Schéma Français de la Sécurité des Technologies de l’Information d’Évaluation et de Certification SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION PREMIER MINISTRE Rapport de certification 2000/13 Plate-forme ST19 (technologie 0.6µ) : Micro-circuit ST19SF16FFxyz Décembre 2000 Ce document est folioté de 1 à 36 et certificat. Ce document constitue le rapport de certification du produit " Plate-forme ST19 (technologie 0,6µ) : micro-circuit ST19SF16FFxyz". Ce rapport de certification est disponible sur le site internet du Service Central de la Sécurité des Systèmes d'Information à l'adresse suivante : www.scssi.gouv.fr Toute correspondance relative à ce rapport de certification doit être adressée au : Secrétariat général de la défense nationale SCSSI Centre de Certification de la Sécurité des Technologies de l’Information 51, boulevard de Latour-Maubourg 75700 PARIS 07 SP. Mél: ssi20@calva.net © SCSSI, France 2000. La reproduction de tout ou partie de ce document, sans altérations ni coupures, est autorisée. Tous les noms des produits ou des services de ce document sont des marques déposées de leur propriétaire respectif. Ce produit a été évalué par un centre d'évaluation de la sécurité des TI conformément aux critères communs pour l'évaluation de la sécurité des TI version 2.1 (conforme à la norme ISO 15408) et à la méthodologie commune pour l'évaluation de la sécurité des TI version 1.0. Ce certificat ne s'applique qu'à la version évaluée du produit dans sa configuration d’évaluation et selon les modalités décrites dans le rapport de certification associé. L'évaluation a été conduite en conformité avec les dispositions du Schéma français d'évaluation et de certification de la sécurité des TI. Les conclusions du centre d'évaluation enregistrées dans le rapport technique d'évaluation sont cohérentes avec les éléments de preuve fournis. Ce certificat ne constitue pas en soi une recommandation du produit par l'organisme de certification ou par toute autre organisation qui le reconnaît ou l'utilise. Ce certificat n'exprime directement ou indirectement aucune caution du produit par l'organisme de certification ou par toute autre organisation qui le reconnaît ou l'utilise. Schéma Français d’Évaluation et de Certification de la Sécurité des Technologies de l’Information PREMIER MINISTRE CERTIFICAT 2000/13 Plate-forme ST19 (technologie 0.6µ) : Micro-circuit ST19SF16FFxyz EAL4 augmenté conforme au profil de protection PP/9806 Commanditaire : STMicroelectronics SA Le 21 décembre 2000, Le Commanditaire : L’Organisme de certification : Group Vice-President Memory Products Le Directeur chargé de la sécurité General Manager Smartcard Products Division des systèmes d’information Mr. M. FELICI Mr. Henri SERRES Développeur : STMicroelectronics SA Organisme de Certification Secrétariat général de la défense nationale SCSSI 51, boulevard de Latour-Maubourg 75700 PARIS 07 SP. 2 Rapport de certification 2000/13 Décembre 2000 Page 1 Chapitre 1 Introduction 1 Ce document représente le rapport de certification du produit constitué du micro- circuit ST19SF16FFxyz, bâti sur la plate-forme ST19 de STMicrolectronics. 2 La version produit ST19SF16FFxyz présente des fonctionnalités de sécurité en tout point identiques aux fonctionnalités de sécurité de la version produit ST19SF08CExyz, certifié et maintenu dans le cadre du programme de maintenance PM/01 associé à la plate-forme ST19. Les produits se distinguent uniquement par la taille de leur mémoire non volatile (EEPROM). 3 Il a donc été procédé à la réévaluation du micro-circuit ST19SF16FFxyz, afin de réutiliser au mieux les résultats de l’évaluation du micro-circuit ST19SF08CExyz (certificat 2000/10, décembre 2000). 4 Le niveau d’assurance atteint est le niveau EAL 4 augmenté des composants d’assurance AVA_VLA.4 “Résistance élevée”, ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, ADV_IMP.2 “Implémentation de la TSF” ALC_FLR.1 “Correction d’erreurs élémentaire”, AMA_AMP.1 “Plan de maintenance de l’assurance”, AMA_CAT.1 “Rapport de classification des composants de la TOE”, AMA_EVD.1 “Éléments de preuve du processus de maintenance”, AMA_SIA.2 “Examen de l’analyse d’impact sur la sécurité” tels que décrits dans la partie 3 des Critères Communs [3]. 5 Ce produit est conforme au profil de protection “Smartcard Integrated Circuit” enregistré auprès du SCSSI sous la référence PP/9806, version 2.0 de Septembre 1998 [5]. 6 Le profil de protection a fait l’objet d’un rapport de certification PP/9806 [6]. 7 Ce produit figure désormais au programme de maintenance PM/01 des composants certifiés bâtis sur la plate-forme ST19. 1 - Introduction Rapport de certification 2000/13 Page 2 Décembre 2000 6 Rapport de certification 2000/13 Décembre 2000 Page 3 Chapitre 2 Résumé 2.1 Contexte 8 Le véhicule test utilisé pour cette évaluation est le ST19SF16FFxyz qui fait l’objet du certificat joint au présent rapport. 9 La certification de toute version ultérieure du produit ST19SF16 nécessitera une analyse d’impact des modifications apportées. Ces modifications seront évaluées à travers le programme de maintenance de la plate-forme ST19 qui est enregistré sous l’identifiant PM/01 par l’organisme de certification. 10 Les résultats de certification de la plate-forme et des produits dérivés ainsi que les documentations d’administration et d’utilisation, serviront de base respectivement aux commanditaires et développeurs de logiciels d’application pour les produits qu’ils souhaiteront certifier. 2.2 Description de la cible d’évaluation 11 La cible d'évaluation, bâtie sur la plate-forme ST19, comporte : - le micro-circuit ST19SF16FFxyz et ses logiciels dédiés, - l’environnement de développement tel que décrit dans le présent rapport. 12 Les développeurs de logiciels d’application (système d’exploitation, application spécifique, ...) et les utilisateurs de ces applications devront se conformer aux recommandations recensées, respectivement, dans les guides d’utilisation et d’administration. Ces logiciels n’ont pas fait l’objet de la présente évaluation et certification. 2.3 Résumé des caractéristiques de sécurité 2.3.1 Menaces 13 Les principales menaces identifiées dans la cible de sécurité [7] peuvent être résumées comme suit : - modification non autorisée de la conception du circuit et des logiciels dédiés, - divulgation non autorisée de la conception du circuit et des logiciels dédiés, des informations de tests et des outils de développement, 2 - Résumé Rapport de certification 2000/13 Page 4 Décembre 2000 - utilisation abusive du micro-circuit. 14 Les biens à protéger au sein de la cible d'évaluation sont définis comme étant les données applicatives du micro-circuit, les logiciels dédiés, les données de spécification et de conception du micro-circuit. Ces biens doivent être protégés en intégrité et en confidentialité. 2.3.2 Politiques de sécurité organisationnelles et hypothèses 15 L’annexe A donne les principales caractéristiques de sécurité telles qu’elles sont décrites dans la cible de sécurité [7], en particulier les hypothèses d’utilisation du produit. 2.3.3 Exigences fonctionnelles de sécurité 16 Les principales fonctionnalités de sécurité du produit décrites dans la cible de sécurité [7] sont les suivantes : - authentification des acteurs au cours de la phase de test, - contrôle d'accès, - analyse des violations potentielles de sécurité, - non-observabilité, - administration des fonctions de sécurité, - protection des fonctions de sécurité : notification et résistance aux attaques physiques. 2.3.4 Exigences d’assurance 17 Les exigences d’assurance spécifiées dans la cible de sécurité [7] sont celles du niveau d’évaluation EAL4 augmenté des composants d’assurance AVA_VLA.4 “Résistance élevée”, ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, ADV_IMP.2 “Implémentation de la TSF”, AMA_AMP.1 “Plan de maintenance de l’assurance”, AMA_CAT.1 “Rapport de classification des composants de la TOE”, AMA_EVD.1 “Eléments de preuve du processus de maintenance”, AMA_SIA.2 “Examen de l’analyse d’impact sur la sécurité” tel que décrits dans la partie 3 des Critères Communs [3] 2.4 Acteurs dans l’évaluation 18 Le commanditaire de l’évaluation est : STMicroelectronics SA ZI de Rousset BP2 F- 13106 Rousset Cedex. Rapport de certification 2000/13 2 - Résumé Décembre 2000 Page 5 19 La cible d’évaluation a été développée par la même société : STMicroelectronics SA ZI de Rousset BP2 F- 13106 Rousset Cedex. 20 La société Dupont a également participé au développement de la cible d'évaluation en tant que développeur et fabricant des réticules servant à la fabrication du ST19SF16FFxyz : Dupont Photomasks ZI de Rousset F- 13106 Rousset Cedex. 21 Les sites de production des produits bâtis sur la plate-forme ST19 sont les suivants : - en France, STMicroelectronics ZI de Rousset BP2 F- 13106 Rousset Cedex - en Italie, STMicroelectronics Via C. Olivetti 2 I- 20041 Agrate Brianza Le micro-circuit ST19SF16FFxyz qui a fait l’objet de cette certification, est fabriqué à Rousset et à Agrate. 2.5 Contexte de l’évaluation 22 L’évaluation a été menée conformément aux Critères Communs ([1] à [3]) et à la méthodologie définie dans le manuel CEM [4]. 23 L’évaluateur a procédé à une réévaluation basée sur les résultats de l’évaluation du micro-circuit ST19SF08CExyz qui a fait l’objet du certificat 2000/10. 24 L’évaluation a été conduite par le centre d’évaluation de la sécurité des technologies de l’information de Serma Technologies : - Serma Technologies 30, avenue Gustavel Eiffel F- 33608 Pessac Cedex. 2 - Résumé Rapport de certification 2000/13 Page 6 Décembre 2000 2.6 Conclusions de l'évaluation 25 Le produit soumis à réévaluation dont la cible de sécurité [7] est partiellement reprise dans l’annexe A du présent rapport, satisfait aux exigences du niveau d’évaluation EAL 4 augmenté des composants d’assurance AVA_VLA.4 “Résistance élevée”, ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, ADV_IMP.2 “Implémentation de la TSF”, AMA_AMP.1 “Plan de maintenance de l’assurance”, AMA_CAT.1 “Rapport de classification des composants de la TOE”, AMA_EVD.1 “Eléments de preuve du processus de maintenance”, AMA_SIA.2 “Examen de l’analyse d’impact sur la sécurité”. Il est conforme aux exigences du profil de protection PP/9806 [5]. Par ailleurs, la résistance des fonctions de sécurité est cotée au niveau élevée (SOF-high). 26 La recherche de vulnérabilités exploitables au cours de l’évaluation a été définie par la quantité d’informations disponibles pour le niveau EAL4 et par la compétence, l’opportunité et les ressources correspondant à un potentiel d’attaques élevé tel qu’il est spécifié par le composant d’assurance AVA_VLA.4. 27 Les vulnérabilités connues du commanditaire de l’évaluation ont été toutes communiquées aux évaluateurs et au certificateur conformément au critère [AVA_VLA.4.4E]. 28 L'utilisation de la cible d'évaluation de manière sûre est soumise aux recommandations figurant au chapitre 6 du présent rapport. 8 Rapport de certification 2000/13 Décembre 2000 Page 7 Chapitre 3 Identification de la cible d’évaluation 3.1 Objet 29 La cible d'évaluation, bâtie sur la plate-forme ST19, comporte : - le micro-circuit ST19SF16FFxyz et ses logiciels dédiés, - l’environnement de développement tel que décrit dans le présent rapport. 30 Ce micro-circuit est destiné à recevoir les logiciels fournis par le développeur d’applications, masqués dans la mémoire programme (ROM) au cours de la fabrication du micro-circuit. Ces logiciels applicatifs (le système d’exploitation de la carte ainsi que les applications éventuelles) ne font pas partie de l’évaluation. Le micro-circuit est ensuite inséré dans une carte porteur de format carte de crédit ou tout autre support. Par ailleurs, les phases d’encartage et de personnalisation de la cible d’évaluation sont hors du champ de l’évaluation. 31 Le micro-circuit électronique contient des logiciels dédiés développés par STMicroelectronics à des fins de tests du circuit. 3.2 Historique du développement 32 Le composant ST19SF16FFxyz a été développé et testé par STMicroelectronics sur le site de Rousset. La production des micro-circuits est effectuée sur les sites de Rousset (France) et Agrate (Italie). 3.3 Description du matériel 33 Le micro-circuit électronique ST19SF16FFxyz est un micro contrôleur 8 bits, bâti sur la plate-forme ST19. 34 Il dispose de différents mécanismes de sécurité participant à la réalisation des fonctions dédiées à la sécurité pour lesquelles l'évaluation a été demandée. 3.4 Description du logiciel 35 La cible d’évaluation contient également les logiciels dédiés développés par STMicroelectronics ; ces logiciels contiennent des fonctionnalités de tests actives pendant la phase de test du micro-circuit. A l’issue de cette phase, ils ne sont plus accessibles. 3 - Identification de la cible d’évaluation Rapport de certification 2000/13 Page 8 Décembre 2000 10 Rapport de certification 2000/13 Décembre 2000 Page 9 Chapitre 4 Caractéristiques de sécurité 4.1 Préambule 36 Les caractéristiques de sécurité évaluées sont consignées dans la cible de sécurité [7] qui est la référence pour l’évaluation. 37 Les paragraphes ci-après reformulent les éléments essentiels de ces caractéristiques. 4.2 Politique de sécurité 38 La politique de sécurité de la cible d’évaluation dont le modèle figure dans la documentation disponible au titre des critères ADV_SPM repose principalement sur : - le contrôle d’accès aux informations sensibles stockées par le micro-circuit, - l’irréversibilité des phases de vie du micro-circuit (passage irréversible de la configuration de tests à la configuration d’utilisation), - la détection des violations potentielles de sécurité. 4.3 Menaces 39 Les menaces effectivement couvertes par le produit sont décrites dans le chapitre 3 de la cible de sécurité [7]. Elles sont reprises en annexe A.1. 4.4 Hypothèses d’utilisation et d’environnement 40 La cible d’évaluation doit être utilisée et administrée conformément aux exigences spécifiées dans la documentation d’utilisation et d’administration, et notamment dans le document Security Application Manual [9]. 41 Les hypothèses d’utilisation et d’environnement du produit sont consignées dans le chapitre 3 de la cible de sécurité [7]. Celles-ci sont reprises en annexe A.2. 4.5 Architecture du produit 42 L’architecture du produit est décrite dans les documents de conception générale et détaillée exigibles pour les composants d’assurance ADV_HLD et ADV_LLD. 4 - Caractéristiques de sécurité Rapport de certification 2000/13 Page 10 Décembre 2000 43 Le micro-circuit électronique ST19SF16F est un micro contrôleur bâti sur la plate- forme ST19. Il dispose d'une unité centrale de 8 bits associée à une mémoire de travail de 960 octets (RAM), d'une mémoire de programme de 32 Koctets (ROM), et d'une mémoire non volatile de 16Koctets (EEPROM). Il dispose également de différents composants de sécurité, d’une logique de matrice de contrôle d’accès, d’un générateur d’horloge ainsi que d’un générateur de nombres non-prédictibles. Ce dernier ne fait pas l’objet de cette évaluation. Tab. 4.1 - Modèle d’architecture du micro-circuit ST19SF16F 4.6 Description de la documentation 44 La documentation disponible pour l’évaluation est décrite en annexe B du présent rapport de certification. 4.7 Configuration évaluée 45 La configuration de test de la cible d’évaluation est décrite en annexe B. CPU Mémoires volatiles Mémoires non vola- tiles Composants de sécurité Ports d’I/O 14 Rapport de certification 2000/13 Décembre 2000 Page 11 Chapitre 5 Résultats de l’évaluation 5.1 Rapport Technique d’Évaluation 46 Les résultats de l’évaluation sont exposés dans le rapport technique d’évaluation [8]. 5.2 Résultats de l’évaluation du produit 47 Le produit répond aux exigences des critères communs pour le niveau EAL4 augmenté des composants AVA_VLA.4 “Résistance élevée”, ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, ADV_IMP.2 “Implémentation de la TSF”, AMA_AMP.1 “Plan de maintenance de l’assurance”, AMA_CAT.1 “Rapport de classification des composants de la TOE”, AMA_EVD.1 “Eléments de preuve du processus de maintenance”, AMA_SIA.2 “Examen de l’analyse d’impact sur la sécurité” tels que décrits dans la partie 3 des Critères Communs [3]. 48 La cible de sécurité publique qui accompagne ce rapport de certification est celle [10] associée au certificat 2000/10. La cible de sécurité non publique est celle [7] associée au rapport de certification 2000/10. 49 Les résultats de l’évaluation sont consignés dans le rapport technique d’évaluation [8]. 50 La version produit ST19SF16FFxyz ne diffère de la version ST19SF08CExyz que par la taille de mémoire volatile, qui n’a pas d’incidence sur la sécurité du produit. Par ailleurs, les deux produits sont développés et fabriqués suivant les même procédés et sur le même site de production de Rousset. L’évaluateur a ainsi pu appuyer ses verdicts sur l’évaluation du composant ST19SF08 dont les résultats sont certifiés (2000/10) et maintenus dans le cadre du programme de maintenance PM/01. 51 Les travaux complémentaires effectués par l’évaluateur sont décrits ci-dessous. 5.2.1 ADV_IMP.2 : Implémentation de la TSF 52 Les critères d’évaluation sont définis par les sections ADV_IMP.2.iE de la classe ADV, telle que définie dans la partie 3 des Critères Communs [3]. 53 L’évaluateur a pu vérifier la correspondance entre les schémas descriptifs du micro- circuit ST19SF16 et leur implémentation sur des échantillons fournis par le développeur. Cette correspondance a été mise en évidence par échantillonnage, par inspection visuelle au moyen d’un microscope optique. 5 - Résultats de l’évaluation Rapport de certification 2000/13 Page 12 Décembre 2000 5.2.2 ACM_CAP.4 : Aide à la génération et procédures de réception 54 Les critères d’évaluation sont définis par la section ACM_CAP.4.iE de la classe ACM, telle que spécifiée dans la partie 3 des Critères Communs [3]. 55 L’évaluateur a vérifié la cohérence de la liste de configuration fournie pour le micro-circuit produit à Rousset et Agrate avec la référence du set mask inscrite sur un échantillon. L’évaluateur a opéré cette vérification par inspection visuelle au moyen d’un microscope optique. 5.2.3 ATE_IND.2 Tests effectués de manière indépendante - échantillonnage 56 Les critères d’évaluation sont définis par les sections ATE_IND.2.iE de la classe ATE, telle que spécifiée dans la partie 3 des Critères Communs [3]. 57 Les évaluateurs ont rejoué un ensemble de tests sur le micro-circuit. Ils ont procédé à un échantillonnage des programmes de tests chez le développeur du micro-circuit électronique sur le site de Rousset où l’ensemble des tests de production sont réalisés. La procédure d’échantillonnage a été jugée satisfaisante par l’organisme de certification. 58 Aucun test complémentaire n’a été effectué par les évaluateurs. 5.3 Résultats de l’évaluation du programme de maintenance associé 59 Le produit a été évalué dans le cadre du programme de maintenance associé à la plate-forme ST19, enregistré sous l’identifiant PM/01 par l’organisme de certification. Ce programme répond aux exigences des Critères Communs définies par les composants AMA_AMP.1 “Plan de maintenance de l’assurance”, AMA_CAT.1 “Rapport de classification de composants de la TOE”, AMA_SIA.2 “Examen de l’analyse d’impact sur la sécurité” et AMA_EVD.1 “Éléments de preuve du processus de maintenance” tel que décrits dans la partie 3 des Critères Communs [3]. 60 Le programme de maintenance PM/01 a été accepté et enregistré par l’organisme de certification simultanément à l’évaluation certifiée 2000/10. Les travaux complémentaires décrits ci-dessous ont permis à l’évaluateur de valider l’intégration du micro-circuit ST19SF04 au programme de maintenance PM/01. 5.3.1 AMA_AMP.1 : Plan de maintenance de l’assurance 61 Les critères d’évaluation sont définis par les sections AMA_AMP.1.iE de la classe AMA, telle que spécifiée dans la partie 3 des Critères Communs [3]. 62 Le développeur a fourni une nouvelle version du plan de maintenance décrivant la cible d’évaluation et les caractéristiques de sécurité correspondant au micro-circuit ST19SF08BDxyz référencé par sa liste de configuration. Cette nouvelle version du plan de maintenance prend en compte l’intégration de la famille des micro-circuits Rapport de certification 2000/13 5 - Résultats de l’évaluation Décembre 2000 Page 13 ST19SF16 au programme de maintenance PM/01 de la plate-forme ST19, et met à jour la nature et la portée des évolutions prévues du produit. 63 Les travaux d’évaluation notifiés dans le présent rapport de certification correspondent bien aux évolutions planifiées dans le plan de maintenance. 5.4 Verdicts 64 Pour tous les aspects des critères communs identifiés ci-dessus, un avis “réussite” a été émis. 5 - Résultats de l’évaluation Rapport de certification 2000/13 Page 14 Décembre 2000 16 Rapport de certification 2000/13 Décembre 2000 Page 15 Chapitre 6 Recommandations d’utilisation 65 La cible d’évaluation “ST19SF16FFxyz”, bâtie sur la plate-forme ST19, est soumise aux recommandations d’utilisation exprimées ci-dessous. Le respect de ces recommandations conditionne la validité du certificat. 66 Le produit doit être utilisé conformément à l’environnement d’utilisation prévu dans la cible de sécurité [7]. 67 Le produit doit être développé et utilisé conformément aux recommandations d’utilisation exprimées dans le document “Security Application Manual” [9]. Cette documentation contient des informations confidentielles et est disponible, de manière contrôlée, sur demande auprès de la société STMicroelectronics, Division Smartcard. 6 - Recommandations d’utilisation Rapport de certification 2000/13 Page 16 Décembre 2000 18 Rapport de certification 2000/13 Décembre 2000 Page 17 Chapitre 7 Certification 7.1 Objet 68 Le produit dont les caractéristiques de sécurité sont définies dans la cible de sécurité [7], satisfait aux exigences du niveau d’évaluation EAL4 augmenté des composants d’assurance suivants décrits dans la partie 3 des critères communs [3] : - AVA_VLA.4 “Résistance élevée”, - ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, - ADV_IMP.2 “Implémentation de la TSF”, - ALC_FLR.1 “Correction d’erreurs élémentaire”, - AMA_AMP.1 “Plan de maintenance de l’assurance”, - AMA_CAT.1 “Rapport de classification des composants de la TOE”, - AMA_EVD.1 “Eléments de preuve du processus de maintenance”, - AMA_SIA.2 “Examen de l’analyse d’impact sur la sécurité”. 69 Ce produit est conforme au profil de protection “Smartcard Integrated Circuit” enregistré auprès du SCSSI sous la référence PP/9806, version 2.0 de Septembre 1998 [5]. 70 La recherche de vulnérabilités exploitables au cours de l’évaluation a été définie par la quantité d’informations disponibles pour le niveau EAL4 et par la compétence, l’opportunité et les ressources correspondant à un potentiel d’attaques élevé tel qu’il est spécifié par le composant d’assurance AVA_VLA.4. 7.2 Portée de la certification 71 La certification ne constitue pas en soi une recommandation du produit. Elle ne garantit pas que le produit certifié est totalement exempt de vulnérabilités exploitables : il existe une probabilité résiduelle que des vulnérabilités exploitables n’aient pas été découvertes. 72 Le certificat ne s’applique qu’à la version évaluée du produit, telle qu’elle est définie en annexe B de ce rapport. 7 - Certification Rapport de certification 2000/13 Page 18 Décembre 2000 28 Rapport de certification 2000/13 Décembre 2000 Page 19 Annexe A Caractéristiques de sécurité 73 Les caractéritiques de sécurité évaluées sont décrites dans la cible de sécurité [7] qui est la référence pour l’évaluation. Compte-tenu du caractère confidentiel de la cible de sécurité, un résumé public de la cible de sécurité a été rédigé [10], et joint au présent rapport de certification. 74 La cible de sécurité étant rédigée en langue anglaise, les paragraphes ci-après sont une traduction française des hypothèses, des menaces ainsi que des objectifs et des exigences de sécurité. A - Caractéristiques de sécurité Rapport de certification 2000/13 Page 20 Décembre 2000 A.1 Menaces 75 Le cycle de vie du produit est constitué des phases suivantes : - phase 1 : développement des logiciels embarqués (systèmes d’exploitation, logiciels applicatifs), - phase 2 : développement du micro-circuit et des logiciels dédiés, - phase 3 : production du micro-circuit, - phase 4 : mise en micro-modules (ateliers de micro-électronique), - phase 5 : encartage, - phase 6 : personnalisation, - phase 7 : utilisation du produit final. A.1.1 Clonage A.1.2 Menaces sur la phase 1 (Développement des logiciels embarqués) T.CLON Clonage fonctionnel de la cible d’évaluation. T.DIS_INFO Divulgation non autorisée des biens délivrés par le concepteur du circuit au développeur des logiciels embarqués. T.DIS_DEL Divulgation non autorisée des logiciels embarqués pendant la phase de livraison au concepteur du circuit. T.MOD_DEL Modification non autorisée des logiciels embarqués pendant la phase de livraison au concepteur du circuit. T.T_DEL Vol des logiciels embarqués pendant la phase de livraison au concepteur du circuit. Rapport de certification 2000/13 A - Caractéristiques de sécurité Décembre 2000 Page 21 A.1.3 Divulgation non autorisée au cours des phases 2 à 7 A.1.4 Vol ou utilisation abusive au cours des phases 2 à 7 A.1.5 Modification non autorisée au cours des phases 2 à 7 T.DIS_DESIGN Divulgation non autorisée de la conception du circuit. T.DIS_SOFT Divulgation non autorisée des logiciels embarqués T.DIS_DSOFT Divulgation non autorisée des logiciels de tests dédiés. T.DIS_TEST Divulgation non autorisée des informations de tests du micro-circuit. T_DIS_TOOLS Divulgation non autorisée des outils de développement. T_DIS_PHOTOMASK Divulgation non autorisée des informations liées au réticule. T.T_SAMPLE Vol ou utilisation abusive d’échantillons. T.T_PHOTOMASK Vol ou utilisation abusive des réticules du circuit. T.T_PRODUCT Vol ou utilisation abusive des produits cartes à puce. T.MOD_DESIGN Modification non autorisée de la conception du circuit. T.MOD_PHOTOMASK Modification non autorisée des réticules du produit. T.MOD_DSOFT Modification non autorisée des logiciels de tests dédiés. T.MOD_SOFT Modification non autorisée des logiciels embarqués. A - Caractéristiques de sécurité Rapport de certification 2000/13 Page 22 Décembre 2000 A.2 Hypothèses sur l’environnement A.2.1 Hypothèses sur la phase 1 A.2.2 Hypothèses sur le processus de livraison de la cible d’évaluation (phases 4 à 7) A.2.3 Hypothèses sur les phases 4 à 6 A.2.4 Hypothèses sur la phase 7 76 A.SOFT_ARCHI Les logiciels embarqués doivent être développés de manière sûre, en veillant à assurer l’intégrité des programmes et des données. A.DEV_ORG Existence de procédures de sécurité traitant de la sécurité physique, liées au personnel, organisationnelles ou techniques au cours du développement des logiciels embarqués. A.DLV_PROTECT Existence de procédures assurant la protection de la cible d’évaluation au cours de la livraison. A.DLV_AUDIT Analyse et traitement des incidents. A.DLV_RESP Formation et qualification des personnels chargés de la livraison. A.USE_TEST Existence de tests fonctionnels adéquats des circuits intégrés au cours des phases 4 à 6. A.USE_PROD Existence de procédures de sécurité durant les phases de fabrication et de tests pour maintenir la confidentialité et l’intégrité de la cible d’évaluation. A.USE_DIAG Existence de protocoles de communication sûrs dans les échanges cartes et terminaux. A.USE_SYS L’intégrité et la confidentialité des données sensibles doivent être maintenues par le système. Rapport de certification 2000/13 A - Caractéristiques de sécurité Décembre 2000 Page 23 A.3 Objectifs pour la cible d’évaluation Les informations sensibles désignent : - les données applicatives chargées en EEPROM telles que les données de pré-personalisation, - les logiciels dédiés. O.TAMPER La TSF doit se prémunir contre les attaques physiques. O.CLON La TSF doit se prémunir contre le clonage fonctionnel. O.OPERATE La TSF doit assurer la continuité de ses fonctions de sécurité. O.FLAW La TSF ne doit pas contenir d’erreurs de conception, d’implémentation ou dans son exécution. O.DIS_MECHANISM La TSF doit se prémunir contre toute divulgation non autorisée de ces mécanismes de sécurité. O.DIS_MEMORY La TSF doit se prémunir contre toute divulgation non autorisée des informations sensibles contenues dans les mémoires. O_MOD_MEMORY La TSF doit se prémunir contre toute modification non autorisée des informations sensibles contenues dans les mémoires. A - Caractéristiques de sécurité Rapport de certification 2000/13 Page 24 Décembre 2000 A.4 Objectifs pour l’environnement A.4.1 Objectifs pour la phase 1 A.4.2 Objectifs pour la phase 2 O.DEV_DIS Maintien de l’intégrité et de la confidentialité des outils de développement fournis par le concepteur du circuit. O.SOFT_DLV Maintien de la sécurité au cours de la livraison des logiciels embarqués au concepteur du circuit. O.SOFT_MECH Utilisation par le développeur des logiciels embarqués des recommandations émises par le concepteur du circuit afin de garantir le niveau de sécurité du produit. O.DEV_TOOLS L’environnement de développement des logiciels embarqués doit permettre de garantir l’intégrité des programmes et des données. O.SOFT_ACS Contrôle d’accès aux logiciels embarqués au sein du concepteur du micro-circuit sur la base du besoin d’en connaître. O.DESIGN_ACS Contrôle d’accès aux informations relatives à la conception et à l’implémentation du micro-circuit. O.DSOFT_ACS Contrôle d’accès aux informations relatives à la conception et à l’implémentation des logiciels dédiés. O.MASK_FAB Existence de procédures de sécurité garantissant l’intégrité et la confidentialité de la cible d’évaluation au cours du processus de fabrication des réticules. O.MECH_ACS Contrôle de la diffusion des spécifications des mécanismes de sécurité du composant. O.TI_ACS Contrôle de la diffusion des informations liées à la technologie du composant. Rapport de certification 2000/13 A - Caractéristiques de sécurité Décembre 2000 Page 25 A.4.3 Objectifs pour la phase 3 A.4.4 Objectifs pour les phases 4 à 7 O.TOE_PRT Protection de la cible d’évaluation au cours du processus de fabrication. O.IC_DLV Maintien de la confidentialité et de l’intégrité de la cible d’évaluation au cours des procédures de livraison des produits. O.DLV_PROTECT Existence de procédures assurant la protection de la cible d’évaluation au cours de la livraison. O.DLV_AUDIT Analyse et traitement des incidents. O.DLV_RESP Formation et qualification des personnels chargés de la livraison. O.TEST_OPERATE Maintien de tests fonctionnels adéquats au cours des phases 4 à 6. O.USE_DIAG Existence de protocoles de communication sûrs dans les échanges cartes et terminaux au cours de la phase 7. O.USE_SYS L’intégrité et la confidentialité des données sensibles doivent être maintenues par le système au cours de la phase 7. A - Caractéristiques de sécurité Rapport de certification 2000/13 Page 26 Décembre 2000 A.5 Exigences fonctionnelles de sécurité A.5.1 Exigences fonctionnelles de sécurité pour la phase 3 A.5.2 Exigences fonctionnelles de sécurité pour la phase 3 à 7 Protection des données utilisateur FDP_SDI.1 Contrôle de l’intégrité des données stockées. Identification et authentification FIA_UID.2 FIA_UAU.2 FIA_ATD.1 Identification de l’utilisateur préalablement à toute action. Authentification de l’utilisateur préalablement à toute action. Définition des attributs de lutilisateur. Protection des fonctions de sécurité FPT_TST.1 Test de la TSF. Administration de la sécurité FMT_MOF.1 FMT_MSA.1 FMT_SMR.1 FMT_MSA.3 Administration du comportement des fonctions de sécurité. Administration des attributs de sécurité. Rôles de sécurité. Initialisation statique d’attributs. Protection des données utilisateur FDP_ACC.2 FDP_ACF.1 FDP_IFC.1 FDP_IFF.1 Contrôle d’accès complet. Contrôle d’accès basé sur les attributs de sécurité. Contrôle de flux d’informations partiel Attributs de sécurité simple. Audit de sécurité FAU_SAA.1 Analyse de violation potentielle. Protection de la vie privée FPR_UNO.1 Non-observabilité Protections des fonctions de sécurité FPT_PHP.2 FPT_PHP.3 Notification d’une attaque physique. Résistance à une attaque physique. Rapport de certification 2000/13 A - Caractéristiques de sécurité Décembre 2000 Page 27 A.6 Exigences d’assurance Cible de sécurité ASE Évaluation de la cible de sécurité. EAL4 ACM_AUT.1 ACM_CAP.4 ACM_SCP.2 ADO_DEL.2 ADO_IGS.1 ADV_FSP.2 ADV_HLD.2 ADV_IMP.1 ADV_LLD.1 ADV_RCR.1 ADV_SPM.1 AGD_ADM.1 AGD_USR.1 ALC_DVS.1 ALC_LCD.1 ALC_TAT.1 ATE_COV.2 ATE_DPT.1 ATE_FUN.1 ATE_IND.2 AVA_MSU.2 AVA_SOF.1 AVA_VLA.2 Automatisation partielle de la CM. Aide à la génération et procédures de réception. Couverture du suivi des problèmes par la CM Détection de modifications Procédures d’installation, de génération et de démarrage. Définition exhaustive des interfaces externes. Conception de haut niveau de sécurité. Sous-ensemble de l’implémentation de la TSF. Conception de bas niveau descriptive. Démonstration de correspondance informelle. Modèle informel de politique de sécurité de la TOE. Guide de l’administrateur. Guide de l’utilisateur. Identification des mesures de sécurité. Modèle de cycle de vie défini par le développeur. Outils de développement bien définis. Analyse de la couverture. Tests : conception de haut niveau. Tests fonctionnels. Tests indépendants - par échantillonnage Validation de l’analyse Évaluation de la résistance des fonctions de sécurité de la TOE Analyse de vulnérabilité indépendante. Augmentation ADV_IMP.2 ALC_DVS.2 ALC_FLR.1 AVA_VLA.4 AMA_AMP.1 AMA_CAT.1 AMA_EVD.1 AMA_SIA.2 Implémentation de la TSF. Caractère suffisant des mesures de sécurité. Correction d’erreurs élémentaire. Résistance élevée. Plan de maintenance de l’assurance. Rapport de classification des composants de la TOE. Éléments de preuve du processus de maintenance. Examen de l’analyse d’impact sur la sécurité. A - Caractéristiques de sécurité Rapport de certification 2000/13 Page 28 Décembre 2000 30 Rapport de certification 2000/13 Décembre 2000 Page 29 Annexe B Configuration de la cible d’évaluation 77 La cible d'évaluation, bâtie sur la plate-forme ST19, comporte : - le micro-circuit ST19SF16FFxyz et ses logiciels dédiés, - l’environnement de développement tel que décrit dans le présent rapport. 78 Afin de pouvoir être testé, le produit a été utilisé avec un logiciel embarqué développé par STMicroelectronics appelé “Card Manager”. Ce logiciel ne fait pas partie de l’évaluation. 79 La configuration de test de la cible d’évaluation est la suivante : - ST19SF16FF RZO: - micro-circuit : ST19SF16F, - logiciels enfouis : UEF, - logiciel “Card Manager” RZO (hors évaluation), - mask set K480A (site de fabrication de Rousset) - mask set K481 A (site de fabrication d’Agrate) 80 La documentation disponible pour le produit est la suivante : - Documentation d’utilisation du produit : “ST19SFxx IC Data Sheet”, - Documentation d’administration du produit : “Security Application Manual”, référencé [9]. B - Configuration de la cible d’évaluation Rapport de certification 2000/13 Page 30 Décembre 2000 34 Rapport de certification 2000/13 Décembre 2000 Page 31 Annexe C Glossaire C.1 Abréviations CC (Common Criteria) - Critères Communs, l’intitulé utilisé historiquement pour la présente norme à la place de l’intitulé officiel de l’ISO 15408: “Critères d’évaluation de la sécurité des technologies de l’information” EAL (Evaluation Assurance Level) - Niveau d’assurance de l’évaluation PP (Protection Profile) - Profil de protection SF (Security Function) - Fonction de sécurité SFP (Security Function Policy) - Politique d’une fonction de sécurité ST (Security Target) - Cible de sécurité TI (IT : Information Technology) - Technologie de l’Information TOE (Target of Evaluation) - Cible d’évaluation TSF (TOE Security Functions) - Ensemble des fonctions de sécurité de la TOE C - Glossaire Rapport de certification 2000/13 Page 32 Décembre 2000 C.2 Glossaire Affectation La spécification d’un paramètre identifié dans un composant. Assurance Fondement de la confiance dans le fait qu’une entité satisfait à ses objectifs de sécurité. Augmentation L’addition d’un ou de plusieurs composants d’assurance de la Partie 3 à un EAL ou à un paquet d’assurance. Biens Informations ou ressources à protéger par les contre- mesures d’une TOE. Cible d’évaluation (TOE) Un produit ou un système TI et la documentation associée pour l’administrateur et pour l’utilisateur qui est l’objet d’une évaluation. Cible de sécurité (ST) Un ensemble d’exigences de sécurité et de spécifications à utiliser comme base pour l’évaluation d’une cible d’évaluation identifiée. Classe Un groupement de familles qui partagent un thème commun. Composant Le plus petit ensemble sélectionnable d’éléments qui peut être inclus dans un PP, une ST ou un paquet. Évaluation Estimation d’un PP, d’une ST ou d’une TOE par rapport à des critères définis. Fonction de sécurité Une partie ou des parties de la TOE sur lesquelles on s’appuie pour appliquer un sous-ensemble étroitement imbriqué de règles tirées de la TSP. Informel Qui est exprimé à l’aide d’un langage naturel. Itération L’utilisation multiple d’un composant avec des opérations différentes. Niveau d’assurance de l’évaluation Un paquet composé de composants d’assurance tirées de la Partie 3 qui représente un niveau de l’échelle d’assurance prédéfinie des CC. Objectif de sécurité Une expression de l’intention de contrer des menaces identifiées ou de satisfaire à des politiques de sécurité organisationnelles et à des hypothèses. Rapport de certification 2000/13 C - Glossaire Décembre 2000 Page 33 Plate-forme Ensemble de technologies et de capacités pouvant être développées et appliquées afin de servir de base de croissance et d’innovation dans divers produits et services. Politique de sécurité organisationnelle Une ou plusieurs règles, procédures, codes de conduite ou lignes directrices de sécurité qu’une organisation impose pour son fonctionnement. Produit Un ensemble de logiciels, microprogrammes ou matériels TI qui offre des fonctionnalités conçues pour être utilisées ou incorporées au sein d’une multiplicité de systèmes. Profil de protection Un ensemble d’exigences de sécurité valables pour une catégorie de TOE, indépendant de son implémentation, qui satisfait des besoins spécifiques d’utilisateurs. Raffinement L’addition de détails à un composant. Sélection La spécification d’une ou de plusieurs entités à partir d’une liste au sein d’un composant. Utilisateur Toute entité (utilisateur humain ou entité TI externe) hors de la TOE qui interagit avec elle. C - Glossaire Rapport de certification 2000/13 Page 34 Décembre 2000 36 Rapport de certification 2000/13 Décembre 2000 Page 35 Annexe D Références [1] [CC-1] Common Criteria for Information Technology Security Evaluation Part 1: Introduction and general model CCIMB - 99-031, version 2.1, August 1999 (conforme à la norme ISO 15408), [2] [CC-2] Common Criteria for Information Technology Security Evaluation Part 2: Security Functional Requirements CCIMB-99-032, version 2.1, August 1999 (conforme à la norme ISO 15408), [3] [CC-3] Common Criteria for Information Technology security Evaluation Part 3: Security Assurance Requirements CCIMB-99-033, version 2.1, August 1999 (conforme à la norme ISO 15408), [4] [CEM] Common Methodology for Information Technology Security Evaluation CEM-99/045, version 1.0, August 1999. [5] Profil de protection PP/9806, “Smartcard Integrated Circuit, Version 2.0” de Septembre 1998. [6] Certificat PP/9806, Avril 1999. [7] Cible de sécurité “ST19SF08B Security Target”, version 2.7, document confidentiel. [8] Rapport technique d’évaluation, référencé AZUR_ETR version 1.0, 19 octobre 2000, document secret. [9] Security Application Manual, Version 1.2, 30 juin 2000, document confidentiel. [10] Résumé de la cible de sécurité, “ST19SFxx Security Target” version 1.2, document public. D - Références Rapport de certification 2000/13 Page 36 Décembre 2000