- F+E-Schwerpunkt (NRW) für EMV -
Labor für Nachrichtentechnik und
Elektro-Magnetische Verträglichkeit
Prof. Dr.- Ing. Erhard Möller
Eupener Str. 70, 52 066 AACHEN
Telefon: 0241 - 6009- 2121 /-2110
Telefax: 0241 - 6009- 2191 /-2190
Büro und Wohnung:
Telefon: 0241 - 521 444
Telefax: 0241 - 521 441
e - m a i l : m o e l l e r @ f h - a a c h e n . d e
Fachhochschule Aachen
Fachbereich Elektrotechnik
- 1 -
19.04.2002 Mö
ST-SPEZ-1.V1.doc
Version 1.0
FEBA DSG
ERSTE EVALUIERUNG DES DATA-DEFENDER 1.0
SICHERHEITSVORGABEN
BSI-DSZ-CC-0185
Version 1.0
19. Apr. 2002
Evaluierungsgrundlage:
Common Criteria, Vers. 2.1
Gemeinsame Kriterien für die Prüfung und Bewertung
der Sicherheit von Informationstechnik
Vertrauenswürdigkeitsstufe: EAL 1
Forschung und Geräteentwicklung:
Fachhochschule Aachen
Labor für Nachrichtentechnik und Elektro-Magn. Verträglichkeit
Prof. Dr.-Ing. Erhard Möller u. Mitarbeiter
Eupener Str. 70, 52066 Aachen
Herstellung:
IBH-IMPEX Elektronik GmbH
Friederikenplatz 55a, 06844 Dessau
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 2 / 23 - ST-SPEZ-1.V1
I N H A L T D E R S I C H E R H E I T S V O R G A B E N
1. ST-Einführung ................................................................................................................ 3
1.1. ST-Identifikation.................................................................................................... 3
1.2. ST-Übersicht .......................................................................................................... 3
1.3. Postulat der Übereinstimmung mit den CC ........................................................ 4
2. EVG-Beschreibung......................................................................................................... 5
2.1. Kompromittierende elektromagnetische Emissionen........................................... 5
2.1.1. Entstehung und Erscheinungsformen .......................................................... 5
2.1.2. Problemstellung .......................................................................................... 5
2.2. Schutz gegen elektromagnetische Emissionen .................................................... 5
2.2.1. Stand der Technik........................................................................................ 5
2.2.2. Überlagerungssender mit neuem selektivem Überlagerungsprinzip............ 6
2.2.2.1. Überlagerung und EMV-Grenzwerte...................................................... 6
2.2.2.2. Funktionsprinzip..................................................................................... 6
2.2.2.3. Lieferumfang......................................................................................... 7
3. EVG-Sicherheitsumgebung............................................................................................ 8
3.1. Annahmen........................................................................................................... 8
3.2. Bedrohungen ....................................................................................................... 9
3.3. organisatorische Sicherheitspolitik....................................................................... 9
4. Sicherheitsziele.............................................................................................................10
4.1. EVG-Sicherheitsziele.............................................................................................10
4.2. Umgebungssicherheitsziele. .................................................................................10
5. IT-Sicherheitsanforderungen ........................................................................................11
5.1. EVG-Sicherheitsanforderungen ............................................................................11
5.1.1. Funktionale Sicherheitsanforderungen an den EVG...............................11
5.1.2. Anforderungen an die Vertrauenswürdigkeit.............................................12
5.2. Sicherheitsanforderungen an die Umgebung des EVG ......................................13
5.2.1. Sicherheitsanforderungen an die IT-Umgebung des EVG (ESF)..............13
5.2.2. Sicherheitsanforderungen an die Nicht-IT-Umgebung des EVG..................13
6. EVG-Übersichtsspezifikation .........................................................................................14
6.1. EVG-Sicherheitsfunktionen, ..................................................................................14
6.1.1. SicherheitsFunktionen des EVG (TSF) .......................................................14
6.2 Maßnahmen zur Vertrauenswürdigkeit................................................................16
7. PP-Postulate...................................................................................................................16
8. Erklärungen ..................................................................................................................17
8.1. Erklärung ZU DEN Sicherheitszielen ......................................................................17
8.2. Erklärung ZU DEN Sicherheitsanforderungen .......................................................18
8.3. Erklärung ZU DEN EVG-Übersichtsspezifikationen ................................................19
8.3.1. Sicherheitsfunktionen..................................................................................19
8.3.2. Vertrauenswürdigkeitsmassnahmen und Vertrauenswürdigkeitsstufe .......20
8.4. Erklärung ZU DEN PP-Postulate ...........................................................................20
A1 Bilderanhang, Funktionsbild......................................................................................21
A2 Definitionen ................................................................................................................22
Abkürzungen .................................................................................................................22
Glossar...........................................................................................................................22
Hinweis
Der EVG wurde zum Deutschen Patent angemeldet.
Patentanmeldung: Dt. Pat. Nr. 100 56 192.6 am 13. Nov. 2000
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 3 / 23 - ST-SPEZ-1.V1
1 . S T - E I N F Ü H R U N G
Die ST-Einführung ist in folgende Abschnitte unterteilt:
1.1. ST-Identifikation
1.2. ST-Übersicht
1.3. Postulat der Übereinstimmung mit den CC
1.1. ST-IDENTIFIKATION
Diese Sicherheitsvorgaben ST-SPEZ-1.V1.doc / Version 1.0 vom 19.04.02 sind Vorgaben für den
EVG DATA-DEFENDER 1.0, ein Datenschutzgerät, im Evaluierungsverfahren nach Common Crite-
ria ( Version 2.1 ) für die Vertrauenswürdigkeitsstufe EAL1.
1.2. ST-ÜBERSICHT
Der EVG ist ein Gerät zum Schutz gegen den Empfang und die Dekodierung hochfrequenter, e-
lektromagnetischer, kompromittierender Emissionen von Personal Computern und deren Moni-
toren.
Stichworte / Schlüsselworte:
kompromittierende Emissionen (Compromising Emissions CEM), Überlagerungssender
Bezeichnung: DATA-Defender
- Datenschutzgerät III -
Version: 1.0
Gerätenr.: bis 31.12.2001: JJJJXXX
ab 01.01.2002: JJXXXXX
Schlüssel für die Gerätenr.:
JJJJ: Jahreszahl, vollständig; XXX: lfd. Stücknummer
JJ: Jahreszahl, 2 Ziffern; XXXXX: lfd. Stücknummer
Entwickler: Fachhochschule Aachen
Labor für Nachrichtentechnik und Elektro-Magn. Verträglichkeit (LNT)
Prof. Dr.-Ing. Erhard Möller und Mitarbeiter
Eupener Str. 70, D-52066 Aachen
Hersteller: IBH-IMPEX Elektronik GmbH,
Friedrikenplatz 55a, D-06844 Dessau
Patent: Der EVG ist zum Deutschen Patent angemeldet.
Patentanmeldung: Dt. Pat. Nr. 100 56 192.6 am 13. Nov. 2000
EMV-Prüfung: Der EVG ist auf Konformität mit den EMV-Richtlinien der EU geprüft:
Emissionsverhalten: EN 55 022
Störfestigkeit: EN 55 024
Ergebnis: Konform zu beiden Normen. CE-Kennzeichnung zulässig.
Personal Computer und deren CRT- und TFT-Monitore setzen kompromittierende Emissionen
(CEM) in unterschiedlicher elektromagnetischer Form frei:
# als hochfrequente Strahlung,
# als hochfrequente Oberflächenwellen entlang metallischer Leiter,
# als hochfrequente, elektrische Spannungen und Ströme im Energieersorgungsnetz.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 4 / 23 - ST-SPEZ-1.V1
Der EVG erzeugt exakt auf den Frequenzen der kompromittierenden, hochfrequenten Emissio-
nen digitale Rauschsignale, die sich allen 3 Formen elektromagnetischer kompromittierender E-
missionen überlagern.
Durch die Überlagerung wird der Empfang und die Dekodierung der kompromittierenden
hochfrequenten Signale verhindert, weil die kompromittierenden Signale und die digitalen
Rauschsignale nicht mehr separierbar sind.
Der EVG ist betreibbar mit den international üblichen Netzspannungen. Er hat kleines Bauvolu-
men und geringes Gewicht. Er kann nahezu unauffällig zu jedem PC oder Monitor gestellt wer-
den.
1.3. POSTULAT DER ÜBEREINSTIMMUNG MIT DEN CC
Der EVG ist nicht konform mit Teil 2 der CC, weil dort keine entspr. Funktionalkomponente vor-
handen ist.
Der EVG ist "Teil 2 erweitert". Seine funktionalen Anforderungen in den Sicherheitsvorgaben
stammen nicht aus Teil 2 der CC.
Der EVG ist konform zu Teil 3 der CC.
Die angestrebte Vertrauenswürdigkeitsstufe ist EAL 1.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 5 / 23 - ST-SPEZ-1.V1
2 . E V G - B E S C H R E I B U N G
Die EVG-Beschreibung umfasst folgende Abschnitte:
2.1. Kompromittierende elektromagnetische Emissionen
2.2. Schutz gegen elektromagnetische Emissionen
2.1. KOMPROMITTIERENDE ELEKTROMAGNETISCHE EMISSIONEN
Hier werden die Entstehung und die Erscheinungsformen der kompromittierenden Emissionen
(Compromising Emissions CEM) und die daraus resultierende Problemstellung beschrieben.
2.1.1. ENTSTEHUNG UND ERSCHEINUNGSFORMEN
Elektrische und besonders elektronische Geräte setzen bei Betrieb elektromagnetische Emissio-
nen frei, deren Grenzwerte durch die EMV-Normen festgelegt sind. Bei elektronischen Geräten
der Datenverarbeitung bestehen die freigesetzten elektromagnetischen, hochfrequenten Emissi-
onen aus kompromittierenden und nicht-kompromittierenden Emissionen.
Selbst, wenn die Summe aus kompromittierenden und nicht-kompromittierenden Emissionen die
Grenzwerte für Feldstärken, Spannungen oder Leistungen der EMV-Normen unterschreitet, sind
diese Emissionen risikobehaftet, da ein Teil von ihnen kompromittierend ist, weil er z.T. die im DV-
Gerät verarbeiteten Informationen emittiert.
Die kompromittierenden und nicht-kompromittierenden elektromagnetischen Emissionen treten
je nach Ausbreitungsart auf als:
- hochfrequente Strahlung,
- hochfrequente Oberflächen- / Mantelwellen und
- hochfrequente Signale in den Energieversorgungsnetzen der DV-Geräte.
Die Ausbreitungsarten überdecken unterschiedliche Spektralbereiche; jedoch liegen die 3 Aus-
breitungsarten alle im Frequenzbereich der KW, VHF und UHF. Die CEM treten als Amplituden-
modulation auf der Grundschwingung und den Oberschwingungen der Pixelfrequenz auf.
2.1.2. PROBLEMSTELLUNG
Trotz Einhaltung der EMV-Grenzwerte sind die CEM je nach Ausbreitungsart in unterschiedlicher
Entfernung empfangbar und dekodierbar.
Damit kann der Datenschutz unterlaufen werden. Durch diese Möglichkeit zum unauffälligen
Ausspähen sensibler, vertraulicher Daten können große Schäden im Bereich des Privaten, der
Wirtschaft, der Wissenschaft und der Politik entstehen.
2.2. SCHUTZ GEGEN ELEKTROMAGNETISCHE EMISSIONEN
Nach der Darlegung des Standes der Technik folgt eine ausführliche Beschreibung des EVG.
2.2.1. STAND DER TECHNIK
Nach dem Stand der Technik gibt es 3 Möglichkeiten, den Empfang und die Dekodierung der
kompromittierenden elektromagnetischen Emissionen zu verhindern oder deutlich zu erschwe-
ren:
- die hochfrequente, elektromagnetische Raumschirmung,
- die Modifizierung von PC-Arbeitsplätzen zu Arbeitsplätzen mit erhöhter IT-Sicherheit z.B. nach
den sog. TEMPEST-Standards,
- die Überlagerung der kompromittierenden elektromagnetischen Emissionen mit einem
Schutzspektrum bzw. Schutzsignal.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 6 / 23 - ST-SPEZ-1.V1
Nach dem Stand der Technik und des Marktes wird die letzt genannte Möglichkeit zum Schutz
gegen den Empfang und die Dekodierung der CEM durch Erzeugung und Überlagerung eines
breitbandigen, nicht weiter kontrollierten Rauschspektrum, das vom KW- bis zum UHF-Bereich
gleichmäßig verteilt ist, realisiert. Die schaltungstechnische Realisierung besteht aus einem übli-
chen breitbandigen Rauschsender.
Ein nahezu weißes Rauschen über den genannten breitbandigen Bereich zu emittieren, wider-
spricht den Bemühungen der EMV-Normen, die elektromagnetischen Emissionen zu begrenzen.
2.2.2. ÜBERLAGERUNGSSENDER MIT NEUEM SELEKTIVEM ÜBERLAGERUNGSPRINZIP
Im einzelnen werden hier beschrieben:
- Einhalten der EMV-Grenzwerte,
- Funktionsprinzip
- Lieferumfang
2.2.2.1. ÜBERLAGERUNG UND EMV-GRENZWERTE
Der EVG arbeitet nach einem neuen Überlagerungsprinzip und mit einem von den bisher übli-
chen Überlagerungssendern sich unterscheidenden, neuen Überlagerungssender.
Untersuchungen haben gezeigt, dass die CEM mit Reichweiten, die zu Sicherheitsrisiken führen,
nur auf hochfrequenten Trägern, deren Frequenzen der Grund- oder Oberschwingungen der Pi-
xelfrequenz des PC entsprechen, nachweisbar sind. Dem entsprechend generiert der neue Ü-
berlagerungssender nach dem neuen Überlagerungsprinzip nur Träger mit Rauschsignalen bei
den Grund- und Oberschwingungen der Pixelfrequenz. Die erzeugten Schutzspektren erreichen
folgende Pegel:
Frequenz-
bereich
Signal Mindest-
Pegel
EMV-
Grenzwerte
6 MHz - 30 MHz Netzgeführte
Schutzspannung *)
20 dBµV 50 dBµV
30 MHz - 300 MHz Schutz-
Feldstärke **)
35 dBµV/m 40 dBµV/m
300 MHz 700 MHz Schutz-
Feldstärke **)
40 dBµV/m
- 25 dBµV/m
47 dBµV /m
*) gemessen bei einer Messbandbreite von 10 kHz und nach EMV-Norm EN 55022 B
*) gemessen bei einer Messbandbreite von 120 kHz und nach EMV-Norm EN 55022 (B)
Der Vergleich mit den EMV-Grenzwerten zeigt, dass die Pegel des Schutzspektrums unter den
EMV-Grenzwerten liegen. Dies ist wichtig, weil ohne Konformität mit den EMV-Normen, der EVG
im EU-Raum nicht betrieben werden könnte.
Im Hinblick auf die Bemühungen zur EMV ist dies ein technischer Fortschritt und eine Neuheit auf
dem Markt.
Reihenuntersuchungen an marktüblichen und z.Z. noch in Betrieb befindlichen PCs haben ge-
zeigt, dass die o.a. Pegel ausreichen, den Empfang und die Dekodierung der hochfrequenten
CEM zu verhindern, weil die Pegel der CEM i. allg. deutlich unter den EMV-Grenzwerten liegen.
Sie liegen schon deswegen deutlich unter den EMV-Grenzwerten, weil die gesamten elektro-
magnetischen Emissionen, kompromittierende und nicht kompromittierende, unter den Grenz-
werten liegen, und die kompromittierenden Emissionen eben nur ein Teil der gesamten Emissio-
nen sind.
2.2.2.2. FUNKTIONSPRINZIP
Das Funktionsprinzip des Überlagerungssenders wird in Bild 1 im Anhang A1 gezeigt.
Der EVG wird vom Versorgungsnetz oder einer Batterie betrieben.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 7 / 23 - ST-SPEZ-1.V1
Ein Mikroprozessor steuert alle Funktionen des EVG.
Der EVG wird über Steckverbindungen in das 15-polige Monitorkabel eingeschleift. Nur bei funk-
tionsgerechtem Einschleifen erhält der Monitor die Bildsignale; nur dann entsteht das Monitor-
bild.
Die Video- und Synchronisationssignale des PC werden dem Analyseteil des Überlagerungssen-
ders zugeführt. Mittels mikroprozessorgesteuerter Such- und Auswerteroutinen wird aus den ver-
schiedenen Modulationsprodukten die Pixelfrequenz ermittelt.
Mikroprozessorgesteuert erzeugt ein HF-Generator die Grundschwingung und die Oberschwin-
gungen von Pixelfrequenzen zwischen 20 MHz und 80 MHz als Träger des überlagerten Schutzsi-
gnals.
Auf die Träger des Schutzsignals wird ein digitales Rauschsignal, dessen Taktfrequenz der Pixelfre-
quenz des Monitorsignals entspricht, moduliert. Die Pegel der Schutzsignale liegen unterhalb der
EMV-Grenzpegel nach o.a. Tabelle.
Das modulierte Schutzsignal wird auf das Monitorkabel gekoppelt. Vom Monitorkabel und Ge-
häuseteilen des PC wird das Schutz-Überlagerungssignal wie das Signal der kompromittierenden
Emissionen emittiert als:
- hochfrequente Strahlung,
- hochfrequente Oberflächen- / Mantelwellen und
- hochfrequente Signale in den Versorgungsnetzen der DV-Geräte.
Mittels Anzeigen, die vom Mikroprozessor gesteuert werden, wird der Betriebszustand des Überla-
gerungssenders kontrolliert. Folgende Betriebszustände werden durch LED angezeigt:
# Gerät am Versorgungsnetz,
Netzspannung anliegend (grüne LED),
# Spektralanalyse in Funktion,
repetierende Spektralanalyse (gelbe LED, blinkend im ca. 8 s Takt),
# fehlende Emission des Schutzspektrums,
sonstige Fehler (rote LED).
Da die Monitorsignale je nach Arbeitsmodus des PC geändert werden, werden die Such- und
Auswerteroutinen in sicheren Zeitabständen repetiert.
Volumen und Gewicht des Überlagerungssenders sind so gering bemessen, dass dieser ohne
Schwierigkeiten zum PC oder Monitor gestellt werden kann.
2.2.2.3. LIEFERUMFANG
Zum Lieferumfang des EVG gehören:
# das eigentliche Schutzgerät, DATA-Defender, Version 1.0
# Netzgerät mit Netz- und Geräteanschlusskabel, 230 V / 6 V
# 15-poliges Monitorverlängerungskabel,
# Benutzer-Handbuch mit
- Geräteidentifikation,
- allgemeiner Funktionsbeschreibung,
- betriebliche Vorgaben zur Logistik und zum Einsatzbereich,
- technischer Betriebsanleitung.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 8 / 23 - ST-SPEZ-1.V1
3 . E V G - S I C H E R H E I T S U M G E B U N G
Die EVG-Sicherheitsumgebung wird beschrieben durch die Abschnitte
3.1. Annahmen (assumption),
3.2. Bedrohungen (threats),
3.3. Organisatorische Sicherheitspolitik.
3.1. ANNAHMEN
Gemäß Abschnitt 2.1.2 können die CEM und somit auf einem PC verarbeitete Daten aufgefan-
gen und dekodiert werden.
Die so erhaltenen Daten können sensitiv oder vertraulich sein. Von ihrer Vertraulichkeit können
bedeutende private, materielle, ökonomische, wissenschaftliche und politische Werte abhän-
gen.
Unter Umständen kann bereits die Bloßstellung von einzelnen bedeutenden Daten aus einer Da-
tenmenge, z.B. von Bruchstücken aus einem Text oder einer Kalkulation, bedeutende Schäden
anrichten, auch ohne dass der verbindende Text (z.B. der gesamte Bildschirminhalt) bloßgestellt
wird.
Aus dem Ziel, die ungewollte Ausnutzung der CEM an PC-Arbeitsplätzen zu verhindern, ergeben
sich Annahmen sowohl für die technische Sicherheitsumgebung (nachstehend als A.T.XXX ge-
kennzeichnet) als auch für die administrative Sicherheitsumgebung (A.A.XXX).
Technische Sicherheitsumgebung
A.T.FRQ Der EVG wird an PC-Arbeitsplätzen eingesetzt, deren Pixelfrequenz von 20 MHz bis
zu 80 MHz beträgt.
A.T.EMC Der EVG wird an PC-Arbeitsplätzen eingesetzt, deren gesamte elektromagneti-
sche Emissionen, bestehend aus kompromittierenden und nicht kompromittie-
renden Emissionen, unter den zulässigen EMV-Grenzpegeln der europäischen EMV-
Normen (emc-standards) für gestrahlte und leitungsgebundene Emissionen lie-
gen.
Anmerkung: Auf andere Grenzwerte kann der EVG je nach Nutzerland und EMV-
Normen eingestellt werden.
A.T.KFG Der EVG wird an PC-Arbeitsplätzen eingesetzt, deren Konfiguration einen abge-
setzten, nicht im PC integrierten, über steckbare, 15-polige Kabel angeschlosse-
nen Monitor beinhaltet. Der EVG wird zwischen PC und Monitor mittels des Moni-
torkabels eingeschleift.
Administrative Sicherheitsumgebung
A.A.TOE Für den EVG (TOE) und den PC, an dem der EVG eingesetzt wird, ist eine gesicher-
te Logistik bei den Nutzern des EVG, wie z.B. Organisationen, Einrichtungen, Un-
ternehmen und Betrieben, vorhanden. EVG und PC sind nur autorisierten Nutzern
zugänglich, um das Risikopotential aus Manipulation und Austausch zu reduzie-
ren.
Andernfalls sind vor jeder Nutzung die Gehäusesiegel und das Typenetikett zu prü-
fen.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 9 / 23 - ST-SPEZ-1.V1
3.2. BEDROHUNGEN
Die Bedrohung besteht aus dem Verlust der Vertraulichkeit von Daten.
T.CEM PC-Arbeitsplätze emittieren unbeabsichtigt, aber verbunden mit ihrer Funktion
vertrauliche Daten (compromising emissions, CEM) über elektromagnetische E-
missionen in Form von Strahlung (radiation), Oberflächen- / Mantel-Wellen (surfa-
ce-waves) und Netzsignalen (power-line-signals). Die Reichweite der hochfre-
quenten CEM beträgt je nach Emissionsart, PC-Alter und PC-Konfiguration sowie
örtlichen Ausbreitungsbedingungen einige Meter bis zu 30 m. Bei älteren PC kann
die Reichweite noch höher liegen.
Quelle (source) für die kompromittierenden Emissionen sind die Graphikkarte, das
Verbindungskabel zwischen PC und Monitor und der Monitor selbst.
Ein Angreifer mit grundlegenden Kenntnissen der Hochfrequenztechnik könnte
versuchen, die CEM eines PCs aus seinen Gesamt-Emissionen zu empfangen und
zu dekodieren, um Kenntnisse über vertrauliche Informationen zu erhalten.
Das zum Angriff genutzte Empfangsgerät (receiver) ist ein durchstimmbarer HF-
Empfänger mit entspr. Videobandbreite.
Die CEM können in ihren 3 oben beschriebenen Formen über Koppeleinheiten,
wie Antennen für die Strahlung, Stromwandlerzangen für die Oberflächen- / Man-
telwellen und Koppelkondensatoren für die Netzsignale, dem Empfänger (recei-
ver) zur Auswertung zugeführt werden.
Die Reichweite der hochfrequenten CEM beträgt je nach Emissionsart, PC-Alter
und PC-Konfiguration sowie örtlichen Ausbreitungsbedingungen einige Meter bis
zu 30 m. Bei älteren PC kann die Reichweite noch höher liegen.
3.3. ORGANISATORISCHE SICHERHEITSPOLITIK
Ausführungen hierzu entfallen, da keine Vorgaben für organisatorische Sicherheitspolitiken vor-
liegen.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 10 / 23 - ST-SPEZ-1.V1
4 . S I C H E R H E I T S Z I E L E
Die Sicherheitsziele (security objectives) werden dargestellt als
4.1. EVG-Sicherheitsziele,
4.2. Umgebungssicherheitsziele.
4.1. EVG-SICHERHEITSZIELE
Entsprechend der Annahmen und Bedrohungen im Abschnitt 4. Sicherheitsumgebung ergeben
sich für den EVG folgende Sicherheitsziele (security objectives for TOE).
O.T.SUP Der EVG verhindert durch Überlagerung (superposition) eines den aktuellen EMV-
Standards der EU konformen Schutzsignals (protection signal) den Empfang der
CEM nach T.CEM, so dass diese auch in geringer Entfernung von PC (ca. 2 m)
nicht mehr empfangen und dekodiert werden können.
Die Überlagerung muss so wirken, dass weder die CEM insgesamt noch einzelne
Datenelemente dekodiert werden können.
4.2. UMGEBUNGSSICHERHEITSZIELE.
Um die Annahmen zur administrativen Sicherheitsumgebung abzusichern, werden die folgenden
Sicherheitsziele für die Umgebung im Benutzerhandbuch festgelegt.
O.E.FRQ Der zu schützende PC hat eine Pixelfrequenz von 20 MHz bis 80 MHz.
O.E.EMC Der zu schützende PC erfüllt mit seinen gesamten elektromagnetischen Emissio-
nen, der Summe aus kompromittierenden und nicht kompromittierenden Emissi-
onen, die aktuellen EMV-Standards der EU.
O.E.KFG Der zu schützende PC wird mit einem abgesetzten Monitor, der ein über steckba-
res, 15-poliges Kabel angeschlossen ist, betrieben.
O.A.TOE Es ist sichergestellt, dass der EVG und der PC, an dem der EVG eingesetzt wird,
bei den Nutzern des EVG, wie z.B. Organisationen, Einrichtungen, Unternehmen
und Betrieben, nicht manipuliert oder ausgetauscht werden.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 11 / 23 - ST-SPEZ-1.V1
5 . I T - S I C H E R H E I T S A N FO R D E R U N G E N
Die Sicherheitsanforderungen werden beschrieben durch
5.1. EVG-Sicherheitsanforderungen
5.2. Sicherheitsanforderungen für die Umgebung des EVG
5.1. EVG-SICHERHEITSANFORDERUNGEN
Die EVG-Sicherheitsforderungen teilen sich auf in
5.1.1. Funktionale Sicherheitsanforderungen an den EVG,
5.1.2. Anforderungen an die Vertrauenswürdigkeit.
5.1.1. FUNKTIONALE SICHERHEITSANFORDERUNGEN AN DEN EVG
Der EVG ist in die Klasse FDP, Schutz der Benutzerdaten, einzuordnen. Dort sind keine funktiona-
len Anforderungskomponenten für den EVG festgelegt. Daher wurden die folgenden Kompo-
nenten in Anlehnung an den Teil 2 der CC frei definiert.
Die zur Erreichung der Sicherheitsziele nach 4. notwendigen Sicherheitsfunktionen ( TSF, TOE Secu-
rity Funktions) muss der EVG durch seine folgenden Funktionalen Sicherheitsanforderungen ge-
währleisten.
FDP Schutz der Benutzerdaten
FDP_SUP Schutz der Benutzerdaten durch Überlagerung (Superposition) der kompromittie-
renden Emissionen
Familienverhalten
Diese Familie ist frei definiert. Sie stellt Anforderungen bereit, die die Benutzerda-
ten gegen dem Empfang über CEM schützen.
Komponentenabstufung
FDP_SUP.1 Schutz der Benutzerdaten durch Überlagerung (Superposition)
der kompromittierenden Emissionen durch ein besonderes Schutzsignal
Diese Komponente ist frei definiert. Sie beinhaltet die Anforderung eines besonde-
ren, den EMV-Gesichtspunkten gerecht werdenden Schutzsignals.
Management FDP_SUP.1
Es sind keine Managementaktivitäten vorgesehen.
Protokollierung FDP_SUP.1
Es sind keine Aktionen vorgesehen, die protokolliert werden sollen.
FDP_SUP.1 Schutz der Benutzerdaten durch Überlagerung (Superposition)
der kompromittierenden Emissionen durch ein besonderes Schutzsignal
Diese Komponente Ist hierarchisch zu: Keinen anderen Komponenten.
FDP_SUP.1.1 Die TSF müssen in der Lage sein, die Pixelfrequenz des zu schützenden PC von 20
MHz bis zu 80 MHz festzustellen.
FDP_SUP.1.2 Die TSF müssen die Feststellung der Pixelfrequenz mindestens alle 10 Sekunden
wiederholen.
FDP_SUP.1.3 Die TSF müssen den jeweiligen Analysevorgang durch eine Leuchtdiode anzeigen,
damit diese Funktion kontrollierbar ist (vgl. Benutzerhandbuch).
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 12 / 23 - ST-SPEZ-1.V1
FDP_SUP.1.4 Die TSF müssen bei Pixelfrequenzen von 20 MHz bis zu 80 MHz und deren Ober-
schwingungen im VHF- / UHF-Bereich diskreten Trägerschwingungen erzeugen.
FDP_SUP.1.5 Durch die TSF muss im 2. Schritt auf diese diskreten Träger ein digitales Rauschsig-
nal, dessen Wiederholrate ausreichend groß ist, um nicht analysiert zu werden,
moduliert werden, wodurch das Schutzsignal entsteht.
FDP_SUP.1.6 Die TSF müssen sicherstellen, dass der Pegel des Schutzsignals so hoch ist, dass er
den Pegel der CEM überschreitet und sicher verhindert, dass die CEM zur Dekodie-
rung von vertraulichen Informationen auch nicht mehr mit geringer Lesbarkeit,
d.h. bruchstückhaft als Teildaten, separiert werden können. Dabei überschreiten
die Pegel des Schutzsignals die EMV-Grenzwerte der EU nicht.
FDP_SUP.1.7 Die TSF müssen das Schutzsignal als Strahlung, Oberflächen- / Mantelwellen und
Netzsignale über die entspr. Formen der CEM überlagern.
FDP_SUP.1.8 Die TSF müssen, solange noch kein hochfrequentes Schutzsignal auf das Monitor-
kabel gespeist wird, ein akustisches und optisches Warnsignal geben (vgl. Benut-
zerhandbuch).
FDP_SUP.1.9 Zur Sicherung dieser Funktionen müssen die TSF konstruktiv vorsehen, dass der
Monitor nur dann ein Bildsignal erhält und darstellt, wenn der EVG funktionsge-
recht in die Monitorleitung eingeschleift und eingeschaltet ist (vgl. Benutzerhand-
buch).
Anforderungen an Management und Protokollierung
Diese Anforderungen entfallen aufgrund der Art, der Beschaffenheit und Nutzung
des Gerätes.
5.1.2. ANFORDERUNGEN AN DIE VERTRAUENSWÜRDIGKEIT
EAL 1 Die Anforderungen des EVG an die Vertrauenswürdigkeit müssen der Vertauens-
würdigkeitsstufe EAL 1 entsprechen.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 13 / 23 - ST-SPEZ-1.V1
5.2. SICHERHEITSANFORDERUNGEN AN DIE UMGEBUNG DES EVG
Die EVG-Sicherheitsforderungen teilen sich auf in
5.2.1. Sicherheitsanforderungen an die IT-Umgebung des EVG,
5.2.2. Sicherheitsanforderungen an die Nicht-IT-Umgebung des EVG.
5.2.1. SICHERHEITSANFORDERUNGEN AN DIE IT-UMGEBUNG DES EVG (ESF)
Die IT-Umgebung (IT-Environment, ITE) des EVG ist der PC, dessen Daten geschützt werden müs-
sen.
FDP_ITE.1 IT-Umgebung: PC mit zu schützenden Benutzerdaten
FDP_ITE.1.1 Nach den Sicherheitsanforderungen an die IT-Umgebung (IT-Envirement ESF) muss
der PC, dessen Daten zu schützen sind, mit Pixelfrequenzen zwischen 20 MHz und
80 MHz arbeiten.
FDP_ITE.1.2 Nach den ESF müssen die gesamten elektromagnetischen Emissionen des PC, die
Summe aus kompromittierenden und nicht kompromittierenden Emissionen, un-
terhalb der Grenzwerte der EMV-Standards in der EU liegen.
FDP_ITE.1.3 Nach den ESF muss der zu schützende PC über ein steckbares, 15-poliges Kabel
an seinen abgesetzten Monitor angeschlossen sein.
5.2.2. SICHERHEITSANFORDERUNGEN AN DIE NICHT-IT-UMGEBUNG DES EVG.
Die Nicht-IT-Umgebung (Non-IT-Environment, NIE) des EVG ist seine Logistik und seine Einsatzum-
gebung.
FDP_NIE.1 Schutz des EVG gegen Manipulation
FDP_NIE1.1 Nach den Sicherheitsanforderungen an die Nicht-IT-Umgebung (Non-IT-
Environment) muss sichergestellt sein, dass der EVG und der PC, an dem der EVG
eingesetzt wird, kontrolliert gelagert und autorisiert betrieben werden.
Andernfalls sind vor jeder Nutzung die Gehäusesiegel und das Typenetikett zu prü-
fen.
FDP_NIE1.2 Nach den Sicherheitsanforderungen an die Nicht-IT-Umgebung (Non-IT-
Environment) muss sichergestellt sein, dass der EVG und der PC, an dem der EVG
eingesetzt wird, gegen Manipulation und Austausch geschützt sind.
Andernfalls sind vor jeder Nutzung die Gehäusesiegel und das Typenetikett zu prü-
fen.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 14 / 23 - ST-SPEZ-1.V1
6 . E V G - Ü B E R S I C H T S S P E Z I F I K A T I O N
Die Übersichtsspezifikationen sind unterteilt in die Abschnitte
6.1. EVG-Sicherheitsfunktionen,
6.2. Maßnahmen zur Vertrauenswürdigkeit.
6.1. EVG-SICHERHEITSFUNKTIONEN,
Die EVG-Übersichtsspezifikationen beschreiben hier die Sicherheitsmechanismen, die die Sicher-
heitsanforderungen aus Abschnitt 5. erfüllen und abdecken. Ihre Beschreibung nimmt die Gliede-
rung des Abschnitts 5. auf.
6.1.1. SICHERHEITSFUNKTIONEN DES EVG (TSF)
Kurzbeschreibung
Der EVG ist ein Gerät zum Schutz gegen den Empfang und die Dekodierung hochfrequenter, e-
lektromagnetischer, kompromittierender Emissionen von Personal Computern und deren Moni-
toren.
Personal Computer und deren CRT- und TFT-Monitore setzen kompromittierende Emissionen
(CEM) in unterschiedlicher elektromagnetischer Form frei: als hochfrequente Strahlung, als
hochfrequente Oberflächenwellen entlang metallischer Leiter und als hochfrequente, elektrische
Spannungen und Ströme im Energie-Versorgungsnetz.
Der EVG erzeugt exakt auf den Frequenzen der kompromittierenden hochfrequenten Emissionen
digitale Rauschsignale, die sich allen 3 Formen elektromagnetischer kompromittierender Emissi-
onen überlagern.
Durch die Überlagerung wird der Empfang und die Dekodierung der kompromittierenden
hochfrequenten Signale verhindert, weil die kompromittierenden Signale und die digitalen
Rauschsignale nicht mehr separierbar sind.
TSF_SUP.1 Schutz der Benutzerdaten durch Überlagerung (Superposition)
der kompromittierenden Emissionen durch ein besonderes Schutzsignal
Soweit die Sicherheitsfunktionen schaltungstechnische Mechanismen beschreiben, wird auf das
Funktions-/Blockschaltbild im Anhang verwiesen.
TSF_SUP.1.1 Das Monitorsignal wird mittels des lösbaren Monitorkabels durch den EVG, dessen
Betriebsbereitschaft durch eine grüne LED angezeigt wird, geführt. Mittels eines
mikroprozessorgesteuerten Spektralanalysators wird die Pixelfrequenz in einem
Frequenzbereich von 20 MHz bis zu 80 MHz festgestellt und im Mikroprozessor ge-
speichert.
TSF_SUP.1.2 Die Spektralanalyse wird ständig wiederholt. Ein Durchlauf dauert etwa 8 s. Da-
mit ist sichergestellt, dass mindestens alle 10 s die Pixelfrequenz erneut festgestellt
wird.
TSF_SUP.1.3 Eine mikroprozessorgesteuerte Leuchtdiode (gelbe LED) zeigt die ständig wieder-
holte Frequenzanalyse an (vg. Benutzerhandbuch)
TSF_SUP.1.4 Im mikroprozessorgesteuerten Trägergenerator des EVG werden Trägerschwin-
gungen mit einer Grundschwingung von 20 MHz bis 80 MHz und deren ganzzahli-
ge Oberschwingungen erzeugt.
TSF_SUP.1.5 Im Schutzsignalgenerator des EVG wird ein digitales Rauschsignal erzeugt. Mit
diesem digitalen Rauschsignal werden die vorher generierten Trägerschwingun-
gen amplitudenmoduliert.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 15 / 23 - ST-SPEZ-1.V1
TSF_SUP.1.6 Der Pegel des Schutzsignals wird bei der Herstellung des EVG auf einen Wert ein-
gestellt, der geringfügig unter den EMV-Grenzwerten liegt. Der Pegel der gesam-
ten elektromagnetischen Emissionen des zu schützenden PCs, die Summe aus
kompromittierenden und nicht kompromittierenden Emissionen liegt höchstens
bei diesen Werten, in aller Regel aber deutlich unter diesen Werten. Da die CEM
nur ein Teil der gesamten Emissionen sind, liegen ihre Pegel deutlich unter den
EMV-Grenzwerten. Man erkennt dies auch am sehr geringen Modulationsgrad der
CEM. Damit ist sichergestellt, dass das verrauschte Schutzsignal deutlich das Sig-
nal der CEM an allen Stellen überlagert, und auch nicht eine nur bruchstückhafte
Dekodierung von einzelnen Datenelementen möglich ist.
TSF_SUP.1.7 Das Schutzsignal wird durch entspr. Ankopplung auf das Monitorkabel geführt.
Die gesamte Anordnung aus PC-Gehäuse, Monitorgehäuse und Monitorkabel
wird mit dem Schutzsignal erregt. Von hieraus verlässt es wie das Signal der CEM
den PC als Strahlung, Mantel- bzw. Oberflächenwelle und Netzsignal.
TSF_SUP.1.8 Der Mikroprozessor steuert und kontrolliert sowohl die Schutzsignalgenerierung
wie auch die Funktionsanzeigen des EVG. Die mikroprozessorgesteuerte Anzeige
gibt ein optisches (rote LED) und akustisches Warnsignal, solange noch kein
hochfrequentes Schutzsignal auf das Monitorkabel gespeist wird. Die Netzversor-
gung des EVG wird durch eine grüne LED angezeigt.
TSF_SUP.1.9 Bevor das Monitorsignal den EVG verlässt, wird es über ein mikroprozessorgesteu-
ertes Relais geführt. Das Relais schließt erst, wenn der EVG funktionsgerecht mit
Spannung versorgt ist. Ohne anliegende Versorgungsspannung erhält der Monitor
somit kein Bildsignal.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 16 / 23 - ST-SPEZ-1.V1
6.2 MAßNAHMEN ZUR VERTRAUENSWÜRDIGKEIT
Die Vertrauenswürdigkeitskomponenten mit den Vertrauenswürdigkeitsstufen für die Evaluie-
rungsstufe EAL 1 werden in der folgenden Tabelle dargestellt.
Vertrauenswürdigkeits-
komponente
Maßnahmen
ACM-CAP.1 Jeder EVG ist mit einem eindeutigen Verweisnamen, einer
Versionsnummer und einer Gerätenummer gekennzeich-
net.
Die Angaben befinden sich auf dem Typenetikett und im
Benutzerhandbuch.
ADO-IGS.1 Die erforderlichen Prozeduren für die Installation, den An-
lauf und den Betrieb des EVG sind im Benutzerhandbuch
dokumentiert.
ADV-FSP.1 Im Dokument "Funktionale Spezifikation" werden die sicht-
baren TSF-Schnittstellen und das Verhalten der TSF beschrie-
ben.
ADV-RCR.1 Im Dokument "Analyse und Vergleich von Funktionalen An-
forderungen und Sicherheitsfunktionen des EVG" werden
die entspr. Übereinstimmungen nachgewiesen.
AGD-ADM.1 Im Benutzerhandbuch sind alle für die sichere Verwaltung
und den sicheren Betrieb notwendigen Informationen do-
kumentiert.
AGD-USR.1 Im Benutzerhandbuch sind alle für die sichere Verwaltung
und den sicheren Betrieb notwendigen Informationen do-
kumentiert.
ATE-IND.1 Der Entwickler stellt den EVG einschl. speziellen Testgerätes
wie einen Empfänger für kompromittierende Emissionen
bereit. Die Prüfstelle prüft den EVG nach ihren Vorgaben
bei technischer Unterstützung des Entwicklers.
7 . P P - P O S T U L A T E
Der EVG entspricht keinem bisher für die CC registriertem Schutzprofil (Protection Profile).
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 17 / 23 - ST-SPEZ-1.V1
8 . E R K L Ä R U N G E N
Die Erklärungen sind unterteilt in die Abschnitte:
8.1. Erklärung der Sicherheitsziele
8.2. Erklärung der Sicherheitsanforderungen
8.3. Erklärung der EVG-Übersichtsspezifikation
8.4. Erklärung der PP-Postulate
8.1. ERKLÄRUNG ZU DEN SICHERHEITSZIELEN
Die Erklärung soll zeigen, dass die festgelegten Sicherheitsziele (Kapitel 4.) die Annahmen, Be-
drohungen und Politiken aus der EVG-Sicherheitsumgebung (Kapitel 3.) abdecken und erfüllen.
Die folgende Tabelle zeigt die entspr. Querbeziehungen.
lfd.
Nr.
ANNAHMEN
BEDROHUNGEN
SICHERHEITSZIELE
1 A.T.FRQ O.E.FRQ
Das Sicherheitsziel deckt den Einsatz des EVG an
PCs mit Pixelfrequenzen von 20 MHz bis 80 MHz ab.
2
A.T.EMC O.E.EMC
Das Sicherheitsziel deckt den Einsatz des EVG an
PCs mit Emissionspegeln unterhalb der EMV-
Grenzwerte ab.
3 A.T.KFG O.E.KFG
Das Sicherheitsziel legt den Einsatz des EVG an PCs
mit abgesetzten Monitoren fest.
4 A.A.TOE O.A.TOE
Das Sicherheitsziel nimmt die Annahmen zum Aus-
tausch und zur Manipulation des EVG und des zu
schützenden PCs, auf.
5 T.CEM O.T.SUP
Das Sicherheitsziel Überlagerung deckt die Bedro-
hungen aus den CEM, mit der Quelle Graphikkarte
und deren Aufnahme ab.
Damit sind alle Annahmen und Bedrohungen uneingeschränkt einem Sicherheitsziel zugeordnet.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 18 / 23 - ST-SPEZ-1.V1
8.2. ERKLÄRUNG ZU DEN SICHERHEITSANFORDERUNGEN
Die Erklärung soll zeigen, dass die festgelegten Sicherheitsziele (Kapitel 4.) durch Sicherheitsan-
forderungen an den EVG und seine Umgebung abdeckt und erfüllt werden.
Der EVG ist in die Klasse FDP, Schutz der Benutzerdaten, einzuordnen. Dort sind keine funktiona-
len Anforderungskomponenten für den EVG festgelegt. Daher wurden die Familie und die Kom-
ponenten der Sicherheitsanforderungen in Anlehnung an den Teil 2 der CC frei definiert.
lfd.
Nr.
SICHERHEITSZIELE SICHERHEITSANFORDERUNGEN
1 O.T.SUP
Überlagerung Schutzsignal
FDP_SUP.1.1, FDP_SUP.1.2, FDP_SUP.1.3, FDP_SUP.1.4,
FDP_SUP.1.5, FDP_SUP.1.6, FDP_SUP.1.7,
FDP_SUP1.8 und FDP_SUP1.9
Die TSF fordern während der Funktion des PCs die
Überlagerung eines Schutzsignals mit ausreichen-
dem Pegel, das dem Spektrum der CEM bis zu Pixel-
frequenzen von 20 MHz bis 80 MHz angepasst ist,
und dessen spektrale Zusammensetzung mindestens
alle 10 s geprüft wird. Dabei wird gefordert, dass
die Bedeutung der zu schützenden Daten beachtet
wird.
2 O.A.TOE
Austausch- / Manipulation
FDP_NIE1.1, FDP_NIE1.2
Die Sicherheitsanforderungen an die Nicht-IT-
Umgebung fordern Schutz gegen Austausch und
Manipulation
3 O.E.FRG
max. Pixelfrequenz
FDP_ITE.1.1
Die Sicherheitsanforderungen an die IT-Umgebung
legen Pixelfrequenzen der zu schützenden Rechner
von 20 MHz bis zu 80 MHz fest.
4 O.E.EMC
max. Emissionspegel
FDP_ITE.1.2
Vom zu schützenden PC wird gefordert, dass seine
gesamtem Emissionen unterhalb der EMV-
Grenzwerte liegen.
5 O.E.KFG
nicht integrierte Monitore
FDP_ITE.1.3
Zwischen PC und Monitor wird ein steckbares Kabel
gefordert.
Die Gegenüberstellung zeigt, dass alle Sicherheitsziele in entspr. Sicherheitsanforderungen umge-
setzt sind.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 19 / 23 - ST-SPEZ-1.V1
8.3. ERKLÄRUNG ZU DEN EVG-ÜBERSICHTSSPEZIFIKATIONEN
Die Erklärung soll zeigen, dass die aus den Sicherheitszielen (Kapitel 4.) abgeleiteten Sicherheits-
anforderungen (Kapitel 5.) durch entspr. Sicherheitsfunktionen (Kapitel 6.) erfüllt werden.
8.3.1. SICHERHEITSFUNKTIONEN
lfd.
Nr.
SICHERHEITS-
ANFORDERUNGEN
SICHERHEITSFUNKTIONEN
1 FDP_ITE.1.3
durchgeschl. Monitorkabel
FDP_SUP.1.1
Feststellung Pixelfrequenz
TSF_SUP.1.1
Die Pixelfrequenz wird von 20 MHz bis 80 MHz festge-
stellt an PCs mit durchschleifbarem Monitorkabel.
2 FDP_SUP.1.2
wiederholte Spaktralanal.
TSF_SUP.1.2
Die Spektralanalyse wird im Takt von 8 s wiederholt.
3 FDP_SUP.1.3
kontrollierte Spektralanal.
TSF_SUP.1.3
Die ständige Wiederholung der Spektralanalyse
wird kontrolliert.
4 FDP_SUP.1.4
Trägerschw.-Erzeugung
FDP_ITE.1.1
max. Pixelfrequ. des PCs
TSF_SUP.1.4
Trägerschwingungen werden bis zu Grundschwin-
gungen von 20 MHz bis 80 MHz und deren Ober-
schwingungen erzeugt. Damit werden PCs mit Pi-
xelfrequenzen zw. 20 MHz und 80 MHz geschützt.
5 FDP_SUP.1.5
Modulation dig. Rauschsig.
TSF_SUP.1.5
Ein dig. Rauschsignal mit einer Wiederholrate von
mindestens 8*10^9 wird auf die Träger moduliert.
6 FDP_SUP.1.6
ausreichende Schutzpegel
FDP_ITE.1.2
max. CEM-Pegel
TSF_SUP.1.6
Der Pegel des Schutzsignals liegt geringfügig unter
den EMV-Grenzwerten. Damit werden PCs mit CEM-
Pegeln < EMV-Pegeln geschützt, wobei die Schutz-
pegel ausreichen, schon bruchstückhafte Lesbarkeit
zu verhindern.
7 FDP_SUP.1.7
Ausbreitung Schutzsignal
TSF_SUP.1.7
Die gesamte Einheit aus PC, Monitorkabel und Mo-
nitor wird erregt, damit sich das Schutzsignal in den
3 Ausbreitungsarten ausbreitet.
8 FDP_SUP.1.8
Warnsignal Schutzdefizit
TSF_SUP.1.8
Bei fehlendem Schutzsignal wird optisch und akus-
tisch gewarnt.
9 FDP_SUP.1.9
funktionsgerechter Betrieb
TSF_SUP.1.9
Ein Relais schaltet das Monitorsignal erst auf, wenn
auch ein Schutzsignal anliegt.
Die Gegenüberstellung zeigt, dass alle Sicherheitsanforderungen durch Sicherheitsfunktionen
abgedeckt sind.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 20 / 23 - ST-SPEZ-1.V1
8.3.2. VERTRAUENSWÜRDIGKEITSMASSNAHMEN UND VERTRAUENSWÜRDIGKEITSSTUFE
In der Tabelle in Kap. 6.2. / S 16 ist nachgewiesen, dass die Vertrauenswürdigkeitsmaßnahmen
die Vertrauenswürdigkeitsanforderungen erfüllen.
Aufgrund der Sicherheitsfunktionen, der Technik und der technischen Dokumentation könnte der
EVG nach einer höheren Vertrauenswürdigkeitsstufe evaluiert werden. Da hierzu noch Vertrau-
enswürdigkeitskomponenten, wie z.B. zum Vertriebs- und Auslieferungsweg (ADO_DEL.1) definiert
und fixiert werden müssen, wird zunächst die Vertrauenswürdigkeitsstufe 1 mit der Möglichkeit
zur Nachzertifizierung bei Vorliegen der Vertrauenswürdigkeitskomponenten angestrebt.
8.4. ERKLÄRUNG ZU DEN PP-POSTULATE
Die Erklärung entfällt, da der EVG keinen in den CC bisher festgelegten PP-Postulaten entspricht.
Aachen, am 19. Apr. 2002
(Prof. Dr.-Ing. Erhard Möller)
Anlagen:
1: Benutzerhandbuch
2: Funktionale Spezifikation
3: Analyse und Vergleich der Funktionalen Anforderungen und Sicherheitsfunktionen
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 21 / 23 - ST-SPEZ-1.V1
A 1 B I L D E R A N H A N G , Funktionsbild
Einkopplung
Auskopplung
PC
Spektral-
u.
Pegelanalyse
u(f)
f
KEM-Träger
Schutzsignalgenerator
u(t)
u(t)
t
t
dig.
Rausch-
generator
Träger-
Generator
Mikro-
Prozessor
Funktionsanzeige
Abfrage
KEM-Träger
KEM-Träger
Bild 1: Funktionsprinzip des EVG
Bild-1n.dsf
20.03.01 Mö
Data
-
Defender
1.0
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 22 / 23 - ST-SPEZ-1.V1
A 2 D E F I N I T I O N E N
ABKÜRZUNGEN
CEM Compromising Emissions (CEM ), engl. für Kompromittierende Emissionen
CRT Cathode-Ray-Tubes, engl. für Kathoden-Strahl-Röhren
Beispiel: Bildröhren in Monitoren
EMV Elektro-Magnetische Verträglichkeit
KW Kurzwelle, Frequenzbereich von 3 MHz bis 30 MHz
TFT Thin-Film-Transistor, engl. für Dünn-Film-Transistor,
Grundbaustein für Flachbildschirme
UHF Ultra-High-Frequencies, Frequenzbereich von 300 MHz bis 3000 MHz
VHF Very-High-Frequencies, Frequenzbereich von 30 MHz bis 300 MHz
GLOSSAR
DATA-Defender:
Produktbezeichnung des Herstellers für ein Datenschutzgerät, das die Benutzerdaten schützt, in-
dem es den Empfang und die Dekodierung von elektromagnetischen kompromittierenden E-
missionen verhindert
Datenschutzgerät:
Arbeitstitel des Entwicklers für ein Datenschutzgerät, das die Benutzerdaten schützt, indem es
den Empfang und die Dekodierung von elektromagnetischen kompromittierenden Emissionen
verhindert.
Elektromagnetische Verträglichkeit:
Vereinfachte Umschreibung: Störempfindliche Geräte und Störungen emittierende Geräte funk-
tionieren bei vorliegender EMV störungsfrei nebeneinander. EMV-Standards und EMV-Normen
setzen Grenzwerte für die Elektromagnetischen Emissionen und für die Elektromagnetische Stör-
festigkeit fest.
Emissionen, gestrahlte:
Gestrahlte Emissionen sind elektromagnetische Emissionen, die über als Antennen wirkende Ge-
räteteile als elektromagnetische Welle abgestrahlt werden.
Emissionen, kompromittierende:
Kompromittierende Emissionen sind informationstragenden Emissionen, die mit dem Betrieb ei-
nes DV-Gerätes verbunden sind und ungewollt frei gesetzt werden.
Beispiel: Elektromagnetische Emissionen von Personal Computern,
Emissionen, leitungsgebundene:
Leitungsgebundene Emissionen sind elektromagnetische Emissionen, die sich an Leitungen als
Oberflächen- oder Mantelwellen oder in Leitungen als elektrische Signale ausbreiten.
Netzsignale:
Netzsignale sind Signale, die als Spannung oder Strom in elektrischen Netzen ausbreiten.
FH Aachen LABOR FÜR NACHRICHTENTECHNIK UND EMV Prof. Dr.-Ing. Erhard Möller
- 23 / 23 - ST-SPEZ-1.V1
Mantelwellen,
Oberflächenwellen:
Oberflächenwellen, an Leitungen auch Mantelwellen genannt, sind Wellen die sich an Oberflä-
chen durch verknüpfte elektromagnetische Felder und Oberflächenströme ausbreiten.
Pixelfrequenz:
Die Pixelfrequenz ist der Takt, mit dem die Bildpunkte, sog. Pixel, des Monitorbildes angesteuert
werden. Die Pixelfrequenz lässt sich überschlägig aus der Auflösung des Monitorbildes mit Hilfe
des Produktes aus Bildpunkte pro Zeile x Zeilen pro Bild x Bildfrequenz x Korrekturfaktor (Zeilen-
rücklauf) berechnen.
Tabelle für übliche Pixelfrequenzen
Bildpunkte Zeilen Bildfrequenz
pro Zeile pro Bild 50 Hz 75 Hz 100 Hz
Pixelfrequenz
640 480 17 MHz 25 MHz 34 MHz
800 600 26 MHz 40 MHz 53 MHz
1024 768 43 MHz 65 MHz 87 MHz
1280 960 68 MHz 101 MHz 135 MHz
1600 1200 106 MHz 158 MHz 211 MHz
Pixelfrequenz im Grenzbereich
Pixelfrequenz oberhalb 80 MHz
Überlagerungssender:
Überlagerungssender sind elektrische Sender, die einem bestehenden Fremdsignal ihr eigenes
Signal so überlagern, dass das Fremdsignal nicht mehr empfangen und demoduliert oder deko-
diert werden kann