Version 2 révision 5
Cible de Sécurité Cryhod
Critères Communs niveau EAL3+
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
2/68
Sommaire
1. INTRODUCTION DE LA CIBLE DE SECURITE ..............................................7
1.1. Identification de la cible de sécurité..........................................................7
1.2. Vue d'ensemble de la cible de sécurité......................................................7
1.3. Conformité aux Critères Communs ...........................................................7
1.4. Conformité à un profil de protection .........................................................8
1.5. Conformité aux référentiels de l‟ANSSI .....................................................8
2. DESCRIPTION DE LA CIBLE D'EVALUATION (TOE) ....................................9
2.1. Présentation du produit...........................................................................9
2.1.1. Description Générale .....................................................................................9
2.1.2. Accès ..........................................................................................................9
2.1.3. Autres fonctionnalités..................................................................................10
2.1.3.1 Transchiffrement ....................................................................................10
2.1.3.2 Mise en veille prolongée (hibernation) .......................................................10
2.1.3.3 SSO ......................................................................................................10
2.1.3.4 Interruption brutale.................................................................................10
2.1.3.5 Protection des fichiers système.................................................................11
2.2. Services d‟administration et rôles........................................................... 11
2.2.1. Définition des rôles .....................................................................................11
2.2.2. Administration............................................................................................12
2.2.3. Exemple d‟utilisation ...................................................................................12
2.3. Périmètre et architecture de la cible d‟évaluation ..................................... 13
2.3.1. Les composants de Cryhod...........................................................................13
2.3.2. Périmètre de la TOE ....................................................................................13
2.3.2.1 Périmètre logique....................................................................................13
2.3.2.2 Périmètre physique .................................................................................13
2.4. Plate-forme de tests pour l‟évaluation de la TOE ...................................... 14
3. DEFINITION DU PROBLEME DE SECURITE...............................................15
3.1. Les biens sensibles............................................................................... 15
3.1.1. Biens sensibles de l‟utilisateur ......................................................................15
3.1.1.1 Clés d‟accès : D.CLES_ACCES...................................................................15
3.1.1.2 Données utilisateur : D.DONNEES_UTILISATEUR ........................................16
3.1.1.3 Remarque..............................................................................................16
3.1.2. Biens sensibles de la TOE.............................................................................16
3.1.2.1 Les programmes : D.PROGRAMMES ..........................................................16
3.1.2.2 La configuration : D.CONFIGURATION .......................................................16
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
3/68
3.1.2.3 Les fichiers de fonctionnement D.FONC......................................................17
3.1.3. Synthèse des biens sensibles........................................................................17
3.2. Utilisateurs.......................................................................................... 18
3.3. Hypothèses ......................................................................................... 18
3.4. Menaces [portant atteinte à la sécurité de la TOE] ................................... 19
3.5. Politiques de sécurité de l‟organisation.................................................... 20
4. OBJECTIFS DE SECURITE ........................................................................22
4.1. Objectifs de sécurité pour la TOE ........................................................... 22
4.1.1. Contrôle d‟accès .........................................................................................22
4.1.2. Cryptographie ............................................................................................22
4.1.3. Gestion......................................................................................................23
4.1.4. Protections lors de l‟exécution ......................................................................23
4.2. Objectifs de sécurité pour l‟environnement opérationnel ........................... 23
4.2.1. Utilisation ..................................................................................................23
4.2.2. Formation des utilisateurs............................................................................25
4.2.3. Administration............................................................................................25
5. EXIGENCES DE SECURITE .......................................................................26
5.1. Exigences de sécurité fonctionnelles ....................................................... 26
5.1.1. Exigences liées à la journalisation .................................................................30
5.1.2. Exigences liées à l'authentification des utilisateurs ..........................................30
5.1.3. Exigences liées à la robustesse de la TOE.......................................................31
5.1.4. Divers .......................................................................................................32
5.1.5. Exigences liées à la génération de clé ............................................................36
5.2. Exigences de sécurité d‟assurance.......................................................... 37
6. SPECIFICATIONS GLOBALES DE LA TOE..................................................38
7. ANNONCES DE CONFORMITE A UN PP.....................................................40
8. ARGUMENTAIRES....................................................................................41
8.1. Objectifs de sécurité / problème de sécurité ............................................ 41
8.1.1. Menaces ....................................................................................................41
8.1.2. Politiques de sécurité organisationnelles (OSP) ...............................................41
8.1.3. Hypothèses ................................................................................................43
8.1.4. Tables de couverture entre définition du problème et objectifs de sécurité .........44
8.2. Exigences de sécurité / objectifs de sécurité............................................ 49
8.2.1. Objectifs ....................................................................................................49
8.2.2. Tables de couverture entre objectifs et exigences de sécurité ...........................51
8.3. Spécifications globales / Exigences de sécurité ........................................ 52
8.3.1. Exigences de sécurité ..................................................................................52
8.3.2. Tables de couverture entre exigences fonctionnelles de sécurité et spécifications
globales ..............................................................................................................56
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
4/68
8.4. Exigences d‟assurance : plan de gestion des fournitures ........................... 58
8.5. Dépendances....................................................................................... 60
8.5.1. Dépendances des exigences de sécurité fonctionnelles ....................................60
8.5.1.1 Argumentaire pour les dépendances non satisfaites.....................................60
8.5.2. Dépendances des exigences de sécurité d'assurance .......................................61
8.5.2.1 Argumentaire pour les dépendances non satisfaites.....................................62
8.6. Argumentaire pour l'EAL ....................................................................... 62
8.7. Argumentaire pour les augmentations à l'EAL .......................................... 62
8.7.1. AVA_VAN.3 Focused vulnerability analysis......................................................62
8.7.2. ALC_FLR.3 Systematic flaw remediation.........................................................62
8.8. Argumentaire pour les annonces de conformité à un PP ............................ 63
9. ANNEXE : CONFORMITE AU PROFIL DE PROTECTION [CDISK]................64
9.1. Chapitre 3 : Définition du problème de sécurité ....................................... 64
9.1.1. Chapitre 3.1 : Biens ....................................................................................64
9.1.2. Utilisateurs.................................................................................................64
9.1.3. Chapitre 3.3 : Menaces................................................................................64
9.1.4. Chapitre 3.4 :Politiques de sécurité organisationnelles (OSP) ...........................65
9.1.5. Chapitre 3.5 (PP)/Chapitre 3.3 (cible) : Hypothèses ........................................65
9.2. Chapitre 4 : Objectifs de sécurité ........................................................... 65
9.2.1. Chapitre 4.1 : Objectifs de sécurité pour la TOE..............................................65
9.2.2. Chapitre 4.2 : Objectifs de sécurité pour l‟environnement opérationnel de la TOE65
9.3. Chapitre 5 : Exigences de sécurité ......................................................... 66
9.3.1. Chapitre 5.1 : Exigences de sécurité fonctionnelles .........................................66
9.3.2. Chapitre 5.2 : Exigences de sécurité d‟assurance ............................................67
9.4. Chapitre 6 (PP)/Chapitre 8 (cible) :Argumentaire ..................................... 67
9.4.1. Chapitre 6.1.1 (PP)/Chapitre 8.1.1 (cible) : Menaces.......................................67
9.4.2. Chapitre 6.1.2 (PP)/Chapitre 8.1.2 (cible) : OSP .............................................67
9.4.3. Chapitre 6.1.3 (PP)/Chapitre 8.1.3 (cible) : Hypothèses...................................67
9.4.4. Chapitre 6.1.4 (PP)/Chapitre 8.1.4 (cible) : Tables de couverture .....................67
9.4.5. Chapitre 6.2.1 (PP)/Chapitre 8.2.1 (cible) :Objectifs........................................67
9.4.6. Chapitre 6.2.2 (PP)/Chapitre 8.2.2 (cible) : Tables de couverture .....................67
9.4.7. Chapitre 6.3.1 (PP)/Chapitre 8.5.1 (cible) : Dépendances des exigences de
sécurité fonctionnelles ..........................................................................................67
9.4.8. Chapitre 6.3.3 (PP)/Chapitre 8.5.2 (cible) : Dépendances des exigences de
sécurité d‟assurance .............................................................................................68
9.4.9. Chapitre 6.4 (PP)/Chapitre 8.6 (cible) : Argumentaire pour l‟EAL ......................68
9.4.10. Chapitre 6.4 (PP)/Chapitre 8.7 (cible) : Argumentaire pour les augmentations à
l‟EAL...................................................................................................................68
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
5/68
Liste des figures
Figure 1 – Plate-forme de tests pour l‟évaluation de la TOE................................. 14
Figure 2 : Résumé de la TSP (l‟utilisateur s‟authentifie en tant qu‟utilisateur ou
administrateur)........................................................................................ 29
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
6/68
Liste des tableaux
Tableau 1 : Synthèse des biens sensibles ......................................................... 17
Tableau 2 : Composants d‟assurance de sécurité ............................................... 37
Tableau 3 Association menaces vers objectifs de sécurité .................................. 44
Tableau 4 Association objectifs de sécurité vers menaces .................................. 45
Tableau 5 Association politiques de sécurité organisationnelles vers objectifs de
sécurité .................................................................................................. 46
Tableau 6 Association objectifs de sécurité vers politiques de sécurité
organisationnelles .................................................................................... 47
Tableau 7 Association hypothèses vers objectifs de sécurité pour l‟environnement
opérationnel ............................................................................................ 48
Tableau 8 Association objectifs de sécurité pour l‟environnement opérationnel vers
hypothèses.............................................................................................. 48
Tableau 9 Association objectifs de sécurité de la TOE vers les exigences
fonctionnelles .......................................................................................... 51
Tableau 10 Association exigences fonctionnelles vers objectifs de sécurité de la TOE
............................................................................................................. 52
Tableau 11 Association exigences fonctionnelles vers les spécifications globales .. 56
Tableau 12 Association spécifications globales vers exigences fonctionnelles ........ 57
Tableau 13 : Association exigences d‟assurance sécurité vers les mesures
d‟assurance. ............................................................................................ 59
Tableau 14 Dépendances des exigences fonctionnelles ...................................... 60
Tableau 15 Dépendances des exigences d'assurance ......................................... 62
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
7/68
1. Introduction de la cible de sécurité
1.1. Identification de la cible de sécurité
Cible de sécurité (ST) : Cryhod version 2.0 Cible de sécurité CC niveau
EAL3+
Version de la ST : PX109266 v2r5 – Avril 2011
Cible d‟évaluation (TOE) : Cryhod version 2.0 build 200
Niveau EAL : EAL3 augmenté des composants ALC_FLR.3 et
AVA_VAN.3 associé à une expertise de
l‟implémentation de la cryptographie décrite
dans [QUALIF_STD].
Conformité à un PP existant : Profil de Protection Application de chiffrement
de données à la volée sur mémoire de masse
[CDISK].
Référence des CC : Critères Communs version 3.1 révision 3,
Parties 1 à 3 – Juillet 2009
1.2. Vue d'ensemble de la cible de sécurité
Cryhod est un produit de sécurité pour la confidentialité des données des
organismes. Le produit permet le chiffrement de toutes les partitions d‟un ou de
plusieurs disques durs. L‟authentification des utilisateurs est effectuée avant
l‟amorçage du système.
Cryhod sera évalué pour une plate-forme PC sous les systèmes d‟exploitation
Microsoft XP (32 bits) et Seven (64 bits).
1.3. Conformité aux Critères Communs
Cette cible de sécurité respecte les exigences des Critères Communs version 3.1
révision 3 de juillet 2009 :
[CC1] Common Criteria for Information Technology Security Evaluation,
Part 1: Introduction and general model. Version 3.1, Revision 3,
Juillet 2009. CCMB-2009-07-001.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
8/68
[CC2] Common Criteria for Information Technology Security Evaluation,
Part 2: Security functional requirements. Version 3.1, Revision 3,
Juillet 2009. CCMB-2009-07-002.
[CC3] Common Criteria for Information Technology Security Evaluation,
Part 3: Security Assurance Requirements. Version 3.1, Revision 3,
Juillet 2009. CCMB-2009-07-003.
[CEM] Common Methodology for Information Technology Security
Evaluation, Evaluation Methodology. Version 3.1, Revision 3, Juillet
2009. CCMB-2009-07-004.
Toutes les exigences fonctionnelles décrites dans cette cible de sécurité sont issus de
la Partie 2 « stricte » des Critères Communs version 3.1 révision 3 de juillet 2009. Le
niveau d‟assurance « EAL3 augmenté » retenu est conforme à la Partie 3 « stricte »
des Critères Communs version 3.1 révision 3 de juillet 2009. Le niveau d‟assurance
est un niveau EAL3 augmenté des composants ALC_FLR.3 et AVA_VAN.3.
Toutes les interprétations des Critères Communs parues à la date de démarrage de
l‟évaluation seront retenues.
1.4. Conformité à un profil de protection
Cette cible est conforme (conformité démontrable selon la définition dans la Partie 1
des Critères Communs) au profil de protection suivant (configuration « avec
génération de clé ») :
[CDISK] Profil de Protection Application de chiffrement de données à la volée
sur mémoire de masse – version 1.4 d‟aout 2008, DCSSI
Les parties relatives au profil de protection sont indiquées en caractères rouges.
1.5. Conformité aux référentiels de l’ANSSI
Cette cible de sécurité est conforme aux référentiels de l‟ANSSI suivants :
[QUALIF_STD] Processus de qualification d‟un produit de sécurité – niveau
standard – version 1.2, DCSSI.
[CRYPTO_STD] Mécanismes cryptographiques : règles et recommandations
concernant le choix et le dimensionnement des mécanismes
cryptographiques - Version 1.20 du 26 janvier 2010, ANSSI.
[CLES_STD] Règles et recommandations concernant la gestion des clés utilisées
dans des mécanismes cryptographiques - version 1.10 du 24
octobre 2008, DCSSI
[AUTH_STD] Règles et recommandations concernant les mécanismes
d‟authentification - Version 1.0 du 13 janvier 2010, ANSSI.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
9/68
2. Description de la cible d'évaluation
(TOE)
2.1. Présentation du produit
2.1.1. Description Générale
Cryhod est un produit de sécurité pour postes de travail opérant sous Windows
XP, Vista et Seven (32 et 64 bits) assurant à la fois une authentification avant
l‟amorçage du poste et un chiffrement complet et transparent des données sur les
disques dur internes ou additionnels. Son rôle est de préserver la confidentialité des
documents manipulés par les utilisateurs, sur des postes isolés, des ordinateurs
portables, ou des postes de travail connectés au réseau d'un organisme.
Cryhod chiffre en intégralité les partitions des disques durs des postes de travail.
Le gestion du stockage chiffré des fichiers s‟effectue de la façon la plus transparente
possible pour les utilisateurs. Le chiffrement des fichiers s'effectue en effet 'in-
place' (là où résident les fichiers) et 'à la volée' (sans manipulation particulière de
l'utilisateur).
Pour s‟authentifier, il est possible de définir un certain nombre d'accès : l'accès de
l'utilisateur principal, d'un collègue ou d'un chef de service éventuel, l'accès réservé
du responsable de la sécurité, l'accès de secours de l'organisme (recouvrement), etc.
La définition de ces accès est libre, mais le produit est doté de fonctions et de
mécanismes d'administration permettant d'imposer certains accès ou certains types
d'accès.
A chaque accès correspond une clé d'accès (une clé cryptographique) que possède
un utilisateur. Cette clé peut être soit un mot de passe soit une clé RSA hébergée
dans un porte-clés comme un fichier de clé, une carte à puce, un token USB.
2.1.2. Accès
Pour pouvoir accéder aux données chiffrées, un utilisateur doit donc disposer d‟une
clé d’accès. Cette clé lui a été remise par l‟Administrateur de la Sécurité (appelé
Administrateur de la TOE dans la suite du document). Si la politique de sécurité le lui
permet, l‟utilisateur a la possibilité de changer sa clé d‟accès.
Des politiques de sécurité relatives au "Contrôle des mots de passe" permettent de
contraindre les utilisateurs à choisir des mots de passe avec une certaine longueur et
une certaine complexité.
Les certificats ne sont pas contrôlés de la même façon selon l'endroit et le moment
où ils sont utilisés. On distingue les cas suivants :
 Ajouter un accès par certificat : Il s'agit d'une véritable utilisation de certificat et
de la clé publique associée : le certificat est donc intégralement contrôlé : usages
de clés, dates de validité, 'basic constraints', extensions critiques, chaine de
certification et contrôle de non-révocation.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
10/68
 Utiliser sa clé privée pour ouvrir une partition : Ici en effet, le certificat n'est PAS
utilisé pour ouvrir la partition, c'est la clé privée qui est utilisée. Par défaut,
Cryhod n'effectue que des contrôles minimaux dans ce cas (usage de clé,
extensions critiques, dates de validité). Il est possible de configurer des politiques
pour que Cryhod effectue des contrôles plus poussés, notamment le contrôle des
certificats d'autorité et le contrôle de révocation.
Lorsque les partitions du disque ont été chiffrées, les fichiers ont été chiffrés avec
des clés dédiées, et ces clés ont-elles mêmes été chiffrées avec les clés d‟accès des
utilisateurs à qui l‟Administrateur de la TOE donne le droit d‟accéder au contenu
(confidentiel). Bien entendu, les clés d‟accès elles-mêmes ne figurent pas sur le
poste de travail.
Cryhod propose différents algorithmes et mécanismes de sécurité, tous conformes à
l'état de l'art en la matière. Il propose deux schémas de gestion de clés d'accès. Un
schéma dit « symétrique » basé sur des mots de passe et des clés dérivées de mots
de passe (réf. : PKCS#5) et un schéma dit « asymétrique » utilisant des clés RSA
(réf. : PKCS#1 v1.5) embarquées dans des fichiers de clés (réf. : PKCS#12) ou des
porte-clés (réf: PKCS#11).
Parmi les accès, il peut y avoir un ou plusieurs accès dits "de recouvrement", de type
'mot de passe' ou de type 'clé RSA' (accès apposé par certificat). Ces recouvrements
sont systématiquement appliqués s‟ils sont déclarés dans une politique de sécurité
dédiée.
2.1.3. Autres fonctionnalités
2.1.3.1 Transchiffrement
L'opération est conditionnée par des politiques de sécurité et permet de renouveler
les clés de chiffrement des partitions.
2.1.3.2 Mise en veille prolongée (hibernation)
Cryhod prend en charge et gère les aspects hibernation en assurant le chiffrement
des données d‟image générées afin de les sauvegarder de façon sécurisée sur le
disque dur. Lors du «réveil» du poste de travail, Cryhod demande à l‟utilisateur de
s‟authentifier de nouveau. La mise en veille simple est verrouillée par l‟installation de
Cryhod.
2.1.3.3 SSO
L‟objectif du mode SSO est d‟éviter à l‟utilisateur de saisir plusieurs fois ses secrets,
une première fois pour s‟authentifier avant l‟amorçage du système (mot de passe ou
clé RSA), une seconde fois pour ouvrir une session Windows (mot de passe).
L‟utilisateur s‟authentifie une seule fois (à l‟amorçage donc par mot de passe ou clé
RSA) pour les deux opérations.
2.1.3.4 Interruption brutale
La séquence de chiffrement initiale (ainsi que les processus de déchiffrement et de
Transchiffrement) peut prendre du temps en fonction de la quantité de données à
traiter. Au cours de ce traitement, Cryhod protège contre toute coupure brutale
(coupure de courant, plantage système) par des mécanismes de récupération
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
11/68
interne. Ces mécanismes assurent une récupération sans perte de données et la
reprise automatique du processus de chiffrement (déchiffrement, transchiffrement).
2.1.3.5 Protection des fichiers système
Tous les fichiers systèmes « invisibles à l‟utilisateur » sont susceptibles de contenir
des données sensibles (fichiers temporaires, fichier d‟échange). Il en va de même
des fichiers supprimés par l‟utilisateur et dont le contenu peut rester longtemps sur
le disque. Le chiffrement complet des partitions du disque assure la protection de ces
données au même titre que les autres données utilisateur.
2.2. Services d’administration et rôles
2.2.1. Définition des rôles
Hormis le responsable de la sécurité de l‟organisation qui fixe la politique générale
de sécurité à appliquer, on distingue 3 rôles mettant en œuvre (directement ou
indirectement) les fonctionnalités de la TOE :
 Un rôle opérant uniquement dans l‟environnement de la TOE : L‟administrateur de
la sécurité de l‟environnement Windows des utilisateurs (administrateur Windows)
en charge de définir les règles d‟usage et de sécurité (les policies), c‟est-à-dire le
paramétrage de fonctionnement du produit : cette opération de « haut-niveau »
est effectuée sous le contrôle du Responsable de la Sécurité qui a étudié les
différents paramètres et décidé des valeurs à affecter pour obtenir le
comportement souhaité du produit dans le cadre d‟utilisation et d‟environnement
prévu. Ces règles ne changeront ensuite que de façon très exceptionnelle. Il est à
noter que ce rôle peut se décliner en plusieurs rôles hiérarchiques correspondant
aux différents niveaux des domaines Windows. Dans ce cas les administrateurs
des niveaux supérieurs doivent interdire aux administrateurs des sous-niveaux
(domaines, contrôleurs de domaines, postes de travail) la modification des
« policies » de la TOE qu‟ils souhaitent eux-mêmes contrôler.
 Un rôle administrateur de la TOE en charge de définir les emplacements chiffrés
du « parc » et effectuer la procédure de migration initiale qui consiste à chiffrer
leur contenu actuel. Pour chaque emplacement chiffré, il faut configurer la liste
des personnes pouvant y accéder en introduisant leurs clés d‟accès (ou en
paramétrant des listes d‟accès). Par la suite, l‟entretien consistera principalement
à créer de nouveaux emplacements si besoin est (nouveaux ordinateurs), à gérer
les „mouvements de personnel‟ (nouvel utilisateur, retrait d‟accès pour une
personne en partance), et, éventuellement, de transchiffrer les emplacements
chiffrés (sur compromission ou régulièrement). Sauf mention contraire dans la
suite de ce document, toute référence à l‟administrateur se rapporte à ce rôle.
 Utilisateur de la machine dont certaines données sont à protéger en confidentialité
sur le disque de la machine. L‟utilisateur utilise la TOE selon la configuration
imposée par l‟administrateur Windows et l‟administrateur de la TOE.
 Il faut noter que, à part la définition des policies, généralement dévolue à un
responsable de la sécurité, les autres opérations peuvent être effectuées par
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
12/68
différents acteurs en fonction de la confiance, de l‟organisation et des moyens de
l‟organisme.
2.2.2. Administration
L‟exploitation et la supervision peuvent être centralisées et télé-exécutées ; les
directives (chiffrement, déchiffrement, transchiffrement, ajout ou suppression
d‟accès) peuvent être télé-ordonnées via policies et l‟utilisateur peut n‟avoir aucun
droit de gestion ni aucune interface. Un centre de sécurité sur le poste permet de
consulter l‟état de chiffrement des différentes partitions et de passer des directives
de façon complémentaire au paramétrage par policies.
Les commandes d‟administration peuvent enregistrer leur déroulement dans des
fichiers „traces‟ pour analyse ultérieure.
Par ailleurs, Cryhod émet des événements Windows consultables avec
l’Observateur d’Evénements Windows (Eventvwr). La liste des événements est
configurable, et ils peuvent également être envoyés vers un serveur Windows. On y
trouve les événements d‟authentification (notamment à l‟amorçage) et toutes les
commandes d‟administration, réussies ou non.
2.2.3. Exemple d’utilisation
Il existe différents scénarios de mise en œuvre, mais le principe d‟utilisation reste le
même pour les utilisateurs et les applications.
L‟administrateur Windows définit les règles d‟usage (policies) du produit, ce qui se
traduit par une configuration prédéfinie (policy) qui peut être masterisée
(personnalisation de l‟installation) ou télé-gérée (diffusée, mise à jour) soit par des
commandes d‟administration fournies par le produit soit par la logistique intégrée
des réseaux bureautiques (exemple : contrôleurs de domaines). Ces règles sont
généralement établies à « haut niveau » dans l‟organisme par le Responsable de la
Sécurité. Parmi ces règles, on trouve, par exemple, l‟algorithme de chiffrement à
utiliser, les opérations autorisées pour les utilisateurs standards, le comportement
que doit adopter le logiciel dans certains cas, etc.
Le logiciel, masterisé ou non, est ensuite installé sur un poste de travail,
manuellement ou via les logiciels de télé-installation du marché.
Par ailleurs, il est à la charge de l‟administrateur de la TOE de définir (fournir) les
clés d‟accès des utilisateurs (issues d‟une PKI, par exemple). Cryhod supporte
différents scénarios de gestion de clés, mais n‟en fournit pas l‟infrastructure. Si une
PKI est en place, il sait en utiliser les éléments (clés RSA, porte-clés, certificats), si
elle n‟est que partiellement installée, ou s‟il n‟y en a pas, il sait également utiliser
des accès par mots de passe.
Puis, l‟administrateur de la TOE doit définir une politique de chiffrement sur les
postes de travail, en fonction de leur contenu et/ou de leur topologie : il s‟agit en
pratique de définir quels emplacements doivent être chiffrés et d‟exécuter la
procédure de chiffrement initial. L‟exécution de la procédure peut être effectuée par
l‟administrateur lui-même ou être déléguée à l‟utilisateur.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
13/68
Une fois ces opérations initiales effectuées, les emplacements chiffrés sont définis et
chiffrés, et les accès pour les utilisateurs sont définis. Seuls les utilisateurs disposant
de clés d‟accès valides pour les emplacements chiffrés pourront lire ou écrire des
fichiers dans ces emplacements.
Pour un utilisateur, et, par extension, pour TOUTES les applications (y compris le
système lui-même), le fonctionnement est alors très simple et transparent : dès
qu‟un fichier est ouvert dans un emplacement chiffré, à des fins de lecture ou
d‟écriture, les portions qui sont lues sont déchiffrées «à la volée» et les portions qui
sont écrites sont chiffrées «à la volée». Techniquement, les applications (au sens
large) ignorent que le contenu du fichier est chiffré, ou va être chiffré, elles
travaillent exactement comme si ce n‟était pas le cas. Par exemple, un «double-
click» pour ouvrir un fichier chiffré lance directement l‟application concernée, qui
accède au contenu.
Avant le démarrage du système (amorçage du système), Cryhod demande à
l‟utilisateur une clé d‟accès permettant de s‟authentifier. Cette clé donne l‟accès au
login Windows (ou permet de lancer directement le système d‟exploitation en mode
SSO) et de déchiffrer les fichiers dans les emplacements permis à l‟utilisateur (en
pratique, le schéma est plus complexe, et cette clé d‟accès permet de déchiffrer des
clés intermédiaires qui elles-mêmes chiffrent les fichiers).
2.3. Périmètre et architecture de la cible d’évaluation
2.3.1. Les composants de Cryhod
Cryhod s‟articule autour de 3 composants principaux :
 Le résident BIOS en charge de piloter la phase d‟amorçage du poste de travail en
donnant successivement la main aux 2 autres composants ;
 Un Linux propriétaire (construit à partir du noyau Linux 2.6.27.46) chargé par le
résident BIOS avant l‟amorçage du poste et gérant la phase d‟authentification de
l‟utilisateur ainsi que quelques fonctions de base permises par les policies (langue,
changement de mot de passe, gestion par l‟utilisateur du mode SSO …);
 Les drivers et services sous Windows qui assurent le fonctionnement du produit
dans l‟environnement de travail de l‟utilisateur : chiffrement (déchiffrement) et
transchiffrement du poste, gestion des accès, audit …
2.3.2. Périmètre de la TOE
2.3.2.1 Périmètre logique
Le périmètre d‟évaluation est constitué de l‟ensemble des composants du logiciel.
2.3.2.2 Périmètre physique
Cryhod sera évalué, en tant que produit, sur une plate-forme PC sous les systèmes
d‟exploitation de Microsoft suivants : Windows XP 32 bits et Windows Seven 64 bits.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
14/68
Le dialogue PKCS#11 entre la TOE et les porte-clés utilisateurs, le dialogue
PKCS#12 entre la TOE et les fichiers de clés seront également évalués.
Les éléments suivants sont hors évaluation :
 Les systèmes d‟exploitation Windows, y compris :
 Les drivers PC/SC ;
 Le service de gestion des certificats (CMS) ;
 Le service de gestion des profils utilisateurs (User management) ;
 Les portes clés utilisés (comme les porte-clés de type Token USB ou les fichiers
de clés).
Le logiciel Cryhod utilise des clés utilisateurs (les «clés d‟accès») fournies par
l‟environnement (clés RSA dans des porte-clés ou mots de passe fournis par
l‟administrateur de la TOE) mais ne procède pas au tirage de clés utilisateurs. Ce
tirage est donc hors évaluation.
2.4. Plate-forme de tests pour l’évaluation de la TOE
Pour l‟évaluation du produit, la plate-forme minimale suivante devra être mise en
place par l‟évaluateur. Le type physique de porte-clés (carte à puce ou clé USB)
étant transparent pour Cryhod (seul le dialogue PKCS#11 est important), les tests
de l‟évaluateur pourront s‟effectuer avec un seul type de porte-clés.
Figure 1 – Plate-forme de tests pour l’évaluation de la TOE
Seule la partie logicielle et non le matériel est soumise à l‟évaluation. Conformément
aux hypothèses sur l‟environnement d‟utilisation, les systèmes d‟exploitation des PC
configurés avec Cryhod doivent être correctement mis à jour.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
15/68
3. Définition du problème de sécurité
3.1. Les biens sensibles
3.1.1. Biens sensibles de l’utilisateur
3.1.1.1 Clés d’accès : D.CLES_ACCES
Lors de la phase d‟authentification, Cryhod met en œuvre les clés d‟accès des
utilisateurs. En fonction des cas de figure, il peut être amené à manipuler
directement soit la clé d‟accès elle-même, soit son code confidentiel de protection.
 Accès par mot de passe : Cryhod gère la saisie du mot de passe, sa
transformation (dérivation) en clé d‟accès et effectue des chiffrements et
déchiffrements avec cette clé d‟accès ;
 Accès par clé RSA hébergée dans un fichier de clés : Cryhod gère la saisie du code
confidentiel du fichier de clés, lit et déchiffre le fichier de clés avec ce code
confidentiel, obtient la clé d‟accès RSA et effectue des chiffrements et
déchiffrements avec cette clé ;
 Accès par clé RSA hébergée dans un token logique accédé au travers d‟un
composant externe PKCS#11 (ce composant pouvant piloter une carte à
mémoire, un token USB ou tout autre dispositif hardware ou software) : Cryhod
gère la saisie du code confidentiel du token logique, le remet au composant
externe pour le déverrouiller. Cryhod fournit également au composant externe la
clé de chiffrement (AES) des partitions du disque chiffrée par sa clé publique. Le
composant déchiffre la clé de chiffrement avec sa clé privée puis la transmet à
Cryhod qui peut alors effectuer le déchiffrement des partitions.
En fonction de ces cas, donc, Cryhod manipule comme biens sensibles utilisateur un
mot de passe ou code confidentiel (en saisie), et une clé d‟accès cryptographique.
Dans les cas 1 et 2, il manipule les deux éléments, dans le cas 3, il ne manipule que
le premier.
Il faut noter que Cryhod ne génère PAS les clés d‟accès des utilisateurs : quand il
s‟agit de clés RSA, quel que soit le porte-clés qui les héberge et le module qui les
traite, elles sont toujours générées par un outil externe à Cryhod (en général une
PKI), de même que le porte-clés éventuel et le code confidentiel de protection.
Quand il s‟agit de mots de passe, c‟est l‟administrateur ou l‟utilisateur qui le
choisissent. L‟utilisateur et son environnement (règles et procédures internes,
établies par le Responsable de la Sécurité) sont responsables de la qualité de ces
clés, de la protection du porte-clés et de leur bonne utilisation.
Protection: confidentialité.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
16/68
3.1.1.2 Données utilisateur : D.DONNEES_UTILISATEUR
Ce bien représente les données de l'utilisateur à protéger en confidentialité sur le
disque par la TOE. Il s'agit des données en clair (les données chiffrées ne sont pas
un bien sensible).
Cryhod permet de conserver sous forme chiffrée les fichiers (et dossiers) stockés sur
les partitions du disque dur. Les biens sensibles sont donc les fichiers et dossiers
utilisateurs, de tous types, stockés sur le disque.
Par ailleurs, Cryhod permet d‟utiliser le mode hibernation tout en assurant le
chiffrement des données générées.
Protection: confidentialité.
3.1.1.3 Remarque
Les fichiers supprimés (quelle que soit la façon dont ils sont supprimés, action
utilisateur ou par programme) ainsi que les fichiers temporaires et les fichiers
d‟échange de la mémoire virtuelle du système (contenant des „images mémoire
instantanées‟ des applications actives), peuvent contenir des données utilisateur
sensibles. Tous ces fichiers sont chiffrés par le chiffrement des partitions du disque
et sont donc considérés comme des données utilisateur chiffrées.
3.1.2. Biens sensibles de la TOE
3.1.2.1 Les programmes : D.PROGRAMMES
Pour assurer son fonctionnement, la TOE met en œuvre ses programmes
(exécutables, drivers, bibliothèques dynamiques). La sécurité en intégrité des
programmes sous Windows est assurée par l‟environnement : il faut être
administrateur Windows pour les modifier. Ces programmes sont également signés
(système authenticode Windows). La sécurité en confidentialité est assurée par le
chiffrement de la partition contenant le système d‟exploitation.
Une fois l‟utilisateur authentifié, l‟intégrité du code de preboot pilotant
l‟authentification est vérifiée par des mécanismes de sécurité assurés par le produit
sous Windows.
Protection: intégrité.
3.1.2.2 La configuration : D.CONFIGURATION
Pour assurer son fonctionnement, la TOE met en œuvre des policies (au sens
Windows du terme). La sécurité en intégrité de ces policies est assurée :
- par l‟environnement (i.e. le système des policies sous Windows) : il faut être
l‟administrateur Windows de plus haut niveau pour les modifier (si un
domaine Windows définit une valeur pour un paramètre, alors un
administrateur local au poste ne pourra pas la modifier).
- Par le produit dans la mesure où les politiques sont signées par
l‟administrateur sécurité et vérifiées par Cryhod avant d‟être appliquées.
Protection: intégrité.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
17/68
3.1.2.3 Les fichiers de fonctionnement D.FONC
On ne considère ici que les fichiers sensibles décrivant les accès aux partitions
chiffrés. Ils contiennent notamment, par emplacement, quelques informations de
gestion, et les „wrappings‟ d‟accès, c‟est-à-dire les clés de chiffrement des
emplacements chiffrés par les clés d‟accès des utilisateurs habilités.
Protection: confidentialité et intégrité.
3.1.3. Synthèse des biens sensibles
Le tableau ci-dessous résume la liste des biens sensibles protégés par Cryhod et
indique la nature de la sensibilité associée.
Remarque : de façon générale, l’intégrité n’est pas un objectif de Cryhod. Le rôle du
produit est de gérer la confidentialité des biens sensibles qui lui sont confiés, mais ce
n’est pas un produit dont le but est de détecter une altération quelconque dans
l’environnement (intrusion, virus, etc.). Par contre, Cryhod met en œuvre des
dispositifs permettant de détecter des altérations qui seraient nuisibles à son bon
fonctionnement, ou qui induiraient un défaut dans son objectif de confidentialité.
Biens sensibles Confidentialité Intégrité
Biens sensibles de l’utilisateur
Eléments des clés d‟accès manipulés par Cryhod, en
fonction des cas explicités plus haut : mot de passe ou code
confidentiel éventuel, clé d‟accès elle-même si elle est
directement utilisée par Cryhod
Forte N/A
Fichiers et dossiers de l‟utilisateur stockés sur le disque
(dont les fichiers temporaires et le fichier d‟échange).
Forte N/A
Fichier hibernation Forte N/A
Biens sensibles de la TOE
Programmes de Cryhod Faible Forte
Configuration Faible Forte
Fichiers de fonctionnement Forte Forte
Tableau 1 : Synthèse des biens sensibles
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
18/68
3.2. Utilisateurs
La TOE supporte 2 rôles :
 L‟administrateur de la TOE en charge de gérer les accès et assurer le
recouvrement (accès particulier).
 Utilisateur de la machine dont certaines données sont à protéger en confidentialité
sur le disque de la machine.
3.3. Hypothèses
Pour Cryhod, nommée la TOE dans les paragraphes suivants, les hypothèses
suivantes sur l‟environnement d‟utilisation seront prises en compte pour l‟évaluation
du niveau de confiance offert aux utilisateurs :
A.NON_OBSERV L‟environnement physique de la TOE permet aux
utilisateurs d‟entrer leur mot de passe et leur code
confidentiel sans être observable directement et sans
que cela puisse être intercepté par d‟autres utilisateurs
ou attaquants potentiels.
A.ENV_OPERATIONNEL L'environnement opérationnel ne permet pas à un
attaquant d'accéder au disque (physiquement ou par le
réseau) lorsque des données sensibles sont accessibles
à un utilisateur légitime sur l'équipement. L'équipement
doit donc apporter des protections efficaces contre
l'accès illicite distant (pare-feu correctement configuré,
antivirus et anti logiciels espions avec bases de
données à jour etc.). L‟environnement de la TOE fournit
un système d‟horodatage fiable qui permet à la TOE de
dater précisément les événements enregistrés dans son
journal.
A.NON_REMANENCE_1 Les mémoires de travail utilisées par la machine qui
exécute le produit ne sont pas rémanentes par
construction.
Note d'application
En pratique, beaucoup de mémoires théoriquement non
rémanentes sont rémanentes un certain temps après
l'arrêt de l'alimentation. Ce phénomène justifie
l‟OSP.NON_REMANENCE_2.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
19/68
A.CONFIANCE_ADM_TOE Les administrateurs de la TOE sont des personnes de
confiance. Ils sont formés à l‟utilisation de la TOE tout
comme les utilisateurs.
A.CONSERVATION_CLES Les utilisateurs sont chargés de la conservation dans un
lieu sûr et de la non divulgation des clés d‟accès qui
leur ont été transmises par un administrateur.
L‟administrateur est également chargé de conservation
dans un lieu sûr et de la non divulgation des clés de
recouvrement.
A.CERTIFICATS L‟administrateur de la TOE est chargé de mettre en
œuvre des procédures organisationnelles assurant la
protection des certificats lors de leur remise aux
utilisateurs. Il est également chargé, lors de la
fourniture des clés d‟accès possédant un certificat
X509, de vérifier la validité de ces certificats et leur
adéquation avec l‟usage qui en est fait par la TOE.
A.ADMIN_WINDOWS Les administrateurs Windows sont des personnes de
confiance.
Les administrateurs Windows de plus haut niveau du
domaine Windows sont chargés d‟interdire aux
administrateurs Windows des sous-niveaux (domaines,
contrôleurs de domaines, postes de travail) la
modification des « policies » de la TOE. De même, les
administrateurs et utilisateurs de la TOE ne doivent pas
pouvoir modifier les « policies ».
A.CRYPTO_EXT Les clés d‟accès générées ou stockées à l‟extérieur de la
TOE doivent être conformes aux documents
[CRYPTO_STD] et [CLES_STD].
3.4. Menaces [portant atteinte à la sécurité de la TOE]
Les menaces présentes dans cette section sont uniquement celles portant atteinte à
la sécurité de la TOE et non aux services rendus par la TOE (couvertes par les
Politiques de Sécurité Organisationnelles, services du produit, décrites plus loin). Les
différents agents menaçants sont donc d'origine extérieure à l'environnement
opérationnel de la TOE, comme toute personne externe à l'organisation tirant partie
du nomadisme de la machine (par exemple, vol dans un lieu public) ou un
cambrioleur. Les administrateurs et les utilisateurs légitimes ne sont pas considérés
comme des attaquants.
L‟attaquant considéré est doté d‟un potentiel d‟attaque « enhanced-basic » au sens
des Critères Communs.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
20/68
T.ACCES_DONNEES Un attaquant prend connaissance des données
sensibles de l'utilisateur stockées sur le disque,
par exemple, après avoir récupéré une ou
plusieurs image(s) partielle(s) ou totale(s) du
disque (éventuellement à des moments différents)
ou bien après avoir volé l'équipement (éteint ou
en hibernation) ou le disque.
Les biens impactés sont les données de
l‟utilisateur ainsi que les biens sensibles de la TOE
(en confidentialité).
T.ACCES_MEMOIRES Après l'arrêt de l'application de chiffrement par
l'utilisateur, un attaquant avec accès aux
mémoires de travail de l'application (par exemple,
RAM) prend connaissance des données sensibles
de l'utilisateur ou des clés cryptographiques.
Les biens impactés sont les données de
l‟utilisateur et les clés cryptographiques (en
confidentialité).
3.5. Politiques de sécurité de l’organisation
OSP.DISQUE La TOE doit offrir un service de protection en
confidentialité (chiffrement), automatique et
systématique, du stockage des fichiers sensibles des
utilisateurs, ces fichiers ne pouvant être lus
(déchiffrés) ou écrits (chiffrés) que par des utilisateurs
disposant de clés d‟accès valides pour ces fichiers.
OSP.ACCES La TOE doit permettre aux utilisateurs de fournir une
clé d‟accès au démarrage du poste de travail
permettant d‟accéder aux fichiers sensibles stockés sur
le disque. S‟ils ne peuvent fournir une clé d‟accès
valide, l‟accès doit être rejeté et l‟événement
correspondant journalisé.
OSP.ADMIN_ACCES La TOE doit offrir un service de gestion des accès.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
21/68
OSP.RECOUVREMENT La TOE doit offrir un service de recouvrement des
fichiers sensibles des utilisateurs (suite à une perte ou
à l‟oubli de ses données d‟authentification par
exemple) par l‟emploi de clés d‟accès de recouvrement
gérées par l‟administrateur de la TOE. Toute opération
de recouvrement doit être journalisée.
OSP.HIBERNATION La TOE doit assurer la confidentialité du fichier
hibernation ainsi que l‟authentification de l‟utilisateur à
la sortie de la veille prolongée.
OSP.REPRISE La TOE doit assurer une reprise du processus de
chiffrement/déchiffrement/transchiffrement (dont le
chiffrement initial du poste) après la survenue d‟une
coupure de courant ou un plantage système. Cette
reprise doit assurer l‟intégrité des données et la
finalisation correcte du chiffrement.
OSP.AUDIT La TOE doit permettre la journalisation des
événements de sécurité dès la phase d‟authentification.
OSP.CRYPTO Les mécanismes cryptographiques de la TOE doivent
être conformes aux exigences pour le niveau de
robustesse standard des référentiels cryptographiques
[CRYPTO_STD] et [CLES_STD] de l‟ANSSI. Les
mécanismes d‟authentification doivent être conformes
aux exigences définies dans le document [AUTH_STD].
OSP.NON_REMANENCE_2 Des mesures organisationnelles préviennent la possible
réutilisation de la rémanence des mémoires lors de
l'arrêt de la machine dans laquelle s'exécute le produit.
Note d'application
Il est conseillé à l'utilisateur de s'assurer que l'accès à
l'ordinateur après son arrêt n'est pas possible durant
un certain temps. Ce temps dépend des
caractéristiques des mémoires (cf. Hypothèse
A.NON_REMANENCE). En général, quelques dizaines de
secondes suffisent. Cette mesure n'a pas à être
appliquée si le produit dispose d'une fonction technique
d'effacement complet de la mémoire lors de l'arrêt du
système ou s'il est démontré que les mémoires ne sont
pas du tout rémanentes ou plus généralement, s'il est
démontré que l'analyse du contenu de la mémoire
après l'arrêt de son alimentation ne permet pas de
retrouver une information utile pour l'attaquant.
Attention: cette démonstration doit être faite pour un
produit matériel donné et pas sur les seules
caractéristiques du constructeur des mémoires.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
22/68
4. Objectifs de sécurité
4.1. Objectifs de sécurité pour la TOE
4.1.1. Contrôle d’accès
O.ACCES La TOE doit permettre de visualiser les accès et gérer
les clés d‟accès.
O.PROTECTION_DES_
DONNEES_ENREGISTREES
La TOE doit s'assurer que l'utilisateur a été authentifié
avant de rendre accessibles les données enregistrées.
Pour cela, la TOE ne doit autoriser l‟accès à
l‟environnement de travail chiffré qu‟après
présentation d‟une clé d‟accès valide au démarrage du
poste de travail.
O.ROLES La TOE doit gérer deux rôles d‟utilisateurs : un rôle
„utilisateur normal‟ ou plus simplement „utilisateur‟
(utilisation du poste de travail sous condition de
présentation d‟une clé d‟accès valide) et un rôle
„administrateur‟ (utilisation, recouvrement, plus
possibilité d‟administrer le poste, c‟est-à-dire gérer
ses accès).
4.1.2. Cryptographie
O.CRYPTO La TOE doit implémenter les fonctions de cryptographie et
gérer les clés cryptographiques conformément aux
exigences pour le niveau de robustesse standard des
référentiels cryptographiques [CRYPTO_STD] et
[CLES_STD] de l‟ANSSI. La TOE doit implémenter les
fonctions d‟authentification conformément aux exigences
définies dans le document [AUTH_STD].
O.CLES_CHIFFREMENT La TOE doit générer des clés de chiffrement
conformément aux exigences pour le niveau de
robustesse standard des référentiels cryptographiques
[CRYPTO_STD] et [CLES_STD] de l‟ANSSI.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
23/68
4.1.3. Gestion
O.RECOUVREMENT La TOE doit permettre d‟affecter des clés d‟accès de
recouvrement.
O.AUDIT La TOE doit générer des événements en rapport avec son
fonctionnement dès la phase de contrôle d‟accès.
4.1.4. Protections lors de l’exécution
O.HIBERNATION La TOE doit chiffrer le fichier hibernation et imposer
l‟authentification de l‟utilisateur à la sortie de la veille
prolongée.
O.ARRET_UTILISATEUR La TOE doit rendre inaccessibles les données sensibles,
en particulier les clés cryptographiques, lorsque
l‟utilisateur arrête le poste de travail.
O.ROBUSTESSE L'arrêt subit (intempestif) de la TOE (de l'équipement,
du disque) ne doit pas permettre d'accéder aux
données sensibles. Par ailleurs toute opération de
chiffrement, déchiffrement ou transchiffrement en
cours doit être reprise après l‟authentification
utilisateur puis finalisée sans perte de donnée.
Note d'application
Cet objectif assure que, hors du cadre de
fonctionnement nominal, la TOE n'enregistre pas en
clair de façon persistante des données qui sont
censées être chiffrées. En effet, un arrêt brutal de la
TOE peut survenir avant le vol ou la copie de l'image.
Dans ce cas, le support serait susceptible de contenir
des données utilisateur non chiffrées.
4.2. Objectifs de sécurité pour l’environnement
opérationnel
4.2.1. Utilisation
OE.ENV_OPERATIONNEL.1 Lorsque l'utilisateur est authentifié,
l'environnement opérationnel doit assurer la
confidentialité des données sensibles, des clés et
des données d'authentification.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
24/68
L'équipement doit apporter des protections
efficaces contre l'écoute illicite et la transmission
non autorisée de données (pare-feu correctement
configuré, antivirus avec base de données à jour,
«anti-spyware», etc.).
Les applications installées sur l'équipement ne
doivent pas perturber le bon fonctionnement de la
TOE. Ainsi, les opérations que peut faire
l'utilisateur sur les fichiers protégés par la TOE,
surtout au travers de ses applications, ne doivent
pas entraîner de copies totales ou partielles de ces
fichiers en dehors de la TOE, sauf lorsqu'il l'a
clairement demandé ou lorsque c'est une
conséquence claire de l'opération demandée. La
configuration de la machine/système/compte
utilisateur/application doit confiner les fichiers
protégés au sein même de la TOE, notamment en
ce qui concerne les fichiers temporaires ou de
travail des applications.
L‟environnement doit fournir un système
d‟horodatage fiable qui permettant de dater
précisément les événements enregistrés dans le
journal.
OE.ENV_OPERATIONNEL.2 L'utilisateur ne doit accéder à ses données
sensibles que lorsqu'il se trouve dans un
environnement de confiance (lorsqu'il se trouve
seul ou avec des personnes ayant le besoin d'en
connaître).
OE.SO_CONF Les administrateurs de la TOE doivent être des
personnes de confiance.
OE.CONSERV_CLES Les utilisateurs doivent conserver, dans un lieu
sûr, les clés d‟accès qui leur ont été transmises par
un administrateur de la TOE et empêcher leur
divulgation. L‟administrateur de la TOE doit
conserver ses clés de recouvrement dans un lieu
sûr et empêcher leur divulgation.
OE.NON_REMANENCE_1 Les mémoires de travail utilisées par la machine
qui exécute le produit ne doivent pas être
rémanentes par construction.
OE.NON_REMANENCE_2 L'environnement opérationnel de la TOE
implémente des mesures pour éviter la
réutilisation de la rémanence des mémoires lors de
l'arrêt de la machine dans laquelle s'exécute
l'application de chiffrement de disque.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
25/68
4.2.2. Formation des utilisateurs
OE.FORMATION Les utilisateurs de la TOE doivent être formés à
l‟utilisation de la TOE et sensibilisés à la sécurité
informatique (ceci prend en compte la
sensibilisation sur la qualité des clés d‟accès et de
leur support lorsqu‟elles sont hébergées par un
porte-clés). Les administrateurs de la TOE doivent
recevoir une formation adaptée à cette fonction.
OE.CRYPTO_EXT Les administrateurs de la TOE doivent être
sensibilisés sur la qualité des clés d'accès qu'ils
apportent à la TOE afin que ces clés soient
conformes à l'état de l'art dans leur
implémentation. Ils doivent également être
sensibilisés à la qualité du support de ces clés
lorsqu'elles sont hébergées par un porte-clés
externe.
4.2.3. Administration
OE.CERTIFICATS L‟administrateur de la TOE est chargé de mettre en
œuvre des procédures organisationnelles assurant
la protection des certificats lors de leur remise aux
utilisateurs. Il est également chargé, lors de la
fourniture des clés d‟accès possédant un certificat
X509, vérifier la validité de ces certificats et leur
adéquation avec l'usage qui en est fait par la TOE.
Cette exigence s'applique en particulier aux
certificats racines dits «authenticode» à partir
desquels la vérification d'intégrité de la TOE peut
être effectuée.
OE.ADM_ROOT_WINDOWS Les administrateurs Windows sont des personnes
de confiance.
Les administrateurs de plus haut niveau du
domaine Windows doivent interdire aux
administrateurs des sous-niveaux (domaines,
contrôleurs de domaines, postes de travail) la
modification des « policies » de la TOE. De même,
les administrateurs de la TOE ne peuvent modifier
les « policies ». En conséquence, ces
administrateurs de plus haut niveau doivent eux-
mêmes être des personnes de confiance.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
26/68
5. Exigences de sécurité
5.1. Exigences de sécurité fonctionnelles
Dans les exigences de sécurité fonctionnelles, les deux termes suivants sont utilisés
pour désigner un raffinement:
 Raffiné éditorialement (terme défini dans le [CC1]): raffinement dans lequel
une modification mineure est faite sur un élément d'exigence, telle que la
reformulation d'une phrase pour des raisons de respect de la grammaire
anglaise. En aucun cas, cette modification ne doit changer la signification de
l'exigence.
 Raffinement non éditorial: raffinement qui permet d'ajouter des précisions ou
de limiter l'ensemble des implémentations acceptables pour un élément
d'exigence.
Le modèle des exigences fonctionnelles de sécurité (SFR) est résumé dans la figure
2.
Sujets
Les exigences fonctionnelles de sécurité (SFR) font référence aux sujets suivants:
Sujet Attribut de sécurité Valeurs possibles
S.API AT.ROLE U.USER, U.ADMIN
S.DISK Statut du disque (AT.STATUS) ACTIVATED/DEACTIVATED
S.DISK Identifiant Disque (AT.ID) Méthode d‟identification propriétaire
Remarque: Dans le modèle de SFR, la convention suivante a été utilisée: l'attribut
AT.X du sujet Y est appelé Y.X.
Les termes « DISK » et « disque » sont utilisées pour conserver le
vocabulaire du profil de protection [CDISK] mais ces termes génériques
désignent en fait un ensemble disque + partition (et pour les systèmes
mono disque, qui constituent la plupart des cas d’utilisation, simplement la
partition du disque).
Chaque disque géré par la TOE est représenté par un sujet S.DISK maintenant un
attribut de sécurité AT.STATUS qui reflète le fait que ce dernier est activé ou
désactivé. Le disque n'est activé que lorsqu'un utilisateur authentifié s'est associé
(binding) à ce sujet. Le sujet générique S.API correspond au point d'entrée,
accessible à toutes les applications de la machine hôte, permettant d'accéder aux
données d'un disque activé (avec le rôle utilisateur ou le rôle administrateur défini
lors de la phase d‟authentification).
Dans la suite de la cible de sécurité, la TSF jouera le rôle d‟un sujet mais, par
définition, elle ne doit pas apparaître dans le tableau ci-dessus.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
27/68
Objets
Les exigences fonctionnelles de sécurité (SFR) font référence aux objets suivants:
Objet Attribut de sécurité Valeurs possibles
S.DISK cf. Sujets cf. Sujets
Clé de chiffrement (OB.KEY) Identifiant disque associé (AT.ID) Méthode d‟identification
propriétaire
Données utilisateur chiffrées (OB.UD) Identifiant disque associé (AT.ID) Méthode d‟identification
propriétaire
Données d‟Authentification (OB.AD) Identifiant disque associé (AT.ID) Méthode d‟identification
propriétaire
Données d‟Authentification (OB.AD) Identifiant utilisateur (AT.LOGIN) Nom de login
Données d‟Authentification (OB.AD) Secret utilisateur
(AT.SECRET)
Secret utilisateur (mot
de passe ou clé privée)
Remarque: Dans le modèle de SFR, la convention suivante a été utilisée: l'attribut
AT.X de l'objet Y est appelé Y.X.
Les sujets S.DISK sont aussi des objets, en ce sens il existe des opérations dont les
objets sont des S.DISK.
Une clé de chiffrement correspond implicitement à un disque. Ainsi, l'enregistrement
des données utilisateur (D.DONNEES_UTILISATEUR) sur un disque, se traduit par la
création ou la modification d'un objet OB.UD dont l'attribut de sécurité Identifiant
disque associé (AT.ID) permet de savoir avec quelle clé (autrement dit, sur quel
disque) les données sont chiffrées. L'objet OB.UD représente donc les mêmes
données que le bien D.DONNEES_UTILISATEUR, mais une fois chiffrées par la TOE.
Les données d„authentification (OB.AD) associées à un disque représentent les
données utilisées pour authentifier l'utilisateur du disque, lorsque celles-ci sont
gérées par la TOE.
Opérations
Les exigences fonctionnelles de sécurité (SFR) font référence aux opérations
suivantes:
Opération Sujet Objet
Création (CREATE) TSF S.DISK, OB.AD, OB.KEY
Activation (MOUNT) S.DISK S.DISK
Désactivation (DISMOUNT) S.API, TSF S.DISK
Accès (ACCESS) S.DISK OB.AD
Utilisation (USE) S.API OB.KEY
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
28/68
Opération Sujet Objet
Gère les accès (MANAGE) S.API OB.AD
Lecture/Écriture/Effacement (DECIPHER/CIPHER/ERASE) S.API OB.UD
L'opération CREATE correspond intuitivement à la création d'un disque: une clé de
chiffrement y est implicitement associée.
Pareillement, la création d'un disque crée aussi (CREATE) des données
d‟authentification (OB.AD) contenant les moyens d'authentifier le possesseur du
disque ultérieurement. L‟administrateur a également la possibilité d‟ajouter et de
supprimer des objets OB.AD relatifs à un disque (MANAGE). La création d‟un disque
crée automatiquement un objet OB.AD particulier correspondant à l‟accès de
recouvrement (configuré dans les politiques de sécurité). Une fois créées, ces
données ne sont manipulables (ACCESS) que par leur créateur, l'opération ACCESS
donnant droit à toutes les opérations sur les données appartenant à l‟utilisateur
(effacement, modification, lecture...).
L'opération MOUNT correspond à l'activation du disque par l'utilisateur. Pour activer
le disque, il doit fournir les données d'authentification OB.AD. La mise en œuvre de
cette opération entraîne une modification de l'attribut de sécurité S.DISK.STATUS
qui prend la valeur ACTIVATED.
L'opération DISMOUNT permet de démonter un disque. La mise en oeuvre de cette
opération entraîne une modification de l'attribut de sécurité S.DISK.STATUS qui
prend la valeur DEACTIVATED.
L'opération USE correspond à l'utilisation d'une clé à des fins de chiffrement ou de
déchiffrement d'un disque. Il s'agit d'une opération « interne » à la TOE qui ne fait
pas partie de l'interface externe de celle-ci.
L'opération DECIPHER correspond à la lecture de données sur un disque géré par la
TOE. La TOE ne lisant des données sur « son » disque que de manière chiffrée, il
s'agit d'une opération cryptographique de déchiffrement.
L'opération CIPHER correspond à l'écriture de données sur un disque géré par la
TOE. La TOE ne n'écrivant des données sur « son » disque que de manière chiffrée, il
s'agit d'une opération cryptographique de chiffrement.
L'opération ERASE correspond à l'effacement de données sur un disque géré par la
TOE.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
29/68
Figure 2 : Résumé de la TSP (l’utilisateur s’authentifie en tant qu’utilisateur
ou administrateur)
Utilisateurs
U.User représente l'utilisateur de la machine dont certaines données sont à protéger
en confidentialité sur le disque.
U.Admin représente l‟administrateur de la TOE.
U.Application représente les applications effectuant les opérations de lecture,
d'écriture et d'effacement en appelant le point d'entrée permettant d'accéder aux
données d'un disque activé.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
30/68
5.1.1. Exigences liées à la journalisation
FAU_GEN.1 Audit data generation
FAU_GEN.1.1 The TSF shall be able to generate an audit record of the following
auditable events:
a) Start-up and shutdown of the audit functions;
b) All auditable events for the minimum level of audit; and
c)
o Partition encryption and decryption ;
o Access management (creation, destruction, modification, recovery)
o Authentication.
FAU_GEN.1.2 The TSF shall record within each audit record at least the following
information:
a) Date and time of the event, type of event, subject identity (if applicable),
and the outcome (success or failure) of the event; and
b) For each audit event type, based on the auditable event definitions of the
functional components included in the PP/ST, no other audit relevant
information.
FAU_GEN.2 User identity association
FAU_GEN.2.1 For audit events resulting from actions of identified users, the TSF
shall be able to associate each auditable event with the identity of the user that
caused the event.
5.1.2. Exigences liées à l'authentification des utilisateurs
FIA_UID.1 Timing of identification
FIA_UID.1.1 The TSF shall allow
o CREATE,
on behalf of the user to be performed before the user is identified.
FIA_UID.1.2 The TSF shall require each user to be successfully identified before
allowing any other TSF-mediated actions on behalf of that user.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
31/68
Raffinement non éditorial:
o TSF-mediated actions include MOUNT, DISMOUNT, MANAGE, USE,
DECIPHER, CIPHER, ERASE and ACCESS.
FIA_UAU.1 Timing of authentication
FIA_UAU.1.1 The TSF shall allow
o CREATE,
on behalf of the user to be performed before the user is authenticated.
FIA_UAU.1.2 The TSF shall require each user to be successfully authenticated
before allowing any other TSF-mediated actions on behalf of that user.
Raffinement non éditorial:
TSF-mediated actions include MOUNT, DISMOUNT, MANAGE, USE, DECIPHER,
CIPHER, ERASE and ACCESS.
The authentication mechanism must meet the ANSSI‟s requirements [AUTH_STD].
Note d'application
L'authentification des utilisateurs peut se faire par une phrase de passe, une clé RSA
hébergée dans un porte-clés comme un fichier de clé, une carte à puce, un token
USB etc.
5.1.3. Exigences liées à la robustesse de la TOE
FPT_FLS.1 Failure with preservation of secure state
FPT_FLS.1.1 The TSF shall preserve a secure state when the following types of
failures occur:
o hot/warm/cold reset of the host machine
o when the host machine is switched off (power shortage or power
cut)
o When the system hibernates
o When the operating system crashes during a partition encryption
(decryption, encryption, key renewal).
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
32/68
5.1.4. Divers
FMT_MSA.3 Static attribute initialisation
FMT_MSA.3.1 The TSF shall enforce the TOE access control policy to provide
restrictive default values for security attributes that are used to enforce the SFP.
Raffinement non éditorial:
The restrictive values of security attributes shall be assigned according to the
following rules:
o Rule STATUS: The TSF shall assign the value DEACTIVATED to the security
attribute AT.STATUS whenever a S.DISK is created.
o Rule VD: Upon creation of an object OB.AD by a subject S.DISK, the TSF
shall assign the value of the attribute AT.ID of S.DISK to the security
attribute AT.ID of OB.AD.
o Rule KEY: Upon creation of an object OB.KEY by a S.DISK, the TSF shall
assign the value of the attribute AT.ID of S.DISK to the security attribute
AT.ID of OB.KEY.
o Rule DU: Upon creation of an object OB.UD, the TSF shall assign the value
referencing the associated encryption key (OB.KEY) to the security
attribute AT.ID of OB.UD.
FMT_MSA.3.2 [Raffiné éditorialement] The TSF shall allow nobody to specify
alternative initial values to override the default values when an object or information
is created.
Note d'application
La valeur de l'attribut de sécurité AT.ID est déterminée par des mécanismes internes
propriétaires.
FMT_MSA.1/Disk_Status Management of security attributes
FMT_MSA.1.1/Disk_Status The TSF shall enforce the TOE access control policy
to restrict the ability to modify the security attributes S.DISK.STATUS to the TSF
itself.
Note d'application
Aucun sujet n'est autorisé à positionner l'attribut de sécurité S.DISK.STATUS à
ACTIVATED.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
33/68
FMT_MSA.1/ID Management of security attributes
FMT_MSA.1.1/ID The TSF shall enforce the TOE access control policy to restrict
the ability to modify the security attributes OB.UD.ID, OB.KEY.ID, OB.AD.ID and
S.DISK.ID to the TSF itself.
Note d'application
Aucun sujet n'est autorisé à positionner les attributs de sécurité OB.UD.ID,
OB.KEY.ID, OB.AD.ID et S.DISK.ID.
FMT_MSA.1/Access_Admin Management of security attributes
FMT_MSA.1.1/ID The TSF shall enforce the TOE access control policy to restrict
the ability to add, modify, delete the security attributes AT.LOGIN and
AT.SECRET to U.ADMIN.
FMT_MSA.1/Access_User Management of security attributes
FMT_MSA.1.1/ID The TSF shall enforce the TOE access control policy to restrict
the ability to change_default, modify the security attributes AT.SECRET to
U.USER.
FMT_SMR.1 Security management roles
FMT_SMR.1.1 The TSF shall maintain the roles U.USER, U.ADMIN and the TSF
itself.
FMT_SMR.1.2 The TSF shall be able to associate users with roles.
FMT_MOF.1 Management of security functions behaviour
FMT_MOF.1.1 The TSF shall restrict the ability to [determine the behaviour of,
modify the behaviour of] the functions [recovery function, access
management] to [U.ADMIN].
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
34/68
FMT_SMF.1 Specification of Management Functions
FMT_SMF.1 The TSF shall be capable of performing the following management
functions:
o Access management
o Recovery function
FDP_ACC.1 Subset access control
FDP_ACC.1.1 The TSF shall enforce the TOE access control policy on subjects,
objects and operations identified by this table:
Subjects TSF, S.API, S.DISK
Objects OB.KEY, OB.UD, OB.AD
Operations CREATE, MOUNT, DISMOUNT, MANAGE, USE, DECIPHER, CIPHER, ERASE
FDP_ACF.1 Security attribute based access control
FDP_ACF.1.1 The TSF shall enforce the TOE access control policy to objects
based on the following:
Type element relevant security attributes(s)
Subjects TSF, S.API, S.DISK AT.ROLE (for S.API), AT.ID, and AT.STATUS (for
S.DISK)
Objects S.DISK, OB.KEY, OB.UD, OB.AD AT.ID, AT.LOGIN and AT.SECRET
FDP_ACF.1.2 The TSF shall enforce the following rules to determine if an operation
among controlled subjects and controlled objects is allowed:
Rule Operation Condition
Rule1 The TSF is allowed to CREATE a
S.DISK and the associated
OB.KEY and OB.AD
no conditition
Rule2 a subject S.DISK is allowed to
MOUNT a S.DISK
The user is authenticated by the TSF based on OB.AD, the values
of security attributes S.DISK.ID and OB.AD.ID are the same and
the value of the security attribute S.DISK.STATUS is DEACTIVATED
Rule3 a subject S.API is allowed to
DISMOUNT a S.DISK
the value of the security attribute S.DISK.STATUS is ACTIVATED
Rule4 a subject S.API is allowed to USE
an object OB.KEY
the values of the security attributes S.DISK.ID and OB.KEY.ID are
the same and the value of the security attribute S.DISK.STATUS is
ACTIVATED
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
35/68
Rule Operation Condition
Rule5 a subject S.API is allowed to
CIPHER, DECIPHER, ERASE an
object OB.UD
the values of the security attributes OB.KEY.ID and OB.UD.ID are
the same and S.API is allowed to USE OB.KEY (cf. Rule4)
Rule6 a subject S.DISK is allowed to
ACCESS an object OB.AD
The user is authenticated by the TSF based on OB.AD and the
values of the security attributes S.DISK.ID and OB.AD.ID are the
same
Rule 7 a subject S.API is allowed to
MANAGE an object OB.AD
(access management)
The user is authenticated by the TSF based on OB.AD and
the value of the security attributes AT.ROLE is U.ADMIN
(AT.LOGIN and AT.SECRET management) or the user is
authenticated by the TSF based on OB.AD and the value of
the security attributes AT.ROLE is U.USER (AT.SECRET
change only).
FDP_ACF.1.3 The TSF shall explicitly authorise access of subjects to objects based
on the following additional rules:
o Rule8: The TSF shall perform DISMOUNT operation on S.DISK after
[reboot, power off or hibernation] provided the value of the
security attribute S.DISK.STATUS is ACTIVATED.
o None.
FDP_ACF.1.4 The TSF shall explicitly deny access of subjects to objects based on
the following additional rules:
o None.
Note d’application
La TSF interdit l‟accès aux données d‟un disque chiffré (CIPHER, DECIPHER et
ERASE) si ce disque n‟a pas été activé par une authentification utilisant l‟objet OB.AD
associé au disque.
FCS_COP.1 Cryptographic operation
FCS_COP.1.1 The TSF shall perform [Hash, encryption, decryption, key
wrapping and unwrapping, key derivation] in accordance with a specified
cryptographic algorithm [SHA-256, RSA and AES] and cryptographic key sizes
[128 to 256 bits symmetric keys, 1536 to 2048 bits asymmetric keys] that
meet the following: ANSSI’s cryptographic requirements ([CRYPTO_STD] and
[CLES_STD]).
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
36/68
FDP_RIP.1 Subset residual information protection
FDP_RIP.1.1 The TSF shall ensure that any previous information content of a
resource is made unavailable upon the deallocation of the resource from the
following objects: cryptographic keys and any sensible user data.
Raffinement non éditorial:
“Resource” stands for any memory (e.g. RAM) and “deallocation” occurs upon
DISMOUNT of the disk by the user.
5.1.5. Exigences liées à la génération de clé
FCS_CKM.1 Cryptographic key generation
FCS_CKM.1.1 The TSF shall generate cryptographic keys in accordance with a
specified cryptographic key generation algorithm [Random number generation
and key derivation] and specified cryptographic key sizes [256 bits (AES keys),
1536 to 2048 bits (RSA keys)] that meet the following: ANSSI’s cryptographic
requirements ([CRYPTO_STD] and [CLES_STD]).
Note d’application
La génération dont il s‟agit peut être une dérivation à partir des données
d‟authentification.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
37/68
5.2. Exigences de sécurité d’assurance
Le niveau d‟assurance de l‟évaluation est EAL3 augmenté de ALC_FLR.3 et
AVA_VAN.3 conformément au processus de qualification de niveau standard défini
dans [QUALIF_STD].
Ce qui correspond à la sélection des composants d‟assurance suivants :
Composant Commentaire
ADV_ARC.1 Security architecture description EAL3
ADV_FSP.3 Functional specification with complete summary EAL3
ADV_TDS.2 Architectural design EAL3
AGD_OPE.1 Operational user guidance EAL3
AGD_PRE.1 Preparative procedures EAL3
ALC_CMC.3 Autorisation controls EAL3
ALC_CMS.3 Implementation representation CM coverage EAL3
ALC_DEL.1 Delivery procedures EAL3
ALC_DVS.1 Identification of security measures EAL3
ALC_FLR.3 Systematic flaw remediation +
ALC_LCD.1 Developer defined life-cycle model EAL3
ASE_CCL.1 Conformance claims EAL3
ASE_ECD.1 Extended components definition EAL3
ASE_INT.1 ST introduction EAL3
ASE_OBJ.2 Security objectives EAL3
ASE_REQ.2 Security requirements EAL3
ASE_SPD.1 Security problem definition EAL3
ASE_TSS.1 TOE summary specification EAL3
ATE_COV.2 Analysis of coverage EAL3
ATE_DPT.1 Testing: basic design EAL3
ATE_FUN.1 Functional testing EAL3
ATE_IND.2 Independent testing – sample EAL3
AVA_VAN.3 Focused vulnerability analysis +
Tableau 2 : Composants d’assurance de sécurité
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
38/68
6. Spécifications globales de la TOE
Les fonctions de sécurité réalisées par la TOE sont décrites dans ce chapitre.
F.AUDIT Audit
Cette fonction de sécurité assure l‟enregistrement des événements liés aux
opérations réalisées par la TOE. La journalisation inclut les événements liés à
l‟authentification (notamment à l‟amorçage) et toutes les commandes
d‟administration, réussies ou non. La journalisation indique l‟utilisateur associé à
chaque événement.
F.OPERATIONS_CRYPTO Implémentation des opérations cryptographiques
Cette fonction de sécurité couvre l‟ensemble des opérations cryptographiques mises
au service des autres fonctions de sécurité et assure que ces opérations sont
réalisées conformément aux exigences de l‟ANSSI.
F.GESTION_DROITS Gestion des droits
Cette fonction de sécurité gère les utilisateurs et les droits qui leur sont associés (on
y distingue les rôles utilisateur et administrateur). Un accès correspond à une clé
d'accès (une clé cryptographique) que possède un utilisateur et permet d'obtenir les
éléments de chiffrement/déchiffrement de la partition. L‟administrateur peut ajouter,
modifier ou détruire des accès, l‟utilisateur ne peut que modifier sa clé d‟accès.
F.CONTROLE_ACCES Contrôle d’accès
Cette fonction de sécurité constitue l‟interface obligatoire pour accéder aux partitions
contrôlées par la TOE. La TSF autorise ou refuse l‟accès à une partition chiffrée sur la
base de la vérification d‟un couple identifiant/authentifiant fourni par l‟utilisateur de
la TOE. Par ailleurs c‟est l‟identifiant qui permet à la TOE de déterminer le rôle
associé et de permettre ou interdire certaines actions (gestion des accès par
exemple).
F.GESTION_PARTITION Gestion des partitions
Cette fonction de sécurité constitue le point d‟entrée des opérations sur les partitions
conformément au plan de chiffrement défini par l‟administrateur sécurité dans les
politiques sécurité (chiffrement, déchiffrement et transchiffrement avec reprise des
opérations sure en cas de problème, affichage des informations sur les partitions).
Cette fonction a par ailleurs en charge l‟initialisation et la gestion des attributs de
sécurité relatifs aux disques/partitions ainsi que l‟association entre une partition
d‟un disque, une clé de chiffrement, les données d‟authentification et les données
utilisateurs.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
39/68
F.GESTION_ARRET Arrêt du système
Cette fonction assure le nettoyage des traces de données sensibles dans la mémoire
(RAM) ou sur le disque dur dès la fin des opérations réalisées et assure qu‟aucune
donnée sensible n‟est disponible après un arrêt brutal. Cette gestion prend
également en compte la protection des données lors du processus d‟hibernation.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
40/68
7. Annonces de conformité à un PP
Cette cible est conforme (conformité démontrable selon la définition dans la Partie 1
des Critères Communs) au profil de protection [CDISK] (configuration « avec
génération de clé »).
La conformité au profil de protection est discutée en annexe.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
41/68
8. Argumentaires
8.1. Objectifs de sécurité / problème de sécurité
8.1.1. Menaces
T.ACCES_DONNEES :
La TOE enregistre sur le disque les données sensibles de l‟utilisateur (bien
D.DONNEES_UTILISATEUR) sous une forme chiffrée (objet OB.UD). La protection du
bien se ramène donc à celle des données chiffrées.
Cette menace est contrée par O.PROTECTION_DES_DONNEES_ENREGISTREES qui
garantit la confidentialité des données enregistrées (chiffrées) sur le disque et par
O.HIBERNATION qui assure le chiffrement du fichier hibernation. O.ROBUSTESSE
contribue également à contrer cette menace en garantissant qu‟aucune donnée
utilisateur n‟est enregistrée, même temporairement, en clair sur le disque.
D‟autre part, O.ARRET_UTILISATEUR garantit que l‟utilisateur peut explicitement
protéger ses données en désactivant le disque sur lequel elles sont stockées.
Enfin, O.CRYPTO garantit que les fonctions de cryptographie mises en œuvre et la
gestion des clés cryptographiques utilisées empêchent l‟accès non autorisé aux
données du disque par cryptanalyse. La qualité des clés utilisées est assurée par cet
objectif.
O.CLES_CHIFFREMENT garantit la disponibilité des clés cryptographiques ainsi que la
qualité de leur génération (étant capable de générer les clés dont elle a besoin,
suivant les référentiels cryptographiques de la ANSSI, la TOE est sûre qu‟elles seront
disponibles et de qualité) contribuant ainsi à la résistance à la cryptanalyse des
données utilisateurs chiffrées sur le disque.
La qualité de la gestion des clés est garantie par O.CRYPTO.
T.ACCES_MEMOIRES :
Cette menace est couverte par l‟objectif O.ARRET_UTILISATEUR qui garantit
l‟indisponibilité des données sensibles, en particulier dans les mémoires de travail,
après l‟arrêt de l‟application par l‟utilisateur.
8.1.2. Politiques de sécurité organisationnelles (OSP)
OSP.DISQUE :
Cette OSP est couverte par O.PROTECTION_DES_DONNEES_ENREGISTREES qui
assure l‟authentification utilisateur pour l‟accès aux données sensibles, O.CRYPTO et
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
42/68
O.CLES_CHIFFREMENT qui garantissent l‟utilisation de fonctions cryptographiques
conforme au niveau de robustesse visé.
OSP.ACCES :
Cette OSP est couverte par O.PROTECTION_DES_DONNEES_ENREGISTREES qui fait
en sorte que seule une clé d‟accès valide puisse permettre de retrouver les clés de
chiffrement des partitions permettant l‟accès à l‟environnement de travail chiffré et
par O.AUDIT qui trace tous les échecs d‟authentification dans le journal des
événements.
OSP.ADMIN_ACCES :
Cette OSP est couverte par O.ACCES qui offre une interface permettant de visualiser
et gérer les accès. La gestion des accès est assujettie à une authentification réussie
(O.PROTECTION_DES_DONNEES_ENREGISTREES) et tracés dans le journal des
événements (O.AUDIT).
OSP.RECOUVREMENT :
Cette OSP est couverte par O.RECOUVREMENT qui assure l‟affectation de clés de
recouvrement. Le recouvrement est uniquement réservé au rôle Administrateur de la
TOE (géré par O.ROLES) et assujettie à une authentification réussie de celui-ci
(O.PROTECTION_DES_DONNEES_ENREGISTREES). L‟opération est tracée dans le
journal des événements (O.AUDIT).
OSP.HIBERNATION :
Cette OSP est couverte par O.HIBERNATION qui garantit la confidentialité du fichier
d‟hibernation (chiffrement assuré par O.CRYPTO) et impose l‟authentification
utilisateur pour y accéder (gérée par
O.PROTECTION_DES_DONNEES_ENREGISTREES).
OSP.REPRISE :
Cette OSP est directement couverte par O.ROBUSTESSE qui assure la finalisation
correcte des opérations de chiffrement (déchiffrement, transchiffrement) après une
coupure brutale.
OSP.AUDIT :
Cette OSP est directement couverte par O.AUDIT qui garantit la journalisation de
tous les événements de sécurité. OE.ENV_OPERATIONNEL.1 fournit l‟horodatage
appliqué aux enregistrements.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
43/68
OSP.CRYPTO :
Cette OSP est directement couverte par les objectifs O.CRYPTO et
O.CLES_CHIFFREMENT.
OSP.NON_REMANENCE_2 :
Cette politique organisationnelle est directement couverte par l‟objectif
OE.NON_REMANENCE_2 qui garantit l‟implémentation des mesures contre la
rémanence par l‟environnement opérationnel.
8.1.3. Hypothèses
A.NON_OBSERV :
Cette hypothèse est directement couverte par OE.ENV_OPERATIONNEL.2 qui
garantit la prise de précaution lors de la saisie des secrets utilisateur.
A.ENV_OPERATIONNEL :
Cette hypothèse est directement couverte par OE.ENV_OPERATIONNEL.1 et
OE.ENV_OPERATIONNEL.2.
Lorsque la TOE est en fonctionnement et qu‟un utilisateur légitime a activé un
disque, les applications du poste client sont susceptibles de manipuler librement les
données que celui-ci contient. L‟objectif OE.ENV_OPERATIONNEL.1 assure que
celles-ci ne créent pas de copies de ces données sur le même support que le disque
à l‟insu de l‟utilisateur, et que, de manière générale, le poste client ne peut être à la
source d‟une perte de confidentialité des données. Par ailleurs
OE.ENV_OPERATIONNEL.1 apporte l‟horodatage nécessaire à la journalisation des
événements.
OE.ENV_OPERATIONNEL.2 assure que les utilisateurs légitimes sont conscients et
formés aux bonnes pratiques de sécurité afin qu‟ils n‟accèdent à leurs données
sensibles que lorsqu‟ils se trouvent dans un environnement de confiance. Ils
participent donc à la confiance que l‟on peut porter à l‟environnement opérationnel
de la TOE.
A.NON_REMANENCE_1 :
Cette hypothèse est directement couverte par OE.NON_REMANENCE_1 qui garantit
l‟absence de rémanence dans les mémoires de travail du produit.
A.CONFIANCE_ADM_TOE :
Les objectifs OE.SO_CONF et OE.FORMATION couvrent directement cette hypothèse
en employant des personnes de confiance et en leur apportant la formation
nécessaire.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
44/68
A.CONSERVATION_CLES :
Les objectifs OE.CONSERV_CLES et OE.FORMATION couvrent cette hypothèse en
responsabilisant et en sensibilisant les utilisateurs et les administrateurs.
A.CERTIFICATS :
L‟objectif OE.CERTIFICATS couvre directement cette hypothèse en assurant que
l‟administrateur utilise des procédures organisationnelles adaptées pour la gestion
des certificats.
A.ADMIN_WINDOWS :
L‟objectif OE.ADM_ROOT_WINDOWS couvre directement cette hypothèse en
séparant les rôles des administrateurs Windows des différents niveaux et en
s‟assurant de leur confiance.
A.CRYPTO_EXT :
L‟objectif OE.CRYPTO_EXT couvre directement cette hypothèse en garantissant la
qualité des clés d‟authentification RSA générées et gérées à l‟extérieur de la TOE.
8.1.4. Tables de couverture entre définition du problème
et objectifs de sécurité
Menaces Objectifs de sécurité Argumentaire
T.ACCES_DONNEES O.ROBUSTESSE,
O.PROTECTION_DES_DONNEES_ENREGISTREES,
O.CRYPTO, O.CLES_CHIFFREMENT,
O.ARRET_UTILISATEUR, O.HIBERNATION
Section 8.1.1
T.ACCES_MEMOIRES O.ARRET_UTILISATEUR Section 8.1.1
Tableau 3 Association menaces vers objectifs de sécurité
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
45/68
Objectifs de sécurité Menaces
O.ACCES -
O.PROTECTION_DES_DONNEES_ENREGISTREES T.ACCES_DONNEES
O.ROLES -
O.CRYPTO T.ACCES_DONNEES
O.CLES_CHIFFREMENT T.ACCES_DONNEES
O.RECOUVREMENT -
O.AUDIT -
O.HIBERNATION T.ACCES_DONNEES
O.ARRET_UTILISATEUR T.ACCES_DONNEES, T.ACCES_MEMOIRES
O.ROBUSTESSE T.ACCES_DONNEES
OE.ENV_OPERATIONNEL.1 -
OE.ENV_OPERATIONNEL.2 -
OE.SO_CONF -
OE.CONSERV_CLES -
OE.NON_REMANENCE_1 -
OE.NON_REMANENCE_2 -
OE.FORMATION -
OE.CRYPTO_EXT -
OE.CERTIFICATS -
OE.ADM_ROOT_WINDOWS -
Tableau 4 Association objectifs de sécurité vers menaces
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
46/68
Politiques de sécurité
organisationnelles (OSP)
Objectifs de sécurité Argumentaire
OSP.DISQUE O.PROTECTION_DES_DONNEES_ENREGISTREES,
O.CRYPTO, O.CLES_CHIFFREMENT
Section 8.1.2
OSP.ACCES O.PROTECTION_DES_DONNEES_ENREGISTREES,
O.AUDIT
Section 8.1.2
OSP.ADMIN_ACCES O.ACCES,
O.PROTECTION_DES_DONNEES_ENREGISTREES,
O.AUDIT
Section 8.1.2
OSP.RECOUVREMENT O.RECOUVREMENT, O.ROLES,
O.PROTECTION_DES_DONNEES_ENREGISTREES,
O.AUDIT
Section 8.1.2
OSP.HIBERNATION O.HIBERNATION,
O.PROTECTION_DES_DONNEES_ENREGISTREES,
O.CRYPTO
Section 8.1.2
OSP.REPRISE O.ROBUSTESSE Section 8.1.2
OSP.AUDIT O.AUDIT, OE.ENV_OPERATIONNEL.1 Section 8.1.2
OSP.CRYPTO O.CRYPTO, O.CLES_CHIFFREMENT Section 8.1.2
OSP.NON_REMANENCE_2 OE.NON_REMANENCE_2 Section 8.1.2
Tableau 5 Association politiques de sécurité organisationnelles vers objectifs de
sécurité
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
47/68
Objectifs de sécurité Politiques de sécurité organisationnelles (OSP)
O.ACCES OSP.ADMIN_ACCES
O.PROTECTION_DES_DONNEES_ENREGISTREES OSP.DISQUE, OSP.ACCES, OSP.ADMIN_ACCES,
OSP.RECOUVREMENT, OSP.HIBERNATION
O.ROLES OSP.RECOUVREMENT
O.CRYPTO OSP.CRYPTO, OSP.DISQUE, OSP.HIBERNATION
O.CLES_CHIFFREMENT OSP.CRYPTO, OSP.DISQUE
O.RECOUVREMENT OSP.RECOUVREMENT
O.AUDIT OSP.ACCES, OSP.AUDIT OSP.ADMIN_ACCES,
OSP.RECOUVREMENT
O.HIBERNATION OSP.HIBERNATION
O.ARRET_UTILISATEUR -
O.ROBUSTESSE OSP.REPRISE
OE.ENV_OPERATIONNEL.1 OSP.AUDIT
OE.ENV_OPERATIONNEL.2 -
OE.SO_CONF -
OE.CONSERV_CLES -
OE.NON_REMANENCE_1 -
OE.NON_REMANENCE_2 OSP.NON_REMANENCE_2
OE.FORMATION -
OE.CRYPTO_EXT -
OE.CERTIFICATS -
OE.ADM_ROOT_WINDOWS -
Tableau 6 Association objectifs de sécurité vers politiques de sécurité
organisationnelles
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
48/68
Hypothèses Objectifs de sécurité pour l’environnement
opérationnel
Argumentaire
A.NON_OBSERV OE.ENV_OPERATIONNEL.2 Section 8.1.3
A.ENV_OPERATIONNEL OE.ENV_OPERATIONNEL.1, OE.ENV_OPERATIONNEL.2 Section 8.1.3
A.NON_REMANENCE_1 OE.NON_REMANENCE_1 Section 8.1.3
A.CONFIANCE_ADM_TOE OE.SO_CONF, OE.FORMATION Section 8.1.3
A.CONSERVATION_CLES OE.CONSERV_CLES, OE.FORMATION Section 8.1.3
A.CERTIFICATS OE.CERTIFICATS Section 8.1.3
A.ADMIN_WINDOWS OE.ADM_ROOT_WINDOWS Section 8.1.3
A.CRYPTO_EXT OE.CRYPTO_EXT Section 8.1.3
Tableau 7 Association hypothèses vers objectifs de sécurité pour l’environnement
opérationnel
Objectifs de sécurité pour
l’environnement opérationnel
Hypothèses
OE.ENV_OPERATIONNEL.1 A.ENV_OPERATIONNEL
OE.ENV_OPERATIONNEL.2 A.ENV_OPERATIONNEL, A.NON_OBSERV
OE.SO_CONF A.CONFIANCE_ADM_TOE
OE.CONSERV_CLES A.CONSERVATION_CLES
OE.NON_REMANENCE_1 A.NON_REMANENCE_1
OE.NON_REMANENCE_2 -
OE.FORMATION A.CONFIANCE_ADM_TOE, A.CONSERVATION_CLES
OE.CERTIFICATS A.CERTIFICATS
OE.ADM_ROOT_WINDOWS A.ADMIN_WINDOWS
OE.CRYPTO_EXT A.CRYPTO_EXT
Tableau 8 Association objectifs de sécurité pour l’environnement opérationnel vers
hypothèses
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
49/68
8.2. Exigences de sécurité / objectifs de sécurité
8.2.1. Objectifs
O.ACCES :
La TOE offre des fonctions de gestions des accès (FMT_SMF.1) basée sur des
attributs de sécurité gérés conformément à FMT_MSA.1/Access_Admin et
FMT_MSA.1/Access_User.
La TOE limite l‟accès à ces fonctions de gestion des accès en fonction du rôle associé
aux utilisateurs (FMT_SMR.1) et de la politique d‟accès (FDP_ACC.1 et FDP_ACF.1).
Toutes les opérations sur les accès sont journalisées (FAU_GEN.1 et FAU_GEN.2).
O.ROLES :
La TOE doit gérer et distinguer les rôles d‟administrateur de la TOE et d‟utilisateur de
la TOE (FMT_SMR.1) et restreindre certaines actions en fonction de ces rôles
(FMT_MOF.1).
Le rôle est déterminé par la TOE lors de la phase de contrôle d‟accès (FDP_ACC.1 et
FDP_ACF.1) en fonction de l‟identification de la personne s‟authentifiant (FIA_UID.1).
O.ARRET_UTILISATEUR :
Cet objectif est couvert par les exigences définissant la politique de contrôle d‟accès
FDP_ACC.1, FDP_ACF.1 et d‟indisponibilité des données résiduelles FDP_RIP.1 qui
assurent que :
o Un utilisateur peut explicitement désactiver un disque,
o La désactivation protège effectivement les données puisque, en vertu de la
politique de contrôle d‟accès de la TOE, les données d‟un disque ne sont
accessibles que si le statut du disque est ACTIVATED,
o La désactivation du disque par l‟utilisateur entraîne l‟effacement des
données sensibles.
O.CRYPTO :
Cet objectif est couvert par FCS_COP.1, qui assure que toutes les opérations
cryptographiques doivent obéir aux exigences des référentiels cryptographiques de
l‟ANSSI pour le niveau de robustesse standard ([CRYPTO_STD] et [CLES_STD]). Les
opérations de chiffrement, déchiffrement et transchiffrement sont journalisées
(FAU_GEN.1 et FAU_GEN.2).
O.PROTECTION_DES_DONNEES_ENREGISTREES :
La TOE enregistre sur le disque les données sensibles de l‟utilisateur
(D.DONNEES_UTILISATEUR) sous une forme chiffrée (objet OB.UD). La protection
du bien se ramène donc à la protection de celles-ci.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
50/68
Le contrôle d‟accès (FDP_ACC.1 et FDP_ACF.1) assure que les seuls objets
accessibles à un instant donné sont associés à un disque activé. Ce contrôle impose
par ailleurs le chiffrement des données utilisateurs enregistrées sur le disque (sans
lequel la protection ne saurait être efficace).
D‟autre part, les exigences liées à l‟authentification obligatoire d‟un utilisateur avant
l‟activation d‟un disque (FIA_UID.1 et FIA_UAU.1) assurent que seul l‟utilisateur
légitime contrôle l‟accès aux données qui y sont enregistrées. Toute tentative
d‟authentification (succès ou échec) est journalisée (FAU_GEN.1 et FAU_GEN.2).
Enfin, l‟association définitive, à un disque donné (S.DISK), des données sensibles de
l‟utilisateur enregistrées (OB.UD) et des données d‟authentification (OB.AD, OB.KEY)
permettant son authentification, évite les « fuites » d‟information d‟un disque à
l‟autre sans que les disques soient activés. En effet, tous ces objets et sujets sont
reliés par un attribut de sécurité AT.ID fixé une fois pour toutes lors de leur création
(FMT_MSA.3, FMT_MSA.1/Disk_Status et FMT_MSA.1/ID).
O.ROBUSTESSE :
Cet objectif est couvert par les exigences qui assurent que toute interruption de la
TOE, fortuite (FPT_FLS.1), automatique ou délibérée (FDP_ACF.1), laissent la TOE,
et surtout les données qu‟elle protège, dans un état robuste, à savoir un état où les
disques concernés sont désactivés ; autrement dit, les clés de chiffrement ne sont
plus accessibles hors-fonctionnement. Dans le cas d‟un arrêt brusque lors du
chiffrement (déchiffrement/transchiffrement) en cours d‟une partition (chiffrement
initial notamment), FPT_FLS.1 assure également que l‟état permettra de reprendre
l‟opération sans perte de données utilisateur.
O.RECOUVREMENT :
La TOE doit permettre de restreindre aux administrateurs (rôle défini dans
FMT_SMR.1) la fonction de recouvrement spécifiée dans (FMT_SMF.1). Cette
opération quand elle a lieu est journalisée (FAU_GEN.1 et FAU_GEN.2).
O.AUDIT :
La TOE, lors des opérations de gestion et d‟utilisation du produit, doit générer des
événements dans le journal d‟audit du système d‟exploitation (FAU_GEN.1) et
associer l‟identité de l‟utilisateur à chaque événement inscrit dans ce journal
(FAU_GEN.2).
O.HIBERNATION :
Pendant la phase d‟hibernation proprement dite, cet objectif est couvert par
FCS_COP.1 qui réalise le chiffrement du fichier hibernation et par FDP_RIP.1 qui
assure la destruction des données résiduelles. Au réveil, l‟accès aux données est
conditionné par l‟authentification utilisateur assurée par Le contrôle d‟accès
(FDP_ACC.1 et FDP_ACF.1)
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
51/68
O.CLES_CHIFFREMENT :
Cet objectif est directement couvert par l‟exigence FCS_CKM.1.
8.2.2. Tables de couverture entre objectifs et exigences de
sécurité
Objectifs de sécurité Exigences fonctionnelles pour la TOE Argumentaire
O.ACCES FMT_SMR.1, FMT_SMF.1, FAU_GEN.1,
FAU_GEN.2, FDP_ACC.1, FDP_ACF.1,
FMT_MSA.1/Access_Admin,
FMT_MSA.1/Access_User
Section 8.2.1
O.ROLES FMT_SMR.1, FMT_MOF.1, FDP_ACC.1,
FDP_ACF.1, FIA_UID.1
Section 8.2.1
O.ARRET_UTILISATEUR FDP_ACC.1, FDP_ACF.1, FDP_RIP.1 Section 8.2.1
O.CRYPTO FCS_COP.1, FAU_GEN.1, FAU_GEN.2 Section 8.2.1
O.PROTECTION_DES_DONNEES_ENREGISTREES FDP_ACF.1, FIA_UID.1, FIA_UAU.1, FMT_MSA.3,
FMT_MSA.1/Disk_Status, FMT_MSA.1/ID,
FDP_ACC.1, FAU_GEN.1, FAU_GEN.2
Section 8.2.1
O.ROBUSTESSE FPT_FLS.1, FDP_ACF.1 Section 8.2.1
O.RECOUVREMENT FMT_SMR.1, FMT_SMF.1, FAU_GEN.1,
FAU_GEN.2,
Section 8.2.1
O.AUDIT FAU_GEN.1, FAU_GEN.2 Section 8.2.1
O.HIBERNATION FCS_COP.1, FDP_RIP.1, FDP_ACC.1, FDP_ACF.1 Section 8.2.1
O.CLES_CHIFFREMENT FCS_CKM.1 Section 8.2.1
Tableau 9 Association objectifs de sécurité de la TOE vers les exigences
fonctionnelles
Exigences fonctionnelles
pour la TOE
Objectifs de sécurité
FAU_GEN.1 O.ACCES, O.CRYPTO, O.AUDIT, O.PROTECTION_DES_DONNEES_ENREGISTREES,
O.RECOUVREMENT
FAU_GEN.2 O.ACCES, O.CRYPTO, O.AUDIT, O.PROTECTION_DES_DONNEES_ENREGISTREES,
O.RECOUVREMENT
FIA_UID.1 O.PROTECTION_DES_DONNEES_ENREGISTREES, O.ROLES
FIA_UAU.1 O.PROTECTION_DES_DONNEES_ENREGISTREES
FPT_FLS.1 O.ROBUSTESSE
FMT_MSA.3 O.PROTECTION_DES_DONNEES_ENREGISTREES
FMT_MSA.1/Disk_Status O.PROTECTION_DES_DONNEES_ENREGISTREES
FMT_MSA.1/ID O.PROTECTION_DES_DONNEES_ENREGISTREES
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
52/68
Exigences fonctionnelles
pour la TOE
Objectifs de sécurité
FMT_MSA.1/Access_Admin O.ACCES
FMT_MSA.1/Access_User O.ACCES
FMT_SMR.1 O.ACCES, O.ROLES, O.RECOUVREMENT
FMT_MOF.1 O.ROLES
FMT_SMF.1 O.ACCES, O.RECOUVREMENT
FDP_ACC.1 O.ARRET_UTILISATEUR, O.PROTECTION_DES_DONNEES_ENREGISTREES,
O.HIBERNATION, O.ROLES, O.ACCES
FDP_ACF.1 O.ARRET_UTILISATEUR, O.PROTECTION_DES_DONNEES_ENREGISTREES,
O.ROBUSTESSE, O.HIBERNATION, O.ROLES, O.ACCES
FCS_COP.1 O.CRYPTO, O.HIBERNATION
FDP_RIP.1 O.ARRET_UTILISATEUR, O.HIBERNATION
FCS_CKM.1 O.CLES_CHIFFREMENT
Tableau 10 Association exigences fonctionnelles vers objectifs de sécurité de la TOE
8.3. Spécifications globales / Exigences de sécurité
8.3.1. Exigences de sécurité
FAU_GEN.1 :
La TOE permet de générer des données d‟audit à partir des événements suivants:
o Les opérations diverses sur les partitions : chiffrement, déchiffrement,
transchiffrement, reprise après coupure brutale (F.GESTION_PARTITION),
o Les opérations relatives aux accès : succès et échec d‟authentification
(F.CONTROLE_ACCES), modification des accès (F.GESTION_DROITS).
o Les opérations cryptographiques nécessaires au fonctionnement de la TOE
(F.OPERATIONS_CRYPTO)
Ces données sont ensuite enregistrées dans le journal d‟audit du système
(F.AUDIT).
FAU_GEN.2 :
C‟est F.AUDIT qui gère l‟association entre l‟événement et l‟utilisateur associé. Pour
cela la TOE s‟appuie sur F.CONTROLE_ACCES qui collecte l‟identifiant de l‟utilisateur
lors de la phase d‟authentification.
FIA_UID.1 :
Cette exigence fonctionnelle est implémentée par F.CONTROLE_ACCES qui contrôle
l‟accès aux partitions permises et affecte le rôle en fonction de l‟identifiant
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
53/68
utilisateur. F.GESTION_DROITS intervient également en implémentant la fonction de
gestion des utilisateurs et de leurs droits associés et donc en particulier des
identifiants (création, suppression).
FIA_UAU.1 :
Pour chaque authentification, les utilisateurs doivent présenter une clé d‟accès
valide.
Cette exigence fonctionnelle est implémentée par F.CONTROLE_ACCES qui contrôle
l‟accès aux partitions permises à partir du secret fourni par l‟utilisateur.
F.GESTION_DROITS intervient également en implémentant la fonction de gestion
des utilisateurs (création, suppression, changement du secret).
FPT_FLS.1 :
La non accessibilité des données sensibles en mémoire ou sur le disque après une
interruption brutale (coupure de courant par exemple) ou volontaire (hibernation ou
arrêt par l‟utilisateur) est entièrement contrôlé par F.GESTION_ARRET qui assure la
protection des données sensibles de la TOE et de l‟utilisateur après l‟arrêt du
système hôte. Cette fonction assure également la reprise sans perte de données des
opérations cryptographiques de chiffrement (déchiffrement/transchiffrement) d‟une
partition, notamment le chiffrement initial, survenant après une coupure.
FMT_MSA.3:
L‟initialisation des attributs de sécurité relatifs aux partitions des disques ainsi que
l‟association entre la partition d‟un disque, une clé de chiffrement, les données
d‟authentification et les données utilisateurs est entièrement assuré par
F.GESTION_PARTITION.
FMT_MSA.1/Disk status:
La gestion des attributs de sécurité relatifs aux partitions des disques est
entièrement assuré par F.GESTION_PARTITION qui garantit que seul la TSF peut
manipuler ces attributs (et donc en particulier S.DISK.STATUS).
FMT_MSA.1/ID:
L‟association entre une partition d‟un disque, une clé de chiffrement, les données
d‟authentification et les données utilisateurs est entièrement assuré par
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
54/68
F.GESTION_PARTITION qui garantit que seul la TSF peut manipuler ces attributs.
FMT_MSA.1/Access_Admin :
La gestion des accès par l‟administrateur est assurée par F.GESTION_DROITS qui lui
permet de créer, de supprimer voire de modifier les accès des utilisateurs.
FMT_MSA.1/Access_User :
La gestion de son propre accès par l‟utilisateur est assurée par F.GESTION_DROITS
qui lui permet de modifier son secret (cette modification peut notamment s‟effectuer
sur une base temporelle imposée par la politique sécurité).
FMT_SMR.1:
La TOE supporte les rôles utilisateur et administrateur (ainsi que la TSF pour la
gestion des attributs associés aux partitions).
Cette exigence est entièrement implémentée par F.GESTION_DROITS qui gère les
utilisateurs et de leurs droits associés ainsi que par F.GESTION_PARTITION qui
détermine les actions de la TSF sur les partitions.
FMT_MOF.1:
Seuls les administrateurs de la TOE peuvent déterminer puis modifier le
comportement des fonctions de recouvrement, de gestion des accès et de
chiffrement des partitions.
La modification des accès (y compris l‟accès de recouvrement) est assurée par
F.GESTION_DROITS. F.CONTROLE_ACCES assure que seul l‟administrateur accède
aux fonctions correspondantes.
FMT_SMF.1:
La TOE permet de réaliser :
o Les fonctions de gestion des accès
o La fonction de recouvrement
Cette exigence fonctionnelle est implémentée par la fonction de sécurité
F.GESTION_DROITS (le recouvrement est un accès particulier).
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
55/68
FDP_ACC.1:
La politique de contrôle d‟accès (rôles et opérations permises) est définie par
F.GESTION_DROITS et implémentée par F.CONTROLE_ACCES.
FDP_ACF.1:
Les règles régissant la politique de contrôle d‟accès sont entièrement définies par
F.GESTION_DROITS et implémentées par F.CONTROLE_ACCES.
FCS_COP.1:
La fonction de sécurité F.OPERATIONS_CRYPTO implémente les opérations
cryptographiques mises au service des autres fonctions :
o Chiffrement, déchiffrement et transchiffrement des partitions
o Enveloppement (wrapping) et désenveloppement (unwrapping) des clés de
chiffrement par des clés AES ou des clés publiques RSA
o Dérivation de clé (accès par mot de passe)
FDP_RIP.1:
Le démontage du disque (au sens de [CDISK], en fait la fermeture de la session)
s‟accompagne d‟un effacement des données sensibles en mémoire.
La fonction de sécurité F.GESTION_ARRET assure la destruction des données
sensibles de la TOE et de l‟utilisateur en mémoire RAM lors de la fermeture de la
session par l‟utilisateur.
FCS_CKM.1:
A chaque partition chiffrée est associée une clé de chiffrement (AES). Cette clé est
tirée lors de la création du premier accès utilisateur.
A chaque clé accès par mot de passe, une clé cryptographique est générée (dérivée)
par la TOE.
La fonction de sécurité F.OPERATIONS_CRYPTO implémente cette exigence
fonctionnelle.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
56/68
8.3.2. Tables de couverture entre exigences fonctionnelles
de sécurité et spécifications globales
Exigences fonctionnelles de sécurité Spécifications globales Argumentaire
FAU_GEN.1 F.GESTION_PARTITION,
F.CONTROLE_ACCES,
F.GESTION_DROITS,
F.OPERATIONS_CRYPTO, F.AUDIT
Section 8.3.1
FAU_GEN.2 F.CONTROLE_ACCES, F.AUDIT Section 8.3.1
FIA_UID.1 F.CONTROLE_ACCES,
F.GESTION_DROITS
Section 8.3.1
FIA_UAU.1 F.CONTROLE_ACCES,
F.GESTION_DROITS
Section 8.3.1
FPT_FLS.1 F.GESTION_ARRET Section 8.3.1
FMT_MSA.3 F.GESTION_PARTITION Section 8.3.1
FMT_MSA.1/Disk_Status F.GESTION_PARTITION Section 8.3.1
FMT_MSA.1/ID F.GESTION_PARTITION Section 8.3.1
FMT_MSA.1/Access_Admin F.GESTION_DROITS Section 8.3.1
FMT_MSA.1/Access_User F.GESTION_DROITS Section 8.3.1
FMT_SMR.1 F.GESTION_DROITS,
F.GESTION_PARTITION
Section 8.3.1
FMT_MOF.1 F.CONTROLE_ACCES,
F.GESTION_DROITS
Section 8.3.1
FMT_SMF.1 F.GESTION_DROITS Section 8.3.1
FDP_ACC.1 F.CONTROLE_ACCES,
F.GESTION_DROITS
Section 8.3.1
FDP_ACF.1 F.CONTROLE_ACCES,
F.GESTION_DROITS
Section 8.3.1
FCS_COP.1 F.OPERATIONS_CRYPTO Section 8.3.1
FDP_RIP.1 F.GESTION_ARRET Section 8.3.1
FCS_CKM.1 F.OPERATIONS_CRYPTO Section 8.3.1
Tableau 11 Association exigences fonctionnelles vers les spécifications globales
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
57/68
Tableau 12 Association spécifications globales vers exigences fonctionnelles
Spécifications globales Exigences fonctionnelles de sécurité
F.AUDIT FAU_GEN.1, FAU_GEN.2
F.OPERATIONS_CRYPTO FAU_GEN.1, FCS_COP.1, FCS_CKM.1
F.GESTION_DROITS FAU_GEN.1, FIA_UID.1, FIA_UAU.1, FMT_SMR.1, FMT_MOF.1,
FMT_SMF.1, FDP_ACC.1, FDP_ACF.1,
FMT_MSA.1/Access_Admin, FMT_MSA.1/Access_User
F.CONTROLE_ACCES FAU_GEN.1, FAU_GEN.2, FIA_UID.1, FIA_UAU.1, FMT_MOF.1,
FDP_ACC.1, FDP_ACF.1
F.GESTION_PARTITION FAU_GEN.1, FMT_MSA.3, FMT_MSA.1/Disk_Status,
FMT_MSA.1/ID, FMT_SMR.1
F.GESTION_ARRET FPT_FLS.1, FDP_RIP.1
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
58/68
8.4. Exigences d’assurance : plan de gestion des
fournitures
Le tableau ci-dessous indique les références des fournitures permettant de répondre
aux composants d‟assurance Critères Communs sélectionnés. Il faut y ajouter les
documents PRIMX-Cryhod Schéma de Sécurité (PX108261r5) et PRIMX-Cryhod
Implémentation des mécanismes cryptographiques (PX108260r2) qui permettent de
satisfaire au processus de qualification de niveau standard défini par l‟ANSSI dans
[QUALIF_STD].
Exigences d’assurance sécurité Mesure d’assurance
ADV_ARC.1 : Security architecture description PRIMX-Cryhod 1.0 Architecture de sécurité (PX108258r2)
ADV_FSP.3 : Functional specification with complete summary
PRIMX-Cryhod 2.0 Spécifications fonctionnelles
(PX108256r3)
ADV_TDS.2 : Architectural design PRIMX- Cryhod 1.0 Architecture élémentaire (PX108257r2)
AGD_OPE.1 : Operational user guidance
Cryhod 2.0 Guide d‟utilisation FR (PX113301r2)
Cryhod 2.0 Guide d'installation FR (PX113302r2)
AGD_PRE.1 : Preparative procedures
Cryhod 2.0 Guide d‟utilisation FR (PX113301r2)
Cryhod 2.0 Guide d'installation FR (PX113302r2)
ALC_CMC.3 : Authorisation controls
PRIMX-Cryhod 1.0 ALC (PX108262)
PRIMX-Cryhod Infrastructure de Développement
(PX108263r2)
PRIMX-Gestion des documents (PX82127r4)
ALC_CMS.3 : Implementation representation CM coverage PRIMX-Cryhod 2.0 Liste de configuration (PX113309)
ALC_DEL.1 : Delivery procedures
PRIMX-Cryhod Infrastructure de Développement
(PX108263r2)
PRIMX-Génération de versions (PX82128r3)
PRIMX-Emission d'une version (PX82126r5)
ALC_DVS.1 : Identification of security measures PRIMX-Sécurité Développements (PX82129r6)
ALC_FLR.3 : Systematic flaw remediation PRIMX-Support & Corrections (PX82130r4)
ALC_LCD.1 : Developer defined life-cycle model
PRIMX-Cryhod Infrastructure de Développement
(PX108263r2)
ASE_CCL.1 : Conformance claims PRIMX- Cryhod Cible de Sécurité (PX109266) v2r5
ASE_ECD.1 : Extended components definition PRIMX- Cryhod Cible de Sécurité (PX109266) v2r5
ASE_INT.1 : ST introduction PRIMX- Cryhod Cible de Sécurité (PX109266) v2r5
ASE_OBJ.2 : Security objectives PRIMX- Cryhod Cible de Sécurité (PX109266) v2r5
ASE_REQ.2 : Derived security requirements PRIMX- Cryhod Cible de Sécurité (PX109266) v2r5
ASE_SPD.1 : Security problem definition PRIMX- Cryhod Cible de Sécurité (PX109266) v2r5
ASE_TSS.1 : TOE summary specification PRIMX- Cryhod Cible de Sécurité (PX109266) v2r5
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
59/68
Exigences d’assurance sécurité Mesure d’assurance
ATE_COV.2 : Analysis of coverage PRIMX-Cryhod 2.0 documentation de test (PX108259r3)
ATE_DPT.1 : Testing : basic design PRIMX-Cryhod 2.0 documentation de test (PX108259r3)
ATE_FUN.1 : Functional testing PRIMX-Cryhod 2.0 documentation de test (PX108259r3)
ATE_IND.2 : Independent testing – sample N/A
AVA_VAN.3 : Focused vulnerability analysis N/A
Tableau 13 : Association exigences d’assurance sécurité vers les mesures
d’assurance.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
60/68
8.5. Dépendances
8.5.1. Dépendances des exigences de sécurité
fonctionnelles
Exigences Dépendances CC Dépendances Satisfaites
FAU_GEN.1 FPT_STM.1
FAU_GEN.2 FAU_GEN.1 et FIA_UID.1 FAU_GEN.1, FIA_UID.1
FMT_MSA.3 (FMT_MSA.1) et (FMT_SMR.1) FMT_MSA.1/Disk_Status,
FMT_MSA.1/ID, FMT_SMR.1
FMT_MSA.1/Disk_Status (FDP_ACC.1 ou FDP_IFC.1) et (FMT_SMF.1)
et (FMT_SMR.1)
FDP_ACC.1, FMT_SMF.1,
FMT_SMR.1
FMT_MSA.1/ID (FDP_ACC.1 ou FDP_IFC.1) et (FMT_SMF.1)
et (FMT_SMR.1)
FDP_ACC.1, FMT_SMF.1,
FMT_SMR.1
FMT_MSA.1/Access_Admin (FDP_ACC.1 ou FDP_IFC.1) et (FMT_SMF.1)
et (FMT_SMR.1)
FDP_ACC.1, FMT_SMF.1,
FMT_SMR.1
FMT_MSA.1/Access_User (FDP_ACC.1 ou FDP_IFC.1) et (FMT_SMF.1)
et (FMT_SMR.1)
FDP_ACC.1, FMT_SMF.1,
FMT_SMR.1
FMT_MOF.1 FMT_SMF.1 et FMT_SMR.1 FMT_SMF.1, FMT_SMR.1
FMT_SMR.1 FIA_UID.1 FIA_UID.1
FMT_SMF.1 Pas de dépendance Pas de dépendance
FDP_ACC.1 (FDP_ACF.1) FDP_ACF.1
FDP_ACF.1 (FDP_ACC.1) et (FMT_MSA.3) FMT_MSA.3, FDP_ACC.1
FCS_COP.1 (FCS_CKM.1 ou FDP_ITC.1 ou FDP_ITC.2) et
(FCS_CKM.4)
FCS_CKM.1
FDP_RIP.1 Pas de dépendance
FIA_UID.1 Pas de dépendance
FIA_UAU.1 (FIA_UID.1) FIA_UID.1
FPT_FLS.1 Pas de dépendance
FCS_CKM.1 (FCS_CKM.2 ou FCS_COP.1) et (FCS_CKM.4) FCS_COP.1
Tableau 14 Dépendances des exigences fonctionnelles
8.5.1.1 Argumentaire pour les dépendances non satisfaites
La dépendance FPT_STM.1 de FAU_GEN.1 n‟est pas supportée. Le système
d‟horodatage est fourni par l‟environnement de la TOE.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
61/68
La dépendance FCS_CKM.4 de FCS_COP.1 n'est pas supportée. La phase de destruction
des clés n'entre pas dans le périmètre de la TOE; cette exigence n'a donc pas besoin d'être
satisfaite.
La dépendance FCS_CKM.4 de FCS_CKM.1 n'est pas supportée. La phase de destruction
des clés n'entre pas dans le périmètre de la TOE; cette exigence n'a donc pas besoin d'être
satisfaite.
8.5.2. Dépendances des exigences de sécurité d'assurance
Exigences Dépendances CC Dépendances Satisfaites
ADV_ARC.1 (ADV_FSP.1) et (ADV_TDS.1) ADV_FSP.3, ADV_TDS.2
ADV_FSP.3 (ADV_TDS.1) ADV_TDS.2
ADV_TDS.2 (ADV_FSP.3) ADV_FSP.3
AGD_OPE.1 (ADV_FSP.1) ADV_FSP.3
AGD_PRE.1 Pas de dépendance
ALC_CMC.3 (ALC_CMS.1) et (ALC_DVS.1) et (ALC_LCD.1) ALC_CMS.3, ALC_DVS.1, ALC_LCD.1
ALC_CMS.3 Pas de dépendance
ALC_DEL.1 Pas de dépendance
ALC_FLR.3 Pas de dépendance
ALC_DVS.1 Pas de dépendance
ALC_LCD.1 Pas de dépendance
ASE_CCL.1 (ASE_ECD.1) et (ASE_INT.1) et (ASE_REQ.1) ASE_ECD.1, ASE_INT.1, ASE_REQ.2
ASE_ECD.1 Pas de dépendance
ASE_INT.1 Pas de dépendance
ASE_OBJ.2 (ASE_SPD.1) ASE_SPD.1
ASE_REQ.2 (ASE_ECD.1) et (ASE_OBJ.2) ASE_ECD.1, ASE_OBJ.2
ASE_SPD.1 Pas de dépendance
ASE_TSS.1 (ADV_FSP.1) et (ASE_INT.1) et (ASE_REQ.1) ADV_FSP.3, ASE_INT.1, ASE_REQ.2
ATE_COV.2 (ADV_FSP.2) et (ATE_FUN.1) ADV_FSP.3, ATE_FUN.1
ATE_FUN.1 (ATE_COV.1) ATE_COV.2
ATE_IND.2 (ADV_FSP.2) et (AGD_OPE.1) et (AGD_PRE.1) et
(ATE_COV.1) et (ATE_FUN.1)
ADV_FSP.3, AGD_OPE.1, AGD_PRE.1,
ATE_COV.2, ATE_FUN.1
ATE_DPT.1 (ADV_ARC.1) et (ADV_TDS.2) et (ATE_FUN.1) ADV_ARC.1, ADV_TDS.2, ATE_FUN.1
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
62/68
Exigences Dépendances CC Dépendances Satisfaites
AVA_VAN.3 (ADV_ARC.1) et (ADV_FSP.4) et (ADV_IMP.1) et
(ADV_TDS.3) et (AGD_OPE.1) et (AGD_PRE.1) et
(ATE_DPT.1)
ADV_ARC.1, AGD_OPE.1, AGD_PRE.1,
ATE_DPT.1
Tableau 15 Dépendances des exigences d'assurance
8.5.2.1 Argumentaire pour les dépendances non satisfaites
La dépendance ADV_IMP.1 de AVA_VAN.3 n'est pas supportée. Cette
dépendance n'est pas nécessaire conformément à l'EAL requis pour la qualification
standard [QUALIF_STD].
La dépendance ADV_TDS.3 de AVA_VAN.3 n'est pas supportée. Cette
dépendance n'est pas nécessaire conformément à l'EAL requis pour la qualification
standard [QUALIF_STD].
La dépendance ADV_FSP.4 de AVA_VAN.3 n’est pas supportée. Cette
dépendance n‟est pas nécessaire conformément à l‟EAL requis pour la qualification
standard [QUALIF_STD].
8.6. Argumentaire pour l'EAL
Le niveau d'assurance de l'évaluation est EAL3 augmenté de ALC_FLR.3 et
AVA_VAN.3 conformément au processus de qualification de niveau standard défini
dans [QUALIF_STD].
8.7. Argumentaire pour les augmentations à l'EAL
8.7.1. AVA_VAN.3 Focused vulnerability analysis
Augmentation requise par le processus de qualification standard [QUALIF_STD].
8.7.2. ALC_FLR.3 Systematic flaw remediation
Augmentation requise par le processus de qualification standard [QUALIF_STD].
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
63/68
8.8. Argumentaire pour les annonces de conformité à
un PP
Cette cible de sécurité est conforme au profil de protection [CDISK] conformément
aux recommandations de l‟ANSSI pour le niveau standard sur cette classe de
produit.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
64/68
9. Annexe : Conformité au profil de
protection [CDISK]
L‟objectif cette annexe est de détailler, par chapitre, les adaptations effectuées dans
la cible de sécurité par rapport au profil de protection [CDISK]. Pour ne pas
surcharger inutilement la discussion, nous n‟indiquerons pas les mises à jour
nécessaires qui ont dues être faites (remplacement du terme DCSSI par ANSSI, mise
à jour des versions de certains documents ANSSI par exemple).
Nous n‟indiquerons que les modifications apportées, les ajouts (et les assignations)
se traduisent par une police différente aisément identifiable (les éléments du profil
de protection sont en caractères rouges, les ajouts en caractère noir).
9.1. Chapitre 3 : Définition du problème de sécurité
9.1.1. Chapitre 3.1 : Biens
Conformément à la note d‟application, d‟autres biens ont été explicités (données
d‟authentifications, clés de chiffrement dans fichier de fonctionnement …).
9.1.2. Utilisateurs
Suppression de la note d‟application (ci-dessous) qui ne s‟applique pas dans la
mesure où la TOE considère un rôle administrateur :
Note d'application
Le rôle d'administrateur de sécurité en charge de l'installation et de la configuration
de la TOE n'intervient pas dans la problématique de sécurité considérée et le
fonctionnement de la TOE ne manipule donc pas ce rôle. En outre, les rôles
d'administrateur et d'utilisateur peuvent être confondus dans certains produits.
9.1.3. Chapitre 3.3 : Menaces
T.ACCES_DONNEES : Suppression de la Note d'application :
Suivant l'implémentation, l'image du disque peut aussi contenir d'autres biens,
comme certaines clés de chiffrement.
En effet, l‟image du disque ne contient pas de clé de chiffrement en clair. Il a été
cependant précisé que les fichiers de fonctionnement (clés de chiffrement chiffrées)
sont impactés.
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
65/68
9.1.4. Chapitre 3.4 :Politiques de sécurité
organisationnelles (OSP)
Néant
9.1.5. Chapitre 3.5 (PP)/Chapitre 3.3 (cible) : Hypothèses
Suppression du paragraphe 3.5.2 car non applicable dans cette cible. En effet les
clés de chiffrement AES sont générées par la TOE (par contre l‟hypothèse
A.CRYPTO_EXT a été ajoutée pour les clés d‟accès RSA).
9.2. Chapitre 4 : Objectifs de sécurité
9.2.1. Chapitre 4.1 : Objectifs de sécurité pour la TOE
1) Suppression de la sous division du paragraphe (« Objectifs applicables aux deux
configurations », « Objectifs applicables à la configuration avec génération de
clé ») et des mentions relatives aux configurations «sans génération de clé» et
«avec génération de clé».
2) Modification de O.ARRET_UTILISATEUR :
La TOE doit rendre inaccessibles les données sensibles, en particulier les clés
cryptographiques, lorsque le disque est démonté par l'utilisateur.
Note d'application
Le sens de cet objectif est de permettre à un utilisateur de désactiver un disque, de
mettre la TOE « hors fonctionnement », pour protéger effectivement ses données,
notamment sur des machines n'ayant pas de mode « éteint » (assistants
personnels). Cet objectif ne concerne en aucun cas l'effacement sécurisé des
données.
Comme ceci :
La TOE doit rendre inaccessibles les données sensibles, en particulier les clés
cryptographiques, lorsque l‟utilisateur arrête le poste de travail.
L‟objectif se ramène à l‟effacement des données sensibles à la fermeture du poste.
En effet la notion de démontage de disque n‟est pas applicable à Cryhod, l‟utilisateur
a la possibilité d‟éteindre son poste.
9.2.2. Chapitre 4.2 : Objectifs de sécurité pour
l’environnement opérationnel de la TOE
Suppression de la sous division du paragraphe (« Objectifs applicables aux deux
configurations », « Objectifs applicables à la configuration avec génération de clé »)
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
66/68
et des mentions relatives aux configurations «sans génération de clé» et «avec
génération de clé». Suppression de OE.ENV_OPERATIONNEL.3 et
OE.ENV_OPERATIONNEL.4 (et des mentions qui s‟y rapportent) qui ne sont pas
applicables.
9.3. Chapitre 5 : Exigences de sécurité
9.3.1. Chapitre 5.1 : Exigences de sécurité fonctionnelles
1) Suppression de détails inutiles dans le chapitre « Opérations : »
L'opération CREATE correspond intuitivement à la création d'un disque: une clé de
chiffrement y est implicitement associée qu'elle soit générée aléatoirement, dérivée
à partir de données fournies par l'utilisateur (configuration « avec génération de clé
») ou bien importée (configuration « sans génération de clé »). De même, aucune
exigence n'est placée sur le stockage des clés de chiffrement.
2) L‟authentification utilisateur s‟effectuant à l‟amorçage du système, aucune
opération (autre que CREATE lorsque les partitions ne sont pas encore chiffrées)
n‟est possible. En conséquence les modifications suivantes ont été apportées :
FIA_UID.1.1 The TSF shall allow
o CREATE,
o DISMOUNT,
o USE, DECIPHER, CIPHER and ERASE
on behalf of the user to be performed before the user is identified.
FIA_UAU.1.1 The TSF shall allow
o CREATE,
o DISMOUNT,
o USE, DECIPHER, CIPHER and ERASE
on behalf of the user to be performed before the user is authenticated.
Les opérations supprimées ci dessus ont été reportées dans les raffinements
éditoriaux.
3) Mise en forme de la note d‟application de FMT_MSA.3 comme demandée dans le
profil de protection.
4) Une règle ayant été ajoutée dans FDP_ACF.1.2, « Rule 7 » a été incrémentée en
« Rule 8 » dans FDP_ACF.1.3.
5) Prise en compte de la génération de clé
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
67/68
9.3.2. Chapitre 5.2 : Exigences de sécurité d’assurance
Néant
9.4. Chapitre 6 (PP)/Chapitre 8 (cible) :Argumentaire
9.4.1. Chapitre 6.1.1 (PP)/Chapitre 8.1.1 (cible) : Menaces
Suppression des paragraphes relatifs à OE.ENV_OPERATIONNEL.3 et
OE.ENV_OPERATIONNEL.4 qui ne sont pas applicables dans cette cible.
9.4.2. Chapitre 6.1.2 (PP)/Chapitre 8.1.2 (cible) : OSP
La mention concernant la configuration « avec génération de clé » a été supprimée
dans OSP.CRYPTO.
9.4.3. Chapitre 6.1.3 (PP)/Chapitre 8.1.3 (cible) :
Hypothèses
Suppression du chapitre relatif à la configuration sans génération de clé.
9.4.4. Chapitre 6.1.4 (PP)/Chapitre 8.1.4 (cible) : Tables
de couverture
Mise en forme des tableaux selon la configuration « avec génération de clé »
9.4.5. Chapitre 6.2.1 (PP)/Chapitre 8.2.1 (cible) :Objectifs
Suppression de « L‟accès lui-même ne demande aucune authentification
(FIA_UID.1). » dans O.PROTECTION_DES_DONNEES_ENREGISTREES.
9.4.6. Chapitre 6.2.2 (PP)/Chapitre 8.2.2 (cible) : Tables
de couverture
Mise en forme des tableaux selon la configuration « avec génération de clé »
9.4.7. Chapitre 6.3.1 (PP)/Chapitre 8.5.1 (cible) :
Dépendances des exigences de sécurité
fonctionnelles
1) Mise en forme du tableau selon la configuration « avec génération de clé »
2) Suppression de certaines dépendances non satisfaites dans le profil de protection
(la notion de rôle et par conséquent FMT_SMR.1 est définie dans la TOE ainsi que
la fonction de gestion des accès dans FMT_SMF.1 qui induit les manipulations
d‟attributs dans les différents composants FMT_MSA.1 et FMT_MSA.3) :
Cryhod version 2.0 Cible de Sécurité CC Niveau EAL3+ - PX109266 v2r5 – Avril 2011
68/68
La dépendance FMT_SMR.1 de FMT_MSA.3 n'est pas supportée. Cette dépendance n'est
pas requise puisque le modèle n'utilise pas la notion de rôle.
La dépendance FMT_SMF.1 de FMT_MSA.1/Disk_Status n'est pas supportée. La TOE
ne gère pas de fonction de gestion. Cette dépendance n'est donc pas requise.
La dépendance FMT_SMR.1 de FMT_MSA.1/Disk_Status n'est pas supportée. Cette
dépendance n'est pas requise puisque le modèle n'utilise pas la notion de rôle.
La dépendance FMT_SMF.1 de FMT_MSA.1/ID n'est pas supportée. La TOE ne gère pas
de fonction de gestion. Cette dépendance n'est donc pas requise.
La dépendance FMT_SMR.1 de FMT_MSA.1/ID n'est pas supportée. Cette dépendance
n'est pas requise puisque le modèle n'utilise pas la notion de rôle.
9.4.8. Chapitre 6.3.3 (PP)/Chapitre 8.5.2 (cible) :
Dépendances des exigences de sécurité d’assurance
Mise à jour des dépendances et de l‟argumentaire en accord avec les Critères
Communs version 3.1 révision 3
9.4.9. Chapitre 6.4 (PP)/Chapitre 8.6 (cible) :
Argumentaire pour l’EAL
Néant
9.4.10. Chapitre 6.4 (PP)/Chapitre 8.7 (cible) :
Argumentaire pour les augmentations à l’EAL
Néant
Copyright © Prim'X Technologies 2003, 2011.