arx cosign biztonsági előirányzat · cosign security target revision 1.19 - confidential –...
TRANSCRIPT
Copyright © 2014 ARX Ltd.
All Rights Reserved Confidential and Proprietary
_Revoke-_
ARX CoSign
biztonsági előirányzat
Értékelés Common Criteria EAL4+ szerint
A DOKUMENTUM AZ ANGOL NYELVŰ „SECURITY TARGET FOR ARX COSIGN” BIZTONSÁGI
ELŐIRÁNYZAT GYORS MAGYAR FORDÍTÁSA, AMELY EREDETI VÁLTOZATA LETÖLTHETŐ A TANÚSÍTÓ
SZERVEZET HONLAPJÁRÓL AZ ALÁBBI CÍMEN:
HTTP://WWW.OCSI.ISTICOM.IT/INDEX.PHP/DISPOSITIVI-DI-FIRMA/DISPOSITIVI-ACCERTATI
A FORDÍTÁST A MICROSEC ZRT. KÉSZÍTETTE, AZ ESETLEGES FORDÍTÁSI PONTATLANSÁGOK, HIBÁK
ESETÉN MINDEN ESETBEN AZ ANGOL NYELVŰ EREDETI VÁLTOZAT ELŐÍRÁSAIT KELL KÖVETNI.
Copyright © 2014 ARX Ltd.
All Rights Reserved Confidential and Proprietary
Tartalomjegyzék
1 Biztonsági előirányzat bevezetés ....................................................................... 4
1.1 Biztonsági előirányzat referenciák .............................................................. 4
1.2 TOE referencia ......................................................................................... 4
1.3 TOE áttekintés ......................................................................................... 4
1.3.1 TOE típus ............................................................................................. 4
1.3.2 TOE használata és főbb biztonsági funkciók .............................................. 4
1.3.3 TOE által előírt hardver/szoftver/firmware ami nem tárgya az értékelésnek . 8
1.4 TOE leírás .............................................................................................. 11
1.4.1 Magas szintű CoSign leírás .................................................................... 11
1.4.2 TOE felépítése ..................................................................................... 13
2 Megfelelőségi nyilatkozat ................................................................................ 25
3 Biztonsági probléma leírás .............................................................................. 26
3.1 Fenyegetések ......................................................................................... 26
3.2 Szervezeti biztonsági politikák .................................................................. 29
3.3 Feltevések .............................................................................................. 31
4 Biztonsági célkitűzések ................................................................................... 32
4.1 Biztonsági célkitűzések a TOE részére ........................................................ 32
4.2 Biztonsági célkitűzések a működési környezethez ........................................ 37
4.3 Biztonsági célkitűzés indoklása ................................................................. 42
4.3.1 Biztonsági célkitűzések és biztonsági probléma leírások közti megfeleltetés 42
4.3.2 A megfeleltetés indokolása ................................................................... 44
4.4 Következtetés ......................................................................................... 51
5 Kibővített komponens leírás ............................................................................52
5.1 FPT_EMSEC TOE kibocsátás ...................................................................... 52
6 Biztonsági követelmények ............................................................................... 54
6.1 Biztonsági funkcionális követelmények ....................................................... 55
6.1.1 Biztonsági audit (FAU) .......................................................................... 55
6.1.2 Kriptográfiai támogatás (FCS) ................................................................ 57
6.1.3 Felhasználói adatvédelem (FDP) ............................................................. 59
6.1.4 Azonosítás és hitelesítés (FIA) ................................................................ 89
6.1.5 Biztonságkezelés (FMT) ........................................................................ 92
6.1.6 TSF védelme (FPT) ............................................................................... 96
6.1.7 Megbízható útvonalak/csatornák (FTP) .................................................... 98
6.2 Biztonsági garancia követelmények ......................................................... 100
6.3 Biztonsági követelmények indoklása ........................................................ 107
6.3.1 Biztonsági követelmény lefedettség ...................................................... 107
6.3.2 Biztonsági követelmények nyomkövetés indokolás ................................. 110
6.3.3 EAL4 kiegészítés indoklása .................................................................. 116
7 TOE összefoglaló specifikáció ......................................................................... 117
7.1 Hozzáférés-szabályozás (TSF.ACC) .......................................................... 117
7.2 Azonosítás és hitelesítés (TSF.IA) ............................................................ 118
7.3 Kriptográfiai művelet (TSF.Crypto) .......................................................... 119
7.4 Biztonságos kommunikáció és munkamenet kezelés (TSF.Comm) ............... 120
7.5 Auditálás .............................................................................................. 122
7.6 Szabotázs érzékelés és védelem (TSF.Tamper) ......................................... 122
7.7 Önteszt (TSF.Test) ................................................................................ 122
Copyright © 2014 ARX Ltd.
All Rights Reserved Confidential and Proprietary
7.8 Eszköz adminisztrátori funkciói (TSF.Admin) ............................................. 123
7.9 TSF indokolás ....................................................................................... 125
8 Hivatkozások ............................................................................................... 130
9 A Melléklet - Rövidítések ............................................................................... 132
Táblázatok listája
Table 1 - Biztonsági célkitűzések és biztonsági probléma leírások megfeleltetése ............... 43
Table 2 - TOE auditálható események .......................................................................... 56
Table 3 – Hozzáférés-vezérlés politikák összefoglaló ................................................. 63
Table 4 – ACF biztonsági attribútumok .................................................................... 64
Table 5 – Biztonsági attribútumok – Magas rendelkezésre állás .................................. 79
Table 6 – Biztonsági attribútumok - OTP validációs visszahívás .................................... 79
Table 7 - Magas rendelkezésre állás áramlás vezérlés ............................................... 81
Table 8 - OTP ellenőrzés visszahívás áramlás vezérlés ............................................... 82
Table 9 – Garancia követelmények: EAL4+ AVA_VAN.5 ........................................... 101
Table 10 - SFR függőségeket kielégítő táblázat ....................................................... 106
Table 11 – Biztonsági követelmény a TOE biztonsági objektív megfeleltetéséhez ........ 109
Table 12 - SFR - TSF kapcsolat ............................................................................. 129
Ábrák listája
Figure 1 - CoSign magas szintű tervezés .................................................................. 7
Figure 2 - CoSign belső tervek ................................................................................... 11
Figure 3 - CoSign eszköz - előnézet ........................................................................ 13
Figure 4 - CoSign eszköz - hátulnézet ..................................................................... 13
Figure 5 - CoSign telepítési életciklus ...................................................................... 20
CoSign Security Target
Revision 1.19 - Confidential –
Page 4 of 133 June 2015
1 Biztonsági előirányzat bevezetés
Jelen biztonsági előírányzat az ARX CoSign 7.1 verzió biztonsági célkitűzéseit és biztonsági
követelményeit írja le. A specifikációk konzisztensek az Információs technológia biztonsági
értékelésének közös kritériumának 3.1 verziójával (([2], [3] és [4]).
1.1 Biztonsági Előirányzat azonosítása
CoSign Biztonsági előirányzat, 1.19 verzió, ARX csoport, 15 June 2015. Dokumentum
azonosító: CoSign-CC-ST-1-19.doc
1.2 Értékelés tárgyának azonosítása
A CoSign v7.1 a CoSign konzolon a következőképpen kerül feltüntetére: <Version
SW7.1 HW7.0>
A CoSign vizsgált konfigurációi:
1. PRIMARY-HIGH AVAILABILITY WITH KEY REPLICATION (HA-PRI-
REPL-INC-SIGKEY) (Elsődleges – magas rendelekezésre állás kulcs replikációval)
2. ALTERNATE-HIGH AVAILABILITY WITH KEY REPLICATION (HA-ALT-
REPL-INC-SIGKEY) (Másodlagos – magas rendelkezésre állás kulcs replikációval)
1.3 TOE Áttekintés
1.3.1 TOE típus
A CoSign egy olyan digitális aláírás termék, amely megfelelő biztonságos működési
környezetben Biztonságos aláírás-létrehozó eszközként használható.
A CoSign egy hálózathoz csatlakozott eszköz, amely számítógép hardverből, fizikai behatolás
ellen védett hardverből, , megerősített operációs rendszerből és a CoSign szerver szoftverből
áll.
Az Értékelés tárgya a teljes CoSign eszköz..
1.3.2 A TOE használata és a főbb biztonsági funkciók A CoSign lehetővé teszi szervezeti felhasználók vagy más felhasználói csoportok számára az
elektronikus aláírás hozzáadását bármilyen típusú tartalomhoz, jellemzően például
dokumentumokhoz vagy adatokhoz.
CoSign Security Target
Revision 1.19 - Confidential –
Page 5 of 133 June 2015
A CoSign eszköz felhasználói fiókokat kezel. Minden egyes felhasználói fiók magában foglalhat
egy vagy több aláíró kulcsot (Aláírás-létrehozó adatokat (SCD)) és egyéb információt, mint
például képeket a felhasználóról. Az összes felhasználói fiók, kulcs és felhasználóval
kapcsolatos információ egy biztonságos eszközben tárolódik.
Semmelyik felhasználó – beleértve az eszköz adminisztárorát, vagy bármely más
adminisztrátort – nem tudja felhasználni más felhasználó kulcsát elektronikus aláírás
művelethez.
Amikor egy felhasználó elektronikus aláírás létrehozására szeretné használni a CoSign által
tárolt kulcsát, azt a hálózaton keresztül, TLS protokoll felett tudja elérni. A CoSign eszköz
minden kérést TLS protokoll felett fogad. A felhasználó kizárólag egy kétfaktoros azonosítást
követően – amely áll egyrészt egy állandó jelszó megadásából, másrészt egy egyszer
használatos jelszót (One-Time Password, OTP) generáló eszköz általi jelszó megadásából –
használhatja aláírásra a kulcsát illetve az ahhoz tartozó tanúsítványt.
A CoSign eszköz a végfelhasználó számítógépére telepített CoSign kliens szoftveren keresztül
érhető el. A CoSign kliens teszi lehetővé a végfelhasználó számára, hogy a CoSign által
előállított digitális aláírást egy dokumentumba (pl. PDF állományba, XML adatba vagy
bármilyen más adatba) illessze.
Több felhasználó is aláírhat egyszerre több számítógépről. A CoSign eszköz minden egyes
felhasználói munkamenet elkülönítve kezel.
Továbbá, a CoSign elérhető REST (Representational State Tramsfer) felületen keresztül is. A
REST-es felületen keresztül ugyanazok a műveletek érhetőek el, mint a CoSign kliens
segítségével. Amennyiben külön nem kerül említésre az ellenkezője, a következőkben a CoSign
kliensre vonatkozó álítások vonatkoznak a REST alapú felületre is.
Minden felasználói fiók számára a következő al-egységek kezelhetők:
Aláíró kulcsok – minden aláíró több aláíró kulcsot kezelhet
Tanúsítványok – minden fentebbi aláíró kulcs rendelkezik hozzá kapcsolódó
tanúsítvánnyal
Képek – minden egyes aláíró kezelhet több képet a felhasználói fiók keretében. Egy
aláírás művelet során a felhasználó dönthet úgy, hogy egy képet is belefoglal a
dokumentumba. A kép vagy akár más szöveges információ – pl. az aláírás ideje – is
megjeleníthető az aláírt dokumentumban.
Egy felhasználó engedélyezhető vagy letiltható. Ha a felhasználó le van tiltva, akkor a
felhazsnáló nem tud bejelentkezni az eszközbe és műveleteket végezni, mint például
elektronikusan aláírni.
A CoSign a következő konfigurációban telepíthető:
Magas rendelkezésre állás az aláíró magánkulcsainak replikációjával
A működési környezetben egy Elsődleges (a HA-PRI-REPL-INC-SIGKEY konfigurációban) és egy
vagy több Másodlagos CoSign eszköz (a HA-ALT-REPL-INC-SIGKEY konfigurációban) kerül
telepítésre. Az Elsődleges CoSign eszközszolgálja ki a kliensek digitális aláírás művelet
elvégzése iránti kéréseit, valamint frissíti az Másodlagos CoSign eszköz(ök)et a felhasználói
fiók információk bármilyen változásának esetén. Az aláíró magánkulcsainak, az azokhoz
tartozó tanúsítványoknak, valamint az aláírók képeinek az Elsődlegesről a Másodlagos CoSign
eszköz(ök)re történő másolása engedélyezett.
CoSign Security Target
Revision 1.19 - Confidential –
Page 6 of 133 June 2015
Az információk másolása az Elsődleges CoSign eszköz és a Másodlagos eszköz(ök) között
mindig dedikált csatornán keresztül történik.
Az átadott információ sértetlenségét és az érzékeny adatok bizalmasságát az Elsődleges illetve
Másodlagos eszköz(ök)ön futtatott alkalmazásokban implementált biztonsági funkciók
garantálják.
A következőkben bemutatásra kerül, hogy a külső egységek hogyan kommunikálnak a CoSign
eszközzel.
A továbbiakban, amennyiben nem került külön jelzésre az ellenkezője, a CoSign eszközre
vonatkozó állítások a Magas rendelkezésreállású installációban szereplő Elsődleges CoSign
eszközre vonatkoznak.
Az Aláíró a CoSign kliens segítségével kommunikál a CoSign eszközzel a tanúsítvány
létrehozása, illetve később az elektronikus aláírás műveletek céljából.
Az adminisztrátor különböző adminisztratív feladatok elvégzése céljából kommunikál a CoSign
eszközzel.
A következő ábrán látható a CoSign kliens és a CoSign eszköz közötti kommunikáció.
A következő fejezetekben részletes leírás található a TOE komponensekről, valamint
részletesen bemutatásra kerül a külső komponensek közötti kommunikáció.
CoSign Security Target
Revision 1.19 - Confidential –
Page 7 of 133 June 2015
1. ábra - CoSign Magas Szintű Modell
Egyszer használatos jelszó (OTP) alapú ellenőrzés Az OTP ellenőrző folyamat a CoSign eszközön belül zajlik egy külső OTP Radius
szerverben tárolt információ alapján.
A művelet a következő lépésekből áll:
1. Az elektronikus aláírás műveletet megelőző autentikációs lépés során, a
felépített TLS kapcsolat keretében az eszköz megkapja az OTP-t.
2. Az OTP a CoSign eszköz memóriájában tárolódik. Az eszköz megnyit egy Radius
alapú kommunikációs csatornát a Radius szerverrel [13]. A CoSign eszköz
validációs kérést küld az OTP hash értéke alapján (Próba OTP validációs kérés).
3. A Radius szerver megkapja a Próba OTP validációs kérést. A próba OTP
validációs kérésben megtalálható az aláíró felhasználó azonosítója, amely
alapján az OTP eszköz információ lekérésre kerül a Radius szerver
adatbázisából.
4. A Radius szerver felépít egy TLS alapú kommunikációs csatornát a CoSign
eszközzel, és elküldi a korábban megkapott Próba OTP kérést és a lekérdezett
OTP eszköz információt.
A kommunikációs csatorna által szolgáltatott információ eljut a CoSign eszköz
által futtatott OTP ellenőrző szolgáltatáshoz.
CoSign Security Target
Revision 1.19 - Confidential –
Page 8 of 133 June 2015
5. Az eszköz ellenőrzi a kommunikációs csatorna forrását és ellenőrzi, hogy az a
Radius szerver regisztrált IP címe.
6. Az OTP ellenőrző szolgáltatás az OTP eszköz információt és az OTP-t az eszköz
memóriáján keresztül kapja meg, majd elvégzi az OTP ellenőrzési folyamatot.
Csak és kizárólag akkor, ha az OTP ellenőrzés sikeres, az eszköz belső
memóriájában az adott OTP-hez bejegyzésre kerül, hogy sikeresen ellenőrzött.
7. A művelet befejezése érdekében az OTP ellenőrző szolgáltatás elküldi a Radius
szervernek az OTP ellenőrzés eredményét, majd a Radius szerver elküldi az
eszköznek a Radius protokol válaszát.
8. A CoSign eszköz figyelmen kívül hagyja ezt a választ és a belső OTP ellenőrzési
státuszt fogja használni, és ez alapján fog dönteni arról, hogy elvégezze-e kért
elektronikus aláírás művelet vagy sem.
1.3.3 A TOE-n kívül eső, de a TOE által megkövetelt hardver/szoftver/firmware
A működési környezetben a következő,TOE-n kívül eső hardver és szoftver elemekre
van szükség:
OTP eszköz
Az OTP eszköz generál egy dinamikus jelszót a felhasználónak. Ez a
dinamikus jelszó a felhasználó statikus jelszavával kombinálva kerül
elküldésre a CoSign eszköznek az autentikációhoz. Csak a megfelelő
azonosítás után tud a felhasználó elektronikusan aláírni.
Az OTP eszköz szükséges a fizikai behatolás érzékelő mechanizmus
biztosításához.
OTP Radius (távoli hitelesítésű betárcsázós felhasználói
szolgáltatás) szerver A CoSign eszköz az OTP Radius szerverrel Radius protokollon [13] keresztül
kommunikál. .
Az OTP Radius szerver felhívja a CoSign eszközt, hogy ellenőrizze az OTP-t a
Radius szervertől származó OTP eszköz információ és az aláíró által megadott
egyszer használatos jelszó alapján.
A CoSign eszköz csak sikeres a CoSign eszköz OTP ellenőrző szolgáltatása
által elvégzett sikeres elelnőrzés esetén fogja végrehajtani a kért digitális
aláírás műveletet.
Aláírás-létrehozó alkalmazás (Signature Creation Application, SCA)
Az SCA a felhasználó számítógépén futtatott alkalmazás. Ez szolgáltatja a
CoSign eszközhöz a felhasználói felületet az elektronikus aláírások
létrehozásához. Az SCA a felhasználó számítógépére szintén feltelepített
CoSign kliensen keresztül kommunikál a CoSign eszközzel.
CoSign Security Target
Revision 1.19 - Confidential –
Page 9 of 133 June 2015
Az aláírási szándék kinyilatkoztatása érdekében az aláírást megelőzően az SCA
megjeleníti az aláíró számára az aláírandó adatokat (DTBS), és amennyiben az aláíró
bizonyos félreérthetetlen inputtal vagy tevékenységgel jelzi aláírási szándékát, az
SCA elküldi a DTBS reprezentációt a CoSign kliensnek és a CoSign eszköznek. A
DTBS reprezentáció CoSign eszköznek való megküldését megelőzően a CoSign
kliensek megkövetelik az erős autentikációt.
A CoSign feldolgozza az aláírás kérelmet és az elektronikus aláírással válaszol.
A válaszként küldött elektronikus aláírás megküldésre kerül az SCA részére, és az
elektronikus aláírás az SCA által belekerül a dokumentumba.
A CoSign kliens magában foglalja az Aláírás API (SAPI) szoftver komponenst, ami
lehetővé teszi az SCA-k számára az elektronikus aláírás elhelyezését sokféle
dokumentum szabványba, mint például a PDF-be.
Abban az esetben, ha a CoSign REST klienst használja, az interfész engedi, a teljes
DTBS elküldését a DTBS reprezentáció helyett. Például ha a kliens PDF fájlt kíván
aláírni, a teljes PDF fájl elküldésre kerül az eszköz számára. Ezen interfész típus
esetén vannak bizonyos esetek, amikor a DTBS reprezentáció kerül elküldésre az
alkalmazás számára.
A DTBS/R kifejezés lesz használva mostantól, hogy jelölje vagy a teljes DTBS vagy a
DTBS reprezentáció küldését.
Az aláírás létrehozó alkalmazás számára követelmény az általa a TOE aláírás-
létrehozó funkciója számára nyújtott input integritásának megvédése, hogy
következetes legyen az aláírásra az aláíró által felhatalmazott felhasználói adatokkal.
Hacsak a TOE számára implicit módon nem ismert, az SCA jelzi az aláírás inputjának
fajtáját (mint DTBS/R), biztosítja és kiszámolja az elvárt hash értékeket.
Tanúsítvány kibocsátó alkalmazás (Certificate Enrollment Application,
CEA) A CEA kéri egy új aláíró kulcs (SCD) generálását a CoSign eszközön belül és
továbbítja a visszaküldött tanúsítvány kérelmet a CGA-nak. A visszaküldött
tanúsítvány bele lesz foglalva az aláíró fiókjába a CoSign eszközben. Lehetséges
minősített tanúsítvány igénylése, ami azt jelenti, hogy minden aláíró művelet a
minősített tanúsítvány használatával minősített elektronikus aláírás műveletként
kerül meghatározásra. Továbbá, lehetséges fokozott tanúsítvány igénylése, ami azt
jelenti,hogy minden aláíró művelet a fokozott tanúsítvány használatával fokozott
elektronikus aláírás műveletként kerül meghatározásra..
Tanúsítvány létrehozó alkalmazás (Certificate Generation Application,
CGA)
A CGA generálja a tanúsítványokat a felhasználók számára az aláíró kulcs alapján
ami a CoSign eszközben kerül előállításra. A CEA interfészel a CGA-val. Elküldi a
tanúsítvány kérelmet a CGA-nak és az a tanúsítvánnyal válaszol.
CoSign Security Target
Revision 1.19 - Confidential –
Page 10 of 133 June 2015
CoSign Security Target
Revision 1.19 - Confidential –
Page 11 of 133 June 2015
1.4 TOE leírás A következő fejezetek részletesen leírják a CoSign elektronikus aláírás megoldást.
1.4.1 Magas szintű CoSign leírás
CoSign egy hálózathoz csatlakoztatott eszköz, ami számítógép hardverből, fizikai
behatolás ellen védett hardverből, konzolból, megerősített operációs rendszerből és
a CoSign szerver szoftverből áll (2. ábra).
2. ábra - CoSign belső modell
A CoSign eszköz felhasználási célja az elektronikus aláírás termékként való
felhasználása (SSCD) szervezeti környezeten belül, és fizikailag biztonságos
környezetben a szervezet adatközpontjában ajánlott telepíteni és kapcsolódik a
szervezeti hálózathoz.
Egy CoSign eszköz képes biztonságosan kezelni több felhasználói fiókot. További
részleteket a felhasználói fiók indításáról megtalálható a későbbi Műveleti állapot
fejezetben. Minden egyes felhasználó részére OTP eszköz biztosított.
Minden egyes OTP eszköz egyedi azonosítóval rendelkezik. Amikor OTP eszköz
használatával autentikál egy felhasználót, a felhasználót kérik jelszó megadására,
ami egy statikus és egy dinamikus jelszóból áll. A dinamikus jelszó megjelenik az
OTP eszköz kijelzőjén.
CoSign Security Target
Revision 1.19 - Confidential –
Page 12 of 133 June 2015
Anélkül, hogy megfelelő statikus és dinamikus jelszót megadna, a felhasználó nem
hitelesíti magát a CoSign eszköz felé. A CoSign belsőleg validálja a statikus jelszót,
és Radius protokollon keresztül kommunikál az OTP Radius szerverrel, aztán az OTP
Radius szerver kommunikál biztonságos módon a CoSign eszközzel visszahívásként
az OTP validálásának céljából. Az OTP Radius szerver a TOE műveleti környezetén
belül helyezkedik el. Minden egyes felasználói fiók részére lehetséges több aláírói
kulcs és az azokhoz tartozó tanúsítványok generálása. Ha egy felhasználó szeretne
elektronikusan aláírni egy dokumentumot, a CoSign kliens nyit egy felhasználói
munkamenetet, ami megkülönböztetett biztonságos csatorna használatával védett és
1.0 verziójú TLS protokollt használ [8].
A TLS biztonságos csatorna TLS_RSA_WITH_3DES_EDE_CBC_SHA mechanizmuson
alapszik, ahol a szimmetrikus kulcs létrehozása 2048 RSA kulcson alapul, a
szimmetrikus titkosító algoritmus alapja 192 bites CBC módú Triple Des EDE. Az adat
integritás algoritmus SHA1 alapú. A bizalmassági és integritási elemek mefelelnek az
ETSI TS 102 176-2, V. 1.2.1 (2005-07 [7]) specifikációnak. Különösen a kriptográfiai
funkcionalitások amik implementálják a biztonságos csatornát (bizalmasság és
integritás védelem) felelnek meg [7]-nek, addig a kriptográfiai funkcionalitások amik
a biztonságos csatorna létrehozásában játszanak szerepet, mások, mint amik
előirányzottak [7]-ben, de [12, 2. és 4. táblázatok] szerint egyenértékúek a
biztosított biztonsági szint szemszögéből.
Ez a biztosított kommunikációs csatorna használt a CoSign kliensen keresztük
küldött bármilyen kéréshez.
A felhasználó aláírói kulcsához való hozzáférés csak sikeres hitelesítés után
engedélyezett. Hitelesítés alatt a CoSign eszköz ellenőrzi a felhasználó statikus
jelszavát és az OTP Radius szerveren keresztül interfészel az OTP validálásához a
CoSign eszköz visszahívásának használatával. Az elektronikus aláírás kimenet
belekerül a releváns dokumentumba.
A CoSign eszköz ismétlődő Audit naplózást tart nyílván, ami rögzít minden
adminisztratív funkciót és minden felhasználói aláírói kulcshasználatot. Az audit
napló nem törölhető és csak arra felhatalazott adminisztrátor olvashatja.
CoSign Security Target
Revision 1.19 - Confidential –
Page 13 of 133 June 2015
1.4.2 TOE felépítése
3. ábra – CoSign eszköz - Előnézet
4. ábra – CoSign eszköz - Hátulnézet
A TOE hatálya a teljes CoSign eszköz (lásd 2. és 3. ábra) beleértve az eszköz
hardver és szoftver komponenseit.
CoSign Security Target
Revision 1.19 - Confidential –
Page 14 of 133 June 2015
1.4.2.1 A TOE fizikai hatálya
Az eszköz egy acélból készült, rack szekrénybe szerelhető doboz. Az eszköz fizikai
interfésze a következő elemeket foglalja magába:
Hálózati csatlakozó (Ethernet interfész TCL/IP használatával)
Tápkapcsolókat (elöl egy kapcsolót és hátul egy főkapcsolót)
Tápcsatlakozót
LED jelzőlámpákat
LCD kijelzőt a konzolinformációk kijelzéséhez
billentyűzetet négy gombbal adminisztratív konzol kezeléshez
egy USB nyílást intelligens kártya alapú USB tokenhez
egy fizikai kulcs nyílást és egy fizikai kulcsot, amivel nyitni és zárni lehet a
fizikai ajtót, ami a fenti elülső tápkapcsolót, LCD kijelzőt, LED
jelzőlámpákat, billentyűzetet és USB nyílást fedi.
Az eszköz belső hardvere a következőt foglalja magába:
alaplap és CPU
Merevlemez, ami kezeli az eszköz szoftverét és adatait
egy jogosulatlan felnyitás elleni hardver eszköz, ami automatikusan
lekapcsolja az eszközt, ha valaki fel próbálja azt nyitni. További kritikus
információ, mint például a kritikus főkulcsok törlésre kerülnek, ha a
szabotázs esemény bekövetkezik.
Egy belső intelligens kártya alapú USB token ami valódi véletlen forrás
mely aláíró kulcsok generálására használható.
Tápegység és ventillátorok.
Amikor az eszköz bekapcsol a CoSign eszköz szoftvere aktiválódik. A szoftver
megerősített operációs rendszert használ.
Az eszköz konzolján keresztül a következő műveletek végezhetőek el:
Az eszköz általános paramétereinek megtekintése, ami nem biztonsággal
kapcsolatos. Az eszköz adminisztrátora megnézheti az eszköz IP címét, a
felhasználószámot, a szoftververziót, stb.
Hálózattal kapcsolatos paraméterek konfigurálása.
Visszaállítani a szabotázs státuszt szabotázs bekövetkezése után.
Gyári beállításra visszaállítani az eszközt.
Kikapcsolni az eszközt.
Az eszköz aktuális idejét beállítani.
CoSign Security Target
Revision 1.19 - Confidential –
Page 15 of 133 June 2015
1.4.2.2 A TOE logikai hatálya
A CoSign szoftver több szoftver modult foglal magába, amelyek lehetővé teszik a
felhasználók számára az eszköz távoli elérését és az elektronikus aláírás művelet
végrehajtását.
A felhasználó számítógépére feltelepített CoSign kliens szoftveren keresztül történik
a eszközhöz való hozzáférés, TLS munkamenet létrehozásával a távoli kliens és a
CoSign eszköz között.
Az elektronikus aláírás parancs és a visszaküldött elektronikus aláírás információ a
CoSign eszköztől és eszköznek kerül továbbításra a létrehozott TLS munkamenet
használatával.
A CoSign szoftver a következő állapotokban lehet:
Gyári állapot – Ebben az állapotban érkezett a termék a gyárból. A terméket
még nem telepítették és a végfelhasználók nem érhetik el.
Műveleti állapot – A termék telepítve van és készen áll új felhasználók
kezelésére és elektronikus aláírás műveletek elvégzésére.
Szabotált állapot – A eszközhöz jogosulatlan hozzáférés történt. Ebben az
állapotban a felhasználók semmilyen elektronikus aláírás műveletet nem
tudnak végrehajtani.
További információ a TOE állapotokról a CoSign telepítési életciklus fejezetben van
leírva.
A műveleti állapotban a TOE által nyújtott releváns szolgáltatásokat a következő
fejezetek írják le.
1.4.2.2.1 Aktív felhasználó műveletek
Amikor a termék műveleti állapotban van, a felhasználók biztonságosan
kommunikálhatnak az eszközzel a TLS protokoll használatával TCP/IP felett és a
következő műveleteket végezhetik el:
RSA aláírás létrehozás Egy DTBS/R kerül elküldésre a TOE részére, a felhasználói munkamenet részeként. A
TOE elvégzi az elektronikus aláírás műveletet és az elektronikus aláírással válaszol.
RSA kulcsgenerálás Új RSA kulcs létrehozása. Az aláírói kulcs létrehozás az eszközön belül hajtódik
végre. A CoSign tartalmaz egy véletlen szám generátor hardvert ami intelligens
kártya chippen alapul. Ál-véletlen szám generátor használata (FIPS 186-2 3.
Melléklet), az előírt véletlen számot biztosítja a kulcsgeneráláshoz. Az RSA
kulcsgeneráló algoritmus megfelel az [5], [6] és [9] előírásoknak. Az RSA kulcs a
következő méretű lehet: 2048 bites vagy 4096 bites.
Grafikus aláírások kezelése Minden egyes felhasználó több grafikus aláírást is feltölthet, hogy a CoSign az
CoSign Security Target
Revision 1.19 - Confidential –
Page 16 of 133 June 2015
adatbázisában tárolja a megfelelő felhasználói fiók alatt. Ezek a képek előhívásra
kerülnek a CoSign kliens által és látható aláírásként belekerülnek az aláírt
dokumentumba az aláírás művelet részeként.
Tanúsítványok kezelése Az összes felhasználói tanúsítvány is eltárolásra kerül a CoSign eszköz adatbázisában
a megfelelő felhasználói fiók alatt. Két eset van amikor a tanúsítványt használja a
felhasználó (aláíró).
Tanúsítvány felvétel
Tanúsítvány felvétel alatt az RSA kulcs a CoSign eszközön belül jön létre, egy
aláírt SVD kerül ki a CoSign eszközből és a CGA-nak elküldésre kerül a TOE
hatáskörén kívül. Az új tanúsítvány visszatöltésre kerül a TOE-be.
Aláírás-létrehozó alkalmazás (SCA)
Az aláírás generáló alkalmazás visszaadja az összes felhasználói tanúsítványt
és hagyja a felhasználót kiválasztani a megfelelő tanúsítványt az elektronikus
aláírás művelethez.
1.4.2.2.2 CoSign véletlen szám generálás
A CoSign magába foglal egy beépített véletlen szám generátort amit sokféle
műveletre használ mint pl. az aláírói kulcs generálása, érzékeny adat generálása,
törölt SCD-k felülírása és egyéb érzékeny információ felülírása, mint pl. a kritikus
kulcsok a következő fejezetben leírástak szerint.
A véletlen szám generálása megfelel a [6] szabványnak és mind Tényleges Véletlen
szám generáló mechanizmuson (trueran) mind ál-véletlen (pseuran) szám generáló
mechanizmuson alapul.
Az igazi véletlen szám generáló mechanizmus igazi véletlen szám forráson alapul,
amit egy USB token formájában beépített intelligens kártya chip ad. Az intelligens
kártya chip AT90SC25672RCT-USB Atmel chipen alapul Athena IDProtect/OS755
Java Kártyával.
Ez a chip rendelkezik Common Criteria EAL 4+ tanúsítvánnyal.
Az ál-véletlen generáló a fentebbi valódi véletlen forrást használja és kiszámítja a
véletlen számot a [10]-ben leírt determinisztikus algoritmus segítségével.
1.4.2.2.3 CoSign főkulcsok (Master Keys)
CoSign Security Target
Revision 1.19 - Confidential –
Page 17 of 133 June 2015
A CoSign a következő kritikus Triple DES kulcsokat (192 bit hosszú) használja
amiket az alkalmazás telepítésekor generál és mind az eszköz volatile
memóriájában, mind pedig a szabotázs elleni eszközben megtalálható:
SRV KEK – Főkulcs ami AUK kulcs titkosításra használható
Ez a 192 bites kritikus adat kiegészítve a statikus jelszóval felhasználó-
specifikus kulcs titkosító kulcsot (KEK) épít fel.
A felhasználó-specifikus KEK titkosítja/visszafejti a véletlenszerűen generált
Egyedi fiók kulcsot (AUK).
Az AUK az aláíró kulcsok titkosítására való, amik az adott felhasználói fiókhoz
tartoznak.
Az SRV KEK titkosítja a képeket és a tanúsítványokat a TOE adatbázisában.
SRV adat integritás – Főkulcs felhasználói adatbázis bejegyzések MAC
kiszámításához/verifikációjához
Ez a 192 bites kritikus kulcs védi az összes CoSign eszköz adatbázisában lévő
felhasználói információ, kulcsinformáció, egyéb felhasználói objektum és más
érzékeny információk integritását.
Az összes kritikus kulcs a fentebbi részben definiált módon használja az eszköz
véletlen szám generáló mechanizmusát.
Az összes kritikus kulcs továbbá másolásra kerül egy dedikált Intelligens Kártya
alapú USB tokenre biztonsági mentés célból. Az USB tokent a mentéssel dedikáltan
biztonságos környezetben kell tartani egy dedikált adminisztratív személy
felelősségvállalásával.
A biztonsági mentést tartalmazó USB token az eszköz telepítés alatt készül és annak
biztosított információja egy másik további dedikált USB tokenre is másolásra kerül.
A mentést tartalmazó tokent a következő műveletekre alkalmazzák:
Szabotázst követően visszaállításra
Szabotázs esemény esetében az eszköz adminisztrátora elvégezheti a
szabotázst követő visszaállítás műveletet.
Az eszköz adminisztrátor csak akkor végezze el a szabotázst követő
visszaállítás műveletet, ha teljes mértékben biztos abban, hogy az eszközt
teljesen ellenőrzött módon nyitották ki.
Ha a szabotázs esemény a biztonság sérülésének részeként történt, akkor tilos
végrehajtani a szabotázst követő visszaállítás műveletet annak a kockázata
miatt, hogy az eszközt produktív üzemmódba hozva a belső információ
kompromittálódhat, mint például az aláírói kulcsok.
Abban az esetben hogy ha az eszköz adminisztrátor engedélyezi a szabotázst
követő visszaállítást a biztonsági mentést tartalmazó USB token szükséges,
mivel az összes kritikus információ törlésre került a szabotált eszközről és az
egyetlen mód az információ rekonstruálására az a biztonsági mentést
tartalmazó USB token használata. Ezt a műveletet csak az eszköz konzoljáról
lehet elvégezni.
CoSign Security Target
Revision 1.19 - Confidential –
Page 18 of 133 June 2015
Alternatív eszköz telepítése
Annak biztosítása érdekében, hogy az Alternatív eszköz ugyan azokkal a
kritikus kulcsokkal rendelkezik, mint amiket az Elsődleges eszköz használ.
1.4.2.2.4 Működési adminisztratív műveletek Az adminisztrátor elvégezheti az adminisztratív műveleteket vagy a konzolon
keresztül, vagy egy biztonságos hálózati kapcsolaton keresztül.
A konzolhoz kapcsolódó műveletek nem igénylik az eszköz adminisztrátor
hitelesítését és a TOE műveleti környezetének biztonságára támaszkodnak.
Kétféle adminisztrátor típus létezik:
1. Eszköz adminisztrátor – telepíti az eszközt és kezeli az eszközzel
kapcsolatos funkcionalitásokat.
Néhány eszköz adminisztrációs funkciót a TOE konzoljának használatával
végeznek.
2. Felhasználó adminisztrátor – kezeli a felhasználói fiókokat
A következőkben látható néhány a műveletek közül, amiket a fentebbi
adminisztrátorok elvégezhetnek:
Egy speciális felhasználói adminisztrátor elvégezheti a felhasználó kezelő
műveleteket (új felhasználói fiók létrehozása, korlátozott frissítse egy
meglévő felhasználói fióknak és betekinteni a felhasználói információba)
Az eszköz adminisztrátor feltölthet elektronikusan aláírt szoftver
frissítéseket. A frissített szoftvernek is rendelkeznie kell a Biztonsági
Előirányzat vagy a Biztonsági Előirányzat frissített változata szerinti
Common Criteria tanúsítással.
Az eszköz adminisztrátor letöltheti az audit és debug naplókat
Az eszköz adminisztrátor feltöltheti a REST interfész biztonságos
csatornájához használt TLS szerver kulcsot.
További információért lásd a 7.1 fejezetet.
A következő műveletek automatikusan hajtódnak végre a CoSign eszköz által az
műveleti állapotban:
Szabotázs érzékelés és védelem, amikor az eszköz fedelét felnyitják akár ki
van kapcsolva az eszköz, akár be.
Az aláírói kulcsok biztonságos tárolása
Alkalmazás adatok tárolása (tanúsítványok és grafikus aláírás képek)
1.4.2.2.5 CoSign magas rendelkezésre állás munkamódban
Lehetséges kettő vagy több CoSign eszköz telepítése is ugyan abban a műveleti
környezetben. A célja annak, hogy egynél több aktív eszköz legyen az az, hogy
lehetővé tegye a szervezet felhasználói számára az elektronikus aláírást hardver az
elsődleges CoSign eszköz hardverének vagy szoftverének meghibásodása esetén.
A fő CoSign eszközt Elsődleges CoSign eszköznek nevezik, míg a többi CoSign
eszközöket Alternatív CoSign eszközöknek.
CoSign Security Target
Revision 1.19 - Confidential –
Page 19 of 133 June 2015
Aláírói kulcsok akár csak a tanúsítványok és képek többszörözöttek.
Az adatmásolatok biztonsága az alkalmazás szintű adatintegritás mechanizmusokon
alapszik ahol az összes biztonsággal kapcsolatos információ magába foglal egy MAC
címet. Érzékeny információ, mint az aláírói kulcsok vagy a képek titkosítottak.
Csak egy CoSign eszköz van Elsődleges CoSign eszköznek kijelölve.
Elektronikus aláírás műveletek és minden kezelői művelet csak az elsődleges eszköz
használatával engedélyezett, az alternatív eszközöknél pedig nem.
Az elsődleges eszköz végzetes hibája esetén, ami már nem javítható, speciális
műveletek végezhetőek el, hogy helyreállítsák a rendszert.
Az eszköz adminisztrátor képes az egyik alternatív eszközt átalakítani, hogy az az új
elsődleges eszközként viselkedjen a műveleti környezetben.
CoSign Security Target
Revision 1.19 - Confidential –
Page 20 of 133 June 2015
1.4.2.2.6 CoSign eszköz telepítési életciklus
5. ábra CoSign telepítési életciklus
Az 5. ábra bemutatja a teljes termék életciklust ahol a telepítés, gyári beállításokhoz
való visszatérés és a szabotázst követő visszaállítás az adminisztrátorok számára
engedélyezett műveletek, és a szabotázs egy külsőleges felnyitási esemény. A gyári
beállítás és a szabotázst követő visszaállítás csak az eszköz konzoljáról kerül
végrehajtásra.
Az elkövetkezőekben ezekről az állapotokról részletes leírás található.
Gyári beállítások állapot
Ebben az állapotban a CoSign eszköz nincs installálva, és nincsenek felhasználói
fiókok, aláírói kulcsok vagy bármely más felhasználói infó a CoSign adatbázisban.
Műveleti állapotra váltás Csak ebben az állapotban lehet telepíteni a CoSign-t. A telepítés alatt a CoSign
eszköz a vevő környezeti definíciók szerint konfigurált.
A CoSign telepítését biztonságos környezetben kell végrehajtani. A telepítés alatt két
főkulcs kerül előállításra, ami az információ, mint például a felhasználói fiókok
integritásának védelmére használják, és belsőleg részt vesz az eszköz aláírói
kulcsainak titkosításában. Ezek a főkulcsok egy dedikált USB tokenen vannak tartva
a telepítés alatt és megfelelően biztonságos helyen kell azt tárolni, mint például egy
széfben.
A sikeres telepítést követően a CoSign műveleti állapotban van.
Magas rendelkezésre állás A CoSign magas rendelkezésre állás módban kell, hogy telepítve legyen ahol az
elsődleges CoSign eszköz a fentebb leírt módon kerül telepítésre.
Egy speciális kézi telepítési eljárást kell lefolytatni minden egyes alternatív eszközön.
CoSign Security Target
Revision 1.19 - Confidential –
Page 21 of 133 June 2015
Az alternatív eszköz telepítése alatt:
Az eszköz adminisztrátora biztosítson speciális biztonsági mentés tokent, hogy
az elsődleges eszköz és az alternatív eszköz ugyan azon a főkulcsokon
osztozzon.
Az alternatív eszköz IP címe felvételre kerül az alternatív eszközök
címlistájára, amit az elsődleges eszköz kezel.
Amikor az elsődleges eszköz telepítése elkészül, az elsődleges eszköz műveleti
állapotban van. Amikor az alternatív eszköz telepítése elkészül, akkor az alternatív
eszköz műveleti állapotban van.
Szabotált állapotra váltás Ebben a fázisban az eszköz gyári állapotban marad, ellenben javasolt hogy ha
bármilyen fizikai befolyásolás történt az eszköz adminisztrátort értesíteni kell.
Műveleti állapot Ebben az állapotban lehetséges új felhasználói fiókok létrehozása és a fiók
aktiválása, hogy elektronikus aláírás műveletet meg lehessen kezdeni.
A felhasználói fióknak a következő életciklusa van:
Új fiók létrehozása
Ezt a műveletet a felhasználói adminisztrátor végzi el.
Fióklétrehozás alatt a felhasználói adminisztrátor beállít egy aktivációs jelszót a
felhasználó részére.
A végfelhasználónak ezt a jelszót vagy Pin Mailer vagy más mechanizmus
használatával adják oda. Ezek a mechanizmusok a CoSign hatályán kívül esnek.
Végfelhasználói fiók aktiválás
Egy fiók csak egyszer aktiválható. Aktiválás alatt a felhasználónak a következő
részleteket kell biztosítania:
Aktivációs jelszó, ahogy a felhasználói adminisztrátor megadta
Dinamikus jelszó, ahogy az OTP eszköz megadta
Egy új statikus jelszó és egy megerősítő jelszó
Aktiválás alatt az új egyedi fiók kulcs (AUK) létrehozásra kerül a fiók számára és
titkosításra a felhasználó nyilvántartásban az adatbázisban. A titkosító kulcs a
CoSign első főkulcsának és a felhasználó statikus jelszavával épül fel.
Az AUK egy hármas kulcsú Triple-DES kulcs amit a jövőben a létrehozott felhasználói
aláíró kulcs titkosításra használnak.
CoSign Security Target
Revision 1.19 - Confidential –
Page 22 of 133 June 2015
Csak miután sikeresen aktiválta a fiókot tud a felhasználó új aláíró kulcsokat felvenni
vagy meglévő aláíró kulcsokkal aláírni.
Ha a fiókot már aktiválták, akkor a felhasználónak haladéktalanul kapcsolatba kell
lépnie a szervezettel azzal a gyanúval, hogy a fiókkal már visszaéltek. Bármilyen
hasonló esemény jelentve lesz a CoSign audit naplóba.
Nem lehetséges új aktivációs jelszó beállítása a felhasználó számára miután a fiókot
aktiválták. Tilos felhasználó OTP eszközét cserélni miután a fiók aktiválódott, a
felhasználói fiókot vissza kell vonni és egy új fiókot kell létrehozni a felhasználó
számára.
Aktivált fiók műveletei
A következő műveletek hajthatóak végre az aláíró által, ha a fiókot aktiválták:
Új aláírói kulcs létrehozása és tanúsítvány kérelmet szerezni az újonnan
generált kulcshoz.
Elfogadni egy tanúsítványt az új aláíró kulcshoz
Tanúsítványlistát szerezni a fiókhoz
A fiókhoz képek kezelése és fiók képlistát szerezni.
Elektronikus aláírás művelet
Jelszó megváltoztatás művelet
A felhasználó megadja a régi statikus jelszót akárcsak az új statikus jelszót
és a megerősítést az új statikus jelszóhoz.
Ezalatt a művelet alatt a felhasználó AUK újra lesz titkosítva egy új KEK-el,
ami az első főkulcsból és az új statikus jelszóból épül föl.
Felhasználói adminisztrátor általi fiók visszavonás A felhasználói adminisztrátor bármikor visszavonhat egy fiókot. Az összes aláírói
kulcs, tanúsítvány, és kép törlésre kerül. Tilos más felhasználó számára kiutalni az
OTP eszközt.
Magas rendelkezésre állás megfontolások Minden kezelői művelet akár csak az aláírói műveletek az elsődleges eszköz
elérésével hajtódnak végre. Ez magában foglalja: felhasználói fiók készítés, fiók
aktiválás, statikus jelszó megváltoztatása. Egy alternatív eszköz kerül felhasználásra
katasztrófa utáni helyreállításra.
Az elsődleges eszköz tartja karban a címlistát az összes elérhető alternatív eszközről.
Az elsődleges eszköz periodikusan lemásolja az összes frissítést ami a felhasználói
fiókokban bekövetkezett az elmúlt pár percben. A másolás megtörténik a címlistában
szereplő összes alternatív eszköz esetén is.
CoSign Security Target
Revision 1.19 - Confidential –
Page 23 of 133 June 2015
Ha egy alternatív eszköz eltávolításra kerül a címlistáról, semmilyen frissített
információ nem kerül küldésre az alternatív eszköz számára.
Az elsődleges eszközzel történt katasztrófa esetén lehetséges megváltoztatni egy
létező alternatív eszköz szerepkörét, hogy az átvegye az elsődleges eszköz szerepét.
Ezt speciális adminisztratív művelettel lehet megcsinálni.
Gyári beállítások állapotra váltás Egy eszközt vissza lehet állítani gyári állapotra egy speciális művelet aktiválásával az
eszköz konzolján. Ez a művelet elpusztítja az összes felhasználói fiók információt. A
művelet továbbá törli az összes főkulcs információt a manipulálási eszközről.
Végrehajtani egy visszaállítást a gyári működésre egy alternatív eszköz esetén
hasonló egy gyári működésre való visszaállítás végrehajtásához egy elsődleges
eszközön.
Szabotált állapotra váltás Egy eszköz szabotált állapotra vált felnyitás esetén.
Szabotált állapot A CoSign manipulálás elleni mechanizmust tartalmaz, ami ha aktiválódik, akkor
aktívan kitörli az érzékeny információt, hogy megvédje a felhasználók aláírói
kulcsait. Szabotált állapotban az eszköz nincs beindítva és nem szolgál ki egyetlen
kérést se a felnyitási állapot eszköz adminisztrátor jóváhagyásán kívül.
Műveleti állapotra váltás Ha a CoSign eszköz műveleti állapotban volt, csak a speciális biztonsági mentést
tartalmazó OSB kulcs használatával az eszköz adminisztrátor szabotált állapotról
újból műveleti állapotra változtathatja az eszköz állapotát. Az összes főkulcs
információ át lesz másolva a speciális biztonsági mentés USB kulcsról az eszköz
szabotázs eszközére. Ha a CoSign eszköz gyári állapotban volt akkor a szabotázs
állapot visszaállító művelet adminisztrátori végrehajtásához nem előírás a speciális
biztonsági mentés USB token használata, és az eszköz állapota visszaáll gyári
állapotra.
Az eszköz adminisztrátor csak akkor végezze el a szabotázst követő visszaállítás
műveletet, ha teljes mértékben biztos abban, hogy az eszközt teljesen ellenőrzött
módon nyitották ki.
Ha a szabotázs esemény a biztonság sérülésének részeként történt, akkor tilos
végrehajtani a szabotázst követő visszaállítás műveletet annak a kockázata miatt,
hogy az eszközt produktív üzemmódba hozva a belső információ kompromittálódhat,
mint például az aláírói kulcsok.
Az állapotváltozások hasonlóak az elsődleges és az alternatív eszközöknél.
CoSign Security Target
Revision 1.19 - Confidential –
Page 24 of 133 June 2015
Gyári beállítások állapotra váltás Egy eszközt vissza lehet állítani gyári állapotra egy speciális művelet aktiválásával az
eszköz konzolján. Ez a művelet elpusztítja az összes felhasználói fiók információt.
Végrehajtani egy visszaállítást a gyári működésre egy alternatív eszköz esetén
hasonló egy gyári működésre való visszaállítás végrehajtásához egy elsődleges
eszközön.
CoSign Security Target
Revision 1.19 - Confidential –
Page 25 of 133 June 2015
2 Megfelelőségi nyilatkozat CoSign Biztonsági előirányzat és egy a TOE megfelel az Információs technológia
biztonsági értékelésének közös kritériumának 3.1 verzió 2. felülvizsgálatának:
- Információs technológia biztonsági értékelésének közös kritériuma – 2. rész:
Biztonsági funkcionális komponensek, 2007 Szeptember 3.1 Verzió 2. Rev.
CCMB- 2007-09-002 (2. kiegészített rész)
- Információs technológia biztonsági értékelésének közös kritériuma – 3. rész:
Biztonság biztosító komponensek, 2007 Szeptember 3.1 Verzió 2. Rev.
CCMB-2007-09-003 (3. rész megfelelő)
A CoSign Biztonsági előirányzat megfelel az AVA_VAN.5 alátámasztott EAL4
biztosítási szintnek ahogy az Információs technológia biztonsági értékelésének közös
kritériuma – 3. rész: Biztonság biztosító komponensek, 2007 Szeptember 3.1 Verzió
2. Rev. - CCMB-2007-09-003 (CC 3. rész) meg van fogalmazva.
A CoSign Biztonsági előirányzat nem felel meg egy védelmi profilnak (PP) sem.
CoSign Security Target
Revision 1.19 - Confidential –
Page 26 of 133 June 2015
3 Biztonsági probléma leírás
A következő fejezet leírja a biztonsági problémákat, amelyekkel foglalkozni kell a
TOE részeként. A fejezetben felsorolásra kerülnek a fenyegetések, szervezeti
biztonsági politikák (OSP) és a feltételezések, amik a Biztonsági probléma leíráshoz
kapcsolódnak.
3.1 Fenyegetések
Ez a fejezet a TOE eszközök és alanyok listájával kezdődik és a fenyegető tényezőkel
és az eszközök fenyegetettségeivel zárul.
Eszközök és Objektumak :
1. Aláírás-létrehozó eszköz (SCD): privát kulcs, amit az elektronikus aláírás
művelet végrehajtásához használnak. Fenn kell tartani a bizalmasságot, az
integritást és az aláíró kizárólagos felügyeletét az SCD felett. Ez a megkötés
bármely aláíró bármely aláírás-létrehozó eszközére vonatkozik a TOE tlejes
életciklusa alatt.
2. SVD: az SCD-vel kapcsolatos nyilvános kulcs, amit az elektronikus aláírás
ellenőrzésének végrehajtására használnak. Az exportálás alatt az SVD
integritását fenn kell tartani.
3. DTBS és/vagy DTBS/R: aláírandó adat és aláírandó adat reprezentáció, amit az
aláíró alá akar írni. A reprezentáció az adat hash értékén alapszik. Az
elektronikus aláírás által biztosított aláíróval való kapcsolat integritását és
megmásíthatatlanságát fenn kell tartani.
4. Aláírás-létrehozó TOE funkció a DTBS/R részére történő elektronikus
aláírás létrehozásához az SCD használatával.
5. Statikus jelszó (VAD): ugyan úgy OTP-t használó statikus jelszó, amit a
végfelhasználó ír be a felhasználó az aláírás művelet előtti hitelesítéshez.
6. Referencia statikus jelszó (RAD): statikus jelszó referenciával kapcsolat
információ akár csak a felhasználóhoz rögzített OTP sorozatszám és az OTP
eszköz kulcs anyaga, ami a felhasználó azonosításához használnak.
7. Az előállt elektronikus aláírás.
8. Az aláíró tanúsítványai: bár ezek az elemek publikusan elérhetőek az aláírt
dokumentumból, csak az aláíró használja a tanúsítványát az elektronikus
aláírás folyamat során, amit az SCA kezel.
9. Az aláíró képei: bár ezek az elemek kinyerhetőek az aláírt dokumentumból,
csak az aláíró használja a képeit az elektronikus aláírás folyamat során, amit az
SCA kezel.
Rendszer paraméterek és TOE belső elem adat elemeinek egy változata, mint például
az alternatív eszközök belső listája. Néhány rendszer paraméter és egyéb adat a TOE
telepítése után lezárásra kerül. Egyéb renszer paraméter és TOE adat csak az eszköz
adminisztrátora által módosítható. Alább látható néhány, a TOE által használt
CoSign Security Target
Revision 1.19 - Confidential –
Page 27 of 133 June 2015
renszer paraméter és adat:
Radius szerver IP cím
Alternatív eszközök listája
REST TLS szerver kulcs
Statikus jelszó politika attribútumok
Felhasználók, és felhasználók nevében eljáró alanyok:
Alanyok Leírás
S.User A TOE végfelhasználója, aki felhasználói adminisztrátorként,
eszköz adminisztrátorként és aláíróként azonosítható. A TOE-
ben az S.User alany S.AppianceAdmin-ként is eljárhat az
R.ApplianceAdmin szerepében vagy S.UserAdmin-ként,
R.UserAdmin szerepében, vagy S.Sigy-ként R.Sigy
szerepében.
S.ApplianceAdmin A felhasználó, akinek a feladata a TOE inicializáció vagy
TOE konfiguráció elvégzése.
S.UserAdmin Felhasználó, akinek a TOE felhasználók kezelése a feladata.
Ez a fiók felel a létrehozott felhasználók aktivizáló jelszaváért.
S.Sigy Felhasználó, aki használja a TOE-t az elektronikus aláírás
műveletek miatt.
A felhasználó a TOE-n lévő fiók hazsnálja a saját részére,
vagy más természetes, jogi személy vagy entitás nevében,
amit képvisel. A TOE-ben az S.Sigy alany R.Sigy szerepben
jár el sikeres autentikációt mint aláíró elvégzését követően.
Fenyegető tényezők:
S.ATTACKER Támadó.TOE-n kívül elhelyezkedő ember vagy folyamat, ami a
nevében jár el. A fő célja az S.ATTACKER alanynak Az SCD elérése,
vagy hogy meghamisítsa az elektronikus aláírást. Egy támadó magas
támadási potenciállal rendelkezik, és nem ismer titkokat.
S.INTERNAL Egy ember magas támadási potenciállal, akinek hozzáférése van a
biztosított információk egy részéhez, mint például a végfelhasználó
aktivációs jelszavához és megpróbálja azt kihazsnálni és aláírás
műveletet végezni az eszköz felhasználójának nevében.
A megvizsgált fenyegetésekről következik itt egy lista:
T.SCD_Divulg Aláírás-létrehozó adat tárolása, másolása és kiadása
CoSign Security Target
Revision 1.19 - Confidential –
Page 28 of 133 June 2015
Egy támadó eltárolja vagy lemásolja az SCD-t a TOE-n kívül. Egy támadó
megszerezheti az SCD-t TOE-n belüli generálás tárolás és aláírás létrehozás alatt.
T.SCD_Derive Aláírás-létrehozó adat származtatása
Egy támadó származtatja az SCD-t publikusan is fellelhető adatokból, mint amikor az
SVD megegyezik az SCD-vel, vagy más egyéb adattal, ami ki lett exportálva a TOE-n
kívülre, ami egy fenyegetés az SCD titkosságára nézve.
T.Hack_Phys Fizikai támadások a TOE interfészeken keresztül
Egy támadó fizikailag kommunikál a TOE-val hogy kihasználja a sebezhetőségeket,
ami különféle biztonsági sérüléshez vezethet. Ez a fenyegetés SCD, SVD és DTBS
ellen irányul.
T.SVD_Forgery Aláírás-verifikációs adat hamisítás
Egy támadó hamisított SCD-t mutat be a CGA-nak. Ez az SVD integritás
elvesztéséhez vezet az aláíró tanúsítványában.
T.SigF_Misuse Visszaélés a TOE aláírás-létrehozó funkciójával
Egy támadó visszaél a TOE aláírás-létrehozó funkciójával, hogy elektronikus aláírást
hozzon létre olyan adaton, amit az aláíró nem döntött úgy, hogy aláír. A TOE
lehetséges célpontja szakértők szándékos támadásainak, akik magas támadási
potenciállal, biztonsági elvek és a TOE által használt koncepciók terén magas
szakértelemmel rendelkeznek.
T.D TBS_Forgery DTBS/R hamisítás
Egy támadó megváltoztatja a DTBS/R-t, amit az SCA küld. Így a DTBS/R amit a TOE
aláíráshoz használ nem egyezik azzal a DTBS-el amit az aláíró alá akart volna íratni.
T.Sig_Forgery Elektronikus aláírás hamisítás
CoSign Security Target
Revision 1.19 - Confidential –
Page 29 of 133 June 2015
Az SCD használata nélkül egy támadó meghamisítja az aláírással kapcsolatos
adatokat és az SVD általi elektronikus aláírás ellenőrzés nem észleli a hamisítást. A
TOE által létrehozott aláírás lehetséges célpontja szakértők szándékos támadásainak,
akik magas támadási potenciállal, biztonsági elvek és a TOE által használt
koncepciók terén magas szakértelemmel rendelkeznek.
T.E Expos_TOE_Disk TOE jogosulatlan felnyitása és a TOE belső lemezéhez való
hozzáférés
Egy támadó felnyitja a TOE-t és eléri a belső lemezt és megkísérli az aláírók SCD és
RAD adatainak olvasását.
3.2 Szervezeti biztonsági politikák
P.CSP_QCert Minősített aláírás
A tanúsítvány szolgáltatás szolgáltató (CSP) megfelelő CGA-t használ minősített vagy
nem minősített tanúsítvány előállításához (A Direktíva: 2:9, I Melléklet) az SVD
részére az SSCD által. A tanúsítványok legalább az aláíró nevét tartalmazza és az
SCD-hez tartozó SVD az aláíró kizárólagos felügyelete mellett a TOE-ben
végrehajtásra kerül. A CSP biztosítja, hogy a TOE mint SSCD használata az
aláírrásokkal kapcsolatban nyilvánvalóan feltüntetett a tanúsítványban vagy
bármilyen más publikusan is elérhető információként.
P.QSign Minősített elektronikus alírások
Az aláíró az aláírás-létrehozó rendszert adatok aláírásához használja fokozott
elektronikus aláírással (A Direktíva: 1, 2), ami minősített elektronikus aláírás, ha
megfelelő minősített tanúsítványon alapul (1. Melléklet). A DTBS bemutatásra kerül
az aláíró részére, és az SCA mint DTBS/R elküldi az SSCD-nek. Az SSCD elektronikus
aláírást hoz létre az SCD-vel, ami az SSCD-ben van implementálva, ami az aláíró
kezel az ő kizárólagos felügyelete mellett, és a a DTBS/R-hez kapcsolódik olyan
módon, hogy a későbbiekben bekövetkező bármilyen adatának változása észlelhető.
P.Sigy_SSCD TOE mint biztonságos aláírás-létrehozó eszköz
A 3. Mellékletben meghatározott SSCD követelményeknek megfelel a TOE. Ez azt
jelenti, hogy az SCD elektronikus aláírás létrehozásához kerül felhasználásra at
aláíró kizárólagos irányítása alatt, és az SCD, amit aláírás létrehozásához használt
csak praktikusan egyszer fordul elő.
P.Sig_Non-Repud Aláírások letagadhatatlansága Az SSCD, az SCD és az SCD életciklusát úgy kell implementálni, hogy az aláíró ne
tudja letagadni az aláírt adatot, ha az aláírást sikeresen verifikálták az ő
visszavonatlan tanúsítványában lévő SVD-vel.
CoSign Security Target
Revision 1.19 - Confidential –
Page 30 of 133 June 2015
3.3 Feltevések
A.CGA Megbízható tanúsítvány-készítő alkalmazás
A CGA megvédi az aláíró nevének és az SVD hitelességét a (minősített)
tanúsítványban a CSP fokozott elektronikus aláírásával.
A.S CA Megbízható aláírás-létrehozó alkalmazás
Az aláíró csak megbízható SCA-t használ. Az SCA generálja és küldi az aláíró által
aláírni kívánt adat DTBS/R-ét olyan formában, ami TOE aláírásra megfelelő.
A.T OEConfig TOE konfiguráció
TOE konfigurációs folyamatok:
A figyelembe veendő ajánlásokat a [6] tartalmazza a hash függvények és
aláírás csomag időbeli ellenállóképességéről,
Adjon egyértelmű útmutatást az eszköz adminisztrátornak hogy a [6]-nak való
szigorú megfelelőség biztosítva legyen az összes előírt esetben.
Adjon egyértelmű útmutatást az eszköz adminisztrátornak hogy az összes
előírt esetben kötelező a legutóbbi verziónak [7] való szigorú megfelelőség
biztosítása érdekében vagy alternatívaként annak megerősítése, hogy a
körülmények a meghosszabbított megfelelőséghez [7] még megfelelőek.
A.SecEnv Biztonságos környezet
Feltételezhetően a műveleti környezet elegendő intézkedést biztosít, hogy megvédje
a TOE-t fizikai felnyitás vagy jogosulatlan hálózati hozzáférés ellen.
A.BKP-USB USB token biztonsági mentés
Feltételezhetően a felhatalmazott adminisztrátor a felelős mindkét, a TOE telepítése
alatt generált USB token biztonságos helyen (széf) történő tárolásáért.
A.OTP-MGMT OTP eszközkezelés
Feltételezhetően az OTP eszközök biztonságosan kezeltek a produktív állapottól,
amíg az OTP eszközt az aláírónak át nem adja a szervezet.
Továbbá feltételezhető, hogy az OTP Radius szerveri OTP eszköz információk
megfelelően kezeltek, a felhasználói fiók státuszát is figyelembe véve.
A.OTP-USER Aláírói OTP eszközhasználat
Feltételezhető, hogy az aláíró a saját ellenőrzése alatt tartja az OTP eszközét és
minden hiányzó vagy szabotált OTP eszköz esetében az aláíró jelenti azt a
szervezetnek az aláíró fiókjának és a releváns OTP eszközének visszavonásához.
CoSign Security Target
Revision 1.19 - Confidential –
Page 31 of 133 June 2015
A.Trained&Trusted Képzett és megbízható felhasználók
Feltételezhető, hogy az összes TOE felhasználó megfelelően képzett a TOE
biztonságos használatához.
Feltételezhető továbbá, hogy a TOE adminisztrátorai megbízhatóak és kellően
képzettek a TOE és TOE környezet biztonságos telepítéséhez, konfigurációjához. Ez
azt jelenti, hogy a TOE adminisztrátorok felelősek a Radius szerver biztonságos
telepítésért, konfigurációért és működtetésért is.
4 Biztonsági célkitűzések
Ez a fejezet azonosítja és leírja a biztonsági célkitűzéseket a TOE és a műveleti
terület számára. Biztonsági célkitűzések tükrözik a megfogalmazott szándékot az
azonosított fenyegetések ellenében, akár csak az azonosított szervezeti biztonsági
politikáknak való megfelelést és feltételezéseket.
4.1 Biztonási célkitűzések a TOE részére
OT.Lifecycle_Security Életciklus biztonság
A TOE-nak érzékelnie kell a hibákat az inicializáció, megszemélyesítés és műveleti
állapot alatt. A TOE lehetőséget kell, hogy biztosítson az SCD biztonságos
megsemmisítésére.
Alkalmazáshoz megjegyzés:
A TOE több mint egy SCD-t tartalmazhat. Nincs szükség az SCD megsemmisítésére
újragenerálás esetében. Az aláírónak képesnek kell lennie az SSCD-n tárolt SCD
megsemmisítésére például a megfelelő SVD (minősített) tanúsítványának lejárata
után.
OT.SCD/SVD_Gen SCD/SVD létrehozás
A TOE biztonsági funkciókat nyújt, hogy biztosítsa, hogy csak jogosult felhasználók
kezdeményezik az SCD és SVD létrehozását.
CoSign Security Target
Revision 1.19 - Confidential –
Page 32 of 133 June 2015
OT.SCD_Unique Az aláírás-létrehozó adat egyedisége
A TOE-nak biztosítania kell az általa létrehozott SCD/SVD kulcspár kriptográfiai
minőségét, megfelelőségét a fokozott vagy minősített elektronikus aláíráshoz. Az
aláírás létrehozásához használt SCD gyakorlatilag csak egyszer fordulhat elő, és az
SVD-ből nem állítható elő. Ebben a kontextusban a „gyakorlatilag csak egyszer
fordulhat elő” azt jelenti, hogy az SCD-k egyezőségének valószínűsége
elhanyagolhatóan kicsi.
OT.SCD_SVD_Corresp SVD és SCD közti kapcsolat
A TOE-nak biztosítania kell a kapcsolatot a TOE által generált SVD és SCD között. Ez
magába foglalja a félreérthetetlen hivatkozást a létrehozott SVD/SCD párra az
exportált SVD-re és az elektronikus aláírás létrehozó SCD-re.
OT.SCD_Secrecy Az aláírás-létrehozó adat titkossága
Az SCD titkossága (aláírás létrehozásához használt) ésszerűen biztosított magas
támadási potenciálú támadások ellen.
Alkalmazáshoz megjegyzés:
Az SCD bizalmasságát a TOE-nek mindig biztosítania kell, különösen az SCD/SVD
létrehozásnál, SCD aláírói műveletnél, tárolásnál és megsemmisítésnél.
OT.Sig_Secure Az elektronikus aláírás kriptográfiai biztonsága
A TOE elektronikus aláírásokat hoz létre aminek a hamisítását az SCD erős titkosítási
technikájának ismerete nélkül nem lehet véghezvinni. Az SCD-t nem lehet
rekonstruálni az elektronikus aláírások vagy bármely egyéb TOE-ből exportált adat
használatával. Az elektronikus aláírásoknak ellenallóaknak kell lenniük az ilyen
támadások ellen, még magas támadói potenciállal való használat esetén is.
OT.Sigy_SigF Aláírás létrehozó funkció csak a jogos aláíró részére
A TOE biztosítja az aláírás létrehozó funkciót csak a jogos aláírónak, és megvédi az
SCD-t a mások általi elektronikus aláírás létrehozásához való használattól. A TOE
ellenáll a magas támadási potenciálú támadásoknak.
CoSign Security Target
Revision 1.19 - Confidential –
Page 33 of 133 June 2015
OT.DTBS_Integrity_TOE DTBS/R integritás a TOE-n belül
A TOE nem változtathat a DTBS/R-en. Ez a célkitűzés nem ütközik az aláírás-
létrehozás folyamattal ahol a TOE kriptográfiai hash funkciót alkalmaz a DTBS/R-en
hogy előkészüljön az aláírás-létrehozó algoritmus számára.
OT.EMSEC_Design Fizikai forrású biztonság nyújtása
Tervezze és építse meg a TOE-t olyan módon, hogy kontrollálja az ismert források
kibocsátását, hogy az megfelelő határok között legyen.
OT.Tamper_ID Szabotázs érzékelés
A TOE rendszer funkciókat biztosít a komponenseinek fizikai szabotázsának
érzékeléséért, és használja azokat a funkciókat ahhoz, hogy korlátozza a biztonság
megsértését.
OT.Tamper_Resistance Szabotázs ellenállás
A TOE megelőzi és ellenáll a fizikai szabotázsnak bizonyos rendszereszközökkel és
komponensekkel.
OT.Signatory_Auth Aláírói hitelesítés többfaktoros hitelesítés alapján
A TOE az SCD elérése előtt erősen hitelesíti az aláírót. A hitelesítés mind
fiókazonosító megadásán, mind jelszó alapon történik, amely statikus jelszót csak az
aláíró ismer, akár csak a dinamikus jelszót, amit az aláíró OTP eszköze jelenít meg a
kijelzójén. Az OTP validációjához a TOE a műveleti területen található Radius
szerverhez interfészel. A Radius szerver visszahívja a TOE-t az OTP validáció által
nyújtott OTP eszközinformációért. A TOE az adott OTP-t validációhoz használja. Csak
a sikeres azonosítói adatok megadása után (statikus és egyszeri jelszavak), tud az
aláíró elektronikusan aláírni.
OT.Admin_Auth Adminisztrátori hitelesítés bármilyen adminisztrátori művelet előtt
A TOE hitelesíti az adminisztrátort bármilyen adminisztrátori művelet előtt. Ez alól
kivételt képez néhány művelet, amit a TOE konzolról lehet elvégezni.
CoSign Security Target
Revision 1.19 - Confidential –
Page 34 of 133 June 2015
Ezek a műveletek: TOE hálózati paraméterek konfigurálása, TOE aktuális idő
beállítása, TOE kikapcsolás, TOE visszaállítása gyári üzemmódra és általános
paraméterek megtekintése.
A konzol szabotázst követő visszaállítás művelet esetén a biztonsági másolat token
behelyezését igényli.
OT.Account_Separation Különböző felhasználói fiókok megkülönböztetése
A TOE gondoskodik arról, hogy a felhasználói fiókok egymástól el legyenek
választva. A felhasználók csak a saját fiókjukat érikhetik majd el, és csak azokat az
SCD-ket hazsnálhatják, amik a bizonyos fiókhoz tartoznak. A TOE engedélyezi, hogy
több aláíró is végrehajtsa az elektronikus aláírás műveletet azáltal, hogy minden
egyes aláírót a saját fiókjához irányít. Minden egyes fiókhoz a TOE SCD listát, SVD-
ket és képeket kezel. A TOE gondoskodik arról, hogy az aláíró csak az ő releváns
adatait érje el.
OT.Account_Activation Egy felhasználói fiók csak egyszeri aktiválása
A TOE gondoskodik arról, hogy egy fiók csak az aláíró által lehessen aktiválható, a
mind a statikus, mind pedig az egyedi, felhasználó részére kibocsátott OTP eszköz
kijelzőjén megjelenített dinamikus jelszó használatával.
A TOE gondoskodik arról, hogy egy már aktivált fiókot ne lehessen újból aktiválni.
Csak az aláíró fiókjának sikeres aktiválása után tud majd az aláíró SCD-t létrehozni
és (minősített) tanúsítványt szerezni.
OT.UserAccountDataProtection Másolás közbeni felhasználói adatok védelme
Abban az esetben, ha a műveleti környezet egy elsődleges TOE-t és egy vagy több
alternatív TOE-t tartalmaz, a felhazsnálói adatok bizonyos időközönként biztonságos
csatornánk keresztül átmásolódnak az elsődleges TOE-ről, az alternatív TOE-ra. Az
alternatív TOE-k listáját az elsődleges TOE kezeli és tárolja. Mind a bizalmassági,
mind az adatintegritási mechanizmusok kerülnek érvényesítésre, hogy a felhasználói
információ biztosan el legyen rejtve és nem módosul, amíg átmegy az elsődleges
TOE és az alternatív TOE-k között.
OT.Keys&SecretData_Gen Főkulcs létrehozás és kezelés
TOE telepítés alatt két Triple DES főkulcsot generál a TOE. Ezeket a főkulcsokat a
szabotázs elleni eszközben tárolja.
CoSign Security Target
Revision 1.19 - Confidential –
Page 35 of 133 June 2015
A TOE telepítésének részeként a kulcsok két ugyanolyan biztonsági mentés USB
intelligens kártya tokenre kerülnek másolásra és egy későbbi állapotban a szabotázs
utáni visszaállításhoz vagy alternatív eszköz telepítéséhez felhaználhatóak.
CoSign Security Target
Revision 1.19 - Confidential –
Page 36 of 133 June 2015
4.2 Biztonsági célkitűzések a működési környezethez
OE.SVD_Auth SVD hitelessége
A műveleti környezet gondoskodik a TOE által a CGA-ba exportált SVD integritásáról.
A CGA ellenőrzi az CSP tanúsítvány genrerákó funkciójának bemeneteként nyújtott,
SSCD-ben található aláíró SCD és az SVD közöttik kapcsolatot.
OE.CGA_QCert Minősített tanúsítványok előállítása
A CGA minősített tanúsítványokat generál, amik magukba foglalják aliasként:
a TOE-t irányító aláíró nevét,
az aláíró által irányított, TOE-ben tárolt SVD-vel összeillő SCD ,
a CSP fokozott aláírása.
A CGA megerősíti a a generált tanúsítvánnyal The CGA confirms with the generated
certificate that the SCD corresponding to the SVD is stored in a SSCD.
OE.HID_VAD VAD védelme
Ha egy külső eszköz humán interfészt nyújt a felhasználói hitelesítéshez, az eszköz
gondoskodik a VAD bizalmasságáról és integritásáról, ahogy az alkalmazott
hitelesítési módszerhez szükséges a humán interfészen keresztül importáltakhoz a
TOE interfészen kereszüli importálásig.
Különös tekintettel:
A felhasználó statikus jelszavát, és az OTP eszközt is mindenkor bizalmasan kell
kezelni és senki más részére nem szabad felfedni a felhasználón kívül.
Minden megvizsgált OTP eszköz manipulálást az aláírónak jelentenie kell a TOE-t
üzemeltető szervezetnek.
OE.DTBS_Intend Az SCA elküldi a az aláírandó adatokat
Az aláíró megbízható SCA-t használ ami
az adatról DTBS/R-t generál ami DTBS-ként került bemutatásra, és amit
az aláíró alá szeretne írni olyan módon, ami TOE általi aláírásra megfelel,
CoSign Security Target
Revision 1.19 - Confidential –
Page 37 of 133 June 2015
elküldi a DTBS/R-t a TOE részére és lehetővé teszi a TOE számára a
DTBS/R integritásának ellenőrzését,
a TOE által az adathoz előállított aláírást csatolja, vagy mellékelten
biztosítja.
OE.DTBS_Protect Az SCA megvédi az aláírandó adatokat
A műveleti környezet biztosítja, hogy a DTBS/R nem volt módosítható az SCA és a
TOE közti átvitel során.
OE.SecEnv Az IT környezet Biztonságos Környezete
A műveleti környezetnek megfelelő intézkedéseket kell nyújtania hogy megvédje a
TOE-t a fizikai szabotázstól, jogosulatlan fizikai hozzáféréstől vagy jogosulatlan
hálózati hozzáféréstől.
A következő eljárásokat kell meghatározni:
1. A TOE-t a szervezet IT részleg biztosított és ellenőrzött hozzáférési területén
kell telepíteni. Senki más, csak az eszköz adminisztrátor férhet hozzá fizikailag
a eszközhöz, vagy annak környékén.
2. A TOE adminisztrátornak időnként meg kell vizsgálnia az eszköz dobozát fizikai
szabotázs bármilyen nyoma után. Az ellenérzést legalább naponta végre kell
hajtani. Speciális védelmi „plomba” csavart hozzáerősítenek két csavarhoz a
lészülék hátulján. A plombák károsodnak, ha az eszköz dobozát felnyitják. A
TOE adminisztrátornak ellenőriznie kell, hogy a plombák még mindig hozzá van
erősítve a eszközhöz, és hogy azok nem sérültek.
3. Az eszköz adminisztrátorának időszakosan ellenőriznie kell, hogy a TOE
biztonsági környezetébe nem került telepítésre semmilyen harver vagy
szoftver, ami megsértheti a TOE biztonságos környezetét. Ez magába foglalja a
hálózati forgalomfigyelőket és eszközöket, amiket időzítéses támadáshoz fel
lehet használni. Ezt az ellenőrzést legalább naponta el kell végezni.
4. Magas rendelkezésreálláshoz használt két vagy több eszköznek ugyan abban a
biztosított IT környezetben kell lennie. Minden eszközt a fentebb leírt módon
kell megvizsgálni. Továbbá, ebben az esetben egy dedikált LAN kialakítása is
kötelező. Az összes eszköz ugyan abban a LAN hálózatban kerül elhelyezésre,
így az Elsődleges Eszköz és az Alternatívak közötti kommunikáció nem a helyi
hálózaton kívül történik.
5. Az eszköz elülső panelén elhelyezkedő fizikai ajtót becsukva kell tartani és az
eszköz adminisztrátor felügyelete alatt tartott fizikai kulccsal be kell zárni.
6. Néhány eszköz adminisztrációs feladatot a TOE konzolon keresztül kell
elvégezni. A műveletek magukba foglalják az általános rendszer konfigurációt,
mint a TOE aktuális idejének beállítását és a TOE hálózati paramétereinek
beállítását.
CoSign Security Target
Revision 1.19 - Confidential –
Page 38 of 133 June 2015
Ezek a műveletek nem igénylik az eszköz adminisztrátor hitelesítését és a
környezet fizikai biztonságára, illetve a fizikai ajtó védelemre támaszkodnak.
7. A műveleti környezet az OTP Radius szervert is magába foglalja. A TOE eléri
at OTP Radius szervert az OTP validációért, amit a TOE visszahívásával végez
el. Az OTP Radius-t védeni és ellenőrizni kell az elsődleges vagy alternatív
TOE-hoz hasonlóan.
OE.TOEConfig TOE konfiguráció [6]-ban megadott ajánlások szerint
A TOE Előkészítő Eljárásoknak
Figyelembe kell venniuk a [6]-ban megfogalmazott ajánlásokat a hash
funkció és a tanúsítvány csomagok időbeli ellenállóságával kapcsolatban, és
az eszköz adminisztrátor számára egyértelmű irányelveket kell adni amik
szerint a hash funkciók és aláírás csomagok „használhatóak” (a [6] szerint)
és TOE telepítés alatt konfigurálható.
Adjon egyértelmű irányelveket az eszköz adminisztrátornak, hogy biztosítsa
a szigorú megfelelést a [6] minden előírt esetében.
Adjon egyértelmű irányelveket az eszköz adminisztrátornak hogy az összes
előírt esetben kötelező a legutóbbi verziónak [7] való szigorú megfelelőség
biztosítása érdekében vagy alternatívaként annak megerősítése, hogy a
körülmények a meghosszabbított megfelelőséghez [7] még megfelelőek.
OE.OTP_Devices_Profiles OTP eszközök Biztonságos Kezelése
Az OTP eszközök kezelése biztonságos módon zajlik az OTP eszköz teljes életciklusa
alatt, a TOE hatályán kívül eső eljárási eszközökkel, az OTP eszköz gyártástól, az
eszköz szervezeti elfogadásán át az eszközprofil Radius szerverbe történő
feltöltéséig. A biztonságot fenntartják, amikor az OTP eszközt hozzárendelik a
felhasználóhoz, és amikor elküldik az OTP eszközt a felhasználónak.
Biztosítani kell, hogy:
Tilos az OTP eszköz cseréje egy felhasználó számára miután a fiókot aktiválták,
a felhasználói fiókot vissza kell vonni és egy új fiókot kell létrehozni a
felhasználó számára.
Tilos bizonyos felhasználó OTP eszközét más felhasználóhoz rendelni
Tilos egy konkrét OTP eszközt kirendelni több felhasznó számára
A felhasználónak fenn kell tartania az OTP eszköz bizalmasságát és jelentenie kell
bármikor, ha az OTP eszközt bármilyen szabotázs éri.
OE.OTP_Radius_Server Biztonságos Szerver az OTP eszköz adatai
számára
CoSign Security Target
Revision 1.19 - Confidential –
Page 40 of 133
June 2015
A TOE a Radius protokollon keresztül interfészeli az OTP Radius szervert, és megadja
az aláírói azonosítót egy mesterséges OTP-vel (a mesterséges OTP az eredeti OTP
hash értéke és a Radius Protokoll teljessége érdekében használják, a tényleges OTP
ellenőrzés az aláíró által megadott OTP alapján történik és a TOE-ben kerül
végrehajtásra). A RAdius szerver visszahívja a TOE-t a tényleges OTP ellenőrzésért.
Az OTP Radius szerver kezeli az összes felhasználói és OTP eszköz információkat,
ami szükséges az OTP ellenőrzéséhez. A Radius szerver megvédi az OTP eszköz RAD
bizalmasságát és integritását akkor is, amikor az a TOE felé utazik.
OE.Activation_Password Aktivációs jelszó küldésének Biztonságos
Kezelése
A jelszó, amit a felhasználó használ a fiókaktiváció állapot részeként a TOE hatályán
kívül eső eljárási eszközökkel. Ezt a felhasználó adminisztrátor kezeli ahol a jelszót a
felhasználó részére biztonságos módon megküldik. Szigorú politika szükséges ami
biztosítja, hogy az aktivációs folyamat nem lesz felfedve.
OE.Account_Activation Aláírói fiók aktiválás
Csak az aláíró hivatalos beleegyezésével, hogy ő elvégezte az aktivációs eljárást fog
a CA tanúsítványt létrehozni az aláíró részére, és a megfelelő aktiváló dátum a a
fiók TSF audit naplójában van. Abban az esetben, ha az aláíró értesítést kap arról,
hogy a fiókját már aktiválták, az aláírónak azonnal fel kell vennie a kapcsolatot a
szervezettel a fiókjának visszaélésének gyanújával.
OE.BKP-USB A TOE biztonsági mentés USB biztonságos
helyentörténő tárolása
Mindkét USB token a 3DES főkulcsokat tartalmazza, amit a TOE generál a telepítő
fázis alatt és biztonságos helyen kell őket tárolni, mint például egy széfben és egy
kijelölt admnisztratív személy felelőssége kell, hogy legyen. Ez az adminisztratív
személy nem férhet hozzá a TOE biztosított környezetéhez. Ez a kijelölt
adminisztratív csak abban az esetben érheti el az eszköz biztosított környezetét az
eszköz adminisztrátor felügyelete mellett, ha szabotázs eseményt követően
visszaállítás szükséges. Ebben az esetben a kijelölt adminisztratív személy fizikailag
behelyezi a biztonsági mentést tartalmazó USB eszközt a TOE-be a szabotázst
követő visszaállítás művelet részeként.
Az eszköz adminisztrátornak csak akkor szabad elvégeznie a szabotázst követő
visszaállítás műveletet, ha teljes mértékben biztos, hogy az eszköz ellenőrzött
körülmények között lett felnyitva.
CoSign Security Target
Revision 1.19 - Confidential –
Page 41 of 133
June 2015
Ha a szabotázs esemény a biztonság sérülésének részeként történt, akkor tilos
végrehajtani a szabotázst követő visszaállítás műveletet annak a kockázata miatt,
hogy az eszközt produktív üzemmódba hozva a belső információ kompromittálódhat,
mint például az aláírói kulcsok.
OE.OTP-CHAR OTP eszköz jellemzők
A használt OTP eszköz, amit az aláíró hitelesítéséhez használnak, a következő
jellemzői kell, hogy legyenek:
Az OTP eszközt nem lehet duplikálni.
Az OTP eszköznek rendelkeznie kell szabotázs bizonyítási mechanizmusokkal
vagy szabotázs válasz mechanizmusokkal.
Minden OTP eszköz egyedi azonosítókal kell, hogy rendelkezzen.
CoSign Security Target
4.3 Biztonsági célkitűzés indoklása
4.3.1 Biztonsági célkitűzések és biztonsági probléma leírások közti megfeleltetés
A következő táblázat lehetővé teszi a biztonsági célkitűzések és biztonsági probléma leírások közti megfeleltetést.
Fenyegetések
-Politikák-
Következtetés
ek /Biztonsági
célkitűzések O
T.E
MS
EC
_D
esig
n
OT.L
ifecycle
_S
ecu
rit
y
OT.S
CD
_S
ecrecy
OT.S
CD
_S
VD
_C
orresp
OT.T
am
per_
ID
OT.T
am
per_
Resis
tan
ce
OT.S
CD
/S
VD
_G
en
OT.S
CD
_U
niq
ue
OT.S
igy_
Sig
F
OT.D
TB
S_
In
teg
rit
y_
TO
E
OT.S
ig_
Secu
re
OT.S
ign
ato
ry_
Au
th
OT.A
dm
in_
Au
th
OT.A
cco
un
t_S
ep
ara
tio
n
OT.A
cco
un
t_A
cti
vati
on
OT.U
serA
ccou
ntD
ata
Pro
te
OT.K
eys&
SecretD
ata
_G
en
OE.C
GA
_Q
Cert
OE.S
VD
_A
uth
OE.H
ID
_V
AD
OE.D
TB
S_
In
ten
d
OE.D
TB
S_
Pro
tect
OE.S
ecEn
v
OE.T
OE
Co
nfi
g
OE.O
TP
_D
evic
es_
Pro
file
s
OE.O
TP
_R
ad
ius_
Server
OE.A
cti
va
tio
n_
Pa
ssw
ord
OE.A
ccou
nt_
Acti
vati
on
OE.B
KP
-US
B
OE.O
TP
-C
HA
R
T.Hack_Phys X X X X X X
T.SCD_Divulg X X X X
T.SCD_Derive X X
T.Sig_Forgery X X X X X X X X X X X
T.SVD_Forgery X X
T.DTBS_Forgery X X X
T.SigF_Misuse X X X X X X X X X X X X X X
T.Expos_TOE_DISK X X X X X
P.CSP_QCert X X X
P.QSign X X X X
P.Sigy_SSCD X X X X X X X X X X X X X X X X X X X X X X
P.Sig_Non-Repud X X X X X X X X X X X X X X X X X X X X X X X X
Revision 1.19 - Confidential –
Page 42 of 133
June 2015
A.T
rain
ed
&T
ru
ste
d
A.O
TP
-U
SE
R
A.O
TP
-M
GM
T
A.B
KP
-US
B
A.T
OE
Co
nfig
A.S
ecE
nv
A.S
CA
A.C
GA
Fe
nye
ge
tése
k
-P
olitik
ák
-
Kö
ve
tkezte
tés
ek /
Biz
ton
ság
i
cé
lkitű
zé
se
k
OT.EMSEC_Design
OT.Lifecycle_Security
OT.SCD_Secrecy
OT.SCD_SVD_Corresp
OT.Tamper_ID
OT.Tamper_Resistance
OT.SCD/SVD_Gen
OT.SCD_Unique
OT.Sigy_SigF
OT.DTBS_Integrity_TOE
OT.Sig_Secure
OT.Signatory_Auth
OT.Admin_Auth
OT.Account_Separation
OT.Account_Activation
OT.UserAccountDataProte
OT.Keys&SecretData_Gen
X OE.CGA_QCert
X OE.SVD_Auth
X OE.HID_VAD
X OE.DTBS_Intend
OE.DTBS_Protect
X X OE.SecEnv
X OE.TOEConfig
X
X
X OE.OTP_Devices_Profiles
X OE.OTP_Radius_Server
X OE.Activation_Password
X OE.Account_Activation
X OE.BKP-USB
X
X OE.OTP-CHAR
Co
Sig
n S
ecu
rity
Targ
et
1. T
áb
láza
t - Biz
ton
ság
i célk
itűzés
ek é
s b
izto
nság
i pro
blé
ma le
íráso
k m
eg
fele
lteté
se
köztim
egfeleltetés
4.3
.1
Biz
ton
sá
gi c
élk
itűzése
k é
s b
izto
nsá
gi p
rob
lém
a le
írás
ok k
özti
meg
fele
lteté
s
4.3
.2
Biz
ton
sá
gi c
élk
itűzése
k é
s b
izto
nsá
gi p
rob
lém
a le
írás
ok k
özti
meg
fele
lteté
s
Revis
ion 1
.19
- Confid
entia
l –
Page 4
3 o
f 133
June 2
015
CoSign Security Target
Revision 1.19 - Confidential –
Page 44 of 133
June 2015
4.3.2 A megfeleltetés indokolása
Az alábbiakban következik a fentebbi megfeleltetés indokolása:
4.3.2.1 OSP-k és biztonsági célkitűzés elégségesség
P.CSP_QCert (CSP minősített tanúsítványokat állít elő) létrehozza a CSP
minősített vagy nem minősített tanúsítvány előállítást az aláíró és az SSCD-ben
implementált SVD összekapcsolásával az aláíró kizárólagos felügyeletével.
P.CSP_QCert célja a:
a TOE biztonsági célkitűzés OT.Lifecycle_Security-nak, ami előírja a TOE
számára, hogy az érzékelje a hibákat az inicializáció, a megszemélyesítés és a
műveleti állapot alatt,
a TOE biztonsági célkitűzés OT.SCD_SVD_Corresp-nak, ami előírja a TOE
számára, hogy gondoskodjon az SVD és az SCD közti összhangról a
létrehozásuk alatt, és
a műveleti környezet részére biztondági célkitűzés OE.CGA_QCert-nak, a
minősített és nem minősített tanúsítványok létrehozásához, ami megköveteli a
CGA-t hogy hitelesítse az SVD-hez kapcsolódó SCD-t ami a TOE-ben kerül
implementálásra az aláíró kizárólagos felügyeletével.
P.QSign (Minősített elektronikus aláírások) biztosítja, hogy a TOE és az SCA
hogy adat aláírásához használhatóak legyenek fokozott elektronikus aláírással, ami
minősített elektronikus aláírás, ha érvényes minősített tanúsítványra épül.
OT.Sigy_SigF gondoskodik az aláíró kizárólagos SCD felügyeletéről azzal, hogy
előírja a TOE részére az aláírás létrehozó funkció nyújtását csak a jogos aláíró
számára és az SCD megvédéséhez a mások általi felhasználástól. OT.Sig_Secure
gondoskodik arról, hogy a TOE elektronikus aláírást hozzon létre, amit nem lehet
meghamisítani az SCD tudta nélkül, az erős titkosítási techchnikákon keresztül.
OE.CGA_QCert megcélozza a minősített vagy nem minősített elektronikus
tanúsítvány követelményeit az elektronikus aláírás alapját építve. A
OE.DTBS_Intend gondoskodik arról, hogy az SCA csak azon DTBS-t biztosítja a
TOE számára amiket az aláíró alá akar írni.
P.S igy_SSCD (TOE mint biztonságos elektronikus aláírás-létrehozó eszköz)
előírja a TOE számára a 3. Mellékletnek való megfelelést. Ezt az alábbiak
biztosítják:
OT.SCD_Unique megfelel a 3. Melléklet 1 paragrafus (a) pontjának azon
előírások tekintetében, hogy az aláírás létrehozásához gyakorlatilga egy szer
szerepel az SCD;
OT.SCD_Unique, OT.SCD_Secrecy és OT.Sig_Secure megfelel a 3.
Melléklet 1 paragrafus (a) pontjának azon előírások tekintetében, hogy
gondoskodik az SCD titoktartásáról. OT.EMSEC_Design és
OT.Tamper_Resistance cím specifikus célkitűzések, hogy az SCD
titoktartását biztosítsák bizonyos támadások ellenében;
CoSign Security Target
Revision 1.19 - Confidential –
Page 45 of 133
June 2015
OT.SCD_Secrecy, OT.Sig_Secure, OT.UserAccountDataProtection,
OE.SecEnv, OT.Keys&SecretData_Gen és OE.BKP-USB megfelel a 3.
Melléklet 1 paragrafus (b) pontjának azon előírások tekintetében, hogy
biztosítja, hogy az SCD nem származtatható az SVD-ből, az elektronikus
aláírásból vagy bármely más adatból, amit a TOE-n kívülre exportáltak.
Különösen:
- OT.UserAccountDataProtection lefedi az SCD titoktartással
kapcsolatos aspektusokat az elsődleges TOE-ről egy alternatívba történő
SCD másolása esetén, amikor a TOE magas rendelkezésreállás
konfigurációjának 2. üzemmódjában van,
- OE.SecEnv lefedi a TOE műveleti területének fizikai szabotázs,
jogosulatlan fizikai hozzáférés vagy jogosulatlan hálózati hozzáférés elleni
védelmével kapcsolatos aspektusokat.
- OT.Keys&SecretData_Gen biztosítja, hogy a kulcstitkosító kulcsok
megfelelően generáltak és biztonságos módon vannak tárolva.
- OE.BKP-USB lefedi az SCD titkossággal kapcsolatos aspektusokat
köszönhetően:
o biztonságos helyen belüli alapos védelemnek akár a széf a Triple Des
főkulcsoknak, amikkel az SCD-t titkosítja a TOE belső adatbázisában
és
o csak az eszköz adminisztrátor kap fizikai hozzáférést az USB
tokenhez, ami a fentebb említett Triple Des főkulcsokat tartalmazza,
hogy végrehajtsa a szabotázst követő visszaállítás műveletet vagy
egy alternatív eszköz telepítését.
OT.Sigy_SigF megfelel a 3. Melléklet 1 paragrafus (c) pontjának azon
előírások tekintetében, hogy gondoskodik arról, hogy csak a jogosult aláírók
részére nyújta az aláírás létrehozás funkciót és megvédi az SCD-t mások
általi használattól;
OT.DTBS_Integrity_TOE megfelel a 3. Melléklet 2. paragrafusának, mivel a
TOE soha nem módosíthatja a DTBS/R-t.
A 3. Melléklet 2. paragrafusának előírását, mely szerint egy SSCD nem akadályozza
meg az aláírandó adat bemutatását az aláírónak az aláírói folyamatot megelőzően a
TOE eljárásainak használatával nyilvánvalóan teljesíti: az SCA bemutatja a DTBS-t
az aláíró számára és elküldi azt az SSCD-nek aláírásra.
OE.DTBS_Intend gondoskodik arról, hogy megbízható SCA generálja az adat
DTBS/R-ét, ami DTBS-ként kerül bemutatásra, és amit az aláíró alá akar írni a TOE
aláírásához számára megfelelő formában.
Az SCD aláíró általi kizárólagos használata biztosított:
OT.Lifecycle_Security előírja a TOE számára hogy inicializáció,
megszemélyesítés és a műveleti használat alatt észlelje a hibákat,
CoSign Security Target
Revision 1.19 - Confidential –
Page 46 of 133
June 2015
OT.SCD/SVD_Gen, ami az SCD és SVD generálás kezdeményezését csak
hitelesített felhasználókra korlátozza,
OT.Sigy_SigF, ami előírja a TOE számára, hogy csak a a jogosult aláíró
részére nyújtson aláírás létrehozás funkciót, és védje az SCD-t a mások általi
felhasználástól.
Továbbá a következő intézkedéseket foganosítják az aláíró SCD feletti kizárólagos
irányításának elősegítéséhez:
OT.Admin_Auth leírja, hogy csak egy adminisztrátor tud aláírói fiókot és
aktivációs fiókot indítani az aláíró részére. OT.Account_Activation leír egy
aktivációs folyamatot amit az aláírónak kell végrehajtania. Az aláírónak meg
kell adnia az aktivációs jelszót és az egyedi OTP eszközt.
Az OE.Activation_Password , OE.OTP_Devices_Profiles és
OE.OTP_Radius_Server azt célozzák meg, hogy egyénileg legyen képes az
aláíró elvégezni a fiók aktivációt, így kizárólagos az irányítása a fiókja felett.
Az OE.Account_Activation azt célozza meg, hogy a fentebbi esetben
kizárja az aláíró fiókjával való visszaélést, így megtiltva a minősített
tanúsítvány bárminemű létrehozását olyan fiók számára, amit nem aktiváltak
megfelelően.
Az OT.Signatory_Auth és a OE.OTP_Radius_Server kétfaktoros tart fenn
minden elektronikus aláírás művelethez.
Az OE.OTP-CHAR megbizonyosodik arról, csak olyan OTP eszközök, amik
megfelelnek az előírt jellemzőknek használhatóak aláírói hitelestéshez.
Az OT.Account_Separation kizárja a lehetőségét annak, hogy egy meglévő
TOE aláíró más aláíró SVD-jét használja.
P.Sig_Non-Repud (Aláírások letagadhatatlansága) foglalkozik az aláíró által aláírt
adat letagadhatatlanságával, mivel az elektronikus aláírást sikeresen ellenőrizték az
SVD-vel, amit tartalmaz a tanúsítványa, ami az aláírás létrehozásának időpontjában
érvényes volt. Ezt a politikát a TOE és a műveleti környezetének biztonsági
célkitűzéseinek kombinálásával implementálják, ami biztosítja az aláíró kizárólagos
irányításánka és felelősségének aspektusait a TOE által előállított elektronikus
aláírásokért. OE.CGA_QCert gondoskodik arról, hogy a tanúsítvány engedi az aláíró
azonosítását, így az SVD-t az aláíróhoz kapcsolja. OE.SVD_Auth és
OE.CGA_QCert előírja a környezet számára, hogy biztosítsa az SVD hitelességét,
mivel azt azt az aláíró kizárólagos irányítása alatt exportálja a TOE-ből és használja.
OT.SCD_SVD_Corresp biztosítja, hogy a TOE által exportálta SVD kapcsolódik az
SCD-hez, amit a TOE-ban implementálnak. OT.SCD_Unique biztosítja, hogy az
aláíró SCD-je gyakorlatilag csak egyszer fordul elő.
OT.Sigy_SigF biztosítja, hogy csak az aláíró használhatja a TOE-t aláírás
létrehozásához. Mint előkövetelmény OE.DTBS_Intend, OE.DTBS_Protect és
OT.DTBS_Integrity_TOE biztosítják, hogy csak olyan DTBS/R részére állítanak elő
aláírást aminek a DTBS változatát az aláíró alá akarja írni.
CoSign Security Target
Revision 1.19 - Confidential –
Page 47 of 133
June 2015
Az erős kriptográfiai technikák, amiket az OT.Sig_Secure megkövetel biztosítják,
hogy csak az az SCD hozhat létre érvényes elektronikus aláírást ami sikeresen
ellenőrzihező a hozzá tartozó SVD-vel amit aláírás ellenőrzéshez használnak. A
biztonsági célkitűzés a TOE OT.Lifecycle_Security (Életciklus biztonság),
OT.SCD_Secrecy (Aláírás-létrehozó adat titkossága), OT.EMSEC_Design (Fizikai
kibocsátás biztonságot biztosít), OT.Tamper_ID (Szabotázs észlelés) és
OT.Tamper_Resistance (Szabotázs ellenállás) számára, hogy az SCD bármilyen
sérülés ellen védett legyen.
Továbbá a felhasználói fiók életciklust az OT.Admin_Auth ,
OT.Account_Activation, OE.OTP_Devices_Profile, OE.OTP_Radius_Server,
OE.Activation_Password és OE.Account_Activation használata alapozza meg.
Miután a fiókot aktiválták, OT.Signatory_Auth, OE.OTP_Radius_Server,
OT.Account_Separation, OE.OTP-CHAR and OE.HID_VAD, biztosítja, hogy az
aláírón kívül senki más nem férhet hozzá és használhatja az aláírói SCD-t.
4.3.2.2 Fenyegetések és biztonsági célkitűzések elégségesség
T.Hack_Phys (Fizikai támadás a TOE interfészeken keresztül) a TOE fizikai
sebezhetőségeit kihasználó fizikai támadásokkal foglalkozik. OT.SCD_Secrecy
megőrzi az SCD titkosságát. OT.EMSEC_Design leszámol a TOE interfészein
keresztül érkező fizikai támadásokkal és vizsgálja a TOE kibocsátásokat.
OT.Tamper_ID és OT.Tamper_Resistance leszámol a T.Hack_Phys fenyegetéssel
a szabotázs támadások érzékelésével és ellenük való ellenállással.
Továbbá OE.SecEnv kiegészítő mechanizmusokat nyújt a fizikai támadásokkal való
leszámoláshoz. Az OT.UserAccountDataProtection biztosítja az RAD és más
felhasználói adat integritását, amikor az adat replikációja történik az elsődleges és az
alternatív TOE-k között, bármilyen fiókadat integritási probléma esetén megtagadja
az aláíró fiókjának SCD használatát.
T.SCD_Divulg (Tárolás, másolás és aláírás-létrehozó adat kibocsátás)
megcélozza az elektronikus aláírás jogi érvényét veszélyeztető fenyegetést amit az
SCD TOE-n kívüli tárolása és másolása okoz, ahogy a Direktíva [1] 18. cikke kifejti.
Ez ellen a fenyegetés ellen lép fel az OT.SCD_Secrecy ami biztosítja az aláírás
létrehozásához használt SCD titkosságát.
OE.SecEnv biztosítja, hogy a TOE nem kerül a szervezet IT részlegének biztosított
környezetén kívülre.
OT.Keys&SecretData_Gen biztosítja, hogy a kulcsot titkosító kulcsokat
megfelelően hozták létre és biztonságos módon tárolják.
OE.BKP-USB biztosítja, hogy a biztonsági mentés tokent szigorúan biztonságos
módon tárolják és csak dedikált célokra használják a biztosított környezeten belül.
CoSign Security Target
Revision 1.19 - Confidential –
Page 48 of 133
June 2015
T.SCD_Derive (Aláírás-létrehozó adat származtatása) az SCD ellen a TOE által
előállított publikusan ismert adatokon, az SVD és az SCD által létrehozott aláírásokon
keresztül irányuló támadásokkal foglalkozik. Ez ellen a fenyegeés ellen az
OT.SCD/SVD_Gen biztosítja a kriptográfiailag biztonságos SCD/SVD pár
létrehozását.
OT.Sig_Secure biztosítja a kriptográfiailag biztonságos elektronikus aláírásokat.
T.Sig_Forgery (Elektronikus aláírás hamisítása) a nem észlelhető elektronikus
aláírás hamisítással foglalkozik. OT.Sig_Secure, OT.SCD_Unique és
OE.CGA_Qcert általánosságban ezt a fenyegetést célozza meg. Az OT.Sig_Secure
(Az elektronikus aláírás kriptográfiai biztonsága) erős kriptográfiai technikákkal
biztosítja az aláírt adat és az elektronikus aláírás biztonságosan össze vannak
kapcsolva. OT.SCD_Unique biztosítja, hogy ugyan az az SCD nem generálható
egynél többször, és a hozzá kapcsolódó SVD véletlenül se szerepelhet más
tanúsítványban. OE.CGA_Qcert megelőzi a tanúsítvány hamisítását az
összekapcsolt SVD miatt, mivel hamis verifikációs döntést eredményezhet hamis
tanúsítvány alapján.
Továbbá az aláírói fiók életciklusát az OT.Admin_Auth, OT.Account_Activation,
OE.OTP_Devices_Profile, OE.OTP_Radius_Server , OE.Activation_Password
és OE.Account_Activation használatával valósítják meg. Miután a fiókot aktiválták,
OT.Signatory_Auth, OE.OTP_Radius_Server és OT.Account_Separation
biztosítja, hogy az aláírón kívül senki más nem férhet hozzá és használhatja az
aláírói SCD-t.
T.SVD_Forgery (Aláírás-ellenőrző adat hamisítása) az SVD hamisításával
foglalkozik, amit a TOE exportál a CGA-ba a tanúsítvány létrehozásához.
T.SVD_Forgery az OT.SCD_SVD_Corresp által van megcélozva, ami biztosítja a
kapcsolatot az SVD és az SCD között és félreérthetetlen hivatkozás az SVD/SCD
párra az SVD exportáláshoz és az SCD általi aláírás létrehozásához, és az
OE.SVD_Auth biztosítja a TOE által a CGA-ba exportált SVD integritását.
T.DTBS_Forgery (DTBS/R hamisítása) azt a fenyegetést célozza meg, ami abból az
adatmódosításból ered amit a TOE aláírás-létrehozó funkciójának bemenetére
küldenek ami nem azt a DTBS-t reprezentálja, ami az aláírónak bemutatásra került
és amivel kapcsolatban az aláíró kifejezte az aláíási szándékát. A TOE IT környezete
megcélozza a T.DTBS_Forgery-t az OE.DTBS_Intend eljárásaival, ami biztosítja,
hogy a megbízható SCA hozza létre a DTBS/R-t az adatból, ami DTBS-ként
bemutatásra került, és amit az aláíró alá akar írni olyan formában, ami alkalmas a
TOE általi aláírásra, és a OE.DTBS_Protect eljárásaival, amik biztosítják, hogy a
DTBS/R-t nem lehetett módosítani az SCA és TOE közötti úton. A TOE számol ezzel a
fenyegetéssel az OT.DTBS_Integrity_TOE eszközeivel, a DTBS/R TOE-n belüli
integritásának biztosításával.
CoSign Security Target
Revision 1.19 - Confidential –
Page 49 of 133
June 2015
T.SigF_Misuse (Visszaélés a TOE aláírás-létrehozó funkciójával) a TOE
aláírás-létrehozó funkciójával való visszaéléses fenyegetést célozza meg, mely során
az SDO-t más használja elektronikus aláírás létrehozására mint az aláíró, olyan
adaton aminek aláírási szándékáról az aláíró nem nyilatkozott, ahogyan azt a 3.
Melléklet 1 paragrafusának (c) pontjában követelmény. OT.Lifecycle_Security
(Életciklus biztonság) előírja a TOE számára hogy az érzékelje az inicializálás, a
megszemélyesítés és a műveleti használat alatt bekövetkező hibákat, beleértve az
SCD biztonságos megsemmisítését amit az aláíró kezdeményezhet. OT.Sigy_SigF
(Aláírás létrehozó funkció csak a jogos aláíró részére) biztosítja, hogy a TOE csak a
jogos aláíró részére biztosítja az aláírás-létrehozó funkciót. OE.DTBS_Intend (Az
aláírandó adat) gondoskodik arról, hogy az SCA csak olyan adatoknak a DTBS/R
részét küldi el, amit az aláíró alá akar írni, és OE.DTBS_Protect számol a DTBS
manipulációval az SCA és a TOE közötti DTBS átvitel alatt.
OT.DTBS_Integrity_TOE (TOE-n belüli DTBS/R integritás) megelőzi a DTBS/R
módosítást a TOE-n belül. Ha az SCA humán interfészt biztosít a felhasználói
hitelesítéshez, OE.HID_VAD (VAD védelme) biztosítja a bizalmasságát és
integritását a VAD-nak, ahogy azt az alakalmazott autentikációs eljárás szükségessé
teszi.
Továbbá a létrehozott aláírói fiók életciklus használja az OT.Admin_Auth,
OT.Account_Activation, OE.OTP_Devices_Profile, OE.OTP_Radius_Server,
OE.Activation_Password és OE.Account_Activation. Ha a fiókot aktiválták,
OT.Signatory_Auth, OE.OTP_Radius_Server és OT.Account_Separation
biztosítja, hogy az aláírón senki más nem érheti el és használhatja a felhasználói
SCD-t.
T.Expose_TOE_Disk (TOE tampering and accessing the TOE internal disk)
addresses the threat of exposing the internal disk of the TOE that includes sensitive
information such as the SCD of the signatories.
OT.SCD_Secrecy, OT.Keys&SecretData_Gen and OE.BKP-USB will eliminate the
ability of an attacker to get SCD value since all signature keys are encrypted based
on the value of CoSign Critical Key 1 that is kept one Backup USB Token as well as
the static password of the signatory.
OT.Tamper_ID and OT.Tamper_Resistance remove the Critical Keys values from
any volatile and non volatile memory inside the TOE in case of tamper.
4.3.2.3 Feltevések és biztonsági célkitűzés elégségesség
A.CGA (Megbízható aláírás-létrehozó alkalmazás) létrehozza az aláíró nevének
és az SVD hitelesítés-védelmét a minősített tanúsítványban a CSP fokozott
aláírásával a CGA eljárásain keresztül. Ezt a OE.CGA_QCert (Minősített
tanúsítványok generálása) célozza meg, ami gondoskodik az OE.SVD_Auth (SVD
hitelessége) általi minősített tanúsítványok létrehozásáról, ami biztosítja az SVD és
az aláíró SSCD által implementált SCD közti kapcsolat integritásának védelmét és
ellenőrzését végzi.
CoSign Security Target
Revision 1.19 - Confidential –
Page 50 of 133
June 2015
A.SCA (Megbízható aláírás-létrehozó alkalmazás) megalapozza az SCA
megbízhatóságát a DTBS/R generálásra való tekintettel. Ezt az OE.DTBS_Intend
(Az aláírni szándékozott adat) célozza meg, ami biztosítja hogy az SCA létrehozza a
DTBS/R-t az adat részére amit az aláíró bocsátott a rendelkezésére mint DTBS és
amit az aláíró al alá akar írni a TOE számára aláíráshoz megfelelő formában.
A.SecEnv (Biztonságos környezet) megalapozza az elégséges eljárásokat a TOE
védelmére fizikai szabotázs ellen, amit a környezet nyújt. Ezt az OE.SecEnv célozza
meg, ami biztosítja, hogy a környezet biztosítja a megkövetelt védelmet.
A.TOEConfig (TOE konfiguráció) megalapozza az elégséges eljárásokat hogy
biztosítsa, hogy a TOE konfigurációs folyamatok figyelembe veszik a [6]-ban
megfogalmazott ajánlásokat az hash funkciók ellenállásáról és az aláírás csomagok
(hivatkozással a specifikus kriptográfiai kulcshosszokra) időbeli ellenállásáról.
Továbbá egyértelmű útmutatást ad az eszköz adminisztrátornak hogy az összes
előírt esetben kötelező a legutóbbi verziónak [7] való szigorú megfelelőség
biztosítása érdekében vagy alternatívaként annak megerősítése, hogy a körülmények
a meghosszabbított megfelelőséghez [7] még megfelelőek. Ezt az OE.TOEConfig
célozza meg, ami gondoskodik arról, hogy csak „használható” hash funkciók és
aláírás csomagok, meg „használható” algoritmus kell a TOE és a TOE kliense közötti
biztonságos csatorna felállításához, ami a TOE telepítése közben kerül
konfigurálásra.
A.BKP-USB (Biztonsági mentés USB token) létrehozza az elégséges eljárásokat
az aláírói SCD részleges lelepleződése ellen védi a TOE-t. Ezt az OE.BKP- USB
célozza meg, ami biztosítja, hogy a biztonsági mentés USB tokent nem használhatja
más támadó, aki irányítást szerezett a TOE belső merevlemezéhez.
A.OTP-MGMT (OTP eszközkezelés) létrehozza az elégséges eljárásokat a TOE
védelmére a jogosulatlan hozzáférés ellen, ami OTP eszközök az OTP gyártótól a
szervezet IT részlegére történő szállításával és az OTP eszközöknek a szervezet IT
részlegétől az aláírókhoz történő szállításával kapcsolatos. Ezt az
OE.OTP_Devices_Profiles célozza meg, ami gondoskodik az OTP eszközök
biztonságos életciklusáról a gyári állapottól amíg az eszközt át nem adják az
aláírónak és az OE-OTP-CHAR ami biztosítja az OTP eszközök jellemzőit megfelelő
az OTP eszközök kezelésére a teljes kezelési életciklus alatt.
CoSign Security Target
Revision 1.19 - Confidential –
Page 51 of 133
June 2015
A.OTP-USER (OTP aláírói eszközhasználat) létrehozza az elégséges eljárásokat a
TOE védelmére a jogosulatlan hozzáférés ellen, ami kapcsolódik az aláíró OTP
eszközének jogosulatlan használatához. OE.OTP-CHAR gondoskodik arról, hogy
csak megfelelő OTP eszközöket használjanak az aláíró hitelességének bizonyítására a
bemutatott statikus jelszóval mielőtt az SCD-t elektronikus aláírás művelethez
használná. OE.HID_VAD biztosítja, hogy az OTP eszköz aláírói használata nem
kompromittálja az OTP eszközt. Az aláírónak bizalmasan kell kezelni az OTP
eszközét, és bármilyen feltételezett eseményt jelentenie kell a szervezetnek.
Továbbá, OE.OTP_Devices_Profiles biztosítja a biztonságos életciklusát az OTP
eszköznek és más OTP eszközöknek.
A.Trained&Trusted (Képzett és megbízható felhasználók) létrehozza az
elégséges eljárásokat a TOE védelmére a felhasználók jogosulatlan hozzáférése és az
adminisztrátorok hitelesítési információkkal való visszaélése ellen. Ezt az OE.SecEnv
célozza meg, ami gondoskodik arról, hogy a környezet biztosítja a kötelező
védelmet. OE.OTP_Devices_Profiles, OE.OTP_Radius_Server,
OE.Activation_Password és OE.Account_Activation gondoskodik arról, hogy
minden szükséges lépést megtesznek, hogy lehetővé tegyék az aláíró
kizárólagos irányításának fenntartását a TOE fiókja felett.
4.4 Következtetés
Minden fenyegetéssel számolnak, minden OSP-t végrehajtanak és minden
feltételezésnek helyt adank.
CoSign Security Target
Revision 1.19 - Confidential –
Page 52 of 133
June 2015
5 Kibővített komponensleírás Kibővített FPT_EMSEC (TOE kibocsátás) család, az FPT osztály (A TSF védelme) van
itt megfogalmazva, hogy leírja a TOE IT biztonságának funkcionális követelményeit.
A TOE meg kell, hogy akadályozza az SCD és más titkos adat ellen irányult
támadásokat a TOE-n kívüli, megfigyelhető fizikai jelenségek alapján. Példák az ilyen
támadásokra az a TOE elektromágneses sugárzásának kiértékelése, egyszerű
energia analízis (SPA), differenciális energia analízis (DPA), időzítéses támadások,
rádiófrekcencia kibocsátás, stb. Ez a család leírja a követelményeket az érthető
kibocsátott adatok korlátozására. Az FPT_EMSEC család az FPT osztályhoz tartozik,
mert az egy TSF védelmi osztály. Más családok az FPT osztályon belül nem fedik le a
TOE kibocsátást.
5.1 FPT_EMSEC TOE kibocsátás
Család működése
Ez a család követelményeket ír le az értelemes adatok kibocsátásának
csökkentésére.
Komponens szintek:
FPT_EMSEC.1 TOE kibocsátás két építőelemből áll:
• FPT_EMSEC.1.1 A kibocsátás korlátozása, ami előírja, hogy TSF adathoz
vagy felhasználói adthoz ne bocsássanak ki értelmes kimenetet.
• FPT_EMSEC.1.2 Interfész kibocsátásami előírja, ami előírja, hogy TSF
adathoz vagy felhasználói adthoz ne bocsássanak ki interfész kimenetet.
Kezelés: FPT_EMSEC.1
Nincsenek elérelátható igazgatási tevékenységek.
Audit: FPT_EMSEC.1
Nincsen azonosított tevékenység aminek auditálhatónak kell lennie ha FAU_GEN
biztonsági audit adat létrehozás bele van foglalva a PP/ST-be.
FTP_EMSEC.1 TOE kibocsátás
FPT_EMSEC.1.1 A TOE ne bocsásson ki [feladat: kibocsátás típusai] azon felül,
hogy [feladat: meghatározott korlátok] lehetővé teszik a hozzáférést a [feladat:TSF
adattípusokról lista] és [feladat : felhasználói adatok típusáról lista ].
CoSign Security Target
Revision 1.19 - Confidential –
Page 53 of 133
June 2015
FPT_EMSEC.1.2 A TSF-nek biztosítania kell [feladat:felhasználók típusai] nem
tudják használni a következő interfészt [feladat: kapcsolat típusa] hogy hozzáférjen
[feladat: TSF adattípusokról lista] és [feladat: lista a felhasználói adattípusokról].
Hierarchikus: Nincs egyéb komponens
Függések: Nincs egyéb komponens.
CoSign Security Target
Revision 1.19 - Confidential –
Page 54 of 133
June 2015
6 Biztonsági követelmények
Ez a fejezet megadja a biztonsági funkcionális követelményeket (SFR) és a
biztonsági garancianyújtási követelményeket a TOE és a környezet számára.
Biztonsági funkcionális követelmény komponensek a 6.1. fejezetben biztonsági
funkcionális követelmények az FPT_EMSEC.1 kivételével, ami explicite le van írva a
Kiegészített komponens definíciós fejezetben, a Common Criteria [3] 2. részéből
származnak.
Hozzárendelési műveletek, kiválasztás és finomítás történt.
A TOE biztonság biztosíték követelmény nyilatkozat a 6.2 „TOE biztonság biztosíték
követelmény” fejezetben került megadásra, és a Common Criteria [4] 3. a biztonság
biztosíték komponensek részéből származnak.
A következő szöveges konvenciókat használják ebben a fejezetben minden SFR
részeként:
Iteráció Megengedi, hogy egy komponenst több mint egyszer felhasználjanak különböző
műveleteknél. A törtvonalat („/”) követő azonosító a komponens végén egy
iterációt jelöl.
Egy iterációra vagy hasonló iterációk csoportjára való hivatkozás esetében a
hivatkozás az iterációcsoportra fog mutatni.
Például az FDP_ACF.1.1/Activation SFP, FDP_ACF.1.2/Activation SFP,… iterációra FDP_ACF.1/Activation SFP-ként hivatkoznak.
Hozzárendelés
Engedi egy azonosított paraméter részletes leírását, és félkövérrel van jelölve.
Kiválasztás:
Engedi egy vagy több elem részletes leírását egy listából, és dőlttel van jelölve.
Finomítás:
Részletek hozzáadását engedi, Kiskapitális Félkövérrel van jelölve.
CoSign Security Target
Revision 1.19 - Confidential –
Page 55 of 133
June 2015
6.1 Biztonsági funkcionális követelmények
6.1.1 Biztonsági audit (FAU)
6.1.1.1 Biztonsági audit adatlétrehozás (FAU_GEN)
6.1.1.1.1 Audit adat létrehozás (FAU_GEN.1)
FAU_GEN.1.1 A TSF-nek képesnek kell lennie audit jegyzőkönyv készítésére
a következő auditálható eseményekről:
a) Audit funkciók elindítása, leállítása;
b) Minden auditálható esemény a [minimum] auditálási
szintig; és
c) [semmi].
FAU_GEN.1.2 A TSF-nek minden egyes audit jegyzőkönybe bele kell
foglalnia legalább az alábbi információkat:
a) Az esemény dátuma és ideje, az esemény típusa, alany
azonosító (ha alkalmazható), és az esemény kimenetele
(siker vagy kudarc); és
b) Minden egyes audit esemény típushoz az auditálható
eseményleírásokat alapul véve a funkcionális
kumponensekről a PP/ST-be (Védelmi profil/Biztonsági cél)
véve, [semmi].
Alkalmazás megjegyzés:
Következik egy táblázat az auditálható eseményekről:
Esemény Funkcionális komponens Leírás
Fiók létrehozás FDP_ACF.1/Personalisation SFP
FCS_COP.1/AUK-ENCRYPTION
FMT_SMR.1
Fiók aktiválás FDP_ACF.1/Activation SFP
FMT_MSA.2/Static-Password-RAD
Egy fiók aktiválása. Ha
a fiókot már aktiválták,
akkor hibát fog
eredményezni a
művelet ami belekerül
az audit naplóba.
Aláírói kulcs létrehozás FCS_COP.1/SIGNING
FCS_COP.1/CORRESP
FDP_ACF.1/SCD-GEN SFP
FMT_MSA.1/Signatory-SCD-GEN
Aláírói kulcs
tanúsítvány feltöltés FDP_ACF.1/Cert-IMP SFP
FMT_MSA.1/Signatory-CERT-IMP
FMT_MSA.2/SCD-Status
FDP_ITC.1/CERTIFICATE
CoSign Security Target
Revision 1.19 - Confidential –
Page 56 of 133
June 2015
Esemény Funkcionális komponens Leírás
Aláírói kulcs visszavonás FCS_CKM.4
FDP_ACC.1/Revoke-SCD SFP
FDP_ACF.1/Revoke-SCD SFP
FMT_MSA.1/Signatory-SCD-DISABLE
FMT_MSA.2/SCD-Status
FMT_REV.1/SCD
Elektronikus aláírás
művelet FCS_COP.1/SIGNING
FDP_ACF.1/Signature-Creation SFP
FMT_MSA.1/Signatory
FDP_ITC.1/DTBS
FDP_ACF.1/SVD-Transfer SFP
FDP_UIT.1/SVD-Transfer
Egy
tanúsítványkérelem
létrehozása – SVD
átvitel is generál
elektronikus aláírás
művelet eseményt
Felhasználói/Admin
jelszóváltoztatás FMT_MSA.1/Signatory-Change-
Password
FMT_MSA.1/Admin-Change-Password
FMT_MSA.2/Static-Password-RAD
FDP_ACC.1/Change-Password SFP
FDP_ACF.1/Change-Password SFP
Admin bejelentkezés FIA_UAU.1
FIA_UAU.5
Hitelesítés hibák FIA_AFL.1
FIA_UAU.1
FIA_UAU.5
FTP_TRP.1
Felhasználó feloldása FDP_ACF.1/Unlock-User SFP
Felhasználó engedélyezése FDP_ACF.1/Enable-User SFP
Felhasználó tiltása FDP_ACF.1/Disable-User SFP
Felhasználó visszavonása FMT_REV.1/User
Új/alternatív eszköz
telepítése/ Elsődleges eszköz
alternatív eszközök listájának
változtatása
FDP_IFC.1/ HA-PRI-REPL-INC-
SIGKEY SFP
FMT_SMF.1
Szabotázst követő visszaállítás FMT_MOF.1
Szabotázs érzékelés FPT_PHP.2
Audit napló letöltése FMT_SMF.1
Szoftver verziójának feltöltése FMT_SMF.1
Rendszerparaméterek
konfigurálása FMT_SMF.1
REST TLS szerverkulcs
feltöltése FMT_SMF.1
2.Táblázat - TOE auditálható események
CoSign Security Target
Revision 1.19 - Confidential –
Page 57 of 133
June 2015
6.1.1.1.2 Felhasználói azonosító kapcsolat (FAU_GEN.2)
FAU_GEN.2.1 Olyan audit eseményeknél, amik azonosított felhazsnálóktól
erednek, a TSF-nek képesnek kell lennie minden egyes
auditálható esemény összekapcsolására az eseményt okozó
felhasználó azonosítójával.
6.1.2 Kriptográfiai támogatás (FCS)
6.1.2.1 Kriptográfiai kulcskezelés (FCS_CKM)
6.1.2.1.1 Kriptográfiai kulcs létrehozása (FCS_CKM.1)
FCS_CKM.1.1/SIGNATURE-KEY
A TSF-nek a meghatározott kriptográfiai kulcs létrehozó
algoritmusnak [RSA] és a meghatározott kulcsméreteknek
[2048 és 4096 Bit] megfelelően kell a kriptográfiai
kulcsokat generálnia, amik megfelelnek a következőknek:
[[5], [6], és [9]].
FCS_CKM.1.1/SYMMETRIC-KEY
A TSF-nek a meghatározott kriptográfiai kulcs létrehozó
algoritmusnak [Triple-DES] és a meghatározott
kulcsméreteknek [192 bit] megfelelően kell a kriptográfiai
kulcsokat generálnia, amik megfelelnek a következőknek:
[[7]].
6.1.2.1.2 Kriptográfiai kulcs megsemmisítése (FCS_CKM.4)
FCS_CKM.4.1 A TSF-nek meg kell semmisítenie a kriptográfiai kulcsokat egy
meghatározott kriptográfiai kulcsmegsemmisítő eljárásnak
megfelelően [zeroization] ami megfelel a következőnek:
[FIPS 140-2, 4.7.6 fejezet].
Alkalmazás megjegyzés:
A kriptográfiai kulcs SCD az Aláíró kérésére meg lesz semmisítve. Az egész SCD
entitás is megsemmisítésre kerül. Az összes Aláírói SCD-t megsemmisítheti a
felhasználó adminisztrátor fiókvisszavonás esetén.
6.1.2.2 Kriptográfiai műveletek (FCS_COP)
CoSign Security Target
Revision 1.19 - Confidential –
Page 58 of 133
June 2015
6.1.2.2.1 Kriptográfiai műveletek (FCS_COP.1)
FCS_COP.1.1/CORRESP
A TSF-nek végre kell hajtania [az SCD/SVD kapcsolat
ellenőrzést] egy meghatározott kriptográfiai
algoritmus [RSA] és kulcsméretek [2048 bit és 4096
bit] szerint, ami megfelel a következőeknek: [[5] and
[6]].
FCS_COP.1.1/SIGNIN
G
A TSF-nek végre kell hajtania [az elektronikus
aláírás-létrehozást] egy meghatározott kriptográfiai
algoritmus [RSA] és kulcsméretek [2048 bit és 4096
bit] szerint, ami megfelel a következőeknek: [[5] and
[6]].
FCS_COP.1.1/DATA-INTEG
A TSF-nek végre kell hajtania [a MAC számítás és
ellenőrzést] egy meghatározott kriptográfiai
algoritmus [Triple-DES] és [192 bit] szerint, ami
megfelel a következőnek: [[7]].
FCS_COP.1.1/AUK-ENCRYPTION
A TSF-nek végre kell hajtania [Felhasználói
szimmetrikus kulcsú titkosítás] egy meghatározott
kriptográfiai algoritmus [Triple-DES] és [192 bit]
szerint, ami megfelel a következőnek: [[7]].
FCS_COP.1.1/KEY-ENCRYPTION
A TSF-nek végre kell hajtania [Aláíró kulcs titkosítás]
egy meghatározott kriptográfiai algoritmus [Triple-DES]
és [192 bit] szerint, ami megfelel a következőnek:
[[7]].
Alkalmazás megjegyzés:
Sikeres adatintegritási számítások, vizsgálatok és titkosító/visszafejtő műveletek
nem lesznek auditálva.
CoSign Security Target
Revision 1.19 - Confidential –
Page 59 of 133
June 2015
6.1.3 Felhasználói adatvédelem (FDP)
6.1.3.1 Hozzáférésvezérlési Politika (FDP_ACC)
6.1.3.1.1 Részhalmaz hozzáférésvezérlés (FDP_ACC.1)
FDP_ACC.1.1/Personalisation SFP A TSF-nek érvényesítenie kell a
[Personalisation SFP ] az [Alany =
Felhasználó Adminisztrátor,
Objektum = Felhasználói Fiók,
Műveletek = felhasználói fiók
létrehozás, aktiváló jelszó
beállítása egy felhasználói fiókhoz
ahol a Felhasználó Szerepköre
(User.Role)=Aláíró].
FDP_ACC.1.1/Activation SFP A TSF-nek érvényesítenie kell az
[Activation SFP ] az [Alany = Aláíró,
Objektum = Felhasználói Fiók (
Aláíró), Statikus VAD, OTP VAD,
OTP Validációs állapot, Művelet =
fiók aktiváció].
FDP_ACC.1.1/SCD-GEN SFP A TSF-nek érvényesítenie kell az [SCD-
GEN SFP] az [Alany = Aláíró,
Objektum
= Felhasználói Fiók (Aláíró),
SCD/SVD pár, Statikus VAD, OTP
VAD, OTP Validációs állapot,
Művelet = SCD/SVD pár generálás].
FDP_ACC.1.1/Cert-IMP SFP A TSF-nek érvényesítenie kell az [Cert-
IMP SFP] az [Alany = Aláíró,
Objektum
= Felhasználói Fiók (Aláíró),
SCD/SVD pár, Tanúsítvány, Művelet
= tanúsítvány importálása].
FDP_ACC.1.1/Signature-Creation SFP A TSF-nek érvényesítenie kell az
[Signature-Creation SFP] az [Alany
= Aláíró, Objektum = Felhasználói
Fiók (Aláíró), SCD/SVD pár, az SCA
által küldött DTBS/R Statikus VAD,
OTP VAD, OTP Validációs állapot,
Művelet = elektronikus aláírás].
CoSign Security Target
Revision 1.19 - Confidential –
Page 60 of 133
June 2015
FDP_ACC.1.1/SVD-Transfer SFP A TSF-nek érvényesítenie kell az [SVD
Transfer SFP] az [Alany = Aláíró,
Objektum = Felhasználói Fiók
(Aláíró), SVD, Művelet = SVD
exportálás].
FDP_ACC.1.1/Unlock-User SFP A TSF-nek érvényesítenie kell az
[Unlock-User SFP] a [Alany =
Felhasználó Adminisztrátor,
Objektum = Felhasználói fiók,
Művelet = Felhasználó feloldása].
FDP_ACC.1.1/Enable-User SFP A TSF-nek érvényesítenie kell az
[Enable-User SFP] az [Alany =
Felhasználó Adminisztrátor,
Objektum = Felhasználói fiók,
Művelet = Felhasználó
engedélyezése].
FDP_ACC.1.1/Disable-User SFP A TSF-nek érvényesítenie kell az
[Disable-User SFP] az [Alany =
Felhasználó Adminisztrátor,
Objektum = Felhasználói fiók,
Művelet = Felhasználó tiltása].
FDP_ACC.1.1/Export-Certs SFP A TSF-nek érvényesítenie kell az
[Export-Certs SFP] az [Alany = Aláíró,
Objektum = Felhasználói Fiók
(Aláíró), Művelet
= Tanúsítványok exportálása].
FDP_ACC.1.1/Export-Gr-Imgs SFP A TSF-nek érvényesítenie kell az
[Export-Gr-Imgs SFP] az [Alany =
Aláíró, Objektum = Felhasználói Fiók
(Aláíró), Művelet = Képek
exportálása].
FDP_ACC.1.1/Import-Gr-Img SFP A TSF-nek érvényesítenie kell az
[Import-Gr-Img SFP] az [Alany =
Aláíró, Objektum = Felhasználói
Fiók (Aláíró), Művelet = kép
importálása].
FDP_ACC.1.1/Revoke-User SFP A TSF-nek érvényesítenie kell a
[Revoke User SFP] az [Alany =
Users Administrator, Objektum =
Felhasználói Fiók, a felhasználói
fiókhoz tartozó SCD-k
CoSign Security Target
Revision 1.19 - Confidential –
Page 61 of 133
June 2015
(aszerint, hogy az alábbi
táblázatban mi van megállapítva),
Művelet = Felhasználó
visszavonása].
FDP_ACC.1.1/Appliance-Admin SFP A TSF-nek érvényesítenie kell az
Appliance-Admin SFP] az [Alany =
Eszköz Adminisztrátor, Objektum =
Eszközzel kapcsolatos információ,
Művelet = Eszköz adminisztratív
műveletei, amik nem
kapcsolatosak a felhasználókkal és
nem a TOE konzoljáról
működtethetőek].
FDP_ACC.1.1/Change-Password SFP A TSF-nek érvényesítenie kell a
[Change-Password SFP] az [Alany
= bármely felhasználó, Objektum =
Felhasználói Fiók, Művelet =
statikus jelszó megváltoztatása].
FDP_ACC.1.1/Revoke-SCD SFP A TSF-nek érvényesítenie kell a
Revoke-SCD SFP] az [Alany =
Aláíró, Objektum = Felhasználói
Fiók (Aláíró), SCD/SVD pár,
Statikus VAD, OTP VAD, OTP
validációs állapot, Művelet = SCD
visszavonása].
CoSign Security Target
Revision 1.19 - Confidential –
Page 62 of 133
June 2015
Alkalmazás megjegyzés:
Az alábbi táblázat összesíti a fentebbi SFP-ket:
HOZZÁFÉRÉSVEZÉRLÉSI POLITIKA
ALANY MŰVELET OBJEKTUM
Personalization SFP Felhaszáló
Adminisztrátor –
S.UserAdmin az
R.UserAdmin
szerepkörrel
Létrehozás. AZ
aktivációs jelszót a
felhasználó
adminisztrátor állítja
be a fiók
létrehozásának
részeként.
Felhasználói Fiók
Activation SFP Aláíró - S.Sigy az
R.Sigy
szerepkörrel
Fiók Aktiváció Felhasználói Fiók ahol
a szerepkör R.Sigy,
statikus VAD, OTP
VAD, OTP validáció
állapot
SCD-GEN SFP Aláíró - S.Sigy az
R.Sigy
szerepkörrel
SCD/SVD pár
létrehozása
Felhasználói Fiók
ahol a szerepkör
R.Sigy, SCD/SVD
pár statikus VAD,
OTP VAD, OTP
validáció állapot
Cert-IMP SFP Aláíró - S.Sigy az
R.Sigy
szerepkörrel
Tanúsítvány importálása Felhasználói
Fiók ahol a
szerepkör
R.Sigy,
SCD/SVD pár
Tanúsítvány
Signature creation SFP Aláíró - S.Sigy az
R.Sigy
szerepkörrel
Elektronikus aláírás Felhasználói Fiók
ahol a szerepkör
R.Sigy,SCD/SVD
pár, SCA által
küldött DTBS/R ,
statikus VAD, OTP
VAD, OTP
validáció állapot
SVD transfer SFP Aláíró - S.Sigy az
R.Sigy szerepkörrel
SVD exportálása Felhasználói Fiók ahol a szerepkör R.Sigy, SVD
Unlock-user-SFP Felhaszáló
Adminisztrátor
Felhasználó feloldása Felhasználói Fiók
Enable-user-SFP Felhaszáló
Adminisztrátor
Felhasználó engedélyezése user
Felhasználói Fiók
Disable-user-SFP Felhaszáló
Adminisztrátor
Felhasználó tiltása Felhasználói Fiók
Export-Certs SFP Aláíró - S.Sigy az
R.Sigy
szerepkörrel
Tanúsítványok
exportálása
Felhasználói Fiók ahol
a szerepkör R.Sigy
Export-GR-Imgs SFP Aláíró - az R.Sigy
szerepkörrel
Képek exportálása Felhasználói Fiók ahol
a szerepkör R.Sigy
CoSign Security Target
Revision 1.19 - Confidential –
Page 63 of 133
June 2015
HOZZÁFÉRÉSVEZÉRLÉSI
POLITIKA
ALANY MŰVELET OBJEKTUM
Import-GR-Img SFP Aláíró - S.Sigy az
R.Sigy szerepkörrel
Képek importálása Felhasználói Fiók ahol
a szerepkör R.Sigy
Revoke-User SFP Felhaszáló
Adminisztrátor –
S.UserAdmin az
R.UserAdmin
szerepkörrel
Felhasználó
visszavonása
Felhasználói
Fiók, SCDs
belonging to
user
accountFelha
sználói Fiók
Appliance-Admin SFP Eszköz
Adminisztrátor
S.ApplianceAdmin
az
R.ApplianceAdmin
szerepkörrel
Eszközzel kapcsolatos műveletek az FMT_SMF.1 listában felsorolva a Felhasználók kezelése funkció kivételével
Bármilyen nem
felhasználóval
kapcsolatos
információ, mint
az audit napló
vagy
rendszerkonfigurác
ió.
Továbbá a
konzollal
kapcsolatos
műveletek is ki
vannak zárva.
Change-Password SFP Bármilyen
felhasználótípus
Change static
password
Felhasználói Fiók
Revoke-SCD SFP Aláíró - S.Sigy az R.Sigy szerepkörrel
Revoke SCD Felhasználói Fiók ahol a szerepkör R.Sigy, SCD/SVD pár statikus VAD, OTP VAD, OTP validáció állapot
3.Táblázat – Hozzáférésvezérlési politikák összefoglaló
CoSign Security Target
Revision 1.19 - Confidential –
Page 64 of 133
June 2015
6.1.3.2 Hozzáférésvezérlési funkciók (FDP_ACF)
6.1.3.2.1 Biztonsági attribútum alapú hozzáférésvezérlés (FDP_ACF.1)
A biztonsági attribútumok a felhasználónak, a TOE komponenseknek és a
kapcsolódó állapotoknak:
Felhasználó, Alany vagy
Objektum az attribútum
kapcsolatban áll
Attribútum Állapot
A felhasználói fiók általános attribútumai
Felhasználói Fiók Szerepkör Eszköz Adminisztrátor
(R.ApplianceAdmin),
Felhasználó Adminisztrátor
(R.UserAdmin), Aláíró (R.Sigy)
Felhasználói Fiók Adatintegritás igen, nem
A felhasználói fiók állapotatribútumai
Felhasználói Fiók Létrehozási állapot létrehozott, nincs létrehozva
Felhasználói Fiók Aktiválási állapot aktivált, nincs aktiválva
Felhasználói Fiók Zár állapot lezárt, nyitott
Felhasználói Fiók Engedélyezési állapot engedélyezett, tiltott
Egy felhasználói fiók hitelesítési attribútumai
Aláíró Aktivációs jelszóadat érték, üres
Aláíró Statikus jelszó RAD érték, üres
Aláíró OTP eszköz RAD érték, üres
Eszköz Adminisztrátor,
Felhasználó Adminisztrátor
Bejelentkezési jelszóadat érték, üres
Aláíró Statikus VAD
figyelem: Ez az érték nem a
felhasználói fiók részeként tárolt.
érték, üres
Aláíró OTP VAD
figyelem: Ez az érték nem a
felhasználói fiók részeként tárolt.
érték, üres
Aláíró OTP validációs állapot.
figyelem: Az értéket az OTP
validáció visszahívás számolja ki.
érvényes, érvénytelen
SCD/SVD pár attribútumok
SCD/SVD pár SCD állapot kezdeti, műveleti, nem
műveleti
SCD/SVD pár SCD adat érték, üres
SCD/SVDpár SVD adat érték, üres
SCD/SVD pár egyező tanúsítvány tanúsítvány érték
Kép attribútumok
Kép kép érték, üres
4.Táblázat – ACF biztonsági attribútumok
CoSign Security Target
Revision 1.19 - Confidential –
Page 65 of 133
June 2015
Personalisation SFP
FDP_ACF.1.1/Personalisation SFP
A TSF-nek érvényesítenie kell a [Personalisation SFP]
azokon az objektumokon, amik a következőn alapulnak: [
alany = Felhasználói Fiók
attribútumok = Általános attribútumok, Állapot
attribútumok és hitelesítési attribútumok
és
objektum = Felhasználói Fiók
attribútumok = Általános attribútumok, Állapot
attribútumok
].
FDP_ACF.1.2/Personalisation SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett: [
(alany) Felhasználói Fiók.Szerep = R.UserAdmin és
(Objektum) Felhasználói Fiók.Létrehozási állapot =
nincs létrehozva és a következők bármelyike:
1. (Objektum) Felhasználói Fiók.Szerep = R.Sigy és
(Objektum) Felhasználói Fiók.Aktivációs állapot =
nincs aktiválva és (Objektum) Felhasználói
Fiók.Aktivációs jelszó nem üres és megfelel a jelszó
politika konfigurációjának
vagy
2. (Objektum) Felhasználói Fiók.Szerep = nem
R.Sigy és Felhasználói Fiók .Statikus jelszó nem
üres és megfelel a jelszó politika konfigurációjának
]
FDP_ACF.1.3/Personalisation SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/Personalisation SFP
A TSF-nek explicite meg kell tagadnia az alanyokhoz
objektumokhoz az [üres Aktivációs Jelszó ] alapján.
Alkalmazás megjegyzés:
A jelszó politika konfiguráció előírja a minimum 6 karakteres jelszóhosszt.
CoSign Security Target
Revision 1.19 - Confidential –
Page 66 of 133
June 2015
Activation SFP
FDP_ACF.1.1/Activation SFP
A TSF-nek érvényesítenie kell a [Activation SFP] azokon az
objektumokon, amik a következőn alapulnak:[
alany = Felhasználói Fiók
attribútumok = Általános
attribútumok és
objektum = Felhasználói Fiók
attribútumok = Általános attribútumok, Állapot
attribútumok és hitelesítési attribútumok
és
objektum = Megadott Aláíró VAD
attribútumok= Statikus VAD, OTP VAD, OTP validációs
státusz
].
FDP_ACF.1.2/Activation SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett: [
(Alany)Felhasználói Fiók.Szerep = R.Sigy és
(Objektum)Felhasználói_Fiók.Aktiváció Állapot =
nincs aktiválva és
(Objektum) Felhasználói_Fiók.Aktivációs Jelszó nem
üres és
(Objektum) Megadott Statikus VAD nem
üres és
(Objektum) Megadott OTP VAD nem
üres és
OTP validációs állapot=érvényes
].
FDP_ACF.1.3/Activation SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/Activation SFP
A TSF-nek explicite meg kell tagadnia az alanyok
hozzáférését az objektumokhoz az [nincs] alapján.
CoSign Security Target
Revision 1.19 - Confidential –
Page 67 of 133
June 2015
SCD-GEN SFP
FDP_ACF.1.1/SCD-GEN SFP
A TSF-nek érvényesítenie kell a [SCD-GEN SFP] azokon az
objektumokon, amik a következőn alapulnak:[
alany = Felhasználói Fiók
attribútumok = Általános
attribútumok és
objektum = Felhasználói Fiók
attribútumok = Általános attribútumok,
Statikus attribútumok és
objektum = Megadott Aláíró VAD
attribútumok = Statikus VAD, OTP VAD, OTP validáció
állapot
].
FDP_ACF.1.2/SCD-GEN SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett: [
(Alany) Felhasználói_Fiók.Szerepkör = R.Sigy és
(Objektum)Felhasználói Fiók.Aktivációs Állapot =
aktivált és
(Objektum) Megadott statikus VAD nem
üres és
(Objektum) Megadott OTP VAD nem
üres és
OTP validáció állapot=érvényes
].
FDP_ACF.1.3/SCD-GEN SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/SCD-GEN SFP
A TSF-nek explicite meg kell tagadnia az alanyok
hozzáférését az objektumokhoz az [nincs] alapján.
Cert-IMP SFP
FDP_ACF.1.1/Cert-IMP SFP
A TSF-nek érvényesítenie kell a [Cert-IMP SFP] azokon az
objektumokon, amik a következőn alapulnak:[
alany = Felhasználói Fiók attribútumok = Általános
attribútumok
CoSign Security Target
Revision 1.19 - Confidential –
Page 68 of 133
June 2015
és
Objektum = Felhasználói Fiók
attribútumok = Általános attribútumok, Állapot
attribútumok és SCD/SVD pár attribútumok
].
FDP_ACF.1.2/Cert-IMP SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett: [
(Alany) Felhasználói_Fiók. Szerepkör = R.Sigy és
(Objektum) Felhasználói Fiók.Aktivációs Állapot =
aktivált és
(Objektum)Felhasználó_SCD.SCD Állapot = kezdeti].
FDP_ACF.1.3/Cert-IMP SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/Cert-IMP SFP
A TSF-nek explicite meg kell tagadnia az alanyokhoz
objektumokhoz az [nincs] alapján.
Signature-Creation SFP
FDP_ACF.1.1/Signature-Creation SFP
A TSF-nek érvényesítenie kell a [Signature-Creation
SFP] azokon az objektumokon, amik a következőn
alapulnak: [
alany = Felhasználói Fiók
attribútumok = Általános
attribútumok és
objektum = Felhasználói Fiók
attribútumok = Általános attribútumok, Állapot
attribútumok és SCD attribútumok
és
objektum = Megadott Aláíró VAD
attribútumok = Statikus VAD, OTP VAD, OTP validáció
állapot
].
FDP_ACF.1.2/Signature-Creation SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett: [
(Alany) Felhasználói_Fiók.Szerepkör = R.Sigy és
(objektum) Felhasználói_Fiók.Aktivációs állapot =
aktivált és
(objektum) Felhasználói_Fiók.Fiók Integritás =
CoSign Security Target
Revision 1.19 - Confidential –
Page 69 of 133
June 2015
igen és
(objektum)Felhasználói_Fiók.SCD/SVD pár.SCD
állapot = műveleti és
(objektum) Felhasználói_Fiók.SCD/SVD pár.SCD
integritás=igen és
(objektum) Megadott Statikus VAD nem
üres és
(objektum) Megadott OTP VAD nem
üres és
OTP validáció állapot = érvényes]
Application note: Since there can be several SCD/SVD for a certain user account, the specific
identification of the SCD is provided as part of the signature creation operation.
FDP_ACF.1.3/Signature-Creation SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/Signature-Creation SFP
A TSF-nek explicite meg kell tagadnia az alanyokhoz
objektumokhoz az [nincs] alapján.
SVD-Transfer SFP
FDP_ACF.1.1/SVD-Transfer SFP
A TSF-nek érvényesítenie kell a [SVD-Transfer SFP]
azokon az objektumokon, amik a következőn alapulnak: [
alany = Felhasználói Fiók
attribútumok = Általános
attribútumok és
objektum = Felhasználói Fiók
attribútumok = általános attribútumok, állapot
attribútumok és SCD attribútumok
].
FDP_ACF.1.2/SVD-Transfer SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett:
CoSign Security Target
Revision 1.19 - Confidential –
Page 70 of 133
June 2015
[(Alany)Felhasználói_Fiók. Szerepkör = R.Sigy és
(Objektum) Felhasználói_Fiók. Aktivációs állapot =
aktivált
].
FDP_ACF.1.3/SVD-Transfer SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/SVD-Transfer SFP
A TSF-nek explicite meg kell tagadnia az alanyokhoz
objektumokhoz az [nincs] alapján.
Unlock-User SFP
FDP_ACF.1.1/Unlock-User SFP
A TSF-nek érvényesítenie kell a [Unlock-User SFP] azokon
az objektumokon, amik a következőn alapulnak: [
alany = Felhasználói Fiók
attribútumok = Általános
attribútumok és
objektum = Felhasználói Fiók
attributes = Általános attribútumok és állapot
attribútumok
].
FDP_ACF.1.2/Unlock-User SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett: [
(Alany) Felhasználói_Fiók.Szerepkör = R.UserAdmin
és (Objektum) Felhasználói_Fiók.Zár állapota = zárt
]
FDP_ACF.1.3/Unlock-User SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/Unlock-User SFP
A TSF-nek explicite meg kell tagadnia az alanyokhoz
objektumokhoz az [nincs] alapján.
CoSign Security Target
Revision 1.19 - Confidential –
Page 71 of 133
June 2015
Enable-User SFP
FDP_ACF.1.1/Enable-User SFP
A TSF-nek érvényesítenie kell a [Enable-User SFP] azokon
az objektumokon, amik a következőn alapulnak: [
alany = Felhasználói Fiók
attribútumok = általános
attribútumok és
objektum = Felhasználói Fiók
attribútumok = Általános attribútumok és állapot
attribútumok
].
FDP_ACF.1.2/Enable-User SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett: [
(Alany) Felhasználói_Fiók.Szerepkör = R.UserAdmin
és (Objektum) Felhasználói_Fiók.Engedélyezési
Állapot = letiltott
]
FDP_ACF.1.3/Enable-User SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/Enable-User SFP
A TSF-nek explicite meg kell tagadnia az alanyokhoz
objektumokhoz az [nincs] alapján.
Disable-User SFP
FDP_ACF.1.1/Disable-User SFP
A TSF-nek érvényesítenie kell a [Disable-User SFP] azokon
az objektumokon, amik a következőn alapulnak: [
alany = Felhasználói Fiók
attribútumok = Általános
attribútumok és
objektum = Felhasználói Fiók
attribútumok = Általános attribútumok és állapot
attribútumok
].
FDP_ACF.1.2/Disable-User SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett: [
(Alany) Felhasználói_Fiók.Szerepkör = R.UserAdmin
CoSign Security Target
Revision 1.19 - Confidential –
Page 72 of 133
June 2015
és (Objektum) Felhasználói_Fiók.Engedélyezési
Állapot = engedélyezett
]
FDP_ACF.1.3/Disable-User SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/Disable-User SFP
A TSF-nek explicite meg kell tagadnia az alanyokhoz
objektumokhoz az [nincs] alapján.
Export-Certs SFP
FDP_ACF.1.1/Export-Certs SFP
A TSF-nek érvényesítenie kell a [Export-Certs SFP]
azokon az objektumokon, amik a következőn alapulnak: [
alany = Felhasználói Fiók
attribútumok = Álatlános
attribútumok és
objektum = Felhasználói Fiók
attribútumok = Általános attribútumok és állapot
attribútumok
].
FDP_ACF.1.2/Export-Certs SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett: [
(Alany) Felhasználói_Fiók.Szerepkör = RSigy és
(Objektum) Felhasználói_Fiók.Aktivációs állapot =
aktivált
].
FDP_ACF.1.3/Export-Certs SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/Export-Certs SFP
A TSF-nek explicite meg kell tagadnia az alanyoknak a
hozzáférést az objektumokhoz az [nincs] alapján.
Export-Gr-Imgs SFP
FDP_ACF.1.1/Export-Gr-Imgs SFP
A TSF-nek érvényesítenie kell a [Export-Gr-Imgs SFP]
azokon az objektumokon, amik a következőn alapulnak: [
CoSign Security Target
Revision 1.19 - Confidential –
Page 73 of 133
June 2015
alany = Felhasználói Fiók
attribútumok = Általános
attribútumok és
objektum = Felhasználói Fiók
attribútumok = Általános attribútumok, általános
attribútumok
].
FDP_ACF.1.2/Export-Gr-Imgs SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett: [
(Alany) Felhasználói_Fiók.Szerepkör = R.Sigy és
(Objektum) Felhasználói_Fiók.Aktivációs állapot =
aktivált
].
FDP_ACF.1.3/Export-Gr-Imgs SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/Export-Gr-Imgs SFP
A TSF-nek explicite meg kell tagadnia az alanyokhoz
objektumokhoz az [nincs] alapján.
Import-Gr-Img SFP
FDP_ACF.1.1/Import-Gr-Img SFP
A TSF-nek érvényesítenie kell a [Import-Gr-Img SFP]
azokon az objektumokon, amik a következőn alapulnak: [
alany = Felhasználói Fiók
attribútumok = Általános
attribútumok és
objektum = Felhasználói Fiók
attribútumok = Általános attribútumok, állapot
attribútumok
].
FDP_ACF.1.2/Import-Gr-Img SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett: [
(Alany) Felhasználói_Fiók.Szerepkör = R.Sigy és
(Objektum) Felhasználói_Fiók.Aktivációs állapot =
aktivált].
CoSign Security Target
Revision 1.19 - Confidential –
Page 74 of 133
June 2015
FDP_ACF.1.3/Import-Gr-Img SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/Import-Gr-Img SFP
A TSF-nek explicite meg kell tagadnia az alanyok
hozzáférését az objektumokhoz az [nincs] alapján.
Revoke-User SFP
FDP_ACF.1.1/Revokie-User SFP
A TSF-nek érvényesítenie kell a [Revoke-User SFP]
azokon az objektumokon, amik a következőn alapulnak: [
alany = Felhasználói Fiók
attribútumok = Általános
attribútumok és
objektum = Felhasználói Fiók
attribútumok = Általános attribútumok, állapot
attribútumok
].
FDP_ACF.1.2/Revoke-User SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett: [
(Alany). Felhasználói_Fiók.Szerepkör = R.UserAdmin
(Objektum).Felhasználói_Fiók.Role = Bármilyen
].
FDP_ACF.1.3/Revoke-User SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/Revoke-User SFP
A TSF-nek explicite meg kell tagadnia az alanyokhoz
objektumokhoz az [nincs] alapján.
Appliance-Admin SFP
FDP_ACF.1.1/Appliance-Admin SFP
A TSF-nek érvényesítenie kell a [Appliance-Admin SFP]
azokon az objektumokon, amik a következőn alapulnak: [
alany = Felhasználói Fiók
attribútumok = Általános
attribútumok és
CoSign Security Target
Revision 1.19 - Confidential –
Page 75 of 133
June 2015
alany=Bármilyen rendszerinformáció ami nem
felhasználóhoz kapcsolódik és nem a TOE konzoljáról
kezelhető
].
FDP_ACF.1.2/Appliance-Admin SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett: [
(Alany). Felhasználói_Fiók.Szerepkör =
R.ApplianceAdmin
].
FDP_ACF.1.3/Appliance-Admin SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/Appliance-Admin SFP
A TSF-nek explicite meg kell tagadnia az alanyok
hozzáférését az objektumokhoz az [nincs] alapján.
Change-Password SFP
FDP_ACF.1.1/Change-Password SFP
A TSF-nek érvényesítenie kell a [Change-Password SFP]
azokon az objektumokon, amik a következőn alapulnak: [
alany = Felhasználói Fiók
attribútumok = Általános
attribútumok és
objektum = Felhasználói Fiók
attribútumok = Általános attribútumok, állapot
attribútumok
].
FDP_ACF.1.2/Change-Password SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett: [
A következő két eset engedélyezett:
1 - (Alany). Felhasználói_Fiók.Szerepkör = R.Sigy
és (Objektum).
Felhasználói_Fiók.Aktivációs_Állapot =
aktivált
2 - (Alany). Felhasználói_Fiók.Szerepkör != R.Sigy
és (mind a két esetben) az új jelszó kielégíti a jelszó
politika konfigurációt
].
CoSign Security Target
Revision 1.19 - Confidential –
Page 76 of 133
June 2015
FDP_ACF.1.3/Change-Password SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/Change-Password SFP
A TSF-nek explicite meg kell tagadnia az alanyok
hozzáférését az objektumokhoz az [üres Statikus Jelszó]
alapján.
Revoke-SCD SFP
FDP_ACF.1.1/Revoke-SCD SFP
A TSF-nek érvényesítenie kell a [Revoke-SCD SFP]
azokon az objektumokon, amik a következőn alapulnak: [
alany = Felhasználói Fiók
attribútumok = Általános
attribútumok és
objektum = Felhasználói Fiók
attribútumok = Általános attribútumok, állapot
attribútumok és SCD attribútumok
és
objektum = Megadott Aláíró VAD
attribútumok = Statikus VAD, OTP VAD, OTP validáció
állapot
].
FDP_ACF.1.2/ Revoke-SCD SFP
A TSF-nek érvényesítenie kell a következő szabályokat,
hogy meghatározhassa, hogy egy művelet az irányított
alanyok és irányított objektumok között engedélyezett: [
(Alany) Felhasználói_Fiók.Szerepkör = R.Sigy és
(Objektum) Felhasználói_Fiók.Aktivációs Állapot =
aktivált és (Objektum) Felhasználói_Fiók.Fiók
Integritás = igen és (Objektum)
Felhasználói_Fiók.SCD/SVD pár.SCD állapot =
műveleti és
(Objektum) Felhasználói_Fiók.SCD/SVD pár.SCD
integritás=igen és
(Objektum) Megadott Statikus VAD nem
üres és
(Objektum) Megadott OTP VAD nem
üres és
OTP validásciós állapot = érvényes
]
CoSign Security Target
Revision 1.19 - Confidential –
Page 77 of 133
June 2015
Alkalmazás megjegyzés: Mivel több SCD/SVD is lehet egy adott Felhasználói Fiókban, a specifikus SCD
azonosítás biztosított az SCD visszavonás művelet részeként
FDP_ACF.1.3/ Revoke-SCD SFP
A TSF-nek explicite elérési jogosultságot kell adnia az
alanyoknak az objektumokhoz a következő kiegészítő
szabályok alapján: [nincs].
FDP_ACF.1.4/ Revoke-SCD SFP
A TSF-nek explicite meg kell tagadnia az alanyok
hozzáférését az objektumokhoz az [nincs] alapján.
6.1.3.3 Exportálás a TOE-ből (FDP_ETC)
6.1.3.3.1 Felhasználói adat exportálása biztonsági attribútomok nélkül
(FDP_ETC.1)
FDP_ETC.1.1/SVD Transfer A TSF-nek érvényesítenie kell az [SVD
Transfer SFP] amikor felhasználói adatot
exportál, az SFP(-k) irányítása alatt a TOE-n
kívülre.
FDP_ETC.1.2/SVD Transfer A TSF-nek a felhasználói adatokat a
felhasználói adatokhoz rendelt biztonsági
attribútumok nélkül kell exportálnia.
FDP_ETC.1.1/Export-Certs A TSF-nek érvényesítenie kell az [Export-Certs
SFP] amikor felhasználói adatot exportál az
SFP(-k) irányítása alatt a TOE-n kívülre.
FDP_ETC.1.2/Export-Certs A TSF-nek a felhasználói adatokat a
felhasználói adatokhoz rendelt biztonsági
attribútumok nélkül kell exportálnia.
FDP_ETC.1.1/Export-Gr-Imgs A TSF-nek érvényesítenie kell az [Export-Gr-
Imgs SFP] ] amikor felhasználói adatot
exportál az SFP(-k) irányítása alatt a TOE-n
kívülre.
FDP_ETC.1.2/Export-Gr-Imgs A TSF-nek a felhasználói adatokat a
felhasználói adatokhoz rendelt biztonsági
attribútumok nélkül kell exportálnia.
Alkalmazás megjegyzés:
A következő műveletek nem keülnek auditálásra az audit naplóba miután azokat az
CoSign Security Target
Revision 1.19 - Confidential –
Page 78 of 133
June 2015
SCA használta minden egyes elektronikus aláírás művelet kor: Export-Certs, Export-Gr-
Imgs. Továbbá, az aláíró bejelentkező művelet a tanúsítvány exportálás céljából és a
képek vagy jelszóváltoztatás nem kerül auditálásra. Továbbá az Import-Gr-Img
művelet nem kerül auditálásra, mivel nem előírás azt auditálni.
6.1.3.3.2 Export of user data with security attributes (FDP_ETC.2)
FDP_ETC.2.1 A TSF-nek érvényesítenie kell az [HA-PRI-
REPL-INC- SIGKEY SFP] amikor felhasználói
adatot exportál, az SFP(-k) irányítása alatt a
TOE-n kívülre.
FDP_ETC.2.2 A TSF-nek a felhasználói adatokat a
felhasználói adatokhoz rendelt biztonsági
attribútumok nélkül kell exportálnia.
FDP_ETC.2.3 A TSF-nek gondoskodnia kell arról, a biztonsági
attribútumok, amikor a TOE-n kívülre exportálja őket
egyértelműen kapcsolódnak az exportált felhasználói
adatokhoz.
FDP_ETC.2.4 A TSF-nek érvényesítenie kell a következő
szabályokat, amikor felhasználói adatokat
exportál a TOE-ből:[A TOE HA-PRI-REPL-
INC-SIGKEY-ként konfigurált].
Alkalmazás megjegyzés:
A művelet nem kerül auditálásra az audit naplóba.
CoSign Security Target
Revision 1.19 - Confidential –
Page 79 of 133
June 2015
6.1.3.4 Információ-áramlás vezérlés politika (FDP_IFC)
Az elsődleges eszköz és az alternatív eszközök számára a biztonsági attribútumok:
Alany, amivel az attribútum
kapcsolatban áll
Attribútum Állapot
Az elsődleges eszköz általános attribútumai
Elsődleges eszköz Alternatív eszközök listája Érték, üres
Alternatív eszköz általános attribútumai
Alternatív eszköz Aktivációs állapot Aktivált, nem aktivált
5.Táblázat – Biztonsági attribútumok- Magas rendelkezésre állás
Megjegyzés:
Egy telepített alternatív eszköz mindig fogad frissítéseket az elsődleges eszköztől. Hogy
elkerülje az elsődleges eszköztől származó frissítéseket, az alternatív eszközt le kell
kapcsolni.
A biztonsági attribútumok, amiket az OTP validációs visszahívás használ:
Alany, amivel az attribútum
kapcsolatban áll
Attribútum Állapot
OTP validációs visszahívás kérelem
Próba OTP Az OTP hash értéke Érték
OTP eszköz RAD OTP eszköz RAD bináris Érték
6.Táblázat – Biztonsági attribútumok – OTP validációs visszahívás
CoSign Security Target
Revision 1.19 - Confidential –
Page 80 of 133
June 2015
6.1.3.4.1 Információ-áramlás vezérlés részhalmaz (FDP_IFC.1)
HA-PRI-REPL-INC-SIGKEY SFP
FDP_IFC.1.1/HA-PRI-REPL-INC-SIGKEY SFP
A TSF-nek érvényesítenie kell az [HA-PRI-REPL-INC-SIGKEY
SFP] az [Alanyok = Elsődleges CoSign eszköz és
Alternatív Eszköz lista,
Információ= Teljes Felhasználói Fiók információ,
Művelet= Felhasználói Fiók frissítés és
frissítések küldése az alternatív eszközöknek. A
művelet módja engedi az SCD adat replikálását
az elsődleges eszköztől az alternatívok felé.
].
HA-ALT-REPL-INC-SIGKEY SFP
FDP_IFC.1.1/HA-ALT-REPL-INC-SIGKEY SFP
A TSF-nek érvényesítenie kell az [HA-ALT-REPL-INC-SIGKEY
SFP] az [Alanyok= Alternatív CoSign eszköz
Információ= Teljes Felhasználói Fiók információ (Általános
attribútumai, Állapot attribútumai és hitelesítési
attribútumai a Felhasználói Fiókoknak, SCD/SVD pár
attribútumok és Kép attribútumok)
Művelet = Elsődleges Eszköztől adatfogadás.
].
Alkalmazás megjegyzés: A következő táblázat összegzi a fenti SFP-t:
CoSign Security Target
Revision 1.19 - Confidential –
Page 81 of 133
June 2015
ÁRAMLÁSVEZÉRLÉS POLITIKA ALANY INFORMÁCIÓ MŰVELET
HA-PRI-REPL-INC-SIGKEY
SFP
Elsődleges CoSign
eszköz és Alternatív
Eszköz lista
Teljes Felhasználói
Fiók információ
Felhasználói fiókok
frissítése az SCD
és képi információt
is beleértve, és
elküldeni a
frissítéseket az
alternatív
eszközöknek
HA-ALT-REPL-INC-SIGKEY
SFP
Alternatív CoSign eszköz Teljes Felhasználói
Fiók információ
Elsődleges
Eszköztől
adatfogadás
7.Táblázat – Magas rendelkezésre állás áramlásvezérlés
OTP-VAL-CALLBACK SFP
FDP_IFC.1.1/OTP-VAL-CALLBACK SFP
A TSF-nek érvényesítenie kell az [OTP-VAL-CALLBACK SFP] az
[Alanyok = Eszköz ,
Információ = Próba-OTP, OTP Eszköz RAD, Belső OTP
Művelet= OTP validáció
].
Alkalmazás megjegyzés:Application note:
A következő táblázat összegzi a fenti SFP-t:
CoSign Security Target
Revision 1.19 - Confidential –
Page 82 of 133
June 2015
ÁRAMLÁSVEZÉRLÉS POLITIKA ALANY INFORMÁCIÓ MŰVELET
OTP-VAL-CALBACK SFP Eszköz Próba-OTP, OTP
Eszköz RAD, Belső
OTP
A TOE el fogja érni
a belső OTP-t a
megadott Próba-
OTP alapján és
validálja a belső
OTP-t a megadott
OTP Eszköz RAD-
hoz képest.
8.Táblázat - OTP validációs visszahívás áramlásvezérlés
CoSign Security Target
Revision 1.19 - Confidential –
Page 83 of 133
June 2015
6.1.3.5 Információ-áramlás vezérlés funkciók (FDP_IFF)
6.1.3.5.1 Egyszerű biztonsági attribútumok (FDP_IFF.1)
HA-PRI-REPL-INC-SIGKEY SFP
FDP_IFF.1.1/HA-PRI-REPL-INC-SIGKEY SFP
A TSF-nek érvényesítenie kell az [HA-PRI-REPL-INC-SIGKEY SFP]
a következő alanytípusokon és információ biztonsági attribútumok
alapján: [ alany biztonsági attribútumok = Elsődleges Eszköz
listája az Alternatív eszközökről; Alternatív Eszközök státusza
és a művelet módja
Információ biztonsági attribútumok =
Teljes Felhasználói Fiók biztonsági
attribútumok és biztonsági attribútumok
az SCD adat biztonsági attribútumokat és a
képek biztonsági attribútumait is beleértve
].
FDP_IFF.1.2/HA-PRI-REPL-INC-SIGKEY SFP
A TSF-nek engedélyeznie kell az információ áramlását az irányított
alany és az irányított információ között irányított műveleten
keresztül amikor a következő szabály érvényes: [Felhasználói Fiók
frissítés, SCD-vel kapcsolatos frissítés, képek frissítése].
FDP_IFF.1.3/HA-PRI-REPL-INC-SIGKEY SFP
A TSF-nek érvényesítenie kell az [semmi].
FDP_IFF.1.4/HA-PRI-REPL-INC-SIGKEY SFP
A TSF-nek explicite fel kell jogosítania egy információ-áramot a
következő szabályok követése alapján: [semmi].
FDP_IFF.1.5/HA-PRI-REPL-INC-SIGKEY SFP
A TSF-nek explicite meg kell tagadnia egy információ-áramot a
következő szabályok követése alapján: [semmi].
HA-ALT-REPL-INC-SIGKEY SFP
FDP_IFF.1.1/HA-ALT-REPL-INC-SIGKEY SFP
A TSF-nek érvényesítenie kell az [HA-ALT-REPL –INC-
SIGKEY SFP] a következő alanytípusokon és információ
biztonsági attribútumok alapján: [
alany biztonsági attribútumai = Alternatív Eszköz
CoSign Security Target
Revision 1.19 - Confidential –
Page 84 of 133
June 2015
Információ biztonsági attribútumok = Teljes
Felhasználói Fiók biztonsági attribútumok
és biztonsági attribútumok az SCD adat
biztonsági attribútumokat és a képek
biztonsági attribútumait is beleértve
].
FDP_IFF.1.2/HA-ALT-REPL-INC-SIGKEY SFP
A TSF-nek engedélyeznie kell az információ áramlását az irányított
alany és az irányított információ között irányított műveleten
keresztül amikor a következő szabály érvényes: [Felhasználói Fiók
frissítés, SCD-vel kapcsolatos frissítés, képek frissítése].
FDP_IFF.1.3/HA-ALT-REPL-INC-SIGKEY SFP
A TSF-nek érvényesítenie kell az [semmi]
FDP_IFF.1.4/HA-ALT-REPL-INC-SIGKEY SFP
A TSF-nek explicite fel kell jogosítania egy információ-áramot a
következő szabályok követése alapján: [semmi].
FDP_IFF.1.5/HA-ALT-REPL-INC-SIGKEY SFP
A TSF-nek explicite meg kell tagadnia egy információ-áramot a
következő szabályok követése alapján: [semmi].
OTP-VAL-CALLBACK SFP
FDP_IFF.1.1/OTP-VAL-CALLBACK SFP
A TSF-nek érvényesítenie kell az [OTP-VAL-CALLBACK SFP] a
következő alanytípusokon és információ biztonsági attribútumok
alapján: [alany biztonsági attribútumai= E s z k ö z
Információ biztonsági attribútumok = Próba OTP, OTP Eszköz
RAD és belső OTP].
FDP_IFF.1.2/OTP-VAL-CALLBACK SFP
A TSF-nek engedélyeznie kell az információ áramlását az irányított
alany és az irányított információ között irányított műveleten
keresztül, amikor a következő szabály érvényes:[OTP validációs
visszahívás].
FDP_IFF.1.3/OTP-VAL-CALLBACK SFP
A TSF-nek érvényesítenie kell az [Csak a Radius szerver IP-je
felőli kommunikációt].
FDP_IFF.1.4/OTP-VAL-CALLBACK SFP
A TSF-nek explicite fel kell jogosítania egy információ-áramot a
következő szabályok követése alapján: [semmi] .
CoSign Security Target
Revision 1.19 - Confidential –
Page 85 of 133
June 2015
FDP_IFF.1.5/OTP-VAL-CALLBACK SFP
A TSF-nek explicite meg kell tagadnia egy információ-áramot a
következő szabályok követése alapján: [Bármely
kommunikációt ami a Radius szerver IP-je felől érkezik].
6.1.3.6 Importálás a TOE-n kívülről (FDP_ITC)
6.1.3.6.1 Felhasználói adat importálása biztonsági attribútumok nélkül
(FDP_ITC.1)
FDP_ITC.1.1/TOE-DTBS/R
A TSF-nek érvényesítenie kell az [Signature-creation
SFP] amikor felhasználói adatot importál, az SFP irányítása
alatt a TOE-n kívülről.
FDP_ITC.1.2/TOE-DTBS/R
A TSF figyelmen kívül kell hagyjon bármilyen, a felhasználói
adathoz kapcsolt biztonsági attribútumot amikor a TOE-n
kívülről importál.
FDP_ITC.1.3/TOE-DTBS/R
A TSF-nek érvényesítenie kell a következő szabályokat,
amikor felhasználói adatot importál, az SFP irányítása alatt
a TOE-n kívülről: [semmi].
FDP_ITC.1.1/GRIMG A TSF-nek érvényesítenie kell az [Import-Gr-Img SFP]
amikor felhasználói adatot importál, az SFP irányítása alatt a
TOE-n kívülről.
FDP_ITC.1.2/GRIMG A TSF figyelmen kívül kell hagyjon bármilyen, a felhasználói
adathoz kapcsolt biztonsági attribútumot amikor a TOE-n
kívülről importál.
FDP_ITC.1.3/GRIMG A TSF-nek érvényesítenie kell a következő szabályokat,
amikor felhasználói adatot importál, az SFP irányítása alatt a
TOE-n kívülről: [semmi].
CoSign Security Target
Revision 1.19 - Confidential –
Page 86 of 133
June 2015
FDP_ITC.1.1/CERTIFICATE
A TSF-nek érvényesítenie kell az [Cert-IMP SFP] amikor
felhasználói adatot importál, az SFP irányítása alatt a TOE-n
kívülről.
FDP_ITC.1.2/CERTIFICATE
A TSF-nek érvényesítenie kell a következő szabályokat,
amikor felhasználói adatot importál, az SFP irányítása alatt a
TOE-n kívülről: [semmi].
FDP_ITC.1.3/CERTIFICATE
A TSF-nek érvényesítenie kell a következő szabályokat,
amikor felhasználói adatot importál, az SFP irányítása alatt a
TOE-n kívülről: [semmi].
6.1.3.6.2 Felhasználói adatok importálása biztonsági attribútumokkal
(FDP_ITC.2)
FDP_ITC.2.1/HA-ALT-REPL-INC-SIGKEY
A TSF-nek érvényesítenie kell az [HA-ALT-REPL-INC-
SIGKEY SFP] amikor felhasználói adatot importál, az SFP
irányítása alatt a TOE-n kívülről.
FDP_ITC.2.2/HA-ALT-REPL-INC-SIGKEY
A TSF-nek az importált felhasználói adatokkal kapcsolatos
biztonsági adatokat kell használnia.
FDP_ITC.2.3/HA-ALT-REPL-INC-SIGKEY
A TSF-nek gondoskodnia kell arról, hogy a használt protokoll
félreérthetetlen kapcsolatot biztosít a biztonsági attribútumok
és a fogadott felhasználói adatok között.
FDP_ITC.2.4/HA-ALT-REPL-INC-SIGKEY
A TSF-nek gondoskodnia kell arról, hogy az importált
felhasználói adatok biztonsági attribútumainak értelmezése a
felhasználói adatok forrásának szándéka szerinti.
FDP_ITC.2.5/HA-ALT-REPL-INC-SIGKEY
A TSF-nek érvényesítenie kell a következő szabályokat,
amikor felhasználói adatot importál, az SFP irányítása alatt
a TOE-n kívülről: [semmi].
FDP_ITC.2.1/OTP- VAL-CALLBACK
A TSF-nek érvényesítenie kell az [OTP-VAL-CALLBACK
SFP] amikor felhasználói adatot importál, az SFP irányítása
alatt a TOE-n kívülről.
CoSign Security Target
Revision 1.19 - Confidential –
Page 87 of 133
June 2015
FDP_ITC.2.2/OTP- VAL-CALLBACK
A TSF-nek az importált felhasználói adatokkal kapcsolatos
biztonsági adatokat kell használnia.
FDP_ITC.2.3/OTP- VAL-CALLBACK
A TSF-nek gondoskodnia kell arról, hogy a használt protokoll
félreérthetetlen kapcsolatot biztosít a biztonsági attribútumok
és a fogadott felhasználói adatok között.
FDP_ITC.2.4/OTP- VAL-CALLBACK
A TSF-nek gondoskodnia kell arról, hogy az importált
felhasználói adatok biztonsági attribútumainak értelmezése a
felhasználói adatok forrásának szándéka szerinti.
FDP_ITC.2.5/OTP-VAL-CALLBACK
A TSF-nek érvényesítenie kell a következő szabályokat,
amikor felhasználói adatot importál, az SFP irányítása alatt
a TOE-n kívülről: [semmi].
Alkalmazás megjegyzés:
FDP_ITC.2/HA-ALT-REPL-INC-SIGKEY kapcsolatos műveletek nem kerülnek
auditálásra az audit naplóba mivel a frissítés forrása az elsődleges eszköz
naplójában kerül naplózásra (például egy fiók létrehozása).
FDP_ITC.2/OTP-VAL-CALLBACK SIGKEY kapcsolatos műveletek nem kerülnek
auditálásra az audit naplóba. A teljes erős hitelesítési művelet az Elektronikis
Aláírás/Aktiváció/Kulcsgenerálás műveletek részeként kerül naplózásra.
6.1.3.7 Tárolt adatintegritás (FDP_SDI)
6.1.3.7.1 Tárolt adatintegritás megfigyelés és tevékenység (FDP_SDI.2)
FDP_SDI.2.1 A TSF-nek meg kell figyelnie a TSF által irányított
konténerekben tárolt felhasználói adatokat az
[integritási hibák] miatt az összes objektum esetén
a következő attribútumok alapján: [Felhasználói
Fiók adatintegritás].
FDP_SDI.2.2 Bármilyen adatintegritási hiba észlelésekor, a TSF
[megtiltja a módosított adat használatát és
megtagad bármilyen műveletet a felhasználói
fiókon].
Alkalmazás megjegyzés:
A felhasználói fiókinformáció a 4. táblázatban van leírva. A következő információt
már ellenőrizték adatintegritási hibák kiszűrésére: A felhasználói fiók általános
attribútumait, felhasználói fiók állapot attribútumait és felhasználói fiók
hitelesítési attribútumait az OTP eszköz RAD mellett, amit a Radius szerver tart
irányítása alatt.
CoSign Security Target
Revision 1.19 - Confidential –
Page 88 of 133
June 2015
6.1.3.8 TSF-en belüli felhasználói adatbizalmasság átvitel
védelem (FDP_UCT)
6.1.3.8.1 Alapvető adatcsere bizalmasság (FDP_UCT.1)
FDP_UCT.1.1/HA-PRI-REPL-CONF-INC-SIGKEY
A TSF-nek érvényesítenie kell az [HA-PRI-REPL-
INC- SIGKEY SFP] hogy képes legyen a felhasználói
adat [átvitelére] olyan módon, ami védett a
jogosulatlan felfedés ellen.
FDP_UCT.1.1/HA-ALT-REPL-CONF-INC-SIGKEY
A TSF-nek érvényesítenie kell az [HA-ALT-REPL-INC-
SIGKEY SFP] hogy képes legyen a felhasználói adat
[fogadására] olyan módon, ami védett a jogosulatlan
felfedés ellen.
Alkalmazás megjegyzés: A fenti műveletek nem kerülnek auditálásra az audit naplóba, mivel a frissítés
forrása az elsődleges eszközben kerül naplózásra (például fióklétrehozás).
6.1.3.9 TSF-en belüli adatintegritási átvitel védelem
(FDP_UIT)
6.1.3.9.1 Adatcsere integritás (FDP_UIT.1)
FDP_UIT.1.1/SVD-Transfer
A TSF-nek érvényesítenie kell az [SVD átvitel SFP-t] hogy
képes legyen a felhasználói adatok [átvitelére] olyan módon,
ami védelmet nyújt a [módosítási, beillesztési] hibák ellen.
FDP_UIT.1.2/SVD-Transfer
A TSF-nek meg kell tudni állapítania felhasználói adat
átvételekor, hogy történt-e [módosítás, beillesztés] .
FDP_UIT.1.1/TOE-DTBS/R
A TSF-nek érvényesítenie kell az [Aláírás-létrehozás SFP-t]
hogy képes legyen a felhasználói adatok [fogadására] olyan
módon, ami védelmet nyújt a [módosítási, törlési és beillesztési]
hibák ellen.
CoSign Security Target
Revision 1.19 - Confidential –
Page 89 of 133
June 2015
FDP_UIT.1.2/TOE-DTBS/R
A TSF-nek meg kell tudni állapítania felhasználói
adat átvételekor, hogy történt-e [módosítás, törlés,
beillesztés].
FDP_UIT.1.1/HA-ALT-REPL-INC-SIGKEY
A TSF-nek érvényesítenie kell az [HA-ALT-REL-
INC- SIGKEY SFP] hogy képes legyen a
felhasználói adatok [átvitelére] olyan módon, ami
védelmet nyújt a [módosítási] hibák ellen.
FDP_UIT.1.2/HA-ALT-REPL-INC-SIGKEY
A TSF-nek meg kell tudni állapítania felhasználói adat
átvételekor, hogy történt-e [módosítás].
Alkalmazás megjegyzés: FDP_UIT.1/HA-ALT-REPL-INC-SIGKEY nem kerül auditálásra az audit naplóba, mivel
a frissítés forrása az elsődleges eszközben kerül naplózásra (például
fióklétrehozás).
6.1.4 Azonosítás és hitelesítés (FIA)
6.1.4.1 Hitelesítési hiba (FIA_AFL)
6.1.4.1.1 Hitelesítési hibakezelés (FIA_AFL.1)
FIA_AFL.1.1 A TSF-nek érzékelnie kell amikor [egy adminisztrátor által
konfigurálható pozitív egész számú [3-8]] sikertelen
hitelesítési próbálkozás fordul elő a [egymást követő
sikertelen hitelesítési kísérlettel] kapcsolatban.
FIA_AFL.1.2 Amikor a megadott értékű sikertelen hitelesítési
próbélkozást [eléri], a TSF-nek [le kell zárnia a
felhasználói fiókot].
6.1.4.1.2 Felhasználói attribútum leírás (FIA_ATD)
6.1.4.1.3 Felhasználói attribútum learás (FIA_ATD.1)
FIA_ATD.1.1 A TSF-nek a következő különböző felhasználókhoz tartozó
biztonsági attribútumlistát kell kezelnie: [Általános
attribútumok, Állapot attribútumok és a Felhasználói
fiók hitelesítési attribútumai, SCD/SVD pár
attribútumok és kép attribútumok].
CoSign Security Target
Revision 1.19 - Confidential –
Page 90 of 133
June 2015
6.1.4.2 Felhasználói hitelesítés (FIA_UAU)
6.1.4.2.1 Hitelesítés időzítése (FIA_UAU.1)
FIA_UAU.1.1 A TSF-nek engednie kell [(1) A felhasználó azonosítását a
FIA_UID.1. által előírt TSF eljárásokkal. (2) Megbízható
útvonal létrehozását a távoli felhasználó és a TOE
között a FTP_TRP.1 által előírt TSF eljárásokkal.] a
felhasználó részére az elvégzését mielőtt a felhasználót
hitelesítené.
FIA_UAU.1.2 A TSF-nek elő kell írnia minden egyes felhazsnáló sikeres
hitelesítését mielőtt engedélyezne bármilyen más TSF által
közvetített tevékenységet azon felhasználó részére.
6.1.4.2.2 Többszörös hitelesítő mechanizmus (FIA_UAU.5)
FIA_UAU.5.1 A TSF-nek biztosítania kell [Statikus felhasználói jelszót és
OTP dinamikus jelszót] hogy támogassa a felhasználói
hitelesítést.
FIA_UAU.5.2 A TSF-nek hitelesíteni kell bármilyen felhasználó nyújtotta
azonosítót a [ha(Alany)Felhasználói_Fiók.Szerepkör =
R.Sigy többszörös hitelesítés kötelező az elektronikus
aláírás művelethez, SCD létrehozáshoz és SCD
visszavonáshoz. Bármely más művelethez mint például
a statikus jelszó megváltoztatása vagy adminisztratív
műveletekhez, a többszörös hitelesítés nem előírás.
Konzollal kapcsolatos műveletekhez a hitelesítés nem
előírás.] szerint.
Alkalmazás megjegyzés:
A többszörös hitelesítés részeként a specifikus fiók SCD elérhető az elektronikus
aláírás művelet elvégzéséhez.
A titkosított SCD mint a speciális AUK az adatbázisból kerül kivonása. Az AUK
titkosított egy olyan kulccsal, amit a globális főkulcs és az aláíró statikus
jelszava épít fel. A visszafejtett AUK a titkosított SCD dekódolására való.
CoSign Security Target
Revision 1.19 - Confidential –
Page 91 of 133
June 2015
6.1.4.3 Felhasználó azonosítás (FIA_UID)
6.1.4.3.1 Hitelesítés időzítése (FIA_UID.1)
FIA_UID.1.1 A TSF-nek engednie kell [ Megbízható útvonal
létrehozását a távoli felhasználó és a TOE között.] a
felhasználó részére az elvégzését mielőtt a felhasználót
hitelesítené.
FIA_UID.1.2 A TSF-nek elő kell írnia minden egyes felhazsnáló sikeres
hitelesítését mielőtt engedélyezne bármilyen más TSF által
közvetített tevékenységet azon felhasználó részére.
Alkalmazás megjegyzés:
Bármilyen kísérlet a TSF-vel kapcsolatos kérelem elvégzésére azt megelőző
hitelesítés nélkül elutasításra kerül anélkül, hogy dedikált bejegyzés készülne
róla az audit naplóba. Vannak specifikus általános parancsok, amik névtelen
parancsként vannak azonosítva és nem írnak elő előzetes felhasználói
hitelesítést.
CoSign Security Target
Revision 1.19 - Confidential –
Page 92 of 133
June 2015
6.1.5 Biztonságkezelés (FMT)
6.1.5.1 TSF funkciók kezelése (FMT_MOF) 6.1.5.1.1 Biztonsági funkciók viselkedésének kezelése (FMT_MOF.1)
FMT_MOF.1.1 A TSF-nek korlátoznia kell a funkiók [engedélyezésének]
képességét [Minden TSF funkcionalitásról] [Eszköz
Adminisztrátorra].
Alkalmazás megjegyzés:
A funkcionalitás a szabotázs utáni visszaállítás funkcióra utal szabotázs esemény
esetén.
6.1.5.2 Biztonsági attribútumok kezelése (FMT_MSA)
6.1.5.2.1 Biztonsági attribútumok kezelése (FMT_MSA.1)
FMT_MSA.1.1/Users-Administrator
A TSF-nek érvényesítenie kell a [Personalization SFP]
hogy korlátozza a képességet hogy [létrehozza] a
biztonsági attribútum [Aktivációs Jelszó adatot] a
[Felhasználó Adminisztrátor].
FMT_MSA.1.1/Signatory
A TSF-nek érvényesítenie kell a [Signature-creation
SFP] hogy korlátozza a képességet hogy [aláíráshoz
használja] a biztonsági attribútum [SCD adatot] az
[Aláíró].
FMT_MSA.1.1/Signatory-SCD-GEN
A TSF-nek érvényesítenie kell a [SCD-GEN SFP] hogy
korlátozza a képességet hogy [létrehozza] a biztonsági
attribútum [SCD adatot, SVD adatot] az [Aláíró].
FMT_MSA.1.1/Signatory-SCD-DISABLE
A TSF-nek érvényesítenie kell a [Revoke-SCD SFP]
hogy korlátozza a képességet hogy [módosítsa] a
biztonsági attribútum [SCD állapotot] az [Aláíró, ha
az SCD állapot= műveleti].
FMT_MSA.1.1/Signatory-SCD-NO-REVERT
A TSF-nek érvényesítenie kell a [Revoke-SCD SFP]
hogy korlátozza a képességet hogy [módosítsa] a
biztonsági attribútum
CoSign Security Target
Revision 1.19 - Confidential –
Page 93 of 133
June 2015
[SCD állapotot] [senki, amikor az SCD állapot =
nem műveleti].
FMT_MSA.1.1/Signatory-CERT-IMP
A TSF-nek érvényesítenie kell a [Cert-IMP SFP]
hogy korlátozza a képességet hogy [módosítsa] a
biztonsági attribútum [SCD egyező tanúsítványt]
az [Aláíró].
FMT_MSA.1.1/Signatory Change Password
A TSF-nek érvényesítenie kell a [Change-Password
SFP] hogy korlátozza a képességet hogy [módosítsa]
a biztonsági attribútum [Statikus jelszó RAD-ot] az
[Aláíró].
FMT_MSA.1.1/Admin-Reg Change Password
A TSF-nek érvényesítenie kell a [Change-Password
SFP] hogy korlátozza a képességet hogy [módosítsa]
a biztonsági attribútum [Bejelentkezési
jelszóadatot] a [Felhasználó Adminisztrátor,
Eszköz Adminisztrátor].
6.1.5.2.2 Biztonságos biztonsági attribútumok (FMT_MSA.2)
FMT_MSA.2.1/Activation-Password-Data
A TSF-nek gondoskodnia kell arról, hogy csak
biztonságos értékeket fogad el [Aktivációs
Jelszóadatnak].
FMT_MSA.2.1/SCD-Status A TSF-nek gondoskodnia kell arról, hogy csak
biztonságos értékeket fogad el [SCD státusznak].
FMT_MSA.2.1/Static-Password-RAD
A TSF-nek gondoskodnia kell arról, hogy csak
biztonságos értékeket fogad el [Statikus jelszó
RAD-nak].
FMT_MSA.2.1/Login-Password-Data
A TSF-nek gondoskodnia kell arról, hogy csak
biztonságos értékeket fogad el [Bejelentkezési
jelszóadatnak].
CoSign Security Target
Revision 1.19 - Confidential –
Page 94 of 133
June 2015
Alkalmazás megjegyzés:
FMT_MSA.2.1/Login-Password-Data nem kerül auditálásra az audit naplóba érvényes aláírói
bejelentkezés esetén.
6.1.5.2.3 Statikus attribútum inicializálás (FMT_MSA.3)
FMT_MSA.3.1
A TSF-nek érvényesítenie kell a [Personalization SFP] hogy
[korlátozó] alapértékeket biztosítson a biztonsági attribútumokhoz,
amiket az SFP érvényesítéséhez használnak.
FMT_MSA.3.2
A TSF-nek engednie kell a [felhasználó adminisztrátorokat] hogy
alternatív kezdeti értékeket adjanak meg, hogy felülírják az
alapértékeket, amikor egy objektum információt hoznak létre.
Alkalmazás megjegyzés:
A felhasználó adminisztrátor leírja a szerepkört és vagy egy statikus jelszót vagy egy
aktivációs jelszót az újonnan létrehozott felhasználónak.
6.1.5.3 Visszavonás (FMT_REV)
6.1.5.3.1 Visszavonás (FMT_REV.1)
FMT_REV.1.1/SCD A TSF-nek korlátoznia kell a képességet, hogy visszavonja
az [Aláíróhoz] rendelt [SCD
attribútumokat] a TSF kizárólagos irányításáról az
[Aláíróéra].
FMT_REV.1.2/SCD A TSF-nek érvényesítenie kell a [“SCD műveletiről”
biztonsági attribútum beállítását “igenről” “nemre”
és megsemmisíteni az SCD-t] szabályokat.
FMT_REV.1.1/Sig-User A TSF-nek korlátoznia kell a képességet, hogy visszavonja
az [bármely felhasználói fiókhoz ahol a
Felhasználói_Fiók.Szerepkör=R.Sigy] rendelt [állapot
attribútumokat] a TSF kizárólagos irányításáról a
[Felhasználó Adminisztrátorra].
FMT_REV.1.2/Sig-User A TSF-nek érvényesítenie kell a [Amikor egy felhasználói
fiók visszavonásra kerül az összes hozzá kapcsolt
aláírói kulcsok, tanúsítványok és képek törlésre
kerülnek.] szabályokat.
FMT_REV.1.1/Admin-User A TSF-nek korlátoznia kell a képességet, hogy
visszavonja az [bármely felhasználói fiókhoz ahol
Felhasználói_Fiók.Szerepkör <> R.Sigy] rendelt
[állapot attribútumokat] a TSF kizárólagos
irányításáról az [Felhasználó Adminisztrátoréra].
CoSign Security Target
Revision 1.19 - Confidential –
Page 95 of 133
June 2015
FMT_REV.1.2/Admin-User
A TSF-nek érvényesítenie kell a [Amikor egy felhasználói
fiók visszavonásra kerül az összes hozzá kapcsolt
információ törlődik.] szabályokat.
6.1.5.4 Kezelői funkció specifikációja (FMT_SMF)
6.1.5.4.1 A kezelői funkciók specifikációi (FMT_SMF.1)
FMT_SMF.1.1 A TSF-nek képesnek kell lennie a következő kezelői
funkciók végrehajtására :[
Audit napló letöltése
Új szoftververzió feltöltése. A frissített szoftvert
Common Criteria tanúsítani kell eszerint vagy egy
frissített biztonsági előirányzat szerint.
Alternatív eszközből Elsődleges eszközt
létrehozni.
Új alternatív eszköz telepítése
Megváltoztatni az elsődleges eszköz alternatív
eszköz listáját
REST szerver TLS kulcs feltöltése
Rendszerparaméterek konfigurációja
Felhasználók kezelése (felhasználó létrehozás,
felhasználó frissítés, felhasználói információ
lekérdezés, felhasználó engedélyezése/tiltása és
felhasználó törlése)
TOE lekapcsolása
TOE szoftver újraindítás
TOE hardver újraindítása
].
CoSign Security Target
Revision 1.19 - Confidential –
Page 96 of 133
June 2015
6.1.5.5 Biztonsági kezelő szerepkörök (FMT_SMR)
6.1.5.5.1 Biztonsági szerepkörök (FMT_SMR.1)
FMT_SMR.1.1 A TSF-nek kezelnie kell a [Eszköz Adminisztátor
(R.ApplianceAdmin), Felhasználói Adminisztrátor
(R.UserAdmin), és Aláíró (R.Sigy)].
FMT_SMR.1.2 A TSF-nek képesnek kell lennie a felhasználókat szerepekhez
kapcsolni.
6.1.6 TSF védelme (FPT)
6.1.6.1 TSF fizikai védelme (FPT_PHP)
6.1.6.1.1 Értesítés fizikai támadásról (FPT_PHP.2)
FPT_PHP.2.1 A TSF-nek egyértelmű észlelést kell biztosítania a fizikai
szabotázsról ami kompromittálhatja a TSF-t.
FPT_PHP.2.2 A TSF-nek biztosítania kell a képességet hogy megállapítsa történt-
e fizikai szabotázs a TSF eszközeivel vagy TSF elemeivel.
FPT_PHP.2.3 A [Teljes eszközt], a TSF-nek ellenőriznie kell az eszközöket és
elemeket és értesítenie kell a [Eszköz Adminisztrátort] amikor a
TSF eszközeit vagy a TSF elemeit fizikai szabotázs érte.
6.1.6.1.2 Fizikai támadás ellenállás (FPT_PHP.3)
FPT_PHP.3.1 A TSF [borításának] ellen kell állnia a [eszköz felnyitásának]
automatikus reacióval, amit az SFR mindig érvényesít.
6.1.6.2 Időbélyegek (FPT_STM)
6.1.6.2.1 Megbízható időbélyegek (FPT_STM.1)
FPT_STM.1.1 A TSF-nek képesnek kell lennie megbízható időbélyegek
nyújtására.
CoSign Security Target
Revision 1.19 - Confidential –
Page 97 of 133
June 2015
6.1.6.3 TSF-en belüli TSF adat konzisztencia (FPT_TDC)
6.1.6.3.1 TSF-en belüli alap TSF adat konzisztencia (FPT_TDC.1)
FPT_TDC.1.1/HIGH-AVAILABILITY
A TSF-nek biztosítania kell a képességét, hogy konzisztensen
értelmezze [Felhasználói Fiók információt (beleértve az
Általános attribútumokat, Állapot attribútumokat és
hitelesítési attribútumokat), SCD információt és képeket]
amikor megosztja a TSF és egy másik megbízható IT termék
között.
FPT_TDC.1.2/HIGH-AVAILABILITY
A TSF-nek használnia kell a [Felhasználói fiók adatintegritását]
amikor más megbízható IT termék felől érkező adatot értelmezi a
TSF.
FPT_TDC.1.1/OTP-VAL-CALLBACK
A TSF-nek biztosítania kell a képességet, hogy konzisztensen
értelmezi a [ Próba OTP és OTP eszköz RAD] amikor megosztja
a TSF és egy másik megbízható IT termék között.
FPT_TDC.1.2/ OTP-VAL-CALLBACK
A TSF-nek használnia kell a [kommunikáció adatintegritását]
amikor más megbízható IT termék felől érkező adatot értelmezi a
TSF.
Alkalmazás megjegyzés:
A Radius szerver meghívja a TOE OTP validációs visszahívását a belső OTP ellenőrzéséhez
az OTP eszköz RAD használatával, amit a Radius szerver biztosít. Az interfész a TLS
biztonságos kommunikációra épít, ami magában foglalja az adatintegritási mechanizmust.
6.1.6.4TSF önteszt (FPT_TST)
6.1.6.4.1 TSF tesztelés (FPT_TST.1)
FPT_TST.1.1 A TSF-nek egy csomagnyi öntesztet kell elvégeznie [a kezdeti
indítása alatt] hogy demonstrálja a [TSF] korrekt működését.
FPT_TST.1.2 A TSF-nek a jogos felhasználóknak a [TSF adatok] integritásának
vizsgálatának képességét kell biztosítania.
FPT_TST.1.3 A TSF-nek a jogos felhasználóknak a TSF futtatható állományok
integritásának vizsgálatának képességét kell biztosítania.
CoSign Security Target
Revision 1.19 - Confidential –
Page 98 of 133
June 2015
6.1.6.5TOE kibocsátás (FPT_EMSEC)
6.1.6.5.1 TOE kibocsátás (FPT_EMSEC.1)
FPT_EMSEC.1.1 A TOE nem bocsáthat ki [energiafogyasztási különbségeket,
elektromágneses sugárzást a belső műveletek miatt, és a
belső állapotokról tranzakció időzítéseket] a [legkorszerűbb
határártéket meghaladó értéket azért, hogy a kibocsátás
értelmezhetetlen legyen] hozzáférést lehetővé téve a
[semmihez] és [RAD, SCD].
FPT_EMSEC.1.2 A TSF-nek biztosítania kell hogy [minden felhasználó] képtelen
használni a következő interfészt [Hálózat Interfész] hogy
hozzáférést szerezzen a [semmihez] és [SCD, RAD].
6.1.7 Megbízható útvonal/csatorna (FTP)
6.1.7.1 TSF-en belüli megbízható csatorna (FTP_ITC)
6.1.7.1.1 TSF-en belüli megbízható csatorna (FTP_ITC.1)
FTP_ITC.1.1/CoSign-Client A TSF-nek kommunikációs csatornát kell biztosítania önmaga
és egy másik megbízható IT termék között, ami logikailag
különáll más kommunikációs csatornáktól és biztosított
azonosítást biztosít a végpontjain és védelmet a csatorna
adatának a módosítás és lelepleződés ellen.
FTP_ITC.1.2/CoSign-Client
A TSF-nek engedélyeznie kell [másik megbízható IT
terméket] hogy kommunikációt kezdeményezhessen a
megbízható csatornán keresztül.
FTP_ITC.1.3/CoSign-Client A TSF-nek megbízható csatornán keresztül kell
kommunikációt kezdeményeznie az [összes eszközkezelő
művelethez, felhasználókezelő művelethez].
FTP_ITC.1.1/Pri-Appl-INC-SIGKEY
A TSF-nek kommunikációs csatornát kell biztosítania önmaga
és egy másik megbízható távoli IT termék között,
CoSign Security Target
Revision 1.19 - Confidential –
Page 99 of 133
June 2015
ami logikailag különáll más kommunikációs csatornáktól és
biztosított azonosítást biztosít a végpontjain és védelmet a
csatorna adatának a módosítás és lelepleződés ellen.
FTP_ITC.1.2/Pri-Appl-INC-SIGKEY
A TSF-nek engedlyeznie kell [a TSF-nek] hogy biztonságos
csatornán keresztül kommunikációt kezdeményezzen.
FTP_ITC.1.3/Pri-Appl-INC-SIGKEY
A TSF-nek biztonságos csatornán keresztül kommunikációt
kell kezdeményeznie [az alternatív eszköz felhasználói
információinak frissítése] végett.
FTP_ITC.1.1/Alt-Appl-INC-SIGKEY
A TSF-nek kommunikációs csatornát kell biztosítania önmaga
és egy másik megbízható távoli IT termék között, ami
logikailag különáll más kommunikációs csatornáktól és
biztosított azonosítást biztosít a végpontjain és védelmet a
csatorna adatának a módosítás és lelepleződés ellen.
FTP_ITC.1.2/Alt-Appl-INC-SIGKEY
A TSF-nek engedlyeznie kell [a TSF-nek] hogy biztonságos
csatornán keresztül kommunikációt kezdeményezzen.
FTP_ITC.1.3/Alt-Appl-INC-SIGKEY
A TSF-nek biztonságos csatornán keresztül kommunikációt
kell kezdeményeznie [az Elsődleges eszköz felől érkező
adatok fogadása] végett.
FTP_ITC.1.1/Radius-Server A TSF-nek kommunikációs csatornát kell biztosítania önmaga
és egy másik megbízható IT termék között, ami logikailag
különáll más kommunikációs csatornáktól és biztosított
azonosítást biztosít a végpontjain és védelmet a csatorna
adatának a módosítás és lelepleződés ellen.
FTP_ITC.1.2/Radius-Server A TSF-nek engedlyeznie kell [más megbízható IT terméknek]
hogy biztonságos csatornán keresztül kommunikációt
kezdeményezzen.
CoSign Security Target
Revision 1.19 - Confidential –
Page 100 of 133
June 2015
FTP_ITC.1.3/Radius-Server A TSF-nek megbízható csatornánk keresztül
kommunikációt kell kezdeményeznie [OTP validációs
visszahívás] végett.
Alkalmazás megjegyzés:
A fentebbiek nem kerülnek auditálásra az audit naplóba, mivel a frissítés forrása az
elsődleges eszközben kerül majd naplózásra (például egy fiók létrehozásakor).
FTP_ITC.1/Radius-Server csak a Radius szerver részéről a Radius szerver IP címe
alapján korlátozza a kommunikációt.
6.1.7.2 Megbízható útvonal (FTP_TRP)
6.1.7.2.1 Megbízható útvonal (FTP_TRP.1)
FTP_TRP.1.1 A TSF-nek kommunikációs útvonalat kell biztosítania önmaga és a
[távoli] felhasználók között, ami logikailag különáll más
kommunikációs csatornáktól és biztosított azonosítást biztosít a
végpontjain és védelmet a csatorna adatának a [módosítás és
lelepleződés] ellen.
FTP_TRP.1.2 A TSF-nek engedlyeznie kell [a távoli felhasználóknak] hogy
biztonságos útvonalon keresztül kommunikációt kezdeményezzen.
FTP_TRP.1.3 A TSF-nek elő kell írnia a megbízható útvonal használatát [kezdeti
felhasználó hitelesítéshez, [felhasználói munkamenethet]].
6.2 Biztonsági garancia követelmények
Ezen TOE garanciaszintje EAL4+ AVA_VAN.5.
Garancia osztály Garancia komponensek
ADV: Fejlesztés - ADV_ARC.1 Biztonsági szerkezet leírás
- ADV_FSP.4 Teljes funkcionális specifikáció
- ADV_IMP.1 TSP implementációs értelmezés
- ADV_TDS.3 Alapvető moduláris tervezés
CoSign Security Target
Revision 1.19 - Confidential –
Page 101 of 133
June 2015
AGD: Útmutató dokumentumok - AGD_OPE.1 Műveleti felhasználói útmutató
- AGD_PRE.1 Előkészítő funkciók
ALC: Életciklus támogatás - ALC_CMC.4 Gyártási támogatás,
elfogadási eljárások és automatizálás
- ALC_CMS.4 Problémakövető CM lefedettség
- ALC_DEL.1 Kézbesítő eljárások
- ALC_DVS.1 Biztonsági intézkedések azonosítása
- ALC_LCD.1 Fejlesztő által leírt életciklus modell
- ALC_TAT.1 Jól meghatározott fejlesztői eszközök
ASE: Biztonsági előirányzat kiértékelés - ASE_CCL.1 Megfelelőségi igények
- ASE_ECD.1 Kiterjesztett komponens leírás
- ASE_INT.1 ST bemutatás
- ASE_OBJ.2 Biztonsági célok
- ASE_REQ.2 Származtatott biztonsági követelmények
- ASE_SPD.1 Biztonsági problémaleírás
- ASE_TSS.1 TOE összefoglaló leírás
ATE: Tesztek - ATE_COV.2 Lefedettség elemzése
- ATE_DPT.2 Tesztelés:biztonság érvényesítő modulok
- ATE_IND.2 Független tesztelés - minta
- ATE_FUN.1 Funkcionális tesztelés
AVA: Sérülékenység értékelés - - AVA_VAN.5 Részletes módszertani sebezhetőség-
elemzés
9.Táblázat – Biztosíték követelmények: EAL4+ AVA_VAN.5
CoSign Security Target
Revision 1.19 - Confidential –
Page 102 of 133
June 2015
SFR függőség kielégítő táblázat következik:
Követelmény Függőségek
FAU_GEN.1 - FPT_STM.1
FAU_GEN.2 - FAU_GEN.1
- FIA_UID.1
FCS_CKM.1/SIGNATURE-KEY - FCS_COP.1/CORRESP
- FCS_COP.1/SIGNING
- FCS_CKM.4
FCS_CKM.1/SYMMETRIC-KEY - FCS_COP.1/DATA-INTEG
- FCS_COP.1/AUK-ENCRYPTION
- FCS_CKM.4
FCS_CKM.4 - FCS_CKM.1
- FDP_ITC.2/ HA-ALT-REPL-INC-SIGKEY
FCS_COP.1/CORRESP - FCS_CKM.1/SIGNATURE-KEY
- FCS_CKM.4
FCS_COP.1/SIGNING - FCS_CKM.1/SIGNATURE-KEY
- FCS_CKM.4
FCS_COP.1/DATA-INTEG - FCS_CKM.1/SYMMETRIC-KEY
- FCS_CKM.4
FCS_COP.1/AUK-ENCRYPTION - FCS_CKM.1/SYMMETRIC-KEY
- FCS_CKM.4
FCS_COP.1/KEY-ENCRYPTION - FCS_CKM.1/SYMMETRIC-KEY
- FCS_CKM.4
FDP_ACC.1/Personalisation SFP - FDP_ACF.1/Personalisation SFP
FDP_ACC.1/Activation SFP - FDP_ACF.1/Activation SFP
FDP_ACC.1/SCD-GEN SFP - FDP_ACF.1/SCD-GEN SFP
FDP_ACC.1/Cert-IMP SFP - FDP_ACF.1/Cert-IMP SFP
FDP_ACC.1/Signature-Creation SFP - FDP_ACF.1/Signature-Creation SFP
FDP_ACC.1/SVD-Transfer SFP - FDP_ACF.1/SVD-Transfer SFP
FDP_ACC.1/Unlock-User SFP - FDP_ACF.1/Unlock-User SFP
FDP_ACC.1/Enable-User SFP - FDP_ACF.1/Enable-User SFP
FDP_ACC.1/Disable-User SFP - FDP_ACF.1/Disable-User SFP
FDP_ACC.1/Export-Certs SFP - FDP_ACF.1/Export-Certs SFP
FDP_ACC.1/Export-Gr-Imgs SFP - FDP_ACF.1/Export-Gr-Imgs SFP
FDP_ACC.1/Import-Gr-Img SFP - FDP_ACF.1/Import-Gr-Img SFP
FDP_ACC.1/Revoke-User SFP - FDP_ACF.1/Revoke-User SFP
FDP_ACC.1/Appliance-Admin SFP - FDP_ACF.1/Appliance-Admin SFP
FDP_ACC.1/Change-Password SFP - FDP_ACF.1/Change-Password SFP
FDP_ACC.1/Revoke-SCD SFP - FDP_ACF.1/Revoke-SCD SFP
FDP_ACF.1/Personalisation SFP - FDP_ACC.1/Personalisation
- FMT_MSA.3
FDP_ACF.1/Activation SFP - FDP_ACC.1/Activation
- FMT_MSA.3
CoSign Security Target
Revision 1.19 - Confidential –
Page 103 of 133
June 2015
Követelmény Függőségek
FDP_ACF.1/SCD-GEN SFP - FDP_ACC.1/SCD-GEN
- FMT_MSA.3
FDP_ACF.1/Cert-IMP SFP - FDP_ACC.1/Cert-IMP
- FMT_MSA.3
FDP_ACF.1/Signature-Creation SFP - FDP_ACC.1/Signature-Creation
- FMT_MSA.3
FDP_ACF.1/SVD-Transfer SFP - FDP_ACC.1/SVD-Transfer
- FMT_MSA.3
FDP_ACF.1/Unlock-User SFP - FDP_ACC.1/Unlock-User SFP
- FMT_MSA.3
FDP_ACF.1/Enable-User SFP - FDP_ACC.1/Enable-User SFP
- FMT_MSA.3
FDP_ACF.1/Disable-User SFP - FDP_ACC.1/Disable-User SFP
- FMT_MSA.3
FDP_ACF.1/Export-Certs SFP - FDP_ACC.1/Export-Certs SFP
- FMT_MSA.3
FDP_ACF.1/Export-Gr-Imgs SFP - FDP_ACC.1/Export-Gr-Imgs SFP
- FMT_MSA.3
FDP_ACF.1/Import-Gr-Img SFP - FDP_ACC.1/Import-Gr-Img SFP
- FMT_MSA.3
FDP_ACF.1/Revoke-User SFP - FDP_ACC.1/Revoke-User SFP
- FMT_MSA.3
FDP_ACF.1/Appliance-Admin SFP - FDP_ACC.1/Appliance-Admin SFP
- FMT_MSA.3
FDP_ACF.1/Change-Password SFP - FDP_ACC.1/Change-Password SFP
- FMT_MSA.3
FDP_ACF.1/Revoke-SCD SFP - FDP_ACC.1/Revoke-SCD SFP
- FMT_MSA.3
FDP_ETC.1/SVD Transfer - FDP_ACC.1/SVD-Transfer SFP
FDP_ETC.1/Export-Certs - FDP_ACC.1/Export-Certs SFP
FDP_ETC.1/Export-Gr-Imgs - FDP_ACC.1/Export-Gr-Imgs SFP
FDP_ETC.2 - FDP_IFC.1/HA-PRI-REPL-NO-SIGKEY SFP
FDP_IFC.1/HA-PRI-REPL-INC-
SIGKEY SFP
- FDP_IFF.1/HA-PRI-REPL-INC-SIGKEY SFP
FDP_IFC.1/HA-ALT-REPL-INC-
SIGKEY SFP
- FDP_IFF.1/HA-ALT-REPL-INC-SIGKEY SFP
FDP_IFC.1/OTP-VAL-CALLBACK
SFP
- FDP_IFF.1/OTP-VAL-CALLBACK SFP
FDP_IFF.1/HA-PRI-REPL-INC-
SIGKEY SFP - FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP
- FMT_MSA.3
FDP_IFF.1/HA-ALT-REPL-INC-
SIGKEY SFP - FDP_IFC.1/HA-ALT-REPL-INC-SIGKEY SFP
- FMT_MSA.3
FDP_IFF.1/OTP-VAL-CALLBACK
SFP - FDP_IFC.1/OTP-VAL-CALLBACK SFP
- FMT_MSA.3
CoSign Security Target
Revision 1.19 - Confidential –
Page 104 of 133
June 2015
Követelmény Függőségek
FDP_ITC.1/TOE-DTBS/R - FDP_ACC.1/Signature-Creation SFP
- FMT_MSA.3
FDP_ITC.1/GRIMG - FDP_ACC.1/Import-Gr-Img SFP
- FMT_MSA.3
FDP_ITC.1/CERTIFICATE - FDP_ACC.1/Cert-IMP SFP
- FMT_MSA.3
FDP_ITC.2/ HA-ALT-REPL-INC-
SIGKEY - FDP_IFC.1/HA-ALT-REPL-INC-SIGKEY SFP
- FTP_ITC.1/Alt-Appl-INC-SIGKEY
- FPT_TDC.1/HIGH-AVAILABILITY
FDP_ITC.2/ OTP-VAL-CALLBACK - FDP_IFC.1/OTP-VAL-CALLBACK SFP
- FTP_ITC.1/Radius-Server
- FPT_TDC.1/OTP-VAL-CALLBACK
FDP_SDI.2 -
FDP_UCT.1/TOE-PRI-REPL-CONF-
INC-SIGKEY - FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP
- FTP_ITC.1/Pri-Appl-INC-SIGKEY
- FTP_ITC.1/Alt-Appl-INC-SIGKEY
FDP_UCT.1/TOE-ALT-REPL-CONF-
INC-SIGKEY - FDP_IFC.1/HA-ALT-REPL-INC-SIGKEY SFP
- FTP_ITC.1/Pri-Appl-INC-SIGKEY
- FTP_ITC.1/Alt-Appl-INC-SIGKEY
FDP_UIT.1/SVD-Transfer - FDP_ACC.1/SVD-Transfer SFP
- FTP_ITC.1/CoSign-Client
FDP_UIT.1/TOE-DTBS/R - FDP_ACC.1/Signature-Creation SFP
- FTP_ITC.1/CoSign Client
FDP_UIT.1/TOE-ALT-REPL-INC-
SIGKEY - FDP_IFC.1/HA-ALT-REPL-INC-SIGKEY SFP
- FTP_ITC.1/Alt-Appl-INC-SIGKEY
FIA_AFL.1 - FIA_UAU.1
FIA_ATD.1 -
FIA_UAU.1 - FIA_UID.1
FIA_UAU.5 -
FIA_UID.1 -
FMT_MOF.1 - FMT_SMR.1
- FMT_SMF.1
FMT_MSA.1/Users-Administrator - FDP_ACC.1/Personalisation SFP
- FMT_SMR.1
- FMT_SMF.1
FMT_MSA.1/Signatory - FDP_ACC.1/Signature-Creation SFP
- FMT_SMR.1
- FMT_SMF.1
FMT_MSA.1/Signatory-SCD-GEN - FDP_ACC.1/SCD-GEN SFP
- FMT_SMR.1
- FMT_SMF.1
FMT_MSA.1/Signatory-SCD-
DISABLE - FDP_ACC.1/Revoke-SCD SFP
- FMT_SMR.1
- FMT_SMF.1
CoSign Security Target
Revision 1.19 - Confidential –
Page 105 of 133
June 2015
Követelmény Függőségek
FMT_MSA.1/Signatory-SCD-NO-
REVERT - FDP_ACC.1/Revoke-SCD SFP
- FMT_SMR.1
- FMT_SMF.1
FMT_MSA.1/Signatory-CERT-IMP - FDP_ACC.1/Cert-IMP SFP
- FMT_SMR.1
- FMT_SMF.1
FMT_MSA.1/Signatory-Change
Password - FMT_SMR.1
- FMT_SMF.1
- FDP_ACC.1/Change-Password SFP
FMT_MSA.1/Admin-Change-
Password - FMT_SMR.1
- FMT_SMF.1
- FDP_ACC.1/Change-Password SFP
FMT_MSA.2/Activation-Password-
Data - FDP_ACC.1/Personalisation SFP
- FDP_ACC.1/Activation SFP
- FMT_MSA.1/Users-Administrator
- FMT_SMR.1
FMT_MSA.2/SCD-Status - FDP_ACC.1/SCD-GEN SFP
- FDP_ACC.1/Cert-IMP SFP
- FMT_MSA.1/Signatory-SCD-GEN
- FMT_MSA.1/Signatory-SCD-DISABLE
- FMT_MSA.1/Signatory-SCD-NO-REVERT
- FMT_SMR.1
FMT_MSA.2/Static-Password-RAD - FDP_ACC.1/Activation SFP
- FDP_ACC.1/Change-Password SFP
- FMT_MSA.1/Signatory-Change-Password
- FMT_SMR.1
FMT_MSA.2/Login-Password-Data - FDP_ACC.1/Personalisation SFP
- FDP_ACC.1/Change-Password SFP
- FMT_MSA.1/Admin-Change-Password
- FMT_SMR.1
FMT_MSA.3 - FMT_MSA.1/Users-Administrator
- FMT_SMR.1
FMT_REV.1/SCD - FMT_SMR.1
FMT_REV.1/User - FMT_SMR.1
FMT_SMF.1 -
FMT_SMR.1 - FIA_UID.1
FPT_PHP.2 - FMT_MOF.1
FPT_PHP.3 -
FPT_STM.1 -
FPT_TDC.1/HIGH-AVAILABILITY -
FPT_TDC.1/OTP-VAL-CALLBACK -
FPT_TST.1 -
FPT_EMSEC.1 -
FTP_ITC.1/CoSign-Client -
CoSign Security Target
Revision 1.19 - Confidential –
Page 106 of 133
June 2015
Követelmény Függőségek
FTP_ITC.1/Pri-Appl-INC-SIGKEY -
FTP_ITC.1/Alt-Appl-INC-SIGKEY -
FTP_ITC.1/Radius-Server -
FTP_TRP.1 -
10.Táblázat - SFR függőség kielégítő táblázat
CoSign Security Target
Revision 1.19 - Confidential –
Page 107 of 133
June 2015
6.3 Biztonsági követelmények indoklása
6.3.1 Biztonsági követelmény lefedettség
A következő táblázat a TOE számára a Biztonsági Funkcionális Követelmények és a biztonsági
célkitűzések közötti nyomkövetést adja.
TOE SFR / TOE Biztonsági célkitűzések O
T.E
MS
EC
_D
esig
n
OT
.Lif
ecycle
_S
ecu
rit
y
OT
.SC
D_
Se
cre
cy
OT
.SC
D_
SV
D_
Co
rresp
OT
.Ta
mp
er_
ID
OT
.Ta
mp
er_
Resis
tan
ce
OT
.SC
D/
SV
D_
Ge
n
OT
.SC
D_
Un
iqu
e
OT
.DT
BS
_In
teg
rit
y_
TO
E
OT
.Sig
y_
Sig
F
OT
.Sig
_S
ecu
re
OT
.Sig
nato
ry_
Au
th
OT
.Ad
min
Au
th
OT
.Acco
un
t_S
ep
arati
on
OT
.Acco
un
t_A
cti
vati
on
OT
.UserA
cco
un
tData
Pro
tec
OT
.Ke
ys&
Se
cretD
ata_
Ge
n
FAU_GEN.1 X
FAU_GEN.2 X
FCS_CKM.1/SIGNATURE-KEY X X X X
FCS_CKM.1/SYMMETRIC-KEY X X X X
FCS_CKM.4 X X
FCS_COP.1/CORRESP X
FCS_COP.1/SIGNING X
FCS_COP.1/DATA-INTEG X
FCS_COP.1/AUK-ENCRYPTION X
FCS_COP.1/KEY-ENCRYPTION X X
FDP_ACC.1/Personalisation SFP X X X X
FDP_ACC.1/Activation SFP X X X X X
FDP_ACC.1/SCD-GEN SFP X X X X X FDP_ACC.1/Cert-IMP SFP X X X X FDP_ACC.1/Signature-Creation SFP X X X X X FDP_ACC.1/SVD-Transfer SFP X X X X FDP_ACC.1/Unlock-User SFP X X FDP_ACC.1/Enable-User SFP X X FDP_ACC.1/DIsable-User SFP X X FDP_ACC.1/Export-Certs SFP X FDP_ACC.1/Export-Gr-Imgs SFP X FDP_ACC.1/Import-Gr-Img SFP X FDP_ACC.1/Revoke-User SFP X X FDP_ACC.1/Appliance-Admin SFP X X FDP_ACC.1/Change-Password SFP X X FDP_ACC.1/Revoke-SCD SFP X X X X FDP_ACF.1/Personalisation SFP X X X X FDP_ACF.1/Activation SFP X X X X X
CoSign Security Target
Revision 1.19 - Confidential –
Page 108 of 133
June 2015
TOE SFR / TOE Biztonsági célkitűzések
OT
.EM
SE
C_
Desig
n
OT
.Lif
ecycle
_S
ecu
rit
y
OT
.SC
D_
Se
cre
cy
OT
.SC
D_
SV
D_
Co
rresp
OT
.Ta
mp
er_
ID
OT
.Tam
pe
r_
Resis
tan
ce
OT
.SC
D/
SV
D_
Gen
OT
.SC
D_
Un
iqu
e
OT
.DT
BS
_In
teg
rit
y_
TO
E
OT
.Sig
y_
Sig
F
OT
.Sig
_S
ecu
re
OT
.Sig
nato
ry_
Au
th
OT
.Ad
min
Au
th
OT
.Acco
un
t_S
ep
arati
on
OT
.Acco
un
t_
Acti
vati
on
OT
.UserA
cco
un
tData
Pro
tec
OT
.Keys&
Se
cretD
ata
_G
en
FDP_ACF.1/SCD-GEN SFP X X X X X FDP_ACF.1/Cert-IMP SFP X X X FDP_ACF.1/Signature-Creation SFP X X X X X FDP_ACF.1/SVD-Transfer SFP X X X FDP_ACF.1/Unlock-User SFP X X FDP_ACF.1/Enable-User SFP X X FDP_ACF.1/Disable-User SFP X X FDP_ACF.1/Export-Certs SFP X FDP_ACF.1/Export-Gr-Imgs SFP X FDP_ACF.1/Import-Gr-Img SFP X FDP_ACF.1/Revoke-User SFP X X FDP_ACF.1/Appliance-Admin SFP X FDP_ACF.1/Change-Password SFP X X FDP_ACF.1/Revoke-SCD SFP X X X X FDP_ETC.1/SVD Transfer SFP X FDP_ETC.1/Export-Certs X FDP_ETC.1/Export-Gr-Imgs X FDP_ETC.2 X X X X X FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP X X X X X FDP_IFC.1/HA-ALT-REPL-INC-SIGKEY SFP X X X X X FDP_IFC.1/OTP-VAL-CALLBACK SFP X FDP_IFF.1/HA-PRI-REPL-INC-SIGKEY SFP X X X X X FDP_IFF.1/HA-ALT-REPL-INC-SIGKEY SFP X X X X X FDP_IFF.1/OTP-VAL-CALLBACK X FDP_ITC.1/TOE-DTBS/R X X FDP_ITC.1/GRIMG X FDP_ITC.1/CERTIFICATE X FDP_ITC.2/ HA-ALT-REPL-INC-SIGKEY X X X X X FDP_SDI.2 X X X X X FDP_UCT.1/TOE-PRI-REPL-CONF-INC-
SIGKEY X X X X X
FDP_UCT.1/TOE-ALT-REPL-CONF-INC-
SIGKEY X X X X X
FDP_UIT.1/SVD-Transfer X FDP_UIT.1/TOE-DTBS/R X X FDP_UIT.1/TOE-ALT-REPL-INC-SIGKEY X X X X X FIA_AFL.1 X X X FIA_ATD.1 X X X FIA_UAU.1 X X X FIA_UAU.5 X X X X X FIA_UID.1 X X X X X FMT_MOF.1 X X X X FMT_MSA.1/Users-Administrator X X X FMT_MSA.1/Signatory X X X
CoSign Security Target
Revision 1.19 - Confidential –
Page 109 of 133
June 2015
TOE SFR / TOE Biztonsági célkitűzések
OT
.EM
SE
C_
Desig
n
OT
.Lif
ecycle
_S
ecu
rit
y
OT
.SC
D_
Se
cre
cy
OT
.SC
D_
SV
D_
Co
rresp
OT
.Ta
mp
er_
ID
OT
.Tam
pe
r_
Resis
tan
ce
OT
.SC
D/
SV
D_
Gen
OT
.SC
D_
Un
iqu
e
OT
.DT
BS
_In
teg
rit
y_
TO
E
OT
.Sig
y_
Sig
F
OT
.Sig
_S
ecu
re
OT
.Sig
nato
ry_
Au
th
OT
.Ad
min
Au
th
OT
.Acco
un
t_S
ep
arati
on
OT
.Acco
un
t_
Acti
vati
on
OT
.UserA
cco
un
tData
Pro
tec
OT
.Keys&
Se
cretD
ata
_G
en
FMT_MSA.1/Signatory-SCD-GEN X X X X FMT_MSA.1/Signatory-SCD-DISABLE X X X X FMT_MSA.1/Signatory-SCD-NO-REVERT X X X X FMT_MSA.1/Signatory-CERT-IMP X X X FMT_MSA.1/Signatory-Change- Password X X X FMT_MSA.1/Admin-Change-Password X FMT_MSA.2/Activation-Password-Data X X X X FMT_MSA.2/SCD-Status X X X FMT_MSA.2/Static-Password-RAD X X X FMT_MSA.2/Login-Password-Data X X X FMT_MSA.3 X X FMT_REV.1/SCD X X FMT_REV.1/User X FMT_SMF.1 X X FMT_SMR.1 X X X X FPT_PHP.2 X X
FPT_PHP.3 X X X
FPT_STM.1 X FPT_TDC.1/HIGH-AVAILABILITY X X X X X FPT_TDC.1/OTP-VAL-CALLBACK X FPT_TST.1 X X X FPT_EMSEC.1 X X FTP_ITC.1/CoSign-Client X FTP_ITC.1/Pri-Appl-INC-SIGKEY X X X X X FTP_ITC.1/Alt-Appl-INC-SIGKEY X X X X X FTP_ITC.1/Radius-Server X FTP_TRP.1 X X X
11.Táblázat– Biztonsági Követelmények és TOE Biztonsági Célkitűzések megfeleltetése
CoSign Security Target
Revision 1.19 - Confidential –
Page 110 of 133
June 2015
6.3.2 Biztonsági Követelmények nyomkövetés indokolás
A következő rész indoklást nyújt a fentebbi megfeleltetéshez.
OT.EMSEC_Design (Fizikai kibocsátás biztonságot nyújt) lefedi, hogy
semmilyen értelmezhető információ ne kerüljön kibocsátásra. Ezt az
FPT_EMSEC.1 nyújtja.
OT.Lifecycle_Security (Életciklus biztonság). Az FPT_TST.1 teszt funkciók
hibadetektálást nyújtanak a teljes életciklus alatt.
SCD/SVD létrehozó FCS_CKM.1/SIGNATURE-KEY, SCD használó
FCS_COP.1/SIGNING, SCD megsemmisítő FCS_CKM.4 és FMT_REV.1/SCD a
kriptográfiailag biztonságos SCD életciklusát biztosítja.
FDP_ACC.1/Pesonalization SFP, FDP_ACF.1/Pesonalization SFP,
FDP_ACC.1/Activation SFP, FDP_ACF.1/Activation SFP, FDP_ACC.1/SCD- GEN
SFP, FDP_ACF.1/SCD-GEN SFP, FDP_ACC.1/SVD-Transfer SFP,
FDP_ACF.1/SVD-Transfer SFP, FDP_ACC.1/Cert-IMP SFP, FDP_ACF.1/Cert- IMP
SFP is életciklus biztonságot nyújt akár az SCD, akár a felhasználói fiók részére.
Az SCD biztosított hozzáférés-szabályozás által FDP_ACC.1/Signature-creation
SFP, FDP_ACF.1/Signature-creation SFP ami a biztonsági attribútum biztonságos
TSF kezelésen alapul az FMT_MOF.1, FMT_MSA.1/Users-Administrator,
FMT_MSA.1/Signatory, FMT_MSA.1/Signatory-SCD-GEN, FDP_ACC.1/Revoke-
SCD SFP, FDP_ACF.1/Revoke-SCD SFP, FMT_MSA.1/Signatory-SCD-DISABLE,
FMT_MSA.1/Signatory-SCD-NO-REVERT, FMT_MSA.1/Signatory-CERT-IMP,
FMT_MSA.2/Activation-Password-Data, FMT_MSA.2/SCD-STATUS,
FMT_MSA.2/Static-Password-RAD, FMT_MSA.2/Static-Password-Data,
FMT_MSA.3, FMT_SMF.1 és FMT_SMR.1 szerint.
FDP_ACC.1/Revoke-User SFP, FDP_ACF.1/Revoke-User SFP, and
FMT_REV.1/User a felhasználói fiók és a felhasználói összes SCD visszavonását
biztosítja.
FDP_ACC.1/Unlock-User SFP, FDP_ACF.1/Unlock-User SFP, FDP_ACC.1/Enable-
User SFP, FDP_ACF.1/Enable-User SFP, FDP_ACC.1/Disable-User SFP,
FDP_ACF.1/Disable-User SFP, letiltja a felhasználót bármilyen művelet
elvégzéséről amíg az adminisztrátor úgy nem dönt, hogy engedi a felhasználót új
aláíró kulcs feltöltése nélkül.
FAU_GEN.1, FAU_GEN.2 és FPT_STM.1 bármilyen, biztonsággal kapcsolatos
problémát jelent.
OT.SCD_Secrecy (Aláírás-létrehozó adat titkossága). OT.SCD_Secrecy a
FDP_ACC.1/SCD-GEN SFP és FDP_ACF.1/SCD-GEN SFP által definiált biztonsági
funkciók által van biztosítva, tami biztosítja, hogy csak jogosult felhasználó
tudjon SCD-t létrehozni. FCS_CKM.1/SYMMETRIC-KEY, FCS_COP.1/AUK-
ENCRYPTION és FCS_COP.1/KEY-ENCRYPTION biztosítja, hogy az SCD titkosítva
kerül tárolásra a belső merevlemezen egy olyan titkosító kulcs használatával,
ami a Kritikus kulcs titkosító kulcs és az aláíró statikus jelszavának
kombinációja.
CoSign Security Target
Revision 1.19 - Confidential –
Page 111 of 133
June 2015
A hitelesítő és hozzáférés kezelő funkciókat a FMT_MOF.1,
FMT_MSA.1(FMT_MSA.1/Signatory-SCD-GEN, FDP_ACC.1/Revoke-SCD SFP,
FDP_ACF.1/Revoke-SCD SFP, FMT_MSA.1/Signatory-SCD-DISABLE,
FMT_MSA.1/Signatory-SCD-NO-REVERT), FMT_MSA.2(FMT_MSA.2/SCD-
Status), FMT_MSA.3 és FMT_SMR.1 íja le, biztosítva, hogy csak az aláíró legyen
képes az SCD haználatára így elkerülhető, hogy egy támadó információt
szerezzen róla. A biztonsági funkciókat, amiket a by FMT_REV.1/SCD és
FCS_CKM.4 ír le, biztosítja, hogy az SCD maradvány információi is
megsemmisítésre kerülnek miután az SCD-t aláírás létrehozáshoz használták és
az SCD megsemmisítése ne hagyjon maradvány információt.
Kriptográfiai minősége az SCD/SVD párnak meg kell, hogy előzze az SCD
kriptográfiai támadás általi közzétételét a nyilvános SVD használatával.
Amikor az SCD információt átküldik, a következő SFR-ek biztosítják az SCD
titkosságát: FDP_ETC.2, FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP,
FDP_IFC.1/HA-ALT-REPL-INC-SIGKEY SFP, FDP_IFF.1/HA-PRI-REPL-INC- SIGKEY
SFP, FDP_IFF.1/HA-ALT-REPL-INC-SIGKEY SFP, FDP_ITC.2/HA- ALT-REPL-INC-
SIGKEY, FDP_UCT.1/TOE-PRI-REPL-CONF-INC-SIGKEY, FDP_UCT.1/TOE-ALT-
REPL-CONF-INC-SIGKEY, FDP_UIT.1/TOE-ALT-REPL- INC-SIGKEY,
FPT_TDC.1/HIGH-AVAILABILITY, FTP_ITC.1/Pri-Appl-INC-
SIGKEY, FTP_ITC.1/Alt-Appl-INC-SIGKEY. FDP_SDI.2 gondoskodik arról, hogy
biztonsággal kapcsolatos információt leellenőrzi egy adatintegtitási
tulajdonságához képest mielőtt használja azt.
Csak megfelelő többfaktoros FIA_UAU.5 alapú hitelesítést követően tudja az
aláíró visszafejteni az SCD-t és elektronikus aláírás műveletet elvégezni. Az SCD
egy speciális AUK hazsnálatával lett titkosítva, ami egy globális titkos főkulcs és
az aláíró statikus jelszava alapján lett titkosítva.
FMT_MSA.1/Signatory-Change-Password újratitkosítja az AUK-ot, így hatással van
az SCD titkosságára. FPT_TST.1 leteszteli a TOE. SFR FPT_EMSEC.1 és FPT_PHP.3
munkakörülményeit és előír további biztonsági funkciókat, a TOE. SFR
FPT_EMSEC.1 and FPT_PHP.3 előír további biztonsági funkciókat a TOE részére
hogy biztosítsa az SCD bizalmasságot.
OT.SCD_SVD_Corresp (Kapcsolat az SVD és SCD között) megcélozza, hogy
az SVD kapcsolódik az SCD-hez, amit a TOE implementál. A kapcsolódó SVD/SCD
párok létrehozását FCS_CKM.1/SIGNATURE-KEY által meghatározott algoritmus
biztosítja. A kriptográfiai kapcsolatot a FCS_COP.1/CORRESP biztosítja.
SCD információ átvitelekor az SCD titkosságát a következő SFR-ek biztosítják:
FDP_ETC.2, FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP, FDP_IFC.1/HA-ALT-REPL-
INC-SIGKEY SFP, FDP_IFF.1/HA-PRI-REPL-INC- SIGKEY SFP, FDP_IFF.1/HA-ALT-
REPL-INC-SIGKEY SFP, FDP_ITC.2/ HA- ALT-REPL-INC-SIGKEY, FDP_UCT.1/TOE-
PRI-REPL-CONF-INC-SIGKEY, FDP_UCT.1/TOE-ALT-REPL-CONF-INC-SIGKEY,
FDP_UIT.1/TOE-ALT-REPL-INC-SIGKEY FPT_TDC.1/HIGH-AVAILABILITY,
FTP_ITC.1/Pri-Appl-INC- SIGKEY, FTP_ITC.1/Alt-Appl-INC-SIGKEY.
FDP_SDI.2 gondoskodik arról, hogy biztonsággal kapcsolatos információt
leellenőrzi egy adatintegtitási tulajdonságához képest mielőtt használja azt.
CoSign Security Target
Revision 1.19 - Confidential –
Page 112 of 133
June 2015
OT.Tamper_ID (Szabotázs érzékelés) FPT_PHP.2 biztosítja fizikai támadások
passzív érzékelésének eszközeivel.
OT.Tamper_Resistance (Szabotázs ellenállás) FPT_PHP.3 nyújtja, hogy
fizikai támadásnak ellenálljon.
OT.SCD/SVD_Gen (SCD/SVD létrehozás) megcélozza, hogy az SCD/SVD pár
létrehozása megfelelő felhasználói hitelesítést igényel.
FDP_ACC.1/Personalisation SFP, FDP_ACC.1/Activation SFP,
FDP_ACF.1/Personalisation SFP and FDP_ACF.1/Activation SFP biztosítja, hogy az
aláíró csak akkor tudjon új SCD-t létrehozni, ha a fiók megfelelően beállított és
aktivált.
Az SFR FDP_ACC.1/SCD-GEN SFP és FDP_ACF.1/SCD-GEN SFP hosszáférés-
szabályozást biztosít az SCD/SVD létrehozáshoz.
FIA_ATD.1 a RAD-ot mint kapcsolódó felhasználói attribútum írja le. Az
FIA_UID.1, FIA_UAU.1 és FIA_UAU.5 által specifikált TSF felhasználói
azonosítást biztosít és felhasználói hitelesítést a jogosultságot igénylő funkciók
engedélyezése előtt.
A hitelesített felhasználók attribútumait a FMT_MSA.2/Activation- Password-Data,
FMT_MSA.2/Static-Password-RAD, FMT_MSA.2/Login- Password-Data,
FMT_MSA.1/Users-Administrator és FMT_MSA.3 nyújtja vagy a statikus
attribútum inicializáció.
Az erőfeszítést, hogy megkerülje a hozzáférés-szabályozást egy frontális
kimerítő támadással a FIA_AFL.1 által kerül blokkolásra.
OT.SCD_Unique (Aláírás-létrehozó adat egyedisége) implementálja a
gyakorlatilag egyedi SCD-t, ahogy az a Direktíva [1] 3. Mellékletének 1 (a)
cikkében szerepel, amit a FCS_CKM.1/SIGNATURE-KEY által leírt kriptográfiai
algoritmusok nyújtanak.
OT.DTBS_Integrity_TOE (DTBS/R verifikáció) lefedi, hogy a DTBS/R
integritását nem módosítja a TOE. Ezt a megbízható csatorna integritását
ellenőrző mechanizmusok biztosítják: FDP_ITC.1/TOE-DTBS/R, FTP_ITC.1/CoSign-
Client, és a FDP_UIT.1/TOE-DTBS/R. A FDP_ACC.1/Signature-Creation SFP és
FDP_ACF.1/Signature-Creation SFP hozzáférés-szabályozás követelményei a
jogosulatlan feleket visszatartják a DTBS/R megváltoztatásától.
OT.Sigy_SigF (Csak a jogosult aláíró számára aláírás létrehozó funkció)
a FIA_UAU.5 és FIA_UID.1 biztosítja, ami gondoskodik arról, hogy semmilyen
létrehozó funkciót ne lehessen meghívni mielőtt az aláíró azonosított és
hitelesített.
CoSign Security Target
Revision 1.19 - Confidential –
Page 113 of 133
June 2015
Az FDP_ACC.1/Personalisation SFP , FDP_ACC.1/Activation SFP, FDP_ACC.1/SCD-
GEN SFP, FDP_ACC.1/SVD-
Transfer SFP, FDP_ACC.1/Cert-IMP SFP, FDP_ACC.1/Signature-Creation SFP,
FDP_ACF.1/Personalisation SFP, FDP_ACF.1/Activation SFP, FDP_ACF.1/SCD-GEN
SFP, FDP_ACF.1/SVD-Transfer SFP ,
FDP_ACF.1/Cert-IMP SFP , FDP_ACF.1/Signature-Creation SFP, FMT_SMR.1
által biztosított biztonsági funkciók gondoskodnak arról, hogy az aláíró folyamat
azaláíróra van korlátozva.
A FIA_ATD.1, FMT_MOF.1, FMT_MSA.2 és FMT_MSA.3 által biztosított biztonsági
funkciók gondoskodnak arról, az aláírás létrehozó funkciókhoz való hozzáférés az
aláíró kizárólagos irányítása alatt marad, akár csak a FMT_MSA.1/Signatory,
FMT_MSA.1/Signatory-SCD-GEN, FDP_ACC.1/Revoke-SCD SFP, FDP_ACF.1/Revoke-
SCD SFP , FMT_MSA.1/Signatory-SCD-DISABLE, FMT_MSA.1/Signatory-SCD-NO-
REVERT, FMT_MSA.1/Signatory-CERT-IMP biztosítja, hogy a kapcsolódó Biztonsági
attribútumok irányítása az aláíró irányítása alatt áll.
Amikor SCD információt visznek át, a következő SFR-ek biztosítják az SCD
titkosságát; FDP_ETC.2, FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP, FDP_IFC.1/HA-
ALT-REPL-INC-SIGKEY SFP, FDP_IFF.1/HA-PRI-REPL-INC- SIGKEY SFP,
FDP_IFF.1/HA-ALT-REPL-INC-SIGKEY SFP, FDP_ITC.2/ HA- ALT-REPL-INC-SIGKEY,
FDP_UCT.1/TOE-PRI-REPL-CONF-INC-SIGKEY, FDP_UCT.1/TOE-ALT-REPL-CONF-
INC-SIGKEY, FDP_UIT.1/TOE-ALT-REPL- INC-SIGKEY, FPT_TDC.1/HIGH-
AVAILABILITY, FTP_ITC.1/Pri-Appl-INC- SIGKEY, FTP_ITC.1/Alt-Appl-INC-SIGKEY.
FDP_SDI.2 gondoskodik arról, hogy biztonsággal kapcsolatos információt leellenőrzi
egy adatintegtitási tulajdonságához képest mielőtt használja azt. A FIA_AFL.1 által
leírt biztonsági funkciók biztosítják a védelemet számos támadással szemben, mint
például a maradvány információ kriptográfiai kinyerése, vagy a hitelesítés elleni
nyers erő támadás.
OT.Sig_Secure (Az elektronikus aláírás kriptográfiai biztonsága) biztosított a
FCS_COP.1/SIGNING által leírt algoritmusok által, ami biztosítja a kriptográfiai
erősségét az aláírói algoritmusoknak. A FPT_TST.1 által leírt biztonsági funkciók
gondoskodnak arról, hogy a biztonsági funkciók megfelelően teljesítenek.
Amikor SCD-t visznek át, a következő SFR-ek gondoskodnak az SCD titkosságáról:
FDP_ETC.2, FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP, FDP_IFC.1/HA-ALT-REPL-
INC-SIGKEY SFP, FDP_IFF.1/HA-PRI-REPL-INC- SIGKEY SFP, FDP_IFF.1/HA-ALT-
REPL-INC-SIGKEY SFP, FDP_ITC.2/ HA- ALT-REPL-INC-SIGKEY, FDP_UCT.1/TOE-PRI-
REPL-CONF-INC-SIGKEY,
CoSign Security Target
Revision 1.19 - Confidential –
Page 114 of 133
June 2015
FDP_UCT.1/TOE-ALT-REPL-CONF-INC-SIGKEY, FDP_UIT.1/TOE-ALT-REPL- INC-
SIGKEY, FPT_TDC.1/HIGH-AVAILABILITY, FTP_ITC.1/Pri-Appl-INC- SIGKEY,
FTP_ITC.1/Alt-Appl-INC-SIGKEY.
FDP_ACC.1/Signature-Creation SFP és FDP_ACF.1/Signature-Creation SFP
gondoskodik arról, hogy a fiók és az SCD integritását kezelték az aláírói művelet
előtt.
FDP_SDI.2 gondoskodik arról, hogy biztonsággal kapcsolatos információt
leellenőrzi egy adatintegtitási tulajdonságához képest mielőtt használja azt.
OT.Signatory_Auth (Többfaktoros hitelesítésen alapuló felhasználói hitelesítés) a
FIA_UAU.5 és FIA_UID.1 biztosítja. Kötelező, hogy bármilyen elektronikus aláírás
művelet előtt megadja minde a statikus jelszót, mind az OTP-t.
FDP_ACC.1/Change-Password SFP és FDP_ACF.1/Change-Password SFP
lehetővé teszi az Aláíró számára, hogy megváltoztassa a statikus jelszavát.
A kliens alkalmazástól a megbízható útvonalat a FTP_TRP.1 biztosítja.
A statikus jelszó a TOE-n belül kerül validációra.
A TOE a Radius szervert hívja majd a Radius protokoll segítségével.
A Radius szerver visszahívja az eszközt az OTP ellenőrzés céljából. A visszahívás
biztonságát és integritását a FTP_ITC.1/Radius- Server, FDP_IFC.1/OTP-VAL-
CALLBACK SFP, FDP_IFF.1/OTP-VAL- CALLBACK SFP, FDP_ITC.2/OTP-VAL-
CALLBACK, FTP_ITC.1/Radius-Server and FPT_TDC.1/OTP-VAL-CALLBACK
biztosítja.
Az OTP ellenőrzés mindig az eredeti OTP értéket használja és nem pedig azt, ami a
Radius szervertől visszahívásként érkezik.
Csak sikeres OTP ellenőrzés után lehet elvégezni az elektronikus aláírás műveletet.
OT.Admin_Auth (Bármilyen művelet előtti adminisztrátori hitelesítés) a
FIA_UAU.1 és FIA.UID.1 biztosítja. Csak megfelelő hitelesítés után haladhat
tovább az adminisztrátor, és végezheti el a kezelési műveletet.
Eszköz adminisztrátorokat is hitelesít, mielőtt bármilyen eszközzel kapcsolatos
műveletet végeznének és a hozzáférési jogaikat a FDP_ACC.1/Appliance-Admin
SFP és FDP_ACF.1/Appliance-Admin SFP
méri, és a FDP_ACC.1/Change-Password SFP és FDP_ACF.1/Change-Password SFP
lehetővé teszi az adminisztrátorok számára a statikus jelszavuk megváltoztatását .
Az FTP_TRP.1. biztosítja a megbízható útvonalat az adminisztratív klienstől.
OT.Account_Separation (Különböző felhasználói fiókok elválasztása) a hitelesítés-
szabályozás használatával biztosított az összes aláíró művelethez és az
adminisztratív műveletekhez. A következő SFR-eket használják:
FDP_ACC.1/Personalisation SFP, FDP_ACC.1/Activation SFP, FDP_ACC.1/SCD-GEN
SFP, FDP_ACC.1/Cert-IMP SFP,
CoSign Security Target
Revision 1.19 - Confidential –
Page 115 of 133
June 2015
FDP_ACC.1/Signature-Creation SFP, FDP_ACC.1/SVD-Transfer SFP,
FDP_ACC.1/Unlock-User SFP, FDP_ACC.1/Enable-User SFP, FDP_ACC.1/Disable-
User SFP, FDP_ACC.1/Export-Certs SFP, FDP_ACC.1/Export-Gr-Imgs SFP,
FDP_ACC.1/Import-Gr-Img SFP, FDP_ACC.1/Revoke-User SFP,
FDP_ACF.1/Personalisation SFP, FDP_ACF.1/Activation SFP, FDP_ACF.1/SCD-GEN
SFP, FDP_ACF.1/Cert-IMP
SFP, FDP_ACF.1/Signature-Creation SFP, FDP_ACF.1/SVD-Transfer SFP,
FDP_ACF.1/Unlock-User SFP, FDP_ACF.1/Enable-User SFP, FDP_ACF.1/Disable-
User SFP, FDP_ACF.1/Export-Certs SFP, FDP_ACF.1/Export-Gr-Imgs SFP,
FDP_ACF.1/Import-Gr-Img SFP, FDP_ACF.1/Revoke-User SFP.
FDP_ITC.1/TOE-DTBS/R, FDP_ITC.1/GRIMG, FDP_ITC.1/CERTIFICATE,
FDP_UIT.1/SVD-Transfer és FDP_UIT.1/TOE-DTBS/R gondoskodnak arról, az
aláíró által küldött információt a felhasználó fiókja használja fel.
FIA_AFL.1, FIA_ATD.1, FIA_UAU.1, FIA_UAU.5, FIA_UID.1 gondoskodik arról, hogy
minden hitelesítés a megfelelő adminisztrátori vagy felhasználói fiókhoz
kapcsolótjon.
FMT_MOF.1, FMT_SMF, FMT_SMT és az FMT_MSA minden változata biztosítja, hogy a
minden tevékenység a releváns fiókadatokat és azonosítót használ.
FPT_TRP.1 gondoskodik arról, hogy a releváns adminisztrátor vagy aláíró csak a
saját adataihoz fér hozzá és azon adatok alapján végzi a műveleteit.
FCS_CKM.1/SYMMETRIC-KEY és FCS_COP.1/KEY-ENCRYPTION biztosítja, hogy az
aláíró kulcsokat a rendszer kritikus kulcsának és az aláíró statikus jelszavának
használatával titkosítva tárolják.
OT.Account_Activation (Felhasználói fiók egyszeri aktiválása) az
FDP_ACC.1/Activation SFP és FDP_ACF.1/Activation SFP biztosítja, azáltal hogy
korlátozza, hogy csak egyszer lehet elvégezni a fiók aktiválását.
OT.UserAccountDataProtection (Felhasználói adatok másoláskori védelme) a
következő SFR-ek követésével biztosított.
A következő SFR-ek gondoskodnak a fiók titkosságáról: FDP_ETC.2,
FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP, FDP_IFC.1/HA-ALT-REPL-INC- SIGKEY
SFP, FDP_IFF.1/HA-PRI-REPL-INC-SIGKEY SFP, FDP_IFF.1/HA-ALT- REPL-INC-
SIGKEY SFP, FDP_ITC.2/ HA-ALT-REPL-INC-SIGKEY, FDP_UCT.1/TOE-PRI-REPL-
CONF-INC-SIGKEY, FDP_UCT.1/TOE-ALT-REPL- CONF-INC-SIGKEY,
FDP_UIT.1/TOE-ALT-REPL-INC-SIGKEY, FPT_TDC.1/HIGH-AVAILABILITY,
FTP_ITC.1/Pri-Appl-INC-SIGKEY,
FTP_ITC.1/Alt-Appl-INC-SIGKEY.
FDP_SDI.2 gondoskodik arról, hogy biztonsággal kapcsolatos információt
leellenőrzi egy adatintegtitási tulajdonságához képest mielőtt használja azt.
FCS_CKM.1/SYMMETRIC-KEY és FCS_COP.1/DATA-INTEG adatintegritási
ellenőrzésekhez használatak.
OT.Keys&SecretData_Gen (Főkulcs létrehozás és kezelés) a következő SFR-ek
biztosítják.
CoSign Security Target
Revision 1.19 - Confidential –
Page 116 of 133
June 2015
FCS_CKM.1/SYMMETRIC-KEY biztosítja a főkulcsok megfelelő létrehozását.
FPT_PHP.2 and FPT_PHP.3 biztosítja a főkulcsok védelmét szabotázs esemény
bekövetkezésekor.
6.3.3 EAL4 kiegészítés indoklása
Ennek a védelmi provilnak a biztosíték szintje kiegészített EAL4-es. EAL4 engedi a
fejlesztőnek egy meglehetősen magad biztosítási szint elérését az igen speciális
folyamatok és gyakorlatok szükségessége nélkül. A legmagasabb alkalmazható
szintnek tartott egy létező termékcsalád esetén aránytalan költségek és komplexitás
nélkül. Mint olyan, az EAL4 alkalmas piaci termékekhez, amit közepes és magas
biztonsági funkciókra lehet alkalmazni. Ebben a védelmi profilban leírt TOE is egy
ilyen termék. A kiegészítés a következő válogatás eredménye:
AVA_VAN.5 Részletes módszertani sebezhetőség elemzés
A TOE a legkülönfélébb minősített vagy nem minősített elektronikus aláírásra való
aláírás-létrehozó rendszerrel kell, hogy működjön. A TOE egyszervezet IT
részlegének biztonságos környezetében kerül telepítésre. Az [1]-hez hasonló
politikák miatt részletes módszertani sebezhetőség elemzés szükséges.
A TOE-nak magasan ellenállónak kell mutatkoznia a behatolásos támadás ellen, hogy
a OT.SCD_Secrecy, OT.Sigy_SigF és OT.Sig_Secure biztonsági célkitűzéseknek
megfeleljen. Az AVA_VAN.5 komponensnek a következő függőségei vannak:
ADV_ARC.1 Biztonsági szerkezeti leírás
ADV_FSP.2 Biztonság érvényesítő funkcionális leírás
ADV_TDS.3 Alapvető moduláris terv
ADV_IMP.1 TSF implementációjának reprezentációja
AGD_OPE.1 Műveleti felhasználói útmutató
AGD_PRE.1 Előkészítő eljárások
Ezen függőségek mindegyike terjesíti vagy túlteljesíti az EAL4 biztosíték csomag.
CoSign Security Target
Revision 1.19 - Confidential –
Page 117 of 133
June 2015
7 TOE összefoglaló specifikáció Hogy teljesítse a Biztonsági Funkcionális Követelményeket, a TOE a következő
Biztonsági Funkciókból épül fel (TSF):
1. Hozzáférés-szabályozás
2. Azonosítás és hitelesítés
3. Kriptográfiai Művelet
4. Biztonságos kommunikáció és munkamenet kezelés
5. Szabotázs érzékelés
6. Önteszt
A TOE minden egyes biztonsági funkcióját részletesen leírják a következő fejezetek.
7.1 Hozzáférés-szabályozás (TSF.ACC)
Az alább leírt hozzáférés-szabályozás jogosultságok függenek a jelenlegi felhasználó
szerepkörtől „Eszköz Adminisztrátor” (R.ApplianceAdmin), „Felhasználó
Adminisztrátor” (R.UserAdmin), vagy „Aláíró” (R.Sigy).
Az alábbiakban leírt összes hozzáférési jogosultságot érvényesít a TOE.
1. A TOE biztosítja, hogy a felhasználói fiók létrehozása csak egy hitelesített
Felhasználó Adminisztrátornak engedélyezett.
2. A TOE biztosítja, hogy a fiók aktivációját csak az Aláíró végezheti el. A TOE
gondoskodik róla, hogy ha a fiók fiók már aktivált, a fiókot már nem lehet újra
aktiválni.
Egy aktiváció alatt az aláíró beállít egy statikus jelszót. A statikus jelszó hossza
legalább 6 karakter kell, hogy legyen.
3. A TOE gondoskodik arról, hogy a felhasználó statikus jelszavának
megváltoztatása csak az Aláíró számára lehetséges (sikeres ellenőrzést
követően a meglévő statikus jelszóval). A TOE gondoskodik róla, hogy ez a
művelet csak egy aktivált fióknál lehessen elvégezhető. Egy adminisztrátor
statikus jelszavának megváltoztatása hasonló az aláíró statikus jelszavának
megváltoztatása folyamathoz.
4. A TOE gondoskodik róla, hogy az SCD/SVD pár létrehozása csak akkor
engedélyezett egy Aláírónak, ha a fiók aktivált egy hitelesített aláíró számára.
5. A TOE gondoskodik róla, hogy egy tanúsítvány igénylése egy külső CA felől egy
aláírt PKCS#10 kérést hoz létre, ami elküldésre kerül a CGA-nak. A TOE
gondoskodik arról, hogy ez a művelet csak egy aktivált fióknál lehessen
elvégezhető.
6. A TOE gondoskodik arról, hogy a CGA válaszként megküldi a tanúsítványt, és
hogy az a hitelesített felhasználó által feltöltésre kerül a TOE-be. A TOE
gondoskodik arról, hogy a tanúsítvány a hozzá illő SCD-hez kötött. A művelet
az „SCD műveleti” biztonsági attribútumot „igen”-re állítja.
7. A TOE gondoskodik arról, hogy csak hitelesített aláíró vonhassa vissza az SCD-
t amit birtokol. Ez a művelet az „SCD műveleti” biztonsági attribútumot „igen”-
ről „nem”-re állítja és megsemmisíti az SCD-t.
8. A TOE gondoskodik arról, hogy az „SCD műveleti” biztonsági attribútum „igen”-
ről „nem”-re módosítása nem engedélyezett.
9. A TOE gondoskodik arról, hogy csak a Felhasználó Adminisztrátor tudjon aláírói
fiókot visszavonni, ami vissza fogja vonni az aláíró teljes SCD listáját.
CoSign Security Target
Revision 1.19 - Confidential –
Page 118 of 133
June 2015
10. A TOE gondoskodik arról, hogy az aláírás folyamat részeként a hitelesített
aláíró képes legyen megszerezni a tanúsítványlistát, ami a fiókhoz tartozik,
ahogy a képek listáját is, ami a fiókhoz tartozik. Az aláíró meghatározza a
használni kívánt tanúsítványt és képet.
11. A TOE gondoskodik arról, hogy csak az aláíró részére legyen engedélyezve az
aláírás létrehozás a DTBS/R-re, akkor ha (a) az „SCD műveleti” biztonsági
attribútum „igen”-re van állítva és (b) az aláírói fiók aktivált.
12. Ha egy fiókot lezár a TOE több sikertelen hitelesítés után, a TOE gondoskodik
arról, hogy csak a Felhasználó adminisztrátor tudja feloldani a fiókot. A fiók
feloldása mellett a TOE gondoskodik arról, hogy a hitelesített Felhasználó
Adminisztrátorok ne változtassanak meg fiókparamétereket.
13. A TOE gondoskodik arról, hogy a hitelesített felhasználó tudjon új képet
feltölteni a fiókjába.
14. A TOE gondoskodik arról, hogy a hitelesített eszköz adminisztrátor el tudjon
végezni több adminisztratív funkciót, mint például az audit napló lekérését,
rendszerparaméterek beállítását. Néhány művelet megköveteli a TOE fizikai
elérését, mint például az időbeállítás, a szabotázst követő visszaállítás, és a
hálózati paraméterek beállítása. Ezek a műveletek nem követelik meg az
eszköz adminisztrátor hitelesítését és a biztonságos környezet védelmére
fognak hagyatkozni.
15. A TOE gondoskodik arról, hogy a fentebbi műveletek mellett ne legyen több
művelet megengedve, ahogy bármilyen attribútum átállítása.
16. A TOE gondoskodik arról, hogy egy felhasználó engedélyezése/tiltása csak
hitelesített Felhaszáló Adminisztrátornak legyen engedélyezve.
17. A TOE gondoskodik arról, hogy ha egy felhasználó le van tiltva, akkor a
felhasználó ne legyen képes belépni a fiókjába.
7.2 Azonosítás és hitelesítés (TSF.IA)
1. A TOE azonosítja a felhasználókat egyedi felhasználói azonosító alapján, amit a
felhasználó küld a hitelesítés során. Minden felhasználónak a következő
szerepköre lehet: „Eszköz Adminisztrátor” (R.ApplianceAdmin), „Felhasználó
Adminisztrátor” (R.UserAdmin), vagy „Aláíró” (R.Sigy).
2. A TOE hitelesíti az azonosított Aláírót a hitelesítés során a felhasználó által
elküldött statikus jelszó és OTP ellenőrzésével. A statikus jelszó a RAD-al
szemben a TOE-ben kerül eltárolásra az egyénileg azonosított felhasználó
részére.
CoSign Security Target
Revision 1.19 - Confidential –
Page 119 of 133
June 2015
3. Az OTP a TOE-n belül kerül validálásra a Radius protokoll használatával az OTP
Radius szerver alapján. Az OTP Radius szerver visszahívással eléri a TOE-t az
OTP validálásához.
A Radius szerver OTP eszköz információt nyújt az OTP validáció céljából, a TOE
hatályán belül végrehajtott OTP visszahívás használatával. Ez a kommunikáció
TLS protokollal védett, ahogy a következő TSF.Comm §7.4 elempont 1. száma
leírja.
4. Az adminisztrátorok hitelesítése csak statikus jelszóval történik. Konzollal
kapcsolatos műveletek nem követelik meg az eszköz adminisztrátor
hitelesítését, és a biztonságos környezet védelmére hagyatkoznak.
5. A TOE hitelesítési információ védelmet biztosít a fiók lezárásával az előre
definiált számú egymás utáni sikertelen hitelesítési próbálkozást.
6. Az adminisztrátori szerepkör csak sikeres hitelesítés után kerül kiosztásra
akkor és csakis akkor, ha a szerepkör engedélyezett a TOE perzisztens
tárolójában a felhasználó számára.
7. Bármilyen érzékeny entitás, mint például a felhasználói fiók, egy RSA kulcs,
vagy egy rendszerparaméter, elérésének részeként az entitás integritása
ellenőrzésre kerül. Ezt egy különleges Adatintegritás szerver főkulcs
használatával végzi el, amit a Triple- DES MAC ellenőrzésének műveletéhez
használnak. Az integritás ellenőrzésének sikertelensége esetén a releváns
művelet is sikertelen lesz. Például amikor egy felhasználó megpróbál belépni,
és a MAC érvénytelen, akkor a felhasználó nem lesz képes belépni, így nem
tud továbblépni semmilyen műveletre, mint például az elektronikus aláírás.
7.3 Kriptográfiai művelet (TSF.Crypto)
1. A TSF 2048 vagy 4096 bites kriptográfiai RSA kulcsokat generál. A véletlen
számokat a kulcsgeneráláshoz egy belső RNG nyújtja, ami igazi (fizikai)
véletlenszám-forrással van ellátva. Ez a funkció megfelel a [6], [9] és [10]-
ben leírt véletlenszám és RSA kulcsgenerálás specifikációnak.
2. Továbbá, a TSF triple-DES kulcsokat generál. Ez a funkció megfelel a [14]-es
specifikációnak. A létrehozott kulcsok a szabotázs eszközben vagy a biztonsági
másolat USB tokeneken vagy a felhasználó adatbázisban titkosítva találhatóak
meg.
3. Amikor érzékeny adatelemet töröl, a TSF nullázza (zeroize) az adatot. Ez a
következő érzékeny adatelemekre érvényes: felhasználók privát RSA kulcsai,
RAD a perzisztens tárolóban, szimmetrikus kulcsok és felhasználói jelszavak
adatai a volatile tárolóban.
4. Minden aláírás kulcsot titkosítanak a TOE belső adatbázisában a fiókspecifikus
kulcs használatával (AUK). Az AUK-ot is titkosítva tárolja a belső adatbázis
azon kulcs alapján, amit a globális titkos főkulcsból és a statikus aláírói
jelszóból építenek.
5. A TSF RSA elektronikus aláírás-létrehozást végez a PKCS1 v1.5 (EMSA-PKCS1-
v1_5 padding rendszer) [5] szerint 2048 vagy 4096 bites kulcsokkal,
CoSign Security Target
Revision 1.19 - Confidential –
Page 120 of 133
June 2015
amiket a [6] és [9] specifikál. A DTBS/R-t az SCA küldi a TOE-nek. Abban az
esetben, amikor DTBS-reprezentációt kell küldeni, a DTBS hash értékét küldi a
TOE-nek. A hash értéket az SCA számítja ki.
A DTBS-reprezentáció a DTBS-en végrehajtott hashelésen alapszik a következő
algoritmusok valamelyikének használatával: SHA-2 család (SHA-256, SHA-384,
SHA-512), amik megfelelnek a [6]-nak.
6. A statikus jelszó SHA-1 és a felhasználó salt a felhasználói adatbázisban kerül
eltárolásra és statikus jelszó ellenőrzésére kerülnek felhasználásra.
7. A következő, a [6]-ban leírt aláírás csomagok támogatottak:
sha256 rsa-val
2048 vagy 4098 bites RSA kulcsméretekkel.
Továbbá, a következő aláírá csomagok támogatottak a CoSign által:
sha384 rsa-val
sha512 rsa-val
2048 vagy 4098 bites RSA kulcsméretekkel.
8. Minden TSF által generált RSA kulcsra a következő magokat használják:
RSA 2048 – 100 bit mag
RSA 4096 – 100 bit mag
Az RSA kulcsgeneráló algoritmus a [9]-en alapul és megfelel [6]-nak. Mivel a
követelmény [9]-ben az, hogy 8 kör Miller-Rabin valószínűségi primteszt
lefusson, ami kevesebb, mint 2-100 hibavalószínűséget biztosít a nem
megfelelő RSA titkos kulcs komponensekhez, így a [6]-ban tett valószínűségi
kérést megválaszolja.
9. A 216+1 nyilvános kitevőt [6]-nak megfelelően kell használni.
10. A szoftveralapú ellenállási mechanizmus az elektronikus aláírás műveletben
implementálva van az energiafogyasztás és az aláírás művelet idejének
kiegyenlítésére.
Sok mellékcsatorna ellenállás mechanizmus van, amiket a [11] vezet be, de
mivel a TOE biztonságos környezetben fut, egy fém dobozba zárva és
párhuzamosan több felhasználó használja, az alapmechanizmust használja.
11. Minden egyes objektum, ami nem aláírói kulcs, mint a kép vagy a tanúsítvány,
a TOE belső adatbázisában titkosítva van a titkosító főkulccsal. Minden egyes
objektumhoz történő hozzáférés során az objektum visszafejtésre kerül.
7.4 Biztonságos kommunikáció és munkamenet kezelés(TSF.Comm)
1. A kliensek és a TSF között a fő kommunikáció mindig biztonságos és a TOE
egy fedezetlen kommunikációt se engedélyez a külső eszközökkel.
CoSign Security Target
Revision 1.19 - Confidential –
Page 121 of 133
June 2015
Ez a kommunikáció TLS [8] protokoll használatával implementált. Ez a
biztonságos kommunikáció garantálja a TOE-nek/-től küldött üzenetek
titkosságát és adatintegritását, és a TOE hitelesítését a küldő eszközök felé,
ami TLS protokollra épül.
Két különböző kliens kommunikációs csatorna van:
TLS kommunikáció – általános kliens
A TLS szerverkulcs és a hozzá kapcsolódó tanúsítvány a TOE gyártásának
részeként kerül betöltésre. A gyártási folyamat alatt a TLS szerverkulcs a
TOE határain kívül jön létre, és kerül feltöltésre a TOE-be. A gyártás alatt a
kapcsolódó TLS szerver tanúsítványt is feltöltik a TOE-ba. Ez a TLS szerver
tanúsítvány 2030-ban jár le.
Ezen kommuikáció típus esetén, azonnal a TLS munkamenet létesítését
követően a felhasználó a felhasználói azonosító és a felhasználói jelszó
alapján hitelesítésre kerül. A TOE adatbázisában lévő felhasználói
információ alapján a felhasználótípus (pl.: Felhasználó Adminisztrátor) és a
felhasználó jogosultságai meghatározásra kerülnek.
TLS kommunikáció – REST
A TLS szerver kulcsot és a hozzá kapcsolódó tanúsítványt az eszköz admin
tölti fel. Lehetséges, hogy a TLS szerver kulcsot és a hozzá kapcsolódó
tanúsítványt újra fel kell tölteni, amikor a tanúsítvány érvényességi ideje
lejár.
A magyarázat, hogy ez a TLS szerver kulcs és tanúsítvány nem lett feltöltve
gyártás alatt az, hogy a REST kliensek a TOE kommunikációs azonosítóját
és a TLS szerver tanúsítvány közös nevét (Common-Name) egyeztetni
fogják. Mivel az nem ismert a TOE kommunikációs azonosítójának gyártása
alatt, a kulcs és a tanúsítvány nem tölthető fel a gyártási eljárások
részeként.
Minden REST kérés magában foglalja a felhasználó azonosítót és a
felhasználó statikus jelszavát, így a TOE használhatja a TOE adatbázisát
annak megállapítására, hogy a felhasználónak van-e jogosultsága a kért
művelet elvégzésére.
Az első típusát a kommunikációnak az OTP Radius szerver is használjahogy a
TOE-val kommunikáljonaz OTP ellenőrzésének céljából. Ebben az esetben az
eszköz csak a Radius szervertől fogadja el a kommunikációt, annak IP címe
alapján.
2. Egy Magas Rendelkezésreállás konfigurációban van egy elsődleges TOE és
alternatív TOE-k. Ez a konfiguráció a redundanciát célozza meg, az elsődleges
TOE hardver fagy szoftver hibájának esetére.
Az elsődleges TOE frissíti a többi alternatív TOE-t TCP/IP kommunikáción
keresztül ahol az adatintegritása az információnak, és a kritikus adat
titkossága alkalmazás szintű biztonságon alapul.
3. Speciális mechanizmusok biztosítják, hogy semmilyen érzékeny paraméter,
mint a statikus jelszó, vagy SCD érték ne lehessen elérhető egy folyamat
memóriájából más felhasználói munkamenet számára, mint az aláíróéra.
CoSign Security Target
Revision 1.19 - Confidential –
Page 122 of 133
June 2015
7.5 Auditálás
1. A TOE magában foglalja a központosított naplófájlt, ami az összes biztonsággal
kapcsolatos eseményt auditál, ahogy a 2. Táblázat írja.
Minden naplófájl bejegyzés része a dátum és az idő.
A belső alaplapja a rendszernek tartalmaz egy lekérdezéshez használt belső
órát, hogy a jelenlegi időt hozzáadja a releváns eseményhez.
2. A dátumot és az időt az eszköz adminisztrátor kézzel megváltoztathatja a TOE
konzoljának hazsnálatával.
7.6 Szabotázs érzékelés és védelem (TSF.Tamper)
1. A TOE implementálja a biztonsági funkciót, ami ellenáll a fizikai szabotázsnak.
A TOE hardver érzékeli a fizikai szabotázst (a TOE dobozának felnyitása),
aktívan kitörli az összes érzékeny adatot, és lekapcsolja a főáramellátását. Ez
biztosítja, hogy a vagyontárgyak nem sérülnek meg.
A szabotázs állapot alatt a TOE összes funkciója megáll, és semmilyen
szolgáltatást nem nyújt (mind az aláírói és adminisztratív), akkor se, ha a TOE
hardvert újraindítják. Amikor a TOE hardvert újraindítják, a fenntartja a
szabotált állapotot, hogy az előbbi szabotázs állapotot jelentse.
2. Csak miután a szabotázs oka mélyen ki lett vizsgálva, az eszköz
adminisztrátora visszaállíthatja a szabotázs állapotból a speciális szabotázst
követő visszaállítás művelet használatával, és a biztonsági mentés USB token
biztosításával.
3. A TOE-nek nem szabad kibocsátania semmiféle hasznos információt, hogy
hozzáférést engedjen a RAD-hoz és SCD-hez a következő forrásokból: az
energiafogyasztás változása, elektromágneses sugárzás a belső műveletek
miatt, a belső állapotváltások időzítése.
4. A TSF-nek biztosítania kell, hogy a LAN interfész nem használható, a RAD-hoz
és SCD-hez való hozzáférés szerzésére.
7.7 Önteszt(TSF.Test)
A TSF csomagot nyújt a következő öntesztekhez:
1) Indítási tesztek:
a) Hardver POST (Power On Self Tests)
b) Tesztet egy korábbi szabotázs eseményhez
c) Futtatható állomány integritásának tesztelése annak elektronikus
aláírásának ellenőrzése által
CoSign Security Target
Revision 1.19 - Confidential –
Page 123 of 133
June 2015
2) Tesztek futnak, amikor a TOE üzemképes és elektronikus aláírás szolgáltatást
nyújt:
a) Titkosítás - visszafejtés integritás teszt minden egyes generált RSA kulcshoz
b) Az RNG kimenetének megfelelőségi tezstje a [10]-el;
c) A felhasználói fiók integritásának tesztelése, amikor a perszisztens
tárolóból olvassa. Ez a speciális Adatintegritási szerver főkulcs
használatával történik, amit a Triple-DES MAC ellenőrzési műveletre
használnak.
A az indulási tesztek valamelyike sikertelen, a TOE NEM fog üzemképes állapotba
lépni. Ha valamelyik folyatólagos teszt sikertelen, a gyanús adat nem kerül
felhasználásra.
7.8 Eszköz adminisztrátori funkciói (TSF.Admin)
A TSF a következő adminisztratív funkciókat nyújtja:
1) Audit napló letöltése
A TOE gondoskodik arról, hogy az eszköz adminisztrátor let tudja tölteni az audit
naplót és meg tud vizsgálni bármilyen biztonsággal kapcsolatos problémát.
2) Rendszerparaméterek konfigurációja
A TOE gondoskodik arról, hogy az eszköz adminisztrátor tudjon különböző
rendszerparamétereket konfigurálni. Ezek a paraméterek finomítják a TOE
funkcionalitását. A hálózattal kapcsolatos paraméterek halmaza, mint az eszköz
IP címe nem része a rendszerparamétereknek. Ezeket a hálózattal kapcsolatos
paramétereket az eszköz konzoljáról lehet konfigurálni és nem igényelnek
adminisztrátori hitelesítést.
3) REST szerver TLS kulcs feltöltése
A TOE gondoskodik arról, hogy az eszköz adminisztrátor fel tudja tölteni a TOE
REST interfész szerver oldali interfész TLS szerver kulcsát.
4) Egy új alternatív eszköz telepítése
A TOE gondoskodik arról, hogy az eszköz adminisztrátor fel tudja telepíteni az új
alternatív eszközt. A telepítésnek biztonságos környezetben kell történnie.
5) Az elsődleges eszköz alternatív eszköz listájának megváltoztatása
A TOE gondoskodik arról, hogy az eszköz adminisztrátor el tud távolítani, vagy
hozzá tud adni egy alternatív eszközt az elsődleges eszköz alternatív eszköz
listáról/hoz.
CoSign Security Target
Revision 1.19 - Confidential –
Page 124 of 133
June 2015
Ez a művelet a következő al-műveletekből épül fel:
a) Egy alternatív eszköz leiratkoztatása – egy alternatív eszközt eltávolít az
elsődleges eszköz alternatív eszköz listáról
b) Egy telepített alternatív eszköz feliratkoztatása – egy alternatív eszköz,
amit már installált egyszer újra felkerül az elsődleges eszköz alternatív
eszköz listára.
c) Egy alternatív eszköz telepítése – ez a művelet új alternatív eszközt telepít,
így hozzáadja az új eszközt az elsődleges eszköz alternatív eszköz listához.
d) Egy alternatív eszköz újrainicializálása – alapvetően egy technikai művelet,
ami felfrissíti a kommunikációt az elsődleges eszköz és az alternatív
eszközzel, és gondoskodik arról, hogy az adatbázisok összehangoltak.
e) CoSign eszköz információ megszerzése – alapvetően egy technikai művelet,
ami visszaadja az eszközök adatait azelsődleges és az alternatív eszközöket
is beleértve. Ez az információ lesz visszaadva abban az esetben is, ha a
kérést egy alternatív eszköznek küldi el.
6) Alternatív eszköz elsődleges eszközké alakítása
Vészhelyzet esetén, ha az elsődleges eszköz nem üzemképes, a TOE
gondoskodik arról, hogy az eszköz adminisztrátor egy alternatív eszközt át tud
alakítani elsődleges eszközké, így nyújtva szolgáltatást a végfelhasználóknak.
7) Szoftver feltöltése
A TOE gondoskodik arról, hogy az eszköz adminisztrátor fel tudja tölteni a
szoftverfrissítéseket a TOE-be.
8) TOE leállítása, TOE hardver újraindítása vagy TOE szoftver
újraindítása
A TOE gondoskodik arról, hogy az eszköz adminisztrátor le tudja kapcsolni a
TOE-t, a TOE hardvert újra tudja indítani, vagy a TOE szoftvert újra tudja
indítani.
A szofver újraindítás műveletben csak a TOE fő szoftver szolgáltatása áll le és
indul el, amíg hardver újraindítás esetén a TOE operációs rendszere teljesen
leáll és utána újraindul.
CoSign Security Target
Revision 1.19 - Confidential –
Page 125 of 133
June 2015
7.9 TSF indokolás
Az alábbi táblázat megfelelteti a TOE Biztonsági Funkció Követelményeket, ahogy azok le lettek írva a
6.1 fejezetben a biztonsági funkciókkal ahogy azok fentebb leírásra kerültek. A táblázatban szereplő
számok leírják a TSF komponenst ami megfelel a követelményeknek.
SFR \ TSF ACC IA Crypto Comm Auditing Tamper Test Admin
FAU_GEN.1 1 FAU_GEN.2 1 FCS_CKM.1/SIGNAT
URE-KEY 1,7,8 2a
FCS_CKM.1/SYMMET
RIC-KEY 7,2 2
FCS_CKM.4 3 FCS_COP.1/CORRES P 2a
FCS_COP.1/SIGNING 5,7
FCS_COP.1/DATA-
INTEG 7 2c
FCS_COP.1/AUK-
ENCRYPTION 4
FCS_COP.1/KEY-
ENCRYPTION 4
FCS_COP.1/KEY-
ENCRYPTION 6
FCS_COP.1/KEY-
ENCRYPTION 2
FDP_ACC.1/Personali
sation SFP
1
FDP_ACC.1/Activation
SFP
2
FDP_ACC.1/SCD-
GEN SFP
4
FDP_ACC.1/Cert-IMP
SFP
6
FDP_ACC.1/Signature
-Creation SFP
11
FDP_ACC.1/SVD-
Transfer SFP
5
FDP_ACC.1/Unlock-
User SFP
12
FDP_ACC.1/Enable-
User SFP
16,17
FDP_ACC.1/Disable-
User SFP
16,17
FDP_ACC.1/Export-
Certs SFP
10
CoSign Security Target
Revision 1.19 - Confidential –
Page 126 of 133
June 2015
SFR \ TSF ACC IA Crypto Comm Auditing Tamper Test Admin
FDP_ACC.1/Export-
Gr-Imgs SFP
10
FDP_ACC.1/Import-
Gr-Img SFP
13
FDP_ACC.1/Revoke-
User SFP
9
FDP_ACC.1/Appliance
-Admin SFP
14
FDP_ACC.1/Change-
Password SFP
3
FDP_ACC.1/Revoke-
SCD SFP
7
FDP_ACF.1/Personali
sation SFP
1
FDP_ACF.1/Activation
SFP
2
FDP_ACF.1/SCD-
GEN SFP
4
FDP_ACF.1/Cert-IMP
SFP
6
FDP_ACF.1/Signature
-Creation SFP
11
FDP_ACF.1/SVD-
Transfer SFP
5
FDP_ACF.1/Unlock-
User SFP
12
FDP_ACF.1/Enable-
User SFP
16,17
FDP_ACF.1/Disable-
User SFP
16,17
FDP_ACF.1/Export-
Certs SFP
10
FDP_ACF.1/Export-
Gr-Imgs SFP
10
FDP_ACF.1/Import-
Gr-Img SFP
13
FDP_ACF.1/Revoke-
User SFP
9
FDP_ACF.1/Appliance
-Admin SFP
14
FDP_ACF.1/Change-
Password SFP
3
FDP_ACF.1/Revoke-
SCD SFP
7
FDP_ETC.1/SVD
Transfer
5
FDP_ETC.1/Export-
Certs
10
FDP_ETC.1/Export- 10
CoSign Security Target
Revision 1.19 - Confidential –
Page 127 of 133
June 2015
SFR \ TSF ACC IA Crypto Comm Auditing Tamper Test Admin
Gr-Imgs FDP_ETC.2 7 11 2 FDP_IFC.1/HA-PRI-
REPL-INC-SIGKEY
SFP
7 11 2
FDP_IFC.1/HA-ALT-
REPL-INC-SIGKEY
SFP
7 11 2
FDP_IFC.1/OTP-VAL-
CALLBACK 3 1
FDP_IFF.1/HA-PRI-
REPL-INC-SIGKEY
SFP
7 11 2
FDP_IFF.1/HA-ALT-
REPL-INC-SIGKEY
SFP
7 11 2
FDP_IFF.1/OTP-
VALIDATION-
CALLBACK
3 1
FDP_ITC.1/TOE-
DTBS/R
11
FDP_ITC.1/GRIMG 13 FDP_ITC.1/CERTIFIC
ATE
6
FDP_ITC.2/ HA-ALT-
REPL-INC-SIGKEY
7 11 2
FDP_ITC.2/ OTP-
VALIDATION-
CALLBACL
3 1
FDP_SDI.2 7 FDP_UCT.1/TOE-PRI-
REPL-CONF-INC-
SIGKEY
7 11 2
FDP_UCT.1/TOE-
ALT-REPL-CONF-
INC-SIGKEY
7 11 2
FDP_UIT.1/SVD-
Transfer 1
FDP_UIT.1/TOE-
DTBS/R 1
FDP_UIT.1/TOE-ALT-
REPL-INC-SIGKEY 7 11 2
FIA_AFL.1 1,5 FIA_ATD.1 1,6 FIA_UAU.1 1 1
FIA_UAU.5 1 1 FIA_UID.1 1,4 1 FMT_MOF.1 2
CoSign Security Target
Revision 1.19 - Confidential –
Page 128 of 133
June 2015
SFR \ TSF ACC IA Crypto Comm Auditing Tamper Test Admin
FMT_MSA.1/Users-
Administrator
1
FMT_MSA.1/Signatory 2-
8,10,11,
13
FMT_MSA.1/Signatory
-SCD-GEN
4
FMT_MSA.1/Signatory
-SCD-DISABLE
7
FMT_MSA.1.1/Signato
ry-SCD-NO-REVERT
7
FMT_MSA.1/Signatory
-CERT-IMP
6
FMT_MSA.1/Signatory
- Change-Password
3
FMT_MSA.1/Admin-
Change- Password
3
FMT_MSA.2/Activation
-Password-Data
1
FMT_MSA.2/SCD-
Status
7
FMT_MSA.2/Static-
Password-RAD
3 6
FMT_MSA.2/Login-
Password-Data 6
FMT_MSA.3 1 FMT_REV.1/SCD 7 FMT_REV.1/User 9 FMT_SMF.1 1,9, ,16 2 1-10
FMT_SMR.1 1 FPT_PHP.2 1 1b,1c FPT_PHP.3 1 FPT_STM.1 1 FPT_TDC.1/HIGH-
AVAILABILITY 7 11 2
FPT_TDC.1/OTP-VAL-
CALLBACK 3 1
FPT_TST.1 1 FPT_EMSEC.1 10 3,4 FTP_ITC.1/CoSign
Client 1
FTP_ITC.1/Pri-Appl-
INC-SIGKEY 7 11 2
FTP_ITC.1/Alt-Appl-
INC-SIGKEY 7 11 2
FTP_ITC.1/Radius-
Server 3 1
FTP_TRP.1 1
12.Táblázat - SFR - TSF kapcsolat
CoSign Security Target
Revision 1.19 - Confidential –
Page 129 of 133
June 2015
CoSign Security Target
Revision 1.19 - Confidential –
Page 130 of 133
June 2015
8 Hivatkozások [1] Directive 1999/93/ec of the European parliament and of the council of 13 December
1999 on a Community framework for electronic signatures (also referenced in the
document as “The Directive”)
[2] Common Criteria for Information Technology Security Evaluation - Part 1: Introduction
and general model, September 2006 Version 3.1 Rev. 1. CCMB-2006-09-001.
[3] Common Criteria for Information Technology Security Evaluation - Part 2: Security
functional components, September 2007 Version 3.1 Rev. 2. CCMB-2007-09-002
[4] Common Criteria for Information Technology Security Evaluation - Part 3: Security
assurance components, September 2007 Version 3.1 Rev. 2. CCMB-2007-09-003
[5] RSA Laboratories, PKCS #1: RSA Encryption Standard, An RSA Laboratories Technical
Note Version v2.1, Revised June 14, 2002
[6] Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for
Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms. ETSI
TS102 176-1 V2.1.1 2011-07.
[7] ETSI, Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for
Secure Electronic Signatures; Part 2: Secure channel protocols and algorithms for
signature creation devices (ETSI TS102 176-2) V1.2.1. 2005-07.
[8] RFC 2246 - The TLS Protocol, The Internet Society, January 1999
[9] ANSI, Digital Signatures Using Reversible Public Key Cryptography for the Financial
Services Industry (rDSA). X9.31 -1998.
[10] FIPS PUB 186-2 - Digital Signature Standard (DSS), Federal Information Processing
Standard Publication, January 2000
[11] Side-Channel Attacks: Ten Years After Its Publication and the Impacts on
Cryptographic Module Security Testing, Zhou, Feng,
http://csrc.nist.gov/groups/STM/cmvp/documents/fips140-
3/physec/papers/physecpaper19.pdf
[12] NIST Special Publication 800-57, Recommendation for Key Management – Part 1:
General (Revision 3), July 2012.
[13] RFC 2865 – RADIUS (Remote Authentication Dial In User Service), The Internet
Society, June 2000.
[14] FIPS Publication 46-3 (1999): Data Encryption Standard (DES), National Bureau of
Standards.
CoSign Security Target
Revision 1.19 - Confidential –
Page 131 of 133
June 2015
CoSign Security Target
Revision 1.19 - Confidential –
Page 132 of 133
June 2015
9 A Melléklet – Rövidítések
AUK Egyedi fiók kulcs (Account Unique Key)
CC Common Criteria
CGA Tanúsítvány előállító alkalmazás (Certificate Generation Application)
CSP Hitelesítés szolgáltató (Certificate Service Provider)
DI Könyvtár független (Directory Independent)
DTBS Aláírandó adat. Minden aláírandó elektronikus adat, a felhasználó
üzenetét és aláírás attribútumokat is beleértve. (Data To Be Signed)
DTBS-representation Aláírandó adat reprezentáció (Data To Be Signed
Representation)
DTBS/R Az Aláírandó adat vagy annak egyedi reprezentációja. Az adat a
biztonságos aláírás-létrehozó eszköz bemenetként fogad egy aláírás-
létrehozás művelet esetén. (Data To Be Signed or its unique
representation.)
Megjegyzés: DTBS/R:
egy hash értéke az aláírandó adatnak (DTBS), vagy
egy köztes hash-értéke a DTBS első részének, kiegészítve a
DTBS maradék részével, vagy
a DTBS.
EAL Értékelési Garanciaszint (Evaluation Assurance Level)
IT Információs technológia (Information Technology)
KEK Kulcs titkosító kulcs (Key Encryption Key)
MAC Üzenet hitelesítő kód (Message Authentication Code)
OTP Egyszeri jelszó (One Time Password)
PP Védelmi profil (Protection Profile)
CoSign Security Target
Revision 1.19 - Confidential –
Page 133 of 133
June 2015
REST Reprezentációs állapot átvitel (Representational State Transfer)
RNG Véletlenszám generátor (Random Number Generator)
SCA Aláírás-létrehozó alkalmazás (Signature Creation application)
SCD Aláírás-létrehozó adat (Signature Creation Data)
Privát kriptográfiai kulcs, amit az SSCD tárol az aláíró kizárólagos
irányítása alatt elektronikus aláírás létrehozásához. (A Direktíva:
2.4)
SDO Aláírt adat objektum (Signed Data Object)
SVD Signature Verification Data
SF Biztonsági Funkció (Security Function)
SFP Biztonsági Funkció Politika (Security Function Policy)
SSCD Biztonságos aláírás-létrehozó eszköz (Secure Signature Creation Device)
ST Biztonsági Előirányzat (Security Target)
TLS Transport Layer Security
TOE Értékelés tárgya (Target of Evaluation)
TSC TSF Vezérlés hatálya (Scope of Control)
TSF TOE Biztonsági Funkciók (Security Functions)
TSP TOE Biztonsági Politika (Security Policy)