nach Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik

Transkript

1 Zertifikat nach Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik BSI-K-TR STARCOS 3.6 Health egkgkv R1 der Konformität zu: gültig bis: 06. Juli 2021 Giesecke & Devrient GmbH BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2 Die Konformität des Prüfgegenstands STARCOS 3.6 Health egkgkv R1 der Giesecke & Devrient GmbH zur Technischen Richtlinie BSI TR wurde von einer gemäß DIN ISO/IEC anerkannten Prüfstelle überprüft und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt. Als Prüfgrundlage für die Konformitätsprüfung dienten: BSI TR ehealth Konformitätsnachweis für Kartenprodukte der Kartengeneration G2, Version 1.1 vom 22. Mai 2015 BSI TR Anhang ehealth Sicherungsmechanismen im Umfeld der TR-Zertifizierung von Kartenprodukten der Kartengeneration G2, Version 1.1 vom 22. Mai 2015 Der Prüfgegenstand erfüllt die Anforderungen der Technischen Richtlinie BSI TR Dieses Zertifikat gilt nur in Verbindung mit dem vollständigen Konformitätsreport BSI-K-TR Die Gültigkeit ist ausschließlich auf die geprüfte und im Konformitätsreport angegebene Version und Konfiguration des Prüfgegenstands beschränkt. Das Zertifizierungsverfahren wurde in Übereinstimmung mit den Bestimmungen des BSI-Schemas zur Zertifizierung nach Technischen Richtlinien durchgeführt. Dieses Zertifikat ist keine Empfehlung des genannten Prüfgegenstands durch das Bundesamt für Sicherheit in der Informationstechnik. Eine Gewährleistung für den genannten Prüfgegenstand durch das Bundesamt für Sicherheit in der Informationstechnik ist weder enthalten noch zum Ausdruck gebracht. Bonn, den 06. Juli 2016 Bundesamt für Sicherheit in der Informationstechnik Im Auftrag Bernd Kowalski Abteilungspräsident Bundesamt für Sicherheit in der Informationstechnik Godesberger Allee , D Bonn s Postfach , D Bonn Tel.: +49 (0) s Fax: +49 (0) s Infoline: +49 (0) s Internet:

2 Konformitätsreport BSI-K-TR STARCOS 3.6 Health egkgkv R1 der Giesecke & Devrient GmbH Prinzregentenstraße 159, München

3 Bundesamt für Sicherheit in der Informationstechnik Godesberger Allee , D Bonn s Postfach , D Bonn Tel.: +49 (0) s Fax: +49 (0) s Internet:

4 BSI-K-TR Inhaltsverzeichnis Inhaltsverzeichnis 1 Vorbemerkung Grundlagen des Zertifizierungsverfahrens Hinweise für den Antragsteller Antrag Prüfbereich und Prüfgrundlage Prüfstelle Prüfgegenstand Beschreibung des Prüfgegenstands Komponenten des Prüfgegenstands Konformitätsprüfung Ergebnis der Konformitätsprüfung Auflagen, Empfehlungen und Hinweise für den Einsatz, die Herstellung & Auslieferung des Prüfgegenstands Ergebnis des Zertifizierungsverfahrens nach TR...22 Literaturverzeichnis Abbildungsverzeichnis Tabellenverzeichnis Tabelle 1: Komponenten des Prüfgegenstands Tabelle 2: Konformitätsprüfung gemäß BSI TR Konformitätsreport, Stand:

5 Vorbemerkung 1 Vorbemerkung Die Zertifizierung von IT-Produkten oder -Systemen im Folgenden Prüfgegenstand genannt nach Technischen Richtlinien (TR) wird auf Veranlassung des Herstellers im folgenden Antragsteller genannt durchgeführt. Technische Richtlinien, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und veröffentlicht werden, bilden die Grundlage für Konformitätsprüfungen. Anhand einer Konformitätsprüfung wird sichergestellt, dass ein Prüfgegenstand die technischen, funktionalen und qualitativen Anforderungen einer TR erfüllt. Konformitätsprüfungen werden von einer vom BSI anerkannten Prüfstelle gemäß den in der jeweiligen TR definierten Prüfspezifikationen und Tests durchgeführt. Die Konformitätsprüfung eines Prüfgegenstands erfolgt in Übereinstimmung mit den Bestimmungen des entsprechenden BSI-Schemas zur Zertifizierung nach Technischen Richtlinien. Für jedes Zertifizierungsverfahren nach TR führt das BSI eine Prüfbegleitung durch, um einheitliches Vorgehen, einheitliche Interpretation der Kriterienwerke und einheitliche Bewertungen sicherzustellen. Das Ergebnis eines Zertifizierungsverfahrens nach TR wird in einem abschließenden Konformitätsreport zusammengefasst. Das im Rahmen einer Zertifizierung nach TR ausgestellte Zertifikat ist keine Empfehlung des Prüfgegenstands durch das Bundesamt für Sicherheit in der Informationstechnik. Eine Gewährleistung für den Prüfgegenstand durch das BSI ist weder enthalten noch zum Ausdruck gebracht. 4 Bundesamt für Sicherheit in der Informationstechnik

6 BSI-K-TR Grundlagen des Zertifizierungsverfahrens 2 Grundlagen des Zertifizierungsverfahrens Das Zertifizierungsverfahren wurde vom Bundesamt für Sicherheit in der Informationstechnik nach Maßgabe der folgenden Vorgaben durchgeführt: BSI-Gesetz Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009, Bundesgesetzblatt Teil I Nr. 54, S. 2821, [BSIG] BSI-Zertifizierungs- und Anerkennungsverordnung Verordnung über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSIZertV), vom 17. Dezember 2014, Bundesgesetzblatt Teil I Nr. 61, S. 2231, [BSIZertV] BSI-Kostenverordnung Kostenverordnung für Amtshandlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Kostenverordnung-BSI, BSIKostV) vom 3. März 2005, Bundesgesetzblatt I, S. 519, [BSIKostV] Verfahrensbeschreibung zur Zertifizierung von Produkten, Version 2.0 vom , [VB-Produkte] Anforderungen an Antragsteller zur Zertifizierung von Produkten nach Technischen Richtlinien, Version 1.0 vom , [TR-Produkte] Konformitätsreport, Stand:

7 Hinweise für den Antragsteller 3 Hinweise für den Antragsteller 1. Das vom BSI erteilte Zertifikat nach Technischen Richtlinien BSI-K-TR ist nur in Zusammenhang mit dem vollständigen Konformitätsreport gültig. 2. Die Gültigkeit des Zertifikats erstreckt sich ausschließlich auf die geprüfte Version des Prüfgegenstands. Alle geprüften Komponenten des Prüfgegenstands und deren Versionsstände sind in Tabelle 1 des Konformitätsreports festgeschrieben. 3. Die Gültigkeit eines Zertifikats nach der Technischen Richtlinie BSI TR beträgt fünf Jahre. 4. Bei Änderungen, Weiterentwicklungen oder Ergänzungen der Komponenten des Prüfgegenstands um zusätzliche Versionen hat das BSI, ggf. unter Einbeziehung der Prüfstelle, zu beurteilen, ob das Zertifikat entsprechend erweitert werden kann oder ob eine erneute Konformitätsprüfung notwendig ist. 5. Nur dem Zertifikat entsprechende Ausführungen des Prüfgegenstands dürfen als vom BSI zertifiziert bezeichnet und als solche beworben werden. Stellt das BSI diesbezüglich eine Zuwiderhandlung fest, erfolgt eine Abmahnung des Antragstellers. Daneben ist das BSI berechtigt, den Eintrag des Prüfgegenstands von der Veröffentlichungsliste der nach Technischen Richtlinien erteilten Zertifikate auf der BSI-Webseite zu streichen sowie die weitere Verwendung von Zertifizierungsbutton und Prüfsiegel zu untersagen. 6. Das BSI kann den Antragsteller jederzeit auffordern, ein dem Zertifikat entsprechendes Exemplar des Prüfgegenstands aus der laufenden Produktion zur Überprüfung bereitzustellen. Kommt der Antragsteller der Aufforderung nicht innerhalb einer gesetzten Frist nach, ist das BSI berechtigt, den Eintrag des Prüfgegenstands von der Veröffentlichungsliste der nach Technischen Richtlinien erteilten Zertifikate auf der BSI-Webseite zu streichen sowie die weitere Verwendung von Zertifizierungsbutton und Prüfsiegel zu untersagen. 6 Bundesamt für Sicherheit in der Informationstechnik

8 BSI-K-TR Antrag 4 Antrag Für den in Kapitel 7 genannten Prüfgegenstand wurde vom Hersteller Giesecke & Devrient GmbH Prinzregentenstraße München Deutschland Ansprechpartner: Herr Ernst Aiglstorfer (ernst.aiglstorfer@gi-de.com) mit Antragsdatum 17. August 2015 (Eingangsdatum BSI: 18. August 2015) beim BSI eine erstmalige Zertifizierung nach Technischen Richtlinien beantragt. Konformitätsreport, Stand:

9 Prüfbereich und Prüfgrundlage 5 Prüfbereich und Prüfgrundlage Beantragt wurde eine Zertifizierung nach der Technischen Richtlinie: BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2 Die Konformitätsprüfung nach der Technischen Richtlinie BSI TR erfolgt für den Prüfbereich: BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2 Die Prüfgrundlage für Konformitätsprüfungen in diesen Prüfbereichen bilden folgende Dokumente: BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2, Version 1.1 vom 22. Mai 2015, [BSI TR-03144] BSI TR Anhang ehealth Sicherungsmechanismen im Umfeld der TR-Zertifizierung von G2-Karten-Produkten, Version 1.1 vom 22. Mai 2015, [BSI TR-03144A] BSI TR ehealth Zertifizierungskonzept für Karten der Generation G2, Version 1.1 vom 22. Mai 2015, [BSI TR-03106] BSI TR ehealth G2-COS Konsistenz-Prüftool, Version 1.0 vom 08. Mai 2015, [BSI TR-03143] 8 Bundesamt für Sicherheit in der Informationstechnik

10 BSI-K-TR Prüfstelle 6 Prüfstelle Mit der Durchführung der Konformitätsprüfung wurde folgende vom BSI gemäß DIN ISO/IEC anerkannte Prüfstelle beauftragt: SRC Security Research & Consulting GmbH IT Security Evaluation Facility Emil-Nolde-Straße Bonn Telefon: +49 (0) Fax: +49 (0) detlef.kraus@src-gmbh.de Homepage: Konformitätsreport, Stand:

11 Prüfgegenstand 7 Prüfgegenstand 7.1 Beschreibung des Prüfgegenstands Prüfgegenstand ist das IT-Produkt/-System: STARCOS 3.6 Health egkgkv R1 von Giesecke & Devrient GmbH. Bei dem Prüfgegenstand handelt es sich um ein initialisiertes ehealth Karten-Produkt vom Typ egk (elektronische Gesundheitskarte). Der Prüfgegenstand und sein Objektsystem ist gemäß folgender Objektsystem-Spezifikation implementiert: Spezifikation der elektronischen Gesundheitskarte egk-objektsystem, Version 3.8.0, , Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh, [Obj_Spec] sowie zugehörige Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-5], [ERR-G2-7] Der Prüfgegenstand unterstützt die Option Anwendung AMTS Datenmanagement (DF.AMTS) in der Variante AMTS_vorbereitet. Der Prüfgegenstand unterstützt die Option Kontaktlose Schnittstelle nicht und stellt keine Anwendung für die qualifizierte elektronische Signatur (DF.QES) bereit. Die dem Prüfgegenstand unterliegende Karten-Plattform ist das Produkt STARCOS 3.6 COSGKV C1 von Giesecke & Devrient GmbH. Diese Karten-Plattform ist gemäß folgender G2-COS-Spezifikation implementiert: Spezifikation des Card Operating Systems (COS), Elektrische Schnittstelle, Version 3.7.0, , Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh, [COS_Spec] sowie zugehörige Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-3] Die folgenden optionalen Funktionspakete der G2-COS-Spezifikation sind in der dem Prüfgegenstand unterliegenden Karten-Plattform implementiert: Keine. Die dem Prüfgegenstand unterliegende Karten-Plattform ist unter der CC Zertifizierungs-ID BSI-DSZ-CC nach folgendem Protection Profile zertifiziert: Common Criteria Protection Profile, Card Operating System Generation 2 (PP COS G2), Version 1.9, , BSI-CC-PP-0082-V2, [PP COS G2] Der Prüfgegenstand setzt auf der CC-zertifizierten und gemäß [COS_Spec] und zugehöriger Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-3] implementierten Karten-Plattform STARCOS 3.6 COSGKV C1 von Giesecke & Devrient GmbH auf. Der Prüfgegenstand enthält ein gemäß [Obj_Spec] und zugehöriger Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-5], [ERR-G2-7] implementiertes Objektsystem mit folgenden Applikationen: 10 Bundesamt für Sicherheit in der Informationstechnik

12 BSI-K-TR Prüfgegenstand Gesundheitsanwendung, Health Care Application (DF.HCA): Die Applikation DF.HCA wird zur Speicherung von Daten für Krankenversicherte verwendet. In dieser Applikation sind folgende weitere Anwendungen enthalten: Anwendung Notfalldatensatz (DF.NFD): Die Applikation DF.NFD enthält einen Notfalldatensatz, der medizinische Informationen des Versicherten in Notfall-Situationen bereitstellt. Anwendung Datensatz Persönliche Erklärungen (DF.DPE): Die Applikation DF.DPE enthält den Datensatz mit den persönlichen Erklärungen des Versicherten. Anwendung Gesundheitsdatendienst (DF.GDD): Die Applikation DF.GDD enthält Daten zum Gesundheitsdatendienst des Versicherten. Anwendung Organspendeerklärung (DF.OSE): Die Applikation DF.OSE enthält Daten zur Organspendeerklärung. Krypto-Anwendung ESIGN (DF.ESIGN): Die Applikation DF.ESIGN wird zur Client/Server-Authentisierung, Erzeugung von digitalen Signaturen und für die Schlüssel-Chiffrierungsfunktion für die Sicherung von Daten sowie im Kontext elektronischer Verordnungen verwendet. Kryptographische Informationsanwendungen für ESIGN (DF.CIA.ESIGN): Die Applikation DF.CIA.ESIGN beinhaltet Informationen zu unterstützten Algorithmen, Dateikennungen usw., die für die ESIGN-Anwendung relevant sind. Der Prüfgegenstand ist ein Smart Card Produkt, welches Sicherheitsdienste zur Verfügung stellt, mit denen das Karten-Produkt als egk (elektronische Gesundheitskarte) genutzt werden kann. Genaue Informationen zu dem im Prüfgegenstand installierten Objektsystem können der Objektsystem-Spezifikation [Obj_Spec] und zugehöriger Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-5], [ERR-G2-7] für die egk und der zum Prüfgegenstand zugehörigen Benutzerdokumentation entnommen werden. 7.2 Komponenten des Prüfgegenstands Die einzelnen Komponenten des Prüfgegenstands sowie deren zertifizierte Versionsstände sind in Tabelle 1 festgeschrieben. Tabelle 1: Komponenten des Prüfgegenstands Nr. Typ Komponente Version / Identifikationsdaten 1 HW/SW STARCOS 3.6 Health egkgkv R1 EF.ATR, Tag 'D4': Hersteller: Bemerkung Initialisiertes ehealth G2-Karten-Produkt vom Typ Konformitätsreport, Stand:

13 Prüfgegenstand Nr. Typ Komponente Version / Identifikationsdaten ' B 44' (DEG+D) Produktname: ' B ' (S36GKG01) Produktversion: ' ' (1.0.4) egk. Bemerkung Das Karten-Produkt baut auf der CC-zertifizierten Karten-Plattform STARCOS 3.6 COSGKV C1 von Giesecke & Devrient GmbH (BSI-DSZ-CC ) auf und implementiert ein Objektsystem vom Typ egk gemäß der Objektsystem-Spezifikation [Obj_Spec] und zugehöriger Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-5], [ERR-G2-7]. Die Identifikationsdaten der Karten-Plattform können dem Zertifizierungsreport zu BSI-DSZ-CC entnommen werden. Die Identifikationsdaten des Karten-Produktes (Produktkennung) können mit dem Kommando READ BINARY aus dem EF.ATR, Tag 'D4' ausgelesen werden. Siehe auch [KP_AGD_5], Kapitel SW File ZIP-archive: egkwrapper-v rar bestehend aus den jar-dateien: wrapper.jar (Hauptdatei) gdoffcard.jar (Hilfsbibliothek) gdoffcardstarcos.jar (Hilfsbibliothek) SHA-256 Hashwert: C E2767A3A44 C2D065CBFBBDE B33BFD B4777B4CB253E Wrapper (Version ) zu der dem Karten-Produkt unterliegenden Karten-Plattform. Der Wrapper kann auf Anfrage beim Hersteller der Karten-Plattform bezogen werden. 3 DOK User Guidance STARCOS 3.6 Health egkgkv R1 [KP_AGD_1] Personalisierung egk (CB) noqes noamts, STARCOS 3.6 Health egkgkv R1 [KP_AGD_2] Addendum STARCOS 3.6 Health egkgkv R1/R2 [KP_AGD_3] V1.5 Benutzerdokumentation zum Karten-Produkt. V1.04 V Bundesamt für Sicherheit in der Informationstechnik

14 BSI-K-TR Prüfgegenstand Nr. Typ Komponente Starcos 3.6 Internal Design Specification [KP_AGD_4] Project: Applikationsspezifikation egk G2 CB ohne AMTS [KP_AGD_5] SOLL- und KANN-Anforderungen STARCOS 3.6 Health egkgkv R1/R2 [KP_AGD_6] Sicherheitshinweise STARCOS 3.6 Health egkgkv R1/R2 [KP_AGD_7] Version / Identifikationsdaten V1.3 V1.01 V1.1 V1.3 Bemerkung 4 DOK Guidance Documentation STARCOS 3.6 Main Document Guidance Documentation for the Usage Phase STARCOS 3.6 COS V1.7 Benutzerdokumentation zu der dem Karten-Produkt unterliegenden V2.5 Karten-Plattform und ihres zugehörigen Wrappers. Guidance Documentation for the Initialization Phase STARCOS 3.6 COS Guidance Documentation for the Personalisation Phase STARCOS 3.6 COS STARCOS 3.6 Functional Specification - Part 1: Interface Specification STARCOS 3.6 Internal Design Specification STARCOS 3.6 COS C1/2 Guidance Documentation for the Wrapper V2.11 V2.0 V1.19 V1.3 V1.4 Diese Dokumente können auf Anfrage beim Hersteller der Karten-Plattform bezogen werden. 5 DOK CC-Zertifikat und -Zertifizierungsreport zu BSI-DSZ-CC SW fingerprint_cosgkv_v1.0.2_001.xml fingerprint_cosgkv_v1.0.2_001.xml. asc fingerprint_cosgkv_v1.0.2_001.xml. key V1.0 CC-Zertifikat und Zertifizierungsreport zu der dem Karten-Produkt unterliegenden Karten-Plattform. --- Challenge/Fingerprint- Referenzwert-Paar für den Fingerprint-Abgleich der dem Karten-Produkt unterliegenden Karten-Plattform sowie zugehörige Konfigurationsdateien mit Konformitätsreport, Stand:

15 Prüfgegenstand Nr. Typ Komponente Version / Identifikationsdaten Bemerkung der Signatur und dem Signaturprüfschlüssel. Verwendung nur für prüfinterne Zwecke im Rahmen der vorliegenden TR-Konformitätsprüfung des Karten-Produktes. 14 Bundesamt für Sicherheit in der Informationstechnik

16 BSI-K-TR Prüfgegenstand 8 Konformitätsprüfung Die Konformitätsprüfung wurde im Zeitraum Februar 2015 bis Juli 2016 von der beauftragten Prüfstelle durchgeführt. Im Rahmen der Konformitätsprüfung wurde der Prüfgegenstand nach den Prüfvorgaben der Technischen Richtlinie BSI TR des BSI in der Version 1.1 untersucht. Für die Konformitätsprüfung des Prüfgegenstandes wurde das nach der Technischen Richtlinie BSI TR unter der Zertifizierungs-ID BSI-K-TR zertifizierte ehealth G2-COS Konsistenz-Prüftool in der Version eingesetzt. Der Konsistenzabgleich des Prüfgegenstandes mittels des Konsistenz-Prüftools erfolgte gegen die folgende von der gematik bereitgestellte XML-Sollwert-Datei: E021K---_PU-init_PTV Master_v1.1.xml (XML-Master zur Objektsystem-Spezifikation [Obj_Spec] und zugehöriger Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-5], [ERR-G2-7]) Die Verantwortung für die Übereinstimmung der zuvor genannten XML-Sollwert-Datei mit der für das geprüfte Karten-Produkt relevanten Objektsystem-Spezifikation [Obj_Spec] und zugehöriger Errata [ERR-G2-1], [ERR-G2-2], [ERR-G2-5], [ERR-G2-7] liegt bei der gematik. Der von der Prüfstelle vorgelegte Prüfbericht enthält detaillierte Beschreibungen der durchgeführten Testfälle, der jeweils zu erfüllenden Anforderungen / Vorgaben bzw. einzuhaltenden Wertebereiche / Grenzwerte sowie eine vollständige Aufstellung der erzielten Prüfergebnisse. Tabelle 2 enthält eine Zusammenfassung der durchgeführten Testfälle. Für eine detaillierte Beschreibung der Testfälle sei auf die Technische Richtlinie BSI TR verwiesen. Tabelle 2: Konformitätsprüfung gemäß BSI TR Testfall PR_PG.01 PR_AN.01 PR_AN.02 PR_AN.03 PR_AN.04 PR_AN.05 PR_AN.06 PR_ID.01 PR_ID.02 PR_ID.03 PR_PF.01 Bewertung Konformitätsreport, Stand:

17 Konformitätsprüfung Testfall PR_PF.02 PR_PF.03 PR_PD.01 PR_PD.02 PR_PD.03 PR_PD.04 Bewertung 16 Bundesamt für Sicherheit in der Informationstechnik

18 BSI-K-TR Ergebnis der Konformitätsprüfung 9 Ergebnis der Konformitätsprüfung Die vollständigen Ergebnisse der Konformitätsprüfung sind in folgendem Prüfbericht und seinen zugehörigen Anlagen enthalten: SRC Security Research & Consulting GmbH TR-Prüfbericht STARCOS 3.6 Health egkgkv R1 BSI-K-TR Version 1.3 Erstellungsdatum: 01. Juli 2016 Die Vollständigkeit und Widerspruchsfreiheit des vorgelegten Prüfberichts wurde durch das Bundesamt für Sicherheit in der Informationstechnik verifiziert und bestätigt. Die im Rahmen der Konformitätsprüfung erzielten Ergebnisse lassen sich wie folgt zusammenfassen: Alle im Rahmen der Konformitätsprüfung untersuchten Testfälle gemäß BSI TR konnten mit Pass bewertet werden. Auf der Grundlage der im TR-Prüfbericht und seiner zugehörigen Anlagen dokumentierten Ergebnisse der TR-Konformitätsprüfung kommen die TR-Prüfer zu folgendem Prüfergebnis. Für den Prüfgegenstand (initialisiertes Karten-Produkt STARCOS 3.6 Health egkgkv R1) gilt folgende, sich aus mehreren Teilaspekten zusammensetzende Aussage zur sicherheitstechnischen Eignung des Karten-Produktes für seinen Einsatz in der Telematikinfrastruktur im deutschen Gesundheitswesen: Sicherheitsaussage zu der dem initialisierten Karten-Produkt unterliegenden Karten-Plattform: Diese Sicherheitsaussage wird über das gültige CC-Zertifikat für die Karten-Plattform sowie eine erfolgreiche Fingerprint-Prüfung des initialisierten Karten-Produktes mittels des Konsistenz-Prüftools der gematik im Rahmen der TR-Konformitätsprüfung des Karten-Produktes erreicht. Im Detail: Die Karten-Plattform, auf der das im Rahmen der TR-Konformitätsprüfung getestete initialisierte Karten-Produkt aufbaut, unterliegt einer CC-Sicherheitszertifizierung auf Basis des zertifizierten Protection Profiles für das G2-COS (BSI-CC-PP-0082-V2). Für die Karten-Plattform liegt ein gültiges CC-Zertifikat vor. Das CC-Zertifikat für diese Karten-Plattform beinhaltet, dass diese Karten-Plattform in ihren Sicherheitseigenschaften den Anforderungen und Vorgaben des G2-COS Protection Profile entspricht. Im G2-COS Protection Profile wiederum, das selbst einer CC-Zertifizierung unterliegt, sind die sicherheitstechnischen Belange einer G2-COS basierten Karten-Plattform adäquat und ausreichend adressiert und modelliert. Die Implementierung des G2-COS in der dem im Rahmen der TR-Konformitätsprüfung getesteten initialisierten Karten-Produkt unterliegenden Karten-Plattform (inklusive der im Rahmen der Initialisierung der Karten-Plattform ggf. eingebrachten Patches) ist integer und authentisch und entspricht unverändert den über das CC-Zertifikat der Karten-Plattform abgedeckten Evaluierungsbestandteilen. Konformitätsreport, Stand:

19 Ergebnis der Konformitätsprüfung Die Sicherheitsaussage wird über eine erfolgreiche Prüfung des initialisierten Karten-Produktes mittels des Konsistenz-Prüftools, genauer die Prüfung des Fingerprints über die Implementierung des G2-COS inklusive ggf. zugehöriger Patches in der Karten-Plattform, nachgewiesen. Die das initialisierte Karten-Produkt prüfende TR-Prüfstelle ist verantwortlich für die korrekte und sichere Nutzung des Konsistenz-Prüftools und seiner Input-Quellen gemäß der für das Prüftool und seine Input-Quellen bestehenden Annahmen und Auflagen an die Einsatzumgebung sowie sonstigen Nutzungsbedingungen. Das Konsistenz-Prüftool selbst unterliegt einer TR-Zertifizierung (Konformitätsnachweis) nach der Technischen Richtlinie BSI TR ehealth G2-COS Konsistenz-Prüftool und trägt damit inhärent als Sicherheitsanker auf prozessoraler Ebene zur Sicherheitsaussage zur Karten-Plattform bei. Die Fingerprint-Prüfung ist Gegenstand der TR-Konformitätsprüfung des initialisierten Karten-Produktes nach der Technischen Richtlinie BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2. Sicherheitsaussage zum Objektsystem des initialisierten Karten-Produktes: Diese Sicherheitsaussage wird über eine erfolgreiche Prüfung des initialisierten Karten-Produktes mittels des Konsistenz-Prüftools der gematik im Rahmen der TR-Konformitätsprüfung des Karten-Produktes unter Verwendung der Auslese-Schnittstelle und des Hersteller-spezifischen Wrappers der unterliegenden Karten-Plattform und unter Nutzung der für das Konsistenz-Prüftool vorgesehenen Input-Quellen erreicht. Im Detail: Das Objektsystem des getesteten initialisierten Karten-Produktes widerspricht nicht den Vorgaben der für das Karten-Produkt relevanten Objektsystem-Spezifikation für Karten-Produkte des betreffenden Kartentyps in der relevanten Version (XML-Master). Die Konformitätsaussage bezieht sich hierbei explizit auf den von der gematik erstellten und signierten XML-Master der Objektsystem-Spezifikation. Vorstehende Sicherheitsaussage betrifft genauer folgende Aspekte: Vollständigkeit des implementierten Objektsystems (bezogen auf die in der Objektsystem-Spezifikation (XML-Master) als verpflichtend vorgegebenen Objekte), Korrektheit der hierarchischen Struktur des implementierten Objektsystems (bezogen auf die in der Objektsystem-Spezifikation (XML-Master) als verpflichtend vorgegebene hierarchische Struktur des Objektsystems), Vollständigkeit und Korrektheit der Implementierung der zu initialisierenden Sicherheitsattribute des Objektsystems der Objektsystem-Spezifikation (XML-Master), Vollständigkeit und Korrektheit der Implementierung der zu initialisierenden Sicherheitsattribute aller verpflichtenden Objekte der Objektsystem-Spezifikation (XML-Master), Vollständigkeit und Korrektheit der Implementierung der zu initialisierenden Schlüsseldaten aller gemäß der Objektsystem-Spezifikation (XML-Master) verpflichtenden Public Key-Objekte. Die Sicherheitsaussage wird über eine erfolgreiche Prüfung des initialisierten Karten-Produktes mittels des Konsistenz-Prüftools PT ehealth G2-COS, genauer über den Konsistenzabgleich des initialisierten Karten-Produktes gegen die relevante 18 Bundesamt für Sicherheit in der Informationstechnik

20 BSI-K-TR Ergebnis der Konformitätsprüfung Objektsystem-Spezifikation des betreffenden Kartentyps in der relevanten Version (XML-Master) unter Nutzung der Auslese-Schnittstelle und des Hersteller-spezifischen Wrappers der Karten-Plattform zum Auslesen der Sicherheitsattribute und öffentlichen Schlüsseldaten aus dem initialisierten Karten-Produkt mit anschließender Aufbereitung für das Konsistenz-Prüftool nachgewiesen. Sollwert-Vorgaben bezieht das Konsistenz-Prüftool aus der G2-COS-Spezifikation sowie aus der für das zu prüfende Karten-Produkt relevanten Objektsystem-Spezifikation (XML-Master), die Vorgaben für initialisierte Karten-Produkte, genauer Vorgaben für die zu initialisierenden Objekte, Sicherheitsattribute und Schlüsseldaten beinhaltet. Die das initialisierte Karten-Produkt prüfende TR-Prüfstelle ist verantwortlich für die korrekte und sichere Nutzung des Konsistenz-Prüftools und seiner Input-Quellen, der Auslese-Schnittstelle und des Wrappers der Karten-Plattform gemäß der für das Konsistenz-Prüftool, die Input-Quellen, die Auslese-Schnittstelle und den Wrapper bestehenden Annahmen und Auflagen an die Einsatzumgebung sowie sonstigen Nutzungsbedingungen. Die Auslese-Schnittstelle und der Wrapper der Karten-Plattform selbst sind Gegenstand der CC-Sicherheitszertifizierung der Karten-Plattform, während das Konsistenz-Prüftool einer TR-Zertifizierung (Konformitätsnachweis) nach der Technischen Richtlinie BSI TR ehealth G2-COS Konsistenz-Prüftool unterliegt. Auslese-Schnittstelle und Wrapper der Karten-Plattform sowie das Konsistenz-Prüftool, deren Zusammenwirken nachgewiesen aufeinander abgestimmt ist, liefern damit inhärent als Sicherheitsanker auf prozessoraler Ebene die Sicherheitsaussage zum Objektsystem des initialisierten Karten-Produktes. Der Konsistenzabgleich des Objektsystems ist Gegenstand der TR-Konformitätsprüfung des initialisierten Karten-Produktes nach der Technischen Richtlinie BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2 und beschränkt sich auf einen Abgleich des Karten-Produktes gegen die XML-Datei zur Objektsystem-Spezifikation (hier: E021K---_PU-init_PTV Master_v1.1.xml). Sicherheitsaussage zur Kombination aus Karten-Plattform und Objektsystem des initialisierten Karten-Produktes: Im Rahmen der TR-Konformitätsprüfung des initialisierten Karten-Produktes nach der Technischen Richtlinie BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2 erfolgt eine Prüfung, dass die in der dem Karten-Produkt unterliegenden Karten-Plattform implementierten optionalen Funktionspakete der G2-COS-Spezifikation für den Kartentyp des Karten-Produktes geeignet und Gegenstand der CC-Zertifizierung der Karten-Plattform sind. Weiterhin erfolgt eine Prüfung, dass die Eigenschaften des getesteten initialisierten Karten-Produktes nicht den Auflagen aus der CC-Sicherheitszertifizierung der dem Karten-Produkt unterliegenden Karten-Plattform widersprechen. Das erzielte Gesamtergebnis der Konformitätsprüfung ist: Pass Konformitätsreport, Stand:

21 Ergebnis der Konformitätsprüfung Hinweis: Es erfolgen über die oben gemachten Aussagen hinaus für den Prüfgegenstand keine weiteren Aussagen zu seiner sicherheitstechnischen Eignung. Dies bedeutet insbesondere Folgendes: Insbesondere beinhaltet eine für ein initialisiertes Karten-Produkt ausgesprochene Aussage zu seiner sicherheitstechnischen Eignung weder direkt noch indirekt eine Aussage des BSI zur generellen Sicherheitsbewertung der G2-COS-Spezifikation (als PDF) und/oder der Objektsystem-Spezifikationen (als PDF). Entsprechendes gilt auch für XML-Formate der Objektsystem-Spezifikationen (insbesondere XML-Master). Insbesondere beinhaltet eine für ein initialisiertes Karten-Produkt ausgesprochene Aussage zu seiner sicherheitstechnischen Eignung weder direkt noch indirekt eine Aussage des BSI zur Konsistenz einer Objektsystem-Spezifikation zwischen ihrem PDF-Format und einer Darstellung im XML-Format (insbesondere XML-Master). Insbesondere beinhaltet eine für ein initialisiertes Karten-Produkt ausgesprochene Aussage zu seiner sicherheitstechnischen Eignung weder direkt noch indirekt eine Aussage des BSI zu den evtl. im Karten-Produkt über die G2-COS-Spezifikation und die betreffende Objektsystem-Spezifikation hinausgehend zusätzlich enthaltenen Strukturen, Funktionalitäten, Objekten, Objekttypen, Sicherheitsattributen, öffentlichen Schlüsseldaten und sonstigen Hersteller-spezifischen sicherheitsrelevanten Attributen, zu deren Wertebelegung und bei Objekten zu deren hierarchischen Anordnung im Objektsystem, sofern diese nicht Hersteller-spezifisch direkt der Umsetzung der betreffenden Objektsystem-Spezifikation dienen und nicht grundsätzlich über die Evaluierung der dem Karten-Produkt unterliegenden Karten-Plattform abgedeckt sind. 9.1 Auflagen, Empfehlungen und Hinweise für den Einsatz, die Herstellung & Auslieferung des Prüfgegenstands Im Rahmen der Konformitätsprüfung des Prüfgegenstands sind folgende spezielle Auflagen, Empfehlungen und Hinweise für den Einsatz des geprüften Karten-Produktes identifiziert worden: Für die Verwendung kryptographischer Mechanismen und zugehörigen Schlüsselmaterials sind bei der Personalisierung des Karten-Produktes, der Administration des Karten-Produktes (inklusive Nachladen von Applikationen) und dem Wirkbetrieb des Karten-Produktes die Auflagen aus [KP_AGD_1], [KP_AGD_3], Kapitel 2 und [KP_AGD_7], Kapitel 2 einzuhalten. Für spätere Applikationsentwickler bzw. Karten-Managementsysteme sei darauf hingewiesen, dass die dem Karten-Produkt unterliegende Karten-Plattform mit den Kommandos LOAD APPLICATION und CREATE über die G2-COS-Spezifikation [COS_Spec] hinausgehend in neuen, nachgeladenen Applikationen prinzipiell auch das Laden einzelner Key- und PIN-Objekte außerhalb eines neuen Ordners ermöglicht, sofern dies seitens der betreffenden neuen, nachgeladenen Applikationen nicht unterbunden wird. 20 Bundesamt für Sicherheit in der Informationstechnik

22 BSI-K-TR Ergebnis der Konformitätsprüfung Auflagen und Hinweise für die Personalisierung des Karten-Produktes sind in der Benutzerdokumentation [KP_AGD_1], [KP_AGD_2] und [KP_AGD_3] zum Karten-Produkt enthalten. Die Benutzerdokumentation [KP_AGD_3] beinhaltet insbesondere folgende Sicherheitsauflagen für den Personalisierer: [KP_AGD_3], Kapitel 2 enthält Sicherheitshinweis 1, dass sowohl die Version des Objektsystems des Karten-Produktes als auch die Version der dem Karten-Produkt unterliegenden Karten-Plattform vor Beginn der Personalisierung geprüft werden müssen. [KP_AGD_3], Kapitel 2 enthält Sicherheitshinweis 2, dass das Kommando WritePDIEnd am Ende der PDI Personalisierung des Karten-Produktes durch den Personalisierer ausgeführt werden muss. [KP_AGD_3], Kapitel 2 enthält Sicherheitshinweis 3, dass die zu personalisierenden Daten (PIN/PUK/Schlüssel usw.) vom Personalisierer hinsichtlich Integrität als auch Vertraulichkeit sicher gehandhabt werden müssen. [KP_AGD_3], Kapitel 2 enthält Sicherheitshinweis 4, dass das in die Karte einzubringende Schlüsselmaterial ausreichende Entropie aufweisen muss sowie die PINs/PUKs zufällig erzeugt werden müssen. Ferner muss die PUK zu PIN.CH mit 8 Ziffern gewählt werden. [KP_AGD_3], Kapitel 2 enthält Sicherheitshinweis 5, dass das Kommando ActivateMF am Ende der ISO Personalisierung des Karten-Produktes durch den Personalisierer ausgeführt werden muss. [KP_AGD_3], Kapitel 2 enthält Sicherheitshinweise 6 und 7 mit Auflagen für das Nachladen von Applikationen auf das Karten-Produkt. Konformitätsreport, Stand:

23 Ergebnis des Zertifizierungsverfahrens nach TR 10 Ergebnis des Zertifizierungsverfahrens nach TR Die Konformität des Prüfgegenstands zur Technischen Richtlinie BSI TR wird vom Bundesamt für Sicherheit in der Informationstechnik für den untersuchten Prüfbereich mit dem Zertifikat nach Technischen Richtlinien BSI-K-TR vom 06. Juli 2016 bestätigt. Das Zertifikat nach Technischen Richtlinien ist gültig bis zum 06. Juli Darüber hinaus gilt: Bei der Anwendung und für den Einsatz des Prüfgegenstands sind die in Kapitel 9.1 dieses Konformitätsreports aufgeführten Auflagen und Hinweise zu beachten. 22 Bundesamt für Sicherheit in der Informationstechnik

24 BSI-K-TR Literaturverzeichnis Literaturverzeichnis BSIG BSIZertV BSIKostV BSI-Gesetz Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009, Bundesgesetzblatt Teil I Nr. 54, S BSI-Zertifizierungs- und Anerkennungsverordnung Verordnung über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSIZertV), vom 17. Dezember 2014, Bundesgesetzblatt Teil I Nr. 61, S BSI-Kostenverordnung Kostenverordnung für Amtshandlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Kostenverordnung-BSI, KostV) vom 3. März 2005, Bundesgesetzblatt I, S. 519 VB-Produkte Verfahrensbeschreibung zur Zertifizierung von Produkten, Version 2.0 vom , Bundesamt für Sicherheit in der Informationstechnik TR-Produkte BSI TR BSI TR-03144A BSI TR Anforderungen an Antragsteller zur Zertifizierung von Produkten nach Technischen Richtlinien, Version 1.0 vom , Bundesamt für Sicherheit in der Informationstechnik BSI TR ehealth Konformitätsnachweis für Karten-Produkte der Kartengeneration G2, Version 1.1 vom 22. Mai 2015, Bundesamt für Sicherheit in der Informationstechnik BSI TR Anhang ehealth Sicherungsmechanismen im Umfeld der TR-Zertifizierung von G2-Karten-Produkten, Version 1.1 vom 22. Mai 2015, Bundesamt für Sicherheit in der Informationstechnik BSI TR ehealth Zertifizierungskonzept für Karten der Generation G2, Version 1.1 vom 22. Mai 2015, Bundesamt für Sicherheit in der Informationstechnik BSI TR BSI TR ehealth G2-COS Konsistenz-Prüftool, Version 1.0 vom 08. Mai 2015, Bundesamt für Sicherheit in der Informationstechnik Obj_Spec Spezifikation der elektronischen Gesundheitskarte egk-objektsystem, Version 3.8.0, , gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh COS_Spec Spezifikation des Card Operating Systems (COS), Elektrische Schnittstelle, Version 3.7.0, , gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh ERR-G2-1 ERR-G2-2 ERR-G2-3 ERR-G2-5 Errata zu Release 1.4.0, Online-Rollout (Stufe 1), Erprobung und Produktivbetrieb, führt zu Release (Kartenspezifikationen und Konnektor), Version 1.0.0, , gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh 2. Errata zu Release 1.4.0, Online-Rollout (Stufe 1), Erprobung und Produktivbetrieb, führt zu Release (Spezifikation des Card Operating System und Spezifikation Wrapper), Version 1.0.0, , gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh Errata zu Release 1.4.2, Online-Rollout (Stufe 1), Erprobung und Produktivbetrieb, führt zu Release (Störungsampel, Zertifikate, Testkarten und COS-Wrapper), Version 1.0.1, , gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh Errata zu Release 1.4.4, Online-Rollout (Stufe 1), Erprobung und Produktivbetrieb, führt zu Release (Korrektur der Stapelsignaturfunktion der gsmc-k, Absicherung der kontaktlosen Schnittstelle der egk, optionale Korrektur der asynchronen symmetrischen Kartenadministration der egk), Version 1.0.0, , gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh Konformitätsreport, Stand:

25 Literaturverzeichnis ERR-G2-7 PP COS G2 KP_AGD_1 KP_AGD_2 KP_AGD_3 KP_AGD_4 Errata zu Release 1.4.6, Online-Rollout (Stufe 1), Erprobung und Produktivbetrieb, führt zu Release (optische Gestaltung der Testkarten, Korrektur Objektsystem egk und HBA), Version 2.0.0, , gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh Common Criteria Protection Profile, Card Operating System Generation 2 (PP COS G2), Version 1.9, , BSI-CC-PP-0082-V2 User Guidance STARCOS 3.6 Health egkgkv R1, Version 1.5, , Giesecke & Devrient GmbH Personalisierung egk (CB) noqes noamts, STARCOS 3.6 Health egkgkv R1, Version 1.04, , Giesecke & Devrient GmbH Addendum STARCOS 3.6 Health egkgkv R1/R2, Version 1.5, , Giesecke & Devrient GmbH Starcos 3.6 Internal Design Specification, Version 1.3, , Giesecke & Devrient GmbH KP_AGD_5 Project: Applikationsspezifikation egk G2 CB ohne AMTS, Version 1.01, , Giesecke & Devrient GmbH KP_AGD_6 SOLL- und KANN-Anforderungen STARCOS 3.6 Health egkgkv R1/R2, Version 1.1, , Giesecke & Devrient GmbH KP_AGD_7 Sicherheitshinweise STARCOS 3.6 Health egkgkv R1/R2, Version 1.3, , Giesecke & Devrient GmbH 24 Bundesamt für Sicherheit in der Informationstechnik