Schéma Français de la Sécurité des Technologies de l’Information d’Évaluation et de Certification PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION ecf ecf E v aluation et Certification França i s e Rapport de certification 2000/04 Plate-forme ST19 (technologie 0.6µ) : Micro-circuit ST19SF08BDxyz Mars 2000 Ce document est folioté de 1 à 44 et certificat. Ce document constitue le rapport de certification du produit "Plate-forme ST19 (technologie 0,6µ) : micro-circuit ST19SF08BDxyz". Ce rapport de certification est disponible sur le site internet du Service Central de la Sécurité des Systèmes d'Information à l'adresse suivante : www.scssi.gouv.fr Toute correspondance relative à ce rapport de certification doit être adressée au : SCSSI Centre de Certification de la Sécurité des Technologies de l’Information 18, rue du docteur Zamenhof F-92131 ISSY-LES-MOULINEAUX CEDEX. mèl : ssi20@calva.net © SCSSI, France 2000. La reproduction de tout ou partie de ce document, sans altérations ni coupures, est autorisée. Schéma Français d’Évaluation et de Certification de la Sécurité des Technologies de l’Information ecf ecf E v aluation et Certification França i s e Ce produit a été évalué par un centre d'évaluation de la sécurité des TI conformément aux critères communs pour l'évaluation de la sécurité des TI version 2.1 (conforme à la norme ISO 15408) et à la méthodologie commune pour l'évaluation de la sécurité des TI version 1.0. Ce certificat ne s'applique qu'à la version évaluée du produit dans sa configuration d’évaluation et selon les modalités décrites dans le rapport de certification associé. L'évaluation a été conduite en conformité avec les dispositions du Schéma français d'évaluation et de certification de la sécurité des TI. Les conclusions du centre d'évaluation enregistrées dans le rapport technique d'évaluation sont cohérentes avec les éléments de preuve fournis. Ce certificat ne constitue pas en soi une recommandation du produit par l'organisme de certification ou par toute autre organisation qui le reconnaît ou l'utilise. Ce certificat n'exprime directement ou indirectement aucune caution du produit par l'organisme de certification ou par toute autre organisation qui le reconnaît ou l'utilise. CERTIFICAT 2000/04 Plate-forme ST19 (technologie 0.6µ) : Micro-circuit ST19SF08BDxyz EAL4 augmenté conforme au profil de protection PP/9806 Commanditaire : STMicroelectronics SA Le 31 mars 2000, Le Commanditaire : L’organisme de certification : Group Vice-President Memory Products Le chef du Service central de la sécurité General Manager Smartcard Products Division des systèmes d’information Mr. M. FELICI Le Général Jean-Louis DESVIGNES Développeur : STMicroelectronics SA Organisme de Certification SCSSI 18, rue du docteur Zamenhof F-92131 ISSY-LES-MOULINEAUX CEDEX. 2 Rapport de certification 2000/04 Mars 2000 Page 1 Chapitre 1 Introduction 1 Ce document représente le rapport de certification du produit constitué du micro- circuit ST19SF08BDxyz, bâti sur la plate-forme ST19 de STMicrolectronics. 2 Les fonctionnalités évaluées sont consignées en annexe A du présent rapport. 3 Le niveau d’assurance atteint est le niveau EAL 4 augmenté des composants d’assurance AVA_VLA.4 “Résistance élevée”, ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, ADV_IMP.2 “Implémentation de la TSF” tel que décrits dans la partie 3 des critères communs [4]. 4 Ce produit est conforme au profil de protection “Smartcard Integrated Circuit” enregistré auprès du SCSSI sous la référence PP/9806, version 2.0 de Septembre 1998 [6]. 5 Le profil de protection a fait l’objet d’un rapport de certification PP/9806 [7]. 1 - Introduction Rapport de certification 2000/04 Page 2 Mars 2000 6 Rapport de certification 2000/04 Mars 2000 Page 3 Chapitre 2 Résumé 2.1 Contexte 6 Ce processus s’inscrit dans le programme d’évaluation et de maintenance de la sécurité de la plate-forme ST19. Il a pour but de faciliter la conception et la certification de la sécurité des produits bâtis sur cette plate-forme. 7 Le véhicule test utilisé pour cette évaluation est le ST19SF08BDxyz qui fait l’objet du premier certificat joint au présent rapport. 8 La certification de toute version ultérieure du véhicule test ST19SF08 nécessitera une analyse d’impact des modifications apportées. Ces modifications seront évaluées à travers le programme de maintenance de la plate-forme ST19. 9 La certification d’une nouvelle version produit de la plate-forme nécessitera une analyse d’impact des modifications apportées, par rapport au véhicule test ST19SF08. En fonction des modifications apportées, une réévaluation partielle pourra être réalisée. 10 Les résultats de certification de la plate-forme et des produits dérivés ainsi que les documentations d’administration et d’utilisation, serviront de base respectivement aux commanditaires et développeurs de logiciels d’application pour les produits qu’ils souhaiteront certifier. 2.2 Description de la cible d’évaluation 11 La cible d'évaluation, bâtie sur la plate-forme ST19, comporte : - le micro-circuit ST19SF08BDxyz et ses logiciels dédiés, - l’environnement de développement tel que décrit dans le présent rapport. 12 Les développeurs de logiciels d’application (système d’exploitation, application spécifique, ...) et les utilisateurs de ces applications devront se conformer aux recommandations recensées, respectivement, dans les guides d’utilisation et d’administration. Ces logiciels n’ont pas fait l’objet de la présente évaluation et certification. 2 - Résumé Rapport de certification 2000/04 Page 4 Mars 2000 2.3 Résumé des caractéristiques de sécurité 2.3.1 Menaces 13 Les principales menaces identifiées dans la cible de sécurité [8] peuvent être résumées comme suit : - modification non autorisée de la conception du circuit et des logiciels dédiés, - divulgation non autorisée de la conception du circuit et des logiciels dédiés, des informations de tests et des outils de développement, - utilisation abusive du micro-circuit. 14 Les biens à protéger au sein de la cible d'évaluation sont définis comme étant les données applicatives du micro-circuit, les logiciels dédiés, les données de spécification et de conception du micro-circuit. Ces biens doivent être protégés en intégrité et en confidentialité. 2.3.2 Politiques de sécurité organisationnelles et hypothèses 15 L’annexe A donne les principales caractéristiques de sécurité telles qu’elles sont décrites dans la cible de sécurité [8], en particulier les hypothèses d’utilisation du produit. 2.3.3 Exigences fonctionnelles de sécurité 16 Les principales fonctionnalités de sécurité du produit décrites dans la cible de sécurité [8] sont les suivantes : - authentification des acteurs au cours de la phase de test, - contrôle d'accès, - analyse des violations potentielles de sécurité, - non-observabilité, - administration des fonctions de sécurité, - protection des fonctions de sécurité : notification et résistance aux attaques physiques. 2.3.4 Exigences d’assurance 17 Les exigences d’assurance spécifiées dans la cible de sécurité [8] sont celles du niveau d’évaluation EAL4 augmenté des composants d’assurance AVA_VLA.4 “Résistance élevée”, ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, Rapport de certification 2000/04 2 - Résumé Mars 2000 Page 5 ADV_IMP.2 “Implémentation de la TSF” tel que décrits dans la partie 3 des critères communs [4]. 2.4 Acteurs dans l’évaluation 18 Le commanditaire de l’évaluation est : STMicroelectronics SA ZI de Rousset BP2 F- 13106 Rousset Cedex. 19 La cible d’évaluation a été développée par la même société : STMicroelectronics SA ZI de Rousset BP2 F- 13106 Rousset Cedex. 20 La société Dupont a également participé au développement de la cible d'évaluation en tant que développeur et fabricant des réticules servant à la fabrication du ST19SF08BDxyz : Dupont Photomasks ZI de Rousset F- 13106 Rousset Cedex. 21 Les sites de production des produits bâtis sur la plate-forme ST19 sont les suivants : - en France, STMicroelectronics ZI de Rousset BP2 F- 13106 Rousset Cedex - en Italie, STMicroelectronics Via C. Olivetti 2 20041 Agrate Brianza - Italie Le micro-circuit ST19SF08BDxyz qui a fait l’objet de cette certification, a été fabriqué à Agrate. 2.5 Contexte de l’évaluation 22 L’évaluation a été menée conformément aux critères communs ([1] à [4]) et à la méthodologie définie dans le manuel CEM [5]. 23 L’évaluation s’est déroulée simultanément au développement du produit. 2 - Résumé Rapport de certification 2000/04 Page 6 Mars 2000 24 L’évaluation a été conduite par le centre d’évaluation de la sécurité des technologies de l’information de Serma Technologies : - Serma Technologies 30, avenue Gustavel Eiffel F- 33608 Pessac Cedex. 2.6 Conclusions de l'évaluation 25 Le produit soumis à évaluation dont la cible de sécurité [8] est partiellement reprise dans l’annexe A du présent rapport, satisfait aux exigences du niveau d’évaluation EAL 4 augmenté des composants d’assurance AVA_VLA.4 “Résistance élevée”, ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, ADV_IMP.2 “Implémentation de la TSF”. Il est conforme aux exigences du profil de protection PP/9806 [6]. Par ailleurs, la résistance des fonctions de sécurité est cotée au niveau élevée (SOF-high). 26 La recherche de vulnérabilités exploitables au cours de l’évaluation a été définie par la quantité d’informations disponibles pour le niveau EAL4 et par la compétence, l’opportunité et les ressources correspondant à un potentiel d’attaques tel qu’il est spécifié par le composant d’assurance AVA_VLA.4. 27 Les vulnérabilités connues du commanditaire de l’évaluation ont été toutes communiquées aux évaluateurs et au certificateur conformément au critère [AVA_VLA.4.4E]. 28 L'utilisation de la cible d'évaluation de manière sûre est soumise aux recommandations figurant au chapitre 6 du présent rapport. 8 Rapport de certification 2000/04 Mars 2000 Page 7 Chapitre 3 Identification de la cible d’évaluation 3.1 Objet 29 La cible d'évaluation, bâtie sur la plate-forme ST19, comporte : - le micro-circuit ST19SF08BDxyz et ses logiciels dédiés, - l’environnement de développement tel que décrit dans le présent rapport. 30 Ce micro-circuit est destiné à recevoir les logiciels fournis par le développeur d’applications, masqués dans la mémoire programme (ROM) au cours de la fabrication du micro-circuit. Ces logiciels applicatifs (le système d’exploitation de la carte ainsi que les applications éventuelles) ne font pas partie de l’évaluation. Le micro-circuit est ensuite inséré dans une carte porteur de format carte de crédit ou tout autre support. Par ailleurs, les phases d’encartage et de personnalisation de la cible d’évaluation sont hors du champ de l’évaluation. 31 Le micro-circuit électronique contient des logiciels dédiés développés par STMicroelectronics à des fins de tests du circuit. 3.2 Historique du développement 32 Le composant ST19SF08BDxyz a été développé et testé par STMicroelectronics sur le site de Rousset. La production des micro-circuits est effectuée sur les sites d’Agrate (Italie) et Rousset (France). 3.3 Description du matériel 33 Le micro-circuit électronique ST19SF08BDxyz est un micro contrôleur 8 bits, bâti sur la plate-forme ST19. 34 Il dispose de différents mécanismes de sécurité participant à la réalisation des fonctions dédiées à la sécurité pour lesquelles l'évaluation a été demandée. 3.4 Description du logiciel 35 La cible d’évaluation contient également les logiciels dédiés développés par STMicroelectronics ; ces logiciels contiennent des fonctionnalités de tests actives pendant la phase de test du micro-circuit. A l’issue de cette phase, ils ne sont plus accessibles. 3 - Identification de la cible d’évaluation Rapport de certification 2000/04 Page 8 Mars 2000 12 Rapport de certification 2000/04 Mars 2000 Page 9 Chapitre 4 Caractéristiques de sécurité 4.1 Préambule 36 Les caractéristiques de sécurité évaluées sont consignées dans la cible de sécurité [8] qui est la référence pour l’évaluation. 37 Les paragraphes ci-après reformulent les éléments essentiels de ces caractéristiques. 4.2 Politique de sécurité 38 La politique de sécurité de la cible d’évaluation dont le modèle figure dans la documentation disponible au titre des critères ADV_SPM repose principalement sur : - le contrôle d’accès aux informations sensibles stockées par le micro-circuit, - l’irréversibilité des phases de vie du micro-circuit (passage irréversible de la configuration de tests à la configuration d’utilisation), - la détection des violations potentielles de sécurité. 4.3 Menaces 39 Les menaces effectivement couvertes par le produit sont décrites dans le chapitre 3 de la cible de sécurité [8]. Elles sont reprises en annexe A.1. 4.4 Hypothèses d’utilisation et d’environnement 40 La cible d’évaluation doit être utilisée et administrée conformément aux exigences spécifiées dans la documentation d’utilisation et d’administration, et notamment dans le document Security Application Manual [10]. 41 Les hypothèses d’utilisation et d’environnement du produit sont consignées dans le chapitre 3 de la cible de sécurité [8]. Celles-ci sont reprises en annexe A.2. 4.5 Architecture du produit 42 L’architecture du produit est décrite dans les documents de conception générale et détaillée exigibles pour les composants d’assurance ADV_HLD et ADV_LLD. 4 - Caractéristiques de sécurité Rapport de certification 2000/04 Page 10 Mars 2000 43 Le micro-circuit électronique ST19SF08 est un micro contrôleur bâti sur la plate- forme ST19. Il dispose d'une unité centrale de 8 bits associée à une mémoire de travail de 960 octets (RAM), d'une mémoire de programme de 32 Koctets (ROM), et d'une mémoire non volatile de 8Koctets (EEPROM). Il dispose également de différents composants de sécurité, d’une logique de matrice de contrôle d’accès, d’un générateur d’horloge ainsi que d’un générateur de nombres non-prédictibles. Ce dernier ne fait pas l’objet de cette évaluation. Tab. 4.1 - Modèle d’architecture du micro-circuit ST19SF08B 4.6 Description de la documentation 44 La documentation disponible pour l’évaluation est décrite en annexe B du présent rapport de certification. 4.7 Tests de la cible d’évaluation 45 Plusieurs types de tests ont été passés sur le micro-circuit. 46 Les évaluateurs ont effectué un ensemble de tests sur le produit afin de vérifier par échantillonnage la conformité des fonctions de sécurité aux spécifications de sécurité. La procédure d’échantillonnage a été jugée conforme aux exigences du niveau d’évaluation EAL4. 47 De plus, dans le cadre du composant d’assurance AVA_VLA.4, les évaluateurs ont effectué de manière indépendante un ensemble de tests de pénétration sur le produit afin d’estimer l’efficacité des fonctions de sécurité offertes par le produit. Ces tests de pénétration sont adaptés à la nature du produit soumis à évaluation ainsi qu’à son environnement. CPU Mémoires volatiles Mémoires non vola- tiles Composants de sécurité Ports d’I/O Rapport de certification 2000/04 4 - Caractéristiques de sécurité Mars 2000 Page 11 4.8 Configuration évaluée 48 La configuration de test de la cible d’évaluation est décrite en annexe B. 4 - Caractéristiques de sécurité Rapport de certification 2000/04 Page 12 Mars 2000 22 Rapport de certification 2000/04 Mars 2000 Page 13 Chapitre 5 Résultats de l’évaluation 5.1 Rapport Technique d’Évaluation 49 Les résultats de l’évaluation sont exposés dans le rapport technique d’évaluation [9]. 5.2 Résultats de l’évaluation de la cible de sécurité 50 La cible de sécurité répond aux exigences de la classe ASE, telle que définie dans la partie 3 des critères communs [4]. 5.2.1 ASE_DES Description de la TOE 51 Les critères d’évaluation sont définis par les sections ASE_DES.1.iE de la classe ASE, telle que spécifiée dans la partie 3 des critères communs [4]. 52 La cible d’évaluation (TOE) est le micro-circuit ST19SF08BDxyz. Elle comporte les logiciels de tests dédiés. La description de la cible d’évaluation est précisée au chapitre 3 du présent rapport de certification. 5.2.2 ASE_ENV Environnement de sécurité 53 Les critères d’évaluation sont définis par les sections ASE_ENV.1.iE de la classe ASE, telle que spécifiée dans la partie 3 des critères communs [4]. 54 Les hypothèses d’utilisation et d’environnement du produit, ainsi que les menaces auxquelles doit faire face le produit sont décrites dans la cible de sécurité [8]. Ces caractéristiques de sécurité sont reprises en annexe A du présent rapport de certification. 5.2.3 ASE_INT Introduction de la ST 55 Les critères d’évaluation sont définis par les sections ASE_INT.1.iE de la classe ASE, telle que spécifiée dans la partie 3 des critères communs [4]. 56 L’introduction de la cible de sécurité [8] précise l’identification du produit et contient une vue d’ensemble de la cible de sécurité, ainsi qu’une annonce de conformité aux critères communs. 5.2.4 ASE_OBJ Objectifs de sécurité 57 Les critères d’évaluation sont définis par les sections ASE_OBJ.1.iE de la classe ASE, telle que spécifiée dans la partie 3 des critères communs [4]. 5 - Résultats de l’évaluation Rapport de certification 2000/04 Page 14 Mars 2000 58 Les objectifs de sécurité pour la cible d’évaluation ainsi que pour l’environnement sont décrites dans la cible de sécurité [8]. Ces objectifs de sécurité sont repris en annexe A du présent rapport de certification. 5.2.5 ASE_PPC Annonce de conformité à un PP 59 Les critères d’évaluation sont définis par les sections ASE_PPC.1.iE de la classe ASE, telle que spécifiée dans la partie 3 des critères communs [4]. 60 L’évaluateur confirme l’annonce de conformité au profil de protection intitulé “Smartcard Integrated Circuit”, référencé PP/9806 [6]. La cible de sécurité [8] constitue donc une instantiation correcte du profil de protection. 5.2.6 ASE_REQ Exigences de sécurité des TI 61 Les critères d’évaluation sont définis par les sections ASE_REQ.1.iE de la classe ASE, telle que spécifiée dans la partie 3 des critères communs [4]. 62 Les exigences de sécurité des TI fonctionnelles ou d’assurance sont décrites dans la cible de sécurité [8]. Ces exigences de sécurité sont reprises en annexe A du présent rapport de certification. 5.2.7 ASE_SRE Exigences de sécurité des TI déclarées explicitement 63 Les critères d’évaluation sont définis par les sections ASE_SRE.1.iE de la classe ASE, telle que spécifiée dans la partie 3 des critères communs [4]. 64 La cible de sécurité [8] ne contient pas d’exigences de sécurité des TI déclarées explicitement et ne faisant donc pas référence à la partie 2 des critères communs [2]. 5.2.8 ASE_TSS.1 Spécifications de haut niveau de la TOE 65 Les critères d’évaluation sont définis par les sections ASE_TSS.1.iE de la classe ASE, telle que spécifiée dans la partie 3 des critères communs [4]. 66 La cible de sécurité [8] contient un résumé des spécifications des fonctions de sécurité du produit ainsi que les mesures d’assurance prises pour satisfaire les exigences d’assurance. L’évaluateur s’est assuré que ces fonctions de sécurité sont une représentation correcte des exigences fonctionnelles de sécurité et que les mesures d’assurance prises couvrent les exigences du niveau EAL4 augmenté. 5.3 Résultats de l’évaluation du produit 67 Le produit répond aux exigences des critères communs pour le niveau EAL4 augmenté des composants AVA_VLA.4 “Résistance élevée”, ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, ADV_IMP.2 “Implémentation de la TSF” tel que décrits dans la partie 3 des critères communs [4]. Rapport de certification 2000/04 5 - Résultats de l’évaluation Mars 2000 Page 15 5.3.1 ADV_FSP.2 : Spécifications fonctionnelles, définition exhaustive des interfaces externes 68 Les critères d’évaluation sont définis par les sections ADV_FSP.2.iE de la classe ADV, telle que définie dans la partie 3 des critères communs [4]. 69 Le développeur a fourni la documentation spécifiant les fonctions de sécurité du produit. Les interfaces externes sont également décrites. 70 L’évaluateur a examiné ces spécifications et montré pour le niveau considéré qu’elles représentent une description complète et homogène des fonctionnalités de sécurité du produit. 5.3.2 ADV_SPM.1 : Modèle informel de politique de sécurité de la TOE 71 Les critères d’évaluation sont définis par les sections ADV_SPM.1.1E de la classe ADV, telle que définie dans la partie 3 des critères communs [4]. 72 Le développeur a fourni un modèle de la politique de sécurité. L’évaluateur a examiné ce modèle et montré que toutes les fonctions de sécurité dans les spécifications fonctionnelles constituent une représentation complète et homogène du modèle de politique de sécurité. 5.3.3 ADV_HLD.2 : Conception générale de sécurité 73 Les critères d’évaluation sont définis par les sections ADV_HLD.2.iE de la classe ADV, telle que définie dans la partie 3 des critères communs [4]. 74 Le développeur a fourni la conception générale du micro-circuit électronique et de ses logiciels de tests. Ce dossier présente la structure générale du produit pour chacun de ses sous-systèmes matériels et logiciels. L’ensemble des sous-systèmes principaux du microcircuit électronique et des logiciels de tests sont des sous- systèmes dédiés à la sécurité. La traçabilité entre les fonctions dédiées à la sécurité et les sous-systèmes a été vérifiée. 5.3.4 ADV_LLD.1 : Conception détaillée descriptive 75 Les critères d’évaluation sont définis par les sections ADV_LLD.1.iE de la classe ADV, telle que définie dans la partie 3 des critères communs [4]. 76 Le développeur a fourni la conception détaillée du micro-circuit électronique comprenant la conception détaillée des logiciels de tests. Tous les composants élémentaires du microcircuit électronique et de ses logiciels dédiés sont spécifiés. La liste des mécanismes de sécurité est clairement établie. La traçabilité entre les fonctions dédiées à la sécurité et les mécanismes de sécurité puis les composants a été vérifiée. Une spécification ou une définition de chacun des mécanismes de sécurité est donnée. 5 - Résultats de l’évaluation Rapport de certification 2000/04 Page 16 Mars 2000 5.3.5 ADV_IMP.2 : Implémentation de la TSF 77 Les critères d’évaluation sont définis par les sections ADV_IMP.2.iE de la classe ADV, telle que définie dans la partie 3 des critères communs [4]. 78 Le développeur a fourni le code source des logiciels dédiés ainsi que les schémas descriptifs du micro-circuit. Une analyse détaillée du code source et des schémas a été effectuée par les évaluateurs afin de vérifier, d’une part, que ces éléments de réalisation constituent une représentation correcte et complète des fonctions de sécurité de la cible d’évaluation, et d’autre part, de rechercher des vulnérabilités potentielles. 5.3.6 ADV_RCR.1 : Démonstration de correspondance informelle 79 Les critères d’évaluation sont définis par la section ADV_RCR.1.1E de la classe ADV, telle que spécifiée dans la partie 3 des critères communs [4]. 80 Le développeur a fourni une documentation de correspondance pour chaque représentation des fonctions de sécurité. Cette documentation indique la correspondance entre les fonctions de sécurité telles qu’elles sont définies dans deux niveaux adjacents de spécifications. 81 L’évaluateur a donc pu s’assurer de la conformité des spécifications fonctionnelles de sécurité à travers la conception générale, la conception détaillée du micro-circuit ainsi que son implémentation. 5.3.7 ACM_AUT.1 : Automatisation partielle de la CM 82 Les critères d’évaluation sont définis par la section ACM_AUT.1.1E de la classe ACM, telle que spécifiée dans la partie 3 des critères communs [4]. 83 Le développeur a fourni la documentation du système de gestion de configuration utilisé pour le développement du micro-circuit électronique ainsi que ses logiciels dédiés. 84 Le système est fondé sur une gestion automatique de la configuration à travers un outil de gestion de configuration permettant de s’assurer que seuls les changements autorisés sur le produit sont possibles. L’évaluateur a analysé la documentation et vérifié au cours de l’audit du site de développement l’utilisation effective de l’outil de gestion de configuration, en accord avec les procédures du développeur. 5.3.8 ACM_CAP.4 : Aide à la génération et procédures de réception 85 Les critères d’évaluation sont définis par la section ACM_CAP.4.iE de la classe ACM, telle que spécifiée dans la partie 3 des critères communs [4]. 86 Le développeur a fourni la documentation du système de gestion de configuration. 87 Ce système impose un contrôle des objets produits au cours du développement chez le développeur du micro-circuit. Des procédures permettent de prendre en compte Rapport de certification 2000/04 5 - Résultats de l’évaluation Mars 2000 Page 17 dans le système de gestion de configuration les objets composant la cible d'évaluation (procédure de réception). Des procédures gèrent également les révisions majeures et mineures de la cible d'évaluation. Pour le fondeur, la gestion de configuration passe par un système de suivi de toutes les modifications des niveaux de masque du produit. Le système de gestion de configuration énumère tous les composants élémentaires à partir desquels la cible d'évaluation a été construite. L'appellation commerciale de la cible d'évaluation (ST19SF08BDxyz) identifie les modifications majeures de ses constituants matériel ou logiciel. 88 Un système de gestion de configuration s'applique également chez le fabricant de réticules Dupont Photomasks. Les procédures utilisées sont en accord avec les principes du système de gestion de configuration du fondeur. 89 L’évaluateur s’est également assuré de l’absence d’incohérence dans la documentation fournie. 5.3.9 ACM_SCP.2 : Couverture du suivi des problèmes par la CM 90 Les critères d’évaluation sont définis par la section ACM_SCP.2.1E de la classe ACM, telle que spécifiée dans la partie 3 des critères communs [4]. 91 Le système de gestion de configuration appliquée par le développeur couvre le produit ainsi que l’ensemble de sa documentation ; il couvre également toute erreur de sécurité qui pourrait être découverte : il contrôle donc la documentation de conception du produit, la documentation de test du produit, les éléments de réalisation du produit (schémas et code source), la documentation d’utilisation ainsi que la documentation d’administration. 5.3.10 ADO_IGS.1 : Procédures d’installation, de génération et de démarrage 92 Les critères d’évaluation sont définis par les sections ADO_IGS.1.iE de la classe ADO, telle que spécifiée dans la partie 3 des critères communs [4]. 93 Les procédures d’installation, de génération et de démarrage du produit concernent principalement la phase de fabrication du produit. 94 Elles définissent les exigences de sécurité que doit satisfaire le fondeur au cours de cette phase. L’évaluateur s’est assuré de l’absence d’incohérence dans cette documentation et a vérifié que ces procédures conduisent à une configuration sûre du produit. 5.3.11 ADO_DEL.2 : Détections de modification 95 Les critères d’évaluation sont définis par la section ADO_DEL.2.iE de la classe ADO, telle que spécifiée dans la partie 3 des critères communs [4]. 96 Le développeur a fourni les procédures de livraison du produit. Celles-ci ont été vérifiées au cours d’une visite sur le site de production : en particulier, l’évaluateur s’est assuré que pendant la génération de la cible d’évaluation tout changement sera 5 - Résultats de l’évaluation Rapport de certification 2000/04 Page 18 Mars 2000 audité afin de pouvoir a posteriori reconstituer exactement comment et quand la cible d’évaluation a été générée et livrée. 5.3.12 AGD_ADM.1 : Guide de l’administrateur 97 Les critères d’évaluation sont définis par la section AGD_ADM.1.1E de la classe AGD, telle que spécifiée dans la partie 3 des critères communs [4]. 98 Le développeur a fourni la documentation d’administration des fonctions de sécurité du produit [10]. Ce guide d’administration est à usage : - des développeurs de logiciels (Programming manual, Datasheet, User Manual, Security Application Manual) installés sur le micro-circuit qui administrent les fonctions de sécurité offertes par le micro-circuit électronique. En particulier, il contient un ensemble de recommandations sur le développement des logiciels applicatifs et sur l’utilisation sûre des fonctions de sécurité du micro-circuit. - interne à STMicroelectronics, - des fabricants et personnalisateurs (Datasheet, User Manual- Issuer, Die Description, Security Application Manual). 99 L’évaluateur s’est assuré de l’absence d’incohérence dans cette documentation et a vérifié que ces procédures permettent une administration sûre du produit. 5.3.13 AGD_USR.1 : Guide de l’utilisateur 100 Les critères d’évaluation sont définis par la section AGD_USR.1.1E de la classe AGD, telle que spécifiée dans la partie 3 des critères communs [4]. 101 Le développeur a fourni la documentation d’utilisation des fonctions de sécurité du produit [10]. Le guide d’utilisation est à usage : - des développeurs de logiciels (Programming manual, Datasheet, User Manual- User, Security Application Manual) installés sur le micro-circuit qui administrent les fonctions de sécurité offertes par le micro-circuit électronique. En particulier, il contient un ensemble de recommandations sur le développement des logiciels applicatifs et sur l’utilisation sûre des fonctions de sécurité du micro-circuit. - des fabricants et personnalisateurs (Datasheet). 102 L’évaluateur s’est assuré que cette documentation correspondait à une utilisation sûre du produit. 5.3.14 ALC_DVS.2 : Caractère suffisant des mesures de sécurité 103 Les critères d’évaluation sont définis par la section ALC_DVS.2.iE de la classe ALC, telle que spécifiée dans la partie 3 des critères communs [4]. Rapport de certification 2000/04 5 - Résultats de l’évaluation Mars 2000 Page 19 104 Les évaluateurs ont analysé la sécurité du développement du micro-circuit électronique ainsi que la sécurité de la production au cours du processus de fabrication du micro-circuit (sites de Rousset et d’Agrate). La sécurité du développement et de la fabrication des réticules a également fait l’objet de l’évaluation. 105 Des procédures physiques, organisationnelles, techniques, liées au personnel assurent pour chaque organisme un niveau de protection de la cible d'évaluation, de ses constituants ainsi que de sa documentation qui répond aux exigences spécifiées par le composant ALC_DVS.2. 106 Des visites sur chacun des sites ont permis de vérifier l'application de ces procédures. 5.3.15 ALC_LCD.1 : Modèle de cycle de vie défini par le développeur 107 Les critères d’évaluation sont définis par la section ALC_LCD.1.1E de la classe ALC, telle que spécifiée dans la partie 3 des critères communs [4]. 108 Le développeur a fourni le modèle de cycle de vie du micro-circuit électronique. Ce modèle est conforme au cycle de vie défini par le profil de protection PP/9806 [6]. 109 L’évaluateur a analysé ce modèle et s’est assuré de l’absence d’incohérence dans ce modèle. 5.3.16 ALC_TAT.1 : Outils de développement bien définis 110 Les critères d’évaluation sont définis par la section ALC_TAT.1.iE de la classe ALC, telle que spécifiée dans la partie 3 des critères communs [4]. 111 Le développeur a fourni la documentation relative aux outils de développement en ce qui concerne le développement du micro-circuit proprement dit (chaîne de développement du matériel) et le développement des logiciels de tests dédiés. 112 L’évaluateur a examiné cette documentation et s’est assuré de l’absence d’incohérences dans cette documentation. L’analyse de l’implémentation du produit (ADV_IMP.2) a également permis à l’évaluateur de confirmer la complétude de cette documentation. 5.3.17 ATE_FUN.1 : Tests fonctionnels 113 Les critères d’évaluation sont définis par la section ATE_FUN.1.iE de la classe ATE, telle que spécifiée dans la partie 3 des critères communs [4]. 114 Le développeur a fourni la documentation de tests du produit. Les tests fournis par le développeur correspondent à un ensemble de tests matériels des fonctions de sécurité du micro-circuit, produits au cours de la caractérisation du micro-circuit et de sa production. En effet, deux types de tests sont réalisés sur le micro-circuit : 5 - Résultats de l’évaluation Rapport de certification 2000/04 Page 20 Mars 2000 - des tests de l’ensemble des fonctionnalités de sécurité du micro-circuit au cours d’une phase dite de caractérisation du circuit, préalable à la mise en production des échantillons, - des test de production effectués sur chaque micro-circuit à l’issue de sa fabrication, couvrant un sous-ensemble des fonctions de sécurité du produit. 115 Une documentation détaillée de tests a été fournie pour chacun des tests ; ces documentations décrivent le plan des tests, l'objectif des tests, les procédures de tests à réaliser ainsi que les résultats des tests. 116 L’évaluateur s’est assuré de la complétude de cette documentation. 5.3.18 ATE_COV.2 : Analyse de la couverture 117 Les critères d’évaluation sont définis par la section ATE_COV.2.iE de la classe ATE, telle que spécifiée dans la partie 3 des critères communs [4]. 118 Le développeur a fourni une analyse de la documentation de tests justifiant la couverture de la spécification des fonctions de sécurité par les tests de caractérisation et de production. 119 L’évaluateur a confirmé cette analyse et procédé à des tests complémentaires 5.3.19 ATE_DPT.1 : Tests : conception générale 120 Les critères d’évaluation sont définis par la section ATE_DPT.1.iE de la classe ATE, telle que spécifiée dans la partie 3 des critères communs [4]. 121 Le développeur a fourni une analyse de la documentation de tests justifiant la complétude des tests vis-à-vis de la conception générale du micro-circuit. 122 L’évaluateur a examiné cette documentation et s’est assuré de sa cohérence. 5.3.20 ATE_IND.2 Tests effectués de manière indépendante - échantillonnage 123 Les critères d’évaluation sont définis par les sections ATE_IND.2.iE de la classe ATE, telle que spécifiée dans la partie 3 des critères communs [4]. 124 Les évaluateurs ont effectué un ensemble de tests sur le micro-circuit. Ils ont procédé à un échantillonnage des programmes de tests chez le développeur du micro-circuit électronique. La procédure d'échantillonnage a été jugée conforme aux exigences du niveau d'évaluation EAL4. Des tests complémentaires ont également été effectués par les évaluateurs. 5.3.21 AVA_MSU.2 : Validation de l’analyse 125 Les critères d’évaluation sont définis par la section AVA_MSU.2.iE de la classe AVA, telle que spécifiée dans la partie 3 des critères communs [4]. Rapport de certification 2000/04 5 - Résultats de l’évaluation Mars 2000 Page 21 126 Le développeur a fourni une analyse de la documentation d’exploitation du produit permettant de vérifier l’absence d’utilisation impropre du circuit. Cette documentation identifie les modes d'exploitation de la cible d'évaluation ainsi que les conséquences et les implications de ces modes sur le maintien d'une exploitation sûre de la cible d'évaluation. Les évaluateurs ont réalisé des tests complémentaires afin de confirmer les résultats de cette analyse. 5.3.22 AVA_SOF.1 : Évaluation de la résistance des fonctions de sécurité de la TOE 127 Les critères d’évaluation sont définis par la section AVA_SOF.1.iE de la classe AVA, telle que spécifiée dans la partie 3 des critères communs [4]. 128 Le développeur a fourni une analyse de la résistance des fonctions de sécurité du produit. Les évaluateurs ont analysé cette documentation et mené des analyses complémentaires. La cotation indépendante des mécanismes faite par les évaluateurs est en accord avec les analyses des développeurs. La résistance des fonctions de sécurité est considérée comme élevée. Les tests de pénétration ont permis de confirmer cette cotation. 5.3.23 AVA_VLA.4 : Résistance élevée 129 Les critères d’évaluation sont définis par les sections AVA_VLA.4.iE de la classe AVA, telle que spécifiée dans la partie 3 des critères communs [4]. 130 Le développeur a fourni une documentation d’analyse des vulnérabilités potentielles du produit. L’évaluateur a examiné cette fourniture et réalisé sa propre analyse de vulnérabilités de manière indépendante. 131 L’évaluateur a réalisé des tests de pénétration, basés sur son analyse de vulnérabilités afin de pouvoir vérifier que le produit résiste aux attaques correspondant à un potentiel de l’attaquant tel que défini par le composant AVA_VLA.4 “Résistance élevée”. Les attaques de nature évidente, incluant donc celles du domaine public, ont été également prises en compte dans cette analyse. 5.3.24 Verdicts 132 Pour tous les aspects des critères communs identifiés ci-dessus, un avis “réussite” a été émis. 5 - Résultats de l’évaluation Rapport de certification 2000/04 Page 22 Mars 2000 24 Rapport de certification 2000/04 Mars 2000 Page 23 Chapitre 6 Recommandations d’utilisation 133 La cible d’évaluation “ST19SF08BDxyz”, bâtie sur la plate-forme ST19, est soumise aux recommandations d’utilisation exprimées ci-dessous. Le respect de ces recommandations conditionne la validité du certificat. 134 Le produit doit être utilisé conformément à l’environnement d’utilisation prévu dans la cible de sécurité [8]. 135 Le produit doit être développé et utilisé conformément aux recommandations d’utilisation exprimées dans le document “Security Application Manual” [10]. Cette documentation contient des informations confidentielles et est disponible, de manière contrôlée, sur demande auprès de la société STMicroelectronics, Division Smartcard. 6 - Recommandations d’utilisation Rapport de certification 2000/04 Page 24 Mars 2000 26 Rapport de certification 2000/04 Mars 2000 Page 25 Chapitre 7 Certification 7.1 Objet 136 Le produit dont les caractéristiques de sécurité sont définies dans la cible de sécurité [8], satisfait aux exigences du niveau d’évaluation EAL4 augmenté des composants d’assurance suivants décrits dans la partie 3 des critères communs [3] : - AVA_VLA.4 “Résistance élevée”, - ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, - ADV_IMP.2 “Implémentation de la TSF”. 137 Ce produit est conforme au profil de protection “Smartcard Integrated Circuit” enregistré auprès du SCSSI sous la référence PP/9806, version 2.0 de Septembre 1998 [6]. 138 La recherche de vulnérabilités exploitables au cours de l’évaluation a été définie par la quantité d’informations disponibles pour le niveau EAL4 et par la compétence, l’opportunité et les ressources correspondant à un potentiel d’attaques tel qu’il est spécifié par le composant d’assurance AVA_VLA.4. 7.2 Portée de la certification 139 La certification ne constitue pas en soi une recommandation du produit. Elle ne garantit pas que le produit certifié est totalement exempt de vulnérabilités exploitables : il existe une probabilité résiduelle que des vulnérabilités exploitables n’aient pas été découvertes. 140 Le certificat ne s’applique qu’à la version évaluée du produit, telle qu’elle est définie en annexe B de ce rapport. 141 La certification de toute version ultérieure nécessitera au préalable une réévaluation en fonction des modifications apportées. 7 - Certification Rapport de certification 2000/04 Page 26 Mars 2000 36 Rapport de certification 2000/04 Mars 2000 Page 27 Annexe A Caractéristiques de sécurité 142 Les caractéritiques de sécurité évaluées sont décrites dans la cible de sécurité [8] qui est la référence pour l’évaluation. Compte-tenu du caractère confidentiel de la cible de sécurité, un résumé public de la cible de sécurité a été rédigé [11], disponible sur demande. 143 La cible de sécurité étant rédigée en langue anglaise, les paragraphes ci-après sont une traduction française des hypothèses, des menaces ainsi que des objectifs et des exigences de sécurité. A - Caractéristiques de sécurité Rapport de certification 2000/04 Page 28 Mars 2000 A.1 Menaces 144 Le cycle de vie du produit est constitué des phases suivantes : - phase 1 : développement des logiciels embarqués (systèmes d’exploitation, logiciels applicatifs), - phase 2 : développement du micro-circuit et des logiciels dédiés, - phase 3 : production du micro-circuit, - phase 4 : mise en micro-modules (ateliers de micro-électronique), - phase 5 : encartage, - phase 6 : personnalisation, - phase 7 : utilisation du produit final. A.1.1 Clonage A.1.2 Menaces sur la phase 1 (Développement des logiciels embarqués) T.CLON Clonage fonctionnel de la cible d’évaluation. T.DIS_INFO Divulgation non autorisée des biens délivrés par le concepteur du circuit au développeur des logiciels embarqués. T.DIS_DEL Divulgation non autorisée des logiciels embarqués pendant la phase de livraison au concepteur du circuit. T.MOD_DEL Modification non autorisée des logiciels embarqués pendant la phase de livraison au concepteur du circuit. T.T_DEL Vol des logiciels embarqués pendant la phase de livraison au concepteur du circuit. Rapport de certification 2000/04 A - Caractéristiques de sécurité Mars 2000 Page 29 A.1.3 Divulgation non autorisée au cours des phases 2 à 7 A.1.4 Vol ou utilisation abusive au cours des phases 2 à 7 A.1.5 Modification non autorisée au cours des phases 2 à 7 T.DIS_DESIGN Divulgation non autorisée de la conception du circuit. T.DIS_SOFT Divulgation non autorisée des logiciels embarqués T.DIS_DSOFT Divulgation non autorisée des logiciels de tests dédiés. T.DIS_TEST Divulgation non autorisée des informations de tests du micro-circuit. T_DIS_TOOLS Divulgation non autorisée des outils de développement. T_DIS_PHOTOMASK Divulgation non autorisée des informations liées au réticule. T.T_SAMPLE Vol ou utilisation abusive d’échantillons. T.T_PHOTOMASK Vol ou utilisation abusive des réticules du circuit. T.T_PRODUCT Vol ou utilisation abusive des produits cartes à puce. T.MOD_DESIGN Modification non autorisée de la conception du circuit. T.MOD_PHOTOMASK Modification non autorisée des réticules du produit. T.MOD_DSOFT Modification non autorisée des logiciels de tests dédiés. T.MOD_SOFT Modification non autorisée des logiciels embarqués. A - Caractéristiques de sécurité Rapport de certification 2000/04 Page 30 Mars 2000 A.2 Hypothèses sur l’environnement A.2.1 Hypothèses sur la phase 1 A.2.2 Hypothèses sur le processus de livraison de la cible d’évaluation (phases 4 à 7) A.2.3 Hypothèses sur les phases 4 à 6 A.2.4 Hypothèses sur la phase 7 145 A.SOFT_ARCHI Les logiciels embarqués doivent être développés de manière sûre, en veillant à assurer l’intégrité des programmes et des données. A.DEV_ORG Existence de procédures de sécurité traitant de la sécurité physique, liées au personnel, organisationnelles ou techniques au cours du développement des logiciels embarqués. A.DLV_PROTECT Existence de procédures assurant la protection de la cible d’évaluation au cours de la livraison. A.DLV_AUDIT Analyse et traitement des incidents. A.DLV_RESP Formation et qualification des personnels chargés de la livraison. A.USE_TEST Existence de tests fonctionnels adéquats des circuits intégrés au cours des phases 4 à 6. A.USE_PROD Existence de procédures de sécurité durant les phases de fabrication et de tests pour maintenir la confidentialité et l’intégrité de la cible d’évaluation. A.USE_DIAG Existence de protocoles de communication sûrs dans les échanges cartes et terminaux. A.USE_SYS L’intégrité et la confidentialité des données sensibles doivent être maintenues par le système. Rapport de certification 2000/04 A - Caractéristiques de sécurité Mars 2000 Page 31 A.3 Objectifs pour la cible d’évaluation O.TAMPER La TSF doit se prémunir contre les attaques physiques. O.CLON La TSF doit se prémunir contre le clonage fonctionnel. O.OPERATE La TSF doit assurer la continuité de ses fonctions de sécurité. O.FLAW La TSF ne doit pas contenir d’erreurs de conception, d’implémentation ou dans son exécution. O.DIS_MECHANISM La TSF doit se prémunir contre toute divulgation non autorisée de ces mécanismes de sécurité. O.DIS_MEMORY La TSF doit se prémunir contre toute divulgation non autorisée des informations sensibles contenues dans les mémoires. O_MOD_MEMORY La TSF doit se prémunir contre toute modification non autorisée des informations sensibles contenues dans les mémoires. A - Caractéristiques de sécurité Rapport de certification 2000/04 Page 32 Mars 2000 A.4 Objectifs pour l’environnement A.4.1 Objectifs pour la phase 1 A.4.2 Objectifs pour la phase 2 O.DEV_DIS Maintien de l’intégrité et de la confidentialité des outils de développement fournis par le concepteur du circuit. O.SOFT_DLV Maintien de la sécurité au cours de la livraison des logiciels embarqués au concepteur du circuit. O.SOFT_MECH Utilisation par le développeur des logiciels embarqués des recommandations émises par le concepteur du circuit afin de garantir le niveau de sécurité du produit. O.DEV_TOOLS L’environnement de développement des logiciels embarqués doit permettre de garantir l’intégrité des programmes et des données. O.SOFT_ACS Contrôle d’accès aux logiciels embarqués au sein du concepteur du microcircuit sur la base du besoin d’en connaître. O.DESIGN_ACS Contrôle d’accès aux informations relatives à la conception et à l’implémentation du micro-circuit. O.DSOFT_ACS Contrôle d’accès aux informations relatives à la conception et à l’implémentation des logiciels dédiés. O.MASK_FAB Existence de procédures de sécurité garantissant l’intégrité et la confidentialité de la cible d’évaluation au cours du processus de fabrication des réticules. O.MECH_ACS Contrôle de la diffusion des spécifications des mécanismes de sécurité du composant. O.TI_ACS Contrôle de la diffusion des informations liées à la technologie du composant. Rapport de certification 2000/04 A - Caractéristiques de sécurité Mars 2000 Page 33 A.4.3 Objectifs pour la phase 3 A.4.4 Objectifs pour les phases 4 à 7 O.TOE_PRT Protection de la cible d’évaluation au cours du processus de fabrication. O.IC_DLV Maintien de la confidentialité et de l’intégrité de la cible d’évaluation au cours des procédures de livraison des produits. O.DLV_PROTECT Existence de procédures assurant la protection de la cible d’évaluation au cours de la livraison. O.DLV_AUDIT Analyse et traitement des incidents. O.DLV_RESP Formation et qualification des personnels chargés de la livraison. O.TEST_OPERATE Maintien de tests fonctionnels adéquats au cours des phases 4 à 6. O.USE_DIAG Existence de protocoles de communication sûrs dans les échanges cartes et terminaux au cours de la phase 7. O.USE_SYS L’intégrité et la confidentialité des données sensibles doivent être maintenues par le système au cours de la phase 7. A - Caractéristiques de sécurité Rapport de certification 2000/04 Page 34 Mars 2000 A.5 Exigences fonctionnelles de sécurité A.5.1 Exigences fonctionnelles de sécurité pour la phase 3 A.5.2 Exigences fonctionnelles de sécurité pour la phase 3 à 7 Protection des données utilisateur FDP_SDI.1 Contrôle de l’intégrité des données stockées. Identification et authentification FIA_UID.2 FIA_UAU.2 FIA_ATD.1 Identification de l’utilisateur préalablement à toute action. Authentification de l’utilisateur préalablement à toute action. Définition des attributs des utilisateurs. Protection des fonctions de sécurité FPT_TST.1 Test de la TSF. Administration de la sécurité FMT_MOF.1 FMT_MSA.1 FMT_SMR.1 FMT_MSA.3 Administration du comportement des fonctions de sécurité. Administration des attributs de sécurité. Rôles de sécurité. Initialisation statique d’attributs. Protection des données utilisateur FDP_ACC.2 FDP_ACF.1 FDP_IFC.1 FDP_IFF.1 Contrôle d’accès complet. Contrôle d’accès basé sur les attributs de sécurité. Contrôle de flux d’informations partiel Attributs de sécurité simple. Audit de sécurité FAU_SAA.1 Analyse de violation potentielle. Protection de la vie privée FPR_UNO.1 Non-observabilité Protections des fonctions de sécurité FPT_PHP.2 FPT_PHP.3 Notification d’une attaque physique. Résistance à une attaque physique. Rapport de certification 2000/04 A - Caractéristiques de sécurité Mars 2000 Page 35 A.6 Exigences d’assurance Cible de sécurité ASE Évaluation de la cible de sécurité. EAL4 ACM_AUT.1 ACM_CAP.4 ACM_SCP.2 ADO_DEL.2 ADO_IGS.1 ADV_FSP.2 ADV_HLD.2 ADV_IMP.1 ADV_LLD.1 ADV_RCR.1 ADV_SPM.1 AGD_ADM.1 AGD_USR.1 ALC_DVS.1 ALC_LCD.1 ALC_TAT.1 ATE_COV.2 ATE_DPT.1 ATE_FUN.1 ATE_IND.2 AVA_MSU.2 AVA_SOF.1 AVA_VLA.2 Automatisation partielle de la CM. Aide à la génération et procédures de réception. Couverture du suivi des problèmes par la CM Détection de modifications Procédures d’installation, de génération et de démarrage. Définition exhaustive des interfaces externes. Conception générale de sécurité. Sous-ensemble de l’implémentation de la TSF. Conception détaillée descriptive. Démonstration de correspondance informelle. Modèle informel de politique de sécurité de la TOE. Guide de l’administrateur. Guide de l’utilisateur. Identification des mesures de sécurité. Modèle de cycle de vie défini par le développeur. Outils de développement bien définis. Analyse de la couverture. Tests : conception générale. Tests fonctionnels. Tests effectués de manière indépendante - échantillonnage Validation de l’analyse Évaluation de la résistance des fonctions de sécurité de la TOE Analyse de vulnérabilités effectuée de manière indépendante. Augmentation ADV_IMP.2 ALC_DVS.2 AVA_VLA.4 Implémentation de la TSF. Caractère suffisant des mesures de sécurité. Résistance élevée. A - Caractéristiques de sécurité Rapport de certification 2000/04 Page 36 Mars 2000 38 Rapport de certification 2000/04 Mars 2000 Page 37 Annexe B Configuration de la cible d’évaluation 146 La cible d'évaluation, bâtie sur la plate-forme ST19, comporte : - le micro-circuit ST19SF08BDxyz et ses logiciels dédiés, - l’environnement de développement tel que décrit dans le présent rapport. 147 Afin de pouvoir être testé, le produit a été utilisé avec un logiciel embarqué développé par STMicroelectronics appelé “Card Manager”. Ce logiciel ne fait pas partie de l’évaluation. 148 La configuration de test de la cible d’évaluation est la suivante : - ST19SF08BDRZO : - micro-circuit : ST19SF08B, - logiciels enfouis : UHD, - logiciel “Card Manager” RZO (hors évaluation). 149 La documentation disponible pour le produit est la suivante : - Documentation d’utilisation du produit : “ST19SF08 IC Data Sheet”, - Documentation d’administration du produit : “Security Application Manual”, référencé [10]. B - Configuration de la cible d’évaluation Rapport de certification 2000/04 Page 38 Mars 2000 42 Rapport de certification 2000/04 Mars 2000 Page 39 Annexe C Glossaire C.1 Abréviations CC (Common Criteria) - Critères Communs, l’intitulé utilisé historiquement pour la présente norme à la place de l’intitulé officiel de l’ISO 15408: “Critères d’évaluation de la sécurité des technologies de l’information” EAL (Evaluation Assurance Level) - Niveau d’assurance de l’évaluation PP (Protection Profile) - Profil de protection SF (Security Function) - Fonction de sécurité SFP (Security Function Policy) - Politique d’une fonction de sécurité ST (Security Target) - Cible de sécurité TI (IT : Information Technology) - Technologie de l’Information TOE (Target of Evaluation) - Cible d’évaluation TSF (TOE Security Functions) - Ensemble des fonctions de sécurité de la TOE C - Glossaire Rapport de certification 2000/04 Page 40 Mars 2000 C.2 Glossaire Affectation La spécification d’un paramètre identifié dans un composant. Assurance Fondement de la confiance dans le fait qu’une entité satisfait à ses objectifs de sécurité. Augmentation L’addition d’un ou de plusieurs composants d’assurance de la Partie 3 à un EAL ou à un paquet d’assurance. Biens Informations ou ressources à protéger par les contre- mesures d’une TOE. Cible d’évaluation (TOE) Un produit ou un système TI et la documentation associée pour l’administrateur et pour l’utilisateur qui est l’objet d’une évaluation. Cible de sécurité (ST) Un ensemble d’exigences de sécurité et de spécifications à utiliser comme base pour l’évaluation d’une cible d’évaluation identifiée. Classe Un groupement de familles qui partagent un thème commun. Composant Le plus petit ensemble sélectionnable d’éléments qui peut être inclus dans un PP, une ST ou un paquet. Évaluation Estimation d’un PP, d’une ST ou d’une TOE par rapport à des critères définis. Fonction de sécurité Une partie ou des parties de la TOE sur lesquelles on s’appuie pour appliquer un sous-ensemble étroitement imbriqué de règles tirées de la TSP. Informel Qui est exprimé à l’aide d’un langage naturel. Itération L’utilisation multiple d’un composant avec des opérations différentes. Niveau d’assurance de l’évaluation Un paquet composé de composants d’assurance tirées de la Partie 3 qui représente un niveau de l’échelle d’assurance prédéfinie des CC. Objectif de sécurité Une expression de l’intention de contrer des menaces identifiées ou de satisfaire à des politiques de sécurité organisationnelles et à des hypothèses. Rapport de certification 2000/04 C - Glossaire Mars 2000 Page 41 Plate-forme Ensemble de technologies et de capacités pouvant être développées et appliquées afin de servir de base de croissance et d’innovation dans divers produits et services. Politique de sécurité organisationnelle Une ou plusieurs règles, procédures, codes de conduite ou lignes directrices de sécurité qu’une organisation impose pour son fonctionnement. Produit Un ensemble de logiciels, microprogrammes ou matériels TI qui offre des fonctionnalités conçues pour être utilisées ou incorporées au sein d’une multiplicité de systèmes. Profil de protection Un ensemble d’exigences de sécurité valables pour une catégorie de TOE, indépendant de son implémentation, qui satisfait des besoins spécifiques d’utilisateurs. Raffinement L’addition de détails à un composant. Sélection La spécification d’une ou de plusieurs entités à partir d’une liste au sein d’un composant. Utilisateur Toute entité (utilisateur humain ou entité TI externe) hors de la TOE qui interagit avec elle. C - Glossaire Rapport de certification 2000/04 Page 42 Mars 2000 44 Rapport de certification 2000/04 Mars 2000 Page 43 Annexe D Références [1] [CC-1] Common Criteria for Information Technology Security Evaluation Part 1: Introduction and general model CCIMB - 99-031, version 2.1, August 1999 (conforme à la norme ISO 15408), [2] [CC-2] Common Criteria for Information Technology Security Evaluation Part 2: Security Functional Requirements CCIMB-99-032, version 2.1, August 1999 (conforme à la norme ISO 15408), [3] [CC-2B] Common Criteria for Information Technology Security Evaluation Part 2 annexes CCIMB, version 2.1, August 1999 (conforme à la norme ISO 15408), [4] [CC-3] Common Criteria for Information Technology security Evaluation Part 3: Security Assurance Requirements CCIMB-99-033, version 2.1, August 1999 (conforme à la norme ISO 15408), [5] [CEM] Common Methodology for Information Technology Security Evaluation CEM-99/045, version 1.0, August 1999. [6] Profil de protection PP/9806, “Smartcard Integrated Circuit, Version 2.0” de Septembre 1998. [7] Certificat PP/9806, Avril 1999. [8] Cible de sécurité “ST19SF08B Security Target”, version 2.7, document confidentiel. [9] Rapport technique d’évaluation, référencé PETRUS_ETR version 1.0, 15 mars 2000, document secret. [10] Security Application Manual, Version 1, 17 february 2000, document confidentiel. [11] Résumé de la cible de sécurité, “ST19SF08B Security Target”, document public. D - Références Rapport de certification 2000/04 Page 44 Mars 2000