1/17 https://oc.ccn.cni.es organismo.certificacion@cni.es Referencia: 2018-69-INF-4281- v1 Difusión: Limitada al expediente Fecha: 28.05.2024 Creado por: I003 Revisado por: CALIDAD Aprobado por: TECNICO INFORME DE CERTIFICACIÓN Expediente # 2018-69 TOE Permiso de Residencia versión 4.0 Solicitante ESQ2826004 - Fábrica Nacional de Moneda y Timbre - Real Casa de la Moneda Referencias [EXT-4550] 2018-12-21_2018-69_Solicitud_Certificación [EXT-8907] 2024-02-02_2018-69_ETR_vM0 Informe de Certificación del producto Permiso de Residencia versión 4.0, según la solicitud de referencia [EXT-4550], de fecha 21/12/2018, evaluado por el laboratorio Applus Laboratories, conforme se detalla en el correspondiente Informe Técnico de Evaluación, indicado en [EXT-8907], recibido el pasado 02/02/2024. 2/17 https://oc.ccn.cni.es organismo.certificacion@cni.es CONTENIDOS RESUMEN...............................................................................................................................................3 RESUMEN DEL TOE.............................................................................................................................4 REQUISITOS DE GARANTÍA DE SEGURIDAD.......................................................................................4 REQUISITOS FUNCIONALES DE SEGURIDAD ......................................................................................5 IDENTIFICACIÓN.....................................................................................................................................9 POLÍTICA DE SEGURIDAD .......................................................................................................................9 HIPÓTESIS Y ENTORNO DE USO .............................................................................................................9 ACLARACIONES SOBRE AMENAZAS NO CUBIERTAS ........................................................................10 FUNCIONALIDAD DEL ENTORNO .....................................................................................................10 ARQUITECTURA....................................................................................................................................10 ARQUITECTURA LÓGICA...................................................................................................................10 ARQUITECTURA FÍSICA.....................................................................................................................10 DOCUMENTOS .....................................................................................................................................11 PRUEBAS DEL PRODUCTO....................................................................................................................11 CONFIGURACIÓN EVALUADA...............................................................................................................12 RESULTADOS DE LA EVALUACIÓN........................................................................................................13 RECOMENDACIONES Y COMENTARIOS DE LOS EVALUADORES..........................................................13 RECOMENDACIONES DEL CERTIFICADOR............................................................................................14 GLOSARIO DE TÉRMINOS.....................................................................................................................14 BIBLIOGRAFÍA.......................................................................................................................................14 DECLARACIÓN DE SEGURIDAD O DECLARACIÓN DE SEGURIDAD LITE................................................15 RECOGNITION AGREEMENTS...............................................................................................................16 European Recognition of ITSEC/CC – Certificates (SOGIS-MRA) .....................................................16 International Recognition of CC – Certificates (CCRA) ....................................................................16 3/17 https://oc.ccn.cni.es organismo.certificacion@cni.es RESUMEN Este documento constituye el Informe de Certificación para el expediente de certificación del producto Permiso de Residencia versión 4.0. El TOE es una tarjeta con funcionalidades de documento de viaje. El TOE está compuesto de un chip previamente certificado (que proporciona la librería criptográfica y el firmware con el loader para la actualización del código), el sistema operativo y las librerías biométricas. Fabricante: Fábrica Nacional de Moneda y Timbre - Real Casa de la Moneda. Patrocinador: Fábrica Nacional de Moneda y Timbre - Real Casa de la Moneda. Organismo de Certificación: Centro Criptológico Nacional (CCN). Laboratorio de Evaluación: Applus Laboratories. Perfiles de Protección: • Protection Profiles for Secure Signature Creation Device – Part 2: Device with key generation, prEN 14169-2:2012 ver. 2.0.1, 2012-01, BSI-CC-PP-0059-2009-MA-01, [SSCDPP]. • Protection profiles for secure signature creation device — Part 4: Extension for device with key generation and trusted communication with certificate generation application, prEN 14169-4:2012 ver. 1.0.1, 2012-11, BSI-CC-PP-0071. [SSCDPP4]. • Protection profiles for secure signature creation device — Part 5: Extension for device with key generation and trusted communication with signature creation application, prEN 14169- 5:2012 ver. 1.0.1, 2012-11, BSI-CC-PP-0072. [SSCDPP5]. • Common Criteria Protection Profile — Machine Readable Travel Document with “ICAO Application”, Extended Access Control with PACE (EAC PP), ver. 1.3.2, 05th December 2012, BSI-CC-PP-0056-V2-2012. [EAC1PP]. • Common Criteria Protection Profile — Electronic Document implementing Extended Access Control Version 2 defined in BSI TR-03110 (EAC2_PP), ver. 1.01, May 20th, 2015, BSI-CC-PP- 0086. [EAC2PP]. • Common Criteria Protection Profile — Machine Readable Travel Document using Standard Inspection Procedure with PACE, Version 1.01, 22th July 2014, BSI-CC-PP-0068-V2-2011-MA- 01. [PACEPP]. Nivel de Evaluación: Common Criteria v3.1 R5 EAL4 + ALC_DVS.2 + ATE_DPT.2 + AVA_VAN.5. Fecha de término de la evaluación: 11/03/2024. Fecha de expiración1: 29/05/2029. 1 Este campo se refiere a la fecha de expiración del reconocimiento del certificado en el ámbito de los acuerdos de reconocimiento mutuo firmados por este Organismo de Certificación. 4/17 https://oc.ccn.cni.es organismo.certificacion@cni.es Todos los componentes de garantía requeridos por el nivel de evaluación EAL4 (aumentado con ALC_DVS.2 + ATE_DPT.2 + AVA_VAN.5) presentan el veredicto de “PASA”. Por consiguiente, el laboratorio Applus Laboratories asigna el VEREDICTO de “PASA” a toda la evaluación por satisfacer todas las acciones del evaluador a nivel EAL4 + ALC_DVS.2 + ATE_DPT.2 + AVA_VAN.5, definidas por los Common Criteria v3.1 R5 y la CEM v3.1 R5. A la vista de las pruebas obtenidas durante la instrucción de la solicitud de certificación del producto Permiso de Residencia versión 4.0, se propone la resolución estimatoria de la misma. RESUMEN DEL TOE El TOE es una tarjeta con funcionalidades de documento de viaje. El TOE está compuesto de un chip previamente certificado (que proporciona la librería criptográfica y el firmware con el loader para la actualización del código), el sistema operativo y las librerías biométricas. Esta tarjeta implementa un sistema de ficheros que incluye las siguientes aplicaciones: • eSign (aplicación de firma [TR03110-2]). • eID (aplicación de identificación [TR03110-2]). • ePass (aplicación de pasaporte [ICAO09303]). REQUISITOS DE GARANTÍA DE SEGURIDAD El producto se evaluó con todas las evidencias necesarias para la satisfacción del nivel de evaluación EAL4 más las requeridas para los componentes adicionales ALC_DVS.2 + ATE_DPT.2 + AVA_VAN.5, según los Common Criteria v3.1 R5. ASSURANCE CLASS ASSURANCE COMPONENT ASE ASE_CCL.1 ASE_ECD.1 ASE_INT.1 ASE_OBJ.2 ASE_REQ.2 ASE_SPD.1 ASE.TSS.1 ADV ADV_ARC.1 ADV_FSP.4 ADV_IMP.1 ADV_TDS.3 AGD AGD_OPE.1 AGD_PRE.1 ALC ALC_CMC.4 ALC_CMS.4 5/17 https://oc.ccn.cni.es organismo.certificacion@cni.es ALC_DEL.1 ALC_DVS.2 ALC_LCD.1 ALC_TAT.1 ATE ATE_COV.2 ATE_DPT.2 ATE_FUN.1 ATE_IND.2 AVA AVA_VAN.5 REQUISITOS FUNCIONALES DE SEGURIDAD La funcionalidad de seguridad del producto satisface los siguientes requisitos funcionales, según los Common Criteria v3.1 R5. SECURITY FUNCTIONAL REQUIREMENTS FAU_SAS.1/EAC1PP FAU_SAS.1/EAC2PP FAU_SAS.1/UPD FCS_CKM.1/AES_PRO FCS_CKM.1/CA_EAC1PP FCS_CKM.1/DH_PACE_EAC1PP FCS_CKM.1/DH_PACE_EAC2PP FCS_CKM.1/EC_SSCDPP FCS_CKM.1/RSA_SSCDPP FCS_CKM.1/UPD_DEC FCS_CKM.1/UPD_INT FCS_CKM.1/UPD_ITC FCS_CKM.4/AES_PRO FCS_CKM.4/EAC1PP FCS_CKM.4/EAC2PP FCS_CKM.4/EC_SSCDPP FCS_CKM.4/RSA_SSCDPP FCS_CKM.4/UPD FCS_CKM.4/UPD_OS FCS_COP.1/AES_PRO FCS_COP.1/CA_ENC_EAC1PP FCS_COP.1/CA_MAC_EAC1PP FCS_COP.1/EC_SSCDPP FCS_COP.1/PACE_ENC_EAC1PP FCS_COP.1/PACE_ENC_EAC2PP FCS_COP.1/PACE_MAC_EAC1PP FCS_COP.1/PACE_MAC_EAC2PP 6/17 https://oc.ccn.cni.es organismo.certificacion@cni.es FCS_COP.1/RSA_SSCDPP FCS_COP.1/SHA_EAC2PP FCS_COP.1/SHA_SSCDPP FCS_COP.1/SIG_VER_EAC1PP FCS_COP.1/SIG_VER_EAC2PP FCS_COP.1/UPD_DEC FCS_COP.1/UPD_INT FCS_COP.1/UPD_ITC FCS_COP.1/UPD_SIG FCS_RND.1/EAC1PP FCS_RND.1/EAC2PP FDP_ACC.1/SCD/SVD_Generation_SSCDPP FDP_ACC.1/Signature-creation_SSCDPP FDP_ACC.1/SVD_Transfer_SSCDPP FDP_ACC.1/TRM_EAC1PP FDP_ACC.1/TRM_EAC2PP FDP_ACC.1/UPD FDP_ACF.1/SCD/SVD_Generation_SSCDPP FDP_ACF.1/Signature-creation_SSCDPP FDP_ACF.1/SVD_Transfer_SSCDPP FDP_ACF.1/TRM FDP_ACF.1/TRM_EAC1PP FDP_ACF.1/TRM_EAC2PP FDP_ACF.1/UPD FDP_DAU.2/SVD_SSCDPP4 FDP_IFC.1/UPD FDP_IFF.1/UPD FDP_RIP.1/EAC1PP FDP_RIP.1/EAC2PP FDP_RIP.1/SSCDPP FDP_RIP.1/UPD FDP_SDI.2/DTBS_SSCDPP FDP_SDI.2/Persistent_SSCDPP FDP_UCT.1/TRM_EAC1PP FDP_UCT.1/TRM_EAC2PP FDP_UIT.1/DTBS_SSCDPP5 FDP_UIT.1/TRM_EAC1PP FDP_UIT.1/TRM_EAC2PP FIA_AFL.1/BIO_SSCDPP FIA_AFL.1/Block_PIN_EAC2PP FIA_AFL.1/PACE_EAC1PP FIA_AFL.1/PACE_EAC2PP FIA_AFL.1/SSCDPP FIA_AFL.1/Suspend_PIN_EAC2PP FIA_AFL.1/UPD FIA_API.1/CA_EAC2PP 7/17 https://oc.ccn.cni.es organismo.certificacion@cni.es FIA_API.1/EAC1PP FIA_API.1/SSCDPP4 FIA_UAU.1/EAC2_Terminal_EAC2PP FIA_UAU.1/PACE_EAC1PP FIA_UAU.1/PACE_EAC2PP FIA_UAU.1/SSCDPP FIA_UAU.1/UPD FIA_UAU.4/PACE_EAC1PP FIA_UAU.4/PACE_EAC2PP FIA_UAU.5/PACE_EAC1PP FIA_UAU.5/PACE_EAC2PP FIA_UAU.6/CA_EAC2PP FIA_UAU.6/EAC_EAC1PP FIA_UAU.6/PACE_EAC1PP FIA_UAU.6/PACE_EAC2PP FIA_UID.1/EAC2_Terminal_EAC2PP FIA_UID.1/PACE_EAC1PP FIA_UID.1/PACE_EAC2PP FIA_UID.1/SSCDPP FIA_UID.1/UPD FMT_LIM.1/EAC1PP FMT_LIM.1/EAC2PP FMT_LIM.1/Loader FMT_LIM.2/EAC1PP FMT_LIM.2/EAC2PP FMT_LIM.2/Loader FMT_MOF.1/SSCDPP FMT_MSA.1/Admin_SSCDPP FMT_MSA.1/Signatory_SSCDPP FMT_MSA.2/SSCDPP FMT_MSA.3/SSCDPP FMT_MSA.4/SSCDPP FMT_MTD.1/Activate_PIN_EAC2PP FMT_MTD.1/Admin_SSCDPP FMT_MTD.1/CAPK_EAC1PP FMT_MTD.1/Change_PIN_EAC2PP FMT_MTD.1/CVCA_INI_EAC1PP FMT_MTD.1/CVCA_INI_EAC2PP FMT_MTD.1/CVCA_UPD_EAC1PP FMT_MTD.1/CVCA_UPD_EAC2PP FMT_MTD.1/DATE_EAC1PP FMT_MTD.1/DATE_EAC2PP FMT_MTD.1/INI_DIS_EAC1PP FMT_MTD.1/INI_DIS_EAC2PP FMT_MTD.1/INI_ENA_EAC1PP FMT_MTD.1/INI_ENA_EAC2PP 8/17 https://oc.ccn.cni.es organismo.certificacion@cni.es FMT_MTD.1/Initialize_PIN_EAC2PP FMT_MTD.1/KEY_READ_EAC1PP FMT_MTD.1/KEY_READ_EAC2PP FMT_MTD.1/PA_EAC1PP FMT_MTD.1/PA_EAC2PP FMT_MTD.1/Resume_PIN_EAC2PP FMT_MTD.1/Signatory_SSCDPP FMT_MTD.1/SK_PICC_EAC2PP FMT_MTD.1/Unblock_PIN_EAC2PP FMT_MTD.1/UPD_KEY_READ FMT_MTD.1/UPD_SK_PICC FMT_MTD.3/EAC1PP FMT_MTD.3/EAC2PP FMT_SMF.1/EAC1PP FMT_SMF.1/EAC2PP FMT_SMF.1/SSCDPP FMT_SMF.1/UPD FMT_SMR.1 FMT_SMR.1/PACE_EAC1PP FMT_SMR.1/PACE_EAC2PP FMT_SMR.1/SSCDPP FMT_SMR.1/UPD FPT_EMS.1/EAC1PP FPT_EMS.1/EAC2PP FPT_EMS.1/SSCDPP FPT_EMS.1/UPD FPT_FLS.1/EAC1PP FPT_FLS.1/EAC2PP FPT_FLS.1/SSCDPP FPT_FLS.1/UPD FPT_PHP.1/SSCDPP FPT_PHP.3/EAC1PP FPT_PHP.3/EAC2PP FPT_PHP.3/SSCDPP FPT_TST.1/EAC1PP FPT_TST.1/EAC2PP FPT_TST.1/SSCDPP FPT_TST.1/UPD FTP_ITC.1/CA2_EAC2PP FTP_ITC.1/DTBS_SSCDPP5 FTP_ITC.1/PACE_EAC1PP FTP_ITC.1/PACE_EAC2PP FTP_ITC.1/SVD_SSCDPP4 FTP_ITC.1/UPD FTP_ITC.1/VAD_SSCDPP5 9/17 https://oc.ccn.cni.es organismo.certificacion@cni.es IDENTIFICACIÓN Producto: Permiso de Residencia versión 4.0. Declaración de Seguridad: Declaración de Seguridad del Permiso de Residencia 4.0, versión 1.0, revisión 6. Perfiles de Protección: • Protection Profiles for Secure Signature Creation Device – Part 2: Device with key generation, prEN 14169-2:2012 ver. 2.0.1, 2012-01, BSI-CC-PP-0059-2009-MA-01, [SSCDPP]. • Protection profiles for secure signature creation device — Part 4: Extension for device with key generation and trusted communication with certificate generation application, prEN 14169-4:2012 ver. 1.0.1, 2012-11, BSI-CC-PP-0071. [SSCDPP4]. • Protection profiles for secure signature creation device — Part 5: Extension for device with key generation and trusted communication with signature creation application, prEN 14169- 5:2012 ver. 1.0.1, 2012-11, BSI-CC-PP-0072. [SSCDPP5]. • Common Criteria Protection Profile — Machine Readable Travel Document with “ICAO Application”, Extended Access Control with PACE (EAC PP), ver. 1.3.2, 05th December 2012, BSI-CC-PP-0056-V2-2012. [EAC1PP]. • Common Criteria Protection Profile — Electronic Document implementing Extended Access Control Version 2 defined in BSI TR-03110 (EAC2_PP), ver. 1.01, May 20th, 2015, BSI-CC-PP- 0086. [EAC2PP]. • Common Criteria Protection Profile — Machine Readable Travel Document using Standard Inspection Procedure with PACE, Version 1.01, 22th July 2014, BSI-CC-PP-0068-V2-2011-MA- 01. [PACEPP]. Nivel de Evaluación: Common Criteria v3.1 R5 EAL4 + ALC_DVS.2 + ATE_DPT.2 + AVA_VAN.5. POLÍTICA DE SEGURIDAD El uso del producto Permiso de Residencia versión 4.0, debe implementar una serie de políticas organizativas, que aseguran el cumplimiento de diferentes estándares y exigencias de seguridad. El detalle de estas políticas se encuentra en la Declaración de Seguridad en el apartado 4.3. HIPÓTESIS Y ENTORNO DE USO Las siguientes hipótesis restringen las condiciones sobre las cuales se garantizan las propiedades y funcionalidades de seguridad indicadas en la Declaración de Seguridad. Estas mismas hipótesis se han aplicado durante la evaluación en la determinación de la condición de explotables de las vulnerabilidades identificadas. Por tanto, para garantizar el uso seguro del TOE, se parte de las siguientes hipótesis para su entorno de operación. En caso de que alguna de ellas no pudiera 10/17 https://oc.ccn.cni.es organismo.certificacion@cni.es asumirse, no sería posible garantizar el funcionamiento seguro del TOE. Se pueden encontrar en el apartado 4.4. de la Declaración de Seguridad. ACLARACIONES SOBRE AMENAZAS NO CUBIERTAS Las siguientes amenazas no suponen un riesgo explotable para el producto Permiso de Residencia versión 4.0, aunque los agentes que realicen ataques tengan potencial de ataque Alto correspondiente a EAL4 + ALC_DVS.2 + ATE_DPT.2 + AVA_VAN.5, y siempre bajo el cumplimiento de las hipótesis de uso y la correcta satisfacción de las políticas de seguridad. Para cualquier otra amenaza no incluida en esta lista, el resultado de la evaluación de las propiedades del producto, y el correspondiente certificado, no garantizan resistencia alguna. Las amenazas cubiertas por las propiedades de seguridad del TOE se encuentran en el apartado 4.2 de la Declaración de Seguridad. FUNCIONALIDAD DEL ENTORNO El producto requiere de la colaboración del entorno para la cobertura de algunos objetivos del problema de seguridad definido. Los objetivos que se deben cubrir por el entorno de uso del TOE se encuentran en el apartado 5.2 de la Declaración de Seguridad. Los detalles de la definición del entorno del producto (hipótesis, amenazas y políticas de seguridad) o de los requisitos de seguridad del TOE se encuentran en la correspondiente Declaración de Seguridad. ARQUITECTURA ARQUITECTURA LÓGICA El TOE implementa un sistema de ficheros en el que se encuentran las siguientes aplicaciones: • eSign (aplicación de firma [TR03110-2]). • eID (aplicación de identificación [TR03110-2]). • ePass (aplicación de pasaporte [ICAO09303]). ARQUITECTURA FÍSICA El TOE está compuesto por los siguientes cinco elementos: • IC (plataforma subyacente): ST31G480 E05 de ST Microelectronics. • Firmware: v3.0.1. • Librería criptográfica: Neslib 6.2.1. 11/17 https://oc.ccn.cni.es organismo.certificacion@cni.es • Sistema Operativo: DNIe, versión 5.52. • Librerías biométricas: Sagem2 v5.00 ó Siemens3 v5.00. El alcance físico del TOE incluye también los documentos que se citan en la sección siguiente. DOCUMENTOS El producto incluye los documentos indicados a continuación, que deberán distribuirse y facilitarse de manera conjunta a los usuarios de la versión evaluada. Documento Referencia Guía preparativa – Permiso de residencia 4.0. v1.0 r6. 16/01/2024. [GP] Guía operativa para usuario final. Permiso de residencia 4.0. v1.0 r6. 16/01/2024. [GOU] Guía operativa para administrador. Permiso de residencia 4.0. v1.0 r6. 16/01/2024. [GOA] Guías Operativas. Permiso de residencia 4.0. v1.0 r6. 16/01/2024. [GO] Anexo I Ejemplo - Guía Operativa para usuario final. Permiso de residencia 4.0. v1.0 r6. 16/01/2024. [AGO] Especificación funcional del TOE – Manual de comandos. Permiso de residencia 4.0. v1.0 r6. 16/01/2024. [CMD] Scripts de expedición: • MRTD_y_PRES_5_52_Expedicion_CerrarDNIe_v01 • MRTD_y_PRES_5_52_Expedicion_ePassport_v01 • MRTD_y_PRES_5_52_Expedicion_eID_v01 • MRTD_y_PRES_5_52_Expedicion_eSign_v01 - PRUEBAS DEL PRODUCTO El fabricante ha realizado pruebas para todas las funciones de seguridad. Todas las pruebas han sido realizadas por el fabricante, en sus instalaciones, con resultado satisfactorios. Durante el proceso de evaluación se han verificado cada una de las pruebas individuales, comprobando que se identifica la función de seguridad que cubre y que la prueba es adecuada a la función de seguridad que se desea cubrir. Todas las pruebas se han realizado sobre un mismo escenario de pruebas, acorde a la arquitectura identificada en la Declaración de Seguridad. Se ha comprobado que los resultados obtenidos en las pruebas se ajustan a los resultados esperados. 2 Sagem, Morpho e Idemia son los distintos nombres que desde el lanzamiento del proyecto de Permiso de Residencia ha ido tomando el proveedor de una de las librerías Match On Card. Se refieren al mismo proveedor. 3 Siemens y Atos son los distintos nombres que desde el lanzamiento del proyecto de Permiso de Residencia ha ido tomando el proveedor de una de las librerías Match On Card. Se refieren al mismo proveedor. 12/17 https://oc.ccn.cni.es organismo.certificacion@cni.es Dada la similitud entre el TOE del presente expediente y el correspondiente al expediente 2019-06 (DNIe versión 4.0), y tras analizar las diferencias y el impacto de las mismas, el evaluador ha reutilizado los resultados obtenidos en las pruebas del expediente 2019-06 en los casos posibles y ha realizado las pruebas sobre el TOE del expediente 2018-69 en los casos en los que la reutilización no era posible. Se han verificado el resultado del 100% de las pruebas del plan de pruebas del fabricante. Adicionalmente, el laboratorio ha desarrollado un plan de pruebas independiente con el objetivo de cubrir escenarios o casos de pruebas no contemplados en el plan de pruebas del fabricante. A través del plan de pruebas independiente se han probado el 3,6% de los SFR y el 23,5% de las TSFI. Teniendo en cuenta la lista de vulnerabilidades aplicables al TOE por su naturaleza y su entorno operacional, el equipo de evaluación desarrolló un análisis de vulnerabilidades teniendo en cuenta el estado del arte en el momento de la evaluación y preparó un entorno de pruebas para la realización de las pruebas de penetración pertinentes, de acuerdo con los documentos de apoyo del JIL (Joint Interpretation Library) aplicables al dominio técnico de “Smartcards and Similar devices”, cuyas referencias son [JILAAPS] y [JILADVARC]. El equipo de evaluación analizó también la lista de requisitos de seguridad de la plataforma certificada subyacente basándose en el informe técnico de evaluación para la composición y teniendo en cuenta el estado del arte en el momento de emisión del nuevo informe de análisis de vulnerabilidades, junto con los requisitos específicos del TOE y su entorno operacional declarados en la Declaración de Seguridad. Como resultado final de las pruebas realizadas, el equipo evaluador concluye que, teniendo en cuenta el estado del arte a la fecha de emisión de su informe, no existe ninguna vulnerabilidad explotable en el entorno operacional declarado, por lo que el TOE es resistente a atacantes con potencial de ataque Alto según se define en Common Criteria versión 3.1 revisión 5. CONFIGURACIÓN EVALUADA Los requisitos software y hardware, así como las opciones referidas son los que se indican a continuación. Así, para el funcionamiento del producto Permiso de Residencia versión 4.0 es necesario disponer de los siguientes componentes: • IC (plataforma subyacente): ST31G480 E05 de ST Microelectronics. • Firmware: v3.0.1. • Librería criptográfica: Neslib 6.2.1. • Sistema Operativo: DNIe, versión 5.52. • Librerías biométricas: Sagem4 v5.00 ó Siemens5 v5.00. 4 Sagem, Morpho e Idemia son los distintos nombres que desde el lanzamiento del proyecto de Permiso de Residencia ha ido tomando el proveedor de una de las librerías Match On Card. Se refieren al mismo proveedor. 13/17 https://oc.ccn.cni.es organismo.certificacion@cni.es El TOE presenta cuatro opciones de configuración, que dependen de la capacidad o no de actualizar el código y de la librería biométrica utilizada. Estas configuraciones y la identificación del TOE correspondiente a cada una de ellas son las siguientes: • Chip ST31G480 E05 y Biometría de Sagem (PRES 05.52 A01 H 00B8). • Chip ST31G480 E05 y Biometría de Siemens (PRES 05.52 B01 H 00B8). • Chip ST31G480 E05 actualizable y Biometría de Sagem (PRES 05.52 C01 H 00B8). • Chip ST31G480 E05 actualizable y Biometría de Siemens (PRES 05.52 D01 H 00B8). El consumidor del TOE puede verificar la configuración de este siguiendo el procedimiento de recepción definido en el apartado 2.3.2 “Entrega segura y recepción segura” del documento “Guía preparativa tarjeta Permiso de Residencia 4.0” (versión 1.0, Revisión 6, de 16 de enero de 2024). RESULTADOS DE LA EVALUACIÓN El producto Permiso de Residencia versión 4.0 ha sido evaluado en base a la Declaración de Seguridad Declaración de Seguridad del Permiso de Residencia 4.0, versión 1.0, revisión 6, 16/01/2024. Todos los componentes de garantía requeridos por el nivel de evaluación EAL4 + ALC_DVS.2 + ATE_DPT.2 + AVA_VAN.5 presentan el veredicto de “PASA”. Por consiguiente, el laboratorio Applus Laboratories asigna el VEREDICTO de “PASA” a toda la evaluación por satisfacer todas las acciones del evaluador a nivel EAL4 + ALC_DVS.2 + ATE_DPT.2 + AVA_VAN.5, definidas por los Common Criteria v3.1 R5 y la CEM v3.1 R5. RECOMENDACIONES Y COMENTARIOS DE LOS EVALUADORES A continuación, se proporcionan las recomendaciones acerca del uso seguro del producto. Estas recomendaciones han sido recopiladas a lo largo de todo el proceso de evaluación y se detallan para que sean consideradas en la utilización del producto. • El usuario debe seguir estrictamente las guías de seguridad del TOE. • El usuario debe mantener el TOE bajo su control personal, así como establecer las medidas de seguridad exigibles al entorno operacional. 5 Siemens y Atos son los distintos nombres que desde el lanzamiento del proyecto de Permiso de Residencia ha ido tomando el proveedor de una de las librerías Match On Card. Se refieren al mismo proveedor. 14/17 https://oc.ccn.cni.es organismo.certificacion@cni.es RECOMENDACIONES DEL CERTIFICADOR A la vista de las pruebas obtenidas durante la instrucción de la solicitud de certificación del producto Permiso de Residencia versión 4.0, se propone la resolución estimatoria de la misma. El certificador recomienda a los potenciales consumidores del TOE prestar especial atención a las recomendaciones y comentarios de los evaluadores, seguir estrictamente las indicaciones recogidas en las guías del fabricante detalladas en la sección DOCUMENTOS del presente informe y revisar las hipótesis declaradas en la definición del problema de seguridad que aparecen en la sección 4.4 de la Declaración de Seguridad. GLOSARIO DE TÉRMINOS CCN Centro Criptológico Nacional CNI Centro Nacional de Inteligencia EAL Evaluation Assurance Level ETR Evaluation Technical Report OC Organismo de Certificación TOE Target Of Evaluation BIBLIOGRAFÍA Se han utilizado las siguientes normas y documentos en la evaluación del producto: [CC_P1] Common Criteria for Information Technology Security Evaluation Part 1: Introduction and general model, Version 3.1, R5 Final, April 2017. [CC_P2] Common Criteria for Information Technology Security Evaluation Part 2: Security functional components, Version 3.1, R5 Final, April 2017. [CC_P3] Common Criteria for Information Technology Security Evaluation Part 3: Security assurance components, Version 3.1, R5 Final, April 2017. [CEM] Common Methodology for Information Technology Security Evaluation: Version 3.1, R5 Final, April 2017. [JILAAPS] Application of Attack Potential to Smartcards, version 2.9. Jan. 2013. Joint Interpretation Library. [JILADVARC] Security Architecture requirements (ADV_ARC) for Smart Cards and similar devices, version 2.0. Jan 2012. Joint Interpretation Library. [ST] Declaración de Seguridad del Permiso de Residencia 4.0, versión 1.0, revisión 6, 16/01/2024. [ST-Lite] Declaración de Seguridad reducida del Permiso de Residencia, versión 2.0, revisión 1. 15/17 https://oc.ccn.cni.es organismo.certificacion@cni.es [SSCDPP] Protection profiles for secure signature creation device – Part 2: Device with key generation, prEN 14169-2:2012 ver. 2.01, 2012-01, BSI-CC-PP-0059-2009-MA-01. [SSCDPP4] Protection profiles for secure signature creation device — Part 4: Extension for device with key generation and trusted communication with certificate generation application, prEN 14169-4:2012 ver. 1.0.1, 2012-11, BSI-CC-PP-0071. [SSCDPP5] Protection profiles for secure signature creation device — Part 5: Extension for device with key generation and trusted communication with signature creation application, prEN 14169- 5:2012 ver. 1.0.1, 2012-11, BSI-CC-PP-0072. [EAC1PP] Common Criteria Protection Profile — Machine Readable Travel Document with “ICAO Application”, Extended Access Control with PACE (EAC PP), ver.1.3.2, 05th December 2012, BSI-CC- PP-0056-V2-2012. [EAC2PP] Common Criteria Protection Profile — Electronic document implementing Extended Access Control Version 2 (EAC2) defined in BSI TR-03110 (EAC2_PP), ver. 1.01, May 20th, 2015, BSI- CC-PP-0086. [PACEPP] Common Criteria Protection Profile — Machine Readable Travel Document using Standard Inspection Procedure with PACE, Version 1.01, 22th July 2014, BSI-CC-PP-0068-V2-2011- MA-01 DECLARACIÓN DE SEGURIDAD O DECLARACIÓN DE SEGURIDAD LITE Junto con este Informe de Certificación, se dispone en el Organismo de Certificación de la Declaración de Seguridad completa de la evaluación: - Declaración de Seguridad del Permiso de Residencia 4.0, versión 1.0, revisión 6, 16/01/2024. La versión pública de este documento constituye la “Declaración de Seguridad LITE” que ha sido revisada siguiendo el documento con código [CCDB-2006-04-004], y se publica con el informe de certificación en las webs del CCRA y del OC. El identificador de la “Declaración de Seguridad LITE” es: - Declaración de Seguridad reducida del Permiso de Residencia, versión 2.0, revisión 1. 16/17 https://oc.ccn.cni.es organismo.certificacion@cni.es RECOGNITION AGREEMENTS In order to avoid multiple certification of the same product in different countries a mutual recognition of IT security certificates - as far as such certificates are based on ITSEC or CC - under certain conditions was agreed. European Recognition of ITSEC/CC – Certificates (SOGIS-MRA) The SOGIS-Mutual Recognition Agreement (SOGIS-MRA) Version 3 became effective in April 2010. It defines the recognition of certificates for IT-Products at a basic recognition level and, in addition, at higher recognition levels for IT-Products related to certain SOGIS Technical Domains only. The basic recognition level includes Common Criteria (CC) Evaluation Assurance Levels EAL 1 to EAL 4 and ITSEC Evaluation Assurance Levels E1 to E3 (basic). For "Smartcards and similar devices" a SOGIS Technical Domain is in place. For "HW Devices with Security Boxes" a SOGIS Technical Domains is in place, too. In addition, certificates issued for Protection Profiles based on Common Criteria are part of the recognition agreement. The new agreement has been signed by the national bodies of Austria, Finland, France, Germany, Italy, The Netherlands, Norway, Spain, Sweden and the United Kingdom. The current list of signatory nations and approved certification schemes, details on recognition, and the history of the agreement can be seen on the website at https://www.sogis.eu. The SOGIS-MRA logo printed on the certificate indicates that it is recognised under the terms of this agreement by the nations listed above. The certificate of this TOE is recognized under SOGIS-MRA for all assurance components selected. International Recognition of CC – Certificates (CCRA) The international arrangement on the mutual recognition of certificates based on the CC (Common Criteria Recognition Arrangement, CCRA-2014) has been ratified on 08 September 2014. It covers CC certificates based on collaborative Protection Profiles (cPP) (exact use), CC certificates based on assurance components up to and including EAL 2 or the assurance family Flaw Remediation (ALC_FLR) and CC certificates for Protection Profiles and for collaborative Protection Profiles (cPP). The CCRA-2014 replaces the old CCRA signed in May 2000 (CCRA-2000). Certificates based on CCRA- 2000, issued before 08 September 2014 are still under recognition according to the rules of CCRA- 2000. For on 08 September 2014 ongoing certification procedures and for Assurance Continuity (maintenance and re-certification)of old certificates a transition period on the recognition of certificates according to the rules of CCRA-2000 (i.e. assurance components up to and including EAL 4 or the assurance family Flaw Remediation (ALC_FLR)) is defined until 08 September 2017. 17/17 https://oc.ccn.cni.es organismo.certificacion@cni.es As of September 2014 the signatories of the new CCRA-2014 are government representatives from the following nations: Australia, Austria, Canada, Czech Republic, Denmark, Finland, France, Germany, Greece, Hungary, India, Israel, Italy, Japan, Malaysia, The Netherlands, New Zealand, Norway, Pakistan, Republic of Korea, Singapore, Spain, Sweden, Turkey, United Kingdom, and the United States. The current list of signatory nations and approved certification schemes can be seen on the website: http://www.commoncriteriaportal.org. The Common Criteria Recognition Arrangement logo printed on the certificate indicates that this certification is recognised under the terms of this agreement by the nations listed above. The certificate of this TOE is recognized under CCRA for all assurance components up to EAL2 and ALC_FLR.