Common-Criteria-Dokument Sicherheitsvorgaben EAL3+
Contents
1. Nr ID Klasse Komponente Abh ngigkeiten FDP Schutz der Benutzerdaten 1 FDP_ACC 1 Teilweise Zugriffskontrolle FDP_ACF 1 2 FDP_ACF 1 Zugriffskontrolle basierend auf Sicherheitsattributen FDP_ACC 1 FMT_MSA 3 3 FDP_RIP 2 Vollst ndiger Schutz bei erhalten gebliebenen Keine Informationen FTA TOE Zugriff 4 FTA_TAB 1 TOE Zugriffswarnmeldung Keine FPT Schutz der TSF 5 FPT_PHP 1 Passive Erkennung materieller Angriffe FMT_MOF 1 FCS Kryptographische Unterst tzung 6 FSC COP 1 Kryptographischer Betrieb FDP_ITC 1 oder FCS_CKM 1 FCS_CKM 4 FMT_MSA 2 Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 16 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 5 1 1 Schutz der Benutzerdaten Klasse FDP 5 1 1 1 Zugriffskontrollpolitik Familie FDP_ACC FDP_ACC 1 Teilweise Zugriffskontrolle Die TSP legt die Regeln fest nach denen der TOE den Zugriff auf seine Betriebsmittel und somit alle durch den TOE kontrollierten Informationen und Dienste steuert Die Chipkarten Zugriffspolitik die den Schutz der PIN regelt wird durch die Sicherheitsfunktionen durchgesetzt Die TSF m ssen die Chipkartenleser Zugriffspolitik f r die Subjekte e Benutzer ber die Keypad Schnittstelle e PC ber USB Schnittstelle e Chipkarte ber Kartenleserschnittstelle die Objekte e PIN e LED zur Anzeige der sicheren PIN Eingabe e Firmware2. SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 8 2 Erkl rung der Sicherheitsanforderungen Der TOE entspricht zusammen mit den Anforderungen an die Umgebung den sicherheitstechnischen Anforderungen Auch ein Angreifer mit hohem Angriffspotential kann die Sicherheitsfunktionen Speicherwiederaufbereitung SF 2 und Schutz der PIN SF 1 nicht manipulieren da der Speicher definiert aufbereitet wird und der Austausch der PIN nur zwischen Chipkarte und TOE ber die Kartenleserschnittstelle erfolgt Diese befindet sich im TOE und werden gegen Manipulation mit Sicherheitssiegel gesch tzt Der sichere Firmware Download SF 3 entspricht den Anforderungen nach der Mindestst rke der Funktionen hoch Die Mindestst rke der Funktion hoch ist angemessen und konsistent mit den Sicherheitszielen des EVGs der Nichtpreisgabe und Nichtspeicherung von Identifikationsdaten und der Erkennbarkeit sicherheitstechnischer Ver nderungen Somit ist der TOE konsistent mit den Sicherheitszielen Die Sicherheitsziele des TOE sehen vor die Identifikationsdaten nicht zu speichern und oder preiszugeben Sicherheitstechnische Ver nderungen m ssen erkennbar sein Die Widerstandf higkeit des TOE gegen Angreifer mit hohem Angriffspotential spiegelt sich in den ber EAL3 hinausgehenden Anforderungen e ADO_DEL 2 e ADV_IMP 1 e ADV_LLD 1 e ALC TAT 1 e AVA MSU 3 e AVA_VLA 4 wieder Die Sicherheitsvorgaben stellen die funkti
3. Common Criteria Dokument Sicherheitsvorgaben EAL3 Project Name SmartTerminal ST 2xxx ID 7997 Zertifizierung ID BSI DSZ CC 0309 Best tigung ID BSI 02059 TE xx 2005 Document ID ST2XXX Sicherheitsvorgaben 20051223 V107 doc Version 1 07 Status Approved Date 23 12 2005 Prepared by Thomas Boethe J rg K hnl Date Signature 29 04 2005 Checked by Markus Magerl Thorsten Maykranz Date Signature 12 05 2005 Approved by J rg K hnl Date Signature 03 06 2005 Cherry GmbH Cherrystra e D 91275 Auerbach SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved Historie berarbeitungen und Anpassungen Einarbeitung Secure Firmwareownload Einarbeitung der Observation vonT VIT 03 06 2005 Approved J rg K hn 26 07 2005 1 01 Erg nzung Kapitel 2 LED Funktionen Thomas Boethe berarbeitung nach OR V1 04 ASE berarbeitung nach OR V1 05 ASE berarbeitung nach OR_ASE_V1 08 berarbeitung nach OR_ASE_V1 10 berarbeitung nach Rev_prot_Kommentierung 20 12 2005 1 06 01_0309 ST _ v1 5 an hast doc Thomas Boethe Uberarbeitung nach Zusammenfassung_Kommentierung 23 12 2005 1 07 01_ 0309 ST_AGD an _Hst doc Thomas Boethe Verteilerliste Name f Firma Abteilung Beschreibung Hans Werner Manfred Piesche T VIT in Essen K hnl J rg Cherry GmbH ECE PS Engineering POS and Security Products Thomas Boethe Cherry GmbH ECE TC Engineering Test Center SCM Microsystems Gmb
4. ooonoccnincccnncccnnnccnnnccnnancccnno 34 8 4 Erkl rung der PP Postulate unuuesusnnsnnsnnnnnnnnnnunnnnnnnnnnnnnannnnnnnnnnnnnnnannnnnnnnnnnnnnnnannnnnnnnnnnannn 35 g ANNAD A A 36 9 1 AU ZU O io 36 Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 3 0f 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 92 Literat r vere C NS 1 di indias 37 Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 4 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 1 ST Einf hrung ASE_INT 1 1 1 ST Identifikation Titel Common Criteria Dokument Sicherheitsvorgaben EAL3 f r das SmartTerminal ST 2xxx Dokumentversion 1 07 Datum 23 12 2005 Dok ID SmartTerminal ST 2xxx Dateiname ST2XXX Sicherheitsvorgaben 20051223 V107 doc Autor en J rg K hnl Thomas Boethe Zert ID BSI DSZ CC 0309 Best tigungs ID BSI 02059 TE xx 2005 Der Evaluationsgegenstand ist das Chipkartenterminal der Familie SmartTerminal ST 2xxx TOE Target of Evaluation mit der Firmware Version 5 08 der Hersteller Cherry GmbH und SCM Microsystems GmbH Der Evaluationsgegenstand unterteilt sich in folgende Produktvarianten e ST 2xxXx XX Z x In allen Produktvarianten ist die gleiche zu evaluierende Firmware enthalten SCM Microsystems GmbH ist Entwickler und Hersteller der best ckten Leiterplatte des
5. Chipkartenterminals ST 2xxx der Firma Cherry GmbH Treibersoftware und Firmware stammen ebenfalls aus dem Hause SCM SCM verwendet f r die interne Bezeichnung des Produktes den Namen SPR330 der auf der Nomenklatur f r SCM Produkte beruht Daher wird z B in den Entwicklungsdokumentationen ADV die sowohl f r die SCM Produkte SPR532 SPR332 SPR132 als auch f r die Cherry Variante ST 2xxx gelten dieser Bezeichner genutzt In den ffentlichen Dokumenten wird nur die Cherry Bezeichnung ST 2xxx verwendet Nummernschl ssel Artikelnummer ST 2xxxxxZ X XX SAP St cklistenindex Retailvariante Zertifizierte Variante Farbe Technische Ausf hrung Kundenvarianten Geh usedesign Modell Stand Alone Terminal SAP St cklistenindex Versionsnummer von 00 99 entsprechend der SAP St ckliste siehe Spalte Vs Retailvariante R wenn als Retailvariante ausgef hrt ansonsten kein Kennzeichen Zertifizierte Variante Z wenn als zertifizierte und best tigte Variante ausgef hrt ansonsten entf llt Kennzeichen Farbe Buchstaben von A Z C Geh useoberteil grau Geh useunterteil Druckgu blau chromatiert Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 5 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved Technische Ausf hrung Buchstaben vonA Z U USB Stecker Kundenvarianten Nummer von 00 43 00 Standard Geh usedesign Mod
6. und die durch die Chipkartenleser Zugriffspolitik abgedeckten Operationen e PIN Eingabe e bermittlung der PIN e Ansteuerung der LED e Download g ltiger signierter Firmware durchsetzen 5 1 1 2 Zugriffskontrollfunktionen Familie FDP_ACF FDP_ACF 1 Zugriffskontrolle basierend auf Sicherheitsattributen FDP_ACF 1 1 Die TSF m ssen die Chipkartenleser Zugriffspolitik f r Objekte die auf der Identit t des Objektes basieren durchsetzen Da alle Objekte ausschlie lich ber definierte Schnittstellen des TOE erreichbar sind und pro Schnittstelle jeweils ein Subjekt definiert ist ist die Identit t der Objekte als Sicherheitsattribut ausreichend Die Subjekte sind e Benutzer ber die Keypad Schnittstelle e PC ber USB Schnittstelle e Chipkarte ber Kartenleserschnittstelle Die Objekte sind e PIN e LED zur Anzeige der sicheren PIN Eingabe e Firmware Die Operationen sind e PIN Eingabe e bermittlung der PIN e Ansteuerung der LED e Download g ltiger signierter Firmware FDP_ACF 1 2 Die TSF m ssen die folgenden Regeln durchsetzen um festzustellen ob eine Operation zwischen kontrollierten Subjekten und kontrollierten Objekten zul ssig ist Von einer Applikation sendet der PC Subjekt ber die USB Schnittstelle ein explizites Kommando an den Kartenleser wodurch die LED Objekt zur Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 17 of 37 SmartTermin
7. 1 O 2 0 3 O4 05 0 6 OE 1 OE 2 OE 3 OE 4 OE 5 OE 6 OE 7 OE 8 T 1 x x x x T 2 X X T 3a X X T3b X T 4 X x T 5 X X X 1 6 X x x AE 1 X AE 2 x AE 3 X AE 4 x AE 5 X AE 6 X AE 7 X AE 8 x Aus der Tabelle ist ersichtlich dass jede Bedrohung und jede Annahme von mindestens einem Sicherheitsziel adressiert wird und jedes Sicherheitsziel mindestens eine Bedrohung oder eine Annahme adressiert In der nachfolgenden Beschreibung wird aufgezeigt in welcher Weise die Sicherheitsziele dazu beitragen die aufgef hrten Bedrohungen abzuwehren und in welcher Weise die aufgef hrten Annahmen ber cksichtigt werden Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 25 0f 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 8 1 1 Abwehr der Bedrohungen durch den TOE In Tabelle 10 ist die Abwehr der einzelnen Bedrohungen durch den TOE aufgef hrt Tabelle 10 Bedrohungen durch den TOE T 1 Ein Angreifer k nnte versuchen durch Einsatz von Sniffertools Hardware oder Software die ber den TOE eingegebene PIN auszusp hen 0 3 Unterst tzt die Abwehr der Bedrohung T 1 da die PIN nur zur Chipkarte hin bertragen wird und somit ein aussp hen verhindert 0 5 Unterst tzt zus tzlich das Sicherheitsziel O 3 bei der Abwehr der Bedrohung T 1 indem sicher
8. 12 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved Bedrohungen Beschreibung T 6 Ein Angreifer k nnte versuchen durch Manipulation beim Download eine modifizierte oder fremde Firmware in den Leser zu laden die Funktionalit ten zum Aussp hen der PIN beinhalten k nnen 3 3 Organisatorische Sicherheitspolitik Es sind keine organisatorischen Sicherheitspolitiken vorgesehen 4 Sicherheitsziele ASE_OBJ 1 In diesem Kapitel werden die Sicherheitsziele f r den TOE und dessen Umgebung definiert Mit den folgenden Sicherheitszielen wird allen identifizierten Bedrohungen entgegengewirkt und die Annahmen abgedeckt Im Kapitel 4 1 werden die Sicherheitsziele f r den TOE definiert w hrend in Kapitel 4 2 die Sicherheitsziele f r die Umgebung des TOE festgelegt werden Im Kapitel 4 3 werden die Zusammenh nge zwischen Anforderungen von SigG SigV und den Sicherheitszielen der CC darstellt 4 1 Sicherheitsziele f r den TOE Die Sicherheitsziele f r den TOE sind in der nachfolgenden Tabelle aufgef hrt Tabelle 3 Sicherheitsziele f r den TOE Sicherheitsziele Beschreibung f r den TOE 0 1 Der TOE stellt sicher dass die PIN auBer zum Zeitpunkt der Verarbeitung nicht gespeichert wird 0 2 Der TOE stellt sicher dass dem Anwender die sichere PIN Eingabe eindeutig signalisiert wird 0 3 Der TOE stellt sicher dass die PIN nur
9. Klasse FCS 5 1 4 1 Kryptographischer Betrieb Familie FCS_COP FCS_COP 1 Kryptographischer Betrieb RSA FCS_COP 1 1 Die TSF m ssen einen sicheren Firmware Download mittels Entschl sselung und Verifikation signierter Daten gem eines spezifizierten kryptographischen Algorithmus nach RSA und kryptographischer Schl ssell ngen von 1024 bit die den folgenden Normen ISO IEC 14888 3 entsprechen durchf hren Die Verifikation einer Signatur der Firmware mit dem asymmetrischen RSA Algorithmus und einer Bitl nge von 1024 in Verbindung mit SFR FCS_COP 1_SHA garantiert die Integrit t und Authentizit t der Firmware beim Laden der Firmware in den Chipkartenleser FCS_COP 1 Kryptographischer Betrieb SHA FCS_COP 1 1 Die TSF m ssen einen sicheren Firmware Download mittels Entschl sselung und Verifikation signierter Daten gem eines spezifizierten kryptographischen Algorithmus nach SHA 1 und kryptographischer Schl ssell ngen welche hierbei nicht relevant sind die den folgenden Normen FIPS180 1 bzw ISO IEC 10118 3 entsprechen durchf hren Die Verifikation einer Signatur der Firmware basierend auf einem 160 Bit Hashwert gem SHA 1 in Verbindung mit SFR FCS_COP 1_RSA garantiert die Integrit t und Authentizit t der Firmware beim Laden der Firmware in den Chipkartenleser 5 2 Anforderungen an die Mindestst rke der TOE Sicherheitsfunktionen F r alle funktionalen Sicherheitsanforderungen und Sicherheitsfunktionen f r die
10. darauf achten dass bei einem sp teren Firmware Upgrade die zum Download bereitgestellte Firmware explizit als zertifizierte und best tigte Version gekennzeichnet ist Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 27 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 8 1 2 Ber cksichtigung der Annahmen Tabelle 11 Ber cksichtigung der Annahmen AE 1 Es wird angenommen dass der TOE als Kartenterminal f r die nicht ffentliche Umgebung eingesetzt wird OE 1 Das Einsatzgebiet des Kartenterminals ist eindeutig definiert AE 2 Es wird angenommen dass der Benutzer ausschlie lich Prozessorkarten benutzt die den Spezifikationen ISO 7816 bzw EMV 2000 gen gen OE 2 bildet eine Zielvorgabe die unmittelbar die Annahme umsetzt AE 3 Es wird angenommen dass sich der Nutzer regelm ig vor der Benutzung des Ger tes durch die Kontrolle der Unversehrtheit der Siegel berzeugt ob keine sicherheitstechnische Ver nderungen am Kartenterminal vorgenommen wurden OE 3 bildet eine Zielvorgabe die unmittelbar die Annahme umsetzt AE 4 Es wird angenommen dass der Benutzer eine unbeobachtete Eingabe der Identifikationsdaten PIN gew hrleistet OE 4 bildet eine Zielvorgabe die unmittelbar die Annahme umsetzt AE 5 Es wird angenommen dass der Benutzer w hrend der PIN Eingabe ber das K
11. e DISABLE VERIFICATION REQUIREMENT ISO IEC 7816 8 INS 0x26 e RESET RETRY COUNTER ISO IEC 7816 8 INS 0x2C e UNBLOCK APPLICATION EMV2000 INS 0x18 Die Chipkartenleser ST 2xxx bieten die M glichkeit eines gesicherten Firmware Downloads um f r zuk nftige Anforderungen vorbereitet zu sein Es werden dann sowohl zertifizierte und best tigte als auch nicht zertifizierte Firmwareversionen zum Download bereitgestellt Zertifizierte und best tigte Versionen werden explizit unter Angabe der Zertifizierungs ID als solche gekennzeichnet Die Verifikation einer Signatur der Firmware mit dem asymmetrischen RSA Algorithmus und einer Bitl nge von 1024 garantiert die Integrit t und Authentizit t der Firmware beim Laden der Firmware in den Chipkartenleser Die sichere Generierung und Verwaltung der f r die Erzeugung der sicheren Signatur notwendigen Schl ssel werden durch die Hersteller SCM Microsystems GmbH und Cherry GmbH gew hrleistet Die Hersteller garantieren dass jede neue Version des TOEs eine neue Versionsnummer erh lt und damit eindeutig identifizierbar ist Das Geh use ist mittels eines f lschungssicheren Sicherheitsaufklebers versiegelt welcher sich bei Entfernung zerst rt und damit nur einmal verwendbar ist Im Lieferumfang des Installationspaketes ist ein Software Tool enthalten welches die zertifizierte und best tigte Firmware Version des Chipkartenlesers ST 2xxx berpr ft Durch Ausf hren des Software Tools FWCheck e
12. erkennbar Nutzer erkennbar sein sein 0 6 Der TOE stellt sicher dass nur der Download einer neue Firmware akzeptiert wird wenn die Integrit t und Authentizit t der Firmware verifiziert wurde OE 3 Der Anwender muss das Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 14 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved Sicherheitssiegel Siegelnummer regelm ig vor Benutzung des Ger tes auf Unversehrtheit pr fen OE 7 Der Anwender muss mit einem vom Hersteller bereitgestellten Softwaretool regelm ig vor der Benutzung des Ger tes verifiziert ob die Versionsnummer des TOEs mit der best tigten Version OE 8 bereinstimmt Der Anwender muss darauf achten dass bei einem sp teren Firmware Upgrade die zum Download bereitgestellte Firmware explizit als zertifizierte und best tigte Version gekennzeichnet ist 815 Abs 2 Signaturanwendungs O 1 Die PIN wird au er zum Nr 1a komponenten nach 817 Abs 2 Zeitpunkt der Verarbeitung SigV des SigG m ssen vom TOE nicht gespeichert gew hrleisten dass bei der Erzeugung einer qualifizierten 0 2 Der TOE stellt sicher dass Signatur die Identifikationsdaten dem Anwender die sichere nicht preisgegeben und diese nur PIN Eingabe eindeutig auf der jeweiligen sicheren signalisiert wird Signaturerstellungseinheit gespeichert werden 0 3 Der TOE stellt sicher dass die PIN
13. DVS 1 ALC_TAT 1 e Testdokumentation gem ATE_COV 2 ATE_DPT 1 ATE_FUN 1 e Dokumentation Schwachstellenbewertung gem AVA_MSU 3 AVA_SOF 1 AVA_VLA 4 T PP Postulate ASE_PPC 1 Es ist keine Konformit t zu einem PP vorgesehen 8 Erkl rung Dieses Kapitel enth lt im Teilkapitel 8 1 die Erkl rung der Sicherheitsziele im Teilkapitel 8 2 die Erkl rung der Sicherheitsanforderungen im Teilkapitel 8 3 die Erkl rung der TOE bersichtsspezifikation und im Teilkapitel 8 4 die Erkl rung der PP Postulate Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 24 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 8 1 Erkl rung der Sicherheitsziele Dieses Kapitel erbringt den Nachweis dass die dargelegten Sicherheitsziele auf alle Aspekte die in der TOE Sicherheitsumgebung identifiziert wurden zur ckverfolgbar und geeignet sind diese abzudecken Der TOE erf llt die Anforderungen nach 15 Absatz 2 Nr 1a keine Preisgabe oder Speicherung der Identifikationsdaten und Absatz 4 Erkennbarkeit sicherheitstechnischer Ver nderungen SigV In der nachfolgenden Tabelle wird die Zielrichtung f r die einzelnen Sicherheitsziele aufgezeigt F r jedes Sicherheitsziel f r den TOE und f r die Umgebung wird angegeben welche Bedrohungen abgewehrt und welche Annahmen ber cksichtigt werden sollen Tabelle 9 Annahmen Bedrohungen vs Sicherheitsziele 0
14. H Markus Magerl Cherry GmbH QP C Quality Planning Torsten Maykranz Project Management SCM Copyright 2005 All rights reserved The information knowledge and presentations contained in this documentation are property of Cherry GmbH The documentation or information contained knowledge and presentations must not be made accessible to others published or distributed in any other way neither completely nor partly directly nor indirectly without the permission in writing of Cherry GmbH Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 2 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved Inhaltsverzeichnis 1 ST Einf hr n g ASE INT E it 5 A A O 5 PS AAA re 7 1 3 Postulat der bereinstimmung mit den CC nooniniconononnnnninononnnnnaaraoranenean ion 7 2 TOE Beschreibung ASE_DES 1 uuussnneennnnnnnennnnnnnnennnnnnnennn nn nnennnnnnnennn nn nnennnn nn nnennn nenn 8 3 TOE Sicherheitsumgebung ASE_ENV T uensssennnunnnnasonnnssnnnunannnnnnnnusnnnnnnnnnnnnnnnusnnnnnnnnnnnnnn 11 A een E 11 A HEN SEESEEREFIESEENEEURSERDEFGESEENTEIRSERTEFFIRSEGEFTEEEENLRERSERUEFTESEENERERSESER 12 3 3 Organisatorische Sicherheitspolitik r z2u4400044000R000nnnnnannnnnnnnnannnnnnnnnnnnnnnnannnnnnnnnnn ann 13 4 Sicherheitsziele ASE GOBJA Cocoon iii iii 13 4 1 Sicherheitsziele f r den TOE uussnunnsnnnsnann
15. M 1 Quick Start Instructions und AGD_USR 1 Betriebsdokumentation M 9 Lebenszyklus ALC _DVS 1 Identifikation der SicherheitsmaBnahmen Unterst tzung ALC_TAT 1 Klar festgelegte Entwicklungswerkzeuge M 10 Test Dokumentation ATE_COV 2 Analyse der Testabdeckung ATE_DPT 1 Testen Entwurf auf hoher Ebene ATE_FUN 1 Funktionales Testen ATE_IND 2 Unabh ngiges Testen Stichprobenartig M 11 Schwachstellen AVA_MSU 3 Analysieren und Testen auf unsichere bewertung Zust nde AVA_SOF 1 St rke der TOE Sicherheitsfunktionen AVA_VLA A Hohe Widerstandsf higkeit Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 34 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 8 4 Erkl rung der PP Postulate Es ist keine Konformit t zu einem PP vorgesehen Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 35 0f 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 9 Anhang 9 1 Abk rzungen AP Advanced Performance APDU Applikation Programming Data Unit BSI Bundesamt f r Sicherheit in der Informationstechnik CC Common Criteria see CC CT Card Terminal DIN Deutsches Institut f r Normung e V EAL Evaluation Assurance Level EMV Europay Mastercard Visa HBCI Home Banking Computer Interface IBM International Business Machines ICC Integrated Chip Card ISO International Organization for Standardi
16. al ST 2xxx Common Criteria Dokument Version 1 07 Approved Anzeige des sicheren Eingabemodus vom TOE angesteuert Operation und die eingegebene PIN Objekt vom TOE an die Chipkarte Subjekt bermittelt Operation wird wenn das Kommando der Kommandostruktur gem CCID entspricht Verifizieren und Modifizieren und zus tzlich die an die Chipkarte weiterzuleitende Instruktion einem der folgenden Instruktionbytes entspricht e VERIFY ISO IEC 7816 4 INS 20 e CHANGE REFERENCE DATA ISO IEC 7816 8 INS 24 e DISABLE VERIFICATION REQUIREMENT ISO IEC 7816 8 INS 26 e ENABLE VERIFICATION REQUIREMENT ISO IEC 7816 8 INS 28 e RESET RETRY COUNTER ISO IEC 7816 8 INS 2C e UNBLOCK APPLICATION EMV2000 INS 18 Die PIN Objekt kann vom Benutzer Subjekt ber das Keypad eingegeben Operation werden Der TOE darf die PIN Objekt nur ber die Kartenleserschnittstelle zur Chipkarte Subjekt bermitteln Operation Der vom PC Subjekt initiierte Download einer neuen Firmware Operation darf nur akzeptiert werden wenn die Integrit t und Authentizit t der Firmware Objekt anhand ihrer Signatur mit dem asymmetrischen RSA Algorithmus und einer Bitl nge von 1024 erfolgreich verifiziert wurde FDP_ACF 1 3 Die TSF m ssen den Zugriff von Subjekten auf Objekte basierend auf den folgenden zus tzlichen Regeln explizit autorisieren Die TSF m ssen hierbei keine zus tzlichen Regeln ber cksichtigen FDP_ACF 1 4 Die TSF m ss
17. arten nach ISO7816 und EMV ber verschiedene Applikationsschnittstellen CT API 1 PC SC 3 u a verarbeiten kann Die Ger te arbeiten mit allen Chipkarten Daten bertragungsprotokollen gem ISO 7816 4 T 0 T 1 Daten bertragungsprotokolle f r Speicherchipkarten C 2 Wire 3 Wire Protokoll werden ebenfalls unterst tzt Der Chipkartenleser verf gt ber ein Keypad mit Silikontasten um eine sichere PIN Eingabe zu garantieren Er besitzt die numerischen Tasten 0 bis 9 sowie die Tasten Clear gelb Best tigung gr n und Abbruch rot Desweiteren sind drei Tasten und F f r zuk nftige Funktionalit ten vorgesehen Der Leser erkennt die von der Host Software bermittelten Kommandos zur PIN Eingabe und f gt die ber das Keypad eingegebenen Nummern als PIN an die entsprechenden Stellen des Kommandos an die Chipkarte ein Dabei wird nur die Tatsache an den Host gemeldet dass eine der numerischen Tasten gedr ckt wurde Dies dient der Host Applikation dem Anwender zu visualisieren dass er eine Taste gedr ckt hat bzw wie viele Nummern der PIN aktuell eingegeben sind Die PIN selbst verl sst den Leser nie in Richtung Host Die Leser k nnen an allen Hostsystemen verwendet werden die eine USB Schnittstelle besitzen Sie werden als Zubeh r im PC Umfeld eingesetzt Die Stromversorgung erfolgt ber den USB Bus Auf der Hostseite werden die Applikationsschnittstellen CT API u
18. ation for USB Chip Smart Card Interface Devices Revision 1 00 March 20 2001 ISO 7816 DIN ISO 7816 1 Identification cards Integrated circuit s cards with contacts Physical Characteristics DIN ISO 7816 2 Identification cards Integrated circuit s cards with contacts Dimensions and locations of the contacts DIN ISO 7816 3 Identification cards Integrated circuit s cards with contacts electrical characteristics and transmission protocols DIN ISO 7816 4 Information technology Identification cards Integrated circuit s cards with contacts Inter industry commands for interchange DIN ISO 7816 8 Identification cards Integrated circuit s cards with contacts Security related interindustry commands EMV 2000 EMV 2000 Book 1 Application independent ICC to Terminal Interface requirements Version 4 0 December 2000 PC SC Interoperability Specification for IC Cs and Personal Computer Systems PC SC Workgroup Version 1 0 Dezember 1997 DIN NI 17 4 DIN NI 17 4 Spezifikation der Schnittstelle zu Chipkarten mit Digitaler Signatur Anwendung Funktion nach SigG und SigV Version 1 0 vom 30 November 1998 Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 37 of 37
19. der Firmware mit dem Hash Algorithmus SHA 1 und dem asymmetrischen RSA Algorithmus mit einer Bitl nge von 1024 garantiert die Integrit t und Authentizit t der Firmware beim Laden der Firmware in den Chipkartenleser 8 2 2 Querverweise Sicherheitsziele Sicherheitsanforderungen In der nachfolgenden Tabelle wird f r jede identifizierte Sicherheitsanforderung aufgezeigt zu welchen Sicherheitszielen sie beitr gt Tabelle 13 Sicherheitsziele Sicherheitsanforderungen 0 1 0 2 0 3 0 4 0 5 0 6 FDP_ACC 1 X X X FDP_ACF 1 X X X FDP_RIP 2 X FTA_TAB 1 X FTP_PHP 1 X FCS_COP 1 X Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 30 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 8 2 3 Abh ngigkeiten der funktionalen Sicherheitsanforderungen Tabelle 14 beinhaltet die Abh ngigkeiten der funktionalen Sicherheitsanforderungen Tabelle 14 Abh ngigkeiten Sicherheits Abh ngigkeiten Referenz anforderungen FDP_ACC 1 FDP_ACF 1 FDP_ACF 1 FDP_ACF 1 FDP_ACC 1 FDP_ACC 1 FMT_MSA 3 Nicht zutreffend FDP_RIP 2 Keine FTA_TAB 1 Keine FTP_PHP 1 FMT_MOF 1 Nicht zutreffend FCS_COP 1 FDP_ITC 1 oder Nicht zutreffend FCS_CKM 1 Nicht zutreffend FCS_CKM 4 Nicht zutreffend FMT_MSA 2 Nicht zutreffend FDP_ACC 1 FDP_ACF 1 e Zugriffskontrolle basierend auf Sic
20. e zwischen Geh useunter und Oberteil geklebt werden kann die Manipulationsfreiheit der Hardware sicher erkannt werden Dies wird dadurch sichergestellt dass ein Offnen nicht ohne Besch digung des Siegels m glich ist Die Beschaffenheit Zerst reigenschaften des Siegels gew hrleistet dass es nicht unbesch digt entfernt und wieder aufgeklebt werden kann Das eingesetzte Siegel ist f lschungssicher weist Authentizit tsmerkmale auf Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 23 0f 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 6 3 Ma nahmen zur Vertrauensw rdigkeit Der TOE erf llt die Vertrauensw rdigkeitsanforderungen die in der Klasse ASE und der Evaluationsstufe EAL3 gefordert sind Das vorliegende Dokument Sicherheitsvorgaben dient der Erf llung der Anforderungen entsprechend ASE Neben dem TOE gem ATE_IND 1 liefert der Hersteller im Rahmen der Evaluierung die folgenden zus tzlichen Dokumente um eindeutig die Erf llung der Anforderungen entsprechend EAL3 nachzuweisen e Dokumentation Konfigurationsmanagement gem ACM_CAP 3 und ACM_SCP 1 e Dokumentation Auslieferung und Betrieb gem ADO_DEL 2 und ADO_IGS 1 e Dokumentation Entwicklung gem ADV_FSP 1 ADV_HLD 2 ADV_IMP 1 ADV_LLD 1 ADV_RCR 1 e Dokumentation Handb cher gem AGD_ADM 1 und AGD_USR 1 e Dokumentation Lebenszyklus Unterst tzung gem ALC_
21. eine Betrachtung der St rke SOF in Frage kommt wird die St rke SOF Hoch gefordert Im Einzelnen gilt Die TOE Sicherheitsfunktion nutzen zwei Mechanismen die einen sicheren Firmwaredownload garantieren F r die Authentisierung der Firmware wird ein asymmetrischer RSA Algorithmus mit einer Bitl nge von 1024 verwendet F r die Sicherung der Integrit t der Firmware wird die Hashfunktion SHA 1 mit einer L nge von 160 Bit eingesetzt Diese Mechanismen erreichen die Mindestst rke SOF Hoch Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 20 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 5 3 Anforderungen an die Vertrauensw rdigkeit des TOE Der TOE soll die Vertrauensw rdigkeitsanforderungen entsprechend der Klasse ASE und der Vertrauensw rdigkeitsstufe EAL3 gem Teil 3 der CC mit Zusatz ADO_DEL 2 ADV_IMP 1 ADV_LLD 1 ALC_TAT 1 AVA_MSU 3 AVA_VLA 4 erf llen Die Widerstandsf higkeit des TOE gegen Angreifer mit hohem Angriffpotential wird mit hoch eingestuft Alle Anforderungen der Evaluationsstufe EAL3 sind in der folgenden Tabelle aufgelistet Die zus tzlichen Anforderungen f r die Einstufung mit Zusatz sind fettgedruckt Die Punkte AVA_MSU 1 und AVA_VLA 1 werden durch AVA_MSU 3 und AVA_VLA 4 ersetzt Tabelle 7 Anforderungen an die Vertrauensw rdigkeit ASE und EAL3 Vertrauensw rdig Vertrauensw rdig Vertrauensw rd
22. eitsanforderungen des TOE Alle Sicherheitsanforderungen werden durch die vorhandenen Sicherheitsfunktionen die sich gegenseitig zu einem sicheren Gesamtsystem erg nzen abgedeckt Tabelle 15 Sicherheitsfunktionen Sicherheitsanforderungen Sicherheits funktion Sicherheits anforderung Kommentar SF 1 SF 2 Schutz der PIN Speicherwieder aufbereitung FDP_ACC 1 FDP_ACF 1 FTA_TAB 1 FDP_RIP 2 Das Einschalten des sicheren PIN Eingabemodus wird durch ein explizites CT Kommando nach CCID durchgef hrt Dieses CT Kommando enth lt die PIN Handlingsvereinbarungen und das Chipkartenkommando in welches die PIN an die spezifizierte Stelle integriert wird Anhand des Instructionbytes des Chipkartenkommandos wird berpr ft ob es sich um ein PIN Kommando handelt siehe Tabelle 16 welches explizit eine PIN Eingabe erwartet Im PIN Eingabemodus wird die Eingabe der pers nlichen Identifikationsdaten im RAM zwischengespeichert um sie nach erfolgreicher Beendigung der Eingabe direkt mit dem PIN Kommando zur Chipkarte zu senden Der PIN Eingabemodus wird optisch durch ein Blinken der orangen PIN LED angezeigt bis die Vollst ndigkeit der PIN erreicht beziehungsweise der Vorgang abgebrochen wird Zum Abbruch des Vorgangs z hlen das Ziehen der Karte das Bet tigen der Abbruchtaste und das berschreiten der vorgegebenen Eingabezeit Der Eingabefortschritt wird mittels bertragung von Dummycodes dem System mitg
23. ell 20 Chipkartenleser mit 16er Tastenfeld Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 6 0f 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 1 2 ST bersicht Beim TOE handelt es sich um ein universelles Chipkartenleseger t mit Keypad welches die Funktionalit t zur sicheren PIN Eingabe sowie zum authentischen Firmware Download bietet Die Sicherheitsvorgaben stellen die funktionalen sowie organisatorischen Sicherheitsanforderungen und prozeduren an den TOE und dessen Einsatzumgebung dar die den Sicherheitszielen nach SigG SigV e Keine Preisgabe oder Speicherung der Identifikationsdaten 815 Abs 2 Nr 1a SigV e Erkennbarkeit sicherheitstechnischer Ver nderungen 15 Abs 4 SigV entsprechen 1 3 Postulat der bereinstimmung mit den CC Die Sicherheitsvorgaben sind in ihren funktionalen Anforderungen konform zu den Vorgaben nach Teil 2 und in ihren Anforderungen zur Vertrauensw rdigkeit konform zu Teil 3 der CC Version 2 1 August 1999 EAL3 mit Zusatz ADO_DEL 2 ADV_IMP 1 ADV_LLD 1 ALC_TAT 1 AVA_MSU 3 und AVA_VLA 4 Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 7 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 2 TOE Beschreibung ASE_DES 1 Der Chipkartenleser ST 2xxx stellt ein universelles Chipkartenleseger t dar das Prozessorchipk
24. en den Zugriff von Subjekten auf Objekte basierend auf keinen zus tzlichen Regeln explizit verweigern 5 1 1 3 Schutz bei erhalten gebliebenen Informationen Familie FDP_RIP FDP_RIP 2 Vollst ndiger Schutz bei erhalten gebliebenen Informationen FDP_RIP 2 1 Die TSF m ssen sicherstellen dass der fr here Informationsinhalt eines Betriebsmittels bei Wiederfreigabe eines Betriebsmittels von allen Objekten nicht verf gbar ist Nach dem Einschalten dem Weiterleiten eines PIN Kommandos zur Chipkarte bzw dem Ziehen der Chipkarte oder dem Abbruch wird der PIN Speicherbereich wiederaufbereitet und die LED vom Mode der sicheren PIN Eingabe in den entsprechenden Mode umgeschaltet Die Speicheraufbereitung stellt sicher dass keine pers nlichen Identifikationsdaten bzw Datenfragmente im Kartenterminal nach Abschluss der PIN Eingabe oder Entnahme der Karte vorhanden sind Das Umschalten der LED zur Anzeige der sicheren PIN Eingabe stellt einen Status bergang innerhalb des TOE dar Der TOE signalisiert dem Benutzer dass er sich jetzt in dem Zustand der sicheren PIN Eingabe befindet Nur in diesem Zustand ist eine PIN Eingabe m glich Das missbr uchliche provozieren einer PIN Eingabe ist dadurch erkennbar Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 18 0f 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 5 1 2 TOE Zugriff Klasse FTA 5 1 2 1 TOE Zugriffswa
25. erungen und Sicherheitsma nahmen Tabelle 18 Sicherheitsma nahmen Sicherheitsanforderungen Sicherheits Sicherheits Kommentar ma nahmen anforderung SM 1 Versiegelung FTP_PHP 1 Die Anforderung der Sicherheit vor materieller Manipulation des TOE wird nicht durch eine Sicherheitsfunktion SF als Bestandteil der TSF erf llt sondern wird durch die Sicherheitsma nahme SM der Versiegelung gew hrleistet 8 3 3 Anforderungen und Ma nahmen zur Vertrauensw rdigkeit Tabelle 19 Anforderungen und Ma nahmen zur Vertrauensw rdigkeit Ma nahme zur Anforderungen Kommentar Vertrauensw rdigkeit an die Vertrauens w rdigkeit M 1 Konfigurations ACM_CAP 3 Autorisierungskontrolle management ACM_SCP 1 TOE CM Umfang M 2 Auslieferung und Betrieb ADO_DEL 2 Erkennung von Modifizierungen ADO_IGS 1 Installations Generierungs und Anlaufprozeduren M 3 Informell funktionale ADV_FSP 1 Informell funktionale Spezifikation Spezifikation M 4 Sicherheitsspezifischer ADV_HLD 2 Sicherheitsspezifischer Entwurf auf hoher Ebene Entwurf auf hoher Ebene M 5 Darstellung der ADV_IMP 1 Teilmenge der Implementierung der TSF Implementierung M 6 Entwurf auf niedriger ADV_LLD 1 Beschreibender Entwurf auf niedriger Ebene Ebene M 7 Informeller Nachweis der ADV_RCR 1 Informeller Nachweis der bereinstimmung bereinstimmung M 8 Handb cher AGD_AD
26. eteilt Nach dem Einschalten dem Weiterleiten eines PIN Kommandos bzw dem Ziehen der Chipkarte oder dem Abbruch wird der PIN Speicherbereich wiederaufbereitet und der LED Mode zur Anzeige der sicheren PIN Eingabe umgeschaltet SF 3 Sicherer Firmwaredownl oad FCS_COP 1 Die Verifikation einer Signatur der Firmware mit dem Hash Algorithmus SHA 1 und dem asymmetrischen RSA Algorithmus mit einer Bitl nge von 1024 garantiert die Integrit t und Authentizit t der Firmware beim Laden der Firmware in den Chipkartenleser Tabelle 16 Instructionbytes ISO 7816 EMV 2000 INS Bezeichnung Bedeutung Norm Byte 20 VERIFY PIN Eingabe ISO IEC 7816 4 24 CHANGE REFERENCE PIN ndern ISO IEC 7816 8 DATA 26 DISABLE VERIFICATION PIN aktivieren ISO IEC 7816 8 REQUIREMENT 28 ENABLE VERIFICATION PIN deaktivieren ISO IEC 7816 8 REQUIREMENT 2Ch RESET RETRY PIN entsperren ISO IEC 7816 8 COUNTER 18h UNBLOCK APPLICATION Applikation entblocken EMV2000 Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 33 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved Tabelle 17 Zuordnung Sicherheitsanforderungen Sicherheitsfunktionen Sicherheitsanforderungen SF 1 SF 2 SF 3 FDP_ACC 1 x FDP_ACF 1 x FDP_RIP 2 x FTA_TAB 1 x FCS_COP 1 x 8 3 2 Sicherheitsanford
27. eypad den Status der LED dahingehend berpr ft ob der Modus der sicheren PIN Eingabe aktiv ist OE 5 bildet eine Zielvorgabe die unmittelbar die Annahme umsetzt AE 6 Es wird angenommen dass der Benutzer die PIN ber das Keypad eingibt OE 6 bildet eine Zielvorgabe die unmittelbar die Annahme umsetzt AE 7 Es wird angenommen dass der Benutzer mit einem vom Hersteller bereitgestellten Softwaretool regelm ig vor der Benutzung des Ger tes verifiziert ob die Versionsnummer des TOESs mit der best tigten Version bereinstimmt OE 7 Der Anwender muss mit einem vom Hersteller bereitgestellten Softwaretool regelm ig vor der Benutzung des Ger tes verifiziert ob die Versionsnummer des TOEs mit der best tigten Version bereinstimmt Applikationen gem 2 Nummer 11 SigG verifizieren dass nur best tigte Versionen des TOEs verwendet werden um diese Aufgabe dem Endanwender abzunehmen AE 8 Es wird angenommen dass der Benutzer bei einem sp teren Firmware Upgrade darauf achtet dass die zum Download bereitgestellte Firmware explizit als zertifizierte und best tigte Version gekennzeichnet ist OE 8 Der Anwender muss darauf achten dass bei einem sp teren Firmware Upgrade die zum Download bereitgestellte Firmware explizit als zertifizierte und best tigte Version gekennzeichnet ist Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 28 of 37
28. heitstechnische Ver nderungen am TOE ber das Siegel erkannt werden OE 3 Unterst tzt zus tzlich das Sicherheitsziel O 5 bei der Abwehr der Bedrohung T 1 da der Anwender das Sicherheitssiegel regelm ig vor Benutzung des Ger tes auf Unversehrtheit pr fen muss OE 1 Unterst tzt zus tzlich das Sicherheitsziel O 5 und OE 3 bei der Abwehr der Bedrohung T 1 da der TOE als Kartenterminal f r die nicht ffentliche Umgebung eingesetzt wird T 2 Ein Angreifer k nnte versuchen eine PIN Eingabe zu provozieren und damit die PIN zu erlangen 0 2 Unterst tzt die Abwehr der Bedrohung T 2 da dem Anwender die sichere PIN Eingabe durch eine blinkende LED angezeigt wird OE 5 Unterst tzt zus tzlich die Abwehr der Bedrohung T 2 da der Anwender die Anzeige LED zur sicheren PIN Eingabe berpr ft T 3a Ein Angreifer k nnte versuchen den TOE in seinen Bestandteilen Hardware und Firmware zu manipulieren um die PIN zu ermitteln 0 5 Unterst tzt die Abwehr der Bedrohung T 3a da sicherheitstechnische Ver nderungen am TOE ber das Siegel erkannt werden OE 3 Unterst tzt zus tzlich das Sicherheitsziel O 5 bei der Abwehr der Bedrohung T 3a da der Anwender das Sicherheitssiegel regelm ig vor Benutzung des Ger tes auf Unversehrtheit pr fen muss OE 1 Unterst tzt zus tzlich das Sicherheitsziel O 5 und OE 3 bei der Abwehr der Bedrohung T 3a da der TOE als Kartenterminal f r die nicht ffen
29. hem Angriffspotential kann diese Sicherheitsfunktion nicht umgehen da er aufgrund der Implementierung dieser Funktion keine M glichkeit besitzt die Speicherwiederaufbereitung im TOE zu manipulieren Dies w re nur durch Download einer manipulierten Firmware m glich was aber nicht m glich ist siehe SF 3 Security Function 3 Sicherer Firmwaredownload SF 3 Die Verifikation einer Signatur der Firmware mit dem asymmetrischen RSA Algorithmus und einer Bitl nge von 1024 garantiert die Integrit t und Authentizit t der Firmware beim Laden einer neuen Firmware in den Chipkartenleser Der Hash Wert ber die neu zu ladende Firmware wird basierend auf dem Algorithmus SHA 1 mit einer L nge von 160 Bit ermittelt Die Verifikation der Integrit t und Authentizit t erfolgt im TOE durch Vergleich des ermittelten Hash Wertes und des Hash Wertes als Bestandteil der entschl sselten Signatur Der ffentliche Schl ssel ist hierf r im TOE gespeichert Ein Angreifer mit hohem Angriffspotential kann diese Sicherheitsfunktion nicht umgehen da er nicht in den Besitz des privaten Schl ssels gelangen kann und somit den TOE nicht manipulieren kann Da die Wahrscheinlichkeit den Schl ssel zu erraten oder zu errechnen zu gering ist erf llt der sichere Firmwaredownload die Mindestst rke der Funktionen hoch 6 2 TOE Sicherheitsma nahme Versiegelung SM 1 Anhand authentischer und f lschungssicherer Sicherheitssiegel welche ber die Trennkant
30. herheitsattributen FDP_ACF 1 FDP_ACC 1 e Teilweise Zugriffskontrolle FMT_MSA 3 e Initialisierung statischer Attribute e Keine Abh ngigkeit f r den TOE da keine Ver nderung der Sicherheitsattribute m glich ist wodurch ein Management der Sicherheitsattribute entfallen kann Die Identit t der Subjekte und Objekte stellt schon an sich das Sicherheitsattribut dar Dadurch ist die Initialisierung weiterer Sicherheitsattribute nicht notwendig FDP_RIP 2 Keine Abh ngigkeiten FTA_TAB 1 Keine Abh ngigkeiten FTP_PHP 1 FMT_MOF 1 e Management des Verhaltens der Sicherheitsfunktionen e Keine Abh ngigkeit f r den TOE da keine Ver nderung des Verhaltens der Sicherheitsfunktion m glich ist wodurch ein Management des Verhaltens der Sicherheitsfunktionen entfallen kann FCS_COP 1 RSA FDP_ITC 1 e Import von Benutzerdaten ohne Sicherheitsattribute e Keine unmittelbare Abh ngigkeit f r den TOE da der Schl ssel beim Hersteller eingebracht und mit dem TOE ausgeliefert wird FCS_CKM 1 e Kryptographische Schl sselgenerierung e Ist eine Anforderung f r die Entwicklungsumgebung des Herstellers die Schl sselgenerierung beschreibend e Keine unmittelbare Abh ngigkeit f r den TOE FCS_CKM 4 e Zerst rung des kryptographischen Schl ssels Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 31 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved e Ist eine A
31. igkeit 5 4 Sicherheitsanforderungen an die IT Umgebung Es gibt keine Sicherheitsanforderungen an die IT Umgebung Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 21 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 6 TOE Ubersichtsspezifikation ASE_TSS 1 Dieses Kapitel beschreibt im Unterkapitel 6 1 die TOE Sicherheitsfunktionen sowie die in 6 2 beschriebene TOE Sicherheitsma nahme Versiegelung Die vom Entwickler ergriffenen Ma nahmen zur Vertrauensw rdigkeit werden im Unterkapitel 6 3 aufgef hrt 6 1 TOE Sicherheitsfunktionen Um ein elektronisches Dokument digital zu signieren wird der Benutzer durch die Applikation zum Stecken seiner Signaturkarte aufgefordert Anschlie end muss die Applikation digitale Signatur in der Chipkarte aktiviert werden Hierzu muss sich der Inhaber durch Besitz Signaturkarte und Wissen PIN gegen ber seiner Signaturkarte authentifizieren Der Schutz der pers nlichen Identifikationsdaten PIN steht im Vordergrund Der TOE bietet dem Nutzer die Sicherheitsfunktionen zum Schutz der Identifikationsdaten PIN und zur Wiederaufbereitung von Informationstr gern Speicherbereiche und LED Anzeige Die Realisierung der einzelnen Sicherheitsfunktionen wird im Folgenden beschrieben Security Function 1 Schutz der PIN SF 1 Das Umschalten des Kartenterminals in den sicheren PIN Eingabemodus w
32. igkeitskomponenten keitsklasse keitsfamilie Evaluation der ASE_DES 1 Beschreibung des TOE Sicherheitsvorgaben ASE_ENV 1 Sicherheitsumgebung ASE_INT 1 ST Einf hrung ASE_OBJ 1 Sicherheitsziele ASE_PPC 1 PP Postulate ASE_REQ 1 IT Sicherheitsanforderungen ASE_SRE 1 Explizit dargelegte IT Sicherheitsanforderungen ASE_TSS 1 TOE Ubersichtsspezifikation Konfigurations ACM_CAP 3 Autorisierungskontrolle management ACM_SCP 1 TOE CM Umfang Auslieferung und ADO_DEL 2 Erkennung von Modifizierungen Betrieb ADO_IGS 1 Installations Generierungs und Anlaufprozeduren Entwicklung ADV_FSP 1 Informell funktionale Spezifikation ADV_HLD 2 Sicherheitsspezifischer Entwurf auf hoher Ebene ADV_IMP 1 Teilmenge der Implementierung der TSF ADV_LLD 1 Beschreibender Entwurf auf niedriger Ebene ADV_RCR 1 Informeller Nachweis der Ubereinstimmung Handb cher AGD_ADM 1 Systemverwalterhandbuch AGD_USR 1 Benutzerhandbuch Lebenszyklus ALC_DVS 1 Identifikation der Sicherheitsma nahmen Unterst tzung ALC_TAT 1 Klar festgelegte Entwicklungswerkzeuge Testen ATE_COV 2 Analyse der Testabdeckung ATE_DPT 1 Testen Entwurf auf hoher Ebene ATE_FUN 1 Funktionales Testen ATE_IND 2 Unabh ngiges Testen Stichprobenartig Schwachstellen AVA_MSU 3 Analysieren und Testen auf unsichere Zust nde bewertung AVA_SOF 1 St rke der TOE Sicherheitsfunktionen AVA_VLA A Hohe Widerstandsf h
33. ird durch ein explizites CT Kommando nach CCID durchgef hrt Dieses CT Kommando enth lt die PIN Handlingsvereinbarungen und das Chipkartenkommando in welches die PIN an die spezifizierte Stelle integriert wird Anhand des Instructionbytes des Chipkartenkommandos wird berpr ft ob es sich um ein PIN Kommando handelt welches explizit eine PIN Eingabe erwartet In der folgenden Tabelle sind die zugelassenen Instructionbytes aufgef hrt Tabelle 8 Instructionbytes ISO 7816 EMV 2000 INS Bezeichnung Bedeutung Norm Byte 20 VERIFY PIN eingeben ISO IEC 7816 4 24 CHANGE REFERENCE PIN ndern ISO IEC 7816 8 DATA 26 DISABLE VERIFICATION PIN aktivieren ISO IEC 7816 8 REQUIREMENT 28 ENABLE VERIFICATION PIN deaktivieren ISO IEC 7816 8 REQUIREMENT 2Ch RESET RETRY COUNTER PIN entsperren ISO IEC 7816 8 18 UNBLOCK APPLICATION Applikation entblocken EMV2000 Die Eingabe der pers nlichen Identifikationsdaten wird im RAM zwischengespeichert um sie nach Beendigung der Eingabe direkt mit dem PIN Kommando zur Chipkarte zu senden Der PIN Eingabemodus wird optisch durch ein oranges Blinken der PIN LED angezeigt bis die Vollst ndigkeit der PIN erreicht beziehungsweise der Vorgang abgebrochen wird Zum Abbruch des Vorgangs z hlen das Ziehen der Karte das Bet tigen der Abbruchtaste und das berschreiten der vorgegebenen Eingabezeit Dem Benutzer wird der Fortschritt seiner Eingabe mit de
34. kationen gem Signaturgesetz und Signaturverordnung 6 7 eingesetzt werden Sie dienen des Weiteren zur bermittlung des Hash Wertes von der Anwendung zur Signaturkarte und zur R ck bertragung der Signatur von der Karte zur Signaturanwendung Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 8 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved Sie stellen somit eine Teilkomponente f r Signaturanwendungskomponenten dar die eine Sicherheitsbest tigung ben tigen um f r qualifizierte elektronische Signaturen nach 2 Nummer 3 SigG eingesetzt werden zu k nnen Zur Verwendung des TOE gem SigG SigV sind sowohl Applikationen Signaturanwendungen als auch Chipkarten die im SigG Kontext evaluiert und best tigt wurden einzusetzen Die Chipkartenleser ST 2xxx erf llen die speziellen Anforderungen nach 815 Absatz 2 Nr 1a keine Preisgabe oder Speicherung der Identifikationsdaten und Absatz 4 Erkennbarkeit sicherheitstechnischer Ver nderungen SigV Nachfolgende Liste der zur sicheren PIN Eingabe unterst tzten Instruction Bytes sind von den Applikationen zu verwenden und von den Chipkarten spezifikationsgem zu unterst tzen bzw bei Nicht Unterst tzung mit einer geeigneten Fehlermeldung abzulehnen e VERIFY ISO IEC 7816 4 INS 0x20 e CHANGE REFERENCE DATA ISO IEC 7816 8 INS 0x24 e ENABLE VERIFICATION REQUIREMENT ISO IEC 7816 8 INS 0x28
35. l dargelegt Dies umfasst die Sicherheitsaspekte der Umgebung sowie die erwartete Art des Gebrauchs des TOE In diesem Zusammenhang werden die zu sch tzenden Werte und die handelnden Personen in Hinblick auf gebrauchsgerechte und missbr uchliche Nutzung des TOE beleuchtet Zu sch tzen sind die PIN als Identifikationsmerkmal des Chipkarteninhabers sowie die Firmware und Hardware des TOE Als Bedrohungen f r der TOE durch einen Angreifer gelten das Aussp hen der Identifikationsdaten und die sicherheitstechnische Ver nderung am TOE Um diesen Bedrohungen entgegen zu wirken wurden entsprechende Mechanismen integriert e Die sichere PIN Eingabe wird durch eine LED angezeigt Speicherbereiche werden definiert aufbereitet Der TOE darf die PIN nur zur Chipkarte bertragen Die PIN darf nur ber zugelassene PIN Kommandos an die Chipkarte weitergegeben werden Der TOE wird durch Siegel gesch tzt Der Endanwender wird ber seine Verantwortung w hrend der Nutzung des TOEs informiert 3 1 Annahmen Der TOE ist f r einen universellen Einsatz in chipkartenbasierenden Applikationen ohne vorherige Authentisierung geeignet M gliche Anwendungen sind e Digitale Signatur e Homebanking HBCI e Access Control PC Systeme e Internet Shopping Bei der Anwendung qualifizierte elektronische Signatur d rfen ausschlie lich im Sinne des SigG und SigV best tigte Chipkarten und best tigte Signaturanwendungsprogramme bzw herstellererkl rte Signua
36. lm ig vor Benutzung des Ger ts durch die Kontrolle der Unversehrtheit der Siegel berzeugt ob keine sicherheitstechnischen Ver nderungen am Kartenterminal vorgenommen wurden AE 4 Es wird angenommen dass der Benutzer eine unbeobachtete Eingabe der Identifikationsdaten PIN gew hrleistet AE 5 Es wird angenommen dass der Benutzer w hrend der PIN Eingabe ber das Keypad den Status der LED dahingehend berpr ft ob der Modus der sicheren PIN Eingabe aktiv ist AE 6 Es wird angenommen dass der Benutzer die PIN ber das Keypad eingibt AE 7 Es wird angenommen dass der Benutzer mit einem vom Hersteller bereitgestellten Softwaretool regelm ig vor Benutzung des Ger ts verifiziert ob die Versionsnummer des TOEs mit der best tigten Version bereinstimmt Applikationen gem 2 Nummer 11 SigG sollten automatisch verifizieren dass nur best tigte Versionen des TOEs verwendet werden um diese Aufgabe dem Endanwender abzunehmen AE 8 Es wird angenommen dass der Benutzer bei einem sp teren Firmware Upgrade darauf achtet dass die zum Download bereitgestellte Firmware explizit als zertifizierte und best tigte Version gekennzeichnet ist 3 2 Bedrohungen Im Folgenden werden alle gegen die Werte gerichteten Bedrohungen die einen speziellen Schutz innerhalb des TOE oder in dessen Umgebung erforderlich machen und f r den sicheren Betrieb des TOE relevant sind betrachtet Es werden die Urheber von Bedrohunge
37. m Dummycode f r jede eingegebene Ziffer angezeigt Die Ausgabe der Dummycodes erfolgt ber die USB Schnittstelle die dann von der entsprechenden PC Anwendung angezeigt wird Innerhalb des TOE wird aber mit der korrekten PIN gearbeitet Auch ein Angreifer mit hohem Angriffspotential kann die Sicherheitsfunktionen nicht manipulieren da der Austausch der PIN nur zwischen Chipkarte und TOE ber die Kartenleserschnittstelle erfolgt Diese befindet sich im TOE und wird gegen Manipulation mit Sicherheitssiegel gesch tzt Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 22 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved Security Function 2 Speicherwiederaufbereitung SF 2 Die Kommunikation zwischen PC System und Chipkarte basiert gem CCID auf den sogenannten APDU s Wird eine APDU ber die USB Schnittstelle im Kartenterminal empfangen so wird sie zuerst zwischengespeichert um anschlie end zur Chipkarte gesendet zu werden Nach dem Einschalten dem Weiterleiten eines PIN Kommandos bzw dem Ziehen der Chipkarte oder dem Abbruch wird der PIN Speicherbereich wiederaufbereitet um sicherzustellen dass keine pers nlichen Identifikationsdaten bzw Datenfragmente im Kartenterminal erhalten bleiben Der Speicherbereich beinhaltet sowohl die PIN als auch die APDU Au erdem wird die LED zur Anzeige der sicheren PIN Eingabe ausgeschaltet Ein Angreifer mit ho
38. n identifiziert und anhand von Angriffen und angegriffenen Werten beschrieben Es wird davon ausgegangen dass ein Angreifer sehr gute Kenntnisse in Elektronik und Software besitzen muss Die Motivation des Angreifers ist die PIN des Benutzers auszusp hen Dabei k nnte der Angreifer folgende Schwachstellen des TOE ausnutzen die Schnittstelle zwischen Leser und Chipkarte das Keypad zur PIN Eingabe den Firmware Download Gelegenheit zum Angriff bietet sich wenn der TOE vom Benutzer unbeobachtet ist oder der Benutzer unvorsichtig bei der PIN Eingabe ist Tabelle 2 Bedrohungen Bedrohungen Beschreibung T 1 Ein Angreifer k nnte versuchen durch Einsatz von Sniffertools Hardware oder Software die ber den TOE eingegebene PIN auszusp hen T 2 Ein Angreifer k nnte versuchen eine PIN Eingabe zu provozieren und damit die PIN zu erlangen T 3a Ein Angreifer k nnte versuchen den TOE in seinen Bestandteilen Hardware und Firmware zu manipulieren um die PIN zu ermitteln T 3b Ein Angreifer k nnte versuchen die im TOE zwischengespeicherte PIN auszulesen T 4 Ein Angreifer k nnte versuchen die PIN in einen ungesch tzten Bereich der Chipkarte zu schreiben um sie anschlie end daraus auszulesen T 5 Ein Angreifer k nnte versuchen durch Manipulation des Sicherheitssiegels sicherheitstechnische Ver nderungen am TOE vorzunehmen Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite
39. nd PC SC zur Verf gung gestellt die f r alle Chipkartenarten genutzt werden k nnen Alle Funktionalit ten an den Schnittstellen werden f r CT API gem 1 und f r PC SC gem 3 abgebildet Weitere Schnittstellen wie OCF sind in Planung befindlich Die Treiber der Chipkartenleser unterst tzt folgende Betriebssysteme e Windows 98 Windows ME Windows 2000 Windows XP Windows CE gt 3 0 in Vorbereitung Linux in Vorbereitung MacOS X in Vorbereitung Solaris in Vorbereitung Der Chipkartenleser ST 2xxx besitzt keine Funktionalit t die ohne Anschluss an einen Host arbeitet Er muss generell an einem Host betrieben werden Die Treibersoftware geh rt nicht zum Evaluationsumfang Der TOE endet an der USB Schnittstelle zum Host Rechner Die Schnittstelle zwischen Host und dem Kartenterminal basiert auf dem Funktionsumfang der CCID Die USB Schnittstelle stellt die physikalische und logische Abgrenzung des TOE zum Host System dar Ziel ist es das Kartenterminal u a f r die Applikation digitale Signatur nach dem deutschen Signaturgesetz SigG einzusetzen Die Chipkartenleser ST 2xxx sind wegen ihrer Multifunktionalit t in vielen Marktsegmenten einsetzbar Da die Chipkartenleser als Klasse 2 Leser 5 auch in der Lage sind Identifikationsdaten PIN zu erfassen und an sichere Signaturerstellungseinheiten Signatur Chipkarten nach 82 Nummer 10 SigG auf sicherem Weg zu bermitteln k nnen sie auch f r Appli
40. nforderung f r die IT Umgebung die Zerst rung des generierten privaten Schl ssel beschreibend e Keine unmittelbare Abh ngigkeit f r den TOE da dieser nur den ffentlichen Schl ssel enth lt FMT_MSA 2 e Sichere Sicherheitsattribute e Keine Abh ngigkeit f r den TOE da nur ein Schl ssel f r den sicheren Firmware Download vorhanden ist wodurch ein Management der Sicherheitsattribute entfallen kann FCS_COP 1 SHA FDP_ITC 1 e Import von Benutzerdaten ohne Sicherheitsattribute e Keine Abh ngigkeit da der Hash Algorithmus keine Schl ssel verwendet FCS_CKM 1 e Kryptographische Schl sselgenerierung e Keine Abh ngigkeit da der Hash Algorithmus keine Schl ssel verwendet FCS_CKM 4 e Zerst rung des kryptographischen Schl ssels e Keine Abh ngigkeit da der Hash Algorithmus keine Schl ssel verwendet FMT_MSA 2 e Sichere Sicherheitsattribute e Keine Abh ngigkeit da der Hash Algorithmus keine Schl ssel verwendet 8 2 4 Zuordnung der Sicherheitsanforderungen an die IT Umgebung Es gibt keine Anforderungen an die IT Umgebung Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 32 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 8 3 Erkl rung der TOE bersichtsspezifikation 8 3 1 Sicherheitsanforderungen und Sicherheitsfunktionen Die in der folgendenden Tabelle zusammengefassten Sicherheitsfunktionen entsprechen und erg nzen die Sicherh
41. nnnnnnnnnnnnnunnnnnnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnannnnnannnnnannn 13 4 2 Sicherheitsziele f r die Umgebung urr200nrr0000nn0nnnnnannnnnannnnnnnnnannnnnannnnnnnnnnannnnnannnnnannn 14 4 3 Zusammenh nge Anforderungen SigG SigV Sicherheitsziele 14 5 IT Sicherheitsanforderungen ASE_REQ T uuussnnsennnsnnnennnnnnnennnnnnnnennn nn nnennn nn nnennn anne 16 5 1 Funktionale Sicherheitsanforderungen an den TOE uuesussrennsnnannnnnnnnnnnnnnnnnnnnnannnnnnannn 16 5 1 1 Schutz der Benutzerdaten Klasse FDP 04200042400nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnn 17 51 2 TOE Z griff Klasse PTA iii een 19 5 1 3 Schutz der TSF Klasse FPT arrar ainan apata aatakai ei iaiia nata a aA T aiat anaia 19 5 1 4 Kryptographische Unterst tzung Klasse FCS 2400444004sn0unnnnnnnnnnnnnnnnnnnnennnnn 20 5 2 Anforderungen an die Mindestst rke der TOE Sicherheitsfunktionen unr nr 20 5 3 Anforderungen an die Vertrauensw rdigkeit des TOE uuuuuuunssnannnnnonnnnnnnnnnnnnnnnannnnnnnnn 21 5 4 Sicherheitsanforderungen an die IT Umgebung 02024400000000nn00nnnnnannnnnnnnnannnnnn ann 21 6 TOE bersichtsspezifikation ASE TOS Tui iii daran 22 6 1 TOE Sicherheitsfunktionen uuesusnnenannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnn nn 22 6 2 TOE SicherheitsmaBnahme Versiegelung SM 1 r22us
42. nur zur Chipkarte bertragen wird 0 4 Der TOE stellt sicher dass die PIN nur ber PIN Kommandos mit zul ssigen Instructionbytes an die Chipkarte weiterleitet wird OE 5 W hrend der PIN Eingabe ber das Keypad des Kartenterminals muss der Benutzer den Status der LEDs dahingehend berpr fen dass der Modus der sicheren PIN Eingabe aktiv ist OE 6 Der Benutzer muss die PIN ber das Keypad eingeben Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 15 0f 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 5 IT Sicherheitsanforderungen ASE_REQ 1 Dieses Kapitel beschreibt die TOE Sicherheitsanforderungen in den Teilkapitel 5 1 Funktionale Sicherheitsanforderungen an den TOE 5 2 Anforderungen an die Mindestst rke der TOE Sicherheitsfunktionen 5 3 Anforderungen an die Vertrauensw rdigkeit des TOE und 5 4 Sicherheitsanforderungen an die IT Umgebung 5 1 Funktionale Sicherheitsanforderungen an den TOE In der nachfolgenden Tabelle sind alle funktionalen Anforderungen an den TOE in Form von Verweisen auf Komponenten der Common Criteria Teil 2 CC aufgef hrt In der vierten Spalte sind die Abh ngigkeiten zwischen funktionalen Komponenten aufgef hrt Es wurden die Ausf hrung der Operationen Auswahl und Zuweisung durch kursive Schrift im Text der Komponenten gekennzeichnet Tabelle 6 Funktionale Anforderungen an den TOE
43. onalen sowie organisatorischen Sicherheitsanforderungen und prozeduren an den TOE und dessen Einsatzumgebung dar die den Sicherheitszielen nach SigG SigV e Keine Preisgabe oder Speicherung der Identifikationsdaten 815 Abs 2 Nr 1a SigV e Erkennbarkeit sicherheitstechnischer Ver nderungen 815 Abs 4 SigV entsprechen Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 29 0f 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 8 2 1 Zusammenh nge Sicherheitsziele Sicherheitsanforderungen Tabelle 12 Sicherheitsziele Sicherheitsanforderungen Sicherheitsziele Sicherheits Kommentar anforderungen O 1 FDP_RIP 2 Nach dem Einschalten dem Weiterleiten eines PIN Kommandos bzw dem Ziehen der Chipkarte oder dem Abbruch wird der PIN Speicherbereich wiederaufbereitet und der LED Mode zur Anzeige der sicheren PIN Eingabe umgeschaltet 0 2 FTA_TAB 1 W hrend sich der TOE im sicheren PIN Eingabemodus befindet wird dieser Zustand durch eine blinkende orange LED angezeigt 0 3 FDP_ACC 1 Der TOE bertr gt die PIN nur zur Chipkarte FDP_ACF 1 0 4 FDP_ACC 1 Der TOE leitet nur PIN Kommandos mit zul ssigen FDP_ACF 1 Instructionbytes an die Chipkarte weiter 0 5 FPT_PHP 1 Der TOE stellt sicher dass sicherheitstechnische Ver nderungen am TOE durch das Sicherheitssiegel erkennbar sind 0 6 FCS_COP 1 Die Verifikation einer Signatur
44. rnmeldung Familie FTA_TAB FTA_TAB 1 Vorgegebene TOE Zugriffswarnmeldung FTA_TAB 1 1 Vor Einrichtung einer Benutzersitzung m ssen die TSF einen beratenden Warnhinweis f r den nichtautorisierten Gebrauch des TOE anzeigen W hrend sich der TOE im sicheren Eingabemodus befindet wird dieser Zustand durch eine orange blinkende LED angezeigt die nach Beendigung statisch orange leuchtet 5 1 3 Schutz der TSF Klasse FPT 5 1 3 1 Materieller TSF Schutz Familie FPT_PHP FPT_PHP 1 Passive Erkennung materieller Angriffe FPT_PHP 1 1 Die TSF m ssen materielle Manipulationen die die TSF blo stellen k nnen eindeutig erkennen Anhand authentischer und f lschungssicherer Sicherheitssiegel welche ber die Trennkante zwischen Geh useunter und Oberteil geklebt werden kann die Manipulationsfreiheit der Hardware sicher erkannt werden FPT_PHP 1 2 Die TSF m ssen die F higkeit zum Feststellen erfolgter materieller Manipulationen der TSF Ger te oder TSF Elemente bereitstellen Dies wird dadurch sichergestellt dass ein ffnen nicht ohne Besch digung des Siegels m glich ist Die Beschaffenheit Zerst reigenschaften des Siegels gew hrleistet dass es nicht unbesch digt entfernt und wieder aufgeklebt werden kann Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 19 0f 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 5 1 4 Kryptographische Unterst tzung
45. s400000000nnn0nnnnnnnnnnannnnnannnnn ann 23 6 3 Ma nahmen zur Vertrauensw rdigkeit uunsuunnenannnnnnnnnnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnannnnnnnnnnnannn 24 7 PP Postulate ASE PPC A iii id AA acid 24 ENANA oi 24 8 1 Erkl rung der Sicherheitsziele uunsnssnennnnnonnnnnnnnnnnnnnnnnnnnnannnnnnnnnnannnnnannnnnnnnnannnnnannnnannn 25 8 1 1 Abwehr der Bedrohungen durch den TOE 2urs440ss00nnnnnnnnnonnnnnnnnnnnnnnnnnnnnnnannnnn 26 8 1 2 Ber cksichtigung der Annan EN eessen een enere k E ERE RE aE KEE REA ERAEN ENAERE AY 28 8 2 Erkl rung der Sicherheitsanforderungen s sssnssenssenrennennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nunnana nnna 29 8 2 1 Zusammenh nge Sicherheitsziele Sicherheitsanforderungen u 44 nn 30 8 2 2 Querverweise Sicherheitsziele Sicherheitsanforderungen 400n4r nenn 30 8 2 3 Abh ngigkeiten der funktionalen Sicherheitsanforderungen u 2224400 essen 31 8 2 4 Zuordnung der Sicherheitsanforderungen an die IT Umgebung urseersneeeneen 32 8 3 Erkl rung der TOE bersichtsspezifikation 2 2 22u2 2220222200022000200000000000000000000000000000 000 33 8 3 1 Sicherheitsanforderungen und SicherheitsfunktiONeN ooooncccconocccnconocnnccononnncnnnanannccnnos 33 8 3 2 Sicherheitsanforderungen und SicherheitsmaBnahMen coocccnnoccncconoccnncconanononanononcnannnos 34 8 3 3 Anforderungen und Ma nahmen zur Vertrauensw rdigk8lit
46. tifikationsdaten PIN ist durch den Benutzer zu gew hrleisten OE 5 W hrend der PIN Eingabe ber das Keypad muss der Benutzer den Status der LEDs dahingehend berpr fen dass der Modus der sicheren PIN Eingabe aktiv ist OE 6 Der Benutzer muss die PIN ber das Keypad eingeben OE 7 Der Anwender muss mit einem vom Hersteller bereitgestellten Softwaretool regelm ig vor der Benutzung des Ger tes verifiziert ob die Versionsnummer des TOEs mit der best tigten Version bereinstimmt Applikationen gem 2 Nummer 11 SigG sollten automatisch verifizieren dass nur best tigte Versionen des TOEs verwendet werden um diese Aufgabe dem Endanwender abzunehmen OE 8 Der Anwender muss darauf achten dass bei einem sp teren Firmware Upgrade die zum Download bereitgestellte Firmware explizit als zertifizierte und best tigte Version gekennzeichnet ist 4 3 Zusammenh nge Anforderungen SigG SigV Sicherheitsziele In der nachfolgenden Tabelle werden die in SigG SigV geforderten Sicherheitsanforderungen den Sicherheitszielen der Common Criteria zugeordnet Tabelle 5 Zuordnung der Sicherheitsziele SigG SigV Common Criteria Gesetz Gesetzestext Sicher Beschreibung Verordnung heitsziel 815 Abs 4 Sicherheitstechnische 0 5 Sicherheitstechnische SigV Ver nderungen an technischen Ver nderungen am TOE Komponenten nach den m ssen durch das Abs tzen 1 bis 3 m ssen f r den Sicherheitssiegel
47. tliche Umgebung eingesetzt wird T 3b Ein Angreifer k nnte versuchen die im TOE zwischengespeicherte PIN auszulesen O 1 Unterst tzt die Abwehr der Bedrohung T 3b da die PIN au er zum Zeitpunkt der Verarbeitung vom TOE nicht gespeichert wird 0 5 Unterst tzt zus tzlich das Sicherheitsziel O 1 bei der Abwehr der Bedrohung T 3b indem sicherheitstechnische Ver nderungen am TOE ber das Siegel erkannt werden OE 3 Unterst tzt zus tzlich das Sicherheitsziel O 5 bei der Abwehr der Bedrohung T 3b da der Anwender das Sicherheitssiegel regelm ig vor Benutzung des Ger tes auf Unversehrtheit pr fen muss T 4 Ein Angreifer k nnte versuchen die PIN in einen ungesch tzten Bereich der Chipkarte zu schreiben um sie anschlie end daraus auszulesen 0 4 Unterst tzt die Abwehr der Bedrohung T 4 da der TOE die PIN Kommandos nur mit zul ssigen Instructionbytes an die Chipkarte weiterleiten darf und somit ein Speicherbefehl nicht ausgef hrt wird Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 26 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved OE 2 Unterst tzt zus tzlich das Sicherheitsziel O 4 bei der Abwehr der Bedrohung T 4 da durch die ausschlie liche Verwendung von Prozessorkarten die den Spezifikationen ISO 7816 bzw EMV 2000 gen gen gew hrleistet wird dass die zul ssigen Instructionbytes nicht
48. turanwendungsprogramme verwendet werden Zugelassene Komponenten sind auf der Internetseite der RegTP zu finden Die Sicherheitsfunktionalit t des TOE ist unabh ngig vom ansteuernden Anwendungsprogramm immer wirksam Um die sichere PIN Eingabe zu nutzen ist lediglich das entsprechende CT Commando nach CCID zu verwenden Die Chipkarten m ssen die Voraussetzungen nach AE 2 erf llen Der Einsatz des Kartenterminal ist f r folgende nicht ffentliche Umgebungen zugelassen e Single und MultiUser PC im privaten Bereich und in der B roumgebung Unter nicht ffentlicher Umgebung fallen alle Bereiche die nicht f r die Allgemeinheit ffentlichkeit zug nglich sind Der Endanwender wird ber seine Verantwortung w hrend der Nutzung des TOEs informiert Die Regeln zur sicheren Aufbewahrung und Nichtweitergabe der PIN werden dem Anwender vom Herausgeber der Chipkarte mitgeteilt Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 11 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved Tabelle 1 Annahmen Annahmen Beschreibung AE 1 Es wird angenommen dass der TOE als Kartenterminal f r die nicht ffentliche Umgebung eingesetzt wird AE 2 Es wird angenommen dass der Benutzer ausschlie lich Prozessorkarten benutzt die den Spezifikationen ISO 7816 bzw EMV 2000 gen gen AE 3 Es wird angenommen dass sich der Nutzer vor der Inbetriebnahme und rege
49. xe V 1 0 bekommt der Benutzer die Firmware Version des angeschlossenen Kartenterminals ST 2xxx angezeigt und kann so berpr fen ob es sich um die zertifizierte und best tigte Firmware Version 5 08 handelt Dieses Software Tool geh rt nicht zum TOE Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 9 0f 37 LED1 LED2 gr n orange Just after Power on Just after DFU OFF OFF operation Reader powered ON OFF Smart card powered ON OFF Smart card communication 500ms ON OFF 500ms OFF Secure PIN entry mode ON 500ms ON 500ms OFF PIN entry successfully completed ON ON Smart card powered PIN entry successfully completed 500ms ON ON Smart card communication 500ms OFF Smart card communication Error 100ms ON Previous 100ms OFF state Firmware upgrade running OFF ON Firmware upgrade failed OFF 32 ms ON 32 ms OFF In BootROM mode ON ON SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved Die Chipkartenleser demonstrieren verschiedene Betriebszust nde mittels zweier LEDs wie folgt Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 10 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 3 TOE Sicherheitsumgebung ASE_ENV 1 Im folgenden Kapitel wird die Sicherheitsumgebung in der der TOE eingesetzt werden sol
50. zation IT Informationstechnik NTK New Technology Keyboard PC Personal Computer PC SC Personal Computer Smart Card PIN Personal Identification Number PP Protection Profile RAM Random Access Memory SigG Gesetz zur digitalen Signatur SigV Verordnung zur digitalen Signatur SOF Strength Of Function SF Sicherheitsfunktion SM Sicherheitsma nahme ST Security Target TOE Target of Evaluation TSF TOE Security Functions T VIT T V Informationstechnik US United States USB Universal Serial Bus M MaBnahme Zentifizierte Firmware Firmware Version mit der das Produkt nach Common Criteria EAL 3 best tigt wurde Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 36 0f 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 9 2 Literaturverzeichnis CC ISO IEC 15408 Information technology Security techniques Evaluation criteria for IT security First edition 1999 12 01 ISO IEC 15408 1 1999 E Part 1 Introduction and general model ISO IEC 15408 2 1999 E Part 2 Security functional requirements ISO IEC 15408 3 1999 E Part 3 Security assurance requirements SigG Signaturgesetz SigG Gesetz ber Rahmenbedingungen f r elektronische Signaturen und zur nderung weiterer Vorschriften vom 16 Mai 2001 SigV Signaturverordnung SigV Verordnung zur elektronischen Signatur vom 16 November 2001 CCID Device Class Specific
51. zum Speichern auf der Chipkarte dienen T 5 Ein Angreifer k nnte versuchen durch Manipulation des Sicherheitssiegels sicherheitstechnische Ver nderungen am TOE vorzunehmen 0 5 Unterst tzt die Abwehr der Bedrohung T 5 indem sicherheitstechnische Ver nderungen am TOE ber das Siegel erkannt werden OE 3 Unterst tzt zus tzlich das Sicherheitsziel O 5 bei der Abwehr der Bedrohung T 5 da der Anwender das Sicherheitssiegel regelm ig vor Benutzung des Ger tes auf Unversehrtheit pr fen muss OE 1 Unterst tzt zus tzlich das Sicherheitsziel O 5 und OE 3 bei der Abwehr der Bedrohung T 5 da der TOE als Kartenterminal f r die nicht ffentliche Umgebung eingesetzt wird T 6 Ein Angreifer k nnte versuchen durch Manipulation beim Download eine modifizierte oder fremde Firmware in den Leser zu laden die Funktionalit ten zum Aussp hen der PIN beinhalten k nnen 0 6 Der TOE stellt sicher dass nur der Download einer neue Firmware akzeptiert wird wenn die Integrit t und Authentizit t der Firmware verifiziert wurde OE 7 Der Anwender muss mit einem vom Hersteller bereitgestellten Softwaretool regelm ig vor der Benutzung des Ger tes verifiziert ob die Versionsnummer des TOESs mit der best tigten Version bereinstimmt Applikationen gem 2 Nummer 11 SigG verifizieren dass nur best tigte Versionen des TOEs verwendet werden um diese Aufgabe dem Endanwender abzunehmen OE 8 Der Anwender muss
52. zur Chipkarte bertragen wird 0 4 Der TOE stellt sicher dass die PIN nur ber PIN Kommandos mit zul ssigen Instructionbytes an die Chipkarte weiterleitet wird 0 5 Der TOE stellt sicher dass sicherheitstechnische Ver nderungen am TOE durch das Sicherheitssiegel erkennbar sind 0 6 Der TOE stellt sicher dass nur der Download einer neuen Firmware akzeptiert wird wenn die Integrit t und Authentizit t der Firmware verifiziert wurde Cherry GmbH 2005 23 12 2005 ST2XXX Sicherheitsvorgaben 20051223 V107 doc Seite 13 of 37 SmartTerminal ST 2xxx Common Criteria Dokument Version 1 07 Approved 4 2 Sicherheitsziele f r die Umgebung Die Regeln zur sicheren Aufbewahrung und Nichtweitergabe der PIN werden dem Anwender vom Herausgeber der Chipkarte mitgeteilt Der Endanwender muss ber seine Verantwortung w hrend der Nutzung des TOEs informiert werden Die Sicherheitsziele f r die Umgebung werden in Tabelle 4 definiert Tabelle 4 Sicherheitsziele f r die Umgebung Sicherheitsziele f r Beschreibung die Umgebung OE 1 Der TOE muss als Kartenterminal f r die nicht ffentliche Umgebung eingesetzt werden OE 2 Der Anwender darf ausschlie lich Prozessorkarten benutzen die den Spezifikationen ISO 7816 bzw EMV 2000 gen gen OE 3 Der Anwender muss das Sicherheitssiegel Siegelnummer regelm ig vor Benutzung des Ger tes auf Unversehrtheit pr fen OE 4 Eine unbeobachtete Eingabe der Iden
Download Pdf Manuals
Related Search