BSI - ITSEC - 0125-1997 zu SETCOS 3.1, Version 3.1.1.1 der Firma Setec Oy Zertifizierungsreport
Bundesamt für Sicherheit in der Informationstechnik Sicherheitszertifikat BSI-ITSEC-0125-1997 SETCOS 3.1, Version 3.1.1.1 der Firma Setec Oy Das Produkt wurde nach den Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC), Version 1.2, Juni 1991 und dem Information Technology Security Evaluation Manual (ITSEM), Version 1.0, September 1993 evaluiert. Prüfergebnis: Funktionalität: Authentisierung, Zugriffskontrolle, Wiederaufbereitung Evaluationsstufe: E 4 Mindeststärke der Mechanismen: hoch Die Sicherheit der für die Ver- und Entschlüsselung geeigneten symmetrischen Kryptoalgorithmen wurde nicht geprüft, da der Zertifizierung solcher Kryptoalgorithmen nach Feststellung des Bundesministeriums des Innern generell überwiegende öffentliche Interessen im Sinne des 4 Abs. 3 Nr. 2 BSIG entgegenstehen. Die bestätigte Evaluationsstufe gilt nur unter der Voraussetzung, daß alle Auflagen bzgl. Generierung, Konfiguration und Betrieb, soweit sie im Zertifizierungsbericht angegeben sind, beachtet werden und das Produkt in der beschriebenen Umgebung - sofern angegeben - betrieben wird. Dieses Zertifikat gilt nur in Verbindung mit dem vollständigen Zertifizierungsreport und dem Bericht im Zertifizierungsreport BSI-ITSEC-0098-1996. Bonn, den 06.05.1997 Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik Godesberger Allee 183 - D-53175 Bonn - Postfach 20 03 63 - D-53133 Bonn Telefon (0228) 9582-0 - Telefax (0228) 9582-455 - Hotline (0228) 9582-111
gez. Dr. Henze
BSI-ITSEC-0125-1997 Zertifizierungsreport Vorbemerkung Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemäß BSIG 1 die Aufgabe, für Produkte der Informationstechnik Sicherheitszertifikate zu erteilen. Die Zertifizierung eines Produktes wird auf Veranlassung des Herstellers oder eines Vertreibers - im folgenden Antragsteller genannt - durchgeführt. Bestandteil des Verfahrens ist die technische Prüfung (Evaluierung) des Produktes gemäß den vom BSI öffentlich bekannt gemachten oder allgemein anerkannten Sicherheitskriterien. Die Prüfung wird in der Regel von einer vom BSI anerkannten Prüfstelle oder vom BSI selbst durchgeführt. Das Ergebnis des Zertifizierungsverfahrens ist der vorliegende Zertifizierungsreport. Hierin enthalten sind u.a. das Sicherheitszertifikat (zusammenfassende Bewertung) und der detaillierte Zertifizierungsbericht. Der Zertifizierungsbericht enthält die sicherheitstechnische Beschreibung des zertifizierten Produktes, die Einzelheiten der Bewertung (Stärken und Schwächen) und Auflagen an den Betrieb. Das Produkt SETCOS 3.1, Version 3.1.1.1 hat das Zertifizierungsverfahren beim BSI durchlaufen. 1 Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Errichtungsgesetz-BSIG) vom 17. Dezember 1990, Bundesgesetzblatt I S. 2834 III
Zertifizierungsreport BSI-ITSEC-0125-1997 Gliederung Teil A: Zertifizierung Teil B: Zertifizierungsbericht Teil C: Auszüge aus den technischen Regelwerken IV
BSI-ITSEC-0125-1997 Zertifizierungsreport A Zertifizierung 1 Grundlagen des Zertifizierungsverfahrens Die Zertifizierungsstelle führt das Verfahren nach Maßgabe der folgenden Vorgaben durch: BSIG 2 BSI-Zertifizierungsverordnung 3 BSI-Kostenverordnung 4 besondere Erlasse des Bundesministeriums des Innern die Norm DIN EN 45011 BSI-Zertifizierung: Verfahrensbeschreibung (BSI 7125) die technischen Regelwerke nach Abschnitt 3.1 2 Durchführung der Zertifizierung Für das Produkt SETCOS 3.1, Version 3.1.1.1 wurde die Zertifizierung mit Schreiben vom 10.12.1996, hier eingegangen am 19.12.1996, beantragt. Es handelt sich um eine Re-Zertifizierung auf der Grundlage des Zertifikats BSI-ITSEC-0098-1996 für das Produkt SETCOS 3.1, Version 3.1.1. Antragsteller, Hersteller und Vertreiber ist Setec Oy. Die Zertifizierungsstelle führt für jede einzelne Evaluierung eine Prüfbegleitung durch, um einheitliches Vorgehen, einheitliche Interpretation der Kriterienwerke und einheitliche Bewertungen sicherzustellen. Im vorliegenden Fall wurde die Prüfbegleitung durchgeführt von: Gereon Killian, BSI 2 Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Errichtungsgesetz-BSIG) vom 17. Dezember 1990, Bundesgesetzblatt I S. 2834 3 Verordnung über das Verfahren der Erteilung eines Sicherheitszertifikats durch das Bundesamt für Sicherheit in der Informationstechnik (BSI-Zertifizierungsverordnung- BSIZertV) vom 7. Juli 1992, Bundesgesetzblatt I S. 1230 4 Kostenverordnung für Amtshandlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Kostenverordnung-BSI-KostV) vom 29. Oktober 1992, Bundesgesetzblatt I S. 1838 A-1
Zertifizierungsreport BSI-ITSEC-0125-1997 3 Evaluierung 3.1 Technische Regelwerke Das Produkt SETCOS 3.1, Version 3.1.1.1 wurde auf der Basis der Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC), Version 1.2, Juni 1991 5 und des Information Technology Security Evaluation Manual (ITSEM), Version 1.0, September 1993 evaluiert. 3.2 Durchführung der Evaluierung Die Evaluierung wurde in der Zeit vom 02.01.1997 bis 10.03.1997 als Re- Evaluierung von Hans-Reinhard Baader, debis Systemhaus GEI, Prüfstelle für IT- Sicherheit und Wolfgang Killmann, debis Systemhaus GEI, Prüfstelle für IT-Sicherheit durchgeführt. Das Prüflabor debis Systemhaus GEI, Prüfstelle für IT-Sicherheit, ist eine vom BSI anerkannte Prüfstelle (ITSEF 6 ). 3.3 Ergebnisse der Evaluierung Die von der Prüfstelle vorgelegten Prüfberichte entsprechen in Form und Inhalt den Anforderungen der zugrundeliegenden technischen Regelwerke (Abschnitt 3.1). 5 Bek. d. BMI v. 15.7.1992 im Gemeinsamen Ministerialblatt 1992, S. 546 6 Information Technology Security Evaluation Facility A-2
BSI-ITSEC-0125-1997 Zertifizierungsreport 4 Abschluß der Zertifizierung Den Abschluß der Zertifizierung bilden die Vergleichbarkeitsprüfung und die Erstellung des vorliegenden Zertifizierungsreports. Diese Arbeiten wurden in der Zeit vom 11.03.1997 bis 06.05.1997 von Gereon Killian, BSI durchgeführt. Die bestätigte Evaluationsstufe gilt nur unter der Voraussetzung, daß alle Auflagen bzgl. Generierung, Konfiguration und Betrieb, soweit sie im nachfolgenden Bericht angegeben sind, beachtet werden, das Produkt in der beschriebenen Umgebung - sofern im nachfolgenden Bericht angegeben - betrieben wird. Dieser Zertifizierungsreport gilt nur für die hier angegebene Version des Produktes. Die Gültigkeit kann auf neue Versionen und Releases des Produktes ausgedehnt werden, sofern der Antragsteller eine Re-Zertifizierung des geänderten Produktes entsprechend den Vorgaben beantragt und die Prüfung keine sicherheitstechnischen Mängel ergibt. Hinsichtlich der Bedeutung der Evaluationsstufen und der bestätigten Mechanismenstärke vgl. die Auszüge aus den technischen Regelwerken am Ende des Zertifizierungsreports. A-3
Zertifizierungsreport BSI-ITSEC-0125-1997 5 Veröffentlichung Der nachfolgende Zertifizierungsbericht enthält die Seiten B-1 bis B-5. Weitere Exemplare des vorliegenden Zertifizierungsreports können beim Hersteller 7 des Produktes - in Ausnahmefällen beim BSI - angefordert werden. Das Produkt SETCOS 3.1, Version 3.1.1.1 ist in die BSI-Liste der zertifizierten Produkte, die regelmäßig veröffentlicht wird, aufgenommen worden. Nähere Informationen sind über die BSI-Hotline 0228/9582-111 zu erhalten. 7 Setec Oy, P.O. Box 31, SF-01741 Vantaa, Finnland A-4
BSI-ITSEC-0125-1997 Zertifizierungsreport B Zertifizierungsbericht Es gelten die Aussagen des Zertifizierungsberichts im Zertifizierungsreport BSI- ITSEC-0098-1996. Der nachfolgende Bericht ist eine Zusammenfassung aus den Prüfergebnissen der Re-Evaluierung des Prüflabors und ergänzenden Hinweisen und Auflagen der Zertifizierungsstelle. B-1
Zertifizierungsreport BSI-ITSEC-0125-1997 Gliederung des Zertifizierungsberichtes 1 Gegenstand der Re-Zertifizierung... 3 2 Umfang der Re-Evaluierung... 4 3 Ergebnisse der Re-Evaluierung... 4 4 Hinweise für den Anwender... 4 5 Literatur-Referenzen... 5 B-2
BSI-ITSEC-0125-1997 Zertifizierungsreport 1 Gegenstand der Re-Zertifizierung Der Evaluierungsgegenstand (EVG) ist das Smartcard-Betriebssystem SETCOS 3.1, Version 3.1.1.1. Dabei handelt es sich um ein multifunktionales Betriebssystem für einen Siemens SLE 44C200 Mikrocontroller. SETCOS 3.1 ist ein Smartcard-Betriebssystem für mehrere Applikationen. Es unterstützt einen umfangreichen Befehlssatz und stellt zahlreiche Zugriffskonditionen (Rechte) für den Zugriff auf die in der Karte gespeicherten Daten zur Verfügung. Die physikalische Schnittstelle von SETCOS 3.1 entspricht dem ISO-Standard 7816 Teil 1-3 [1]. Sie ist als Byte-Übertragungsprotokoll (T=0) implementiert. In der Dateistruktur und dem Befehlssatz entspricht SETCOS 3.1 dem CEN- Standard EN 726-3:1994 [2]. Der Mikrocontroller Siemens SLE 44C200 hat einen Krypto-Koprozessor zur Unterstützung einer sehr schnellen modularen Arithmetik, der von SETCOS 3.1 für eine interne RSA-Transformation genutzt werden kann. Die Schnittstelle zwischen dem EVG und dem Krypto-Koprozessor besteht aus der Siemens- Firmware CMS (Chip Management System) und CCMS (Crypto Chip Management System). Die Hard- und Firmware des Siemens SLE 44C200 Mikrocontrollers ist nicht Teil des EVG. Der ausgelieferte EVG besteht aus Software und Dokumentation, die in der folgenden Tabelle aufgelistet ist. Typ Bezeichnung Übergabeform Datum Identifikation SW DK DK DK SETCOS 3.1, Version 3.1.1.1 Operational documentation, Setcos 3.1 smart card operating system Command interface, Setcos 3.1 smart card operating system Technical description, Setcos 3.1 smart card operating system integriert in eine Chipkarte 22.06.1995 ROM Release 95-06-22 15.03.1996 EEPROM Vers. 96-03-15 Handbuch, Datei 31.01.1996 1.0 Handbuch, Datei 05.02.1996 1.3 Handbuch, Datei 05.02.1996 1.0 Tabelle 1. SW= Software, DK= Dokumentation B-3
Zertifizierungsreport BSI-ITSEC-0125-1997 2 Umfang der Re-Evaluierung Änderungen am Kommando-Interpreter, insbesondere im Hinblick auf das Handling des Übertragungsmodus PROTECTED führten zur Version SETCOS 3.1, Version 3.1.1.1. Gleichzeitig wurden einige Code-Optimierungen durchgeführt. Da der PROTECTED Mode nicht zur Realisierung der Sicherheitsfunktionen zum Einsatz kommt, waren sicherheitsspezifische Funktionen nicht unmittelbar betroffen. Die Änderungen bezogen sich jedoch auf sicherheitsrelevante Komponenten des EVG, wodurch eine Re-Evaluierung erforderlich wurde. Von den Änderungen war lediglich die Implementierungsebene betroffen. Die Änderungen wurden vom Hersteller beschrieben. Eine erweiterte Test-Suite, die erweiterte Testdokumentation, der geänderte Quellcode sowie eine neue Konfigurationsliste wurden zur Verfügung gestellt. 3 Ergebnisse der Re-Evaluierung Im Rahmen der Evaluierung wurde geprüft, ob und wie sich die Änderungen auf den verschiedenen Entwurfsebenen darstellen. Weiterhin wurde die gesamte Test-Suite wiederholt und die Änderungen anhand des Quellcodes nachvollzogen. Es wurden keine Mängel festgestellt. Die Wirksamkeitsaspekte wurden hinsichtlich der Änderungen überprüft. Zusätzliche Penetrationstests waren nicht erforderlich. Es ergab sich keine Neubewertung der Mindeststärke der Mechanismen. Die Sicherheit der für die Ver- und Entschlüsselung geeigneten symmetrischen Kryptoalgorithmen wurde nicht geprüft, da der Zertifizierung solcher Kryptoalgorithmen nach Feststellung des Bundesministeriums des Innern generell überwiegende öffentliche Interessen im Sinne des 4 Abs. 3 Nr. 2 BSIG entgegenstehen. Die Evaluatoren kamen zu dem Ergebnis, daß alle Anforderungen der ITSEC an Inhalt, Form und Nachweise für die Evaluierungsstufe E4 erfüllt sind. 4 Hinweise für den Anwender Es gelten die Auflagen und Hinweise aus dem Bericht des Zertifizierungsreports BSI-ITSEC-0098-1996 [3]. Neben den dort aufgeführten technischen und organisatorischen Maßnahmen sind die Sicherheitshinweise in der Benutzerdokumentation zu beachten. Die Sicherheitsfunktion F1A mit unverschlüsselter PIN-Übertragung sollte nur in solchen Umgebungen verwendet werden, in denen eine Kompromittierung der PIN bei der Übertragung zur Karte durch andere Maßnahmen im Umfeld des EVG verhindert ist. Ansonsten ist die Sicherheitsfunktion F1A mit verschlüsselter PIN-Übertragung zu wählen. B-4
BSI-ITSEC-0125-1997 Zertifizierungsreport 5 Literatur-Referenzen [1] ISO 7816 parts 1-3: Identification cards - Integrated circuit(s) cards with contacts: Part 1, (1987): Physical characteristics Part 2, (1988): Dimensions and location of the contacts Part 3, (1989): Electronic signals and transmission protocols [2] CEN EN 726-3:1994: Identification card system - Telecommunications integrated circuit(s) cards and terminals - Part 3: Application independent card requirements). [3] Zertifizierungsreport BSI-ITSEC-0098-1996, SETCOS 3.1, Version 3.1.1 vom 29.02.1996 B-5
BSI-ITSEC-0125-1997 Zertifizierungsreport C Auszüge aus den technischen Regelwerken Die nachstehenden Zitate aus den ITSEC und ITSEM beschreiben die Anforderungen an das zertifizierte Produkt und verdeutlichen die erreichten Bewertungsstufen. Zur Bewertung der Vertrauenswürdigkeit werden 6 Stufen für Korrektheit und Wirksamkeit definiert. Dabei bezeichnet E1 die niedrigste Stufe, E6 die höchste hier definierte Stufe. Im folgenden meint die Abkürzung EVG (Evaluationsgegenstand) das zertifizierte Produkt. Die Abschnittsnummern sind den ITSEC bzw. der ITSEM entnommen. 1 Wirksamkeit ITSEC: "Die Bewertung der Wirksamkeit erfordert die Betrachtung der folgenden Aspekte des EVG: a) die Eignung der sicherheitsspezifischen Funktionen des EVG, den in den Sicherheitsvorgaben aufgezählten Bedrohungen zu widerstehen; b) die Fähigkeit der sicherheitsspezifischen Funktionen und Mechanismen des EVG, in einer Weise zusammenzuwirken, daß sie sich gegenseitig unterstützen und ein integriertes, wirksames Ganzes bilden; c) die Fähigkeit der Sicherheitsmechanismen des EVG, einem direkten Angriff zu widerstehen; d) ob bekannte Sicherheitsschwachstellen in der Konstruktion des EVG in der Praxis die Sicherheit des EVG kompromittieren können; e) daß der EVG nicht in einer Weise konfiguriert werden kann, die unsicher ist, aber von der ein Systemverwalter oder ein Endnutzer vernünftigerweise glauben könnte, daß sie sicher ist; f) ob bekannte Sicherheitsschwachstellen beim Betrieb des EVG in der Praxis die Sicherheit des EVG kompromittieren können." 2 Korrektheit ITSEC: "Die sieben Evaluationsstufen können wie folgt charakterisiert werden: Stufe E0 4.4 Diese Stufe repräsentiert unzureichende Vertrauenswürdigkeit. C-1
Zertifizierungsreport BSI-ITSEC-0125-1997 Stufe E1 4.5 Auf dieser Stufe müssen für den EVG die Sicherheitsvorgaben und eine informelle Beschreibung des Architekturentwurfs vorliegen. Durch funktionale Tests muß nachgewiesen werden, daß der EVG die Anforderungen der Sicherheitsvorgaben erfüllt. Stufe E2 4.6 Zusätzlich zu den Anforderungen für die Stufe E1 muß hier eine informelle Beschreibung des Feinentwurfs vorliegen. Die Aussagekraft der funktionalen Tests muß bewertet werden. Ein Konfigurationskontrollsystem und ein genehmigtes Distributionsverfahren müssen vorhanden sein. Stufe E3 4.7 Zusätzlich zu den Anforderungen für die Stufe E2 müssen der Quellcode bzw. die Hardware-Konstruktionszeichnungen, die den Sicherheitsmechanismen entsprechen, bewertet werden. Die Aussagekraft der Tests dieser Mechanismen muß bewertet werden. Stufe E4 4.8 Zusätzlich zu den Anforderungen für die Stufe E3 muß ein formales Sicherheitsmodell Teil der Sicherheitsvorgaben sein. Die sicherheitsspezifischen Funktionen, der Architekturentwurf und der Feinentwurf müssen semiformaler Notation vorliegen. Stufe E5 4.9 Zusätzlich zu den Anforderungen für die Stufe E4 muß ein enger Zusammenhang zwischen dem Feinentwurf und dem Quellcode bzw. den Hardware-Konstruktionszeichnungen bestehen. Stufe E6 4.10 Zusätzlich zu den Anforderungen für die Stufe E5 müssen die sicherheitsspezifischen Funktionen und der Architekturentwurf in einer formalen Notation vorliegen, die konsistent mit dem zugrundeliegenden formalen Sicherheitsmodell ist." 3 Klassifizierung von Sicherheitsmechanismen ITSEM: C-2
BSI-ITSEC-0125-1997 Zertifizierungsreport "6.C.4 Ein Mechanismus vom Typ A ist ein Sicherheitsmechanismus mit einer potentiellen Schwachstelle in seinem Algorithmus, seinen Prinzipien oder seinen Eigenschaften, aufgrund derer er durch Einsatz ausreichender Ressourcen, Fachkenntnisse und entsprechender Gelegenheiten mit einem direkten Angriff überwunden werden kann. Ein Beispiel für einen Mechanismus vom Typ A ist ein Authentisierungsprogramm, bei dem ein Paßwort verwendet wird; wenn das Paßwort erraten werden kann, indem nacheinander alle möglichen Paßwörter ausprobiert werden, handelt es sich um einen Authentisierungsmechanismus vom Typ A. Mechanismen vom Typ A bedienen sich häufig eines "Geheimnisses" wie etwa eines Paßwortes oder eines kryptographischen Schlüssels. 6.C.5 Alle Mechanismen vom Typ A eines EVG haben eine Stärke, die dem Aufwand an Ressourcen, Fachkenntnissen und Gelegenheiten, zur Gefährdung der Sicherheit durch einen direkten Angriff auf den Mechanismus entspricht. 6.C.7 Ein Mechanismus vom Typ B ist ein Sicherheitsmechanismus, der bei perfekter Konzipierung und Implementierung keine Schwächen aufweist. Ein Mechanismus vom Typ B kann als nicht durch einen direkten Angriff überwindbar betrachtet werden, gleichgültig, wie groß der Aufwand an Ressourcen, Fachkenntnissen und entsprechenden Gelegenheiten ist. Ein mögliches Beispiel für einen Mechanismus vom Typ B wäre die Zugangskontrolle auf der Basis von Zugangskontrollisten: Bei perfekter Konzipierung und Implementierung kann dieser Mechanismus vom Typ B nicht durch einen direkten Angriff überwunden werden. Mechanismen vom Typ B können jedoch durch indirekte Angriffe überwunden werden, mit denen sich andere Wirksamkeitsanalysen befassen." 4 Mindeststärke der Sicherheitsmechanismen ITSEC: "3.5 Alle kritischen Sicherheitsmechanismen (d.h. diejenigen, deren Versagen eine Sicherheitslücke hervorrufen würde), werden hinsichtlich ihrer Fähigkeit bewertet, einem direkten Angriff zu widerstehen. Die Mindeststärke jedes kritischen Mechanismus wird entweder als niedrig, mittel oder hoch bewertet. 3.6 Damit die Mindeststärke eines kritischen Mechanismus als niedrig eingestuft werden kann, muß erkennbar sein, daß er Schutz gegen zufälliges unbeabsichtigtes Eindringen bietet, während er durch sachkundige Angreifer überwunden werden kann. 3.7 Damit die Mindeststärke eines kritischen Mechanismus als mittel eingestuft werden kann, muß erkennbar sein, daß er Schutz gegen Angreifer mit beschränkten Gelegenheiten oder Betriebsmitteln bietet. 3.8 Damit die Mindeststärke eines kritischen Mechanismus als hoch eingestuft werden kann, muß erkennbar sein, daß er nur von Angreifern überwunden werden kann, die über sehr gute Fachkenntnisse, Gelegenhei- C-3
Zertifizierungsreport BSI-ITSEC-0125-1997 ten und Betriebsmittel verfügen, wobei ein solcher erfolgreicher Angriff als normalerweise nicht durchführbar beurteilt wird." C-4