Common Criteria Schutzprofil für eine softwarebasierte Kennwortverwaltung

Transkript

1 Common Criteria Schutzprofil für eine softwarebasierte Kennwortverwaltung Jan Schirrmacher Version Datum Änderungen Ersterstellung Hinzufügen von Kapitel 2, Hinzufügen von Kapitel Überarbeitung aller Kapitel Hinzufügen von Kapitel Überarbeitung aller Kapitel Hinzufügen von Glossar, Abkürzungen Überarbeitung aller Kapitel Überarbeitung aller Kapitel nach QS

2 Inhaltsverzeichnis Tabellenverzeichnis Schutzprofil-Einführung Schutzprofil-Referenz Evaluationsgegenstand-Übersicht Produkttyp Abgrenzung des Evaluationsgegenstandes Technische Flexibilität Schutzprofil-Organisation Abkürzungen Glossar Konformitätsbehauptung Definition des Sicherheitsbedarfs Identifizierung Benutzer Aktionen Werte Bedrohungen Annahmen Organisatorische Sicherheitspolitiken Sicherheitsziele Evaluationsgegenstand Einsatzumgebung Begründung IT-Sicherheitsanforderungen Kennzeichnung der Komponenten Funktionale Sicherheitsanforderung an den EVG FCS_CKM.1 Cryptographic key generation FCS_CKM.4 Cryptographic key destruction FCS_COP.1 Cryptographic operation FDP_ACC.2 Complete access control FDP_ACF.1 Security attribute based access control Inhaltsverzeichnis 2

3 5.2.6 FIA_AFL.1 Authentication failure handling FIA_SOS.1 Verification of secrets FIA_SOS.2 TSF Generation of secrets FIA_UAU.1 Timing of authentication FIA_UAU.6 Re-authenticating FIA_UID.2 User identification before any action FMT_MOF.1 Management of security functions behaviour FMT_MSA.1 Management of security attributes FMT_MSA.3 Static attribute initialisation FMT_SMF.1 Specification of Management Functions FMT_SMR.1 Security roles FPT_FLS.1 Failure with preservation of secure state FPT_RCV.4 Function recovery Vertrauenswürdigkeitsanforderungen des EVG Augmentierung der EAL-Paketstufe AVA_VAN.5 Advanced methodical vulnerability analysis ADV_FSP.5 Complete semi-formal functional specification with additional error information ADV_TDS.4 Semiformal modular design ADV_IMP.1 Implementation representation of the TSF ALC_TAT.1 Well-defined development tools ATE_DPT.3 Testing: modular design Zusammenfassung der Vertrauenswürdigkeitsanforderungen Begründung Funktionale Sicherheitsanforderungen Vertrauenswürdigkeitsanforderungen Inhaltsverzeichnis 3

4 Tabellenverzeichnis Tabelle 1: Abdeckung der Bedrohungen durch die Sicherheitsziele für den EVG Tabelle 2: Abdeckungen der Annahmen durch die Sicherheitsziele für die Einsatzumgebung 17 Tabelle 3: Notwendigkeit der Sicherheitsziele für den EVG aus den Bedrohungen Tabelle 4: Notwendigkeit der Sicherheitsziele für die Einsatzumgebung aus den Annahmen. 17 Tabelle 5: Auflistung aller funktionalen Sicherheitsanforderungen Tabelle 6: Auflistung aller Vertrauenswürdigkeitsanforderungen (EAL 3+) Tabelle 7: Nachweis der inhaltlichen Konsistenz der funktionalen Sicherheitsanforderungen 28 Tabelle 8: Abdeckung der Sicherheitsziele für den EVG durch die funktionalen Sicherheitsabdeckungen Tabelle 9: Notwendigkeit der funktionalen Sicherheitsabdeckungen aus den Sicherheitszielen für den EVG Tabelle 10: Nachweis der inhaltlichen Konsistenz der Augmentierung der Vertrauenswürdigkeitsanforderungen Abbildungsverzeichnis Abbildung 1: Schematischer Aufbau des EVG... 6 Abbildung 2: Abhängigkeit zwischen SFR, SAR und Vertrauen in die IT-Sicherheit Tabellenverzeichnis 4

5 1 Schutzprofil-Einführung 1 Dieses Schutzprofil (Protection Profile PP) betrachtet alle softwarebasierten Kennwortverwaltungen zur Speicherung von Geheimnissen zur Identifikation und Authentisierung, wie Passwörter, PINs, TANs, Schlüssel und Zertifikate. 2 Unberechtigte Dritte sollen nicht in der Lage sein, die gespeicherten Geheimnisse auszulesen oder zu manipulieren. Dieses Schutzprofil definiert einen Basissatz an Sicherheitsanforderungen zur Wahrung der Vertraulichkeit und Integrität bei Angriffen oder Störungen. Zum Schutz der gespeicherten Geheimnisse wird ein einzelnes komplexes Authentisierungsmerkmal, das Masterpasswort, genutzt. 3 Diese Art der Geheimnisverwaltung ermöglicht es dem Anwender, komplexe und ausreichend lange Passwörter zu wählen. Diese können regelmäßig geändert werden und müssen nicht mehr am Arbeitsplatz hinterlegt werden. Weiterhin wird es dem Endanwender erleichtert, unterschiedliche Passwörter für unterschiedliche Anwendungen zu wählen. 4 Dieses Schutzprofil ist generisch gehalten, so dass möglichst viele softwarebasierte Kennwortverwaltungen gegen dieses Schutzprofil getestet werden. Eine Beschränkung auf einzelne Betriebssysteme oder spezielle Implemtierungen erfolgt nicht. 5 Es bleibt dem Hersteller überlassen, Produkte, die zu diesem Schutzprofil konform sind, um zusätzliche Sicherheitsfunktionen zur Erhöhung der Sicherheitsleistung zu erweitern. Einige Hinweise dazu werden in Form von Anwendungsbemerkungen im PP vorgestellt. Die Erweiterungen können in den Sicherheitsvorgaben (Security Target ST) spezifiziert werden, welche die Basis für eine Zertifizierung eines konkreten Produktes darstellen. 1.1 Schutzprofil-Referenz 6 PP-Name: Schutzprofil für eine softwarebasierte Kennwortverwaltung 7 PP-Version: PP-ID: xxx 9 Datum: Antragsteller: datenschutz nord GmbH 11 Autor: Jan Schirrmacher 12 EVG-Name: softwarebasierte Kennwortverwaltung 1.2 Evaluationsgegenstand-Übersicht 13 Dieses Kapitel enthält neben der Abgrenzung des EVGs allgemeine Informationen zur Nutzung und der Darstellung der zu schützenden Werte. Schutzprofil-Einführung 5

6 1.2.1 Produkttyp 15 Der EVG bezieht sich auf eine softwarebasierte Kennwortverwaltung, die in ein bestehendes Betriebssystem integriert werden kann. Mit der Kennwortverwaltung ist es möglich, mit einem einzigen, komplexen Masterpasswort Authentisierungsmerkmale für unterschiedliche Anwendungen sicher zu verwahren. Abbildung 1: Schematischer Aufbau des EVG 16 In Abbildung 1 ist der schematische Aufbau einer softwarebasierten Kennwortverwaltung dargestellt. Folgende Komponenten sind definiert: 17 Controller: Regelt den Informationsfluss innerhalb des EVG und nach außen über die GUI oder die Konsole zum Benutzer. Der Controller regelt die Zugriffskontrolle auf die Speicherbereiche des EVG. Der Zugriff auf die Speicherbereiche wird erst bei erfolgter Authentisierung gewährt. 18 Speicher: Enthält alle schützenswerten Informationen des EVG. Anwendungsbemerkung 1: Der Speicher sollte für verschiedene Benutzer (-gruppen) oder Sicherheitsanforderungen in unterschiedliche Speichersegmente unterteilbar sein. Schutzprofil-Einführung 6

7 Anwendungsbemerkung 2: Für die Art des Speichers stehen grundverschiedene Methoden (Datenbank, XML) zur Verfügung. Diese Unterscheidung ist implementierungsabhängig und für die Betrachtung im Schutzprofil nicht relevant. 19 Der EVG gewährleistet die Vertraulichkeit und Integrität der gespeicherten Informationen im Speicher durch zwei unterschiedliche Sicherheitsmechanismen: 20 Zugriffskontrolle: Der Controller ermöglicht erst nach vorheriger erfolgreicher Authentisierung den Zugriff auf die Daten im Speicherbereich. Die Zugriffskontrolle ermöglicht ebenfalls eine Segmentierung, so dass unterschiedliche Benutzer (-gruppen) und Sicherheitsanforderungen realisiert werden können. Hierfür ist es zwingend erforderlich, unterschiedliche Authentisierungsmerkmale zu nutzen. Anwendungsbemerkung 3: Die Authentisierung erfolgt über ein Masterpasswort, das keine weitere dedizierte Hardware für die Nutzung benötigt. Bei Fehlauthentisierung sollte der EVG mit Zeitverzögerung für einen erneuten Authentisierungsversuch reagieren. 21 Verschlüsselung: Die Verschlüsselung der Daten dient primär der Vertraulichkeit der Daten und stellt sicher, dass die schützenswerten Informationen im Speicher nicht ohne gültige Authentisierung gelesen werden können. Sekundär wird mit der Verschlüsselung die Integrität der schützenswerten Informationen sichergestellt. 22 Die Sicherheitsmechanismen Zugriffskontrolle und Verschlüsselung sollen die gespeicherten Informationen gegen hohes Angriffspotential gemäß den Common Criteria sicherstellen, da grundsätzliche Schwachstellen zu einem generellen Verlust aller Authentisierungsmerkmale führen können. Bei einem unternehmensweiten Einsatz kann dies zum Verlust der Vertraulichkeit, Integrität und Verfügbarkeit aller zu schützenden Werte kommen. Damit ist die Kennwortverwaltung ein zentraler Angriffspunkt für einen potentiellen Provokateur. 23 Das wesentliche Sicherheitsmerkmal des EVG ist die vollständige Implementierung der Sicherheitsfunktionen im EVG selbst, das heißt, es werden keine externen Bibliotheken oder Funktionsbausteine genutzt. Der EVG ist damit weitestgehend unabhängig vom Betriebssystem. 24 Nach dem Start der Kennwortverwaltung muss sich der Benutzer authentisieren, um Zugriff auf die ihm zugeordneten Informationen zu erlangen. Der Controller überprüft anhand der hinterlegten Authentisierungsmerkmale die Authentizität und entschlüsselt den Speicherbereich des Benutzers. Die Authentisierung muss beim Neustart und bei Nichtnutzung über einen vorher definierten Zeitraum neu erfolgen. 25 Die Konfiguration erfolgt direkt über den Benutzer, da sämtliche Einstellungen benutzerspezifisch, dass heißt nur für diesen gelten. Eine übergeordnete Administratorrolle ist nicht notwendig. 26 Der Ver- und Entschlüsselungsprozess läuft für den Benutzer transparent im Hintergrund ab. Bei Störungen der Kennwortverwaltung durch Prozessabbruch oder Systemabsturz, hat der Schutzprofil-Einführung 7

8 EVG dafür Sorge zu tragen, dass die schützenswerten Informationen nur noch verschlüsselt vorliegen. Beim Wiederanlauf erlangt der EVG wieder einen konsistenten Zustand, so dass eine Wiederauthentisierung notwendig ist. 27 Der EVG ist dafür verantwortlich, Datenspuren (z.b. Zwischenablage und den Papierkorb) im zugrundeliegenden Betriebssystem zu kontrollieren, sofern in diesem schützenswerte Informationen vorliegen. Ist eine Kontrolle durch den EVG nicht möglich, so werden keine unverschlüsselten Informationen abgelegt. Anwendungsbemerkung 4: Ist eine direkte Kontrolle nicht möglich, wie zum Beispiel beim Arbeitsspeicher oder Auslagerungsdateien, so sind indirekte Maßnahmen, wie das gezielte Überschreiben von reserviertem Speicher nach Beenden der Applikation oder Verschlüsseln/Löschen von Auslagerungsdateien, zu treffen Abgrenzung des Evaluationsgegenstandes 28 Bei dem zu betrachtenden EVG handelt es sich um eine Kennwortverwaltung mit integrierter Sicherheitsfunktionalität mit den Komponenten Controller und Speicher. Als Schnittstelle für den Anwender dient eine grafische Oberfläche oder Konsole, die vom Betriebssystem dargestellt wird. Das Betriebssystem ist nicht Teil des EVG Technische Flexibilität 29 Dieses Schutzprofil richtet sich an die gesamte Produktklasse der softwarebasierten Kennwortverwaltungen. Daher sind die Anforderungen dieses Schutzprofils generischer Natur um eine Evaluierung unterschiedlicher technischer Implementierungen zu ermöglichen. 30 Im Folgenden werden die wichtigsten Aspekte hinsichtlich der Implementierungsabhängigkeit aufgelistet: 31 Speicherstruktur: Es wird keine spezifizierte Speicherstruktur vorgegeben. Die Implementierung muss eine Segmentierung des Speichers vorsehen. 32 Speicherart: Die Art des Speichers wird nicht näher spezifiziert. Neben einer relationalen oder objektorientierten Datenbank können ebenfalls einfache (XML-) Dateien genutzt werden. 33 Kryptografischer Algorithmus: Es wird kein spezifischer kryptografischer Algorithmus gefordert. Der implementierte Algorithmus muss die Vertraulichkeit und Integrität der schützenswerten Informationen sicherstellen. Anwendungsbemerkung 5: Eine Eignung des kryptographischen Algorithmus kann in Anlehnung an die Empfehlung der Bundesnetzagentur zur digitalen Signatur erfolgen. 34 Kryptografischer Schlüssel: Die Erzeugung des kryptografischen Schlüssels ist nicht spezifiziert. Dieser kann z.b. aus dem Authentisierungsmerkmal generiert werden. Schutzprofil-Einführung 8

9 1.3 Schutzprofil-Organisation 35 Die wesentlichen Bestandteile des Schutzprofils sind die EVG-Beschreibung, die EVG-Sicherheitsumgebung, die Sicherheitsziele, die IT-Sicherheitsanforderungen und die Erklärung. 36 Die EVG-Beschreibung liefert allgemeine Informationen über den Evaluationsgegenstand (EVG), wie etwa den beabsichtigten Gebrauch und die Darstellung der zu schützenden Werte. Sie ist die Voraussetzung zum Verständnis der Sicherheitsanforderungen. 37 Die EVG-Sicherheitsumgebung legt in den Annahmen die Sicherheitsauflagen an die Umgebung, in der der EVG eingesetzt werden soll, dar. In den Abschnitten Bedrohungen und organisatorische Sicherheitspolitiken werden die vom EVG abzuwehrenden Bedrohungen oder die relevanten Gesetze, deren Einhaltung der EVG zu erfüllen hat, aufgeführt. 38 Die Sicherheitsziele legen produktunabhängig dar, wie der EVG den genannten Bedrohungen begegnet und wie er den organisatorischen Sicherheitspolitiken Rechnung trägt. Auch wird für jede Annahme an die EVG-Nutzung das damit verfolgte Sicherheitsziel erläutert. 39 Die IT-Sicherheitsanforderungen stellen die funktionalen Sicherheitsanforderungen an den EVG und seine Umgebung dar und definieren die Anforderungen an die Vertrauenswürdigkeit. Die Notation der Anforderungen entspricht der in den Common Criteria vordefinierten semiformalen Sprache. 40 Die Erklärung weist nach, dass das Schutzprofil eine vollständige und zusammengehörige Menge von IT-Sicherheitsanforderungen ist und dass ein zum Schutzprofil konformer EVG die Sicherheitsziele vollständig erfüllt. 1.4 Abkürzungen 41 CC Common Criteria 42 EAL Evaluation Assurance Level (Vertrauenswürdigkeitstufe) 43 EVG Evaluierungsgegenstand 44 FSP Funktionale Spezifikation 45 PP Protection Profile (Schutzprofil) 46 SAR Security Assurance Requirement (Vertrauenswürdigkeitsanforderung) 47 SFR Security Functional Requirement (funktionale Sicherheitsanforderung) 48 ST Security Target (Sicherheitsvorgaben) Schutzprofil-Einführung 9

10 49 TOE Target of Evaluation (Evaluierungsgegenstand) 50 TSF TOE Security Function (EVG-Sicherheitsfunktion) 1.5 Glossar 51 Algorithmus, kryptografisch: Eindeutig definiertes Verfahrensschema zur Lösung einer mathematischen Aufgabe, wie Ver- und Entschlüsselung. 52 Augmentierung: Vergrößerung beziehungsweise Erweiterung einer bestehenden Menge. 53 Authentisierung: Vorgang des Nachweises der eigenen Identität 54 Authentisierungsmerkmal: Besitz eines eindeutigen Gegenstandes (Fingerabdruck, Token) oder Kenntnis eines Geheimnisses (Passwort) zur Authentisierung. 55 Dediziert: Eindeutige Zuordnung eines Systems zu einer feststehenden Aufgabe zur Steigerung der Performance und/oder Sicherheit. 56 Generisch: Objekt oder ein Begriff mit Bezug auf eine große Klasse oder Gruppe von Objekten oder Begriffen bezeichnet. Ein generischer Begriff ist in diesem Sinne komplex, weil er für eine Vielzahl von spezifischen Begriffsinhalten und Bedeutungen steht und durch Abstraktion entsteht. 57 Identifizierung: Überprüfung, welche Entität einer natürlichen Person zuzuordnen ist. 58 Integrität: Schutzziel, das besagt, dass Daten über einen definierten Zeitraum vollständig und unverändert sind. 59 Implementierung: Umsetzung von festgelegten Strukturen und (Arbeits-)Abläufen in einem System unter Berücksichtigung von Rahmenbedingungen, Regeln und Zielvorgaben. 60 Konsistenz: Widerspruchsfreiheit eines Systems 61 Masterpasswort: Authentisierungsmerkmal (Geheimnis) zur Verwaltung von Systemen. 62 Persistenz: Speicherung von Informationen in einem nicht flüchtigen Speicher (Festplatte, Band, optisches Medium). 63 Primärwert: Direkte schützenswerte Informationen 64 Schadsoftware: Computerprogramme, die unerwünschte Funktionen ausführen. 65 Schlüssel, kryptografisch: Eindeutige Information zur Ver- und Entschlüsselung. 66 Segmentierung: Unterteilung von Speicher in getrennte Bereiche. 67 Sekundärwert: Informationen (Authentisierungsmerkmale), mit denen ein Zugriff auf Primärwerte möglich ist. Schutzprofil-Einführung 10

11 2 Konformitätsbehauptung 68 Nachfolgend wurden alle Konformitätsbehauptungen und festlegungen definiert. Eine Konformitätsbegründung ist nicht notwendig, da dieses Schutzprofil nicht mit anderen konform ist. 69 Common Criteria Version: 3.1 Revision 3 70 Common Criteria Teil 2: conform 71 Common Criteria Teil 3: conform 72 Konformität mit anderen Schutzprofilen: keine Paketkonformität: EAL 3 augmentiert um AVA_VAN.5 und die dazugehörigen Abhängigkeiten ADV_ARC.1, ADV_FSP.4, ADV_TDS.3, ADV_IMP.1, AGD_OPE.1, AGD_PRE.1 und ATE_DPT.3. Daraus resultiert eine Paketkonformität von EAL Konformitätsfestlegung: strict conformance Konformitätsbehauptung 11

12 3 Definition des Sicherheitsbedarfs 74 Dieses Kapitel beschreibt alle Rollen, die für den EVG definiert sind und Bedrohungen, die der EVG selbst abwehren kann. Des Weiteren werden Annahmen an die Umgebung, in der der EVG eingesetzt wird, definiert, damit der EVG konsistent und korrekt arbeiten kann. Organisatorische Sicherheitspolitiken werden nicht definiert. 3.1 Identifizierung 75 Für die eindeutige Identifizierung werden im folgenden Benutzer, Aktionen und Werte definiert, die in den nachfolgenden Abschnitten referenziert werden Benutzer 76 Für den Betrieb des EVGs wurden folgende Rollen mit den möglichen Aktivitäten definiert: Authentisierter Benutzer (b1) Ist im Besitz des Authentisierungsmerkmals zum Zugriff auf die eigenen schützenswerten Informationen, die im Abschnitt definiert werden. Ist in der Lage, lesend und schreibend auf die eigenen schützenswerten Informationen zuzugreifen. Ist nicht in der Lage, lesend oder schreibend auf schützenswerte Informationen anderer Benutzer zuzugreifen. Ist in der Lage, das Authentisierungsmerkmal zu modifizieren Nicht authentisierter Benutzer (b2) Aktionen Ist nicht im Besitz eines gültigen Authentisierungsmerkmals zum Zugriff auf schützenswerte Informationen. 77 Für den Betrieb des EVG wurden folgende Aktionen definiert: Lesen (a1): Ein lesender Zugriff gefährdet die Vertraulichkeit der zu schützenden Werte, sofern dieser nicht vom zugehörigeren, authentisierten Benutzer erfolgt. Schreiben (a2): Ein schreibender Zugriff gefährdet die Integrität und die Verfügbarkeit der zu schützenden Werte, sofern dieser nicht vom zugehörigen, authentisierten Benutzer (b1) erfolgt Werte 78 Für den Betrieb des EVG wurde folgender Wert definiert: Segmentierter Speicher (w1): Enthält alle gespeicherten Informationen (Primärwerte) eines authentisierten Benutzers. Definition des Sicherheitsbedarfs 12

13 79 Die in der Software hinterlegten Authentisierungsmerkmale und kryptografischen Schlüssel sind zwar ebenfalls schützenswert, gehören aber aufgrund ihrer Zugehörigkeit zu den Sekundärwerten nicht zu den definierten Werten. 3.2 Bedrohungen 80 Um den Sicherheitsbedarf des EVG klar abstecken zu können, wurde eine Bedrohungsanalyse durchgeführt. Hierfür wurden mögliche Angreifer (englisch: Threat Agents) mit den entsprechenden Aktionen (englisch: Adverse Actions) auf die zu schützenden Werte (englisch: Assets) definiert. 81 Als Ergebnis der Bedrohungsanalyse wurden folgende Bedrohungen definiert: 82 T.Abwesenheit: Verlässt ein authentisierter Benutzer (b1) nach erfolgter Authentisierung den Arbeitsplatz, so ist ein nicht authentisierter Benutzer (b2) in der Lage, lesend (a1) oder schreibend (a2) auf schützenswerte Informationen im segmentierten Speicher (w1) zuzugreifen. 83 T.Zugriff: Ein nicht authentisierter Benutzer (b2) greift lesend (a1) oder schreibend (a2) auf schützenswerte Informationen im segmentierten Speicher (w1) zu. Anwendungsbemerkung 6: Diese Bedrohung umfasst mehrere Unterpunkte. Der nicht authentisierte Benutzer könnte auf einen unverschlüsselten Bereich zugreifen, in dem schützenswerte Informationen gespeichert sind. Dies umfasst sowohl die persistente Speicherung auf der Festplatte, als auch die temporäre Speicherung im Zwischen- oder Arbeitsspeicher. Dazu zählen ebenso mögliche Auslagerungsdateien als Folge der virtuellen Speicherverwaltung, sofern ein Zugriff möglich ist. Weiterhin könnte ein mangelhafter Verschlüsselungsalgorithmus oder Schlüssel zu einem Brechen der vorhandenen Verschlüsselung führen. 84 T.Störung: Durch eine Störung (z.b. Betriebssystemfehler oder Stromausfall) ist die Verfügbarkeit der schützenswerten Informationen (w1) nicht sichergestellt oder ein nicht authentisierter Benutzer (b2) in der Lage, lesend (a1) oder schreibend (a2) auf schützenswerte Informationen im segmentierten Speicher (w1) zuzugreifen. 85 T.Speicher: Ein authentisierter Benutzer (b1) kann lesend (a1) oder schreibend (a2) auf schützenswerte Informationen anderer Benutzer im segmentierten Speicher (w1) zuzugreifen. 3.3 Annahmen 86 Dieser Abschnitt dient der Definition von Sicherheitsauflagen an die Einsatzumgebung. 87 A.Authentisierungsmerkmal: Verantwortungsvoller Umgang mit dem und Aufbewahrung des Authentisierungsmerkmales. 88 A.Authentisierung: Die Eingabe des Authentisierungsmerkmales verläuft sicher. Das heißt, lediglich die Kennwortverwaltung ist in der Lage auf dieses zuzugreifen. Hierfür muss Definition des Sicherheitsbedarfs 13

14 sichergestellt werden, dass keine Schadsoftware auf dem Betriebssystem vorliegt oder Peripheriegeräte zur Eingabe nicht durch Hardwarezusätze abgehört werden. 89 A.Installation: Die Installation und Konfiguration durch den Benutzer verläuft exakt wie im Handbuch des EVG beschrieben. Besitzt der Benutzer keine ausreichenden Rechte auf dem Betriebssystem, ist die Installation durch einen vertrauenswürdigen und entsprechend geschulten Administrator durchzuführen. 3.4 Organisatorische Sicherheitspolitiken 90 In diesem Schutzprofil werden keine organisatorischen Sicherheitspolitiken vorgegeben, da alle Motivationen zur Steigerung der IT-Sicherheitsfunktionalität implizit mit Bedrohungen und Annahmen dargestellt sind. Definition des Sicherheitsbedarfs 14

15 4 Sicherheitsziele 91 In diesem Kapitel werden die Sicherheitsziele des EVG und der Einsatzumgebung beschrieben, die mit den Sicherheitsproblemen aus Kapitel 3 adressiert werden. 4.1 Evaluationsgegenstand 92 Die Referenzierung der Sicherheitsziele erfolgt mit dem Anfangsbuchstaben O (von englisch Objective). 93 O.Authentisierung: Der EVG muss einen Mechanismus zur Authentisierung zur Verfügung stellen. Dabei sind folgende Punkte sicherzustellen: Bei Ablauf einer fest definierten Zeitspanne ohne Interaktion mit dem EVG muss der Speicher gegen Zugriff gesperrt werden. Die definierte Zeitspanne muss entsprechend der geltenden Security Policy, für jeden Benutzer separat, frei konfigurierbar sein. Bei einer Fehlauthentisierung ist eine Verzögerung nachfolgender Authentisierungsversuche vorzunehmen. Anwendungshinweis 7: Die Verzögerung nachfolgender Authentisierungsversuche kann zum Beispiel über eine Verdopplung der Wartezeit, beginnend mit 3 Sekunden, realisiert werden. Der authentisierte Benutzer muss in der Lage sein, das ihm zugeordnete Authentisierungsmerkmal zu ändern. 94 O.ZugriffVerschlüsselt: Der EVG bietet eine Funktion zur Verschlüsselung des geschützten Speicherbereiches. Sowohl der Verschlüsselungsalgorithmus als auch der genutzte Schlüssel müssen gegen ein hohes Angriffspotential Schutz bieten. 95 O.ZugriffUnverschlüsselt: Der EVG nutzt keine externen Ressourcen zur Speicherung von unverschlüsselten Primärwerten, die nicht vom EVG kontrolliert werden können. Dies umfasst sowohl logische Ressourcen wie Zwischenablage oder Papierkorb als auch physikalische Ressourcen wie die Festplatte. Allokierter Arbeitsspeicher muss bei der temporären Sperrung, als auch beim Beenden der Applikation überschrieben werden. 96 O.Generierung: Der EVG bietet eine Funktion zur Generierung und Überprüfung von Kennwörtern, deren Qualität gegen ein hohes Angriffspotential Schutz bieten. Die generierten Kennwörter können sowohl als Masterpasswort genutzt, als auch als Primärwert gespeichert werden. 97 O.Störung: Der EVG erlangt nach einer Störung wieder zu einem stabilen und konsistenten Zustand. Die zu schützenden Informationen müssen zu jedem Zeitpunkt verschlüsselt auf dem persistenten Speicher vorliegen. Anwendungshinweis 8: Die Wiederherstellung des EVG kann sowohl automatisch, als auch semiautomatisch unter Zuhilfenahme des Benutzers erfolgen. 98 Sicherheitsziele 15

16 99 O.Speicher: Der EVG ist mehrbenutzerfähig. Authentisierte Benutzer dürfen nur auf ihren segmentierten Speicherbereich zugreifen. Der Zugriff auf andere Segmente wird vom EVG verwehrt. 4.2 Einsatzumgebung 100 Die Sicherheitsziele für die Einsatzumgebung gelten sowohl für die IT-Umgebung (Betriebssystem und Hardware), als auch für Benutzer des Systems. Jedes Sicherheitsziel für die Einsatzumgebung wird mit den Anfangsbuchstaben OE (von englisch Objective Environment) referenziert. 101 OE.Authentisierungsmerkmal: Der Benutzer ist verantwortungsvoll mit dem Umgang des Authentisierungsmerkmals. Dazu gehört, dass der Benutzer gehalten ist, das Authentisierungsmerkmal nirgendwo zu dokumentieren und nicht an weitere Personen weiterzugeben. 102 OE.AuthentisierungSoftware: Die Einsatzumgebung muss frei von jeglicher Schadsoftware sein, da der EVG nicht effektiv in der Lage sein kann, Angriffe während der Authentisierung abzufangen. 103 OE.AuthentisierungHardware: Die genutzten Peripheriegeräte der Einsatzumgebung zur Eingabe des Authentisierungsmerkmales sind vom Benutzer vor der Authentisierung auf Veränderung oder Zusätze zu überprüfen. 104 OE.Installation: Die Installation und Konfiguration durch den Benutzer verläuft exakt wie im Handbuch des EVG beschrieben. Besitzt der Benutzer keine ausreichenden Rechte auf dem Betriebssystem, ist die Installation durch einen vertrauenswürdigen und entsprechend geschulten Administrator durchzuführen. 4.3 Begründung 105 Dieser Abschnitt dient dem Nachweis, dass alle Bedrohungen, Annahmen und organisatorische Politiken mit den Sicherheitszielen abgedeckt sind und diese sich aus der Definition des Sicherheitsbedarfs erschließen. Der Nachweis wird in tabellarischer Form erbracht. Bedrohung Sicherheitsziel für den EVG T.Abwesenheit O.Authentisierung T.Zugriff O.ZugriffVerschlüsselt, O.ZugriffUnverschlüsselt, O.Generierung O.Authentisierung T.Störung O.Störung T.Speicher O.Speicher Tabelle 1: Abdeckung der Bedrohungen durch die Sicherheitsziele für den EVG 106 Die Bedrohungen T.Störung und T.Speicher werden 1:1 mit gleichnamigen Sicherheitszielen für den EVG abgedeckt. T.Abwesenheit wird mit dem generellen Sicherheitsziel O.Authentisierung abgedeckt. Die allgemeine Bedrohung T.Zugriff wird mit spezialisierten Sicherheitsziele 16

17 Sicherheitszielen für den EVG O.ZugriffVerschlüsselt, O.ZugriffUnverschlüsselt, O.Authentisierung und O.Generierung abgedeckt. Annahme Sicherheitsziel für die Einsatzumgebung A.Authentisierungsmerkmal OE.Authentisierungsmerkmal A.Authentisierung OE.AuthentisierungSoftware, OE.AuthentisierungHardware A.Installation OE.Installation Tabelle 2: Abdeckungen der Annahmen durch die Sicherheitsziele für die Einsatzumgebung 107 Die Annahmen A.Authentisierungsmerkmal und A.Installation werden 1:1 mit den gleichnamigen Sicherheitszielen für die Einsatzumgebung abgedeckt. Die allgemeine Annahme A.Authentisierung wird mit den spezialisierten Sicherheitszielen für die Einsatzumgebung OE.AuthentisierungSoftware und OE.AuthentisierungHardware abgedeckt. Sicherheitsziel für den EVG Bedrohung O.Authentisierung T.Abwesenheit T.Zugriff O.ZugriffVerschlüsselt T.Zugriff O.ZugriffUnverschlüsselt T.Zugriff O.Generierung T.Zugriff O.Störung T.Störung O.Speicher T.Speicher Tabelle 3: Notwendigkeit der Sicherheitsziele für den EVG aus den Bedrohungen 108 Die Notwendigkeit der Sicherheitsziele für den EVG O.Störung und O.Speicher ergibt sich 1:1 aus den gleichnamigen Bedrohungen. Die spezialisierten Sicherheitsziele für den EVG O.ZugriffVerschlüsselt, O.ZugriffUnverschlüsselt und O.Generierung ergeben sich aus der allgemeinen Bedrohung T.Zugriff. O.Authentisierung ergibt sich aus T.Abwesenheit und T.Zugriff. Sicherheitsziel für die Einsatzumgebung Annahme OE.Authentisierungsmerkmal A.Authentisierungsmerkmal OE.AuthentisierungSoftware A.Authentisierung OE.AuthentisierungHardware A.Authentisierung OE.Installation A.Installation Tabelle 4: Notwendigkeit der Sicherheitsziele für die Einsatzumgebung aus den Annahmen 109 Die Notwendigkeit der Sicherheitsziele für die Einsatzumgebung OE.Authentisierungsmerkmal und OE.Installation ergibt sich 1:1 aus den gleichnamigen Annahmen. Die spezialisierten Sicherheitsziele für die Einsatzumgebung OE.AuthentisierungSoftware und OE.AuthentisierungHardware ergeben sich aus der allgemeinen Annahme A.Authentisierung. Sicherheitsziele 17

18 5 IT-Sicherheitsanforderungen 110 Dieses Kapitel beinhaltet alle funktionalen Sicherheitsanforderungen an den EVG und Vertrauenswürdigkeitsanforderungen an den EVG und dessen Umgebung. Die funktionalen Sicherheitsanforderungen entstammen aus Teil 2 der Common Criteria und sind in Abschnitt 5.2 definiert. Diese kennzeichnen den horizontalen Umfang der Überprüfung. Die Vertrauenswürdigkeitsanforderungen entstammen aus Teil 3 der CC und sind in Abschnitt 178 definiert. Diese kennzeichnen den vertikalen Umfang der Überprüfung. Abbildung 2: Abhängigkeit zwischen SFR, SAR und Vertrauen in die IT-Sicherheit 5.1 Kennzeichnung der Komponenten 111 Folgende Operationen sind definiert: Die Operation Zuweisung ist kursiv dargestellt. Die Operation Auswahl ist fett dargestellt. Die Operation Verfeinerung ist unterstrichen dargestellt. 112 Sind die Operationen Zuweisung und Auswahl offen gelassen, so ist der enthaltende Text nicht formatiert. IT-Sicherheitsanforderungen 18

19 5.2 Funktionale Sicherheitsanforderung an den EVG 114 Folgende funktionale Sicherheitsanforderung an den EVG wurden gewählt: Komponente Beschreibung FCS_CKM.1 Cryptographic key generation FCS_CKM.4 Cryptographic key destruction FCS_COP.1 Cryptographic operation FDP_ACC.2 Complete access control FDP_ACF.1 Security attribute access control FIA_AFL.1 Authentification failure handling FIA_SOS.1 Verification of secrets FIA_SOS.2 Generation of secrets FIA_UAU.1 Timing of authentication FIA_UAU.6 Re-authenticating FIA_UID.2 User identification before any action FMT_MOF.1 Management of security functions behavior FMT_MSA.1 Management of security attributes FMT_MSA.3 Static attribute initialisation FMT_SMF.1 Specification of Management Functions FMT_SMR.1 Security roles FPT_FLS.1 Failure with preservation of secure state FPT_RCV.4 Function recovery Tabelle 5: Auflistung aller funktionalen Sicherheitsanforderungen 115 Im Folgenden werden die funktionalen Sicherheitsanforderungen für den EVG dargestellt FCS_CKM.1 Cryptographic key generation 116 Hierarchical to: No other components. 117 Dependencies: [FCS_CKM.2 Cryptographic key distribution or FCS_COP.1 Cryptographic operation] FCS_CKM.4 Cryptographic key destruction 118 FCS_CKM.1.1 The TSF shall generate cryptographic keys in accordance with a specified cryptographic key generation algorithm [assignment: cryptographic key generation algorithm] and specified cryptographic key sizes [assignment: cryptographic key sizes] that meet the following: [assignment: The used key size has to ensure the confidentiality of the stored assets against contemporary attacks with high attack potential. The only known attack must be brute force. Furthermore must the used algorithm ensure that the created keys are random and cannot be predicted] FCS_CKM.4 Cryptographic key destruction 119 Hierarchical to: No other components. IT-Sicherheitsanforderungen 19

20 120 Dependencies: [FDP_ITC.1 Import of user data without security attributes or FDP_ITC.2 Import of user data with security attributes or FCS_CKM.1 Cryptographic key generation] 121 FCS_CKM.4.1 The TSF shall destroy cryptographic keys in accordance with a specified cryptographic key destruction method [assignment: cryptographic key destruction method] that meets the following: [assignment: The used algorithm have to ensure that the destroyed key can t be used to vulnerable the confidentiality of the stored assets] FCS_COP.1 Cryptographic operation 122 Hierarchical to: No other components. 123 Dependencies: [FDP_ITC.1 Import of user data without security attributes or FDP_ITC.2 Import of user data with security attributes or FCS_CKM.1 Cryptographic key generation] FCS_CKM.4 Cryptographic key destruction 124 FCS_COP.1.1 The TSF shall perform [assignment: encryption and decryption of assets in the secured memory segment] in accordance with a specified cryptographic algorithm [assignment: cryptographic algorithm] and cryptographic key sizes [assignment: cryptographic key sizes] that meet the following: [assignment: The used algorithm has to ensure the confidentiality of the stored assets against contemporary attacks with high attack potential. The only known attack must be brute force.] FDP_ACC.2 Complete access control 125 Hierarchical to: FDP_ACC.1 Subset access control 126 Dependencies: FDP_ACF.1 Security attribute based access control 127 FDP_ACC.2.1 The TSF shall enforce the [assignment: acsbpm] which is well defined in FDP_ACF.1.1 on [assignment: the authorized and unauthorized user (subject), memory (object)] and all operations among subjects and objects covered by the SFP. 128 FDP_ACC.2.2 The TSF shall ensure that all operations between any subject controlled by the TSF and any object controlled by the TSF are covered by an access control SFP FDP_ACF.1 Security attribute based access control 129 Hierarchical to: No other components. 130 Dependencies: IT-Sicherheitsanforderungen 20

21 FDP_ACC.1 Subset access control FMT_MSA.3 Static attribute initialization 131 FDP_ACF.1.1 The TSF shall enforce the [assignment: access control of software based password management (acsbpm)] to objects based on the following: [assignment: the authorized user (subject) with the unique userid and correct authentication attribute, memory (object)]. 132 FDP_ACF.1.2 The TSF shall enforce the following rules to determine if an operation among controlled subjects and controlled objects is allowed: [assignment: rules governing access among controlled subjects and controlled objects using controlled operations on controlled objects]. 133 FDP_ACF.1.3 The TSF shall explicitly authorize access of subjects to objects based on the following additional rules: [assignment: The authorized user (b1) is allowed to read (a1), modify and create (a2) assets (w1) in the memory that is dedicated to the user. The authorized user (b1) is allowed to modify the security attributes that are dedicated to the user. The non authorized user (b2) is allowed to use the authentication mechanism. The non authorized user (b2) is allowed to create a new user account.]. 134 FDP_ACF.1.4 The TSF shall explicitly deny access of subjects to objects based on the following additional rules: [assignment: The authorized user (b1) is not allowed to read (a1), modify and create (a2) assets (w1) in the memory that is not dedicated to the user. The authorized user (b1) is not allowed to read or modify the security attributes that are not dedicated to the user. The non authorized user (b2) is not allowed to read (a1), modify and create (a2) any assets (w1) in the memory. The non authorized user (b2) is not allowed to read or modify the security attributes that are not dedicated to the user.] FIA_AFL.1 Authentication failure handling 135 Hierarchical to: No other components. 136 Dependencies: FIA_UAU.1 Timing of authentication IT-Sicherheitsanforderungen 21

22 137 FIA_AFL.1.1 The TSF shall detect when [selection: [assignment: one]] unsuccessful authentication attempts occur related to [assignment: any authentication events]. 138 FIA_AFL.1.2 When the defined number of unsuccessful authentication attempts has been [selection: met], the TSF shall [assignment: delay further authentication attempts exempli gratia double the time span until the next authentication is possible. The first unsuccessful authentication is leading to a three second time span until the next authentication is possible] FIA_SOS.1 Verification of secrets 139 Hierarchical to: No other components. 140 Dependencies: No dependencies. 141 FIA_SOS.1.1 The TSF shall provide a mechanism to verify that secrets meet [assignment: a defined quality metric] to ensure the confidentiality of the stored assets against contemporary attacks with high attack potential FIA_SOS.2 TSF Generation of secrets 142 Hierarchical to: No other components. 143 Dependencies: No dependencies. 144 FIA_SOS.2.1 The TSF shall provide a mechanism to generate secrets that meet [assignment: a defined quality metric] to ensure the confidentiality of the stored assets against contemporary attacks with high attack potential. 145 FIA_SOS.2.2 The TSF shall be able to enforce the use of TSF generated secrets for [assignment: the authentication] FIA_UAU.1 Timing of authentication 146 Hierarchical to: No other components. 147 Dependencies: FIA_UID.1 Timing of identification 148 FIA_UAU.1.1 The TSF shall allow [assignment: to add an identified user] on behalf of the user to be performed before the user is authenticated. IT-Sicherheitsanforderungen 22

23 149 FIA_UAU.1.2 The TSF shall require each user to be successfully authenticated before allowing any other TSF-mediated actions on behalf of that user FIA_UAU.6 Re-authenticating 150 Hierarchical to: No other components. 151 Dependencies: No dependencies. 152 FIA_UAU.6.1 The TSF shall re-authenticate the user under the conditions [assignment: the TOE is unused for a well defined time span] FIA_UID.2 User identification before any action 153 Hierarchical to: FIA_UID.1 Timing of identification 154 Dependencies: No dependencies. 155 FIA_UID.2.1 The TSF shall require each user to be successfully identified before allowing any other TSF-mediated actions on behalf of that user FMT_MOF.1 Management of security functions behaviour 156 Hierarchical to: No other components. 157 Dependencies: FMT_SMR.1 Security roles FMT_SMF.1 Specification of Management Functions 158 FMT_MOF.1.1 The TSF shall restrict the ability to [selection: modify the behaviour of] the user bounded functions [assignment: re-authentication] according to the security policy of the business to [assignment: the authorised user] FMT_MSA.1 Management of security attributes 159 Hierarchical to: No other components. 160 Dependencies: [FDP_ACC.1 Subset access control or FDP_IFC.1 Subset information flow control] FMT_SMR.1 Security roles IT-Sicherheitsanforderungen 23

24 FMT_SMF.1 Specification of Management Functions 161 FMT_MSA.1.1 The TSF shall enforce the [assignment: acsbpm] to restrict the ability to [selection: modify] the user bounded security attributes [assignment: authentication data] to [assignment: the authorized user] FMT_MSA.3 Static attribute initialisation 162 Hierarchical to: No other components. 163 Dependencies: FMT_MSA.1 Management of security attributes FMT_SMR.1 Security roles 164 FMT_MSA.3.1 The TSF shall enforce the [assignment: acsbpm] to provide [selection, choose one of: restrictive] default values for security attributes that are used to enforce the SFP. 165 FMT_MSA.3.2 The TSF shall allow the [assignment: authorized user (b1)] to specify alternative initial values to override the default values when an object or information is created FMT_SMF.1 Specification of Management Functions 166 Hierarchical to: No other components. 167 Dependencies: No dependencies. 168 FMT_SMF.1.1 The TSF shall be capable of performing the following management functions: [assignment: function to modify the time before the TOE needs a re-authentication. The modification is user separated] FMT_SMR.1 Security roles 169 Hierarchical to: No other components. 170 Dependencies: FIA_UID.1 Timing of identification 171 FMT_SMR.1.1 The TSF shall maintain the roles [assignment: the authorized user (b1)]. 172 FMT_SMR.1.2 The TSF shall be able to associate users with roles FPT_FLS.1 Failure with preservation of secure state 173 Hierarchical to: IT-Sicherheitsanforderungen 24

25 No other components. 174 Dependencies: No dependencies. 175 FPT_FLS.1.1 The TSF shall preserve a secure state when the following types of failures occur: [assignment: system error of the underlying operation system, loss of power of the underlying hardware] FPT_RCV.4 Function recovery 176 Hierarchical to: No other components. 177 Dependencies: No dependencies. 178 FPT_RCV.4.1 The TSF shall ensure that [assignment: encryption and decryption (functions) and system error of the underlying operation system, loss of power of the underlying hardware (failure scenarios)] have the property that the function either completes successfully, or for the indicated failure scenarios, recovers to a consistent and secure state. 5.3 Vertrauenswürdigkeitsanforderungen des EVG 179 Die Vertrauenswürdigkeitsanforderungen des EVG entsprechen der Paketstufe EAL 3 aus Teil 3 der Common Criteria und der Augmentierung durch AVA_VAN.5 inklusive der Abhängigkeiten Augmentierung der EAL-Paketstufe 180 Die EAL-Paketstufe 3 wurde um folgende Komponente augmentiert: AVA_VAN.5 Advanced methodical vulnerability analysis 181 A methodical vulnerability analysis is performed by the evaluator to ascertain the presence of potential vulnerabilities. 182 The evaluator performs penetration testing, to confirm that the potential vulnerabilities cannot be exploited in the operational environment for the TOE. Penetration testing is performed by the evaluator assuming an attack potential of High. 183 Dependencies: ADV_ARC.1 Security architecture description ADV_FSP.4 Complete functional specification ADV_TDS.3 Basic modular design ADV_IMP.1 Implementation representation of the TSF AGD_OPE.1 Operational user guidance IT-Sicherheitsanforderungen 25

26 AGD_PRE.1 Preparative procedures ATE_DPT.3 Testing: modular design 184 Durch die Augmentierung ergibt sich EAL 3+. Die folgenden Komponenten werden aufgrund von Abhängigkeiten hinzugefügt ADV_FSP.5 Complete semi-formal functional specification with additional error information 185 Dependencies: ADV_TDS.1 Basic design ADV_IMP.1 Implementation representation of the TSF ADV_TDS.4 Semiformal modular design 186 Dependencies: ADV_FSP.5 Complete semi-formal functional specification with additional error information ADV_IMP.1 Implementation representation of the TSF 187 Dependencies: ADV_TDS.3 Basic modular design ALC_TAT.1 Well-defined development tools ALC_TAT.1 Well-defined development tools 188 Dependencies: ADV_IMP.1 Implementation representation of the TSF ATE_DPT.3 Testing: modular design 189 Dependencies: ADV_ARC.1 Security architecture description ADV_TDS.4 Semiformal modular design ATE_FUN.1 Functional testing Zusammenfassung der Vertrauenswürdigkeitsanforderungen 190 Aus der Paketstufe EAL 3 und der Augmentierung ergeben sich folgende Komponenten, wobei die Augmentierung kursiv formatiert ist: Anforderungen gemäß EAL 3 Komponentenbeschreibung ADV_ARC.1 Security architecture description Complete semi-formal functional specification with Development ADV_FSP.5 additional error information ADV_IMP.1 Implementation representation of the TSF IT-Sicherheitsanforderungen 26

27 ADV_TDS.4 Semiformal modular design Guidance documents AGD_OPE.1 Operational user guidance AGD_PRE.1 Preparative procedures ALC_CMC.3 Authorisation controls Implementation representation, configuration ALC_CMS.3 management coverage Life-cycle ALC_DEL.1 Delivery procedures support ALC_DVS.1 Identification of security measures ALC_LCD.1 Developer defined life-cycle ALC_TAT.1 Well-defined development tools ASE_CCL.1 Conformance claims ASE_ECD.1 Extended components definition Security ASE_INT.1 ST introduction Targetevaluation ASE_OBJ.2 Security objectives ASE_REQ.2 Derived security requirements ASE_SPD.1 Security problem definition ASE_TSS.1 TOE summary specification ATE_COV.2 Analysis of coverage Tests ATE_DPT.3 Testing: modular design ATE_FUN.1 Functional testing ATE_IND.2 Independent testing sample Vulnerability assessment AVA_VAN.5 Advanced methodical vulnerabilty analysis Tabelle 6: Auflistung aller Vertrauenswürdigkeitsanforderungen (EAL 3+) 5.4 Begründung 191 Dieser Abschnitt dient dem Nachweis, dass alle Anforderungen in sich konsistent sind und sich direkt aus den Sicherheitszielen des EVGs ergeben und diese vollständig abdecken Funktionale Sicherheitsanforderungen 192 Der Nachweis der inhaltlichen Konsistenz erfolgt in tabellarischer Form. Bei möglicher Auswahl der Abhängigkeit wurde die Selektion fett markiert. Nr Komponente Abhängigkeit Bemerkung FCS_CKM.2 oder Aufgelöst in 3 1 FCS_CMK.1 FCS_COP.1 FCS_CKM.4 Aufgelöst in 2 FDP_ITC.1 oder 2 FCS_CKM.4 FDP.ITC.2 oder Aufgelöst in 1 FCS_CKM.1 FDP_ITC.1 oder 3 FCS_COP.1 FDP.ITC.2 oder Aufgelöst in 1 FCS_CKM.1 FCS_CKM.4 Aufgelöst in 2 4 FDP_ACC.2 FDP_ACF.1 Aufgelöst in 5 5 FDP_ACF.1 FDP_ACC.1 Aufgelöst in 4 FMT_MSA.3 Aufgelöst in 14 6 FIA_AFL.1 FIA_UAU.1 Aufgelöst in 9 7 FIA_SOS.1 Keine Benötigt keine Auflösung IT-Sicherheitsanforderungen 27

28 8 FIA_SOS.2 Keine Benötigt keine Auflösung 9 FIA_UAU.1 FIA_UID.1 Hierarchisch aufgelöst in FIA_UAU.6 Keine Benötigt keine Auflösung 11 FIA_UID.2 Keine Benötigt keine Auflösung 12 FMT_MOF.1 FMT_SMR.1 Aufgelöst in 16 FMT_SMF.1 Aufgelöst in 15 FDP_ACC.1 oder Hierarchisch aufgelöst in 4 FDP_IFC.1 13 FMT_MSA.1 FMT_SMR.1 Aufgelöst in 16 FMT_SMF.1 Aufgelöst in FMT_MSA.3 FMT_MSA.1 Aufgelöst in 13 FMT_SMR.1 Aufgelöst in FMT_SMF.1 Keine Benötigt keine Auflösung 16 FMT_SMR.1 FIA_UID.1 Hierarchisch aufgelöst in FPT_FLS.1 Keine Benötigt keine Auflösung 18 FPT_RCV.4 Keine Benötigt keine Auflösung Tabelle 7: Nachweis der inhaltlichen Konsistenz der funktionalen Sicherheitsanforderungen 193 Die Operation Verfeinerung in den Komponenten FIA_SOS.1, FIA_SOS.2, FMT_MOF.1 und FMT_MSA.1 dient der zusätzlichen Einschränkung und ist nicht widersprüchlich zu anderen Komponenten 194 Da alle Abhängigkeiten direkt oder hierarchisch aufgelöst sind und die Operation Verfeinerung nicht widersprüchlich eingesetzt wurde, ist die inhaltliche Konsistenz gegeben. IT-Sicherheitsanforderungen 28

29 195 Der Nachweis, dass die funktionalen Sicherheitsanforderungen die Sicherheitsziele des EVG abdecken, erfolgt in tabellarischer Form. Sicherheitsziel für den EVG Funktionale Sicherheitsanforderungen O.Authentisierung FIA_AFL.1 Authentication failure handling FIA_UAU.1 Timing of authentication FIA_UAU.6 Re-authenticating FIA_UID.2 User identification before any action FMT_MOF.1 Management of security functions behavior FMT_MSA.1 Management of security attributes FMT_MSA.3 Static attribute initialization FMT_SMF.1 Specification of Management Functions Textpassage aus dem Sicherheitsziel Bei einer Fehlauthentisierung ist eine Verzögerung nachfolgender Authentisierungsversuche vorzunehmen Lässt sich aus dem Gesamtzusammenhang ableiten Bei Ablauf einer fest definierten Zeitspanne ohne Interaktion mit dem EVG muss der Speicher gegen Zugriff gesperrt werden Lässt sich aus dem Gesamtzusammenhang ableiten Die definierte Zeitspanne muss entsprechend der geltenden Security Policy, für jeden Benutzer separat, frei konfigurierbar sein. Der authentisierte Benutzer muss in der Lage sein, das ihm zugeordnete Authentisierungsmerkmal zu ändern Lässt sich aus dem Gesamtzusammenhang ableiten Die definierte Zeitspanne muss entsprechend der geltenden Security Policy, für jeden Benutzer separat, frei konfigurierbar sein. O.ZugriffVerschlüsselt FMT_SMR.1 Security roles FCS_CKM.1 Cryptographic key generation FCS_CKM.4 Cryptographic key destruction Lässt sich aus dem Gesamtzusammenhang ableiten [ ]der genutzte Schlüssel muss gegen ein hohes Angriffspotential Schutz bieten [ ]der genutzte Schlüssel muss gegen ein hohes Angriffspotential Schutz bieten IT-Sicherheitsanforderungen 29

30 O.ZugriffUnverschlüsselt O.Generierung O.Störung O.Speicher FCS_COP.1 Cryptographic operation FDP_ACC.2 Complete access control FDP_ACF.1 Security attribute based access control FIA_SOS.1 Verification of secrets FIA_SOS.2 TSF Generation of secrets FPT_FLS.1 Failure with preservation of secure state FPT_RCV.4 Function recovery FDP_ACF.1 Security attribute based access control der Verschlüsselungsalgorithmus [ ] muss gegen ein hohes Angriffspotential Schutz bieten Lässt sich aus dem Gesamtzusammenhang ableiten Lässt sich aus dem Gesamtzusammenhang ableiten Der EVG bietet eine Funktion zur [ ] Überprüfung von Kennwörtern, deren Qualität gegen ein hohes Angriffspotential Schutz bieten. Der EVG bietet eine Funktion zur Generierung [ ] von Kennwörtern, deren Qualität gegen ein hohes Angriffspotential Schutz bieten. Der EVG erlangt nach einer Störung wieder zu einem stabilen und konsistenten Zustand. Die zu schützenden Informationen müssen zu jedem Zeitpunkt verschlüsselt auf dem persistenten Speicher vorliegen Authentisierte Benutzer dürfen nur auf ihren segmentierten Speicherbereich zugreifen. Der Zugriff auf andere Segmente wird vom EVG verwehrt. FIA_UAU.1 Timing of authentication Lässt sich aus dem Gesamtzusammenhang ableiten Tabelle 8: Abdeckung der Sicherheitsziele für den EVG durch die funktionalen Sicherheitsabdeckungen IT-Sicherheitsanforderungen 30