Zertifizierungsreport

Transkript

1 BSI-ITSEC zu Setcad 202 Software, Version 1.43 der Firma Setec Oy Zertifizierungsreport

2

3 Bundesamt für Sicherheit in der Informationstechnik Sicherheitszertifikat BSI-ITSEC Setcad 202 Software, Version 1.43 der Firma Setec Oy Das Produkt wurde nach den Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC), Version 1.2, Juni 1991 und dem Information Technology Security Evaluation Manual (ITSEM), Version 1.0, September 1993 evaluiert. Prüfergebnis: Funktionalität: Zugriffskontrolle, Wiederaufbereitung, Zuverlässigkeit der Dienstleistung Evaluationsstufe: E 4 Mindeststärke der Mechanismen: Alle Mechanismen wurden dem Typ B zugeordnet. Es wird keine Mechanismenstärke angegeben. Die bestätigte Evaluationsstufe gilt nur unter der Voraussetzung, daß alle Auflagen bzgl. Generierung, Konfiguration und Betrieb, soweit sie im Zertifizierungsbericht angegeben sind, beachtet werden und das Produkt in der beschriebenen Umgebung - sofern angegeben - betrieben wird. Dieses Zertifikat gilt nur in Verbindung mit dem vollständigen Zertifizierungsreport und dem Bericht im Zertifizierungsreport BSI-ITSEC Bonn, den Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik gez. Dr. Henze L. S. Bundesamt für Sicherheit in der Informationstechnik Godesberger Allee D Bonn - Postfach D Bonn Telefon (0228) Telefax (0228) Hotline (0228)

4

5 BSI-ITSEC Zertifizierungsreport Vorbemerkung Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemäß BSIG 1 die Aufgabe, für Produkte der Informationstechnik Sicherheitszertifikate zu erteilen. Die Zertifizierung eines Produktes wird auf Veranlassung des Herstellers oder eines Vertreibers - im folgenden Antragsteller genannt - durchgeführt. Bestandteil des Verfahrens ist die technische Prüfung (Evaluierung) des Produktes gemäß den vom BSI öffentlich bekannt gemachten oder allgemein anerkannten Sicherheitskriterien. Die Prüfung wird in der Regel von einer vom BSI anerkannten Prüfstelle oder vom BSI selbst durchgeführt. Das Ergebnis des Zertifizierungsverfahrens ist der vorliegende Zertifizierungsreport. Hierin enthalten sind u.a. das Sicherheitszertifikat (zusammenfassende Bewertung) und der detaillierte Zertifizierungsbericht. Der Zertifizierungsbericht enthält die sicherheitstechnische Beschreibung des zertifizierten Produktes, die Einzelheiten der Bewertung (Stärken und Schwächen) und Auflagen an den Betrieb. Das Produkt Setcad 202 Software, Version 1.43 hat das Zertifizierungsverfahren beim BSI durchlaufen. 1 Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Errichtungsgesetz-BSIG) vom 17. Dezember 1990, Bundesgesetzblatt I S III

6 Zertifizierungsreport BSI-ITSEC Gliederung Teil A: Zertifizierung Teil B: Zertifizierungsbericht Teil C: Auszüge aus den technischen Regelwerken IV

7 BSI-ITSEC Zertifizierungsreport A Zertifizierung 1 Grundlagen des Zertifizierungsverfahrens Die Zertifizierungsstelle führt das Verfahren nach Maßgabe der folgenden Vorgaben durch: BSIG 2 BSI-Zertifizierungsverordnung 3 BSI-Kostenverordnung 4 besondere Erlasse des Bundesministeriums des Innern die Norm DIN EN BSI-Zertifizierung: Verfahrensbeschreibung (BSI 7125) die technischen Regelwerke nach Abschnitt Durchführung der Zertifizierung Für das Produkt Setcad 202 Software, Version 1.43 wurde die Zertifizierung mit Schreiben vom beantragt. Setcad 202 Software, Version 1.43 wurde am ins Schema aufgenommen. Es handelt sich um eine Re-Zertifizierung auf der Grundlage des Zertifikats BSI-ITSEC für das Produkt Setcad 202 Software, Version Antragsteller, Hersteller und Vertreiber ist Setec Oy. Die Zertifizierungsstelle führt für jede einzelne Evaluierung eine Prüfbegleitung durch, um einheitliches Vorgehen, einheitliche Interpretation der Kriterienwerke und einheitliche Bewertungen sicherzustellen. Im vorliegenden Fall wurde die Prüfbegleitung durchgeführt von: Gereon Killian, BSI 2 Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Errichtungsgesetz-BSIG) vom 17. Dezember 1990, Bundesgesetzblatt I S Verordnung über das Verfahren der Erteilung eines Sicherheitszertifikats durch das Bundesamt für Sicherheit in der Informationstechnik (BSI-Zertifizierungsverordnung- BSIZertV) vom 7. Juli 1992, Bundesgesetzblatt I S Kostenverordnung für Amtshandlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Kostenverordnung-BSI-KostV) vom 29. Oktober 1992, Bundesgesetzblatt I S A-1

8 Zertifizierungsreport BSI-ITSEC Evaluierung 3.1 Technische Regelwerke Das Produkt Setcad 202 Software, Version 1.43 wurde auf der Basis der Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC), Version 1.2, Juni und des Information Technology Security Evaluation Manual (ITSEM), Version 1.0, September 1993 evaluiert. 3.2 Durchführung der Evaluierung Die Evaluierung wurde in der Zeit vom bis als Re- Evaluierung von Hans-Reinhard Baader, debis IT Security Services, Prüfstelle für IT- Sicherheit und Wolfgang Killmann, debis IT Security Services, Prüfstelle für IT-Sicherheit durchgeführt. Das Prüflabor debis IT Security Services, Prüfstelle für IT-Sicherheit, ist eine vom BSI anerkannte Prüfstelle (ITSEF 6 ). 3.3 Ergebnisse der Evaluierung Die von der Prüfstelle vorgelegten Prüfberichte entsprechen in Form und Inhalt den Anforderungen der zugrundeliegenden technischen Regelwerke (Abschnitt 3.1). 5 Bek. d. BMI v im Gemeinsamen Ministerialblatt 1992, S Information Technology Security Evaluation Facility A-2

9 BSI-ITSEC Zertifizierungsreport 4 Abschluß der Zertifizierung Den Abschluß der Zertifizierung bilden die Vergleichbarkeitsprüfung und die Erstellung des vorliegenden Zertifizierungsreports. Diese Arbeiten wurden in der Zeit vom bis von Gereon Killian, BSI durchgeführt. Die bestätigte Evaluationsstufe gilt nur unter der Voraussetzung, daß alle Auflagen bzgl. Generierung, Konfiguration und Betrieb, soweit sie im nachfolgenden Bericht angegeben sind, beachtet werden, das Produkt in der beschriebenen Umgebung - sofern im nachfolgenden Bericht angegeben - betrieben wird. Dieser Zertifizierungsreport gilt nur für die hier angegebene Version des Produktes. Die Gültigkeit kann auf neue Versionen und Releases des Produktes ausgedehnt werden, sofern der Antragsteller eine Re-Zertifizierung des geänderten Produktes entsprechend den Vorgaben beantragt und die Prüfung keine sicherheitstechnischen Mängel ergibt. Hinsichtlich der Bedeutung der Evaluationsstufen und der bestätigten Mechanismenstärke vgl. die Auszüge aus den technischen Regelwerken am Ende des Zertifizierungsreports. A-3

10 Zertifizierungsreport BSI-ITSEC Veröffentlichung Der nachfolgende Zertifizierungsbericht enthält die Seiten B-1 bis B-5. Weitere Exemplare des vorliegenden Zertifizierungsreports können beim Hersteller 7 des Produktes - in Ausnahmefällen beim BSI - angefordert werden. Das Produkt Setcad 202 Software, Version 1.43 ist in die BSI-Liste der zertifizierten Produkte, die regelmäßig veröffentlicht wird, aufgenommen worden. Nähere Informationen sind über die BSI-Hotline 0228/ zu erhalten. 7 Setec Oy, P.O. Box 31, SF Vantaa, Finnland A-4

11 BSI-ITSEC Zertifizierungsreport B Zertifizierungsbericht Es gelten die Aussagen des Zertifizierungsberichts im Zertifizierungsreport BSI- ITSEC Der nachfolgende Bericht ist eine Zusammenfassung aus den Prüfergebnissen der Re-Evaluierung des Prüflabors und ergänzenden Hinweisen und Auflagen der Zertifizierungsstelle. B-1

12 Zertifizierungsreport BSI-ITSEC Gliederung des Zertifizierungsberichtes 1 Gegenstand der Re-Zertifizierung Umfang der Re-Evaluierung Ergebnisse der Re-Evaluierung Hinweise für den Anwender Literatur-Referenzen... 5 B-2

13 BSI-ITSEC Zertifizierungsreport 1 Gegenstand der Re-Zertifizierung Der Evaluierungsgegenstand (EVG) ist die Setcad 202 Software, Version 1.43 für Smartcard-Lesegeräte bestehend aus dem Multitasking Betriebssystem (SETROS) und einer Applikationssoftware. Jede Task hat eine feste und eindeutige Priorität, die zur Compilierungszeit zugeordnet wird. Die Tasks werden durch einen prioritätenabhängigen Algorithmus gesteuert. Der EVG wird auf einer speziellen Setcad 202 Kartenleser-Hardware betrieben, die ein eigenes numerisches Tastenfeld, eine Anzeige und eine RS 232 serielle Schnittstelle zu anderen Geräten - hier zu einer PC-Workstation - aufweist. Für die Kommunikation zwischen Smartcard und Setcad 202 wird das Übertragungsprotokoll T=0 benutzt (siehe [1]). Für die benutzten Smartcards wird SETCOS 3.1 Version in Verbindung mit einer kundenspezifischen Applikation verwendet. Der ausgelieferte EVG besteht aus Software und Dokumentation, die in der folgenden Tabelle aufgelistet ist. Typ Bezeichnung Identifikation Datum Übergabeform SW Setcad 202 SCAD OTP EPROM 8 DK DK DK DK Setcad 202, User s guide (SMAC application) Setcad 202 Commands, Technical Description Setcad 202 Protocol, Technical Description SETROS 202 Selftests, Technical Description Datei Datei Datei Datei DK Card file structure and KOP Datei Tabelle 1. SW= Software, DK= Dokumentation Folgende Bedrohungen wurden angenommen 9 : Verlust der Vertraulichkeit von PINs: Die PIN, die über das Tastenfeld des Kartenlesers eingegeben wurde, kann über die serielle Schnittstelle oder das Display des Kartenlesers gelesen werden. 8 One Time Programmable EPROM (ohne Löschfenster) 9 Keine Änderung der angenommenen Bedrohungen gegenüber der Zertifizierung von Version 1.42 des EVG B-3

14 Zertifizierungsreport BSI-ITSEC Verlust der Verfügbarkeit der Prozedur zum Überschreiben von Schlüsseln: Der Benutzer will die Prozedur starten aber der EVG stellt die Prozedur nicht zur Verfügung. Der EVG stellt zur Abwehr der Bedrohungen die Sicherheitsfunktionen Zugriffskontrolle, Wiederaufbereitung und Zuverlässigkeit der Dienstleistung zur Verfügung. 2 Umfang der Re-Evaluierung Folgende Änderungen führten zur Version 1.43 des EVG: Erweiterung der PIN-Prozeduren um die Möglichkeit, Anzeigetexte von der Workstation aus vorzugeben Ergänzung der Prozedur zum Überschreiben von Schlüsseln Korrekturen an der Kommunikationsschnittstelle zur Workstation und zur Smartcard Eine Re-Evaluierung wurde erforderlich, da sicherheitsspezifische Komponenten des EVG auf der Implementierungsebene von den Änderungen betroffen waren. Die Änderungen wurden vom Hersteller beschrieben. Eine erweiterte Test- Suite, die erweiterte Testdokumentation, der geänderte Quellcode, eine neue Konfigurationsliste sowie die ergänzte Benutzerdokumentation wurden zur Verfügung gestellt. 3 Ergebnisse der Re-Evaluierung Im Rahmen der Evaluierung wurde geprüft, ob und wie sich die Änderungen auf den verschiedenen Entwurfsebenen darstellen. Die Tests des Herstellers wurden stichprobenhaft überprüft, eigene Tests zur Fehlersuche durchgeführt und die Änderungen anhand des Quellcodes nachvollzogen. Es wurden keine Mängel festgestellt. Die Änderungen wurden hinsichtlich der Wirksamkeitsaspekte überprüft. Zusätzliche Penetrationstests waren nicht erforderlich. Es ergab sich keine Neubewertung der Mindeststärke der Mechanismen. Die Evaluatoren kamen zu dem Ergebnis, daß alle Anforderungen der ITSEC an Inhalt, Form und Nachweise für die Evaluierungsstufe E4 erfüllt sind. 4 Hinweise für den Anwender Es gelten die Auflagen und Hinweise aus dem Bericht des Zertifizierungsreports BSI-ITSEC [2]. Neben den dort aufgeführten technischen und organisatorischen Maßnahmen sind die Sicherheitshinweise in der Benutzerdokumentation zu beachten. Der EVG kann nicht prüfen, ob die von der Workstation Applikation zur Verfügung gestellten Anzeigetexte für PIN-Prozeduren in inhaltlichem Bezug stehen B-4

15 BSI-ITSEC Zertifizierungsreport zur PIN einer PIN-Prozedur. Die Workstation Applikation ist verantwortlich für inhaltlich korrekte und im Kontext der PIN-Prozeduren sinnvolle Anzeigetexte. 5 Literatur-Referenzen [1] ISO 7816 parts 1-4: Identification cards - Integrated circuit(s) cards with contacts: Part 1, (1987): Physical characteristics Part 2, (1988): Dimensions and location of the contacts Part 3, (1989): Electronic signals and transmission protocols Part 4, (1995): Interindustry commands for interchange [2] Zertifizierungsreport BSI-ITSEC , Setcad 202 Software, Version 1.42 vom B-5

16

17 BSI-ITSEC Zertifizierungsreport C Auszüge aus den technischen Regelwerken Die nachstehenden Zitate aus den ITSEC und ITSEM beschreiben die Anforderungen an das zertifizierte Produkt und verdeutlichen die erreichten Bewertungsstufen. Zur Bewertung der Vertrauenswürdigkeit werden 6 Stufen für Korrektheit und Wirksamkeit definiert. Dabei bezeichnet E1 die niedrigste Stufe, E6 die höchste hier definierte Stufe. Im folgenden meint die Abkürzung EVG (Evaluationsgegenstand) das zertifizierte Produkt. Die Abschnittsnummern sind den ITSEC bzw. der ITSEM entnommen. 1 Wirksamkeit ITSEC: "Die Bewertung der Wirksamkeit erfordert die Betrachtung der folgenden Aspekte des EVG: a) die Eignung der sicherheitsspezifischen Funktionen des EVG, den in den Sicherheitsvorgaben aufgezählten Bedrohungen zu widerstehen; b) die Fähigkeit der sicherheitsspezifischen Funktionen und Mechanismen des EVG, in einer Weise zusammenzuwirken, daß sie sich gegenseitig unterstützen und ein integriertes, wirksames Ganzes bilden; c) die Fähigkeit der Sicherheitsmechanismen des EVG, einem direkten Angriff zu widerstehen; d) ob bekannte Sicherheitsschwachstellen in der Konstruktion des EVG in der Praxis die Sicherheit des EVG kompromittieren können; e) daß der EVG nicht in einer Weise konfiguriert werden kann, die unsicher ist, aber von der ein Systemverwalter oder ein Endnutzer vernünftigerweise glauben könnte, daß sie sicher ist; f) ob bekannte Sicherheitsschwachstellen beim Betrieb des EVG in der Praxis die Sicherheit des EVG kompromittieren können." 2 Korrektheit ITSEC: "Die sieben Evaluationsstufen können wie folgt charakterisiert werden: Stufe E0 4.4 Diese Stufe repräsentiert unzureichende Vertrauenswürdigkeit. C-1

18 Zertifizierungsreport BSI-ITSEC Stufe E1 4.5 Auf dieser Stufe müssen für den EVG die Sicherheitsvorgaben und eine informelle Beschreibung des Architekturentwurfs vorliegen. Durch funktionale Tests muß nachgewiesen werden, daß der EVG die Anforderungen der Sicherheitsvorgaben erfüllt. Stufe E2 4.6 Zusätzlich zu den Anforderungen für die Stufe E1 muß hier eine informelle Beschreibung des Feinentwurfs vorliegen. Die Aussagekraft der funktionalen Tests muß bewertet werden. Ein Konfigurationskontrollsystem und ein genehmigtes Distributionsverfahren müssen vorhanden sein. Stufe E3 4.7 Zusätzlich zu den Anforderungen für die Stufe E2 müssen der Quellcode bzw. die Hardware-Konstruktionszeichnungen, die den Sicherheitsmechanismen entsprechen, bewertet werden. Die Aussagekraft der Tests dieser Mechanismen muß bewertet werden. Stufe E4 4.8 Zusätzlich zu den Anforderungen für die Stufe E3 muß ein formales Sicherheitsmodell Teil der Sicherheitsvorgaben sein. Die sicherheitsspezifischen Funktionen, der Architekturentwurf und der Feinentwurf müssen semiformaler Notation vorliegen. Stufe E5 4.9 Zusätzlich zu den Anforderungen für die Stufe E4 muß ein enger Zusammenhang zwischen dem Feinentwurf und dem Quellcode bzw. den Hardware-Konstruktionszeichnungen bestehen. Stufe E Zusätzlich zu den Anforderungen für die Stufe E5 müssen die sicherheitsspezifischen Funktionen und der Architekturentwurf in einer formalen Notation vorliegen, die konsistent mit dem zugrundeliegenden formalen Sicherheitsmodell ist." 3 Klassifizierung von Sicherheitsmechanismen ITSEM: "6.C.4 Ein Mechanismus vom Typ A ist ein Sicherheitsmechanismus mit einer potentiellen Schwachstelle in seinem Algorithmus, seinen Prinzipien oder seinen Eigenschaften, aufgrund derer er durch Einsatz ausreichender Ressourcen, Fachkenntnisse und entsprechender Gelegenheiten mit einem direkten Angriff überwunden werden kann. Ein Beispiel für einen Mechanismus vom Typ A ist ein Authentisierungsprogramm, bei dem ein Paßwort verwendet wird; wenn das Paßwort erraten werden kann, indem nacheinander alle möglichen Paßwörter ausprobiert werden, handelt es sich um einen Authentisierungsmechanismus vom Typ A. Mechanismen C-2

19 BSI-ITSEC Zertifizierungsreport vom Typ A bedienen sich häufig eines "Geheimnisses" wie etwa eines Paßwortes oder eines kryptographischen Schlüssels. 6.C.5 Alle Mechanismen vom Typ A eines EVG haben eine Stärke, die dem Aufwand an Ressourcen, Fachkenntnissen und Gelegenheiten, zur Gefährdung der Sicherheit durch einen direkten Angriff auf den Mechanismus entspricht. 6.C.7 Ein Mechanismus vom Typ B ist ein Sicherheitsmechanismus, der bei perfekter Konzipierung und Implementierung keine Schwächen aufweist. Ein Mechanismus vom Typ B kann als nicht durch einen direkten Angriff überwindbar betrachtet werden, gleichgültig, wie groß der Aufwand an Ressourcen, Fachkenntnissen und entsprechenden Gelegenheiten ist. Ein mögliches Beispiel für einen Mechanismus vom Typ B wäre die Zugangskontrolle auf der Basis von Zugangskontrollisten: Bei perfekter Konzipierung und Implementierung kann dieser Mechanismus vom Typ B nicht durch einen direkten Angriff überwunden werden. Mechanismen vom Typ B können jedoch durch indirekte Angriffe überwunden werden, mit denen sich andere Wirksamkeitsanalysen befassen." 4 Mindeststärke der Sicherheitsmechanismen ITSEC: "3.5 Alle kritischen Sicherheitsmechanismen (d.h. diejenigen, deren Versagen eine Sicherheitslücke hervorrufen würde), werden hinsichtlich ihrer Fähigkeit bewertet, einem direkten Angriff zu widerstehen. Die Mindeststärke jedes kritischen Mechanismus wird entweder als niedrig, mittel oder hoch bewertet. 3.6 Damit die Mindeststärke eines kritischen Mechanismus als niedrig eingestuft werden kann, muß erkennbar sein, daß er Schutz gegen zufälliges unbeabsichtigtes Eindringen bietet, während er durch sachkundige Angreifer überwunden werden kann. 3.7 Damit die Mindeststärke eines kritischen Mechanismus als mittel eingestuft werden kann, muß erkennbar sein, daß er Schutz gegen Angreifer mit beschränkten Gelegenheiten oder Betriebsmitteln bietet. 3.8 Damit die Mindeststärke eines kritischen Mechanismus als hoch eingestuft werden kann, muß erkennbar sein, daß er nur von Angreifern überwunden werden kann, die über sehr gute Fachkenntnisse, Gelegenheiten und Betriebsmittel verfügen, wobei ein solcher erfolgreicher Angriff als normalerweise nicht durchführbar beurteilt wird." C-3