nach Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik

Transkript

1 Zertifikat nach Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik BSI-K-TR TCOS Health Professional Card Version 2.0 Release 1 der Konformität zu: T-Systems International GmbH BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2 gültig bis: 12. April 2021 Die Konformität des Prüfgegenstands TCOS Health Professional Card Version 2.0 Release 1 zur Technischen Richtlinie BSI TR wurde von einer gemäß DIN ISO/IEC anerkannten Prüfstelle überprüft und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt. Als Prüfgrundlage für die Konformitätsprüfung dienten: BSI TR ehealth Konformitätsnachweis für Kartenprodukte der Kartengeneration G2, Version 1.1 vom 22. Mai 2015 BSI TR Anhang ehealth Sicherungsmechanismen im Umfeld der TR-Zertifizierung von Kartenprodukten der Kartengeneration G2, Version 1.1 vom 22. Mai 2015 Der Prüfgegenstand erfüllt die Anforderungen der Technischen Richtlinie BSI TR Dieses Zertifikat gilt nur in Verbindung mit dem vollständigen Konformitätsreport BSI-K-TR Die Gültigkeit ist ausschließlich auf die geprüfte und im Konformitätsreport angegebene Version und Konfiguration des Prüfgegenstands beschränkt. Das Zertifizierungsverfahren wurde in Übereinstimmung mit den Bestimmungen des BSI-Schemas zur Zertifizierung nach Technischen Richtlinien durchgeführt. Dieses Zertifikat ist keine Empfehlung des genannten Prüfgegenstands durch das Bundesamt für Sicherheit in der Informationstechnik. Eine Gewährleistung für den genannten Prüfgegenstand durch das Bundesamt für Sicherheit in der Informationstechnik ist weder enthalten noch zum Ausdruck gebracht. Bonn, den 12. April 2016 Bundesamt für Sicherheit in der Informationstechnik Im Auftrag Joachim Weber Fachbereichsleiter Bundesamt für Sicherheit in der Informationstechnik Godesberger Allee , D Bonn s Postfach , D Bonn Tel.: +49 (0) s Fax: +49 (0) s Infoline: +49 (0) s Internet:

2 Konformitätsreport BSI-K-TR TCOS Health Professional Card Version 2.0 Release 1 der T-Systems International GmbH Untere Industriestraße 20, Netphen

3 Bundesamt für Sicherheit in der Informationstechnik Godesberger Allee , D Bonn s Postfach , D Bonn Tel.: +49 (0) s Fax: +49 (0) s Internet:

4 BSI-K-TR Inhaltsverzeichnis Inhaltsverzeichnis 1 Vorbemerkung Grundlagen des Zertifizierungsverfahrens Hinweise für den Antragsteller Antrag Prüfbereich und Prüfgrundlage Prüfstelle Prüfgegenstand Beschreibung des Prüfgegenstands Komponenten des Prüfgegenstands Konformitätsprüfung Ergebnis der Konformitätsprüfung Auflagen, Empfehlungen und Hinweise für den Einsatz, die Herstellung & Auslieferung des Prüfgegenstands Ergebnis des Zertifizierungsverfahrens nach TR...22 Literaturverzeichnis Abbildungsverzeichnis Tabellenverzeichnis Tabelle 1: Komponenten des Prüfgegenstands Tabelle 2: Konformitätsprüfung gemäß BSI TR Konformitätsreport, Stand:

5 Vorbemerkung 1 Vorbemerkung Die Zertifizierung von IT-Produkten oder -Systemen im Folgenden Prüfgegenstand genannt nach Technischen Richtlinien (TR) wird auf Veranlassung des Herstellers im folgenden Antragsteller genannt durchgeführt. Technische Richtlinien, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und veröffentlicht werden, bilden die Grundlage für Konformitätsprüfungen. Anhand einer Konformitätsprüfung wird sichergestellt, dass ein Prüfgegenstand die technischen, funktionalen und qualitativen Anforderungen einer TR erfüllt. Konformitätsprüfungen werden von einer vom BSI anerkannten Prüfstelle gemäß den in der jeweiligen TR definierten Prüfspezifikationen und Tests durchgeführt. Die Konformitätsprüfung eines Prüfgegenstands erfolgt in Übereinstimmung mit den Bestimmungen des entsprechenden BSI-Schemas zur Zertifizierung nach Technischen Richtlinien. Für jedes Zertifizierungsverfahren nach TR führt das BSI eine Prüfbegleitung durch, um einheitliches Vorgehen, einheitliche Interpretation der Kriterienwerke und einheitliche Bewertungen sicherzustellen. Das Ergebnis eines Zertifizierungsverfahrens nach TR wird in einem abschließenden Konformitätsreport zusammengefasst. Das im Rahmen einer Zertifizierung nach TR ausgestellte Zertifikat ist keine Empfehlung des Prüfgegenstands durch das Bundesamt für Sicherheit in der Informationstechnik. Eine Gewährleistung für den Prüfgegenstand durch das BSI ist weder enthalten noch zum Ausdruck gebracht. 4 Bundesamt für Sicherheit in der Informationstechnik

6 BSI-K-TR Grundlagen des Zertifizierungsverfahrens 2 Grundlagen des Zertifizierungsverfahrens Das Zertifizierungsverfahren wurde vom Bundesamt für Sicherheit in der Informationstechnik nach Maßgabe der folgenden Vorgaben durchgeführt: BSI-Gesetz Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009, Bundesgesetzblatt Teil I Nr. 54, S. 2821, [BSIG] BSI-Zertifizierungs- und Anerkennungsverordnung Verordnung über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSIZertV), vom 17. Dezember 2014, Bundesgesetzblatt Teil I Nr. 61, S. 2231, [BSIZertV] BSI-Kostenverordnung Kostenverordnung für Amtshandlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Kostenverordnung-BSI, BSIKostV) vom 3. März 2005, Bundesgesetzblatt I, S. 519, [BSIKostV] Verfahrensbeschreibung zur Zertifizierung von Produkten, Version 2.0 vom , [VB-Produkte] Anforderungen an Antragsteller zur Zertifizierung von Produkten nach Technischen Richtlinien, Version 1.0 vom , [TR-Produkte] Konformitätsreport, Stand:

7 Hinweise für den Antragsteller 3 Hinweise für den Antragsteller 1. Das vom BSI erteilte Zertifikat nach Technischen Richtlinien BSI-K-TR ist nur in Zusammenhang mit dem vollständigen Konformitätsreport gültig. 2. Die Gültigkeit des Zertifikats erstreckt sich ausschließlich auf die geprüfte Version des Prüfgegenstands. Alle geprüften Komponenten des Prüfgegenstands und deren Versionsstände sind in Tabelle 1 des Konformitätsreports festgeschrieben. 3. Die Gültigkeit eines Zertifikats nach der Technischen Richtlinie BSI TR beträgt fünf Jahre. 4. Bei Änderungen, Weiterentwicklungen oder Ergänzungen der Komponenten des Prüfgegenstands um zusätzliche Versionen hat das BSI, ggf. unter Einbeziehung der Prüfstelle, zu beurteilen, ob das Zertifikat entsprechend erweitert werden kann oder ob eine erneute Konformitätsprüfung notwendig ist. 5. Nur dem Zertifikat entsprechende Ausführungen des Prüfgegenstands dürfen als vom BSI zertifiziert bezeichnet und als solche beworben werden. Stellt das BSI diesbezüglich eine Zuwiderhandlung fest, erfolgt eine Abmahnung des Antragstellers. Daneben ist das BSI berechtigt, den Eintrag des Prüfgegenstands von der Veröffentlichungsliste der nach Technischen Richtlinien erteilten Zertifikate auf der BSI-Webseite zu streichen sowie die weitere Verwendung von Zertifizierungsbutton und Prüfsiegel zu untersagen. 6. Das BSI kann den Antragsteller jederzeit auffordern, ein dem Zertifikat entsprechendes Exemplar des Prüfgegenstands aus der laufenden Produktion zur Überprüfung bereitzustellen. Kommt der Antragsteller der Aufforderung nicht innerhalb einer gesetzten Frist nach, ist das BSI berechtigt, den Eintrag des Prüfgegenstands von der Veröffentlichungsliste der nach Technischen Richtlinien erteilten Zertifikate auf der BSI-Webseite zu streichen sowie die weitere Verwendung von Zertifizierungsbutton und Prüfsiegel zu untersagen. 6 Bundesamt für Sicherheit in der Informationstechnik

8 BSI-K-TR Antrag 4 Antrag Für den in Kapitel 7 genannten Prüfgegenstand wurde vom Hersteller T-Systems International GmbH Untere Industriestraße Netphen Deutschland Ansprechpartner: Herr Markus Blick (markus.blick@t-systems.com) Herr Burkhard Fuchs (burkhard.fuchs@t-systems.com) mit Antragsdatum 13. Februar 2015 (Eingangsdatum BSI: 20. Februar 2015) beim BSI eine erstmalige Zertifizierung nach Technischen Richtlinien beantragt. Konformitätsreport, Stand:

9 Prüfbereich und Prüfgrundlage 5 Prüfbereich und Prüfgrundlage Beantragt wurde eine Zertifizierung nach der Technischen Richtlinie: BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2 Die Konformitätsprüfung nach der Technischen Richtlinie BSI TR erfolgte für den Prüfbereich: BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2 Die Prüfgrundlage für Konformitätsprüfungen in diesen Prüfbereichen bildeten folgende Dokumente: BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2, Version 1.1 vom 22. Mai 2015, [BSI TR-03144] BSI TR Anhang ehealth Sicherungsmechanismen im Umfeld der TR-Zertifizierung von G2-Karten-Produkten, Version 1.1 vom 22. Mai 2015, [BSI TR-03144A] BSI TR ehealth Zertifizierungskonzept für Karten der Generation G2, Version 1.1 vom 22. Mai 2015, [BSI TR-03106] BSI TR ehealth G2-COS Konsistenz-Prüftool, Version 1.0 vom 08. Mai 2015, [BSI TR-03143] 8 Bundesamt für Sicherheit in der Informationstechnik

10 BSI-K-TR Prüfstelle 6 Prüfstelle Mit der Durchführung der Konformitätsprüfung wurde folgende vom BSI gemäß DIN ISO/IEC anerkannte Prüfstelle beauftragt: SRC Security Research & Consulting GmbH IT Security Evaluation Facility Emil-Nolde-Str Bonn Telefon: +49 (0) Fax: +49 (0) detlef.kraus@src-gmbh.de Homepage: Konformitätsreport, Stand:

11 Prüfgegenstand 7 Prüfgegenstand 7.1 Beschreibung des Prüfgegenstands Prüfgegenstand ist das IT-Produkt/-System: TCOS Health Professional Card Version 2.0 Release 1 von T-Systems International GmbH. Bei dem Prüfgegenstand handelt es sich um ein initialisiertes ehealth Karten-Produkt vom Typ HBA (Heilberufsausweis). Der Prüfgegenstand und sein Objektsystem ist gemäß folgender Objektsystem-Spezifikation implementiert: Spezifikation des elektronischen Heilberufsausweises HBA-Objektsystem, Version 3.7.0, , Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh, [Obj_Spec] sowie zugehörige Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-3], [ERR-G2-7] Die dem Prüfgegenstand unterliegende Karten-Plattform ist das Produkt TCOS FlexCert Version 2.0 Release 1/SLE78CLX1440P von T-Systems International GmbH. Diese Karten-Plattform ist gemäß folgender G2-COS-Spezifikation implementiert: Spezifikation des Card Operating Systems (COS), Elektrische Schnittstelle, Version 3.7.0, , Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh, [COS_Spec] sowie zugehörige Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-3] Die folgenden optionalen Funktionspakete der G2-COS-Spezifikation sind in der dem Prüfgegenstand unterliegenden Karten-Plattform implementiert: Kryptobox Logische Kanäle Kontaktlose Schnittstelle Die dem Prüfgegenstand unterliegende Karten-Plattform ist unter der CC Zertifizierungs-ID BSI-DSZ-CC nach folgendem Protection Profile zertifiziert: Common Criteria Protection Profile, Card Operating System Generation 2 (PP COS G2), Version 1.9, , BSI-CC-PP-0082-V2, [PP COS G2] Die oben genannten optionalen Funktionspakete der G2-COS-Spezifikation der G2-COS-Spezifikation sind Bestandteil der CC-Zertifizierung der Karten-Plattform. Der Prüfgegenstand setzt auf der CC-zertifizierten und gemäß [COS_Spec] und zugehöriger Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-3] implementierten Karten-Plattform TCOS FlexCert Version 2.0 Release 1/SLE78CLX1440P von T-Systems International GmbH auf. Der Prüfgegenstand enthält ein gemäß [Obj_Spec] und zugehöriger Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-3], [ERR-G2-7] implementiertes Objektsystem mit folgenden Applikationen: 10 Bundesamt für Sicherheit in der Informationstechnik

12 BSI-K-TR Prüfgegenstand Heilberufsanwendung (DF.HPA): Die Applikation DF.HPA wird zur Speicherung von Daten für Heilberufler verwendet. Anwendung für die qualifizierte elektronische Signatur (DF.QES): Die Applikation DF.QES erlaubt dem Anwender, qualifizierte elektronische Signaturen zu erstellen. ESIGN-Anwendung (DF.ESIGN): Die Applikation wird zur Client/Server-Authentisierung, Erzeugung von digitalen Signaturen und zur Entschlüsselung von Dokumenten-Schlüsseln verwendet. Kryptographische Informationsanwendungen für QES (DF.CIA.QES): Die Applikation DF.CIA.QES beinhaltet Informationen zu unterstützten Algorithmen, Dateikennungen usw., die für die QES-Anwendung relevant sind. Kryptographische Informationsanwendungen für ESIGN (DF.CIA.ESIGN): Die Applikation DF.CIA.ESIGN beinhaltet Informationen zu unterstützten Algorithmen, Dateikennungen usw., die für die ESIGN-Anwendung relevant sind. Organisationsspezifische Authentisierungsanwendung (DF.AUTO): Die Applikation DF.AUTO wird für organisationsspezifische Authentisierungsprozesse verwendet. Der Prüfgegenstand ist ein Smart Card Produkt, welches Sicherheitsdienste zur Verfügung stellt, mit denen das Karten-Produkt als HBA (Heilberufsausweis) genutzt werden kann. Genaue Informationen zu dem im Prüfgegenstand installierten Objektsystem können der Objektsystem-Spezifikation [Obj_Spec] und zugehöriger Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-3], [ERR-G2-7] für den HBA und der zum Prüfgegenstand zugehörigen Benutzerdokumentation entnommen werden. 7.2 Komponenten des Prüfgegenstands Die einzelnen Komponenten des Prüfgegenstands sowie deren zertifizierte Versionsstände sind in Tabelle 1 festgeschrieben. Tabelle 1: Komponenten des Prüfgegenstands Nr. Typ Komponente 1 HW/SW TCOS Health Professional Card Version 2.0 Release 1 Version / Identifikationsdaten EF.ATR, Tag 'D4': Hersteller: ' ' (TSYSI) Produktname: ' F ' (TCOSHP20) Produktversion: Bemerkung Initialisiertes ehealth G2-Karten-Produkt vom Typ HBA. Das Karten-Produkt baut auf der CC-zertifizierten Karten-Plattform TCOS FlexCert Version 2.0 Release 1/SLE78CLX1440P (BSI-DSZ-CC ) auf Konformitätsreport, Stand:

13 Prüfgegenstand Nr. Typ Komponente Version / Identifikationsdaten Bemerkung ' ' (2.2.2) und implementiert ein Objektsystem vom Typ HBA gemäß der Objektsystem-Spezifikation [Obj_Spec] und zugehöriger Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-3], [ERR-G2-7]. Die Identifikationsdaten der Karten-Plattform können dem Zertifizierungsreport zu BSI-DSZ-CC entnommen werden. Die Identifikationsdaten des Karten-Produktes (Produktkennung) können mit dem Kommando READ BINARY aus dem EF.ATR, Tag 'D4' ausgelesen werden. Siehe [KP_AGD], Annex F. Zur Information können auch folgende Daten aus dem EF.ObjectInfo mittels des Kommandos READ BINARY ausgelesen werden: ' C 2D 2D' Diese Daten werden initial im Rahmen der Initialisierung des Karten-Produktes aufgebracht. Siehe [KP_AGD], Kapitel , Tabelle 3.5 und Annex F. 2 SW TCOSeHealthWrapperLib.jar lib\jdom jar im ZIP-Archiv TCOSeHealthWrapperLib.zip 3 DOK TCOS Health Professional Card Version 2.0 Release 1 Operational and Personalization Guidance, Guidance Documentation of the TCOS Health Professional Card SHA-256 Hashwert: 0d12e6f596ec612ca c07e0d74dba4ce1 f770d5d815c927d010b b00b336 Wrapper zu der dem Karten-Produkt unterliegenden Karten-Plattform. Der Wrapper kann auf Anfrage beim Hersteller der Karten-Plattform bezogen werden. V1.0 Benutzerdokumentation zum Karten-Produkt. 12 Bundesamt für Sicherheit in der Informationstechnik

14 BSI-K-TR Prüfgegenstand Nr. Typ Komponente Version 2.0 Release 1 Version / Identifikationsdaten Bemerkung 4 DOK TCOS Health Professional Card Version 2.0 Auflagen Auflagen resultierend aus der TR-Zertifizierung 5 DOK TCOS FlexCert Version 2.0 Release 1 Operational Guidance Part 1, Guidance Documentation of TCOS FlexCert Version 2.0 Release 1 TCOS FlexCert Version 2.0 Release 1 Operational Guidance Part 2, Guidance Documentation of TCOS FlexCert Version 2.0 Release 1 TCOS FlexCert Version 2.0 Release 1 Administrator s Guidance, Guidance Documentation of TCOS FlexCert Version 2.0 Release 1 TCOS FlexCert Version 2.0 Release 1 Guidance Documentation of the Wrapper to TCOS FlexCert Version 2.0 Release 1 6 DOK CC-Zertifikat und -Zertifizierungsreport zu BSI-DSZ-CC V1.0 Benutzerdokumentation zum Karten-Produkt. V1.0 Benutzerdokumentation zu der dem Karten-Produkt unterliegenden Karten-Plattform und ihres zugehörigen Wrappers. V1.0 V1.0 V1.0 Diese Dokumente können auf Anfrage beim Hersteller der Karten-Plattform bezogen werden. V1.0 CC-Zertifikat und Zertifizierungsreport zu der dem Karten-Produkt unterliegenden Karten-Plattform. 7 SW TCOSeHealthWrapperLib.INI --- Wrapper-INI Datei mit Password zur Freischaltung des Kommandos FINGERPRINT. Hersteller-spezifisches Sicherungsmaterial. Verwendung nur für prüfinterne Zwecke im Rahmen der vorliegenden TR-Konformitätsprüfung des Karten-Produktes. 8 SW Fingerprint-TCOSFC201_006.xml Fingerprint-TCOSFC201_006.xml.asc Fingerprint-TCOSFC201_006.xml.key --- Challenge/Fingerprint- Referenzwert-Paar für den Fingerprint-Abgleich der dem Karten-Produkt unterliegenden Konformitätsreport, Stand:

15 Prüfgegenstand Nr. Typ Komponente Version / Identifikationsdaten Bemerkung Karten-Plattform sowie zugehörige Konfigurationsdateien mit der Signatur und dem Signaturprüfschlüssel. Verwendung nur für prüfinterne Zwecke im Rahmen der vorliegenden TR-Konformitätsprüfung des Karten-Produktes. 14 Bundesamt für Sicherheit in der Informationstechnik

16 BSI-K-TR Konformitätsprüfung 8 Konformitätsprüfung Die Konformitätsprüfung wurde im Zeitraum September 2015 bis April 2016 von der beauftragten Prüfstelle durchgeführt. Im Rahmen der Konformitätsprüfung wurde der Prüfgegenstand nach den Prüfvorgaben der Technischen Richtlinie BSI TR des BSI in der Version 1.1 untersucht. Für die Konformitätsprüfung des Prüfgegenstandes wurde das nach der Technischen Richtlinie BSI TR unter der Zertifizierungs-ID BSI-K-TR zertifizierte ehealth G2-COS Konsistenz-Prüftool in der Version eingesetzt. Der Konsistenzabgleich des Prüfgegenstandes mittels des Konsistenz-Prüftools erfolgte gegen die folgende von der gematik bereitgestellte XML-Sollwert-Datei: H024DL--_PU-init_PTV Master_v4.0.xml (XML-Master zur Objektsystem-Spezifikation [Obj_Spec] und zugehöriger Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-3], [ERR-G2-7]) Die Verantwortung für die Übereinstimmung der zuvor genannten XML-Sollwert-Datei mit der für das geprüfte Karten-Produkt relevanten Objektsystem-Spezifikation [Obj_Spec] und zugehöriger Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-3], [ERR-G2-7] liegt bei der gematik. Der von der Prüfstelle vorgelegte Prüfbericht enthält detaillierte Beschreibungen der durchgeführten Testfälle, der jeweils zu erfüllenden Anforderungen / Vorgaben bzw. einzuhaltenden Wertebereiche / Grenzwerte sowie eine vollständige Aufstellung der erzielten Prüfergebnisse. Tabelle 2 enthält eine Zusammenfassung der durchgeführten Testfälle. Für eine detaillierte Beschreibung der Testfälle sei auf die Technische Richtlinie BSI TR verwiesen. Tabelle 2: Konformitätsprüfung gemäß BSI TR Testfall PR_PG.01 PR_AN.01 PR_AN.02 PR_AN.03 PR_AN.04 PR_AN.05 PR_AN.06 PR_ID.01 PR_ID.02 PR_ID.03 PR_PF.01 PR_PF.02 Bewertung Konformitätsreport, Stand:

17 Konformitätsprüfung Testfall PR_PF.03 PR_PD.01 PR_PD.02 PR_PD.03 PR_PD.04 Bewertung 16 Bundesamt für Sicherheit in der Informationstechnik

18 BSI-K-TR Ergebnis der Konformitätsprüfung 9 Ergebnis der Konformitätsprüfung Die vollständigen Ergebnisse der Konformitätsprüfung sind in folgendem Prüfbericht und seinen zugehörigen Anlagen enthalten: SRC Security Research & Consulting GmbH TR-Prüfbericht TCOS Health Professional Card Version 2.0 Release 1 BSI-K-TR Version 1.4 Erstellungsdatum: 07. April 2016 Die Vollständigkeit und Widerspruchsfreiheit des vorgelegten Prüfberichts wurde durch das Bundesamt für Sicherheit in der Informationstechnik verifiziert und bestätigt. Die im Rahmen der Konformitätsprüfung erzielten Ergebnisse lassen sich wie folgt zusammenfassen: Alle im Rahmen der Konformitätsprüfung untersuchten Testfälle gemäß BSI TR konnten mit Pass bewertet werden. Auf der Grundlage der im TR-Prüfbericht und seiner zugehörigen Anlagen dokumentierten Ergebnisse der TR-Konformitätsprüfung kommen die TR-Prüfer zu folgendem Prüfergebnis. Für den Prüfgegenstand (initialisiertes Karten-Produkt TCOS Health Professional Card Version 2.0 Release 1) gilt folgende, sich aus mehreren Teilaspekten zusammensetzende Aussage zur sicherheitstechnischen Eignung des Karten-Produktes für seinen Einsatz in der Telematikinfrastruktur im deutschen Gesundheitswesen: Sicherheitsaussage zu der dem initialisierten Karten-Produkt unterliegenden Karten-Plattform: Diese Sicherheitsaussage wird über das gültige CC-Zertifikat für die Karten-Plattform sowie eine erfolgreiche Fingerprint-Prüfung des initialisierten Karten-Produktes mittels des Konsistenz-Prüftools der gematik im Rahmen der TR-Konformitätsprüfung des Karten-Produktes erreicht. Im Detail: Die Karten-Plattform, auf der das im Rahmen der TR-Konformitätsprüfung getestete initialisierte Karten-Produkt aufbaut, unterliegt einer CC-Sicherheitszertifizierung auf Basis des zertifizierten Protection Profiles für das G2-COS (BSI-CC-PP-0082-V2). Für die Karten-Plattform liegt ein gültiges CC-Zertifikat vor. Das CC-Zertifikat für diese Karten-Plattform beinhaltet, dass diese Karten-Plattform in ihren Sicherheitseigenschaften den Anforderungen und Vorgaben des G2-COS Protection Profile entspricht. Im G2-COS Protection Profile wiederum, das selbst einer CC-Zertifizierung unterliegt, sind die sicherheitstechnischen Belange einer G2-COS basierten Karten-Plattform adäquat und ausreichend adressiert und modelliert. Die Implementierung des G2-COS in der dem im Rahmen der TR-Konformitätsprüfung getesteten initialisierten Karten-Produkt unterliegenden Karten-Plattform (inklusive der im Rahmen der Initialisierung der Karten-Plattform ggf. eingebrachten Patches) ist integer und authentisch und entspricht unverändert den über das CC-Zertifikat der Konformitätsreport, Stand:

19 Ergebnis der Konformitätsprüfung Karten-Plattform abgedeckten Evaluierungsbestandteilen. Die Sicherheitsaussage wird über eine erfolgreiche Prüfung des initialisierten Karten-Produktes mittels des Konsistenz-Prüftools, genauer die Prüfung des Fingerprints über die Implementierung des G2-COS inklusive ggf. zugehöriger Patches in der Karten-Plattform, nachgewiesen. Die das initialisierte Karten-Produkt prüfende TR-Prüfstelle ist verantwortlich für die korrekte und sichere Nutzung des Konsistenz-Prüftools und seiner Input-Quellen gemäß der für das Prüftool und seine Input-Quellen bestehenden Annahmen und Auflagen an die Einsatzumgebung sowie sonstigen Nutzungsbedingungen. Das Konsistenz-Prüftool selbst unterliegt einer TR-Zertifizierung (Konformitätsnachweis) nach der Technischen Richtlinie BSI TR ehealth G2-COS Konsistenz-Prüftool und trägt damit inhärent als Sicherheitsanker auf prozessoraler Ebene zur Sicherheitsaussage zur Karten-Plattform bei. Die Fingerprint-Prüfung ist Gegenstand der TR-Konformitätsprüfung des initialisierten Karten-Produktes nach der Technischen Richtlinie BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2. Sicherheitsaussage zum Objektsystem des initialisierten Karten-Produktes: Diese Sicherheitsaussage wird über eine erfolgreiche Prüfung des initialisierten Karten-Produktes mittels des Konsistenz-Prüftools der gematik im Rahmen der TR-Konformitätsprüfung des Karten-Produktes unter Verwendung der Auslese-Schnittstelle und des Hersteller-spezifischen Wrappers der unterliegenden Karten-Plattform und unter Nutzung der für das Konsistenz-Prüftool vorgesehenen Input-Quellen erreicht. Im Detail: Das Objektsystem des getesteten initialisierten Karten-Produktes widerspricht nicht den Vorgaben der für das Karten-Produkt relevanten Objektsystem-Spezifikation für Karten-Produkte des betreffenden Kartentyps in der relevanten Version (XML-Master). Die Konformitätsaussage bezieht sich hierbei explizit auf den von der gematik erstellten und signierten XML-Master der Objektsystem-Spezifikation. Vorstehende Sicherheitsaussage betrifft genauer folgende Aspekte: Vollständigkeit des implementierten Objektsystems (bezogen auf die in der Objektsystem-Spezifikation (XML-Master) als verpflichtend vorgegebenen Objekte), Korrektheit der hierarchischen Struktur des implementierten Objektsystems (bezogen auf die in der Objektsystem-Spezifikation (XML-Master) als verpflichtend vorgegebene hierarchische Struktur des Objektsystems), Vollständigkeit und Korrektheit der Implementierung der zu initialisierenden Sicherheitsattribute des Objektsystems der Objektsystem-Spezifikation (XML-Master), Vollständigkeit und Korrektheit der Implementierung der zu initialisierenden Sicherheitsattribute aller verpflichtenden Objekte der Objektsystem-Spezifikation (XML-Master), Vollständigkeit und Korrektheit der Implementierung der zu initialisierenden Schlüsseldaten aller gemäß der Objektsystem-Spezifikation (XML-Master) verpflichtenden Public Key-Objekte. Die Sicherheitsaussage wird über eine erfolgreiche Prüfung des initialisierten Karten-Produktes mittels des Konsistenz-Prüftools PT ehealth G2-COS, genauer über 18 Bundesamt für Sicherheit in der Informationstechnik

20 BSI-K-TR Ergebnis der Konformitätsprüfung den Konsistenzabgleich des initialisierten Karten-Produktes gegen die relevante Objektsystem-Spezifikation des betreffenden Kartentyps in der relevanten Version (XML-Master) unter Nutzung der Auslese-Schnittstelle und des Hersteller-spezifischen Wrappers der Karten-Plattform zum Auslesen der Sicherheitsattribute und öffentlichen Schlüsseldaten aus dem initialisierten Karten-Produkt mit anschließender Aufbereitung für das Konsistenz-Prüftool nachgewiesen. Sollwert-Vorgaben bezieht das Konsistenz-Prüftool aus der G2-COS-Spezifikation sowie aus der für das zu prüfende Karten-Produkt relevanten Objektsystem-Spezifikation (XML-Master), die Vorgaben für initialisierte Karten-Produkte, genauer Vorgaben für die zu initialisierenden Objekte, Sicherheitsattribute und Schlüsseldaten beinhaltet. Die das initialisierte Karten-Produkt prüfende TR-Prüfstelle ist verantwortlich für die korrekte und sichere Nutzung des Konsistenz-Prüftools und seiner Input-Quellen, der Auslese-Schnittstelle und des Wrappers der Karten-Plattform gemäß der für das Konsistenz-Prüftool, die Input-Quellen, die Auslese-Schnittstelle und den Wrapper bestehenden Annahmen und Auflagen an die Einsatzumgebung sowie sonstigen Nutzungsbedingungen. Die Auslese-Schnittstelle und der Wrapper der Karten-Plattform selbst sind Gegenstand der CC-Sicherheitszertifizierung der Karten-Plattform, während das Konsistenz-Prüftool einer TR-Zertifizierung (Konformitätsnachweis) nach der Technischen Richtlinie BSI TR ehealth G2-COS Konsistenz-Prüftool unterliegt. Auslese-Schnittstelle und Wrapper der Karten-Plattform sowie das Konsistenz-Prüftool, deren Zusammenwirken nachgewiesen aufeinander abgestimmt ist, liefern damit inhärent als Sicherheitsanker auf prozessoraler Ebene die Sicherheitsaussage zum Objektsystem des initialisierten Karten-Produktes. Der Konsistenzabgleich des Objektsystems ist Gegenstand der TR-Konformitätsprüfung des initialisierten Karten-Produktes nach der Technischen Richtlinie BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2 und beschränkt sich auf einen Abgleich des Karten-Produktes gegen die XML-Datei zur Objektsystem-Spezifikation (hier: H024DL--_PU-init_PTV Master_v4.0.xml). Sicherheitsaussage zur Kombination aus Karten-Plattform und Objektsystem des initialisierten Karten-Produktes: Im Rahmen der TR-Konformitätsprüfung des initialisierten Karten-Produktes nach der Technischen Richtlinie BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2 erfolgt eine Prüfung, dass die in der dem Karten-Produkt unterliegenden Karten-Plattform implementierten optionalen Funktionspakete der G2-COS-Spezifikation für den Kartentyp des Karten-Produktes geeignet und Gegenstand der CC-Zertifizierung der Karten-Plattform sind. Weiterhin erfolgt eine Prüfung, dass die Eigenschaften des getesteten initialisierten Karten-Produktes nicht den Auflagen aus der CC-Sicherheitszertifizierung der dem Karten-Produkt unterliegenden Karten-Plattform widersprechen. Das erzielte Gesamtergebnis der Konformitätsprüfung ist: Pass Konformitätsreport, Stand:

21 Ergebnis der Konformitätsprüfung Hinweis: Es erfolgen über die oben gemachten Aussagen hinaus für den Prüfgegenstand keine weiteren Aussagen zu seiner sicherheitstechnischen Eignung. Dies bedeutet insbesondere Folgendes: Insbesondere beinhaltet eine für ein initialisiertes Karten-Produkt ausgesprochene Aussage zu seiner sicherheitstechnischen Eignung weder direkt noch indirekt eine Aussage des BSI zur generellen Sicherheitsbewertung der G2-COS-Spezifikation (als PDF) und/oder der Objektsystem-Spezifikationen (als PDF). Entsprechendes gilt auch für XML-Formate der Objektsystem-Spezifikationen (insbesondere XML-Master). Insbesondere beinhaltet eine für ein initialisiertes Karten-Produkt ausgesprochene Aussage zu seiner sicherheitstechnischen Eignung weder direkt noch indirekt eine Aussage des BSI zur Konsistenz einer Objektsystem-Spezifikation zwischen ihrem PDF-Format und einer Darstellung im XML-Format (insbesondere XML-Master). Insbesondere beinhaltet eine für ein initialisiertes Karten-Produkt ausgesprochene Aussage zu seiner sicherheitstechnischen Eignung weder direkt noch indirekt eine Aussage des BSI zu den evtl. im Karten-Produkt über die G2-COS-Spezifikation und die betreffende Objektsystem-Spezifikation hinausgehend zusätzlich enthaltenen Strukturen, Funktionalitäten, Objekten, Objekttypen, Sicherheitsattributen, öffentlichen Schlüsseldaten und sonstigen Hersteller-spezifischen sicherheitsrelevanten Attributen, zu deren Wertebelegung und bei Objekten zu deren hierarchischen Anordnung im Objektsystem, sofern diese nicht Hersteller-spezifisch direkt der Umsetzung der betreffenden Objektsystem-Spezifikation dienen und nicht grundsätzlich über die Evaluierung der dem Karten-Produkt unterliegenden Karten-Plattform abgedeckt sind. 9.1 Auflagen, Empfehlungen und Hinweise für den Einsatz, die Herstellung & Auslieferung des Prüfgegenstands Im Rahmen der Konformitätsprüfung des Prüfgegenstands sind folgende spezielle Auflagen, Empfehlungen und Hinweise für den Einsatz des geprüften Karten-Produktes identifiziert worden: Für die Verwendung kryptographischer Mechanismen und zugehörigen Schlüsselmaterials sind bei der Personalisierung des Karten-Produktes, der Administration des Karten-Produktes (inklusive Nachladen von Applikationen) und dem Wirkbetrieb des Karten-Produktes die Auflagen aus [KP_AGD], Kapitel 4.5 und Annex A, A.1.4 sowie aus [KP_AGD_2], Kapitel 1 und 2 einzuhalten. Für spätere Applikationsentwickler bzw. Karten-Managementsysteme sei darauf hingewiesen, dass die dem Karten-Produkt unterliegende Karten-Plattform mit dem Kommando LOAD APPLICATION über die G2-COS-Spezifikation [COS_Spec] hinausgehend in neuen, nachgeladenen Applikationen prinzipiell auch das Laden einzelner Keyund PIN-Objekte außerhalb eines neuen Ordners ermöglicht, sofern dies seitens der betreffenden neuen, nachgeladenen Applikationen nicht unterbunden wird. Auflagen und Hinweise für die Personalisierung des Karten-Produktes sind in der Benutzerdokumentation [KP_AGD] und [KP_AGD_2] zum Karten-Produkt enthalten. 20 Bundesamt für Sicherheit in der Informationstechnik

22 BSI-K-TR Ergebnis der Konformitätsprüfung Die Benutzerdokumentation [KP_AGD] beinhaltet insbesondere folgende Sicherheitsauflagen für den Personalisierer: [KP_AGD], Kapitel 3.1: Before the personalization process is closed and the operational phase is activated the life cycle status of the MF must be explicitely changed from Initialization to Operational, activated (see command Activate, section in [COS_Spec]) by the Personalization Agent. The operating system does not check if the master file is activated during transition to the operational phase (Phase 7). [KP_AGD], Kapitel 4.2.7: The following requirements must be fulfilled before the TCOS Health Professional Card can be issued to the Card Holder: All files in the file system of the TCOS Health Professional Card must contain the required data; the master file must be in the life cycle state "Operational, activated"; the TCOS Health Professional Card must be in life cycle state 7 (operational use). The services at the external interface of the TCOS Health Professional Card as described in [COS_Spec] become available only if the master file has been activated by an Activate command and the personalization phase has been closed and thus the life cycle of the card has been set to the operational phase. Therefore the Personalization Agent has to close phase 6.2 by activating phase 7. On that score the Personalization Agent performs an authentication through an authentication using the Format command (cf. Annex A.1.6). The Personalization Agent has to ensure that the activation is performed. Otherwise the TCOS Health Professional Card is not used according to the security target [TCOS_ST_HPC]. Ferner beinhaltet die Benutzerdokumentation [KP_AGD], Annex A, A.1.4 und [KP_AGD_2], Kapitel 1 und 2 weitere spezielle durch den Personalisierer einzuhaltende Sicherheitsauflagen bezüglich der Personalisierung des Karten-Produktes. Konformitätsreport, Stand:

23 Ergebnis des Zertifizierungsverfahrens nach TR 10 Ergebnis des Zertifizierungsverfahrens nach TR Die Konformität des Prüfgegenstands zur Technischen Richtlinie BSI TR wird vom Bundesamt für Sicherheit in der Informationstechnik für den untersuchten Prüfbereich mit dem Zertifikat nach Technischen Richtlinien BSI-K-TR vom 12. April 2016 bestätigt. Das Zertifikat nach Technischen Richtlinien ist gültig bis zum 12. April Bundesamt für Sicherheit in der Informationstechnik

24 BSI-K-TR Literaturverzeichnis Literaturverzeichnis BSIG BSIZertV BSIKostV BSI-Gesetz Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009, Bundesgesetzblatt Teil I Nr. 54, S BSI-Zertifizierungs- und Anerkennungsverordnung Verordnung über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSIZertV), vom 17. Dezember 2014, Bundesgesetzblatt Teil I Nr. 61, S BSI-Kostenverordnung Kostenverordnung für Amtshandlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Kostenverordnung-BSI, KostV) vom 3. März 2005, Bundesgesetzblatt I, S. 519 VB-Produkte Verfahrensbeschreibung zur Zertifizierung von Produkten, Version 2.0 vom , Bundesamt für Sicherheit in der Informationstechnik TR-Produkte BSI TR BSI TR-03144A BSI TR Anforderungen an Antragsteller zur Zertifizierung von Produkten nach Technischen Richtlinien, Version 1.0 vom , Bundesamt für Sicherheit in der Informationstechnik BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2, Version 1.1 vom 22. Mai 2015, Bundesamt für Sicherheit in der Informationstechnik BSI TR Anhang ehealth Sicherungsmechanismen im Umfeld der TR-Zertifizierung von G2-Karten-Produkten, Version 1.1 vom 22. Mai 2015, Bundesamt für Sicherheit in der Informationstechnik BSI TR ehealth Zertifizierungskonzept für Karten der Generation G2, Version 1.1 vom 22. Mai 2015, Bundesamt für Sicherheit in der Informationstechnik BSI TR BSI TR ehealth G2-COS Konsistenz-Prüftool, Version 1.0 vom 08. Mai 2015, Bundesamt für Sicherheit in der Informationstechnik Obj_Spec Spezifikation des elektronischen Heilberufsausweises HBA-Objektsystem, Version 3.7.0, , gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh COS_Spec Spezifikation des Card Operating Systems (COS), Elektrische Schnittstelle, Version 3.7.0, , gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh ERR-G2-1 ERR-G2-2 ERR-G2-3 ERR-G2-7 Errata zu Release 1.4.0, Online-Rollout (Stufe 1), Erprobung und Produktivbetrieb, führt zu Release (Kartenspezifikationen und Konnektor), Version 1.0.0, , gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh 2. Errata zu Release 1.4.0, Online-Rollout (Stufe 1), Erprobung und Produktivbetrieb, führt zu Release (Spezifikation des Card Operating System und Spezifikation Wrapper), Version 1.0.0, , gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh Errata zu Release 1.4.2, Online-Rollout (Stufe 1), Erprobung und Produktivbetrieb, führt zu Release (Störungsampel, Zertifikate, Testkarten und COS-Wrapper), Version 1.0.1, , gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh Errata zu Release 1.4.6, Online-Rollout (Stufe 1), Erprobung und Produktivbetrieb, führt zu Release (optische Gestaltung der Testkarten, Korrektur Objektsystem egk und HBA), Version 2.0.0, , gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh Konformitätsreport, Stand:

25 Literaturverzeichnis PP COS G2 KP_AGD KP_AGD_2 Common Criteria Protection Profile, Card Operating System Generation 2 (PP COS G2), Version 1.9, , BSI-CC-PP-0082-V2 TCOS Health Professional Card Version 2.0 Release 1 - Operational and Personalization Guidance, Guidance Documentation of the TCOS Health Professional Card Version 2.0 Release 1, Version 1.0, , T-Systems International GmbH TCOS Health Professional Card Version Auflagen - Auflagen resultierend aus der TR-Zertifizierung, Version 1.0, , T-Systems International GmbH 24 Bundesamt für Sicherheit in der Informationstechnik