BSI-ITSEC SAFE-Guard Professional 4.1A. (mit Zusatzoptionen) der. uti-maco software GmbH

Transkript

1 BSI-ITSEC zu SAFE-Guard Professional 4.1A (mit Zusatzoptionen) der uti-maco software GmbH

2

3 BSI-ITSEC Zertifizierungsreport Vorbemerkung Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemäß BSIG 1 die Aufgabe, für Produkte der Informationstechnik Sicherheitszertifikate zu erteilen. Die Zertifizierung eines Produktes wird auf Veranlassung des Herstellers oder eines Vertreibers - im folgenden Antragsteller genannt - durchgeführt. Bestandteil des Verfahrens ist die technische Prüfung (Evaluierung) des Produktes gemäß den vom BSI öffentlich bekannt gemachten oder allgemein anerkannten Sicherheitskriterien. Die Prüfung wird in der Regel von einer vom BSI anerkannten Prüfstelle oder vom BSI selbst durchgeführt. Das Ergebnis des Zertifizierungsverfahrens ist der vorliegende Zertifizierungsreport. Hierin enthalten sind u.a. das Sicherheitszertifikat (zusammenfassende Bewertung) und der detaillierte Zertifizierungsbericht. Der Zertifizierungsbericht enthält die sicherheitstechnische Beschreibung des zertifizierten Produktes, die Einzelheiten der Bewertung (Stärken und Schwächen) und Auflagen an den Einsatz des Produktes. Das Produkt SAFE-Guard Professional 4.1A (mit Zusatzoptionen) hat das Zertifizierungsverfahren beim BSI durchlaufen. 1 Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Errichtungsgesetz-BSIG) vom 17. Dezember 1990, Bundesgesetzblatt I S III

4 Zertifizierungsreport BSI-ITSEC Gliederung Teil A: Zertifizierung Teil B: Zertifikat Teil C: Zertifizierungsbericht Teil D: Auszüge aus den technischen Regelwerken IV

5 BSI-ITSEC Zertifizierungsreport A Zertifizierung 1 Grundlagen des Zertifizierungsverfahrens Die Zertifizierungsstelle führt das Verfahren nach Maßgabe der folgenden Vorgaben durch: BSIG 2 BSI-Zertifizierungsverordnung 3 BSI-Kostenverordnung 4 besondere Erlasse des Bundesministeriums des Innern die Norm DIN EN BSI-Zertifizierung: Verfahrensbeschreibung (BSI 7125) die technischen Regelwerke nach Abschnitt Durchführung der Zertifizierung Für das Produkt SAFE-Guard Professional 4.1A (mit Zusatzoptionen) wurde die Zertifizierung mit Schreiben vom , hier eingegangen am , beantragt. Antragsteller und Hersteller ist die uti-maco software GmbH. Die Zertifizierungsstelle führt für jede einzelne Evaluierung eine Prüfbegleitung durch, um einheitliches Vorgehen, einheitliche Interpretation der Kriterienwerke und einheitliche Bewertungen sicherzustellen. Im vorliegenden Fall wurde die Prüfbegleitung durchgeführt von Heinrich Ihmor, BSI. 2 Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Errichtungsgesetz-BSIG) vom 17. Dezember 1990, Bundesgesetzblatt I S Verordnung über das Verfahren der Erteilung eines Sicherheitszertifikats durch das Bundesamt für Sicherheit in der Informationstechnik (BSI-Zertifizierungsverordnung- BSIZertV) vom 7. Juli 1992, Bundesgesetzblatt I S Kostenverordnung für Amtshandlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Kostenverordnung - BSI-KostV) vom 29. Oktober 1992, Bundesgesetzblatt I S A-1

6 Zertifizierungsreport BSI-ITSEC Evaluierung 3.1 Technische Regelwerke Das Produkt SAFE-Guard Professional 4.1A (mit Zusatzoptionen) wurde auf der Basis der Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC), Version 1.2, Juni evaluiert. 3.2 Durchführung der Evaluierung Die Evaluierung wurde entwicklungsbegleitend durchgeführt von Frank Beuting, RWTÜV und Wolfgang Peter, RWTÜV und zwar in der Zeit von bis Die Prüfstelle für IT-Sicherheit der RWTÜV Anlagentechnik GmbH ist eine vom BSI anerkannte Prüfstelle (ITSEF 6 ). 3.3 Ergebnisse der Evaluierung Die von der Prüfstelle vorgelegten Prüfberichte entsprechen in Form und Inhalt den Anforderungen der zugrundeliegenden technischen Regelwerke (Abschnitt 3.1). 5 Bek. d. BMI v im Gemeinsamen Ministerialblatt 1992, S Information Technology Security Evaluation Facility (ITSEC-Prüflabor) A-2

7 BSI-ITSEC Zertifizierungsreport 4 Abschluß der Zertifizierung Den Abschluß der Zertifizierung bilden die Vergleichbarkeitsprüfung und die Erstellung des vorliegenden Zertifizierungsreports. Diese Arbeiten wurden von Heinrich Ihmor, BSI durchgeführt, und zwar in der Zeit vom bis Die bestätigte Evaluationsstufe gilt nur unter der Voraussetzung, daß alle Auflagen bzgl. Generierung, Konfiguration und Betrieb, soweit sie im nachfolgenden Bericht angegeben sind, beachtet werden, das Produkt in der beschriebenen Umgebung - sofern angegeben - betrieben wird. Dieser Zertifizierungsreport gilt nur für die hier angegebene Version des Produktes. Die Gültigkeit kann auf neue Versionen und Releases des Produktes ausgedehnt werden, sofern der Antragsteller eine Re-Zertifizierung des geänderten Produktes entsprechend den Vorgaben beantragt und die Prüfung keine sicherheitstechnischen Mängel ergibt. Hinsichtlich der Bedeutung der Evaluationsstufen und der bestätigten Mechanismenstärke vgl. die Auszüge aus den technischen Regelwerken am Ende des Zertifizierungsreports. A-3

8 Zertifizierungsreport BSI-ITSEC Veröffentlichung Das nachfolgende Zertifikat besteht aus zwei Seiten. Der nachfolgende Zertifizierungsbericht enthält die Seiten Weitere Exemplare des vorliegenden Zertifizierungsreports können beim Hersteller 7 des Produktes angefordert werden. Das Produkt SAFE-Guard Professional 4.1A (mit Zusatzoptionen) ist in die BSI- Liste der zertifizierten Produkte aufgenommen worden. Sie ist in der Druckschrift BSI 7100 enthalten. Interessenten wenden sich an die BSI-Hotline 0228/ Fehler! Verweisquelle konnte nicht gefunden werden. A-4

9 Bundesamt für Sicherheit in der Informationstechnik Sicherheitszertifikat BSI-ITSEC Zertifiziertes Produkt: SAFE-Guard Professional 4.1 A (mit Zusatzoptionen): C:CRYPT II Version 2.51 und Version 2.53, SAFE-Board X II Version 1.0, SAFE-Board X III Version 1.0, zusammengesetzt in 6 verschiedenen Konfigurationen (s. Zertifizierungsbericht) Hersteller: uti-maco software GmbH, Dornbachstraße 30, Oberursel Kriterien: Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC), Version 1.2, Juni 1991 (Gemeinsames Ministerialblatt 1992, S.546) Zertifizierungsanlaß: Antrag auf Zertifizierung vom Produkt-Auslieferung: Produkttyp: Prüfergebnis: Direktbezug beim Hersteller PC-Sicherheitsprodukt (für MS-DOS / PC-DOS) Funktionalität:Funktionalitätsklasse F-C2 Evaluationsstufe: E2 Mindeststärke der Mechanismen: mittel Die Sicherheit der für die Ver- und Entschlüsselung geeigneten symmetrischen Kryptoalgorithmen wurde nicht geprüft, da der Zertifizierung solcher Kryptoalgorithmen nach Feststellung des Bundesministeriums des Innern generell überwiegende öffentliche Interessen im Sinne des 4 Abs. 3 Nr. 2 BSIG entgegenstehen. BSI - Bundesamt für Sicherheit in der Informationstechnik, Godesberger Allee 183, Bonn / Postfach , Bonn, Tel , Hotline , FAX B-1

10 Sicherheitszertifikat BSI-ITSEC Auflage: Hinweis: Die bestätigte Evaluationsstufe gilt nur unter der Voraussetzung, daß alle Auflagen bzgl. Generierung, Konfiguration und Betrieb, soweit sie im nachfolgenden Bericht angegeben sind, beachtet werden, und das Produkt in der beschriebenen Umgebung - sofern angegeben - betrieben wird. Dieses Zertifikat gilt nur in Verbindung mit dem vollständigen Zertifizierungsreport. Der Zertifizierungsreport ist beim Antragsteller erhältlich. Bonn, den Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (Dr. Henze) BSI - Bundesamt für Sicherheit in der Informationstechnik, Godesberger Allee 183, Bonn / Postfach , Bonn, Tel , Hotline , FAX B-2

11 BSI-ITSEC Zertifizierungsreport C. Zertifizierungsbericht Der nachfolgende Bericht ist eine Zusammenfassung aus den Sicherheitsvorgaben des Antragstellers für den Evaluationsgegenstand, den entsprechenden Prüfergebnissen des Prüflabors und ergänzenden Hinweisen, Auflagen, etc. der Zertifizierungsstelle. C-1

12 Zertifizierungsreport BSI-ITSEC Gliederung des Zertifizierungsberichtes 1 Beschreibung des zertifizierten Produkts Allgemeine Funktionsbeschreibung Systemkonfiguration Liste der Anwenderdokumentation 5 2 Sicherheitsvorgaben Bedrohungen und Sicherheitsziele Sicherheitsfunktionen Einsatzumgebung 10 3 Ergebnisse der Evaluierung Bewertung der Wirksamkeit - Konstruktion Bewertung der Wirksamkeit - Betrieb Bewertung der Korrektheit - Konstruktion - Entwicklungsprozeß Bewertung der Korrektheit - Entwicklungsumgebung Bewertung der Korrektheit - Betrieb - Betriebsdokumentation Bewertung der Korrektheit - Betrieb - Betriebsumgebung 17 4 Auflagen und Hinweise für den Anwender Auflagen Hinweise 18 C-2

13 BSI-ITSEC Zertifizierungsreport 1 Beschreibung des zertifizierten Produkts Das Produkt 8 SAFE-Guard Professional 4.1A (mit Zusatzoptionen) ist ein Sicherheitsprodukt der uti-maco software GmbH, das auf PCs zum Schutz der dort gespeicherten Information eingesetzt werden kann. 1.1 Allgemeine Funktionsbeschreibung Mit dem EVG können die Daten, die der PC auf Festplatte in Dateien speichert, gegen den Verlust von Integrität und/oder Vertraulichkeit geschützt werden. Um dieses Sicherheitsziel zu erreichen, weist das Produkt die Funktionalität der Klasse F-C2 auf: Der EVG erzwingt die Identifikation und Authentisierungder Benutzer, kontrolliert die Zugriffe auf die Dateien (Zugriffskontrolle), protokolliert sicherheitsrelevante Ereignisse (Beweissicherung), unterstützt die Auswertung dieser Protokolle (Protokollauswertung) und führt eine Wiederaufbereitung von Speicherobjekten durch. Zusätzlich bietet das Produkt verschiedene Chiffriermöglichkeiten zum Schutz der Daten vor Verlust von Integrität und/oder Vertraulichkeit. 1.2 Systemkonfiguration Der EVG besteht aus dem Basisprodukt SAFE-Guard Professional 4.1 A (im folgenden kurz SGP4 genannt) und den Zusatzoptionen C:CRYPT II, V2.51, C:CRYPT II, V2.53, SAFE-Board X II, V1.0 (Software-Version 1.2, ), SAFE-Board X III, V1.0 (Software-Version 1.2, ). 8 Im folgenden als EVG = Evaluationsgegenstand bezeichnet C-3

14 Zertifizierungsreport BSI-ITSEC Die folgenden Konfigurationen K1 bis K6 wurden evaluiert: K1 K2 K3 K4 K5 K6 SGP4 C:CRYPT II, V2.51 C:CRYPT II, V2.53 SAFE-Board X II, V1.0 ohne PBA SAFE-Board X III, V1.0 ohne PBA SAFE-Board X II, V1.0 mit PBA SAFE-Board X III, V1.0 mit PBA : Komponente ist Bestandteil der Konfiguration SGP4 enthält die Komponenten zur Identifikation und Authentisierung, Zugriffskontrolle, Beweissicherung, Protokollauswertung und Wiederaufbereitung. Die Zusatzoptionen dienen insbesondere der Unterstützung eines nicht unterbrechbaren Systemstarts, realisieren somit ebenfalls Teile der Authentisierung gemäß der Klasse F-C2. Darüber hinaus sind verschiedene Chiffriermöglichkeiten gegeben. Hierfür gilt allerdings: Die Sicherheit der für die Ver- und Entschlüsselung geeigneten symmetrischen Kryptoalgorithmen wurde nicht geprüft, da der Zertifizierung solcher Kryptoalgorithmen nach Feststellung des Bundesministeriums des Innern generell überwiegende öffentliche Interessen im Sinne des 4 Abs. 3 Nr. 2 BSIG entgegenstehen. PBA Optional kann die Pre Boot Authentication realisiert werden. Dies bedeutet, daß der Festplattenschlüssel sich nicht direkt im EEPROM des Boards bzw. in der C:CRYPT-Datei befindet. Nach jedem Start des Rechners (Boot) muß das PBA- Paßwort eingegeben werden, woraus der benutzte Festplattenschlüssel berechnet wird. C-4

15 BSI-ITSEC Zertifizierungsreport C:CRYPT II Die Zusatzoption C:CRYPT II (Version 2.51 und 2.53) dient der Online-Chiffrierung der Festplatten- und Diskettenlaufwerke. C:CRYPT II arbeitet ohne zusätzliche Hardware. Im Gegensatz zu Version 2.51 beinhaltet Version 2.53 die PBA-Funktion. SAFE-Board X II SAFE-Boards X II ist ein Hardware-Zusatz zu SGP4. Es wird über den ISA-BUS oder MCA-BUS mit dem PC verbunden. SAFE-Board X II stellt zwei Funktionen zur Verfügung: 1. SAFE-Board X II dient der hardware-basierten Online-Chiffrierung der Festplatten- und Diskettenlaufwerke. 2. SAFE-Board X II verhindert das Booten des PCs von seinem Diskettenlaufwerk. Für Notfälle verfügt es zusätzlich über die Emergency Boot Funktion (EBF). Die Funktion erlaubt für den Fall, daß von der Festplatte nicht mehr gebootet werden kann (z.b. Defekt), nach Eingabe des EBF- Paßwortes von einer Diskette zu booten. SAFE-Board X III SAFE-Board X III ist weitestgehend baugleich mit SAFE-Board X II. Im Unterschied zum SAFE-Board X II verfügt SAFE-Board X III über eine serielle Schnittstelle. 1.3 Liste der Anwenderdokumentation Die vom Hersteller mitgelieferte Dokumentation ist im wesentlichen eine Systemverwalterdokumentation. Benutzer mit niedrigeren Privilegien werden menügesteuert durch das System geführt, so daß für sie keine Dokumentation erforderlich ist. Zur Systemverwalterdokumentation zählen die folgenden Unterlagen: Handbuch SAFE-Guard Professional 4.1A Stand: Handbuch C:CRYPT II 2.5x Stand: Handbuchergänzung C:CRYPT I/II mit PBA Stand: Handbuch SAFE-Board X II 1.0 (gilt auch für X III 1.0) Stand: C-5

16 Zertifizierungsreport BSI-ITSEC Sicherheitsvorgaben 2.1 Bedrohungen und Sicherheitsziele Auf einem PC sind verschiedene Informationen in Form von Dateien auf der Festplatte gespeichert und können mittels PC bearbeitet werden. Jeder Information sind Personen zugeordnet, die Kenntnis von diesen Informationen erlangen dürfen und diese Informationen ggf. verändern dürfen; andere Personen dürfen dies nicht. Sicherheitsziel des EVG ist der Schutz der Informationen, die der PC auf Festplatte in Dateien speichert, vor Verlust von Integrität und/oder Vertraulichkeit. Der EVG dient der Abwehr der Bedrohungen Unberechtigter Zugriff auf Dateien, Unberechtigte Nutzung der parallelen und seriellen Schnittstellen, Im- und Export von Dateien mittels Floppy. 2.2 Sicherheitsfunktionen Zur Abwehr o.a. Bedrohungen sind im EVG die folgenden Sicherheitsfunktionen realisiert: Identifikation und Authentisierung Zugriffskontrolle Beweissicherung Protokollauswertung Wiederaufbereitung Chiffriermöglichkeiten Sie werden im folgenden genauer betrachtet Identifikation und Authentisierung Allgemein Ist die Option PBA konfiguriert, so wird der Benutzer 9 nach einem Kalt- oder Warmstart des PCs zu der unter beschriebenen Prozedur aufgefordert und fährt dann wie folgt fort. Ist PBA nicht installiert, so entfällt diese Prozedur. Danach wird der Benutzer durch SGP4 zur Identifikation aufgefordert. Dazu hat er seinen Benutzernamen einzugeben. Die Benutzernamen werden vom Systemverwalter oder Untersystemverwalter für jeden Benutzer eindeutig festgelegt. 9 Der Begriff Benutzer umfaßt hier alle Personen, die sich beim EVG anmelden wollen. C-6

17 BSI-ITSEC Zertifizierungsreport Nach Eingabe des Benutzernamens wird der Benutzer durch SGP4 zur Authentisierung aufgefordert. Dazu hat er sein SG-Paßwort einzugeben. Ist der Benutzer registriert, sein eingegebenes SG-Paßwort korrekt und ist die aktuelle Zeit eine für den Benutzer zulässige Benutzungszeit, so hat er sich im System angemeldet, d.h. er hat sich erfolgreich identifiziert und authentisiert. Nun hat er die Möglichkeiten zu weiteren Interaktionen mit dem System. Andernfalls werden ihm weitere Interaktionen mit dem System verwehrt Zusatz PBA Ist der EVG mit dem Zusatz PBA konfiguriert, so wird der Benutzer nach jedem Warm- und Kaltstart und vor der Aufforderung zur Identifikation zu dieser Prozedur aufgefordert. Hierzu hat er das PBA-Paßwort einzugeben. Ist dies korrekt erfolgt, so wird wie unter beschrieben fortgefahren, bei Eingabe eines falschen PBA-Paßworts wird eine Fortsetzung verhindert Zugriffskontrolle Um die Bedrohung "Unberechtigter Zugriff auf Dateien" abzuwehren, wird von SGP4 der Zugriff auf Dateien kontrolliert. Benutzer haben sich vor Zugriff durch die Sicherheitsfunktion Identifikation und Authentisierung korrekt angemeldet. Um einen Zugriff auf eine Datei auszuüben, muß der Benutzer ein Programm ausführen, das diesen Zugriff realisiert. Ein Zugriff auf eine Datei wird für einen Benutzer erlaubt, wenn das Verzeichnis, das die Datei enthält, für den Benutzer zugelassen ist und die Datei nicht als read-only gekennzeichnet ist oder der Zugriff nur lesend ist, andernfalls wird der Zugriff abgewehrt. Jedem Benutzer sind Verzeichnisse und Plattenpartitionen bzw. Diskettenlaufwerke zugeordnet. Jede Datei steht in einem eindeutigen Verzeichnis. Bei jedem Zugriff (anlegen, umbenennen, löschen, lesen, schreiben, ausführen) auf eine Datei prüft SGP4, ob die Datei auf einer Platte bzw. einem Diskettenlaufwerk und in einem Verzeichnis liegt, das dem Benutzer zugeordnet ist. Ist dies nicht der Fall, wird der Zugriff verweigert; andernfalls wird er zugelassen. Darüber hinaus werden Schreibzugriffe auf die Dateien verweigert, die als read-only gekennzeichnet sind. Für jeden Benutzer gibt es eine individuelle Voreinstellung der erlaubten Verzeichnisse, die je Menüpunkt durch eine andere Einstellung ersetzt werden kann. Read-only-Kennzeichnungen können für einzelne Dateien oder für alle Dateien eines Verzeichnisses erfolgen. Dateien mit Extension com und exe sind implizit als read-only gekennzeichnet. C-7

18 Zertifizierungsreport BSI-ITSEC Subjekte Die Subjekte, die der Zugriffskontrolle des EVG zugrundeliegen, werden in die Rollen Systemverwalter, Erfüllungsgehilfen und Allgemeiner Benutzer eingeteilt. Systemverwalter: Das Subjekt SYSTEM ist der Systemverwalter mit den Aufgaben, den EVG zu installieren und zu administrieren. Subjekt TAG kann SYSTEM vertreten, wobei diese Vertretung auf jeweils einen Tag beschränkt ist. Der Systemverwalter kann einem weiteren, implizit vorhandenen Subjekt INIT maximal Systemverwalter- Rechte einräumen. Erfüllungsgehilfen: Die Subjekte der Rolle Erfüllungsgehilfen sind INSTAL, LOG und PROG. Bestimmte Aktionen der Administration von SGP4 unterliegen dem 4-Augen-Prinzip, d.h. sie sind nur bei gleichzeitiger Mitwirkung von 2 Subjekten möglich. SGP4 bezeichnet diese zusätzlichen Subjekte als Erfüllungsgehilfen. Die Mitwirkung von INSTAL ist bei Installation und Deinstallation von EVG erforderlich. Die Mitwirkung von LOG ist bei Bearbeitung der im Rahmen der Beweissicherung gewonnenen Daten erforderlich. Die Mitwirkung von PROG ist erforderlich, wenn zusätzliche Programme installiert werden sollen. Allgemeine Benutzer: Die Subjekte der Rolle Allgemeiner Benutzer werden durch die Systemverwalter eingerichtet. Ihre Namen sind nicht vorgegeben. Jedem Benutzer ist eine Benutzerklasse und eine Benutzergruppe zugeordnet. Über Benutzerklasse und Benutzergruppe eines Benutzers legt der Systemverwalter die für den Benutzer spezifischen Menüpunkte fest. Jeder Menüpunkt spezifiziert das anzuwendende Programm und ändert ggf. die unter "Zugriffskontrolle" beschriebenen zugelassenen Verzeichnisse eines Anwenders. Jedem Benutzer und jedem Menüpunkt sind genau eine Benutzerklasse und ggf. mehrere Benutzergruppen zugeordnet. Jeder Benutzer erhält genau die Menüpunkte, deren Benutzerklassen nicht größer als die Benutzerklasse des Benutzers sind, und denen eine Benutzergruppe zugeordnet ist, die auch dem Benutzer zugordnet ist. SGP4 hat die Benutzerklassen 0 bis 9 und bis zu 224 Benutzergruppen. Die Benutzer der Benutzerklasse 6 bis 8 werden als Untersystemverwalter bezeichnet. C-8

19 BSI-ITSEC Zertifizierungsreport Objekte Objekte der Zugriffskontrolle sind die auf der Festplatte gespeicherten (Datenund Programm-) Dateien, die seriellen und parallelen Schnittstellen und die Diskettenlaufwerke Zugriffe Die von der Zugriffskontrolle kontrollierten Zugriffe sind Anlegen, Umbenennen, Löschen, Öffnen zum Lesen, Öffnen zum Schreiben, Ausführen von Dateien Rechte Die Rechte der Benutzer, auf Objekte zuzugreifen, werden durch den Systemverwalter eingestellt. Folgendes Schema liegt der Rechteeinstellung zu Grunde. Um einen Zugriff eines Benutzers auf eine Datei zu erlauben, ist der Zugriffskontrolle entsprechend das Verzeichnis, das die Datei enthält, für den Benutzer zuzulassen und das Dateiattribut read-only nur dann zu setzen, wenn der Zugriff auf lesen beschränkt sein soll. Die Rechte der Benutzer der Benutzerklassen 0 bis 7 können zeitlich beschränkt werden (Benutzungszeiten) Beweissicherung Die Beweissicherung protokolliert Ereignisse, die wie folgt zusammengefaßt werden: Anlegen einer neuen Logdatei Rechnerstart Benutzung des I&A-Mechanismus, insbesondere - Login/Logout der Benutzer - Fehlversuche beim Login - Doppelanmeldungen - Paßwortänderungen jeder Programmaufruf C-9

20 Zertifizierungsreport BSI-ITSEC Öffnen, Erzeugen, Löschen von Dateien, insbesondere abgewiesene Zugriffe der Benutzer alle Systemverwalteraktivitäten, insbesondere Installationsvorgang und Verriegelung Protokollauswertung Jeder Benutzer kann sich seine Protokollsätze am Bildschirm anzeigen lassen. Auf die vollständige Protokolldatei hat nur der Systemverwalter Zugriff, ggf. nach dem 4-Augen-Prinzip gemeinsam mit dem Erfüllungsgehilfen LOG. Zugriff bedeutet Ausdrucken oder Konvertieren in eine Datei, wobei verschiedene Formate möglich sind Wiederaufbereitung SGP4 kann die Ressourcen Hauptspeicher und Festplatte/Diskette wiederaufbereiten. Zur Wiederaufbereitung des Hauptspeichers wird dieser bei der Abmeldung jedes Benutzers mit konstanten Werten überschrieben. Wird eine Datei gelöscht, so wird ebenfalls der Dateibereich zur Wiederaufbereitung mit konstanten Werten überschrieben Chiffriermöglichkeiten Durch die Zusatzoptionen können Festplatte und/oder Disketten online verschlüsselt werden. Hierdurch werden die Objekte vor unerlaubten Zugriffen unter Umgehung von SGP4 geschützt (z. B. bei Plattenausbau, Diebstahl). Offline-Chiffrierung ermöglicht darüber hinaus einen zusätzlichen Schutz einzelner Dateien auf Festplatten oder Disketten. 2.3 Einsatzumgebung Der EVG ist für den Einsatz auf Rechner des Typs "PC des Industriestandards" mit den Betriebssystemen MS-DOS/PC-DOS ab Version 3.3 vorgesehen. Erforderliche organisatorische Maßnahmen sind in diesem Bericht unter Abschnitt 4 wiedergegeben. 3 Ergebnisse der Evaluierung 3.1 Bewertung der Wirksamkeit - Konstruktion Eignung der Funktionalität Die sicherheitsspezifischen Funktionen und Mechanismen des EVG wirken den in den Sicherheitsvorgaben identifizierten Bedrohungen der Sicherheit des EVG auch tatsächlich entgegen. Die Analyse der Eignung ordnet die sicherheitsspezifi- C-10

21 BSI-ITSEC Zertifizierungsreport schen Funktionen und Mechanismen den in den Sicherheitsvorgaben identifizierten Bedrohungen zu, denen sie entgegenwirken. Die Analyse der Eignung zeigt, wie die sicherheitsspezifischen Funktionen und Mechanismen den identifizierten Bedrohungen entgegenwirken. Sie zeigt, daß es keine identifizierten Bedrohungen gibt, denen nicht eine oder mehrere der aufgeführten sicherheitsspezifischen Funktionen angemessen entgegenwirken. Die ITSEF hat überprüft, ob die Analyse der Eignung alle Anforderungen hinsichtlich Inhalt, Form und Nachweis erfüllt. Sie hat überprüft, ob die Analyse alle relevanten Informationen verwendet hat Zusammenwirken der Funktionalität Die sicherheitsspezifischen Funktionen und Mechanismen des EVG besitzen die Fähigkeit so zusammenzuwirken, daß sie sich gegenseitig unterstützen und ein integriertes, wirksames Ganzes bilden. Die Analyse des Zusammenwirkens stellt eine Analyse aller möglichen Beziehungen zwischen den sicherheitsspezifischen Funktionen und Mechanismen zur Verfügung. Die Analyse des Zusammenwirkens zeigt, daß es nicht möglich ist, eine sicherheitsspezifische Funktion oder einen Mechanismus dazu zu veranlassen, mit den Aufgaben anderer sicherheitsspezifischer Funktionen oder Mechanismen in Konflikt zu geraten oder ihnen entgegenzuwirken. Die ITSEF hat überprüft, ob die Analyse des Zusammenwirkens alle Anforderungen hinsichtlich Inhalt, Form und Nachweis erfüllt. Sie hat überprüft, ob die Analyse alle relevanten Informationen verwendet hat Mechanismenstärke Soweit direkt oder indirekt Mechanismen, die symmetrische Verschlüsselungsverfahren darstellen, im Produkt enthalten sind, gilt hinsichtlich der Bewertung der unter 1.2 aufgeführte Ausschluß. Bewertet wurde ansonsten die Stärke der Mechanismen aller Sicherheitsfunktionen der Klasse F-C2. Es ist die Fähigkeit der Mechanismen bewertet worden, direkten Angriffen zu widerstehen. Die Analyse der Stärke der Mechanismen listet alle sicherheitsspezifischen Mechanismen auf, die innerhalb des EVG als kritisch festgestellt wurden. Sie enthält Analysen über die Algorithmen, Prinzipien und Eigenschaften, die diesen Mechanismen zugrundeliegen oder sie verweist auf solche Analysen. Die Analyse der Stärke der Mechanismen zeigt auf, daß alle kritischen Mechanismen die Definition der beanspruchten Einstufung der Mindeststärke erfüllen. Die ITSEF hat überprüft, ob alle Mechanismen, die kritisch sind, als solche identifiziert wurden. Sie hat überprüft, ob die vorgelegte Analyse der Stärke der Mechanismen alle Anforderungen bezüglich Inhalt, Form und Nachweis erfüllt. Sie hat überprüft, ob die Analyse alle relevanten Informationen verwendet hat. Sie C-11

22 Zertifizierungsreport BSI-ITSEC hat überprüft, ob die Spezifikationen/Definitionen aller kritischen Mechanismen die beanspruchte Mindeststärke gewährleisten. Wo erforderlich, sind Penetrationstests durchgeführt worden, um die Mindeststärke der Mechanismen zu bestätigen oder zu verwerfen Schwachstellen in der Konstruktion Vor und während der Betrachtung der anderen Aspekte bei der Evaluation eines EVG sind verschiedene Schwachstellen in der Konstruktion des EVG festgestellt worden. Für diesen Aspekt der Wirksamkeit sind die so erkannten Schwachstellen bewertet, um herauszufinden, ob durch sie in der Praxis die Sicherheit des EVG, wie sie in den Sicherheitsvorgaben spezifiziert ist, kompromittiert werden kann. Die Liste der Schwachstellen, die durch den Antragsteller vorgelegt wurde, führt alle ihm bekannten Schwachstellen in der Konstruktion des EVG auf. Sie spricht jede Schwachstelle an, beinhaltet eine Analyse ihrer möglichen Auswirkungen und zeigt die Maßnahmen auf, die zur Abhilfe vorgeschlagen oder zur Verfügung gestellt werden. Die Analyse der möglichen Auswirkungen jeder bekannten Schwachstelle zeigt auf, daß die betreffende Schwachstelle in der beabsichtigten Einsatzumgebung des EVG nicht ausgenutzt werden kann, weil entweder die Schwachstelle angemessen durch andere, nicht beeinträchtigte Sicherheitsmechanismen geschützt ist oder gezeigt werden konnte, daß die Schwachstelle in Bezug zu den Sicherheitsvorgaben ohne Bedeutung ist, in der Praxis nicht existieren wird oder daß ihr angemessen durch dokumentierte technische, personelle, organisatorische oder materielle Sicherheitsmaßnahmen außerhalb des EVG entgegengewirkt werden kann. Diese Sicherheitsmaßnahmen sind in der entsprechenden Dokumentation beschrieben. Die ITSEF hat überprüft, ob die Liste der bekannten Schwachstellen in der Konstruktion alle Forderungen bezüglich Inhalt, Form und Nachweis, so wie oben beschrieben, erfüllt. Sie hat überprüft, ob die Analyse alle relevanten Informationen verwendet hat. Sie hat eine eigene Schwachstellenanalyse unter Berücksichtigung der aufgelisteten und der während der Evaluation gefundenen Schwachstellen durchgeführt. Sie hat überprüft, ob alle Kombinationen von bekannten Schwachstellen untersucht wurden. Sie hat überprüft, ob die Analysen der möglichen Auswirkungen der Schwachstellen keine undokumentierten oder unvernünftigen Annahmen über die vorgesehene Einsatzumgebung enthalten. Sie hat überprüft, ob alle Annahmen und Anforderungen bezüglich externer Sicherheitsmaßnahmen ausreichend dokumentiert wurden. Sie hat Penetrationstests durchgeführt, um zu bestätigen oder zu widerlegen, ob die bekannten Schwachstellen in der Praxis wirklich ausgenutzt werden können. C-12

23 BSI-ITSEC Zertifizierungsreport 3.2 Bewertung der Wirksamkeit - Betrieb Benutzerfreundlichkeit Der EVG kann nicht in einer Weise konfiguriert oder benutzt werden, die unsicher ist, aber bei der ein Administrator oder ein Endnutzer des EVG vernünftigerweise davon ausgeht, daß er sicher ist. Die Analyse der Benutzerfreundlichkeit beschreibt mögliche Betriebsarten des EVG - auch hinsichtlich Bedien- oder Betriebsfehler-, und ihre Konsequenzen und Folgerungen für die Aufrechterhaltung eines sicheren Betriebes. Die Analyse der Benutzerfreundlichkeit zeigt auf, daß jeder menschliche oder andere Fehler, der sicherheitsspezifische Funktionen oder Mechanismen ausschaltet oder unbrauchbar macht, leicht festzustellen ist. Sie zeigt, daß es erkennbar ist, wenn ein EVG in einer Weise konfiguriert oder benutzt werden kann, die unsicher ist (d.h. die sicherheitsspezifischen Funktionen und Mechanismen des EVG erfüllen die Sicherheitsvorgaben nicht), obwohl ein Endnutzer oder Administrator vernünftigerweise von einem sicheren Zustand ausgehen kann. Die ITSEF hat überprüft, ob die vorgelegte Analyse der Benutzerfreundlichkeit alle Anforderungen hinsichtlich Inhalt, Form und Nachweis erfüllt. Sie hat überprüft, ob die Analyse alle relevanten Informationen verwendet hat. Die Analyse ist nach undokumentierten oder unvernünftigen Annahmen über die vorgesehene Betriebsumgebung überprüft worden. Die ITSEF hat überprüft, ob alle Annahmen und Forderungen zu externen Sicherheitsmaßnahmen ordnungsgemäß dokumentiert wurden. Jede Konfigurations- und Installationsprozedur ist nachvollzogen worden, um zu überprüfen, ob der EVG sicher konfiguriert und benutzt werden kann. Wo erforderlich, sind zusätzliche Tests durchgeführt worden, um die Analyse der Benutzerfreundlichkeit zu bestätigen oder zu widerlegen Schwachstellen im Betrieb Vor und während der Betrachtung der anderen Aspekte bei der Evaluation des EVG sind verschiedene operationelle Schwachstellen festgestellt worden. Für diesen Aspekt der Wirksamkeit wurden die so erkannten Schwachstellen bewertet, um herauszufinden, ob durch sie in der Praxis die Sicherheit des EVG, wie sie in den Sicherheitsvorgaben spezifiziert ist, kompromittiert werden kann. Die Liste der Schwachstellen, die durch den Auftraggeber vorgelegt wurde, führt alle ihm bekannten operationellen Schwachstellen des EVG auf. Sie spricht jede Schwachstelle an, beinhaltet eine Analyse ihrer möglichen Auswirkungen und zeigt die Maßnahmen auf, die zur Abhilfe vorgeschlagen oder zur Verfügung gestellt werden. Die Analyse der möglichen Auswirkungen jeder bekannten Schwachstelle zeigt auf, daß die betreffende Schwachstelle in der beabsichtigten Einsatzumgebung des EVG nicht ausgenutzt werden kann, weil entweder C-13

24 Zertifizierungsreport BSI-ITSEC die Schwachstelle angemessen durch andere, nicht beeinträchtigte externe Sicherheitsmaßnahmen geschützt ist oder gezeigt werden konnte, daß die Schwachstelle bezüglich der Sicherheitsvorgaben ohne Bedeutung ist oder in der Praxis nicht ausgenützt werden kann. Die ITSEF hat überprüft, ob die Liste der bekannten operationellen Schwachstellen alle Anforderungen bezüglich Inhalt, Form und Nachweis erfüllt. Es ist überprüft worden, ob die Analyse alle relevanten Informationen verwendet hat. Die ITSEF hat eine eigene Schwachstellenanalyse unter Berücksichtigung der aufgelisteten und der während der Evaluation gefundenen Schwachstellen durchgeführt. Sie hat überprüft, ob alle Kombinationen von bekannten Schwachstellen untersucht wurden. Sie hat überprüft, ob die Analysen der möglichen Auswirkungen keine undokumentierten oder unvernünftigen Annahmen über die vorgesehene Einsatzumgebung enthalten. Sie hat überprüft, ob alle Annahmen und Forderungen zu externen Sicherheitsmaßnahmen ausreichend dokumentiert wurden. Sie hat Penetrationstests durchgeführt, um zu bestätigen oder zu widerlegen, ob die bekannten Schwachstellen in der Praxis wirklich ausgenutzt werden können. 3.3 Bewertung der Korrektheit - Konstruktion - Entwicklungsprozeß Anforderungen Die Sicherheitsvorgaben legen die sicherheitsspezifischen Funktionen dar, die vom EVG zur Verfügung gestellt werden. Sie enthalten Aussagen, die die Art des Produkteinsatzes, die vorgesehene Einsatzumgebung und die für diese Einsatzumgebung angenommenen Bedrohungen identifizieren. Die in den Sicherheitsvorgaben aufgeführten sicherheitsspezifischen Funktionen sind in informeller Notation spezifiziert. Die Sicherheitsvorgaben legen dar, warum die Funktionalität für diese Art des Einsatzes zweckmäßig ist und wie sie den angenommenen Bedrohungen entgegenwirkt. Die ITSEF hat überprüft, ob die zur Verfügung gestellten Informationen alle Anforderungen an Inhalt, Form und Nachweis erfüllen. Sie hat überprüft, ob es Inkonsistenzen innerhalb der Sicherheitsvorgaben gibt Architekturentwurf Diese Beschreibung legt die grundsätzliche Struktur sowie alle externen Schnittstellen des EVG dar. Sie legt die Hard- und Firmware dar, die der EVG benötigt, und gibt die Funktionalität der unterstützenden Schutzmechanismen an, die in dieser Hard- oder Firmware implementiert sind. Sie legt die Aufteilung des EVG in sicherheitsspezifische und andere Komponenten dar. Die Beschreibung der Architektur legt dar, wie die sicherheitsspezifischen Funktionen der Sicherheits- C-14

25 BSI-ITSEC Zertifizierungsreport vorgaben zur Verfügung gestellt werden. Sie legt dar, wie die Trennung in sicherheitsspezifische und andere Komponenten erreicht wird. Die ITSEF hat überprüft, ob die zur Verfügung gestellten Informationen alle Anforderungen an Inhalt, Form und Nachweis erfüllen. Sie hat überprüft, ob die Trennung von sicherheitsspezifischen und anderen Komponenten wirksam ist Feinentwurf Der Feinentwurf legt die Realisierung aller sicherheitsspezifischen und sicherheitsrelevanten Funktionen dar. Er identifiziert alle Sicherheitsmechanismen. Er bildet die sicherheitsspezifischen Funktionen auf Mechanismen und Komponenten ab. Alle Schnittstellen der sicherheitsspezifischen und der sicherheitsrelevanten Komponenten sind mit ihrem Zweck und ihren Parametern dokumentiert. Spezifikationen / Definitionen für die Mechanismen sind zur Verfügung gestellt worden. Diese Spezifikationen sind für die Analyse der Beziehungen zwischen den verwendeten Mechanismen geeignet. Für Komponenten, die weder sicherheitsspezifisch noch sicherheitsrelevant sind, sind keine Spezifikationen zur Verfügung gestellt worden. Wo mehr als eine Spezifikationsebene vorliegt, besteht eine klare und hierarchische Beziehung zwischen den Ebenen. Der Feinentwurf legt dar, auf welche Weise die Sicherheitsmechanismen die sicherheitsspezifischen Funktionen, die in den Sicherheitsvorgaben spezifiziert sind, realisieren. Er legt dar, warum Komponenten, für die keine Entwurfsunterlagen zur Verfügung gestellt werden, weder sicherheitsspezifisch noch sicherheitsrelevant sein können. Die ITSEF hat überprüft, ob die zur Verfügung gestellten Informationen alle Anforderungen an Inhalt, Form und Nachweis erfüllen Implementierung Die Testdokumentation enthält Testpläne, Testziele, Testverfahren und Testergebnisse. Die Bibliothek von Testprogrammen enthält Testprogramme und Testwerkzeuge, mit denen alle Tests, die in der Testdokumentation beschrieben sind, wiederholt werden können. Die Testdokumentation legt die Übereinstimmung zwischen den Tests und den in den Sicherheitsvorgaben definierten sicherheitsspezifischen Funktionen dar. Die ITSEF hat überprüft, ob die zur Verfügung gestellten Informationen alle Anforderungen an Inhalt, Form und Nachweis erfüllen. Die Bibliothek der Testprogramme ist für eine stichprobenweise Überprüfung der Testergebnisse herangezogen worden. Die ITSEF hat überprüft, ob die Tests alle sicherheitsspezifischen Funktionen, die in den Sicherheitsvorgaben angegeben sind, umfassen. Zusätzlich sind Tests zur Fehlersuche durchgeführt worden. C-15

26 Zertifizierungsreport BSI-ITSEC Bewertung der Korrektheit - Entwicklungsumgebung Konfigurationskontrolle Der Entwicklungsvorgang wird durch ein Konfigurationskontrollsystem unterstützt. Die vorgelegte Konfigurationsliste listet alle Basiskomponenten auf, aus denen der EVG besteht. Der EVG, seine Basiskomponenten und alle zur Verfügung gestellten Dokumente, einschließlich der Handbücher, besitzen eine eindeutige Identifikation. Bei Verweisen wird diese Identifikation verwendet. Das Konfigurationskontrollsystem stellt sicher, daß EVG mit der zur Verfügung gestellten Dokumentation übereinstimmt und daß nur autorisierte Änderungen möglich sind. Die Informationen über das Konfigurationskontrollsystem legen dar, wie es in der Praxis benutzt wird und wie es im Entwicklungsprozeß zusammen mit den Qualitätsmanagementverfahren des Herstellers angewendet wird. Die ITSEF hat überprüft, ob die dokumentierten Verfahren angewendet werden. Sie hat überprüft, ob die zur Verfügung gestellten Informationen alle Anforderungen an Inhalt, Form und Nachweis erfüllen Sicherheit beim Entwickler Das Dokument über die Sicherheit der Entwicklungsumgebung legt die Schutzmaßnahmen bzgl. der Integrität des EVG und die Vertraulichkeit der zugehörigen Dokumente dar. Materielle, organisatorische, personelle und andere Sicherheitsmaßnahmen, die durch den Entwickler eingesetzt werden, sind dargelegt worden. Die Information über die Sicherheit der Entwicklungsumgebung legt dar, wie die Integrität des EVG und die Vertraulichkeit der zugehörigen Dokumentation gewährleistet werden. Die ITSEF hat überprüft, ob die dokumentierten Verfahren angewendet werden. Sie hat überprüft, ob die zur Verfügung gestellten Informationen alle Anforderungen an Inhalt, Form und Nachweis erfüllen. Sie hat nach Fehlern in den Verfahren gesucht. 3.5 Bewertung der Korrektheit - Betrieb - Betriebsdokumentation Benutzerdokumentation Der Endbenutzer des EVG wird menügesteuert durch das System geleitet, so daß sich für ihn eine spezielle Dokumentation erübrigt Systemverwalterdokumentation Die Systemverwalter-Dokumentation legt die sicherheitsspezifischen Funktionen dar, die für den Systemverwalter von Bedeutung sind. Sie unterscheidet zwei Funktionsarten: solche, mit denen der Systemverwalter die Sicherheitsparameter C-16

27 BSI-ITSEC Zertifizierungsreport kontrollieren kann, und solche, mit denen er lediglich Informationen abfragen kann. Da ein Systemverwalter notwendig ist, legt sie alle Sicherheitsparameter dar, die er kontrollieren kann. Sie legt jeden Typ eines sicherheitsrelevanten Ereignisses dar, der für die Systemverwaltungsfunktionen von Bedeutung ist. Sie legt Details zu den Verfahren, die für die Sicherheitsadministration relevant sind, in einer Form dar, die für die Handhabung ausreichend ist. Sie enthält Richtlinien zu der konsistenten und wirksamen Nutzung der Sicherheitseigenschaften des EVG und legt dar, wie solche Eigenschaften zusammenwirken. Sie legt die Anweisungen dar, wie das System/Produkt installiert wird und wie es, wenn erforderlich, konfiguriert wird. Die Systemverwalter-Dokumentation ist strukturiert aufgebaut, in sich konsistent und mit allen anderen für diese Stufe gelieferten Dokumenten ebenfalls konsistent. Die Systemverwalter-Dokumentation legt dar, wie der EVG sicher verwaltet wird. Die ITSEF hat überprüft, ob die zur Verfügung gestellten Informationen alle Anforderungen an Inhalt, Form und Nachweis erfüllen. 3.6 Bewertung der Korrektheit - Betrieb - Betriebsumgebung Auslieferung und Konfiguration Da unterschiedliche Konfigurationen möglich sind, ist die Auswirkung der einzelnen Konfigurationen auf die Sicherheit dargelegt. Die Verfahren der Auslieferung und Systemgenerierung sind dargelegt. Ein von der nationalen Zertifizierungsbehörde für diese Stufe zugelassenes Verfahren wird angewendet, welches die Authentizität des ausgelieferten EVG garantiert. Bei der Generierung des EVG werden alle Generierungsoptionen und / oder Änderungen so protokolliert, daß es später möglich ist, exakt zu rekonstruieren wie und wann der EVG generiert wurde. Die vorgelegten Informationen legen dar, wie die genannten Verfahren die Sicherheit aufrechterhalten. Die ITSEF hat überprüft, ob die zur Verfügung gestellten Informationen alle Anforderungen an Inhalt, Form und Nachweis erfüllen. Die korrekte Anwendung der Auslieferungsverfahren ist überprüft worden. Es ist nach Fehlern in den Verfahren zur Systemgenerierung gesucht worden Anlauf und Betrieb Die Prozeduren für einen sicheren Anlauf und Betrieb sind dargelegt. Sofern sicherheitsspezifische Funktionen während des Anlaufs, des normalen Betriebes oder der Wartung ausgeschaltet oder modifiziert werden können, ist dies dargelegt. Für die sicherheitsspezifischen Hardware-Komponenten, die der EVG enthält, sind Diagnoseeinrichtungen vorhanden, die durch den Systemverwalter, den Benutzer oder selbsttätig in der Einsatzumgebung aktiviert werden können. Die vorgelegten Informationen legen dar, wie die Prozeduren die Sicherheit aufrechterhalten. Der Antragsteller stellte Beispiele von Ergebnissen aller Dia- C-17

28 Zertifizierungsreport BSI-ITSEC gnoseprozeduren der in Hardware implementierten sicherheitsspezifischen Komponenten zur Verfügung. Der Antragsteller legte Beispiele aller Protokollaufzeichnungen vor, die während des Anlaufs und des Betriebes erstellt werden. Die ITSEF hat überprüft, ob die zur Verfügung gestellten Informationen alle Anforderungen an Inhalt, Form und Nachweis erfüllen. Die beispielhaften Nachweise für den Anlauf und den Betrieb sind überprüft worden. Es ist nach Fehlern in den Prozeduren gesucht worden. 4 Auflagen und Hinweise für den Anwender 4.1 Auflagen Die Mindestlänge der Paßwörter ist auf 6 Zeichen einzustellen. Bei den Konfigurationen K1 und K4 (reine Software-Lösung) ist ein Systemstart über Diskettenlaufwerke zu verhindern (z.b. durch geschützte BIOS-Einstellungen oder Entfernen bzw. Sperren der Diskettenlaufwerke). Bei den Konfigurationen K2, K3 und K5, K6 ist durch administrative Maßnahmen sicherzustellen, daß ein Öffnen des PC verhindert wird bzw. entdeckbar ist. 4.2 Hinweise Die Beweissicherung protokolliert die Schlüssel der offline-chiffrierung; Ausdrucke dieser Aufzeichnungen der Beweissicherung sind deshalb durch administrative Maßnahmen adäquat zu schützen. C-18

29 BSI-ITSEC Zertifizierungsreport D. Auszüge aus den technischen Regelwerken Die nachstehenden Zitate aus den ITSEC beschreiben die Anforderungen an das zertifizierte Produkt und verdeutlichen die erreichten Bewertungsstufen. Zur Bewertung der Vertrauenswürdigkeit werden 6 Stufen für Korrektheit und Wirksamkeit definiert. Dabei bezeichnet E1 die niedrigste Stufe, E6 die höchste hier definierte Stufe. Im folgenden meint die Abkürzung EVG (Evaluationsgegenstand) das zertifizierte Produkt. Die Abschnittsnummern sind den ITSEC entnommen. 1 Wirksamkeit "Die Bewertung der Wirksamkeit erfordert die Betrachtung der folgenden Aspekte des EVG: a) die Eignung der sicherheitsspezifischen Funktionen des EVG, den in den Sicherheitsvorgaben aufgezählten Bedrohungen zu widerstehen; b) die Fähigkeit der sicherheitsspezifischen Funktionen und Mechanismen des EVG, in einer Weise zusammenzuwirken, daß sie sich gegenseitig unterstützen und ein integriertes, wirksames Ganzes bilden; c) die Fähigkeit der Sicherheitsmechanismen des EVG, einem direkten Angriff zu widerstehen; d) ob bekannte Sicherheitsschwachstellen in der Konstruktion des EVG in der Praxis die Sicherheit des EVG kompromittieren können; e) daß der EVG nicht in einer Weise konfiguriert werden kann, die unsicher ist, aber von der ein Systemverwalter oder ein Endnutzer vernünftigerweise glauben könnte, daß sie sicher ist; f) ob bekannte Sicherheitsschwachstellen beim Betrieb des EVG in der Praxis die Sicherheit des EVG kompromittieren können." D-1

30 Zertifizierungsreport BSI-ITSEC Korrektheit "Die sieben Evaluationsstufen können wie folgt charakterisiert werden: Stufe E0 4.4 Diese Stufe repräsentiert unzureichende Vertrauenswürdigkeit. Stufe E1 4.5 Auf dieser Stufe müssen für den EVG die Sicherheitsvorgaben und eine informelle Beschreibung des Architekturentwurfs vorliegen. Durch funktionale Tests muß nachgewiesen werden, daß der EVG die Anforderungen der Sicherheitsvorgaben erfüllt. Stufe E2 4.6 Zusätzlich zu den Anforderungen für die Stufe E1 muß hier eine informelle Beschreibung des Feinentwurfs vorliegen. Die Aussagekraft der funktionalen Tests muß bewertet werden. Ein Konfigurationskontrollsystem und ein genehmigtes Distributionsverfahren müssen vorhanden sein. Stufe E3 4.7 Zusätzlich zu den Anforderungen für die Stufe E2 müssen der Quellcode bzw. die Hardware-Konstruktionszeichnungen, die den Sicherheitsmechanismen entsprechen, bewertet werden. Die Aussagekraft der Tests dieser Mechanismen muß bewertet werden. Stufe E4 4.8 Zusätzlich zu den Anforderungen für die Stufe E3 muß ein formales Sicherheitsmodell Teil der Sicherheitsvorgaben sein. Die sicherheitsspezifischen Funktionen, der Architekturentwurf und der Feinentwurf müssen in semiformaler Notation vorliegen. Stufe E5 4.9 Zusätzlich zu den Anforderungen für die Stufe E4 muß ein enger Zusammenhang zwischen dem Feinentwurf und dem Quellcode bzw. den Hardware-Konstruktionszeichnungen bestehen. Stufe E Zusätzlich zu den Anforderungen für die Stufe E5 müssen die sicherheitsspezifischen Funktionen und der Architekturentwurf in einer formalen Notation vorliegen, die konsistent mit dem zugrundeliegenden formalen Sicherheitsmodell ist." D-2

31 BSI-ITSEC Zertifizierungsreport 3 Mindeststärke der Sicherheitsmechanismen "3.5 Alle kritischen Sicherheitsmechanismen (d.h. diejenigen, deren Versagen eine Sicherheitslücke hervorrufen würde), werden hinsichtlich ihrer Fähigkeit bewertet, einem direkten Angriff zu widerstehen. Die Mindeststärke jedes kritischen Mechanismus wird entweder als niedrig, mittel oder hoch bewertet. 3.6 Damit die Mindeststärke eines kritischen Mechanismus als niedrig eingestuft werden kann, muß erkennbar sein, daß er Schutz gegen zufälliges unbeabsichtigtes Eindringen bietet, während er durch sachkundige Angreifer überwunden werden kann. 3.7 Damit die Mindeststärke eines kritischen Mechanismus als mittel eingestuft werden kann, muß erkennbar sein, daß er Schutz gegen Angreifer mit beschränkten Gelegenheiten oder Betriebsmitteln bietet. 3.8 Damit die Mindeststärke eines kritischen Mechanismus als hoch eingestuft werden kann, muß erkennbar sein, daß er nur von Angreifern überwunden werden kann, die über sehr gute Fachkenntnisse, Gelegenheiten und Betriebsmittel verfügen, wobei ein solcher erfolgreicher Angriff als normalerweise nicht durchführbar beurteilt wird." D-3