Zertifikat. Zertifizierungsbericht. SCA-85 (Einwegfunktion) Siemens Nixdorf Informationssysteme AG

Transkript

1 Bundesamt für Sicherheit in der Informationstechnik Zertifikat BSI-ITSEC mit Zertifizierungsbericht zu SCA-85 (Einwegfunktion) der Siemens Nixdorf Informationssysteme AG BSI - Bundesamt für Sicherheit in der Informationstechnik, Godesberger Allee Bonn 2, Postfach , Tel , FAX

2 ii

3 Vorbemerkung zur Rechtsgrundlage Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemäß 3 und 4 BSIG 1 die Aufgabe, Produkte und Komponenten der Informationstechnik im Hinblick auf ihre Sicherheitseigenschaften zu prüfen und zu bewerten. Das BSI schließt eine solche Prüfung (Evaluierung) mit einem Sicherheitszertifikat (zusammenfassende Bewertung) und einem Zertifizierungsbericht ab. Zertifikat und Bericht bilden eine Einheit. Der Bericht enthält - die sicherheitstechnische Beschreibung des evaluierten Produktes, - die Einzelheiten der Bewertung (Stärken und Schwächen), - Auflagen an den Betrieb. 1 ) Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSIG) vom 17. Dezember 1990, BGBl. I S.2834 iii

4 Zertifizierung 1. Prüfgrundlage Das Verfahren SCA-85 (Einwegfunktion) der Siemens Nixdorf Informationssysteme AG wurde auf der Basis der ITSEC in Fassung vom 28. Juni geprüft. 2. Durchführung der Prüfung Die Evaluierung wurde durchgeführt von Ernst-Otto Liebetrau und Michael Böhm, BSI Gültigkeit des Zertifikats Das Zertifikat gilt nur für die evaluierte Version des Verfahrens. Geänderte Versionen des Verfahrens gelten erst nach entsprechenden Nachprüfungen als zertifiziert. Das Zertifikat gilt für das als SCA-85 (Einwegfunktion) bezeichnete Verfahren, aber nicht für Implementierungen dieses Verfahrens in Hard- oder Software. Somit gelten insbesondere Anwendungen, in denen SCA-85 (Einwegfunktion) eingesetzt wird, nicht ohne weiteres als zertifiziert. 2 ) Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC), ISBN X 3 ) Bundesamt für Sicherheit in der Informationstechnik iv

5 4. Veröffentlichung Der nachfolgende Zertifizierungsbericht enthält 1 Seite. Das Verfahren SCA-85 (Einwegfunktion) ist in die Liste der zertifizierten Produkte resp. Verfahren aufgenommen worden. Exemplare des Zertifikats und des Zertifizierungsberichtes können bei allen Geschäftsstellen des Herstellers 4 angefordert werden. Bonn, den (Dr. E. Werthebach) 4 ) Siemens Nixdorf Informationssysteme AG, Otto-Hahn-Ring 6, 8000 München 83 v

6 vi

7 Bundesamt für Sicherheit in der Informationstechnik Zertifikat Das Verfahren SCA-85 (Einwegfunktion) der Siemens Nixdorf Informationssysteme AG wurde nach den ITSEC 1.2 ( ) evaluiert. Das evaluierte Verfahren stellt eine Einwegfunktion dar, die u.a. bei Betriebssystemen, Chip-Karten-Systemen zum Schutz der Authentisierungsdaten verwendet werden kann. Das Zertifikat gilt für das als SCA-85 (Einwegfunktion) bezeichnete Verfahren, aber nicht für Implementierungen dieses Verfahrens in Hard- oder Software. Somit gelten insbesondere Anwendungen, in denen SCA-85 (Einwegfunktion) eingesetzt wird, nicht automatisch als zertifiziert. Das Verfahren SCA-85 (Einwegfunktion) erreichte gemäß ITSEC die Mechanismenstärke hoch. Dieses Zertifikat gilt nur in Verbindung mit dem zugehörigen Zertifizierungsbericht. Bonn, In Vertretung (Dr. E. Werthebach)

8

9 Zertifizierungsbericht SCA-85 (Einwegfunktion) 1. Dokumentation Basis der Evaluierung waren die Beschreibungen 1. Verschlüsselungsalgorithmus SCA-85 (Eingangsdatum ), 2. Schlüsselgenerierung SCA-85 (Eingangsdatum ). Diese Unterlagen sind gemäß den Anforderungen des Herstellers vertraulich zu behandeln und Bestandteil des nicht-öffentlichen Anhangs dieses Zertifikates. Eine weitere technische Beschreibung des Verfahrens SCA-85 (Einwegfunktion) erfolgt deshalb hier nicht. 2. Evaluierung Im Rahmen der Evaluierung wurde das mit SCA-85 (Einwegfunktion) bezeichnete mathematische Verfahren anhand der Dokumentation geprüft. Dabei wurde das im Dokument 1. unter Abschnitt 6 ("Einsatz als one-way-funktion") beschriebene Verfahren gemäß den ITSEC-Kriterien der Mechanismenstärke bewertet. Dabei wurde die Stufe "hoch" erreicht. Zur Definition der Stufe "hoch" s. Anhang. Implementierungen dieses Verfahrens in Hard- oder Software waren nicht Gegenstand der Evaluierung. 1

10 2

11 Auszüge aus den ITSEC Die nachstehenden Auszüge aus den ITSEC (Version 1.2, ) beschreiben die Anforderungen an die verschiedenen Stufen der Mechanismenbewertung. 3.6 Damit die Mindeststärke eines kritischen Mechanismus als niedrig eingestuft werden kann, muß erkennbar sein, daß er Schutz gegen zufälliges unbeabsichtigtes Eindringen bietet, während er durch sachkundige Angreifer überwunden werden kann. 3.7 Damit die Mindeststärke eines kritischen Mechanismus als mittel eingestuft werden kann, muß erkennbar sein, daß er Schutz gegen Angreifer mit beschränkten Gelegenheiten oder Betriebsmitteln bietet. 3.8 Damit die Mindeststärke eines kritischen Mechanismus als hoch eingestuft werden kann, muß erkennbar sein, daß er nur von Angreifern überwunden werden kann, die über sehr gute Fachkenntnisse, Gelegenheiten und Betriebsmittel verfügen, wobei ein solcher erfolgreicher Angriff als normalerweise nicht durchführbar beurteilt wird.