Schéma Français de la Sécurité des Technologies de l’Information d’Évaluation et de Certification SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION PREMIER MINISTRE Rapport de certification 2000/10 Plate-forme ST19 (technologie 0.6µ) : Micro-circuit ST19SF08CExyz Décembre 2000 Ce document est folioté de 1 à 44 et certificat. Ce document constitue le rapport de certification du produit " Plate-forme ST19 (technologie 0,6µ) : micro-circuit ST19SF08CExyz". Ce rapport de certification est disponible sur le site internet du Service Central de la Sécurité des Systèmes d'Information à l'adresse suivante : www.scssi.gouv.fr Toute correspondance relative à ce rapport de certification doit être adressée au : Secrétariat général de la défense nationale SCSSI Centre de Certification de la Sécurité des Technologies de l’Information 51, boulevard de Latour-Maubourg 75700 PARIS 07 SP. Mél: ssi20@calva.net © SCSSI, France 2000. La reproduction de tout ou partie de ce document, sans altérations ni coupures, est autorisée. Tous les noms des produits ou des services de ce document sont des marques déposées de leur propriétaire respectif. Ce produit a été évalué par un centre d'évaluation de la sécurité des TI conformément aux critères communs pour l'évaluation de la sécurité des TI version 2.1 (conforme à la norme ISO 15408) et à la méthodologie commune pour l'évaluation de la sécurité des TI version 1.0. Ce certificat ne s'applique qu'à la version évaluée du produit dans sa configuration d’évaluation et selon les modalités décrites dans le rapport de certification associé. L'évaluation a été conduite en conformité avec les dispositions du Schéma français d'évaluation et de certification de la sécurité des TI. Les conclusions du centre d'évaluation enregistrées dans le rapport technique d'évaluation sont cohérentes avec les éléments de preuve fournis. Ce certificat ne constitue pas en soi une recommandation du produit par l'organisme de certification ou par toute autre organisation qui le reconnaît ou l'utilise. Ce certificat n'exprime directement ou indirectement aucune caution du produit par l'organisme de certification ou par toute autre organisation qui le reconnaît ou l'utilise. Schéma Français d’Évaluation et de Certification de la Sécurité des Technologies de l’Information PREMIER MINISTRE CERTIFICAT 2000/10 Plate-forme ST19 (technologie 0.6µ) : Micro-circuit ST19SF08CExyz EAL4 augmenté conforme au profil de protection PP/9806 Commanditaire : STMicroelectronics SA Le 21 décembre 2000, Le Commanditaire : L’Organisme de certification : Group Vice-President Memory Products Le Directeur chargé de la sécurité General Manager Smartcard Products Division des systèmes d’information Mr. M. FELICI Mr. Henri SERRES Développeur : STMicroelectronics SA Organisme de Certification Secrétariat général de la défense nationale SCSSI 51, boulevard de Latour-Maubourg 75700 PARIS 07 SP. 2 Rapport de certification 2000/10 Décembre 2000 Page 1 Chapitre 1 Introduction 1 Ce document représente le rapport de certification du produit constitué du micro- circuit ST19SF08CExyz, bâti sur la plate-forme ST19 de STMicrolectronics. Il consacre le passage de la version ST19SF08B à la version ST19SF08C. Ce changement de version entre dans la portée du programme de maintenance des produits de la plate-forme ST19, enregistré sous l’identifiant PM/01 par l’organisme de certification. 2 Les fonctionnalités évaluées sont consignées en annexe A du présent rapport. 3 Le niveau d’assurance atteint est le niveau EAL 4 augmenté des composants d’assurance AVA_VLA.4 “Résistance élevée”, ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, ADV_IMP.2 “Implémentation de la TSF”, ALC_FLR.1 “Correction d’erreurs élémentaire”, AMA_AMP.1 “Plan de maintenance de l’assurance”, AMA_CAT.1 “Rapport de classification des composants de la TOE”, AMA_EVD.1 “Éléments de preuve du processus de maintenance”, AMA_SIA.2 “Examen de l’analyse d’impact sur la sécurité” tels que décrits dans la partie 3 des Critères Communs [3]. 4 Ce produit est conforme au profil de protection “Smartcard Integrated Circuit” enregistré auprès du SCSSI sous la référence PP/9806, version 2.0 de Septembre 1998 [5]. 5 Le profil de protection a fait l’objet d’un rapport de certification PP/9806 [6]. 6 Ce produit figure désormais au programme de maintenance PM/01 des composants certifiés bâtis sur la plate-forme ST19. 1 - Introduction Décembre 2000 Page 2 Décembre 2000 8 Rapport de certification 2000/10 Décembre 2000 Page 3 Chapitre 2 Résumé 2.1 Contexte 7 Ce certificat s’inscrit dans le programme de maintenance de la sécurité de la plate- forme ST19. Ce programme a pour but de faciliter la conception et la certification de la sécurité des produits bâtis sur cette plate-forme. Enregistré sous l’identifiant PM/01, il figure au catalogue des programmes de maintenance acceptés par l’organisme de certification. 8 La version produit ST19SF08BDxyz de la plate-forme ST19 a fait l’objet d’une certification initiale en avril 2000 attestée par le certificat 2000/04. 9 En application du programme de maintenance associé à la plate-forme ST19, les évolutions apportées au produit et à l’environnement de développent du produit, ont fait l’objet d’analyses d’impact soumises à l’évaluateur. La nature des changements appliqués au produit ST19SF08B a conduit l’évaluateur à effectuer des travaux de d’évaluation complémentaires. L’émission du certificat joint au présent rapport conclut ainsi le premier cycle de maintenance de la version produit ST19SF08. 10 L’évaluation a porté sur le véhicule test ST19SF08CExyz. 11 Les travaux d’évaluation effectués durant ce premier cycle de maintenance ont coincidé avec l’audit de surveillance réalisé dans le cadre du programme de maintenance PM/01. Cet audit a permis de valider les exigences spécifiques associées à ce programme, et a porté essentiellement sur l’organisation et les procédures mises en place par le développeur dans le cadre de la maintenance de la plate-forme ST19. 12 Les résultats de certification de la plate-forme et des produits dérivés ainsi que les documentations d’administration et d’utilisation, serviront de base respectivement aux commanditaires et développeurs de logiciels d’application pour les produits qu’ils souhaiteront certifier. 2.2 Description de la cible d’évaluation 13 La cible d'évaluation, bâtie sur la plate-forme ST19, comporte : - le micro-circuit ST19SF08CExyz et ses logiciels dédiés, - l’environnement de développement tel que décrit dans le présent rapport. 14 Les développeurs de logiciels d’application (système d’exploitation, application spécifique, ...) et les utilisateurs de ces applications devront se conformer aux 2 - Résumé Rapport de certification 2000/10 Page 4 Décembre 2000 recommandations recensées, respectivement, dans les guides d’utilisation et d’administration. Ces logiciels n’ont pas fait l’objet de la présente évaluation et certification. 2.3 Evolutions apportées 15 Les évolutions apportées par la version produit ST19SF08C représentent essentiellement la l’intégration de la chaîne de fabrication du site de Rousset, ainsi que des modifications apportées au code de l’auto-test. 2.4 Résumé des caractéristiques de sécurité 2.4.1 Menaces 16 Les principales menaces identifiées dans la cible de sécurité [8] peuvent être résumées comme suit : - modification non autorisée de la conception du circuit et des logiciels dédiés, - divulgation non autorisée de la conception du circuit et des logiciels dédiés, des informations de tests et des outils de développement, - utilisation abusive du micro-circuit. 17 Les biens à protéger au sein de la cible d'évaluation sont définis comme étant les données applicatives du micro-circuit, les logiciels dédiés, les données de spécification et de conception du micro-circuit. Ces biens doivent être protégés en intégrité et en confidentialité. 2.4.2 Politiques de sécurité organisationnelles et hypothèses 18 L’annexe A donne les principales caractéristiques de sécurité telles qu’elles sont décrites dans la cible de sécurité [8], en particulier les hypothèses d’utilisation du produit. 2.4.3 Exigences fonctionnelles de sécurité 19 Les principales fonctionnalités de sécurité du produit décrites dans la cible de sécurité [7] sont les suivantes : - authentification des acteurs au cours de la phase de test, - contrôle d'accès, - analyse des violations potentielles de sécurité, Rapport de certification 2000/10 2 - Résumé Décembre 2000 Page 5 - non-observabilité, - administration des fonctions de sécurité, - protection des fonctions de sécurité : notification et résistance aux attaques physiques. 2.4.4 Exigences d’assurance 20 Les exigences d’assurance spécifiées dans la cible de sécurité [7] sont celles du niveau d’évaluation EAL4 augmenté des composants d’assurance AVA_VLA.4 “Résistance élevée”, ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, ADV_IMP.2 “Implémentation de la TSF”, ALC_FLR.1 “Correction d’erreurs élémentaire”, AMA_AMP.1 “Plan de maintenance de l’assurance”, AMA_CAT.1 “Rapport de classification des composants de la TOE”, AMA_EVD.1 “Eléments de preuve du processus de maintenance”, AMA_SIA.2 “Examen de l’analyse d’impact sur la sécurité” tels que décrits dans la partie 3 des Critères Communs [3] 2.5 Acteurs dans l’évaluation 21 Le commanditaire de l’évaluation est : STMicroelectronics SA ZI de Rousset BP2 F- 13106 Rousset Cedex. 22 La cible d’évaluation a été développée par la même société : STMicroelectronics SA ZI de Rousset BP2 F- 13106 Rousset Cedex. 23 La société Dupont a également participé au développement de la cible d'évaluation en tant que développeur et fabricant des réticules servant à la fabrication du ST19SF08CExyz : Dupont Photomasks ZI de Rousset F- 13106 Rousset Cedex. 24 Les sites de production des produits bâtis sur la plate-forme ST19 sont les suivants : - en France, STMicroelectronics ZI de Rousset BP2 F- 13106 Rousset Cedex 2 - Résumé Rapport de certification 2000/10 Page 6 Décembre 2000 - en Italie, STMicroelectronics Via C. Olivetti 2 I- 20041 Agrate Brianza Le micro-circuit ST19SF08CExyz qui a fait l’objet de cette certification, est fabriqué à Agrate et à Rousset. 2.6 Contexte de l’évaluation 25 L’évaluation a été menée conformément aux Critères Communs ([1] à [3]) et à la méthodologie définie dans le manuel CEM [4]. 26 L’évaluation s’est déroulée dans le cadre du programme de maintenance associé à la plate-forme ST19 qui est enregistré sous l’identifiant PM/01 par l’organisme de certification. 27 L’évaluation a été conduite par le centre d’évaluation de la sécurité des technologies de l’information de Serma Technologies : - Serma Technologies 30, avenue Gustavel Eiffel F- 33608 Pessac Cedex. 2.7 Conclusions de l'évaluation 28 Le produit soumis évaluation dont la cible de sécurité [7] est partiellement reprise dans l’annexe A du présent rapport, satisfait aux exigences du niveau d’évaluation EAL 4 augmenté des composants d’assurance AVA_VLA.4 “Résistance élevée”, ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, ADV_IMP.2 “Implémentation de la TSF”, AMA_AMP.1 “Plan de maintenance de l’assurance”, AMA_CAT.1 “Rapport de classification des composants de la TOE”, AMA_EVD.1 “Eléments de preuve du processus de maintenance”, AMA_SIA.2 “Examen de l’analyse d’impact sur la sécurité”. Il est conforme aux exigences du profil de protection PP/9806 [5]. Par ailleurs, la résistance des fonctions de sécurité est cotée au niveau élevée (SOF-high). 29 La recherche de vulnérabilités exploitables au cours de l’évaluation a été définie par la quantité d’informations disponibles pour le niveau EAL4 et par la compétence, l’opportunité et les ressources correspondant à un potentiel d’attaques élevé tel qu’il est spécifié par le composant d’assurance AVA_VLA.4. 30 Les vulnérabilités connues du commanditaire de l’évaluation ont été toutes communiquées aux évaluateurs et au certificateur conformément au critère [AVA_VLA.4.4E]. Rapport de certification 2000/10 2 - Résumé Décembre 2000 Page 7 31 L'utilisation de la cible d'évaluation de manière sûre est soumise aux recommandations figurant au chapitre 6 du présent rapport. 2 - Résumé Rapport de certification 2000/10 Page 8 Décembre 2000 10 Rapport de certification 2000/10 Décembre 2000 Page 9 Chapitre 3 Identification de la cible d’évaluation 3.1 Objet 32 La cible d'évaluation, bâtie sur la plate-forme ST19, comporte : - le micro-circuit ST19SF08CExyz et ses logiciels dédiés, - l’environnement de développement tel que décrit dans le présent rapport. 33 Ce micro-circuit est destiné à recevoir les logiciels fournis par le développeur d’applications, masqués dans la mémoire programme (ROM) au cours de la fabrication du micro-circuit. Ces logiciels applicatifs (le système d’exploitation de la carte ainsi que les applications éventuelles) ne font pas partie de l’évaluation. Le micro-circuit est ensuite inséré dans une carte porteur de format carte de crédit ou tout autre support. Par ailleurs, les phases d’encartage et de personnalisation de la cible d’évaluation sont hors du champ de l’évaluation. 34 Le micro-circuit électronique contient des logiciels dédiés développés par STMicroelectronics à des fins de tests du circuit. 3.2 Historique du développement 35 Le composant ST19SF08CExyz a été développé et testé par STMicroelectronics sur le site de Rousset. La production des micro-circuits est effectuée sur les sites d’Agrate (Italie) et de Rousset (France). 3.3 Description du matériel 36 Le micro-circuit électronique ST19SF08CExyz est un micro contrôleur 8 bits, bâti sur la plate-forme ST19. 37 Il dispose de différents mécanismes de sécurité participant à la réalisation des fonctions dédiées à la sécurité pour lesquelles l'évaluation a été demandée. 3.4 Description du logiciel 38 La cible d’évaluation contient également les logiciels dédiés développés par STMicroelectronics ; ces logiciels contiennent des fonctionnalités de tests actives pendant la phase de test du micro-circuit. A l’issue de cette phase, ils ne sont plus accessibles. 3 - Identification de la cible d’évaluation Rapport de certification 2000/10 Page 10 Décembre 2000 12 Rapport de certification 2000/10 Décembre 2000 Page 11 Chapitre 4 Caractéristiques de sécurité 4.1 Préambule 39 Les caractéristiques de sécurité évaluées sont consignées dans la cible de sécurité [7] qui est la référence pour l’évaluation. 40 Les paragraphes ci-après reformulent les éléments essentiels de ces caractéristiques. 4.2 Politique de sécurité 41 La politique de sécurité de la cible d’évaluation dont le modèle figure dans la documentation disponible au titre des critères ADV_SPM repose principalement sur : - le contrôle d’accès aux informations sensibles stockées par le micro-circuit, - l’irréversibilité des phases de vie du micro-circuit (passage irréversible de la configuration de tests à la configuration d’utilisation), - la détection des violations potentielles de sécurité. 4.3 Menaces 42 Les menaces effectivement couvertes par le produit sont décrites dans le chapitre 3 de la cible de sécurité [7]. Elles sont reprises en annexe A.1. 4.4 Hypothèses d’utilisation et d’environnement 43 La cible d’évaluation doit être utilisée et administrée conformément aux exigences spécifiées dans la documentation d’utilisation et d’administration, et notamment dans le document Security Application Manual [9]. 44 Les hypothèses d’utilisation et d’environnement du produit sont consignées dans le chapitre 3 de la cible de sécurité [7]. Celles-ci sont reprises en annexe A.2. 4.5 Architecture du produit 45 L’architecture du produit est décrite dans les documents de conception générale et détaillée exigibles pour les familles d’assurance ADV_HLD et ADV_LLD. 4 - Caractéristiques de sécurité Rapport de certification 2000/10 Page 12 Décembre 2000 46 Le micro-circuit électronique ST19SF08 est un micro contrôleur bâti sur la plate- forme ST19. Il dispose d'une unité centrale de 8 bits associée à une mémoire de travail de 960 octets (RAM), d'une mémoire de programme de 32 Koctets (ROM), et d'une mémoire non volatile de 8Koctets (EEPROM). Il dispose également de différents composants de sécurité, d’une logique de matrice de contrôle d’accès, d’un générateur d’horloge ainsi que d’un générateur de nombres non-prédictibles. Ce dernier ne fait pas l’objet de cette évaluation. Tab. 4.1 - Modèle d’architecture du micro-circuit ST19SF08 4.6 Description de la documentation 47 La documentation disponible pour l’évaluation est décrite en annexe B du présent rapport de certification. 4.7 Configuration évaluée 48 La configuration de test de la cible d’évaluation est décrite en annexe B. CPU Mémoires volatiles Mémoires non vola- tiles Composants de sécurité Ports d’I/O 22 Rapport de certification 2000/10 Décembre 2000 Page 13 Chapitre 5 Résultats de l’évaluation 5.1 Rapport Technique d’Évaluation 49 Les résultats de l’évaluation sont exposés dans le rapport technique d’évaluation [8]. 5.2 Résultats de l’évaluation du produit 50 Le produit répond aux exigences des critères communs pour le niveau EAL4 augmenté des composants AVA_VLA.4 “Résistance élevée”, ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, ADV_IMP.2 “Implémentation de la TSF”, AMA_AMP.1 “Plan de maintenance de l’assurance”, AMA_CAT.1 “Rapport de classification des composants de la TOE”, AMA_EVD.1 “Eléments de preuve du processus de maintenance”, AMA_SIA.2 “Examen de l’analyse d’impact sur la sécurité” tels que décrits dans la partie 3 des Critères Communs [3]. 51 Les paragraphes suivants énumèrent les composants d’assurance pour lesquels des travaux complémentaires étaient exigibles au vu des analyses d’impact fournies par le commanditaire. Pour chacun d’eux l’évaluateur, a dû se prononcer sur le maintien des verdicts en effectuant lorsque cela était nécessaire des travaux d’évaluation complémentaires. 5.2.1 ASE : Evaluation de la cible de sécurité 52 L’évaluateur a examiné les changements apportés à la cible publique qui accompagne le rapport de certification. L’évaluateur a confirmé que la cible représente une version générique mais fidèle de la cible non publique qui en revanche reste inchangée par rapport à l’évaluation initiale. 5.2.2 ADV_FSP.2 : Spécifications fonctionnelles, définition exhaustive des interfaces externes 53 Les critères d’évaluation sont définis par les sections ADV_FSP.2.iE de la classe ADV, telle que définie dans la partie 3 des Critères Communs [3]. 54 L’évaluateur a examiné l’évolution des spécifications et a montré que les corrections apportées n’avaient aucun impact sur les fonctionnalités de sécurité du produit, confirmant ainsi l’analyse du commanditaire. Les verdicts associés à ces critères ont pu être maintenus sans nécessiter de travaux d’évaluation complémentaires. 5 - Résultats de l’évaluation Rapport de certification 2000/10 Page 14 Décembre 2000 5.2.3 ADV_HLD.2 : Conception générale de sécurité 55 Les critères d’évaluation sont définis par les sections ADV_HLD.2.iE de la classe ADV, telle que définie dans la partie 3 des Critères Communs [3]. 56 L’évaluateur a montré que les corrections apportées aux spécifications fonctionnelles, lorsqu’elles sont répercutées dans le document de conception générale, n’ont pas d’impact sur l’architecture de sécurité du produit, confirmant ainsi l’analyse du commanditaire. 57 Les verdicts associés à ces critères ont pu être maintenus sans nécessiter de travaux d’évaluation complémentaires. 5.2.4 ADV_LLD.1 : Conception détaillée descriptive 58 Les critères d’évaluation sont définis par les sections ADV_LLD.1.iE de la classe ADV, telle que définie dans la partie 3 des Critères Communs [3]. 59 La conception détaillée de la plate-forme matérielle n’ayant subi aucune évolution, les verdicts qui lui sont associés ont pu être maintenus. 60 L’évaluateur a montré que les changements apportés à la conception détaillée du logiciel dédié n’affectaient ni la décomposition modulaire, ni les interfaces externes, ni les interfaces internes du produit, confirmant ainsi l’analyse d’impact du commanditaire. 61 Les verdicts associés à ces critères ont pu être maintenus sans nécessiter de travaux d’évaluation complémentaires. 5.2.5 ADV_IMP.2 : Implémentation de la TSF 62 Les critères d’évaluation sont définis par les sections ADV_IMP.2.iE de la classe ADV, telle que définie dans la partie 3 des Critères Communs [3]. 63 Les évolutions apportées aux schémas descriptifs du micro-circuit en production sur le site de Rousset ainsi qu’au code source du logiciel dédié, ont été documentées avec le niveau de détail requis pour le niveau considéré. L’évaluateur a montré que ces évolutions n’avaient pas d’incidence quant au fait que la réalisation demeure une représentation correcte et complète des fonctions de la cible de sécurité. Il a montré de plus que ces changements n’induisaient pas de vulnérabilités potentielles, confirmant ainsi l’analyse du commanditaire. 64 Les verdicts associés à ces critères ont pu être maintenus sans nécessiter de travaux d’évaluation complémentaires. 5.2.6 ACM_AUT.1 : Automatisation partielle de la CM 65 Les critères d’évaluation sont définis par la section ACM_AUT.1.1E de la classe ACM, telle que spécifiée dans la partie 3 des Critères Communs [3]. Rapport de certification 2000/10 5 - Résultats de l’évaluation Décembre 2000 Page 15 66 Le déploiement du système de gestion de configuration sur le site de Rousset a conduit l’évaluateur à réaliser des travaux complémentaires. 67 Il a pu vérifier lors de sa visite sur le site de Rousset la généralisation de l’application de l’outil de gestion de configuration, en accord avec les procédures du développeur. 5.2.7 ACM_CAP.4 : Aide à la génération et procédures de réception 68 Les critères d’évaluation sont définis par la section ACM_CAP.4.iE de la classe ACM, telle que spécifiée dans la partie 3 des Critères Communs [3]. 69 Le système de gestion de configuration impose un contrôle des objets produits au cours du développement chez le développeur du micro-circuit. Des procédures permettent de prendre en compte dans le système de gestion de configuration les objets composant la cible d'évaluation (procédure de réception). Des procédures gèrent également les révisions majeures et mineures de la cible d'évaluation. Pour le fondeur, la gestion de configuration passe par un système de suivi de toutes les modifications des niveaux de masque du produit. Le système de gestion de configuration énumère tous les composants élémentaires à partir desquels la cible d'évaluation a été construite. 70 L'appellation commerciale de la cible d'évaluation (ST19SF08CExyz) identifie les modifications majeures de ses constituants matériel ou logiciel, à l’exception toutefois du jeu de masques utilisé qui diffère entre les deux sites de production. 71 Un système de gestion de configuration s'applique également chez le fabricant de réticules Dupont Photomasks. 72 Ces systèmes et les procédures associées n’ont pas évolué depuis la certification initiale. 73 L’évaluateur a vérifié la cohérence de la liste de configuration fournies pour les micro-circuits produits à Agrate et à Rousset. 5.2.8 ADO_DEL.2 : Détections de modification 74 Les critères d’évaluation sont définis par la section ADO_DEL.2.iE de la classe ADO, telle que spécifiée dans la partie 3 des Critères Communs [3]. 75 Les procédures de livraison du produit n’ont pas subi d’évolution. L’application continue de celles-ci depuis la certification initiale a été contrôlée au cours de la visite sur le site de production de Rousset. 76 Les verdicts associés à ces critères ont pu être maintenus suite à cette visite de contrôle. 5 - Résultats de l’évaluation Rapport de certification 2000/10 Page 16 Décembre 2000 5.2.9 AGD_ADM.1 : Guide de l’administrateur 77 Les critères d’évaluation sont définis par la section AGD_ADM.1.1E de la classe AGD, telle que spécifiée dans la partie 3 des Critères Communs [3]. 78 Le développeur a fourni une nouvelle version de la documentation d’administration des fonctions de sécurité du produit, plus particulièrement des guides “Autotest Manual” et “Security Application Manual”[9]. Ces guides d’administration sont à usage : - des développeurs de logiciels (Programming manual, Datasheet, User Manual, Security Application Manual) installés sur le micro-circuit qui administrent les fonctions de sécurité offertes par le micro-circuit électronique. En particulier, il contient un ensemble de recommandations sur le développement des logiciels applicatifs et sur l’utilisation sûre des fonctions de sécurité du micro-circuit. - interne à STMicroelectronics, - des fabricants et personnalisateurs (Datasheet, User Manual- Issuer, Die Description, Security Application Manual). 79 L’évaluateur s’est assuré que les changements apportés n’induisaient pas d’incohérence dans cette documentation et a vérifié que ces procédures permettaient une administration sûre du produit. 5.2.10 AGD_USR.1 : Guide de l’utilisateur 80 Les critères d’évaluation sont définis par la section AGD_USR.1.1E de la classe AGD, telle que spécifiée dans la partie 3 des Critères Communs [3]. 81 Le développeur a fourni une nouvelle versions de la documentation d’utilisation des fonctions de sécurité du produit, plus particulièrement des guides “Autotest Manual” et “Security Application Manual”[9]. Ces guides d’utilisation sont à usage : - des développeurs de logiciels (Programming manual, Datasheet, User Manual- User, Security Application Manual) installés sur le micro-circuit qui administrent les fonctions de sécurité offertes par le micro-circuit électronique. En particulier, il contient un ensemble de recommandations sur le développement des logiciels applicatifs et sur l’utilisation sûre des fonctions de sécurité du micro-circuit. - des fabricants et personnalisateurs (Datasheet). 82 L’évaluateur s’est assuré que cette documentation correspondait toujours à une utilisation sûre du produit. Rapport de certification 2000/10 5 - Résultats de l’évaluation Décembre 2000 Page 17 5.2.11 ALC_DVS.2 : Caractère suffisant des mesures de sécurité 83 Les critères d’évaluation sont définis par la section ALC_DVS.2.iE de la classe ALC, telle que spécifiée dans la partie 3 des Critères Communs [3]. 84 L’intégration du site de production de wafers de Rousset (“Fab 6 pouces”) à l’environnement de développement constitue l’évolution majeure par rapport à la certification initiale. 85 L’évaluateur a analysé la sécurité de la production au cours du processus de fabrication du micro-circuit du site de Rousset. Une visite de contrôle a permis également de confirmer le maintien du niveau de sécurité, et les améliorations apportées au site de production d’Agrate. 5.2.12 ALC_FLR.1 : Correction d’erreurs élémentaire 86 Les critères d’évaluation sont définis par la section ALC_FL.1.1E de la classe ALC, telle que spécifiée dans la partie 3 des Critères Communs [3]. 87 Ce critère n’a pas été évalué dans le cadre de la certification initiale dans la mesure où la mise en place de l’organisation et des procédures relatives à la maintenance n’était pas encore stabilisée. 88 Le processus de traitement, et de correction des erreurs ainsi que les responsabilités associées ont été clairement formalisés par le commanditaire. L’évaluateur a pu en vérifier l’application effective, en accord avec les procédures du développeur. 89 Le commanditaire a soumis une demande d’interprétation à l’organisme de certification concernant l’exigence ALC_FLR.1.4.C. Cette interprétation a été acceptée puis enregistrée par ce dernier dans le catalogue national des interprétations. 5.2.13 ATE_FUN.1 : Tests fonctionnels 90 Les critères d’évaluation sont définis par la section ATE_FUN.1.iE de la classe ATE, telle que spécifiée dans la partie 3 des Critères Communs [3]. 91 Les tests réalisés par le développeur correspondent à un ensemble de tests matériels des fonctions de sécurité du micro-circuit, produits au cours de la caractérisation du micro-circuit et de sa production. En effet, deux types de tests sont réalisés sur le micro-circuit : - des tests de l’ensemble des fonctionnalités de sécurité du micro-circuit au cours d’une phase dite de caractérisation du circuit, préalable à la mise en production des échantillons, - des test de production effectués sur chaque micro-circuit à l’issue de sa fabrication, couvrant un sous-ensemble des fonctions de sécurité du produit. 5 - Résultats de l’évaluation Rapport de certification 2000/10 Page 18 Décembre 2000 92 L’évaluateur a vérifié que les évolutions présentées par le logiciel de l’autotest ainsi que les changements mineurs apportées aux tests de production, n’affectaient en rien la documentation de tests fournie lors de l’évaluation initiale. L’évaluateur s’est assuré du maintien de la complétude de cette documentation. 93 Les verdicts associés à ces critères ont pu être maintenus sans nécessiter de travaux d’évaluation complémentaires. 5.2.14 ATE_COV.2 : Analyse de la couverture 94 Les critères d’évaluation sont définis par la section ATE_COV.2.iE de la classe ATE, telle que spécifiée dans la partie 3 des Critères Communs [3]. 95 L’évaluateur a vérifié que la couverture de la spécification des fonctions de sécurité par les tests de caractérisation et de production n’était pas affectée par rapport à l’évaluation initiale, confirmant ainsi l’analyse d’impact du développeur. 96 Les verdicts associés à ces critères ont pu être maintenus sans nécessiter de travaux d’évaluation complémentaires. 5.2.15 ATE_DPT.1 : Tests : conception générale 97 Les critères d’évaluation sont définis par la section ATE_DPT.1.iE de la classe ATE, telle que spécifiée dans la partie 3 des Critères Communs [3]. 98 Le développeur a fourni une analyse de la documentation de tests justifiant la complétude des tests vis-à-vis de la conception générale du micro-circuit. 99 L’évaluateur a vérifié que la complétude des tests vis-à-vis de la conception générale du micro-circuit n’était pas affectée par rapport à l’évaluation initiale, confirmant ainsi l’analyse d’impact du développeur. 100 Les verdicts associés à ces critères ont pu être maintenus sans nécessiter de travaux d’évaluation complémentaires. 5.2.16 ATE_IND.2 Tests effectués de manière indépendante - échantillonnage 101 Les critères d’évaluation sont définis par les sections ATE_IND.2.iE de la classe ATE, telle que spécifiée dans la partie 3 des Critères Communs [3]. 102 Les évaluateurs ont rejoué un ensemble de tests sur le micro-circuit. Ils ont procédé à un échantillonnage des programmes de tests chez le développeur du micro-circuit électronique sur le site de Rousset où l’ensemble des tests de production sont réalisés. La procédure d'échantillonnage retenue a consisté d’une part, à se focaliser sur la mise à jour de l’auto-test, et d’autre part à répartir les tests entre les versions produit ST19SF02, ST19SF04, et ST19SFSF16. Dans la mesure où ces produits présentent des fonctionnalités identiques au produit ST19SF08, qu’ils sont conçus et produits de manière identique suivant les même procédés, et qu’ils ne diffèrent que par la taille de l’EEPROM, cette procédure a été jugée conforme aux exigences du niveau d'évaluation EAL4. Rapport de certification 2000/10 5 - Résultats de l’évaluation Décembre 2000 Page 19 103 Aucun test complémentaires n’a été effectué par les évaluateurs en raison des évolutions mineures apportées à la fois au produit et au programmes de tests. 5.2.17 AVA_MSU.2 : Validation de l’analyse 104 Les critères d’évaluation sont définis par la section AVA_MSU.2.iE de la classe AVA, telle que spécifiée dans la partie 3 des Critères Communs [3]. 105 Le développeur a fourni une une nouvelle version du guides “Security Application Manual”[10]. L’évaluateur a procédé à la réévaluation du guide, en s’assurant de la validité des recommandations formulées à l’adresse des utilisateurs pour une exploitation sûre de la plate-forme. Les évaluateurs ont réalisé des tests complémentaires afin de confirmer les résultats de cette analyse. 5.2.18 AVA_VLA.4 : Résistance élevée 106 Les critères d’évaluation sont définis par les sections AVA_VLA.4.iE de la classe AVA, telle que spécifiée dans la partie 3 des Critères Communs [3]. 107 L’évaluateur a réalisé sa propre analyse de vulnérabilités afin de s’assurer que les changements opérés sur le produit n’induisaient pas de vulnérabilité potentielle. 108 L’évaluateur a complété l’analyse précédente par la réalisation tests de pénétration nouvellement spécifiés afin de pouvoir vérifier que le produit résiste aux attaques correspondant à un potentiel de l’attaquant tel que défini par le composant AVA_VLA.4 “Résistance élevée”. Ces tests représentent la somme des travaux de recherche fournie par l’évaluateur depuis l’évaluation initiale dans le cadre de sa veille technologique. 5.3 Résultats de l’évaluation du programme de maintenance associé 109 Le produit a été évalué dans le cadre du programme de maintenance associé à la plate-forme ST19, enregistré sous l’identifiant PM/01 par l’organisme de certification. Ce programme répond aux exigences des Critères Communs définies par les composants AMA_AMP.1 “Plan de maintenance de l’assurance”, AMA_CAT.1 “Rapport de classification de composants de la TOE”, AMA_SIA..2 “Examen de l’analyse d’impact sur la sécurité” et AMA_EVD.1 “Éléments de preuve du processus de maintenance”tel que décrits dans la partie 3 des Critères Communs [3]. 110 L’évaluation des exigences associées au programme de maintenance s’est déroulée simultanément à l’évaluation du produit. 5.3.1 AMA_AMP.1 : Plan de maintenance de l’assurance 111 Les critères d’évaluation sont définis par les sections AMA_AMP.1.iE de la classe AMA, telle que spécifiée dans la partie 3 des Critères Communs [3]. 5 - Résultats de l’évaluation Rapport de certification 2000/10 Page 20 Décembre 2000 112 Le développeur a fourni une nouvelle version du plan de maintenance décrivant la cible d’évaluation et les caractéristiques de sécurité correspondant au microcicuit ST19SF08BDxyz référencé par sa liste de configuration. Le plan de maintenance met à jour la nature et la portée des évolutions prévues du produit, les rôles et responsabilités, les procédures que le développeur a mis en oeuvre afin de garantir que l’assurance qui a été établie pour le produit certifié est maintenue, alors que des changements sont effectués sur le produit ou son environnement de développement/ production. 113 Le cycle de maintenance proposé, consistant à informer périodiquement l’évaluateur à échéance de trois mois des évolutions du produit ou de son environnement, a été jugé satisfaisant par l’organisme de certification. Les travaux d’évaluation notifiés dans le présent rapport de certification correspondent bien aux évolutions planifiées dans le plan de maintenance. 5.3.2 AMA_CAT.1 : Rapport de classification de composants de la TOE 114 Les critères d’évaluation sont définis par les sections AMA_CAT.1.iE de la classe AMA, telle que spécifiée dans la partie 3 des Critères Communs [3]. 115 L’évaluateur a vérifié que la classification des composants de la TOE et des outils, ainsi que le schéma de classification utilisé, sont appropriés et cohérents avec les résultats d’évaluation de la version certifiée. 5.3.3 AMA_SIA.2 : Examen de l’analyse d’impact sur la sécurité 116 Les critères d’évaluation sont définis par les sections AMA_SIA.2.iE de la classe AMA, telle que spécifiée dans la partie 3 des Critères Communs [3]. 117 L’évaluateur a vérifié que les analyses d’impact sur la sécurité que le développpeur lui a transmis documente toutes les modifications à un niveau de détail approprié, avec les justifications appropriées que l’assurance a été maintenue dans la version courante de la TOE. 5.3.4 AMA_EVD.1 : Éléments de preuve du processus de maintenance 118 Les critères d’évaluation sont définis par les sections AMA_EVD.1.iE de la classe AMA, telle que spécifiée dans la partie 3 des Critères Communs [3]. 119 Lors de l’audit de surveillance du programme de maintenance PM/01, l’évaluateur a confirmé que les procédures décrites dans le plan de maintenance étaient effectivement appliquées. L’évaluateur a en particulier vérifié l’application des procédures relatives à la gestion de configuration, les éléments de preuve relatifs à la maintenance de l’assurance, la réalisation de l’analyse d’impact sur la sécurité et la correction d’erreurs. Rapport de certification 2000/10 5 - Résultats de l’évaluation Décembre 2000 Page 21 5.4 Verdicts 120 Pour tous les aspects des critères communs identifiés ci-dessus, un avis “réussite” a été émis. 5 - Résultats de l’évaluation Rapport de certification 2000/10 Page 22 Décembre 2000 24 Rapport de certification 2000/10 Décembre 2000 Page 23 Chapitre 6 Recommandations d’utilisation 121 La cible d’évaluation “ST19SF08CExyz”, bâtie sur la plate-forme ST19, est soumise aux recommandations d’utilisation exprimées ci-dessous. Le respect de ces recommandations conditionne la validité du certificat. 122 Le produit doit être utilisé conformément à l’environnement d’utilisation prévu dans la cible de sécurité [7]. 123 Le produit doit être développé et utilisé conformément aux recommandations d’utilisation exprimées dans le document “Security Application Manual” [9]. Cette documentation contient des informations confidentielles et est disponible, de manière contrôlée, sur demande auprès de la société STMicroelectronics, Division Smartcard. 6 - Recommandations d’utilisation Rapport de certification 2000/10 Page 24 Décembre 2000 26 Rapport de certification 2000/10 Décembre 2000 Page 25 Chapitre 7 Certification 7.1 Objet 124 Le produit dont les caractéristiques de sécurité sont définies dans la cible de sécurité [7], satisfait aux exigences du niveau d’évaluation EAL4 augmenté des composants d’assurance suivants décrits dans la partie 3 des Critères Communs [3] : - AVA_VLA.4 “Résistance élevée”, - ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, - ADV_IMP.2 “Implémentation de la TSF”, - ALC_FLR.1 “Correction d’erreurs élémentaire”, - AMA_AMP.1 “Plan de maintenance de l’assurance”, - AMA_CAT.1 “Rapport de classification des composants de la TOE”, - AMA_EVD.1 “Eléments de preuve du processus de maintenance”, - AMA_SIA.2 “Examen de l’analyse d’impact sur la sécurité”. 125 Ce produit est conforme au profil de protection “Smartcard Integrated Circuit” enregistré auprès du SCSSI sous la référence PP/9806, version 2.0 de Septembre 1998 [5]. 126 La recherche de vulnérabilités exploitables au cours de l’évaluation a été définie par la quantité d’informations disponibles pour le niveau EAL4 et par la compétence, l’opportunité et les ressources correspondant à un potentiel d’attaques élevé tel qu’il est spécifié par le composant d’assurance AVA_VLA.4. 7.2 Portée de la certification 127 La certification ne constitue pas en soi une recommandation du produit. Elle ne garantit pas que le produit certifié est totalement exempt de vulnérabilités exploitables : il existe une probabilité résiduelle que des vulnérabilités exploitables n’aient pas été découvertes. 128 Le certificat ne s’applique qu’à la version évaluée du produit, telle qu’elle est définie en annexe B de ce rapport. 7 - Certification Rapport de certification 2000/10 Page 26 Décembre 2000 36 Rapport de certification 2000/10 Décembre 2000 Page 27 Annexe A Caractéristiques de sécurité 129 Les caractéritiques de sécurité évaluées sont décrites dans la cible de sécurité [7] qui est la référence pour l’évaluation. Compte-tenu du caractère confidentiel de la cible de sécurité, un résumé public de la cible de sécurité a été rédigé [10], et joint au présent rapport de certification. 130 La cible de sécurité étant rédigée en langue anglaise, les paragraphes ci-après sont une traduction française des hypothèses, des menaces ainsi que des objectifs et des exigences de sécurité. A - Caractéristiques de sécurité Rapport de certification 2000/10 Page 28 Décembre 2000 A.1 Menaces 131 Le cycle de vie du produit est constitué des phases suivantes : - phase 1 : développement des logiciels embarqués (systèmes d’exploitation, logiciels applicatifs), - phase 2 : développement du micro-circuit et des logiciels dédiés, - phase 3 : production du micro-circuit, - phase 4 : mise en micro-modules (ateliers de micro-électronique), - phase 5 : encartage, - phase 6 : personnalisation, - phase 7 : utilisation du produit final. A.1.1 Clonage A.1.2 Menaces sur la phase 1 (Développement des logiciels embarqués) T.CLON Clonage fonctionnel de la cible d’évaluation. T.DIS_INFO Divulgation non autorisée des biens délivrés par le concepteur du circuit au développeur des logiciels embarqués. T.DIS_DEL Divulgation non autorisée des logiciels embarqués pendant la phase de livraison au concepteur du circuit. T.MOD_DEL Modification non autorisée des logiciels embarqués pendant la phase de livraison au concepteur du circuit. T.T_DEL Vol des logiciels embarqués pendant la phase de livraison au concepteur du circuit. Rapport de certification 2000/10 A - Caractéristiques de sécurité Décembre 2000 Page 29 A.1.3 Divulgation non autorisée au cours des phases 2 à 7 A.1.4 Vol ou utilisation abusive au cours des phases 2 à 7 A.1.5 Modification non autorisée au cours des phases 2 à 7 T.DIS_DESIGN Divulgation non autorisée de la conception du circuit. T.DIS_SOFT Divulgation non autorisée des logiciels embarqués T.DIS_DSOFT Divulgation non autorisée des logiciels de tests dédiés. T.DIS_TEST Divulgation non autorisée des informations de tests du micro-circuit. T_DIS_TOOLS Divulgation non autorisée des outils de développement. T_DIS_PHOTOMASK Divulgation non autorisée des informations liées au réticule. T.T_SAMPLE Vol ou utilisation abusive d’échantillons. T.T_PHOTOMASK Vol ou utilisation abusive des réticules du circuit. T.T_PRODUCT Vol ou utilisation abusive des produits cartes à puce. T.MOD_DESIGN Modification non autorisée de la conception du circuit. T.MOD_PHOTOMASK Modification non autorisée des réticules du produit. T.MOD_DSOFT Modification non autorisée des logiciels de tests dédiés. T.MOD_SOFT Modification non autorisée des logiciels embarqués. A - Caractéristiques de sécurité Rapport de certification 2000/10 Page 30 Décembre 2000 A.2 Hypothèses sur l’environnement A.2.1 Hypothèses sur la phase 1 A.2.2 Hypothèses sur le processus de livraison de la cible d’évaluation (phases 4 à 7) A.2.3 Hypothèses sur les phases 4 à 6 A.2.4 Hypothèses sur la phase 7 132 A.SOFT_ARCHI Les logiciels embarqués doivent être développés de manière sûre, en veillant à assurer l’intégrité des programmes et des données. A.DEV_ORG Existence de procédures de sécurité traitant de la sécurité physique, liées au personnel, organisationnelles ou techniques au cours du développement des logiciels embarqués. A.DLV_PROTECT Existence de procédures assurant la protection de la cible d’évaluation au cours de la livraison. A.DLV_AUDIT Analyse et traitement des incidents. A.DLV_RESP Formation et qualification des personnels chargés de la livraison. A.USE_TEST Existence de tests fonctionnels adéquats des circuits intégrés au cours des phases 4 à 6. A.USE_PROD Existence de procédures de sécurité durant les phases de fabrication et de tests pour maintenir la confidentialité et l’intégrité de la cible d’évaluation. A.USE_DIAG Existence de protocoles de communication sûrs dans les échanges cartes et terminaux. A.USE_SYS L’intégrité et la confidentialité des données sensibles doivent être maintenues par le système. Rapport de certification 2000/10 A - Caractéristiques de sécurité Décembre 2000 Page 31 A.3 Objectifs pour la cible d’évaluation Les informations sensibles désignent : - les données applicatives chargées en EEPROM telles que les données de pré-personalisation, - les logiciels dédiés. O.TAMPER La TSF doit se prémunir contre les attaques physiques. O.CLON La TSF doit se prémunir contre le clonage fonctionnel. O.OPERATE La TSF doit assurer la continuité de ses fonctions de sécurité. O.FLAW La TSF ne doit pas contenir d’erreurs de conception, d’implémentation ou dans son exécution. O.DIS_MECHANISM La TSF doit se prémunir contre toute divulgation non autorisée de ces mécanismes de sécurité. O.DIS_MEMORY La TSF doit se prémunir contre toute divulgation non autorisée des informations sensibles contenues dans les mémoires. O_MOD_MEMORY La TSF doit se prémunir contre toute modification non autorisée des informations sensibles contenues dans les mémoires. A - Caractéristiques de sécurité Rapport de certification 2000/10 Page 32 Décembre 2000 A.4 Objectifs pour l’environnement A.4.1 Objectifs pour la phase 1 A.4.2 Objectifs pour la phase 2 O.DEV_DIS Maintien de l’intégrité et de la confidentialité des outils de développement fournis par le concepteur du circuit. O.SOFT_DLV Maintien de la sécurité au cours de la livraison des logiciels embarqués au concepteur du circuit. O.SOFT_MECH Utilisation par le développeur des logiciels embarqués des recommandations émises par le concepteur du circuit afin de garantir le niveau de sécurité du produit. O.DEV_TOOLS L’environnement de développement des logiciels embarqués doit permettre de garantir l’intégrité des programmes et des données. O.SOFT_ACS Contrôle d’accès aux logiciels embarqués au sein du concepteur du micro-circuit sur la base du besoin d’en connaître. O.DESIGN_ACS Contrôle d’accès aux informations relatives à la conception et à l’implémentation du micro-circuit. O.DSOFT_ACS Contrôle d’accès aux informations relatives à la conception et à l’implémentation des logiciels dédiés. O.MASK_FAB Existence de procédures de sécurité garantissant l’intégrité et la confidentialité de la cible d’évaluation au cours du processus de fabrication des réticules. O.MECH_ACS Contrôle de la diffusion des spécifications des mécanismes de sécurité du composant. O.TI_ACS Contrôle de la diffusion des informations liées à la technologie du composant. Rapport de certification 2000/10 A - Caractéristiques de sécurité Décembre 2000 Page 33 A.4.3 Objectifs pour la phase 3 A.4.4 Objectifs pour les phases 4 à 7 O.TOE_PRT Protection de la cible d’évaluation au cours du processus de fabrication. O.IC_DLV Maintien de la confidentialité et de l’intégrité de la cible d’évaluation au cours des procédures de livraison des produits. O.DLV_PROTECT Existence de procédures assurant la protection de la cible d’évaluation au cours de la livraison. O.DLV_AUDIT Analyse et traitement des incidents. O.DLV_RESP Formation et qualification des personnels chargés de la livraison. O.TEST_OPERATE Maintien de tests fonctionnels adéquats au cours des phases 4 à 6. O.USE_DIAG Existence de protocoles de communication sûrs dans les échanges cartes et terminaux au cours de la phase 7. O.USE_SYS L’intégrité et la confidentialité des données sensibles doivent être maintenues par le système au cours de la phase 7. A - Caractéristiques de sécurité Rapport de certification 2000/10 Page 34 Décembre 2000 A.5 Exigences fonctionnelles de sécurité A.5.1 Exigences fonctionnelles de sécurité pour la phase 3 A.5.2 Exigences fonctionnelles de sécurité pour la phase 3 à 7 Protection des données utilisateur FDP_SDI.1 Contrôle de l’intégrité des données stockées. Identification et authentification FIA_UID.2 FIA_UAU.2 FIA_ATD.1 Identification de l’utilisateur préalablement à toute action. Authentification de l’utilisateur préalablement à toute action. Définition des attributs de lutilisateur. Protection des fonctions de sécurité FPT_TST.1 Test de la TSF. Administration de la sécurité FMT_MOF.1 FMT_MSA.1 FMT_SMR.1 FMT_MSA.3 Administration du comportement des fonctions de sécurité. Administration des attributs de sécurité. Rôles de sécurité. Initialisation statique d’attributs. Protection des données utilisateur FDP_ACC.2 FDP_ACF.1 FDP_IFC.1 FDP_IFF.1 Contrôle d’accès complet. Contrôle d’accès basé sur les attributs de sécurité. Contrôle de flux d’informations partiel Attributs de sécurité simple. Audit de sécurité FAU_SAA.1 Analyse de violation potentielle. Protection de la vie privée FPR_UNO.1 Non-observabilité Protections des fonctions de sécurité FPT_PHP.2 FPT_PHP.3 Notification d’une attaque physique. Résistance à une attaque physique. Rapport de certification 2000/10 A - Caractéristiques de sécurité Décembre 2000 Page 35 A.6 Exigences d’assurance Cible de sécurité ASE Évaluation de la cible de sécurité. EAL4 ACM_AUT.1 ACM_CAP.4 ACM_SCP.2 ADO_DEL.2 ADO_IGS.1 ADV_FSP.2 ADV_HLD.2 ADV_IMP.1 ADV_LLD.1 ADV_RCR.1 ADV_SPM.1 AGD_ADM.1 AGD_USR.1 ALC_DVS.1 ALC_LCD.1 ALC_TAT.1 ATE_COV.2 ATE_DPT.1 ATE_FUN.1 ATE_IND.2 AVA_MSU.2 AVA_SOF.1 AVA_VLA.2 Automatisation partielle de la CM. Aide à la génération et procédures de réception. Couverture du suivi des problèmes par la CM Détection de modifications Procédures d’installation, de génération et de démarrage. Définition exhaustive des interfaces externes. Conception de haut niveau de sécurité. Sous-ensemble de l’implémentation de la TSF. Conception de bas niveau descriptive. Démonstration de correspondance informelle. Modèle informel de politique de sécurité de la TOE. Guide de l’administrateur. Guide de l’utilisateur. Identification des mesures de sécurité. Modèle de cycle de vie défini par le développeur. Outils de développement bien définis. Analyse de la couverture. Tests : conception de haut niveau. Tests fonctionnels. Tests indépendants - par échantillonnage Validation de l’analyse Évaluation de la résistance des fonctions de sécurité de la TOE Analyse de vulnérabilité indépendante. Augmentation ADV_IMP.2 ALC_DVS.2 ALC_FLR.1 AVA_VLA.4 AMA_AMP.1 AMA_CAT.1 AMA_EVD.1 AMA_SIA.2 Implémentation de la TSF. Caractère suffisant des mesures de sécurité. Correction d’erreurs élémentaire. Résistance élevée. Plan de maintenance de l’assurance. Rapport de classification des composants de la TOE. Éléments de preuve du processus de maintenance. Examen de l’analyse d’impact sur la sécurité. A - Caractéristiques de sécurité Rapport de certification 2000/10 Page 36 Décembre 2000 38 Rapport de certification 2000/10 Décembre 2000 Page 37 Annexe B Configuration de la cible d’évaluation 133 La cible d'évaluation, bâtie sur la plate-forme ST19, comporte : - le micro-circuit ST19SF08CExyz et ses logiciels dédiés, - l’environnement de développement tel que décrit dans le présent rapport. 134 Afin de pouvoir être testé, le produit a été utilisé avec un logiciel embarqué développé par STMicroelectronics appelé “Card Manager”. Ce logiciel ne fait pas partie de l’évaluation. 135 La configuration de test de la cible d’évaluation est la suivante : - ST19SF08CE RZO : - micro-circuit : ST19SF08C, - logiciels enfouis : THE, - logiciel “Card Manager” RZO (hors évaluation), - mask set K460A (site de fabrication de Rousset) - mask set K461A (site de fabrication d’Agrate) 136 La documentation disponible pour le produit est la suivante : - Documentation d’utilisation du produit : “ST19SFxx IC Data Sheet”, - Documentation d’administration du produit : “Security Application Manual”, référencé [9]. B - Configuration de la cible d’évaluation Rapport de certification 2000/10 Page 38 Décembre 2000 42 Rapport de certification 2000/10 Décembre 2000 Page 39 Annexe C Glossaire C.1 Abréviations CC (Common Criteria) - Critères Communs, l’intitulé utilisé historiquement pour la présente norme à la place de l’intitulé officiel de l’ISO 15408: “Critères d’évaluation de la sécurité des technologies de l’information” EAL (Evaluation Assurance Level) - Niveau d’assurance de l’évaluation EEPROM Electrically Erasable Programmable Read Only Memory PP (Protection Profile) - Profil de protection RAM Random Access Memory ROM Read Only Memory SF (Security Function) - Fonction de sécurité SFP (Security Function Policy) - Politique d’une fonction de sécurité ST (Security Target) - Cible de sécurité TI (IT : Information Technology) - Technologie de l’Information TOE (Target of Evaluation) - Cible d’évaluation TSF (TOE Security Functions) - Ensemble des fonctions de sécurité de la TOE C - Glossaire Rapport de certification 2000/10 Page 40 Décembre 2000 C.2 Glossaire Affectation La spécification d’un paramètre identifié dans un composant. Assurance Fondement de la confiance dans le fait qu’une entité satisfait à ses objectifs de sécurité. Augmentation L’addition d’un ou de plusieurs composants d’assurance de la Partie 3 à un EAL ou à un paquet d’assurance. Biens Informations ou ressources à protéger par les contre- mesures d’une TOE. Cible d’évaluation (TOE) Un produit ou un système TI et la documentation associée pour l’administrateur et pour l’utilisateur qui est l’objet d’une évaluation. Cible de sécurité (ST) Un ensemble d’exigences de sécurité et de spécifications à utiliser comme base pour l’évaluation d’une cible d’évaluation identifiée. Classe Un groupement de familles qui partagent un thème commun. Composant Le plus petit ensemble sélectionnable d’éléments qui peut être inclus dans un PP, une ST ou un paquet. Évaluation Estimation d’un PP, d’une ST ou d’une TOE par rapport à des critères définis. Fonction de sécurité Une partie ou des parties de la TOE sur lesquelles on s’appuie pour appliquer un sous-ensemble étroitement imbriqué de règles tirées de la TSP. Informel Qui est exprimé à l’aide d’un langage naturel. Itération L’utilisation multiple d’un composant avec des opérations différentes. Niveau d’assurance de l’évaluation Un paquet composé de composants d’assurance tirées de la Partie 3 qui représente un niveau de l’échelle d’assurance prédéfinie des CC. Objectif de sécurité Une expression de l’intention de contrer des menaces identifiées ou de satisfaire à des politiques de sécurité organisationnelles et à des hypothèses. Rapport de certification 2000/10 C - Glossaire Décembre 2000 Page 41 Plate-forme Ensemble de technologies et de capacités pouvant être développées et appliquées afin de servir de base de croissance et d’innovation dans divers produits et services. Politique de sécurité organisationnelle Une ou plusieurs règles, procédures, codes de conduite ou lignes directrices de sécurité qu’une organisation impose pour son fonctionnement. Produit Un ensemble de logiciels, microprogrammes ou matériels TI qui offre des fonctionnalités conçues pour être utilisées ou incorporées au sein d’une multiplicité de systèmes. Profil de protection Un ensemble d’exigences de sécurité valables pour une catégorie de TOE, indépendant de son implémentation, qui satisfait des besoins spécifiques d’utilisateurs. Raffinement L’addition de détails à un composant. Sélection La spécification d’une ou de plusieurs entités à partir d’une liste au sein d’un composant. Utilisateur Toute entité (utilisateur humain ou entité TI externe) hors de la TOE qui interagit avec elle. C - Glossaire Rapport de certification 2000/10 Page 42 Décembre 2000 44 Rapport de certification 2000/10 Décembre 2000 Page 43 Annexe D Références [1] [CC-1] Common Criteria for Information Technology Security Evaluation Part 1: Introduction and general model CCIMB - 99-031, version 2.1, August 1999 (conforme à la norme ISO 15408), [2] [CC-2] Common Criteria for Information Technology Security Evaluation Part 2: Security Functional Requirements CCIMB-99-032, version 2.1, August 1999 (conforme à la norme ISO 15408), [3] [CC-3] Common Criteria for Information Technology security Evaluation Part 3: Security Assurance Requirements CCIMB-99-033, version 2.1, August 1999 (conforme à la norme ISO 15408), [4] [CEM] Common Methodology for Information Technology Security Evaluation CEM-99/045, version 1.0, August 1999. [5] Profil de protection PP/9806, “Smartcard Integrated Circuit, Version 2.0” de Septembre 1998. [6] Certificat PP/9806, Avril 1999. [7] Cible de sécurité “ST19SF08B Security Target”, version 2.7, document confidentiel. [8] Rapport technique d’évaluation, référencé AZUR_ETR version 1.0, 19 octobre 2000, document secret. [9] Security Application Manual, Version 1.2, 30 juin 2000, document confidentiel. [10] Résumé de la cible de sécurité, “ST19SFxx Security Target” version 1.2, document public. D - Références Rapport de certification 2000/10 Page 44 Décembre 2000