranlasst vom Benutzer S USER eine PIN OB PIN entgegenzunehmen und an die Chipkarte weiterzuleiten wenn a die Kommandos OP P_CMD an den Chipkartenleser anhand ihrer Kommandostruktur gem CCID 8 bzw CT BCS 2 als solche zum Verifizieren bzw Modifizieren der PIN erkennbar sind und au
36. er die USB Docking Station an den PC angeschlossen Die Schnittstelle zwischen EVG und USB Docking Station st n SPI 24 und dem Dokument Remote Procedure Calls 25 beschrieben Im Offline Betrieb st der EVG nicht an den PC angeschlossen und arbeitet autonom Hauptaufgabe der USB Docking Station ist es die USB Schnittstelle gem CCID 8 zum PC hin umzusetzen auf die SPI Schnittstelle gem 24 und 25 Dabei werden die Daten im wesentlichen in beide Richtungen durchgereicht und entsprechend aufbereitet Der Offline Betrieb und die USB Docking Station sind nicht Gegenstand dieser Evaluierung Im Online Betrieb erkennt der EVG die von der Host Software bermittelten und von der USB Docking Station gem 24 und 25 umgesetzten Kommandos zur PIN Eingabe gem CCID 8 bzw CT BCS 2 und f gt die vom Benutzer ber das Keypad eingegebenen Ziffern als PIN an die entsprechenden Stellen des Kommandos an die Chipkarte ein In keinem Fall wird die Eingabe des Benutzers und somit auch die PIN an den Host PC bertragen Der Modus der sicheren PIN Eingabe eindeutig am LC Display des EVG angezeigt die eingegebenen Ziffern werden als Sternchen am LC Display des EVG angezeigt Die PIN selbst verl sst den Leser nie n Richtung Host Die Leser k nnen an allen Hostsystemen verwendet werden die eine USB Schnittstelle besitzen S e werden als Zubeh r im PC Umfeld eingesetzt Die Stromversorgung erfolgt im Online Betrieb ber de
37. ercard VISA Evaluationsgegenstand Home Banking Computer Interface Inter IC Bus Liquid Crystal Open Card Framework Personal Computer Smart Card Interface Personal Identification Number Secure Hash Algorithm 1 S gnaturgesetz S gnaturverordnung Serial Peripheral Interface Sichere S gnaturerstellungseinheit Virtual Private Network Windows Hardware Quality Labs Seite 41 41
38. erdem b ein an die Chipkarte weiterzuleitendes Kommando in OP P_CMD mit einem der folgenden Instruction Bytes enthalten ist i VERIFY ISO IEC 7816 4 INS 0x20 ii CHANGE REFERENCE DATA ISO IEC 7816 8 INS 0x24 iii ENABLE VERIFICATION REQUIREMENT ISO IEC 7816 8 INS 0x28 iv DISABLE VERIFICATION REQUIREMENT ISO IEC 7816 8 INS 0x26 v RESET RETRY COUNTER ISO IEC 7816 8 INS 0x2C vi UNBLOCK APPLICATION EMV2000 INS 0x18 2 Der Benutzer S USER kann entscheiden ob die von ihm eingegebene OP P_ENTRY PIN OB PIN vom EVG an die Chipkarte gesendet wird gr ne Best tigungstaste oder nicht rote Abbruchtaste FDP_ACF 1 3 Die TSF m ssen den Zugriff von Subjekten auf Objekte basierend auf den folgenden zus tz lichen Regeln explizit autorisieren keine FDP_ACF 1 4 Die TSF m ssen den Zugriff von Subjekten auf Objekte basierend auf keinen weiteren Regeln explizit verweigern Abh ngigkeiten FDP_ACC 1 Teilweise Zugriffskontrolle FMT_MSA 3 Initialisierung statischer Attribute Seite 16 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Secrrity Target KOBI L I N VER FDP_RIP 1 Teilweiser Schutz bei erhalten gebliebenen Informationen Ist hierarchisch zu Keinen anderen Komponenten FDP_RIP 1 1 Die TSF m ssen sicherstellen da der fr here Informationsinhalt eines Betriebsmittels bei Wiederfreigabe eines Betriebsmittels von folgenden Objekten OB PIN
39. eser Zugriffspolitik hier realisiert ist Die Sicherheitsanforderung FTP_TRP 1 1 wird durch SF PINCMD umgesetzt da der Kommunikationspfad beim Empfang von OB PIN bei der Eingabe durch S USER von der Tastatur hier logisch getrennt w rd vom Kommunikationspfad zu S PC Die Endpunkte Tastatur LC Display sind ber die Schnittstellen klar identifiziert und werden hier entsprechend angesteuert Die Verfeinerung wird durch die Verwendung des LC Displays erf llt Seite 36 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOBI L I l Pia Die Sicherheitsanforderung FTP_TRP 1 2 wird durch SF PINCMD umgesetzt da der Kommunikationspfad hier komplett implementiert ist und durch die IT Sicherheitsfunktion SF PINCMD initiiert wird Die Sicherheitsanforderung FTP_TRP 1 3 wird durch SF PINCMD umgesetzt da hier OB PIN nur auf dem einen Kommunikationspfad sichere PIN Eingabe von der Tastatur Eingabe durch S USER entgegengenommen wird Die Sicherheitsanforderung FDP_RIP 1 1 wird durch SF CLMEM umgesetzt da nach der Wiederfreigabe des Betriebsmittels Kommando Puffer die Identifikationsdaten hier gel scht werden und damit nicht mehr verf gbar sind Die Sicherheitsanforderung FCS_COP 1_ECDSA 1 wird durch SF SECDOWN umgesetzt da der kryptographische Mechanismus ECDSA Signatur mit 192 Bit Schl ssel L nge hier implementiert ist Die Sicherheitsanforderung FCS_COP
40. fahr eines Angriffs dar n dass diese Daten durch einen Angreifer aus dem EVG ausgelesen werden k nnten wenn er in den Besitz des EVGs gelangt und technische Voraussetzungen hierf r besitzen w rde Sicherheitstechnische Ver nderungen Modifizierungen sicherheitstechnischer Art geben einem Angreifer die Gelegenheit die Identifikationsdaten im EVG abzugreifen und somit in Besitz der PIN zu gelangen T MODIFY 1 Durch eine modifizierte Firmware m EVG k nnten die S cherheitsfunktionen ausser Kraft gesetzt werden T MODIFY 2 Durch Manipulationen der Hardware nach ffnen des Lesers kann der Angreifer die Kommunikation zwischen Leser und Chipkarte belauschen und damit die Identifikations daten PIN erfahren Dies erreicht er durch einen Austausch von Hardware Komponenten Seite 11 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOBI L I N VER 4 Sicherheitsziele ASE_OBJ 1 4 1 Sicherheitsziele f r den TOE EVG O REVEAL Der EVG liest die Identifikationsdaten von der Tastatur ein und gibt sie eingebettet in ein vom PC bertragenes Kommando Template ausschliesslich an die Signatur Chipkarte weiter sofern das Kommando Template eines der zul ssigen Kommandos siehe Abschnitt 2 enth lt O MODE Der Modus der sicheren PIN Eingabe wird dem Endbenutzer am LC Display durch eine geeignete Ausgabe eindeutig angezeigt O STORE Der EVG spe
41. ichert keine Identifikationsdaten ausserhalb des f r die Verarbeitung unbe dingt notwendigen Zeitraums O MODIFY_DLD Die Modifikation der Firmware des EVG kann nur ber eine gesicherte Software Update Prozedur durchgef hrt werden O MODIFY_SEAL Durch die Versiegelung sind Versuche den EVG zu ffnen f r den Endanwender sichtbar 4 2 Sicherheitsziele f r die Umgebung OE USER RESP1 Die Regeln zur sicheren Handhabung und Nichtweitergabe der PIN m ssen dem Endanwender vom Herausgeber der Chipkarte mitgeteilt werden insbesondere die unbeobachtete Eingabe der PIN OE USER RESP2 W hrend der PIN Eingabe ber das Keypad des Lesers muss der Endanwender die Anzeige im LC Display dahingehend berpr fen dass der Mode der sicheren PIN Eingabe akt v ist OE USER RESP3 Zertifizierte bzw best tigte Firmware die von KOBIL Systems zum Download angeboten wird muss durch Angabe der Zertifizierungs bzw Best tigungs IDs gekennzeichnet sein Der Endanwender muss s ch vor der Installation einer neuen Firmware davon berzeugen dass diese nach SigG SigV 6 7 best tigt und nach Common Criteria 11 zertifiziert ist OE USER RESP4 Der Endanwender muss die Versiegelung vor jeder PIN Eingabe auf Unversehrtheit hin berpr fen Seite 12 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Secrrity Target KOB l L I l VE OE USER RESP gt 5 Der EVG darf ausschliesslich im
42. igG SigV 6 7 entsprechen A USER RESP7 F r die qualifizierte Signatur wird der EVG nur in Verbindung mit Signatur Anwendungskomponenten verwendet die den Anforderungen des S gG SigV 6 7 entsprechen Seite 10 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader III KAAN TriB nk Secrurity Target KOBI L I N VER 3 2 Bedrohungen Preisgabe der Identifikationsdaten Die PIN als Identifikationsdaten des Anwenders stellt ein pers nliches Geheimnis dar Ihre Preisgabe ist eine direkte Bedrohung der Vertraulichkeit T REVEAL 1 Der Angreifer k nnte ber ein trojan sches Pferd Virus versuchen die Kommunikation zwischen Host und Chipkarte bzw Chipkartenleser abzuh ren wenn die PIN n das Host Ger t gelangt passiver Angriff T REVEAL 2 Der Angreifer k nnte versuchen die PIN vom Benutzer unter Verwendung eines vorhandenen Befehls an den EVG zur Tastaturabfrage oder durch missbr uchliche Verwendung der sicheren PIN Eingabe zu erlangen aktiver Angriff Speicherung der Identifikationsdaten Die dauerhafte Speicherung der PIN als Identifikationsdaten au erhalb der sicheren Signatur erstellungseinheit ist eine indirekte Bedrohung der Vertraulichkeit Eine kurzzeitige Speicherung der Identifikationsdaten nur f r den zur Verarbeitung unbedingt notwendigen Zeitraum ist jedoch nicht zu vermeiden T STORE1 Durch die dauerhafte Speicherung der Identifikationsdaten im EVG besteht die Ge
43. ignaturerstellungseinheiten S gnatur Chipkarten nach 2 Nummer 10 S gG auf sicherem Weg zu bermitteln k nnen sie auch f r Applikationen gem S gnaturgesetz und Signaturverordnung 6 7 eingesetzt werden Sie dienen des Weiteren zur bermittlung des Hash Wertes von der Anwendung zur Signaturkarte und zur R ck bertragung der Signatur von der Karte zur Signaturanwendung Sie stellen somit eine Te lkomponente f r S gnaturanwendungskomponenten dar die eine Sicherheitsbest tigung ben tigen um f r qualifizierte elektronische Signaturen nach 2 Nummer 3 SigG eingesetzt werden zu k nnen Zur Verwendung des EVG gem S gG SigV s nd sowohl Applikationen Signaturanwendungen als auch Chipkarten die im S gG Kontext evaluiert und best tigt wurden einzusetzen Synchrone Speicherchipkarten die naturgem nicht im Rahmen des Signaturgesetzes zur S gnaturerstellung eingesetzt werden k nnen werden vom EVG nicht unterst tzt Somit sind diese Chipkarten auch nicht f r die Evaluierung relevant Der EVG erf llt die speziellen Anforderungen nach 15 Absatz 2 Nr la keine Preisgabe oder Speicherung der Identifikationsdaten ausserhalb der Sicheren Signatur Erstellungs einheit und Absatz 4 Erkennbarkeit sicherheitstechnischer Ver nderungen S gV Nach folgende Liste der zur sicheren PIN Eingabe unterst tzten Instruction Bytes sind von den Applikationen zu verwenden und von den Chipkarten spezifikationsgem zu unterst tzen
44. isch zu Keinen anderen Komponenten FDP_UCT 1 1 Die TSF m ssen die Chipkartenleser Zugriffspolitik durchsetzen um in der Lage zu sein Objekte vor nichtautorisierter Preisgabe gesch tzt zu empfangen Abh ngiskeiten IFTP_ITC 1 Inter TSF Vertrauensw rdiger Kanal oder FTP_TRP 1 Vertrauensw rdiger Pfad IFDP_ACC 1 Teilweise Zugriffskontrolle oder FDP_IFC 1 Teilweise Informationsflu kontrolle Seite 19 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOB l L I l 5 2 Anforderungen an die Vertrauensw rdigkeit des TOE EVG Die Anforderungen f r den angestrebten Evaluation Assurance Level 3 sind in Tabelle 6 4 Common Criteria Teil 3 wie folgt dargestellt Vertrauensw rdigkeitsklasse Vertrauensw rdigkeitskomponenten ACM CAP 3 Autorisierungskontrolle ACM SCP 1 EVG CM Umfang ADO DEL 1 Auslieferungsprozeduren Auslieferung und Betrieb ADO IGS 1 Installations Generierungs und Anlaufprozeduren ADV FSP 1 Informelle funktionale Spezifikation ADV HLD Sicherheitsspezifischer Entwurf auf hoher Ebene ADV RCR 1 Informeller Nachweis der bereinstimmung AGD ADM 1 Systemverwalterhandbuch AGD USR 1 Benutzerhandbuch Lebenszyklus Unterst tzung ALC_DVS 1 Identifikation der Sicherheitsma nahmen ATE COV 2 Analyse der Testabdeckung ATE DPT 1 Testen Entwurf auf hoher Ebene ATE FUN 1 Funktionales Testen ATE IND 2 Unabh ngiges Testen Stichprobenartig AVA
45. n Informationstechnik Version 2 3 Common Criteria SigG Alg Bundesnetzagentur f r Elektrizit t Gas Telekommunikation Post und Eisenbahnen Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung bersicht ber geeignete Algorithmen vom 17 Dezember 2007 Ver ffentlicht am 05 Februar 2008 m Bundesanzeiger Nr 19 Seite 376 OCF OpenCard Consortium OpenCard Framework V1 2 API Documentation Fourth Edition December 1999 http www opencard org ANSI X9 62 American National Standard Institute ANSI X9 62 Public Key Cryptography The Elliptic Curve Digital Signature Algorithm ECDSA 1998 http www ansi org bzw http www x9 org IEEE 1363 Institute of Electrical and Electronics Engineers Inc IEEE 1363 Standard specifications for public key cryptography 2000 http grouper ieee org groups 1363 P1363 FIPS 180 2 American National Institute of Science and Technology NIST Secure Hash Standard Federal Information Processing Standard FIPS 180 2 August 2002 FIPS 186 2 American National Institute of Science and Technology NIST Digital Signature Standard Federal Information Processing Standard FIPS 186 2 Januar 2000 ISO IEC 15946 2 International Organization for Standardization ISO and International Electrotechnical Commission IEC Information technology Security techniques Cryptographic techniques based on elliptic curves Part 2 Digital signatures 2002 1
46. n USB Bus des PCs im Offline Betrieb ber eigene auswechselbare Batterien Auf der Hostseite werden die Applikationsschnittstellen CT API 1 und PC SC 3 sowie OCF 13 zur Verf gung gestellt die f r alle Chipkartenarten genutzt werden k nnen Alle Funktionalit ten an den Schnittstellen werden f r CT API gem 1 f r PC SC gem 3 und f r OCF gem 13 abgebildet Die in CT BCS 2 enthaltenen Kommandos INPUT und OUTPUT zur Tastatur Eingabe bzw Display Ausgabe werden nicht unterst tzt und mit einer Fehlermeldung abgewiesen Die Treiber der Chipkartenleser sind nicht Bestandteil des EVG und unterst tzen Betriebssysteme Die verf gbaren Treiber werden mit dem Produkt ausgeliefert und m ssen auf dem Host PC installiert werden Die Treibersoftware geh rt nicht zum Evaluationsumfang ebensowenig die Docking Station ber die der EVG an den Host PC angeschlossen wird da diese Komponenten die Daten lediglich durchreichen und selbst keine Seite 6 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader III KAAN TriB nk Secrrity Target KOBI L I N VER S cherheitsfunktionen implementieren Der Offline Betrieb ohne Anschluss am Host PC ist ebenfalls nicht Gegenstand dieser Evaluierung Der EVG ist wegen seiner Multifunktionalit t in vielen Marktsegmenten einsetzbar Da die Chipkartenleser als Klasse 3 Leser 5 auch n der Lage sind Identifikationsdaten PIN zu erfassen und an sichere S
47. n ee o Keine Z O Z O u FDP_ ETC l FDP_ACC 1 oder ao FDP_IFC 1 wll FDP _UCT 1 FTP_ITC 1 oder FTP_TRP 1 FDP_ACC 1 oder FDP_IFC 1 SFR11 FDP_RIP 1_SSEE Keine SFR1 FCS_COP 1_ECDSA FDP_ITC 1 oder FDP_ITC 2 e Import von Benutzerdaten ohne mit Sicherheitsattribute n e Ist eine Anforderung f r die Entwicklungsumgebung des Herstellers den Import des ffentlichen Schl ssels beschreibend e Keine unmittelbare Abh ngigkeit f r den EVG da der Schl ssel beim Hersteller eingebracht und mit dem EVG ausgeliefert wird FCS_CKM e Kryptographische Schl sselgenerierung e Ist eine Anforderung f r die Entwicklungsumgebung des Herstellers die Schl sselgenerierung beschreibend e Keine unmittelbare Abh ngigkeit f r den EVG FCS_CKM 4 e Zerst rung des kryptographischen Schl ssels e Ist eine Anforderung an die Entwicklungs Umgebung die Zerst rung des generierten privaten Schl ssel beschreibend e Keine unmittelbare Abh ngigkeit f r den EVG da dieser nur den ffentlichen Schl ssel enth lt FMT_MSA 2 e Sichere Sicherheitsattribute Seite 32 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Security Target KOB l L I PARA SFR2 SFR3 SFR4 e Der EVG hat keinen Einflu auf die Akzeptanz sicherer Werte f r die Sicherheitsattribute kryptographischer Schl ssel weil diese als integraler Bestandteil des EVG anzusehen sind und bereits bei der Herstellung einge
48. ngabe ber einen vertrauensw rdigen Pfad an Die PIN selbst wird am Display nicht angezeigt FDP_UCT 1 Die PIN wird vom Benutzer ber FDP_ETC 1 die Tastatur entgegengenommen und an die Chipkarte exportiert SF2 SF CLMEM FDP_RIP 1 Eine Speicheraufbereitung des Buffers zur bertragung der PIN vom Keypad zur Chipkarte erfolgt im Rahmen der s cheren PIN Eingabe SF PINCMD nach bertragung des Kommandos an die Chipkarte auch bei Kommunikationsfehlern oder zwischenzeitlich gezogener Karte bei Abbruch durch den Anwender und bei einem Timeout w hrend der PIN Eingabe SF SEAL ist als SOF hoch anzusehen da die mechanische Versiegelung so ausgelegt ist dass sie einem hohen Angriffspotential widersteht Seite 35 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader III KAAN TriB nk Secrrity Target KOBI L I PAA SF3 SF SECDOWN FCS_COP 1 ECDSA Die Verifikation einer Signatur der FCS_COP 1_SHA Firmware mit dem Hash Algorithmus SHA 1 und dem FPT_PHP 3 asymmetrischen ECDSA Algorithmus mit einer Bitl nge von 192 sowie die Ablaufsteurerung garantieren die Integrit t und Authentizit t der Firmware beim Laden der Firmware in den Chipkartenleser SF4 SF SEAL FPT_PHP Schutz des Geh uses vor unbefugter Manipulation Die Sicherheitsanforderung FDP_ACC 1 1 wird durch SF PINCMD umsesetzt da hier die Zugriffskontrolle auf dem Objekt OB PIN Identifikationsdaten ber
49. rielle Manipulationen Verfeinerung Offnen des Geh uses die die TSF blo stellen k nnen eindeutig erkennen FPT_PHP 1 2 Die TSF m ssen die F higkeit zum Feststellen erfolgter materieller Manipulationen Ver feinerung Besch digung der Versiegelung der TSF Ger te oder TSF Elemente bereit stellen Abh ngiskeiten Keine Abh ngigkeiten FPT_PHP 3 Widerstand gegen materielle Angriffe Ist hierarchisch zu Keinen anderen Komponenten FPT_PHP 3 1 Die TSF m ssen dem Versuch des Download nicht authentischer Firmware als Szenario der materiellen Manipulation von aktueller Firmware des EVG widerstehen indem diese automatisch so reagieren da die TSP nicht verletzt wird Abh ngiskeiten Keine Abh ngigkeiten Seite 18 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Secrrity Target KOBI L I N VER FDP_ETC 1 Export von Benutzerdaten ohne Sicherheitsattribute Ist hierarchisch zu Keinen anderen Komponenten FDP_ETC 1 1 Die TSF m ssen die Chipkartenleser Zugriffspolitik bei Export von unter Kontrolle der SFPs stehenden Benutzerdaten nach au erhalb des TSC durchsetzen FDP_ETC 1 2 Die TSF m ssen die Benutzerdaten ohne die mit ihnen verkn pften Sicherheitsattribute ex portieren Abh ngiskeiten IFDP_ACC 1 Teilweise Zugriffskontrolle oder FDP_IFC 1 Teilweise Informationsflu kontrolle FDP _UCT 1 Einfache Vertraulichkeit des Datenaustausches Ist hierarch
50. terst tzt wie HBCI Homebanking GeldKarte nur KAAN Tr B nk EMV Chipkarten nur EMV TriCAP Reader Datei und Festplattenverschl sselung Windows Logon VPN Authentisierung Netzwerk Zugang und Terminal Server Applikationen Seite 4 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader III KAAN TriB nk Secrrity Target KOBI L I l PAA Die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II und KAAN Tr B nk stellen einen Teil der Signatur Anwendungskomponente gem 2 S gG 6 dar e Im Sinne dieses Gesetzes sind 11 S gnaturanwendungskomponenten Software und Hardwareprodukte d e dazu bestimmt s nd a Daten dem Prozess der Erzeugung oder Pr fung qualifizierter elektronischer Signaturen zuzuf hren oder b und entspricht den Anforderungen des 15 S gV 7 e Abs 2 Signaturanwendungskomponenten nach 17 Abs 2 des Signaturgesetzes m ssen gew hrleisten dass 1 bei der Erzeugung einer qualifizierten elektronischen S gnatur a die Identifikationsdaten nicht preisgegeben und diese nur auf der jeweiligen sicheren Signaturerstellungseinheit gespeichert werden e Abs 4 Sicherheitstechnische Ver nderungen an technischen Komponenten nach den Abs tzen 1 b s 3 m ssen f r den Nutzer erkennbar werden 1 3 Postulat der bereinstimmung mit den CC Die S cherheitsvorgaben sind in ihren funktionalen Anforderungen konform zu den Vorgaben n
51. tische Firmware im EVG zur Ausf hrung kommen kann ACM_CAP 3 Die Firmware des EVG st eindeutig gekennzeichnet der Hersteller hat ein Konfigurationsmanagement daf r ADO_DEL 2 Die ausgelieferte signierte Firmware des EVG ist authentisch ALC_DVS Die Sicherheit in der Entwicklung ist gew hrleistet 05 O MODIFY_SEAL FPT_PHP 1 Die Versiegelung garantiert die ACM_CAP 3 ADO_DEL 2 Auslieferung nicht materiell manipuliert Erkennbarkeit von Manipulationen OE USER RESP6 FDP_RIP l_SSEE Die S gnatur Chipkarte mit der der EVG betrieben wird muss evaluiert und best tigt sein Damit ist sichergestellt dass sie die Identifikationsdaten nicht speichert am EVG Querverweise IT Sicherheitsziele Sicherheitsanforderungen Die Versiegelung unterliegt einer O REVEAL O MODE O STORE O MODIFY_DLD O MODIFY_SEAL OE USER RESP6 Verwaltung beim Hersteller Der Versiegelte EVG ist bei FDP_ACC 1 FDP_ACF 1 FDP_ETC 1 FDP_UCT 1 FTP_TRP 1 FDP_RIP 1 EEE Bo o nn EEE mo O O EEK Au FPT_PHP 3 FPT_PHP 1 ACM_CAP 3 ADO_DEL 2 ALC_DVS 1 De LE En En BE EEE BEE Au Das Anforderungselement FDP_ACC 1 1 tr gt zum Sicherheitsziel O REVEAL bei da die Zugriffskontrolle auf dem Objekt OB PIN Identifikationsdaten ber die Operationen OP P_ENTRY Eingabe der PIN und OP P_CMD Kommando Template vom PC defi niert wird Die teilweise Zugriffskontrolle ist ausreichend weil die Operation zur Speicher aufbereitung f r die Durchse
52. tschland e V Anwendungsunabh ngiges CardTerminal Application Programming Interface CT API f r Chipkartenanwendungen Revision 1 1 14 10 1998 Publiziert in MKT Spezifikation 2 Teil 3 2 CT BCS TeleTrusT Deutschland e V Multifunktionale KartenTerminals MKT Spezifikation Teil 4 Anwendungsunabh ngiger CardTerminal Basic Command Set CT BCS Version 1 0 15 04 1999 PC SC PC SC Workgroup Interoperability Specification for ICCs and Personal Computer Systems Revision 1 0 December 1997 Anmerkung die vorliegende Spezifikation V2 0 wird nicht unterst tzt ISO IEC 7816 International Organization for Standardization ISO and International Electrotechnical Commission IEC Information technology Identification cards Integrated circuit s cards with contacts Part 4 Interindustry commands for interchange 2005 01 05 und Information technology Identification cards Integrated circuit s cards with contacts Part 8 Commands for security operations 2004 06 11 5 Class 2 Informatikzentrum der Sparkassenorganisation GmbH Definition Anforderungen an Chipkartenleser f r den Heimbereich aus Sicht der SKO Version 1 0 09 97 Unver ffentlichtes Manuskript Signaturgesetz Gesetz ber die Rahmenbedingungen f r elektronische Signaturen und zur nderung weiterer Vorschriften Signaturgesetz SigG vom 16 05 2001 BGBl I S 876ff 21 05 2001 Ge ndert durch Erstes Gesetz zur nderung des
53. tzung des Sicherheitsziels nicht kontrolliert werden mu Seite 29 41 Signatur Modul f r die KOBIL Chipkartenterminals EMV TriCAP Reader SecOVID Reader II KAAN TriB nk Secrrity Target KOBI L I l VE Das Anforderungselement FDP_ACF 1 1 tr gt zum Sicherheitsziel O REVEAL bei da die Objekte nur ber definierte Schnittstellen des EVG s erreichbar sind und je Schnittstelle nur ein Subjekt definiert ist S USER gt Tastatur S PC gt Host PC Der Verzicht auf die Verwendung von Sicherheitsattributen entspricht dem Sicherheitsziel Das Anforderungselement FDP_ACF 1 2 tr gt zum Sicherheitsziel O REVEAL bei da die Kommando Templates in OP P_CMD auf ihre Unbedenklichkeit hinsichtlich der Preisgabe der Identitifkationsdaten gepr ft werden und der Benutzer bei OP P_ENTRY die M glichkeit zum Abbruch der PIN OB PIN Eingabe hat Die Anforderungselemente FDP_ACF 1 3 und FDP_ACF 1 4 tragen zum Sicherheitsziel O REVEAL bei da keine Authorisierung oder Regel basierte Verweigerung beim Zugriff erlaubt ist Das Anforderungselement FDP_ETC 1 1 tr gt zum Sicherheitsziel O REVEAL bei da die Chipkartenleser Zugriffspolitik durchgesetzt wird Das Anforderungselement FDP_ETC 1 2 tr gt zum Sicherheitsziel O REVEAL bei da keine S cherheitsattribute mit dem Objekt OB PIN verkn pft sind Das Anforderungselement FDP_UCT 1 1 tr gt zum Sicherheitsziel O REVEAL bei da die Chipkartenleser Zugriffspolitik durchgesetzt wird Das Anforderungsel
Download Pdf Manuals
Related Search