ARX CoSign biztonsági előirányzat · CoSign Security Target Revision 1.19 - Confidential – June Page 4 of 133 2015 1 Biztonsági előirányzat bevezetés Jelen biztonsági előírányzat

Copyright © 2014 ARX Ltd.

All Rights Reserved Confidential and Proprietary

_Revoke-_

ARX CoSign

biztonsági előirányzat

Értékelés Common Criteria EAL4+ szerint

A DOKUMENTUM AZ ANGOL NYELVŰ „SECURITY TARGET FOR ARX COSIGN” BIZTONSÁGI

ELŐIRÁNYZAT GYORS MAGYAR FORDÍTÁSA, AMELY EREDETI VÁLTOZATA LETÖLTHETŐ A TANÚSÍTÓ

SZERVEZET HONLAPJÁRÓL AZ ALÁBBI CÍMEN:

HTTP://WWW.OCSI.ISTICOM.IT/INDEX.PHP/DISPOSITIVI-DI-FIRMA/DISPOSITIVI-ACCERTATI

A FORDÍTÁST A MICROSEC ZRT. KÉSZÍTETTE, AZ ESETLEGES FORDÍTÁSI PONTATLANSÁGOK, HIBÁK

ESETÉN MINDEN ESETBEN AZ ANGOL NYELVŰ EREDETI VÁLTOZAT ELŐÍRÁSAIT KELL KÖVETNI.

http://www.ocsi.isticom.it/index.php/dispositivi-di-firma/dispositivi-accertati



Tartalomjegyzék

1 Biztonsági előirányzat bevezetés ....................................................................... 4

1.1 Biztonsági előirányzat referenciák .............................................................. 4

1.2 TOE referencia ......................................................................................... 4

1.3 TOE áttekintés ......................................................................................... 4

1.3.1 TOE típus ............................................................................................. 4

1.3.2 TOE használata és főbb biztonsági funkciók .............................................. 4

1.3.3 TOE által előírt hardver/szoftver/firmware ami nem tárgya az értékelésnek . 8

1.4 TOE leírás .............................................................................................. 11

1.4.1 Magas szintű CoSign leírás .................................................................... 11

1.4.2 TOE felépítése ..................................................................................... 13

2 Megfelelőségi nyilatkozat ................................................................................ 25

3 Biztonsági probléma leírás .............................................................................. 26

3.1 Fenyegetések ......................................................................................... 26

3.2 Szervezeti biztonsági politikák .................................................................. 29

3.3 Feltevések .............................................................................................. 31

4 Biztonsági célkitűzések ................................................................................... 32

4.1 Biztonsági célkitűzések a TOE részére ........................................................ 32

4.2 Biztonsági célkitűzések a működési környezethez ........................................ 37

4.3 Biztonsági célkitűzés indoklása ................................................................. 42

4.3.1 Biztonsági célkitűzések és biztonsági probléma leírások közti megfeleltetés 42

4.3.2 A megfeleltetés indokolása ................................................................... 44

4.4 Következtetés ......................................................................................... 51

5 Kibővített komponens leírás ............................................................................52

5.1 FPT_EMSEC TOE kibocsátás ...................................................................... 52

6 Biztonsági követelmények ............................................................................... 54

6.1 Biztonsági funkcionális követelmények ....................................................... 55

6.1.1 Biztonsági audit (FAU) .......................................................................... 55

6.1.2 Kriptográfiai támogatás (FCS) ................................................................ 57

6.1.3 Felhasználói adatvédelem (FDP) ............................................................. 59

6.1.4 Azonosítás és hitelesítés (FIA) ................................................................ 89

6.1.5 Biztonságkezelés (FMT) ........................................................................ 92

6.1.6 TSF védelme (FPT) ............................................................................... 96

6.1.7 Megbízható útvonalak/csatornák (FTP) .................................................... 98

6.2 Biztonsági garancia követelmények ......................................................... 100

6.3 Biztonsági követelmények indoklása ........................................................ 107

6.3.1 Biztonsági követelmény lefedettség ...................................................... 107

6.3.2 Biztonsági követelmények nyomkövetés indokolás ................................. 110

6.3.3 EAL4 kiegészítés indoklása .................................................................. 116

7 TOE összefoglaló specifikáció ......................................................................... 117

7.1 Hozzáférés-szabályozás (TSF.ACC) .......................................................... 117

7.2 Azonosítás és hitelesítés (TSF.IA) ............................................................ 118

7.3 Kriptográfiai művelet (TSF.Crypto) .......................................................... 119

7.4 Biztonságos kommunikáció és munkamenet kezelés (TSF.Comm) ............... 120

7.5 Auditálás .............................................................................................. 122

7.6 Szabotázs érzékelés és védelem (TSF.Tamper) ......................................... 122

7.7 Önteszt (TSF.Test) ................................................................................ 122



7.8 Eszköz adminisztrátori funkciói (TSF.Admin) ............................................. 123

7.9 TSF indokolás ....................................................................................... 125

8 Hivatkozások ............................................................................................... 130

9 A Melléklet - Rövidítések ............................................................................... 132

Táblázatok listája

Table 1 - Biztonsági célkitűzések és biztonsági probléma leírások megfeleltetése ............... 43

Table 2 - TOE auditálható események .......................................................................... 56

Table 3 – Hozzáférés-vezérlés politikák összefoglaló ................................................. 63

Table 4 – ACF biztonsági attribútumok .................................................................... 64

Table 5 – Biztonsági attribútumok – Magas rendelkezésre állás .................................. 79

Table 6 – Biztonsági attribútumok - OTP validációs visszahívás .................................... 79

Table 7 - Magas rendelkezésre állás áramlás vezérlés ............................................... 81

Table 8 - OTP ellenőrzés visszahívás áramlás vezérlés ............................................... 82

Table 9 – Garancia követelmények: EAL4+ AVA_VAN.5 ........................................... 101

Table 10 - SFR függőségeket kielégítő táblázat ....................................................... 106

Table 11 – Biztonsági követelmény a TOE biztonsági objektív megfeleltetéséhez ........ 109

Table 12 - SFR - TSF kapcsolat ............................................................................. 129

Ábrák listája

Figure 1 - CoSign magas szintű tervezés .................................................................. 7

Figure 2 - CoSign belső tervek ................................................................................... 11

Figure 3 - CoSign eszköz - előnézet ........................................................................ 13

Figure 4 - CoSign eszköz - hátulnézet ..................................................................... 13

Figure 5 - CoSign telepítési életciklus ...................................................................... 20

CoSign Security Target

Revision 1.19 - Confidential –

Page 4 of 133 June 2015

1 Biztonsági előirányzat bevezetés

Jelen biztonsági előírányzat az ARX CoSign 7.1 verzió biztonsági célkitűzéseit és biztonsági

követelményeit írja le. A specifikációk konzisztensek az Információs technológia biztonsági

értékelésének közös kritériumának 3.1 verziójával (([2], [3] és [4]).

1.1 Biztonsági Előirányzat azonosítása

CoSign Biztonsági előirányzat, 1.19 verzió, ARX csoport, 15 June 2015. Dokumentum

azonosító: CoSign-CC-ST-1-19.doc

1.2 Értékelés tárgyának azonosítása

A CoSign v7.1 a CoSign konzolon a következőképpen kerül feltüntetére: <Version

SW7.1 HW7.0>

A CoSign vizsgált konfigurációi:

1. PRIMARY-HIGH AVAILABILITY WITH KEY REPLICATION (HA-PRI-

REPL-INC-SIGKEY) (Elsődleges – magas rendelekezésre állás kulcs replikációval)

2. ALTERNATE-HIGH AVAILABILITY WITH KEY REPLICATION (HA-ALT-

REPL-INC-SIGKEY) (Másodlagos – magas rendelkezésre állás kulcs replikációval)

1.3 TOE Áttekintés

1.3.1 TOE típus

A CoSign egy olyan digitális aláírás termék, amely megfelelő biztonságos működési

környezetben Biztonságos aláírás-létrehozó eszközként használható.

A CoSign egy hálózathoz csatlakozott eszköz, amely számítógép hardverből, fizikai behatolás

ellen védett hardverből, , megerősített operációs rendszerből és a CoSign szerver szoftverből

áll.

Az Értékelés tárgya a teljes CoSign eszköz..

1.3.2 A TOE használata és a főbb biztonsági funkciók A CoSign lehetővé teszi szervezeti felhasználók vagy más felhasználói csoportok számára az

elektronikus aláírás hozzáadását bármilyen típusú tartalomhoz, jellemzően például

dokumentumokhoz vagy adatokhoz.




A CoSign eszköz felhasználói fiókokat kezel. Minden egyes felhasználói fiók magában foglalhat

egy vagy több aláíró kulcsot (Aláírás-létrehozó adatokat (SCD)) és egyéb információt, mint

például képeket a felhasználóról. Az összes felhasználói fiók, kulcs és felhasználóval

kapcsolatos információ egy biztonságos eszközben tárolódik.

Semmelyik felhasználó – beleértve az eszköz adminisztárorát, vagy bármely más

adminisztrátort – nem tudja felhasználni más felhasználó kulcsát elektronikus aláírás

művelethez.

Amikor egy felhasználó elektronikus aláírás létrehozására szeretné használni a CoSign által

tárolt kulcsát, azt a hálózaton keresztül, TLS protokoll felett tudja elérni. A CoSign eszköz

minden kérést TLS protokoll felett fogad. A felhasználó kizárólag egy kétfaktoros azonosítást

követően – amely áll egyrészt egy állandó jelszó megadásából, másrészt egy egyszer

használatos jelszót (One-Time Password, OTP) generáló eszköz általi jelszó megadásából –

használhatja aláírásra a kulcsát illetve az ahhoz tartozó tanúsítványt.

A CoSign eszköz a végfelhasználó számítógépére telepített CoSign kliens szoftveren keresztül

érhető el. A CoSign kliens teszi lehetővé a végfelhasználó számára, hogy a CoSign által

előállított digitális aláírást egy dokumentumba (pl. PDF állományba, XML adatba vagy

bármilyen más adatba) illessze.

Több felhasználó is aláírhat egyszerre több számítógépről. A CoSign eszköz minden egyes

felhasználói munkamenet elkülönítve kezel.

Továbbá, a CoSign elérhető REST (Representational State Tramsfer) felületen keresztül is. A

REST-es felületen keresztül ugyanazok a műveletek érhetőek el, mint a CoSign kliens

segítségével. Amennyiben külön nem kerül említésre az ellenkezője, a következőkben a CoSign

kliensre vonatkozó álítások vonatkoznak a REST alapú felületre is.

Minden felasználói fiók számára a következő al-egységek kezelhetők:

Aláíró kulcsok – minden aláíró több aláíró kulcsot kezelhet

Tanúsítványok – minden fentebbi aláíró kulcs rendelkezik hozzá kapcsolódó

tanúsítvánnyal

Képek – minden egyes aláíró kezelhet több képet a felhasználói fiók keretében. Egy

aláírás művelet során a felhasználó dönthet úgy, hogy egy képet is belefoglal a

dokumentumba. A kép vagy akár más szöveges információ – pl. az aláírás ideje – is

megjeleníthető az aláírt dokumentumban.

Egy felhasználó engedélyezhető vagy letiltható. Ha a felhasználó le van tiltva, akkor a

felhazsnáló nem tud bejelentkezni az eszközbe és műveleteket végezni, mint például

elektronikusan aláírni.

A CoSign a következő konfigurációban telepíthető:

Magas rendelkezésre állás az aláíró magánkulcsainak replikációjával

A működési környezetben egy Elsődleges (a HA-PRI-REPL-INC-SIGKEY konfigurációban) és egy

vagy több Másodlagos CoSign eszköz (a HA-ALT-REPL-INC-SIGKEY konfigurációban) kerül

telepítésre. Az Elsődleges CoSign eszközszolgálja ki a kliensek digitális aláírás művelet

elvégzése iránti kéréseit, valamint frissíti az Másodlagos CoSign eszköz(ök)et a felhasználói

fiók információk bármilyen változásának esetén. Az aláíró magánkulcsainak, az azokhoz

tartozó tanúsítványoknak, valamint az aláírók képeinek az Elsődlegesről a Másodlagos CoSign

eszköz(ök)re történő másolása engedélyezett.




Az információk másolása az Elsődleges CoSign eszköz és a Másodlagos eszköz(ök) között

mindig dedikált csatornán keresztül történik.

Az átadott információ sértetlenségét és az érzékeny adatok bizalmasságát az Elsődleges illetve

Másodlagos eszköz(ök)ön futtatott alkalmazásokban implementált biztonsági funkciók

garantálják.

A következőkben bemutatásra kerül, hogy a külső egységek hogyan kommunikálnak a CoSign

eszközzel.

A továbbiakban, amennyiben nem került külön jelzésre az ellenkezője, a CoSign eszközre

vonatkozó állítások a Magas rendelkezésreállású installációban szereplő Elsődleges CoSign

eszközre vonatkoznak.

Az Aláíró a CoSign kliens segítségével kommunikál a CoSign eszközzel a tanúsítvány

létrehozása, illetve később az elektronikus aláírás műveletek céljából.

Az adminisztrátor különböző adminisztratív feladatok elvégzése céljából kommunikál a CoSign

eszközzel.

A következő ábrán látható a CoSign kliens és a CoSign eszköz közötti kommunikáció.

A következő fejezetekben részletes leírás található a TOE komponensekről, valamint

részletesen bemutatásra kerül a külső komponensek közötti kommunikáció.




1. ábra - CoSign Magas Szintű Modell

Egyszer használatos jelszó (OTP) alapú ellenőrzés Az OTP ellenőrző folyamat a CoSign eszközön belül zajlik egy külső OTP Radius

szerverben tárolt információ alapján.

A művelet a következő lépésekből áll:

1. Az elektronikus aláírás műveletet megelőző autentikációs lépés során, a

felépített TLS kapcsolat keretében az eszköz megkapja az OTP-t.

2. Az OTP a CoSign eszköz memóriájában tárolódik. Az eszköz megnyit egy Radius

alapú kommunikációs csatornát a Radius szerverrel [13]. A CoSign eszköz

validációs kérést küld az OTP hash értéke alapján (Próba OTP validációs kérés).

3. A Radius szerver megkapja a Próba OTP validációs kérést. A próba OTP

validációs kérésben megtalálható az aláíró felhasználó azonosítója, amely

alapján az OTP eszköz információ lekérésre kerül a Radius szerver

adatbázisából.

4. A Radius szerver felépít egy TLS alapú kommunikációs csatornát a CoSign

eszközzel, és elküldi a korábban megkapott Próba OTP kérést és a lekérdezett

OTP eszköz információt.

A kommunikációs csatorna által szolgáltatott információ eljut a CoSign eszköz

által futtatott OTP ellenőrző szolgáltatáshoz.




5. Az eszköz ellenőrzi a kommunikációs csatorna forrását és ellenőrzi, hogy az a

Radius szerver regisztrált IP címe.

6. Az OTP ellenőrző szolgáltatás az OTP eszköz információt és az OTP-t az eszköz

memóriáján keresztül kapja meg, majd elvégzi az OTP ellenőrzési folyamatot.

Csak és kizárólag akkor, ha az OTP ellenőrzés sikeres, az eszköz belső

memóriájában az adott OTP-hez bejegyzésre kerül, hogy sikeresen ellenőrzött.

7. A művelet befejezése érdekében az OTP ellenőrző szolgáltatás elküldi a Radius

szervernek az OTP ellenőrzés eredményét, majd a Radius szerver elküldi az

eszköznek a Radius protokol válaszát.

8. A CoSign eszköz figyelmen kívül hagyja ezt a választ és a belső OTP ellenőrzési

státuszt fogja használni, és ez alapján fog dönteni arról, hogy elvégezze-e kért

elektronikus aláírás művelet vagy sem.

1.3.3 A TOE-n kívül eső, de a TOE által megkövetelt hardver/szoftver/firmware

A működési környezetben a következő,TOE-n kívül eső hardver és szoftver elemekre

van szükség:

OTP eszköz

Az OTP eszköz generál egy dinamikus jelszót a felhasználónak. Ez a

dinamikus jelszó a felhasználó statikus jelszavával kombinálva kerül

elküldésre a CoSign eszköznek az autentikációhoz. Csak a megfelelő

azonosítás után tud a felhasználó elektronikusan aláírni.

Az OTP eszköz szükséges a fizikai behatolás érzékelő mechanizmus

biztosításához.

OTP Radius (távoli hitelesítésű betárcsázós felhasználói

szolgáltatás) szerver A CoSign eszköz az OTP Radius szerverrel Radius protokollon [13] keresztül

kommunikál. .

Az OTP Radius szerver felhívja a CoSign eszközt, hogy ellenőrizze az OTP-t a

Radius szervertől származó OTP eszköz információ és az aláíró által megadott

egyszer használatos jelszó alapján.

A CoSign eszköz csak sikeres a CoSign eszköz OTP ellenőrző szolgáltatása

által elvégzett sikeres elelnőrzés esetén fogja végrehajtani a kért digitális

aláírás műveletet.

Aláírás-létrehozó alkalmazás (Signature Creation Application, SCA)

Az SCA a felhasználó számítógépén futtatott alkalmazás. Ez szolgáltatja a

CoSign eszközhöz a felhasználói felületet az elektronikus aláírások

létrehozásához. Az SCA a felhasználó számítógépére szintén feltelepített

CoSign kliensen keresztül kommunikál a CoSign eszközzel.




Az aláírási szándék kinyilatkoztatása érdekében az aláírást megelőzően az SCA

megjeleníti az aláíró számára az aláírandó adatokat (DTBS), és amennyiben az aláíró

bizonyos félreérthetetlen inputtal vagy tevékenységgel jelzi aláírási szándékát, az

SCA elküldi a DTBS reprezentációt a CoSign kliensnek és a CoSign eszköznek. A

DTBS reprezentáció CoSign eszköznek való megküldését megelőzően a CoSign

kliensek megkövetelik az erős autentikációt.

A CoSign feldolgozza az aláírás kérelmet és az elektronikus aláírással válaszol.

A válaszként küldött elektronikus aláírás megküldésre kerül az SCA részére, és az

elektronikus aláírás az SCA által belekerül a dokumentumba.

A CoSign kliens magában foglalja az Aláírás API (SAPI) szoftver komponenst, ami

lehetővé teszi az SCA-k számára az elektronikus aláírás elhelyezését sokféle

dokumentum szabványba, mint például a PDF-be.

Abban az esetben, ha a CoSign REST klienst használja, az interfész engedi, a teljes

DTBS elküldését a DTBS reprezentáció helyett. Például ha a kliens PDF fájlt kíván

aláírni, a teljes PDF fájl elküldésre kerül az eszköz számára. Ezen interfész típus

esetén vannak bizonyos esetek, amikor a DTBS reprezentáció kerül elküldésre az

alkalmazás számára.

A DTBS/R kifejezés lesz használva mostantól, hogy jelölje vagy a teljes DTBS vagy a

DTBS reprezentáció küldését.

Az aláírás létrehozó alkalmazás számára követelmény az általa a TOE aláírás-

létrehozó funkciója számára nyújtott input integritásának megvédése, hogy

következetes legyen az aláírásra az aláíró által felhatalmazott felhasználói adatokkal.

Hacsak a TOE számára implicit módon nem ismert, az SCA jelzi az aláírás inputjának

fajtáját (mint DTBS/R), biztosítja és kiszámolja az elvárt hash értékeket.

Tanúsítvány kibocsátó alkalmazás (Certificate Enrollment Application,

CEA) A CEA kéri egy új aláíró kulcs (SCD) generálását a CoSign eszközön belül és

továbbítja a visszaküldött tanúsítvány kérelmet a CGA-nak. A visszaküldött

tanúsítvány bele lesz foglalva az aláíró fiókjába a CoSign eszközben. Lehetséges

minősített tanúsítvány igénylése, ami azt jelenti, hogy minden aláíró művelet a

minősített tanúsítvány használatával minősített elektronikus aláírás műveletként

kerül meghatározásra. Továbbá, lehetséges fokozott tanúsítvány igénylése, ami azt

jelenti,hogy minden aláíró művelet a fokozott tanúsítvány használatával fokozott

elektronikus aláírás műveletként kerül meghatározásra..

Tanúsítvány létrehozó alkalmazás (Certificate Generation Application,

CGA)

A CGA generálja a tanúsítványokat a felhasználók számára az aláíró kulcs alapján

ami a CoSign eszközben kerül előállításra. A CEA interfészel a CGA-val. Elküldi a

tanúsítvány kérelmet a CGA-nak és az a tanúsítvánnyal válaszol.







1.4 TOE leírás A következő fejezetek részletesen leírják a CoSign elektronikus aláírás megoldást.

1.4.1 Magas szintű CoSign leírás

CoSign egy hálózathoz csatlakoztatott eszköz, ami számítógép hardverből, fizikai

behatolás ellen védett hardverből, konzolból, megerősített operációs rendszerből és

a CoSign szerver szoftverből áll (2. ábra).

2. ábra - CoSign belső modell

A CoSign eszköz felhasználási célja az elektronikus aláírás termékként való

felhasználása (SSCD) szervezeti környezeten belül, és fizikailag biztonságos

környezetben a szervezet adatközpontjában ajánlott telepíteni és kapcsolódik a

szervezeti hálózathoz.

Egy CoSign eszköz képes biztonságosan kezelni több felhasználói fiókot. További

részleteket a felhasználói fiók indításáról megtalálható a későbbi Műveleti állapot

fejezetben. Minden egyes felhasználó részére OTP eszköz biztosított.

Minden egyes OTP eszköz egyedi azonosítóval rendelkezik. Amikor OTP eszköz

használatával autentikál egy felhasználót, a felhasználót kérik jelszó megadására,

ami egy statikus és egy dinamikus jelszóból áll. A dinamikus jelszó megjelenik az

OTP eszköz kijelzőjén.




Anélkül, hogy megfelelő statikus és dinamikus jelszót megadna, a felhasználó nem

hitelesíti magát a CoSign eszköz felé. A CoSign belsőleg validálja a statikus jelszót,

és Radius protokollon keresztül kommunikál az OTP Radius szerverrel, aztán az OTP

Radius szerver kommunikál biztonságos módon a CoSign eszközzel visszahívásként

az OTP validálásának céljából. Az OTP Radius szerver a TOE műveleti környezetén

belül helyezkedik el. Minden egyes felasználói fiók részére lehetséges több aláírói

kulcs és az azokhoz tartozó tanúsítványok generálása. Ha egy felhasználó szeretne

elektronikusan aláírni egy dokumentumot, a CoSign kliens nyit egy felhasználói

munkamenetet, ami megkülönböztetett biztonságos csatorna használatával védett és

1.0 verziójú TLS protokollt használ [8].

A TLS biztonságos csatorna TLS_RSA_WITH_3DES_EDE_CBC_SHA mechanizmuson

alapszik, ahol a szimmetrikus kulcs létrehozása 2048 RSA kulcson alapul, a

szimmetrikus titkosító algoritmus alapja 192 bites CBC módú Triple Des EDE. Az adat

integritás algoritmus SHA1 alapú. A bizalmassági és integritási elemek mefelelnek az

ETSI TS 102 176-2, V. 1.2.1 (2005-07 [7]) specifikációnak. Különösen a kriptográfiai

funkcionalitások amik implementálják a biztonságos csatornát (bizalmasság és

integritás védelem) felelnek meg [7]-nek, addig a kriptográfiai funkcionalitások amik

a biztonságos csatorna létrehozásában játszanak szerepet, mások, mint amik

előirányzottak [7]-ben, de [12, 2. és 4. táblázatok] szerint egyenértékúek a

biztosított biztonsági szint szemszögéből.

Ez a biztosított kommunikációs csatorna használt a CoSign kliensen keresztük

küldött bármilyen kéréshez.

A felhasználó aláírói kulcsához való hozzáférés csak sikeres hitelesítés után

engedélyezett. Hitelesítés alatt a CoSign eszköz ellenőrzi a felhasználó statikus

jelszavát és az OTP Radius szerveren keresztül interfészel az OTP validálásához a

CoSign eszköz visszahívásának használatával. Az elektronikus aláírás kimenet

belekerül a releváns dokumentumba.

A CoSign eszköz ismétlődő Audit naplózást tart nyílván, ami rögzít minden

adminisztratív funkciót és minden felhasználói aláírói kulcshasználatot. Az audit

napló nem törölhető és csak arra felhatalazott adminisztrátor olvashatja.




1.4.2 TOE felépítése

3. ábra – CoSign eszköz - Előnézet

4. ábra – CoSign eszköz - Hátulnézet

A TOE hatálya a teljes CoSign eszköz (lásd 2. és 3. ábra) beleértve az eszköz

hardver és szoftver komponenseit.




1.4.2.1 A TOE fizikai hatálya

Az eszköz egy acélból készült, rack szekrénybe szerelhető doboz. Az eszköz fizikai

interfésze a következő elemeket foglalja magába:

Hálózati csatlakozó (Ethernet interfész TCL/IP használatával)

Tápkapcsolókat (elöl egy kapcsolót és hátul egy főkapcsolót)

Tápcsatlakozót

LED jelzőlámpákat

LCD kijelzőt a konzolinformációk kijelzéséhez

billentyűzetet négy gombbal adminisztratív konzol kezeléshez

egy USB nyílást intelligens kártya alapú USB tokenhez

egy fizikai kulcs nyílást és egy fizikai kulcsot, amivel nyitni és zárni lehet a

fizikai ajtót, ami a fenti elülső tápkapcsolót, LCD kijelzőt, LED

jelzőlámpákat, billentyűzetet és USB nyílást fedi.

Az eszköz belső hardvere a következőt foglalja magába:

alaplap és CPU

Merevlemez, ami kezeli az eszköz szoftverét és adatait

egy jogosulatlan felnyitás elleni hardver eszköz, ami automatikusan

lekapcsolja az eszközt, ha valaki fel próbálja azt nyitni. További kritikus

információ, mint például a kritikus főkulcsok törlésre kerülnek, ha a

szabotázs esemény bekövetkezik.

Egy belső intelligens kártya alapú USB token ami valódi véletlen forrás

mely aláíró kulcsok generálására használható.

Tápegység és ventillátorok.

Amikor az eszköz bekapcsol a CoSign eszköz szoftvere aktiválódik. A szoftver

megerősített operációs rendszert használ.

Az eszköz konzolján keresztül a következő műveletek végezhetőek el:

Az eszköz általános paramétereinek megtekintése, ami nem biztonsággal

kapcsolatos. Az eszköz adminisztrátora megnézheti az eszköz IP címét, a

felhasználószámot, a szoftververziót, stb.

Hálózattal kapcsolatos paraméterek konfigurálása.

Visszaállítani a szabotázs státuszt szabotázs bekövetkezése után.

Gyári beállításra visszaállítani az eszközt.

Kikapcsolni az eszközt.

Az eszköz aktuális idejét beállítani.




1.4.2.2 A TOE logikai hatálya

A CoSign szoftver több szoftver modult foglal magába, amelyek lehetővé teszik a

felhasználók számára az eszköz távoli elérését és az elektronikus aláírás művelet

végrehajtását.

A felhasználó számítógépére feltelepített CoSign kliens szoftveren keresztül történik

a eszközhöz való hozzáférés, TLS munkamenet létrehozásával a távoli kliens és a

CoSign eszköz között.

Az elektronikus aláírás parancs és a visszaküldött elektronikus aláírás információ a

CoSign eszköztől és eszköznek kerül továbbításra a létrehozott TLS munkamenet

használatával.

A CoSign szoftver a következő állapotokban lehet:

Gyári állapot – Ebben az állapotban érkezett a termék a gyárból. A terméket

még nem telepítették és a végfelhasználók nem érhetik el.

Műveleti állapot – A termék telepítve van és készen áll új felhasználók

kezelésére és elektronikus aláírás műveletek elvégzésére.

Szabotált állapot – A eszközhöz jogosulatlan hozzáférés történt. Ebben az

állapotban a felhasználók semmilyen elektronikus aláírás műveletet nem

tudnak végrehajtani.

További információ a TOE állapotokról a CoSign telepítési életciklus fejezetben van

leírva.

A műveleti állapotban a TOE által nyújtott releváns szolgáltatásokat a következő

fejezetek írják le.

1.4.2.2.1 Aktív felhasználó műveletek

Amikor a termék műveleti állapotban van, a felhasználók biztonságosan

kommunikálhatnak az eszközzel a TLS protokoll használatával TCP/IP felett és a

következő műveleteket végezhetik el:

RSA aláírás létrehozás Egy DTBS/R kerül elküldésre a TOE részére, a felhasználói munkamenet részeként. A

TOE elvégzi az elektronikus aláírás műveletet és az elektronikus aláírással válaszol.

RSA kulcsgenerálás Új RSA kulcs létrehozása. Az aláírói kulcs létrehozás az eszközön belül hajtódik

végre. A CoSign tartalmaz egy véletlen szám generátor hardvert ami intelligens

kártya chippen alapul. Ál-véletlen szám generátor használata (FIPS 186-2 3.

Melléklet), az előírt véletlen számot biztosítja a kulcsgeneráláshoz. Az RSA

kulcsgeneráló algoritmus megfelel az [5], [6] és [9] előírásoknak. Az RSA kulcs a

következő méretű lehet: 2048 bites vagy 4096 bites.

Grafikus aláírások kezelése Minden egyes felhasználó több grafikus aláírást is feltölthet, hogy a CoSign az




adatbázisában tárolja a megfelelő felhasználói fiók alatt. Ezek a képek előhívásra

kerülnek a CoSign kliens által és látható aláírásként belekerülnek az aláírt

dokumentumba az aláírás művelet részeként.

Tanúsítványok kezelése Az összes felhasználói tanúsítvány is eltárolásra kerül a CoSign eszköz adatbázisában

a megfelelő felhasználói fiók alatt. Két eset van amikor a tanúsítványt használja a

felhasználó (aláíró).

Tanúsítvány felvétel

Tanúsítvány felvétel alatt az RSA kulcs a CoSign eszközön belül jön létre, egy

aláírt SVD kerül ki a CoSign eszközből és a CGA-nak elküldésre kerül a TOE

hatáskörén kívül. Az új tanúsítvány visszatöltésre kerül a TOE-be.

Aláírás-létrehozó alkalmazás (SCA)

Az aláírás generáló alkalmazás visszaadja az összes felhasználói tanúsítványt

és hagyja a felhasználót kiválasztani a megfelelő tanúsítványt az elektronikus

aláírás művelethez.

1.4.2.2.2 CoSign véletlen szám generálás

A CoSign magába foglal egy beépített véletlen szám generátort amit sokféle

műveletre használ mint pl. az aláírói kulcs generálása, érzékeny adat generálása,

törölt SCD-k felülírása és egyéb érzékeny információ felülírása, mint pl. a kritikus

kulcsok a következő fejezetben leírástak szerint.

A véletlen szám generálása megfelel a [6] szabványnak és mind Tényleges Véletlen

szám generáló mechanizmuson (trueran) mind ál-véletlen (pseuran) szám generáló

mechanizmuson alapul.

Az igazi véletlen szám generáló mechanizmus igazi véletlen szám forráson alapul,

amit egy USB token formájában beépített intelligens kártya chip ad. Az intelligens

kártya chip AT90SC25672RCT-USB Atmel chipen alapul Athena IDProtect/OS755

Java Kártyával.

Ez a chip rendelkezik Common Criteria EAL 4+ tanúsítvánnyal.

Az ál-véletlen generáló a fentebbi valódi véletlen forrást használja és kiszámítja a

véletlen számot a [10]-ben leírt determinisztikus algoritmus segítségével.

1.4.2.2.3 CoSign főkulcsok (Master Keys)




A CoSign a következő kritikus Triple DES kulcsokat (192 bit hosszú) használja

amiket az alkalmazás telepítésekor generál és mind az eszköz volatile

memóriájában, mind pedig a szabotázs elleni eszközben megtalálható:

SRV KEK – Főkulcs ami AUK kulcs titkosításra használható

Ez a 192 bites kritikus adat kiegészítve a statikus jelszóval felhasználó-

specifikus kulcs titkosító kulcsot (KEK) épít fel.

A felhasználó-specifikus KEK titkosítja/visszafejti a véletlenszerűen generált

Egyedi fiók kulcsot (AUK).

Az AUK az aláíró kulcsok titkosítására való, amik az adott felhasználói fiókhoz

tartoznak.

Az SRV KEK titkosítja a képeket és a tanúsítványokat a TOE adatbázisában.

SRV adat integritás – Főkulcs felhasználói adatbázis bejegyzések MAC

kiszámításához/verifikációjához

Ez a 192 bites kritikus kulcs védi az összes CoSign eszköz adatbázisában lévő

felhasználói információ, kulcsinformáció, egyéb felhasználói objektum és más

érzékeny információk integritását.

Az összes kritikus kulcs a fentebbi részben definiált módon használja az eszköz

véletlen szám generáló mechanizmusát.

Az összes kritikus kulcs továbbá másolásra kerül egy dedikált Intelligens Kártya

alapú USB tokenre biztonsági mentés célból. Az USB tokent a mentéssel dedikáltan

biztonságos környezetben kell tartani egy dedikált adminisztratív személy

felelősségvállalásával.

A biztonsági mentést tartalmazó USB token az eszköz telepítés alatt készül és annak

biztosított információja egy másik további dedikált USB tokenre is másolásra kerül.

A mentést tartalmazó tokent a következő műveletekre alkalmazzák:

Szabotázst követően visszaállításra

Szabotázs esemény esetében az eszköz adminisztrátora elvégezheti a

szabotázst követő visszaállítás műveletet.

Az eszköz adminisztrátor csak akkor végezze el a szabotázst követő

visszaállítás műveletet, ha teljes mértékben biztos abban, hogy az eszközt

teljesen ellenőrzött módon nyitották ki.

Ha a szabotázs esemény a biztonság sérülésének részeként történt, akkor tilos

végrehajtani a szabotázst követő visszaállítás műveletet annak a kockázata

miatt, hogy az eszközt produktív üzemmódba hozva a belső információ

kompromittálódhat, mint például az aláírói kulcsok.

Abban az esetben hogy ha az eszköz adminisztrátor engedélyezi a szabotázst

követő visszaállítást a biztonsági mentést tartalmazó USB token szükséges,

mivel az összes kritikus információ törlésre került a szabotált eszközről és az

egyetlen mód az információ rekonstruálására az a biztonsági mentést

tartalmazó USB token használata. Ezt a műveletet csak az eszköz konzoljáról

lehet elvégezni.




Alternatív eszköz telepítése

Annak biztosítása érdekében, hogy az Alternatív eszköz ugyan azokkal a

kritikus kulcsokkal rendelkezik, mint amiket az Elsődleges eszköz használ.

1.4.2.2.4 Működési adminisztratív műveletek Az adminisztrátor elvégezheti az adminisztratív műveleteket vagy a konzolon

keresztül, vagy egy biztonságos hálózati kapcsolaton keresztül.

A konzolhoz kapcsolódó műveletek nem igénylik az eszköz adminisztrátor

hitelesítését és a TOE műveleti környezetének biztonságára támaszkodnak.

Kétféle adminisztrátor típus létezik:

1. Eszköz adminisztrátor – telepíti az eszközt és kezeli az eszközzel

kapcsolatos funkcionalitásokat.

Néhány eszköz adminisztrációs funkciót a TOE konzoljának használatával

végeznek.

2. Felhasználó adminisztrátor – kezeli a felhasználói fiókokat

A következőkben látható néhány a műveletek közül, amiket a fentebbi

adminisztrátorok elvégezhetnek:

Egy speciális felhasználói adminisztrátor elvégezheti a felhasználó kezelő

műveleteket (új felhasználói fiók létrehozása, korlátozott frissítse egy

meglévő felhasználói fióknak és betekinteni a felhasználói információba)

Az eszköz adminisztrátor feltölthet elektronikusan aláírt szoftver

frissítéseket. A frissített szoftvernek is rendelkeznie kell a Biztonsági

Előirányzat vagy a Biztonsági Előirányzat frissített változata szerinti

Common Criteria tanúsítással.

Az eszköz adminisztrátor letöltheti az audit és debug naplókat

Az eszköz adminisztrátor feltöltheti a REST interfész biztonságos

csatornájához használt TLS szerver kulcsot.

További információért lásd a 7.1 fejezetet.

A következő műveletek automatikusan hajtódnak végre a CoSign eszköz által az

műveleti állapotban:

Szabotázs érzékelés és védelem, amikor az eszköz fedelét felnyitják akár ki

van kapcsolva az eszköz, akár be.

Az aláírói kulcsok biztonságos tárolása

Alkalmazás adatok tárolása (tanúsítványok és grafikus aláírás képek)

1.4.2.2.5 CoSign magas rendelkezésre állás munkamódban

Lehetséges kettő vagy több CoSign eszköz telepítése is ugyan abban a műveleti

környezetben. A célja annak, hogy egynél több aktív eszköz legyen az az, hogy

lehetővé tegye a szervezet felhasználói számára az elektronikus aláírást hardver az

elsődleges CoSign eszköz hardverének vagy szoftverének meghibásodása esetén.

A fő CoSign eszközt Elsődleges CoSign eszköznek nevezik, míg a többi CoSign

eszközöket Alternatív CoSign eszközöknek.




Aláírói kulcsok akár csak a tanúsítványok és képek többszörözöttek.

Az adatmásolatok biztonsága az alkalmazás szintű adatintegritás mechanizmusokon

alapszik ahol az összes biztonsággal kapcsolatos információ magába foglal egy MAC

címet. Érzékeny információ, mint az aláírói kulcsok vagy a képek titkosítottak.

Csak egy CoSign eszköz van Elsődleges CoSign eszköznek kijelölve.

Elektronikus aláírás műveletek és minden kezelői művelet csak az elsődleges eszköz

használatával engedélyezett, az alternatív eszközöknél pedig nem.

Az elsődleges eszköz végzetes hibája esetén, ami már nem javítható, speciális

műveletek végezhetőek el, hogy helyreállítsák a rendszert.

Az eszköz adminisztrátor képes az egyik alternatív eszközt átalakítani, hogy az az új

elsődleges eszközként viselkedjen a műveleti környezetben.




1.4.2.2.6 CoSign eszköz telepítési életciklus

5. ábra CoSign telepítési életciklus

Az 5. ábra bemutatja a teljes termék életciklust ahol a telepítés, gyári beállításokhoz

való visszatérés és a szabotázst követő visszaállítás az adminisztrátorok számára

engedélyezett műveletek, és a szabotázs egy külsőleges felnyitási esemény. A gyári

beállítás és a szabotázst követő visszaállítás csak az eszköz konzoljáról kerül

végrehajtásra.

Az elkövetkezőekben ezekről az állapotokról részletes leírás található.

Gyári beállítások állapot

Ebben az állapotban a CoSign eszköz nincs installálva, és nincsenek felhasználói

fiókok, aláírói kulcsok vagy bármely más felhasználói infó a CoSign adatbázisban.

Műveleti állapotra váltás Csak ebben az állapotban lehet telepíteni a CoSign-t. A telepítés alatt a CoSign

eszköz a vevő környezeti definíciók szerint konfigurált.

A CoSign telepítését biztonságos környezetben kell végrehajtani. A telepítés alatt két

főkulcs kerül előállításra, ami az információ, mint például a felhasználói fiókok

integritásának védelmére használják, és belsőleg részt vesz az eszköz aláírói

kulcsainak titkosításában. Ezek a főkulcsok egy dedikált USB tokenen vannak tartva

a telepítés alatt és megfelelően biztonságos helyen kell azt tárolni, mint például egy

széfben.

A sikeres telepítést követően a CoSign műveleti állapotban van.

Magas rendelkezésre állás A CoSign magas rendelkezésre állás módban kell, hogy telepítve legyen ahol az

elsődleges CoSign eszköz a fentebb leírt módon kerül telepítésre.

Egy speciális kézi telepítési eljárást kell lefolytatni minden egyes alternatív eszközön.




Az alternatív eszköz telepítése alatt:

Az eszköz adminisztrátora biztosítson speciális biztonsági mentés tokent, hogy

az elsődleges eszköz és az alternatív eszköz ugyan azon a főkulcsokon

osztozzon.

Az alternatív eszköz IP címe felvételre kerül az alternatív eszközök

címlistájára, amit az elsődleges eszköz kezel.

Amikor az elsődleges eszköz telepítése elkészül, az elsődleges eszköz műveleti

állapotban van. Amikor az alternatív eszköz telepítése elkészül, akkor az alternatív

eszköz műveleti állapotban van.

Szabotált állapotra váltás Ebben a fázisban az eszköz gyári állapotban marad, ellenben javasolt hogy ha

bármilyen fizikai befolyásolás történt az eszköz adminisztrátort értesíteni kell.

Műveleti állapot Ebben az állapotban lehetséges új felhasználói fiókok létrehozása és a fiók

aktiválása, hogy elektronikus aláírás műveletet meg lehessen kezdeni.

A felhasználói fióknak a következő életciklusa van:

Új fiók létrehozása

Ezt a műveletet a felhasználói adminisztrátor végzi el.

Fióklétrehozás alatt a felhasználói adminisztrátor beállít egy aktivációs jelszót a

felhasználó részére.

A végfelhasználónak ezt a jelszót vagy Pin Mailer vagy más mechanizmus

használatával adják oda. Ezek a mechanizmusok a CoSign hatályán kívül esnek.

Végfelhasználói fiók aktiválás

Egy fiók csak egyszer aktiválható. Aktiválás alatt a felhasználónak a következő

részleteket kell biztosítania:

Aktivációs jelszó, ahogy a felhasználói adminisztrátor megadta

Dinamikus jelszó, ahogy az OTP eszköz megadta

Egy új statikus jelszó és egy megerősítő jelszó

Aktiválás alatt az új egyedi fiók kulcs (AUK) létrehozásra kerül a fiók számára és

titkosításra a felhasználó nyilvántartásban az adatbázisban. A titkosító kulcs a

CoSign első főkulcsának és a felhasználó statikus jelszavával épül fel.

Az AUK egy hármas kulcsú Triple-DES kulcs amit a jövőben a létrehozott felhasználói

aláíró kulcs titkosításra használnak.




Csak miután sikeresen aktiválta a fiókot tud a felhasználó új aláíró kulcsokat felvenni

vagy meglévő aláíró kulcsokkal aláírni.

Ha a fiókot már aktiválták, akkor a felhasználónak haladéktalanul kapcsolatba kell

lépnie a szervezettel azzal a gyanúval, hogy a fiókkal már visszaéltek. Bármilyen

hasonló esemény jelentve lesz a CoSign audit naplóba.

Nem lehetséges új aktivációs jelszó beállítása a felhasználó számára miután a fiókot

aktiválták. Tilos felhasználó OTP eszközét cserélni miután a fiók aktiválódott, a

felhasználói fiókot vissza kell vonni és egy új fiókot kell létrehozni a felhasználó

számára.

Aktivált fiók műveletei

A következő műveletek hajthatóak végre az aláíró által, ha a fiókot aktiválták:

Új aláírói kulcs létrehozása és tanúsítvány kérelmet szerezni az újonnan

generált kulcshoz.

Elfogadni egy tanúsítványt az új aláíró kulcshoz

Tanúsítványlistát szerezni a fiókhoz

A fiókhoz képek kezelése és fiók képlistát szerezni.

Elektronikus aláírás művelet

Jelszó megváltoztatás művelet

A felhasználó megadja a régi statikus jelszót akárcsak az új statikus jelszót

és a megerősítést az új statikus jelszóhoz.

Ezalatt a művelet alatt a felhasználó AUK újra lesz titkosítva egy új KEK-el,

ami az első főkulcsból és az új statikus jelszóból épül föl.

Felhasználói adminisztrátor általi fiók visszavonás A felhasználói adminisztrátor bármikor visszavonhat egy fiókot. Az összes aláírói

kulcs, tanúsítvány, és kép törlésre kerül. Tilos más felhasználó számára kiutalni az

OTP eszközt.

Magas rendelkezésre állás megfontolások Minden kezelői művelet akár csak az aláírói műveletek az elsődleges eszköz

elérésével hajtódnak végre. Ez magában foglalja: felhasználói fiók készítés, fiók

aktiválás, statikus jelszó megváltoztatása. Egy alternatív eszköz kerül felhasználásra

katasztrófa utáni helyreállításra.

Az elsődleges eszköz tartja karban a címlistát az összes elérhető alternatív eszközről.

Az elsődleges eszköz periodikusan lemásolja az összes frissítést ami a felhasználói

fiókokban bekövetkezett az elmúlt pár percben. A másolás megtörténik a címlistában

szereplő összes alternatív eszköz esetén is.




Ha egy alternatív eszköz eltávolításra kerül a címlistáról, semmilyen frissített

információ nem kerül küldésre az alternatív eszköz számára.

Az elsődleges eszközzel történt katasztrófa esetén lehetséges megváltoztatni egy

létező alternatív eszköz szerepkörét, hogy az átvegye az elsődleges eszköz szerepét.

Ezt speciális adminisztratív művelettel lehet megcsinálni.

Gyári beállítások állapotra váltás Egy eszközt vissza lehet állítani gyári állapotra egy speciális művelet aktiválásával az

eszköz konzolján. Ez a művelet elpusztítja az összes felhasználói fiók információt. A

művelet továbbá törli az összes főkulcs információt a manipulálási eszközről.

Végrehajtani egy visszaállítást a gyári működésre egy alternatív eszköz esetén

hasonló egy gyári működésre való visszaállítás végrehajtásához egy elsődleges

eszközön.

Szabotált állapotra váltás Egy eszköz szabotált állapotra vált felnyitás esetén.

Szabotált állapot A CoSign manipulálás elleni mechanizmust tartalmaz, ami ha aktiválódik, akkor

aktívan kitörli az érzékeny információt, hogy megvédje a felhasználók aláírói

kulcsait. Szabotált állapotban az eszköz nincs beindítva és nem szolgál ki egyetlen

kérést se a felnyitási állapot eszköz adminisztrátor jóváhagyásán kívül.

Műveleti állapotra váltás Ha a CoSign eszköz műveleti állapotban volt, csak a speciális biztonsági mentést

tartalmazó OSB kulcs használatával az eszköz adminisztrátor szabotált állapotról

újból műveleti állapotra változtathatja az eszköz állapotát. Az összes főkulcs

információ át lesz másolva a speciális biztonsági mentés USB kulcsról az eszköz

szabotázs eszközére. Ha a CoSign eszköz gyári állapotban volt akkor a szabotázs

állapot visszaállító művelet adminisztrátori végrehajtásához nem előírás a speciális

biztonsági mentés USB token használata, és az eszköz állapota visszaáll gyári

állapotra.

Az eszköz adminisztrátor csak akkor végezze el a szabotázst követő visszaállítás

műveletet, ha teljes mértékben biztos abban, hogy az eszközt teljesen ellenőrzött

módon nyitották ki.


végrehajtani a szabotázst követő visszaállítás műveletet annak a kockázata miatt,

hogy az eszközt produktív üzemmódba hozva a belső információ kompromittálódhat,

mint például az aláírói kulcsok.

Az állapotváltozások hasonlóak az elsődleges és az alternatív eszközöknél.




Gyári beállítások állapotra váltás Egy eszközt vissza lehet állítani gyári állapotra egy speciális művelet aktiválásával az

eszköz konzolján. Ez a művelet elpusztítja az összes felhasználói fiók információt.

Végrehajtani egy visszaállítást a gyári működésre egy alternatív eszköz esetén

hasonló egy gyári működésre való visszaállítás végrehajtásához egy elsődleges

eszközön.




2 Megfelelőségi nyilatkozat CoSign Biztonsági előirányzat és egy a TOE megfelel az Információs technológia

biztonsági értékelésének közös kritériumának 3.1 verzió 2. felülvizsgálatának:

- Információs technológia biztonsági értékelésének közös kritériuma – 2. rész:

Biztonsági funkcionális komponensek, 2007 Szeptember 3.1 Verzió 2. Rev.

CCMB- 2007-09-002 (2. kiegészített rész)

- Információs technológia biztonsági értékelésének közös kritériuma – 3. rész:

Biztonság biztosító komponensek, 2007 Szeptember 3.1 Verzió 2. Rev.

CCMB-2007-09-003 (3. rész megfelelő)

A CoSign Biztonsági előirányzat megfelel az AVA_VAN.5 alátámasztott EAL4

biztosítási szintnek ahogy az Információs technológia biztonsági értékelésének közös

kritériuma – 3. rész: Biztonság biztosító komponensek, 2007 Szeptember 3.1 Verzió

2. Rev. - CCMB-2007-09-003 (CC 3. rész) meg van fogalmazva.

A CoSign Biztonsági előirányzat nem felel meg egy védelmi profilnak (PP) sem.




3 Biztonsági probléma leírás

A következő fejezet leírja a biztonsági problémákat, amelyekkel foglalkozni kell a

TOE részeként. A fejezetben felsorolásra kerülnek a fenyegetések, szervezeti

biztonsági politikák (OSP) és a feltételezések, amik a Biztonsági probléma leíráshoz

kapcsolódnak.

3.1 Fenyegetések

Ez a fejezet a TOE eszközök és alanyok listájával kezdődik és a fenyegető tényezőkel

és az eszközök fenyegetettségeivel zárul.

Eszközök és Objektumak :

1. Aláírás-létrehozó eszköz (SCD): privát kulcs, amit az elektronikus aláírás

művelet végrehajtásához használnak. Fenn kell tartani a bizalmasságot, az

integritást és az aláíró kizárólagos felügyeletét az SCD felett. Ez a megkötés

bármely aláíró bármely aláírás-létrehozó eszközére vonatkozik a TOE tlejes

életciklusa alatt.

2. SVD: az SCD-vel kapcsolatos nyilvános kulcs, amit az elektronikus aláírás

ellenőrzésének végrehajtására használnak. Az exportálás alatt az SVD

integritását fenn kell tartani.

3. DTBS és/vagy DTBS/R: aláírandó adat és aláírandó adat reprezentáció, amit az

aláíró alá akar írni. A reprezentáció az adat hash értékén alapszik. Az

elektronikus aláírás által biztosított aláíróval való kapcsolat integritását és

megmásíthatatlanságát fenn kell tartani.

4. Aláírás-létrehozó TOE funkció a DTBS/R részére történő elektronikus

aláírás létrehozásához az SCD használatával.

5. Statikus jelszó (VAD): ugyan úgy OTP-t használó statikus jelszó, amit a

végfelhasználó ír be a felhasználó az aláírás művelet előtti hitelesítéshez.

6. Referencia statikus jelszó (RAD): statikus jelszó referenciával kapcsolat

információ akár csak a felhasználóhoz rögzített OTP sorozatszám és az OTP

eszköz kulcs anyaga, ami a felhasználó azonosításához használnak.

7. Az előállt elektronikus aláírás.

8. Az aláíró tanúsítványai: bár ezek az elemek publikusan elérhetőek az aláírt

dokumentumból, csak az aláíró használja a tanúsítványát az elektronikus

aláírás folyamat során, amit az SCA kezel.

9. Az aláíró képei: bár ezek az elemek kinyerhetőek az aláírt dokumentumból,

csak az aláíró használja a képeit az elektronikus aláírás folyamat során, amit az

SCA kezel.

Rendszer paraméterek és TOE belső elem adat elemeinek egy változata, mint például

az alternatív eszközök belső listája. Néhány rendszer paraméter és egyéb adat a TOE

telepítése után lezárásra kerül. Egyéb renszer paraméter és TOE adat csak az eszköz

adminisztrátora által módosítható. Alább látható néhány, a TOE által használt




renszer paraméter és adat:

Radius szerver IP cím

Alternatív eszközök listája

REST TLS szerver kulcs

Statikus jelszó politika attribútumok

Felhasználók, és felhasználók nevében eljáró alanyok:

Alanyok Leírás

S.User A TOE végfelhasználója, aki felhasználói adminisztrátorként,

eszköz adminisztrátorként és aláíróként azonosítható. A TOE-

ben az S.User alany S.AppianceAdmin-ként is eljárhat az

R.ApplianceAdmin szerepében vagy S.UserAdmin-ként,

R.UserAdmin szerepében, vagy S.Sigy-ként R.Sigy

szerepében.

S.ApplianceAdmin A felhasználó, akinek a feladata a TOE inicializáció vagy

TOE konfiguráció elvégzése.

S.UserAdmin Felhasználó, akinek a TOE felhasználók kezelése a feladata.

Ez a fiók felel a létrehozott felhasználók aktivizáló jelszaváért.

S.Sigy Felhasználó, aki használja a TOE-t az elektronikus aláírás

műveletek miatt.

A felhasználó a TOE-n lévő fiók hazsnálja a saját részére,

vagy más természetes, jogi személy vagy entitás nevében,

amit képvisel. A TOE-ben az S.Sigy alany R.Sigy szerepben

jár el sikeres autentikációt mint aláíró elvégzését követően.

Fenyegető tényezők:

S.ATTACKER Támadó.TOE-n kívül elhelyezkedő ember vagy folyamat, ami a

nevében jár el. A fő célja az S.ATTACKER alanynak Az SCD elérése,

vagy hogy meghamisítsa az elektronikus aláírást. Egy támadó magas

támadási potenciállal rendelkezik, és nem ismer titkokat.

S.INTERNAL Egy ember magas támadási potenciállal, akinek hozzáférése van a

biztosított információk egy részéhez, mint például a végfelhasználó

aktivációs jelszavához és megpróbálja azt kihazsnálni és aláírás

műveletet végezni az eszköz felhasználójának nevében.

A megvizsgált fenyegetésekről következik itt egy lista:

T.SCD_Divulg Aláírás-létrehozó adat tárolása, másolása és kiadása




Egy támadó eltárolja vagy lemásolja az SCD-t a TOE-n kívül. Egy támadó

megszerezheti az SCD-t TOE-n belüli generálás tárolás és aláírás létrehozás alatt.

T.SCD_Derive Aláírás-létrehozó adat származtatása

Egy támadó származtatja az SCD-t publikusan is fellelhető adatokból, mint amikor az

SVD megegyezik az SCD-vel, vagy más egyéb adattal, ami ki lett exportálva a TOE-n

kívülre, ami egy fenyegetés az SCD titkosságára nézve.

T.Hack_Phys Fizikai támadások a TOE interfészeken keresztül

Egy támadó fizikailag kommunikál a TOE-val hogy kihasználja a sebezhetőségeket,

ami különféle biztonsági sérüléshez vezethet. Ez a fenyegetés SCD, SVD és DTBS

ellen irányul.

T.SVD_Forgery Aláírás-verifikációs adat hamisítás

Egy támadó hamisított SCD-t mutat be a CGA-nak. Ez az SVD integritás

elvesztéséhez vezet az aláíró tanúsítványában.

T.SigF_Misuse Visszaélés a TOE aláírás-létrehozó funkciójával

Egy támadó visszaél a TOE aláírás-létrehozó funkciójával, hogy elektronikus aláírást

hozzon létre olyan adaton, amit az aláíró nem döntött úgy, hogy aláír. A TOE

lehetséges célpontja szakértők szándékos támadásainak, akik magas támadási

potenciállal, biztonsági elvek és a TOE által használt koncepciók terén magas

szakértelemmel rendelkeznek.

T.D TBS_Forgery DTBS/R hamisítás

Egy támadó megváltoztatja a DTBS/R-t, amit az SCA küld. Így a DTBS/R amit a TOE

aláíráshoz használ nem egyezik azzal a DTBS-el amit az aláíró alá akart volna íratni.

T.Sig_Forgery Elektronikus aláírás hamisítás




Az SCD használata nélkül egy támadó meghamisítja az aláírással kapcsolatos

adatokat és az SVD általi elektronikus aláírás ellenőrzés nem észleli a hamisítást. A

TOE által létrehozott aláírás lehetséges célpontja szakértők szándékos támadásainak,

akik magas támadási potenciállal, biztonsági elvek és a TOE által használt

koncepciók terén magas szakértelemmel rendelkeznek.

T.E Expos_TOE_Disk TOE jogosulatlan felnyitása és a TOE belső lemezéhez való

hozzáférés

Egy támadó felnyitja a TOE-t és eléri a belső lemezt és megkísérli az aláírók SCD és

RAD adatainak olvasását.

3.2 Szervezeti biztonsági politikák

P.CSP_QCert Minősített aláírás

A tanúsítvány szolgáltatás szolgáltató (CSP) megfelelő CGA-t használ minősített vagy

nem minősített tanúsítvány előállításához (A Direktíva: 2:9, I Melléklet) az SVD

részére az SSCD által. A tanúsítványok legalább az aláíró nevét tartalmazza és az

SCD-hez tartozó SVD az aláíró kizárólagos felügyelete mellett a TOE-ben

végrehajtásra kerül. A CSP biztosítja, hogy a TOE mint SSCD használata az

aláírrásokkal kapcsolatban nyilvánvalóan feltüntetett a tanúsítványban vagy

bármilyen más publikusan is elérhető információként.

P.QSign Minősített elektronikus alírások

Az aláíró az aláírás-létrehozó rendszert adatok aláírásához használja fokozott

elektronikus aláírással (A Direktíva: 1, 2), ami minősített elektronikus aláírás, ha

megfelelő minősített tanúsítványon alapul (1. Melléklet). A DTBS bemutatásra kerül

az aláíró részére, és az SCA mint DTBS/R elküldi az SSCD-nek. Az SSCD elektronikus

aláírást hoz létre az SCD-vel, ami az SSCD-ben van implementálva, ami az aláíró

kezel az ő kizárólagos felügyelete mellett, és a a DTBS/R-hez kapcsolódik olyan

módon, hogy a későbbiekben bekövetkező bármilyen adatának változása észlelhető.

P.Sigy_SSCD TOE mint biztonságos aláírás-létrehozó eszköz

A 3. Mellékletben meghatározott SSCD követelményeknek megfelel a TOE. Ez azt

jelenti, hogy az SCD elektronikus aláírás létrehozásához kerül felhasználásra at

aláíró kizárólagos irányítása alatt, és az SCD, amit aláírás létrehozásához használt

csak praktikusan egyszer fordul elő.

P.Sig_Non-Repud Aláírások letagadhatatlansága Az SSCD, az SCD és az SCD életciklusát úgy kell implementálni, hogy az aláíró ne

tudja letagadni az aláírt adatot, ha az aláírást sikeresen verifikálták az ő

visszavonatlan tanúsítványában lévő SVD-vel.




3.3 Feltevések

A.CGA Megbízható tanúsítvány-készítő alkalmazás

A CGA megvédi az aláíró nevének és az SVD hitelességét a (minősített)

tanúsítványban a CSP fokozott elektronikus aláírásával.

A.S CA Megbízható aláírás-létrehozó alkalmazás

Az aláíró csak megbízható SCA-t használ. Az SCA generálja és küldi az aláíró által

aláírni kívánt adat DTBS/R-ét olyan formában, ami TOE aláírásra megfelelő.

A.T OEConfig TOE konfiguráció

TOE konfigurációs folyamatok:

A figyelembe veendő ajánlásokat a [6] tartalmazza a hash függvények és

aláírás csomag időbeli ellenállóképességéről,

Adjon egyértelmű útmutatást az eszköz adminisztrátornak hogy a [6]-nak való

szigorú megfelelőség biztosítva legyen az összes előírt esetben.

Adjon egyértelmű útmutatást az eszköz adminisztrátornak hogy az összes

előírt esetben kötelező a legutóbbi verziónak [7] való szigorú megfelelőség

biztosítása érdekében vagy alternatívaként annak megerősítése, hogy a

körülmények a meghosszabbított megfelelőséghez [7] még megfelelőek.

A.SecEnv Biztonságos környezet

Feltételezhetően a műveleti környezet elegendő intézkedést biztosít, hogy megvédje

a TOE-t fizikai felnyitás vagy jogosulatlan hálózati hozzáférés ellen.

A.BKP-USB USB token biztonsági mentés

Feltételezhetően a felhatalmazott adminisztrátor a felelős mindkét, a TOE telepítése

alatt generált USB token biztonságos helyen (széf) történő tárolásáért.

A.OTP-MGMT OTP eszközkezelés

Feltételezhetően az OTP eszközök biztonságosan kezeltek a produktív állapottól,

amíg az OTP eszközt az aláírónak át nem adja a szervezet.

Továbbá feltételezhető, hogy az OTP Radius szerveri OTP eszköz információk

megfelelően kezeltek, a felhasználói fiók státuszát is figyelembe véve.

A.OTP-USER Aláírói OTP eszközhasználat

Feltételezhető, hogy az aláíró a saját ellenőrzése alatt tartja az OTP eszközét és

minden hiányzó vagy szabotált OTP eszköz esetében az aláíró jelenti azt a

szervezetnek az aláíró fiókjának és a releváns OTP eszközének visszavonásához.




A.Trained&Trusted Képzett és megbízható felhasználók

Feltételezhető, hogy az összes TOE felhasználó megfelelően képzett a TOE

biztonságos használatához.

Feltételezhető továbbá, hogy a TOE adminisztrátorai megbízhatóak és kellően

képzettek a TOE és TOE környezet biztonságos telepítéséhez, konfigurációjához. Ez

azt jelenti, hogy a TOE adminisztrátorok felelősek a Radius szerver biztonságos

telepítésért, konfigurációért és működtetésért is.

4 Biztonsági célkitűzések

Ez a fejezet azonosítja és leírja a biztonsági célkitűzéseket a TOE és a műveleti

terület számára. Biztonsági célkitűzések tükrözik a megfogalmazott szándékot az

azonosított fenyegetések ellenében, akár csak az azonosított szervezeti biztonsági

politikáknak való megfelelést és feltételezéseket.

4.1 Biztonási célkitűzések a TOE részére

OT.Lifecycle_Security Életciklus biztonság

A TOE-nak érzékelnie kell a hibákat az inicializáció, megszemélyesítés és műveleti

állapot alatt. A TOE lehetőséget kell, hogy biztosítson az SCD biztonságos

megsemmisítésére.

Alkalmazáshoz megjegyzés:

A TOE több mint egy SCD-t tartalmazhat. Nincs szükség az SCD megsemmisítésére

újragenerálás esetében. Az aláírónak képesnek kell lennie az SSCD-n tárolt SCD

megsemmisítésére például a megfelelő SVD (minősített) tanúsítványának lejárata

után.

OT.SCD/SVD_Gen SCD/SVD létrehozás

A TOE biztonsági funkciókat nyújt, hogy biztosítsa, hogy csak jogosult felhasználók

kezdeményezik az SCD és SVD létrehozását.




OT.SCD_Unique Az aláírás-létrehozó adat egyedisége

A TOE-nak biztosítania kell az általa létrehozott SCD/SVD kulcspár kriptográfiai

minőségét, megfelelőségét a fokozott vagy minősített elektronikus aláíráshoz. Az

aláírás létrehozásához használt SCD gyakorlatilag csak egyszer fordulhat elő, és az

SVD-ből nem állítható elő. Ebben a kontextusban a „gyakorlatilag csak egyszer

fordulhat elő” azt jelenti, hogy az SCD-k egyezőségének valószínűsége

elhanyagolhatóan kicsi.

OT.SCD_SVD_Corresp SVD és SCD közti kapcsolat

A TOE-nak biztosítania kell a kapcsolatot a TOE által generált SVD és SCD között. Ez

magába foglalja a félreérthetetlen hivatkozást a létrehozott SVD/SCD párra az

exportált SVD-re és az elektronikus aláírás létrehozó SCD-re.

OT.SCD_Secrecy Az aláírás-létrehozó adat titkossága

Az SCD titkossága (aláírás létrehozásához használt) ésszerűen biztosított magas

támadási potenciálú támadások ellen.

Alkalmazáshoz megjegyzés:

Az SCD bizalmasságát a TOE-nek mindig biztosítania kell, különösen az SCD/SVD

létrehozásnál, SCD aláírói műveletnél, tárolásnál és megsemmisítésnél.

OT.Sig_Secure Az elektronikus aláírás kriptográfiai biztonsága

A TOE elektronikus aláírásokat hoz létre aminek a hamisítását az SCD erős titkosítási

technikájának ismerete nélkül nem lehet véghezvinni. Az SCD-t nem lehet

rekonstruálni az elektronikus aláírások vagy bármely egyéb TOE-ből exportált adat

használatával. Az elektronikus aláírásoknak ellenallóaknak kell lenniük az ilyen

támadások ellen, még magas támadói potenciállal való használat esetén is.

OT.Sigy_SigF Aláírás létrehozó funkció csak a jogos aláíró részére

A TOE biztosítja az aláírás létrehozó funkciót csak a jogos aláírónak, és megvédi az

SCD-t a mások általi elektronikus aláírás létrehozásához való használattól. A TOE

ellenáll a magas támadási potenciálú támadásoknak.




OT.DTBS_Integrity_TOE DTBS/R integritás a TOE-n belül

A TOE nem változtathat a DTBS/R-en. Ez a célkitűzés nem ütközik az aláírás-

létrehozás folyamattal ahol a TOE kriptográfiai hash funkciót alkalmaz a DTBS/R-en

hogy előkészüljön az aláírás-létrehozó algoritmus számára.

OT.EMSEC_Design Fizikai forrású biztonság nyújtása

Tervezze és építse meg a TOE-t olyan módon, hogy kontrollálja az ismert források

kibocsátását, hogy az megfelelő határok között legyen.

OT.Tamper_ID Szabotázs érzékelés

A TOE rendszer funkciókat biztosít a komponenseinek fizikai szabotázsának

érzékeléséért, és használja azokat a funkciókat ahhoz, hogy korlátozza a biztonság

megsértését.

OT.Tamper_Resistance Szabotázs ellenállás

A TOE megelőzi és ellenáll a fizikai szabotázsnak bizonyos rendszereszközökkel és

komponensekkel.

OT.Signatory_Auth Aláírói hitelesítés többfaktoros hitelesítés alapján

A TOE az SCD elérése előtt erősen hitelesíti az aláírót. A hitelesítés mind

fiókazonosító megadásán, mind jelszó alapon történik, amely statikus jelszót csak az

aláíró ismer, akár csak a dinamikus jelszót, amit az aláíró OTP eszköze jelenít meg a

kijelzójén. Az OTP validációjához a TOE a műveleti területen található Radius

szerverhez interfészel. A Radius szerver visszahívja a TOE-t az OTP validáció által

nyújtott OTP eszközinformációért. A TOE az adott OTP-t validációhoz használja. Csak

a sikeres azonosítói adatok megadása után (statikus és egyszeri jelszavak), tud az

aláíró elektronikusan aláírni.

OT.Admin_Auth Adminisztrátori hitelesítés bármilyen adminisztrátori művelet előtt

A TOE hitelesíti az adminisztrátort bármilyen adminisztrátori művelet előtt. Ez alól

kivételt képez néhány művelet, amit a TOE konzolról lehet elvégezni.




Ezek a műveletek: TOE hálózati paraméterek konfigurálása, TOE aktuális idő

beállítása, TOE kikapcsolás, TOE visszaállítása gyári üzemmódra és általános

paraméterek megtekintése.

A konzol szabotázst követő visszaállítás művelet esetén a biztonsági másolat token

behelyezését igényli.

OT.Account_Separation Különböző felhasználói fiókok megkülönböztetése

A TOE gondoskodik arról, hogy a felhasználói fiókok egymástól el legyenek

választva. A felhasználók csak a saját fiókjukat érikhetik majd el, és csak azokat az

SCD-ket hazsnálhatják, amik a bizonyos fiókhoz tartoznak. A TOE engedélyezi, hogy

több aláíró is végrehajtsa az elektronikus aláírás műveletet azáltal, hogy minden

egyes aláírót a saját fiókjához irányít. Minden egyes fiókhoz a TOE SCD listát, SVD-

ket és képeket kezel. A TOE gondoskodik arról, hogy az aláíró csak az ő releváns

adatait érje el.

OT.Account_Activation Egy felhasználói fiók csak egyszeri aktiválása

A TOE gondoskodik arról, hogy egy fiók csak az aláíró által lehessen aktiválható, a

mind a statikus, mind pedig az egyedi, felhasználó részére kibocsátott OTP eszköz

kijelzőjén megjelenített dinamikus jelszó használatával.

A TOE gondoskodik arról, hogy egy már aktivált fiókot ne lehessen újból aktiválni.

Csak az aláíró fiókjának sikeres aktiválása után tud majd az aláíró SCD-t létrehozni

és (minősített) tanúsítványt szerezni.

OT.UserAccountDataProtection Másolás közbeni felhasználói adatok védelme

Abban az esetben, ha a műveleti környezet egy elsődleges TOE-t és egy vagy több

alternatív TOE-t tartalmaz, a felhazsnálói adatok bizonyos időközönként biztonságos

csatornánk keresztül átmásolódnak az elsődleges TOE-ről, az alternatív TOE-ra. Az

alternatív TOE-k listáját az elsődleges TOE kezeli és tárolja. Mind a bizalmassági,

mind az adatintegritási mechanizmusok kerülnek érvényesítésre, hogy a felhasználói

információ biztosan el legyen rejtve és nem módosul, amíg átmegy az elsődleges

TOE és az alternatív TOE-k között.

OT.Keys&SecretData_Gen Főkulcs létrehozás és kezelés

TOE telepítés alatt két Triple DES főkulcsot generál a TOE. Ezeket a főkulcsokat a

szabotázs elleni eszközben tárolja.




A TOE telepítésének részeként a kulcsok két ugyanolyan biztonsági mentés USB

intelligens kártya tokenre kerülnek másolásra és egy későbbi állapotban a szabotázs

utáni visszaállításhoz vagy alternatív eszköz telepítéséhez felhaználhatóak.




4.2 Biztonsági célkitűzések a működési környezethez

OE.SVD_Auth SVD hitelessége

A műveleti környezet gondoskodik a TOE által a CGA-ba exportált SVD integritásáról.

A CGA ellenőrzi az CSP tanúsítvány genrerákó funkciójának bemeneteként nyújtott,

SSCD-ben található aláíró SCD és az SVD közöttik kapcsolatot.

OE.CGA_QCert Minősített tanúsítványok előállítása

A CGA minősített tanúsítványokat generál, amik magukba foglalják aliasként:

a TOE-t irányító aláíró nevét,

az aláíró által irányított, TOE-ben tárolt SVD-vel összeillő SCD ,

a CSP fokozott aláírása.

A CGA megerősíti a a generált tanúsítvánnyal The CGA confirms with the generated

certificate that the SCD corresponding to the SVD is stored in a SSCD.

OE.HID_VAD VAD védelme

Ha egy külső eszköz humán interfészt nyújt a felhasználói hitelesítéshez, az eszköz

gondoskodik a VAD bizalmasságáról és integritásáról, ahogy az alkalmazott

hitelesítési módszerhez szükséges a humán interfészen keresztül importáltakhoz a

TOE interfészen kereszüli importálásig.

Különös tekintettel:

A felhasználó statikus jelszavát, és az OTP eszközt is mindenkor bizalmasan kell

kezelni és senki más részére nem szabad felfedni a felhasználón kívül.

Minden megvizsgált OTP eszköz manipulálást az aláírónak jelentenie kell a TOE-t

üzemeltető szervezetnek.

OE.DTBS_Intend Az SCA elküldi a az aláírandó adatokat

Az aláíró megbízható SCA-t használ ami

az adatról DTBS/R-t generál ami DTBS-ként került bemutatásra, és amit

az aláíró alá szeretne írni olyan módon, ami TOE általi aláírásra megfelel,




elküldi a DTBS/R-t a TOE részére és lehetővé teszi a TOE számára a

DTBS/R integritásának ellenőrzését,

a TOE által az adathoz előállított aláírást csatolja, vagy mellékelten

biztosítja.

OE.DTBS_Protect Az SCA megvédi az aláírandó adatokat

A műveleti környezet biztosítja, hogy a DTBS/R nem volt módosítható az SCA és a

TOE közti átvitel során.

OE.SecEnv Az IT környezet Biztonságos Környezete

A műveleti környezetnek megfelelő intézkedéseket kell nyújtania hogy megvédje a

TOE-t a fizikai szabotázstól, jogosulatlan fizikai hozzáféréstől vagy jogosulatlan

hálózati hozzáféréstől.

A következő eljárásokat kell meghatározni:

1. A TOE-t a szervezet IT részleg biztosított és ellenőrzött hozzáférési területén

kell telepíteni. Senki más, csak az eszköz adminisztrátor férhet hozzá fizikailag

a eszközhöz, vagy annak környékén.

2. A TOE adminisztrátornak időnként meg kell vizsgálnia az eszköz dobozát fizikai

szabotázs bármilyen nyoma után. Az ellenérzést legalább naponta végre kell

hajtani. Speciális védelmi „plomba” csavart hozzáerősítenek két csavarhoz a

lészülék hátulján. A plombák károsodnak, ha az eszköz dobozát felnyitják. A

TOE adminisztrátornak ellenőriznie kell, hogy a plombák még mindig hozzá van

erősítve a eszközhöz, és hogy azok nem sérültek.

3. Az eszköz adminisztrátorának időszakosan ellenőriznie kell, hogy a TOE

biztonsági környezetébe nem került telepítésre semmilyen harver vagy

szoftver, ami megsértheti a TOE biztonságos környezetét. Ez magába foglalja a

hálózati forgalomfigyelőket és eszközöket, amiket időzítéses támadáshoz fel

lehet használni. Ezt az ellenőrzést legalább naponta el kell végezni.

4. Magas rendelkezésreálláshoz használt két vagy több eszköznek ugyan abban a

biztosított IT környezetben kell lennie. Minden eszközt a fentebb leírt módon

kell megvizsgálni. Továbbá, ebben az esetben egy dedikált LAN kialakítása is

kötelező. Az összes eszköz ugyan abban a LAN hálózatban kerül elhelyezésre,

így az Elsődleges Eszköz és az Alternatívak közötti kommunikáció nem a helyi

hálózaton kívül történik.

5. Az eszköz elülső panelén elhelyezkedő fizikai ajtót becsukva kell tartani és az

eszköz adminisztrátor felügyelete alatt tartott fizikai kulccsal be kell zárni.

6. Néhány eszköz adminisztrációs feladatot a TOE konzolon keresztül kell

elvégezni. A műveletek magukba foglalják az általános rendszer konfigurációt,

mint a TOE aktuális idejének beállítását és a TOE hálózati paramétereinek

beállítását.




Ezek a műveletek nem igénylik az eszköz adminisztrátor hitelesítését és a

környezet fizikai biztonságára, illetve a fizikai ajtó védelemre támaszkodnak.

7. A műveleti környezet az OTP Radius szervert is magába foglalja. A TOE eléri

at OTP Radius szervert az OTP validációért, amit a TOE visszahívásával végez

el. Az OTP Radius-t védeni és ellenőrizni kell az elsődleges vagy alternatív

TOE-hoz hasonlóan.

OE.TOEConfig TOE konfiguráció [6]-ban megadott ajánlások szerint

A TOE Előkészítő Eljárásoknak

Figyelembe kell venniuk a [6]-ban megfogalmazott ajánlásokat a hash

funkció és a tanúsítvány csomagok időbeli ellenállóságával kapcsolatban, és

az eszköz adminisztrátor számára egyértelmű irányelveket kell adni amik

szerint a hash funkciók és aláírás csomagok „használhatóak” (a [6] szerint)

és TOE telepítés alatt konfigurálható.

Adjon egyértelmű irányelveket az eszköz adminisztrátornak, hogy biztosítsa

a szigorú megfelelést a [6] minden előírt esetében.

Adjon egyértelmű irányelveket az eszköz adminisztrátornak hogy az összes


biztosítása érdekében vagy alternatívaként annak megerősítése, hogy a

körülmények a meghosszabbított megfelelőséghez [7] még megfelelőek.

OE.OTP_Devices_Profiles OTP eszközök Biztonságos Kezelése

Az OTP eszközök kezelése biztonságos módon zajlik az OTP eszköz teljes életciklusa

alatt, a TOE hatályán kívül eső eljárási eszközökkel, az OTP eszköz gyártástól, az

eszköz szervezeti elfogadásán át az eszközprofil Radius szerverbe történő

feltöltéséig. A biztonságot fenntartják, amikor az OTP eszközt hozzárendelik a

felhasználóhoz, és amikor elküldik az OTP eszközt a felhasználónak.

Biztosítani kell, hogy:

Tilos az OTP eszköz cseréje egy felhasználó számára miután a fiókot aktiválták,

a felhasználói fiókot vissza kell vonni és egy új fiókot kell létrehozni a

felhasználó számára.

Tilos bizonyos felhasználó OTP eszközét más felhasználóhoz rendelni

Tilos egy konkrét OTP eszközt kirendelni több felhasznó számára

A felhasználónak fenn kell tartania az OTP eszköz bizalmasságát és jelentenie kell

bármikor, ha az OTP eszközt bármilyen szabotázs éri.

OE.OTP_Radius_Server Biztonságos Szerver az OTP eszköz adatai

számára



Page 40 of 133

June 2015

A TOE a Radius protokollon keresztül interfészeli az OTP Radius szervert, és megadja

az aláírói azonosítót egy mesterséges OTP-vel (a mesterséges OTP az eredeti OTP

hash értéke és a Radius Protokoll teljessége érdekében használják, a tényleges OTP

ellenőrzés az aláíró által megadott OTP alapján történik és a TOE-ben kerül

végrehajtásra). A RAdius szerver visszahívja a TOE-t a tényleges OTP ellenőrzésért.

Az OTP Radius szerver kezeli az összes felhasználói és OTP eszköz információkat,

ami szükséges az OTP ellenőrzéséhez. A Radius szerver megvédi az OTP eszköz RAD

bizalmasságát és integritását akkor is, amikor az a TOE felé utazik.

OE.Activation_Password Aktivációs jelszó küldésének Biztonságos

Kezelése

A jelszó, amit a felhasználó használ a fiókaktiváció állapot részeként a TOE hatályán

kívül eső eljárási eszközökkel. Ezt a felhasználó adminisztrátor kezeli ahol a jelszót a

felhasználó részére biztonságos módon megküldik. Szigorú politika szükséges ami

biztosítja, hogy az aktivációs folyamat nem lesz felfedve.

OE.Account_Activation Aláírói fiók aktiválás

Csak az aláíró hivatalos beleegyezésével, hogy ő elvégezte az aktivációs eljárást fog

a CA tanúsítványt létrehozni az aláíró részére, és a megfelelő aktiváló dátum a a

fiók TSF audit naplójában van. Abban az esetben, ha az aláíró értesítést kap arról,

hogy a fiókját már aktiválták, az aláírónak azonnal fel kell vennie a kapcsolatot a

szervezettel a fiókjának visszaélésének gyanújával.

OE.BKP-USB A TOE biztonsági mentés USB biztonságos

helyentörténő tárolása

Mindkét USB token a 3DES főkulcsokat tartalmazza, amit a TOE generál a telepítő

fázis alatt és biztonságos helyen kell őket tárolni, mint például egy széfben és egy

kijelölt admnisztratív személy felelőssége kell, hogy legyen. Ez az adminisztratív

személy nem férhet hozzá a TOE biztosított környezetéhez. Ez a kijelölt

adminisztratív csak abban az esetben érheti el az eszköz biztosított környezetét az

eszköz adminisztrátor felügyelete mellett, ha szabotázs eseményt követően

visszaállítás szükséges. Ebben az esetben a kijelölt adminisztratív személy fizikailag

behelyezi a biztonsági mentést tartalmazó USB eszközt a TOE-be a szabotázst

követő visszaállítás művelet részeként.

Az eszköz adminisztrátornak csak akkor szabad elvégeznie a szabotázst követő

visszaállítás műveletet, ha teljes mértékben biztos, hogy az eszköz ellenőrzött

körülmények között lett felnyitva.



Page 41 of 133

June 2015


végrehajtani a szabotázst követő visszaállítás műveletet annak a kockázata miatt,

hogy az eszközt produktív üzemmódba hozva a belső információ kompromittálódhat,

mint például az aláírói kulcsok.

OE.OTP-CHAR OTP eszköz jellemzők

A használt OTP eszköz, amit az aláíró hitelesítéséhez használnak, a következő

jellemzői kell, hogy legyenek:

Az OTP eszközt nem lehet duplikálni.

Az OTP eszköznek rendelkeznie kell szabotázs bizonyítási mechanizmusokkal

vagy szabotázs válasz mechanizmusokkal.

Minden OTP eszköz egyedi azonosítókal kell, hogy rendelkezzen.


4.3 Biztonsági célkitűzés indoklása

4.3.1 Biztonsági célkitűzések és biztonsági probléma leírások közti megfeleltetés

A következő táblázat lehetővé teszi a biztonsági célkitűzések és biztonsági probléma leírások közti megfeleltetést.

Fenyegetések

-Politikák-

Következtetés

ek /Biztonsági

célkitűzések O

T.E

MS

EC

_D

esig

n

OT.L

ifecycle

_S

ecu

rit

y

OT.S

CD

_S

ecrecy

OT.S

CD

_S

VD

_C

orresp

OT.T

am

per_

ID

OT.T

am

per_

Resis

tan

ce

OT.S

CD

/S

VD

_G

en

OT.S

CD

_U

niq

ue

OT.S

igy_

Sig

F

OT.D

TB

S_

In

teg

rit

y_

TO

E

OT.S

ig_

Secu

re

OT.S

ign

ato

ry_

Au

th

OT.A

dm

in_

Au

th

OT.A

cco

un

t_S

ep

ara

tio

n

OT.A

cco

un

t_A

cti

vati

on

OT.U

serA

ccou

ntD

ata

Pro

te

OT.K

eys&

SecretD

ata

_G

en

OE.C

GA

_Q

Cert

OE.S

VD

_A

uth

OE.H

ID

_V

AD

OE.D

TB

S_

In

ten

d

OE.D

TB

S_

Pro

tect

OE.S

ecEn

v

OE.T

OE

Co

nfi

g

OE.O

TP

_D

evic

es_

Pro

file

s

OE.O

TP

_R

ad

ius_

Server

OE.A

cti

va

tio

n_

Pa

ssw

ord

OE.A

ccou

nt_

Acti

vati

on

OE.B

KP

-US

B

OE.O

TP

-C

HA

R

T.Hack_Phys X X X X X X

T.SCD_Divulg X X X X

T.SCD_Derive X X

T.Sig_Forgery X X X X X X X X X X X

T.SVD_Forgery X X

T.DTBS_Forgery X X X

T.SigF_Misuse X X X X X X X X X X X X X X

T.Expos_TOE_DISK X X X X X

P.CSP_QCert X X X

P.QSign X X X X

P.Sigy_SSCD X X X X X X X X X X X X X X X X X X X X X X

P.Sig_Non-Repud X X X X X X X X X X X X X X X X X X X X X X X X


Page 42 of 133

June 2015

A.T

rain

ed

&T

ru

ste

d

A.O

TP

-U

SE

R

A.O

TP

-M

GM

T

A.B

KP

-US

B

A.T

OE

Co

nfig

A.S

ecE

nv

A.S

CA

A.C

GA

Fe

nye

ge

tése

k

-P

olitik

ák

-

Kö

ve

tkezte

tés

ek /

Biz

ton

ság

i

cé

lkitű

zé

se

k

OT.EMSEC_Design

OT.Lifecycle_Security

OT.SCD_Secrecy

OT.SCD_SVD_Corresp

OT.Tamper_ID

OT.Tamper_Resistance

OT.SCD/SVD_Gen

OT.SCD_Unique

OT.Sigy_SigF

OT.DTBS_Integrity_TOE

OT.Sig_Secure

OT.Signatory_Auth

OT.Admin_Auth

OT.Account_Separation

OT.Account_Activation

OT.UserAccountDataProte

OT.Keys&SecretData_Gen

X OE.CGA_QCert

X OE.SVD_Auth

X OE.HID_VAD

X OE.DTBS_Intend

OE.DTBS_Protect

X X OE.SecEnv

X OE.TOEConfig

X

X

X OE.OTP_Devices_Profiles

X OE.OTP_Radius_Server

X OE.Activation_Password

X OE.Account_Activation

X OE.BKP-USB

X

X OE.OTP-CHAR

Co

Sig

n S

ecu

rity

Targ

et

1. T

áb

láza

t - Biz

ton

ság

i célk

itűzés

ek é

s b

izto

nság

i pro

blé

ma le

íráso

k m

eg

fele

lteté

se

köztim

egfeleltetés

4.3

.1

Biz

ton

sá

gi c

élk

itűzése

k é

s b

izto

nsá

gi p

rob

lém

a le

írás

ok k

özti

meg

fele

lteté

s

4.3

.2

Biz

ton

sá

gi c

élk

itűzése

k é

s b

izto

nsá

gi p

rob

lém

a le

írás

ok k

özti

meg

fele

lteté

s

Revis

ion 1

.19

- Confid

entia

l –

Page 4

3 o

f 133

June 2

015



Page 44 of 133

June 2015

4.3.2 A megfeleltetés indokolása

Az alábbiakban következik a fentebbi megfeleltetés indokolása:

4.3.2.1 OSP-k és biztonsági célkitűzés elégségesség

P.CSP_QCert (CSP minősített tanúsítványokat állít elő) létrehozza a CSP

minősített vagy nem minősített tanúsítvány előállítást az aláíró és az SSCD-ben

implementált SVD összekapcsolásával az aláíró kizárólagos felügyeletével.

P.CSP_QCert célja a:

a TOE biztonsági célkitűzés OT.Lifecycle_Security-nak, ami előírja a TOE

számára, hogy az érzékelje a hibákat az inicializáció, a megszemélyesítés és a

műveleti állapot alatt,

a TOE biztonsági célkitűzés OT.SCD_SVD_Corresp-nak, ami előírja a TOE

számára, hogy gondoskodjon az SVD és az SCD közti összhangról a

létrehozásuk alatt, és

a műveleti környezet részére biztondági célkitűzés OE.CGA_QCert-nak, a

minősített és nem minősített tanúsítványok létrehozásához, ami megköveteli a

CGA-t hogy hitelesítse az SVD-hez kapcsolódó SCD-t ami a TOE-ben kerül

implementálásra az aláíró kizárólagos felügyeletével.

P.QSign (Minősített elektronikus aláírások) biztosítja, hogy a TOE és az SCA

hogy adat aláírásához használhatóak legyenek fokozott elektronikus aláírással, ami

minősített elektronikus aláírás, ha érvényes minősített tanúsítványra épül.

OT.Sigy_SigF gondoskodik az aláíró kizárólagos SCD felügyeletéről azzal, hogy

előírja a TOE részére az aláírás létrehozó funkció nyújtását csak a jogos aláíró

számára és az SCD megvédéséhez a mások általi felhasználástól. OT.Sig_Secure

gondoskodik arról, hogy a TOE elektronikus aláírást hozzon létre, amit nem lehet

meghamisítani az SCD tudta nélkül, az erős titkosítási techchnikákon keresztül.

OE.CGA_QCert megcélozza a minősített vagy nem minősített elektronikus

tanúsítvány követelményeit az elektronikus aláírás alapját építve. A

OE.DTBS_Intend gondoskodik arról, hogy az SCA csak azon DTBS-t biztosítja a

TOE számára amiket az aláíró alá akar írni.

P.S igy_SSCD (TOE mint biztonságos elektronikus aláírás-létrehozó eszköz)

előírja a TOE számára a 3. Mellékletnek való megfelelést. Ezt az alábbiak

biztosítják:

OT.SCD_Unique megfelel a 3. Melléklet 1 paragrafus (a) pontjának azon

előírások tekintetében, hogy az aláírás létrehozásához gyakorlatilga egy szer

szerepel az SCD;

OT.SCD_Unique, OT.SCD_Secrecy és OT.Sig_Secure megfelel a 3.

Melléklet 1 paragrafus (a) pontjának azon előírások tekintetében, hogy

gondoskodik az SCD titoktartásáról. OT.EMSEC_Design és

OT.Tamper_Resistance cím specifikus célkitűzések, hogy az SCD

titoktartását biztosítsák bizonyos támadások ellenében;



Page 45 of 133

June 2015

OT.SCD_Secrecy, OT.Sig_Secure, OT.UserAccountDataProtection,

OE.SecEnv, OT.Keys&SecretData_Gen és OE.BKP-USB megfelel a 3.

Melléklet 1 paragrafus (b) pontjának azon előírások tekintetében, hogy

biztosítja, hogy az SCD nem származtatható az SVD-ből, az elektronikus

aláírásból vagy bármely más adatból, amit a TOE-n kívülre exportáltak.

Különösen:

- OT.UserAccountDataProtection lefedi az SCD titoktartással

kapcsolatos aspektusokat az elsődleges TOE-ről egy alternatívba történő

SCD másolása esetén, amikor a TOE magas rendelkezésreállás

konfigurációjának 2. üzemmódjában van,

- OE.SecEnv lefedi a TOE műveleti területének fizikai szabotázs,

jogosulatlan fizikai hozzáférés vagy jogosulatlan hálózati hozzáférés elleni

védelmével kapcsolatos aspektusokat.

- OT.Keys&SecretData_Gen biztosítja, hogy a kulcstitkosító kulcsok

megfelelően generáltak és biztonságos módon vannak tárolva.

- OE.BKP-USB lefedi az SCD titkossággal kapcsolatos aspektusokat

köszönhetően:

o biztonságos helyen belüli alapos védelemnek akár a széf a Triple Des

főkulcsoknak, amikkel az SCD-t titkosítja a TOE belső adatbázisában

és

o csak az eszköz adminisztrátor kap fizikai hozzáférést az USB

tokenhez, ami a fentebb említett Triple Des főkulcsokat tartalmazza,

hogy végrehajtsa a szabotázst követő visszaállítás műveletet vagy

egy alternatív eszköz telepítését.

OT.Sigy_SigF megfelel a 3. Melléklet 1 paragrafus (c) pontjának azon

előírások tekintetében, hogy gondoskodik arról, hogy csak a jogosult aláírók

részére nyújta az aláírás létrehozás funkciót és megvédi az SCD-t mások

általi használattól;

OT.DTBS_Integrity_TOE megfelel a 3. Melléklet 2. paragrafusának, mivel a

TOE soha nem módosíthatja a DTBS/R-t.

A 3. Melléklet 2. paragrafusának előírását, mely szerint egy SSCD nem akadályozza

meg az aláírandó adat bemutatását az aláírónak az aláírói folyamatot megelőzően a

TOE eljárásainak használatával nyilvánvalóan teljesíti: az SCA bemutatja a DTBS-t

az aláíró számára és elküldi azt az SSCD-nek aláírásra.

OE.DTBS_Intend gondoskodik arról, hogy megbízható SCA generálja az adat

DTBS/R-ét, ami DTBS-ként kerül bemutatásra, és amit az aláíró alá akar írni a TOE

aláírásához számára megfelelő formában.

Az SCD aláíró általi kizárólagos használata biztosított:

OT.Lifecycle_Security előírja a TOE számára hogy inicializáció,

megszemélyesítés és a műveleti használat alatt észlelje a hibákat,



Page 46 of 133

June 2015

OT.SCD/SVD_Gen, ami az SCD és SVD generálás kezdeményezését csak

hitelesített felhasználókra korlátozza,

OT.Sigy_SigF, ami előírja a TOE számára, hogy csak a a jogosult aláíró

részére nyújtson aláírás létrehozás funkciót, és védje az SCD-t a mások általi

felhasználástól.

Továbbá a következő intézkedéseket foganosítják az aláíró SCD feletti kizárólagos

irányításának elősegítéséhez:

OT.Admin_Auth leírja, hogy csak egy adminisztrátor tud aláírói fiókot és

aktivációs fiókot indítani az aláíró részére. OT.Account_Activation leír egy

aktivációs folyamatot amit az aláírónak kell végrehajtania. Az aláírónak meg

kell adnia az aktivációs jelszót és az egyedi OTP eszközt.

Az OE.Activation_Password , OE.OTP_Devices_Profiles és

OE.OTP_Radius_Server azt célozzák meg, hogy egyénileg legyen képes az

aláíró elvégezni a fiók aktivációt, így kizárólagos az irányítása a fiókja felett.

Az OE.Account_Activation azt célozza meg, hogy a fentebbi esetben

kizárja az aláíró fiókjával való visszaélést, így megtiltva a minősített

tanúsítvány bárminemű létrehozását olyan fiók számára, amit nem aktiváltak

megfelelően.

Az OT.Signatory_Auth és a OE.OTP_Radius_Server kétfaktoros tart fenn

minden elektronikus aláírás művelethez.

Az OE.OTP-CHAR megbizonyosodik arról, csak olyan OTP eszközök, amik

megfelelnek az előírt jellemzőknek használhatóak aláírói hitelestéshez.

Az OT.Account_Separation kizárja a lehetőségét annak, hogy egy meglévő

TOE aláíró más aláíró SVD-jét használja.

P.Sig_Non-Repud (Aláírások letagadhatatlansága) foglalkozik az aláíró által aláírt

adat letagadhatatlanságával, mivel az elektronikus aláírást sikeresen ellenőrizték az

SVD-vel, amit tartalmaz a tanúsítványa, ami az aláírás létrehozásának időpontjában

érvényes volt. Ezt a politikát a TOE és a műveleti környezetének biztonsági

célkitűzéseinek kombinálásával implementálják, ami biztosítja az aláíró kizárólagos

irányításánka és felelősségének aspektusait a TOE által előállított elektronikus

aláírásokért. OE.CGA_QCert gondoskodik arról, hogy a tanúsítvány engedi az aláíró

azonosítását, így az SVD-t az aláíróhoz kapcsolja. OE.SVD_Auth és

OE.CGA_QCert előírja a környezet számára, hogy biztosítsa az SVD hitelességét,

mivel azt azt az aláíró kizárólagos irányítása alatt exportálja a TOE-ből és használja.

OT.SCD_SVD_Corresp biztosítja, hogy a TOE által exportálta SVD kapcsolódik az

SCD-hez, amit a TOE-ban implementálnak. OT.SCD_Unique biztosítja, hogy az

aláíró SCD-je gyakorlatilag csak egyszer fordul elő.

OT.Sigy_SigF biztosítja, hogy csak az aláíró használhatja a TOE-t aláírás

létrehozásához. Mint előkövetelmény OE.DTBS_Intend, OE.DTBS_Protect és

OT.DTBS_Integrity_TOE biztosítják, hogy csak olyan DTBS/R részére állítanak elő

aláírást aminek a DTBS változatát az aláíró alá akarja írni.



Page 47 of 133

June 2015

Az erős kriptográfiai technikák, amiket az OT.Sig_Secure megkövetel biztosítják,

hogy csak az az SCD hozhat létre érvényes elektronikus aláírást ami sikeresen

ellenőrzihező a hozzá tartozó SVD-vel amit aláírás ellenőrzéshez használnak. A

biztonsági célkitűzés a TOE OT.Lifecycle_Security (Életciklus biztonság),

OT.SCD_Secrecy (Aláírás-létrehozó adat titkossága), OT.EMSEC_Design (Fizikai

kibocsátás biztonságot biztosít), OT.Tamper_ID (Szabotázs észlelés) és

OT.Tamper_Resistance (Szabotázs ellenállás) számára, hogy az SCD bármilyen

sérülés ellen védett legyen.

Továbbá a felhasználói fiók életciklust az OT.Admin_Auth ,

OT.Account_Activation, OE.OTP_Devices_Profile, OE.OTP_Radius_Server,

OE.Activation_Password és OE.Account_Activation használata alapozza meg.

Miután a fiókot aktiválták, OT.Signatory_Auth, OE.OTP_Radius_Server,

OT.Account_Separation, OE.OTP-CHAR and OE.HID_VAD, biztosítja, hogy az

aláírón kívül senki más nem férhet hozzá és használhatja az aláírói SCD-t.

4.3.2.2 Fenyegetések és biztonsági célkitűzések elégségesség

T.Hack_Phys (Fizikai támadás a TOE interfészeken keresztül) a TOE fizikai

sebezhetőségeit kihasználó fizikai támadásokkal foglalkozik. OT.SCD_Secrecy

megőrzi az SCD titkosságát. OT.EMSEC_Design leszámol a TOE interfészein

keresztül érkező fizikai támadásokkal és vizsgálja a TOE kibocsátásokat.

OT.Tamper_ID és OT.Tamper_Resistance leszámol a T.Hack_Phys fenyegetéssel

a szabotázs támadások érzékelésével és ellenük való ellenállással.

Továbbá OE.SecEnv kiegészítő mechanizmusokat nyújt a fizikai támadásokkal való

leszámoláshoz. Az OT.UserAccountDataProtection biztosítja az RAD és más

felhasználói adat integritását, amikor az adat replikációja történik az elsődleges és az

alternatív TOE-k között, bármilyen fiókadat integritási probléma esetén megtagadja

az aláíró fiókjának SCD használatát.

T.SCD_Divulg (Tárolás, másolás és aláírás-létrehozó adat kibocsátás)

megcélozza az elektronikus aláírás jogi érvényét veszélyeztető fenyegetést amit az

SCD TOE-n kívüli tárolása és másolása okoz, ahogy a Direktíva [1] 18. cikke kifejti.

Ez ellen a fenyegetés ellen lép fel az OT.SCD_Secrecy ami biztosítja az aláírás

létrehozásához használt SCD titkosságát.

OE.SecEnv biztosítja, hogy a TOE nem kerül a szervezet IT részlegének biztosított

környezetén kívülre.

OT.Keys&SecretData_Gen biztosítja, hogy a kulcsot titkosító kulcsokat

megfelelően hozták létre és biztonságos módon tárolják.

OE.BKP-USB biztosítja, hogy a biztonsági mentés tokent szigorúan biztonságos

módon tárolják és csak dedikált célokra használják a biztosított környezeten belül.



Page 48 of 133

June 2015

T.SCD_Derive (Aláírás-létrehozó adat származtatása) az SCD ellen a TOE által

előállított publikusan ismert adatokon, az SVD és az SCD által létrehozott aláírásokon

keresztül irányuló támadásokkal foglalkozik. Ez ellen a fenyegeés ellen az

OT.SCD/SVD_Gen biztosítja a kriptográfiailag biztonságos SCD/SVD pár

létrehozását.

OT.Sig_Secure biztosítja a kriptográfiailag biztonságos elektronikus aláírásokat.

T.Sig_Forgery (Elektronikus aláírás hamisítása) a nem észlelhető elektronikus

aláírás hamisítással foglalkozik. OT.Sig_Secure, OT.SCD_Unique és

OE.CGA_Qcert általánosságban ezt a fenyegetést célozza meg. Az OT.Sig_Secure

(Az elektronikus aláírás kriptográfiai biztonsága) erős kriptográfiai technikákkal

biztosítja az aláírt adat és az elektronikus aláírás biztonságosan össze vannak

kapcsolva. OT.SCD_Unique biztosítja, hogy ugyan az az SCD nem generálható

egynél többször, és a hozzá kapcsolódó SVD véletlenül se szerepelhet más

tanúsítványban. OE.CGA_Qcert megelőzi a tanúsítvány hamisítását az

összekapcsolt SVD miatt, mivel hamis verifikációs döntést eredményezhet hamis

tanúsítvány alapján.

Továbbá az aláírói fiók életciklusát az OT.Admin_Auth, OT.Account_Activation,

OE.OTP_Devices_Profile, OE.OTP_Radius_Server , OE.Activation_Password

és OE.Account_Activation használatával valósítják meg. Miután a fiókot aktiválták,

OT.Signatory_Auth, OE.OTP_Radius_Server és OT.Account_Separation

biztosítja, hogy az aláírón kívül senki más nem férhet hozzá és használhatja az

aláírói SCD-t.

T.SVD_Forgery (Aláírás-ellenőrző adat hamisítása) az SVD hamisításával

foglalkozik, amit a TOE exportál a CGA-ba a tanúsítvány létrehozásához.

T.SVD_Forgery az OT.SCD_SVD_Corresp által van megcélozva, ami biztosítja a

kapcsolatot az SVD és az SCD között és félreérthetetlen hivatkozás az SVD/SCD

párra az SVD exportáláshoz és az SCD általi aláírás létrehozásához, és az

OE.SVD_Auth biztosítja a TOE által a CGA-ba exportált SVD integritását.

T.DTBS_Forgery (DTBS/R hamisítása) azt a fenyegetést célozza meg, ami abból az

adatmódosításból ered amit a TOE aláírás-létrehozó funkciójának bemenetére

küldenek ami nem azt a DTBS-t reprezentálja, ami az aláírónak bemutatásra került

és amivel kapcsolatban az aláíró kifejezte az aláíási szándékát. A TOE IT környezete

megcélozza a T.DTBS_Forgery-t az OE.DTBS_Intend eljárásaival, ami biztosítja,

hogy a megbízható SCA hozza létre a DTBS/R-t az adatból, ami DTBS-ként

bemutatásra került, és amit az aláíró alá akar írni olyan formában, ami alkalmas a

TOE általi aláírásra, és a OE.DTBS_Protect eljárásaival, amik biztosítják, hogy a

DTBS/R-t nem lehetett módosítani az SCA és TOE közötti úton. A TOE számol ezzel a

fenyegetéssel az OT.DTBS_Integrity_TOE eszközeivel, a DTBS/R TOE-n belüli

integritásának biztosításával.



Page 49 of 133

June 2015

T.SigF_Misuse (Visszaélés a TOE aláírás-létrehozó funkciójával) a TOE

aláírás-létrehozó funkciójával való visszaéléses fenyegetést célozza meg, mely során

az SDO-t más használja elektronikus aláírás létrehozására mint az aláíró, olyan

adaton aminek aláírási szándékáról az aláíró nem nyilatkozott, ahogyan azt a 3.

Melléklet 1 paragrafusának (c) pontjában követelmény. OT.Lifecycle_Security

(Életciklus biztonság) előírja a TOE számára hogy az érzékelje az inicializálás, a

megszemélyesítés és a műveleti használat alatt bekövetkező hibákat, beleértve az

SCD biztonságos megsemmisítését amit az aláíró kezdeményezhet. OT.Sigy_SigF

(Aláírás létrehozó funkció csak a jogos aláíró részére) biztosítja, hogy a TOE csak a

jogos aláíró részére biztosítja az aláírás-létrehozó funkciót. OE.DTBS_Intend (Az

aláírandó adat) gondoskodik arról, hogy az SCA csak olyan adatoknak a DTBS/R

részét küldi el, amit az aláíró alá akar írni, és OE.DTBS_Protect számol a DTBS

manipulációval az SCA és a TOE közötti DTBS átvitel alatt.

OT.DTBS_Integrity_TOE (TOE-n belüli DTBS/R integritás) megelőzi a DTBS/R

módosítást a TOE-n belül. Ha az SCA humán interfészt biztosít a felhasználói

hitelesítéshez, OE.HID_VAD (VAD védelme) biztosítja a bizalmasságát és

integritását a VAD-nak, ahogy azt az alakalmazott autentikációs eljárás szükségessé

teszi.

Továbbá a létrehozott aláírói fiók életciklus használja az OT.Admin_Auth,

OT.Account_Activation, OE.OTP_Devices_Profile, OE.OTP_Radius_Server,

OE.Activation_Password és OE.Account_Activation. Ha a fiókot aktiválták,

OT.Signatory_Auth, OE.OTP_Radius_Server és OT.Account_Separation

biztosítja, hogy az aláírón senki más nem érheti el és használhatja a felhasználói

SCD-t.

T.Expose_TOE_Disk (TOE tampering and accessing the TOE internal disk)

addresses the threat of exposing the internal disk of the TOE that includes sensitive

information such as the SCD of the signatories.

OT.SCD_Secrecy, OT.Keys&SecretData_Gen and OE.BKP-USB will eliminate the

ability of an attacker to get SCD value since all signature keys are encrypted based

on the value of CoSign Critical Key 1 that is kept one Backup USB Token as well as

the static password of the signatory.

OT.Tamper_ID and OT.Tamper_Resistance remove the Critical Keys values from

any volatile and non volatile memory inside the TOE in case of tamper.

4.3.2.3 Feltevések és biztonsági célkitűzés elégségesség

A.CGA (Megbízható aláírás-létrehozó alkalmazás) létrehozza az aláíró nevének

és az SVD hitelesítés-védelmét a minősített tanúsítványban a CSP fokozott

aláírásával a CGA eljárásain keresztül. Ezt a OE.CGA_QCert (Minősített

tanúsítványok generálása) célozza meg, ami gondoskodik az OE.SVD_Auth (SVD

hitelessége) általi minősített tanúsítványok létrehozásáról, ami biztosítja az SVD és

az aláíró SSCD által implementált SCD közti kapcsolat integritásának védelmét és

ellenőrzését végzi.



Page 50 of 133

June 2015

A.SCA (Megbízható aláírás-létrehozó alkalmazás) megalapozza az SCA

megbízhatóságát a DTBS/R generálásra való tekintettel. Ezt az OE.DTBS_Intend

(Az aláírni szándékozott adat) célozza meg, ami biztosítja hogy az SCA létrehozza a

DTBS/R-t az adat részére amit az aláíró bocsátott a rendelkezésére mint DTBS és

amit az aláíró al alá akar írni a TOE számára aláíráshoz megfelelő formában.

A.SecEnv (Biztonságos környezet) megalapozza az elégséges eljárásokat a TOE

védelmére fizikai szabotázs ellen, amit a környezet nyújt. Ezt az OE.SecEnv célozza

meg, ami biztosítja, hogy a környezet biztosítja a megkövetelt védelmet.

A.TOEConfig (TOE konfiguráció) megalapozza az elégséges eljárásokat hogy

biztosítsa, hogy a TOE konfigurációs folyamatok figyelembe veszik a [6]-ban

megfogalmazott ajánlásokat az hash funkciók ellenállásáról és az aláírás csomagok

(hivatkozással a specifikus kriptográfiai kulcshosszokra) időbeli ellenállásáról.

Továbbá egyértelmű útmutatást ad az eszköz adminisztrátornak hogy az összes


biztosítása érdekében vagy alternatívaként annak megerősítése, hogy a körülmények

a meghosszabbított megfelelőséghez [7] még megfelelőek. Ezt az OE.TOEConfig

célozza meg, ami gondoskodik arról, hogy csak „használható” hash funkciók és

aláírás csomagok, meg „használható” algoritmus kell a TOE és a TOE kliense közötti

biztonságos csatorna felállításához, ami a TOE telepítése közben kerül

konfigurálásra.

A.BKP-USB (Biztonsági mentés USB token) létrehozza az elégséges eljárásokat

az aláírói SCD részleges lelepleződése ellen védi a TOE-t. Ezt az OE.BKP- USB

célozza meg, ami biztosítja, hogy a biztonsági mentés USB tokent nem használhatja

más támadó, aki irányítást szerezett a TOE belső merevlemezéhez.

A.OTP-MGMT (OTP eszközkezelés) létrehozza az elégséges eljárásokat a TOE

védelmére a jogosulatlan hozzáférés ellen, ami OTP eszközök az OTP gyártótól a

szervezet IT részlegére történő szállításával és az OTP eszközöknek a szervezet IT

részlegétől az aláírókhoz történő szállításával kapcsolatos. Ezt az

OE.OTP_Devices_Profiles célozza meg, ami gondoskodik az OTP eszközök

biztonságos életciklusáról a gyári állapottól amíg az eszközt át nem adják az

aláírónak és az OE-OTP-CHAR ami biztosítja az OTP eszközök jellemzőit megfelelő

az OTP eszközök kezelésére a teljes kezelési életciklus alatt.



Page 51 of 133

June 2015

A.OTP-USER (OTP aláírói eszközhasználat) létrehozza az elégséges eljárásokat a

TOE védelmére a jogosulatlan hozzáférés ellen, ami kapcsolódik az aláíró OTP

eszközének jogosulatlan használatához. OE.OTP-CHAR gondoskodik arról, hogy

csak megfelelő OTP eszközöket használjanak az aláíró hitelességének bizonyítására a

bemutatott statikus jelszóval mielőtt az SCD-t elektronikus aláírás művelethez

használná. OE.HID_VAD biztosítja, hogy az OTP eszköz aláírói használata nem

kompromittálja az OTP eszközt. Az aláírónak bizalmasan kell kezelni az OTP

eszközét, és bármilyen feltételezett eseményt jelentenie kell a szervezetnek.

Továbbá, OE.OTP_Devices_Profiles biztosítja a biztonságos életciklusát az OTP

eszköznek és más OTP eszközöknek.

A.Trained&Trusted (Képzett és megbízható felhasználók) létrehozza az

elégséges eljárásokat a TOE védelmére a felhasználók jogosulatlan hozzáférése és az

adminisztrátorok hitelesítési információkkal való visszaélése ellen. Ezt az OE.SecEnv

célozza meg, ami gondoskodik arról, hogy a környezet biztosítja a kötelező

védelmet. OE.OTP_Devices_Profiles, OE.OTP_Radius_Server,

OE.Activation_Password és OE.Account_Activation gondoskodik arról, hogy

minden szükséges lépést megtesznek, hogy lehetővé tegyék az aláíró

kizárólagos irányításának fenntartását a TOE fiókja felett.

4.4 Következtetés

Minden fenyegetéssel számolnak, minden OSP-t végrehajtanak és minden

feltételezésnek helyt adank.



Page 52 of 133

June 2015

5 Kibővített komponensleírás Kibővített FPT_EMSEC (TOE kibocsátás) család, az FPT osztály (A TSF védelme) van

itt megfogalmazva, hogy leírja a TOE IT biztonságának funkcionális követelményeit.

A TOE meg kell, hogy akadályozza az SCD és más titkos adat ellen irányult

támadásokat a TOE-n kívüli, megfigyelhető fizikai jelenségek alapján. Példák az ilyen

támadásokra az a TOE elektromágneses sugárzásának kiértékelése, egyszerű

energia analízis (SPA), differenciális energia analízis (DPA), időzítéses támadások,

rádiófrekcencia kibocsátás, stb. Ez a család leírja a követelményeket az érthető

kibocsátott adatok korlátozására. Az FPT_EMSEC család az FPT osztályhoz tartozik,

mert az egy TSF védelmi osztály. Más családok az FPT osztályon belül nem fedik le a

TOE kibocsátást.

5.1 FPT_EMSEC TOE kibocsátás

Család működése

Ez a család követelményeket ír le az értelemes adatok kibocsátásának

csökkentésére.

Komponens szintek:

FPT_EMSEC.1 TOE kibocsátás két építőelemből áll:

• FPT_EMSEC.1.1 A kibocsátás korlátozása, ami előírja, hogy TSF adathoz

vagy felhasználói adthoz ne bocsássanak ki értelmes kimenetet.

• FPT_EMSEC.1.2 Interfész kibocsátásami előírja, ami előírja, hogy TSF

adathoz vagy felhasználói adthoz ne bocsássanak ki interfész kimenetet.

Kezelés: FPT_EMSEC.1

Nincsenek elérelátható igazgatási tevékenységek.

Audit: FPT_EMSEC.1

Nincsen azonosított tevékenység aminek auditálhatónak kell lennie ha FAU_GEN

biztonsági audit adat létrehozás bele van foglalva a PP/ST-be.

FTP_EMSEC.1 TOE kibocsátás

FPT_EMSEC.1.1 A TOE ne bocsásson ki [feladat: kibocsátás típusai] azon felül,

hogy [feladat: meghatározott korlátok] lehetővé teszik a hozzáférést a [feladat:TSF

adattípusokról lista] és [feladat : felhasználói adatok típusáról lista ].



Page 53 of 133

June 2015

FPT_EMSEC.1.2 A TSF-nek biztosítania kell [feladat:felhasználók típusai] nem

tudják használni a következő interfészt [feladat: kapcsolat típusa] hogy hozzáférjen

[feladat: TSF adattípusokról lista] és [feladat: lista a felhasználói adattípusokról].

Hierarchikus: Nincs egyéb komponens

Függések: Nincs egyéb komponens.



Page 54 of 133

June 2015

6 Biztonsági követelmények

Ez a fejezet megadja a biztonsági funkcionális követelményeket (SFR) és a

biztonsági garancianyújtási követelményeket a TOE és a környezet számára.

Biztonsági funkcionális követelmény komponensek a 6.1. fejezetben biztonsági

funkcionális követelmények az FPT_EMSEC.1 kivételével, ami explicite le van írva a

Kiegészített komponens definíciós fejezetben, a Common Criteria [3] 2. részéből

származnak.

Hozzárendelési műveletek, kiválasztás és finomítás történt.

A TOE biztonság biztosíték követelmény nyilatkozat a 6.2 „TOE biztonság biztosíték

követelmény” fejezetben került megadásra, és a Common Criteria [4] 3. a biztonság

biztosíték komponensek részéből származnak.

A következő szöveges konvenciókat használják ebben a fejezetben minden SFR

részeként:

Iteráció Megengedi, hogy egy komponenst több mint egyszer felhasználjanak különböző

műveleteknél. A törtvonalat („/”) követő azonosító a komponens végén egy

iterációt jelöl.

Egy iterációra vagy hasonló iterációk csoportjára való hivatkozás esetében a

hivatkozás az iterációcsoportra fog mutatni.

Például az FDP_ACF.1.1/Activation SFP, FDP_ACF.1.2/Activation SFP,… iterációra FDP_ACF.1/Activation SFP-ként hivatkoznak.

Hozzárendelés

Engedi egy azonosított paraméter részletes leírását, és félkövérrel van jelölve.

Kiválasztás:

Engedi egy vagy több elem részletes leírását egy listából, és dőlttel van jelölve.

Finomítás:

Részletek hozzáadását engedi, Kiskapitális Félkövérrel van jelölve.



Page 55 of 133

June 2015

6.1 Biztonsági funkcionális követelmények

6.1.1 Biztonsági audit (FAU)

6.1.1.1 Biztonsági audit adatlétrehozás (FAU_GEN)

6.1.1.1.1 Audit adat létrehozás (FAU_GEN.1)

FAU_GEN.1.1 A TSF-nek képesnek kell lennie audit jegyzőkönyv készítésére

a következő auditálható eseményekről:

a) Audit funkciók elindítása, leállítása;

b) Minden auditálható esemény a [minimum] auditálási

szintig; és

c) [semmi].

FAU_GEN.1.2 A TSF-nek minden egyes audit jegyzőkönybe bele kell

foglalnia legalább az alábbi információkat:

a) Az esemény dátuma és ideje, az esemény típusa, alany

azonosító (ha alkalmazható), és az esemény kimenetele

(siker vagy kudarc); és

b) Minden egyes audit esemény típushoz az auditálható

eseményleírásokat alapul véve a funkcionális

kumponensekről a PP/ST-be (Védelmi profil/Biztonsági cél)

véve, [semmi].

Alkalmazás megjegyzés:

Következik egy táblázat az auditálható eseményekről:

Esemény Funkcionális komponens Leírás

Fiók létrehozás FDP_ACF.1/Personalisation SFP

FCS_COP.1/AUK-ENCRYPTION

FMT_SMR.1

Fiók aktiválás FDP_ACF.1/Activation SFP

FMT_MSA.2/Static-Password-RAD

Egy fiók aktiválása. Ha

a fiókot már aktiválták,

akkor hibát fog

eredményezni a

művelet ami belekerül

az audit naplóba.

Aláírói kulcs létrehozás FCS_COP.1/SIGNING

FCS_COP.1/CORRESP

FDP_ACF.1/SCD-GEN SFP

FMT_MSA.1/Signatory-SCD-GEN

Aláírói kulcs

tanúsítvány feltöltés FDP_ACF.1/Cert-IMP SFP

FMT_MSA.1/Signatory-CERT-IMP

FMT_MSA.2/SCD-Status

FDP_ITC.1/CERTIFICATE



Page 56 of 133

June 2015

Esemény Funkcionális komponens Leírás

Aláírói kulcs visszavonás FCS_CKM.4

FDP_ACC.1/Revoke-SCD SFP

FDP_ACF.1/Revoke-SCD SFP

FMT_MSA.1/Signatory-SCD-DISABLE

FMT_MSA.2/SCD-Status

FMT_REV.1/SCD

Elektronikus aláírás

művelet FCS_COP.1/SIGNING

FDP_ACF.1/Signature-Creation SFP

FMT_MSA.1/Signatory

FDP_ITC.1/DTBS

FDP_ACF.1/SVD-Transfer SFP

FDP_UIT.1/SVD-Transfer

Egy

tanúsítványkérelem

létrehozása – SVD

átvitel is generál

elektronikus aláírás

művelet eseményt

Felhasználói/Admin

jelszóváltoztatás FMT_MSA.1/Signatory-Change-

Password

FMT_MSA.1/Admin-Change-Password

FMT_MSA.2/Static-Password-RAD

FDP_ACC.1/Change-Password SFP

FDP_ACF.1/Change-Password SFP

Admin bejelentkezés FIA_UAU.1

FIA_UAU.5

Hitelesítés hibák FIA_AFL.1

FIA_UAU.1

FIA_UAU.5

FTP_TRP.1

Felhasználó feloldása FDP_ACF.1/Unlock-User SFP

Felhasználó engedélyezése FDP_ACF.1/Enable-User SFP

Felhasználó tiltása FDP_ACF.1/Disable-User SFP

Felhasználó visszavonása FMT_REV.1/User

Új/alternatív eszköz

telepítése/ Elsődleges eszköz

alternatív eszközök listájának

változtatása

FDP_IFC.1/ HA-PRI-REPL-INC-

SIGKEY SFP

FMT_SMF.1

Szabotázst követő visszaállítás FMT_MOF.1

Szabotázs érzékelés FPT_PHP.2

Audit napló letöltése FMT_SMF.1

Szoftver verziójának feltöltése FMT_SMF.1

Rendszerparaméterek

konfigurálása FMT_SMF.1

REST TLS szerverkulcs

feltöltése FMT_SMF.1

2.Táblázat - TOE auditálható események



Page 57 of 133

June 2015

6.1.1.1.2 Felhasználói azonosító kapcsolat (FAU_GEN.2)

FAU_GEN.2.1 Olyan audit eseményeknél, amik azonosított felhazsnálóktól

erednek, a TSF-nek képesnek kell lennie minden egyes

auditálható esemény összekapcsolására az eseményt okozó

felhasználó azonosítójával.

6.1.2 Kriptográfiai támogatás (FCS)

6.1.2.1 Kriptográfiai kulcskezelés (FCS_CKM)

6.1.2.1.1 Kriptográfiai kulcs létrehozása (FCS_CKM.1)

FCS_CKM.1.1/SIGNATURE-KEY

A TSF-nek a meghatározott kriptográfiai kulcs létrehozó

algoritmusnak [RSA] és a meghatározott kulcsméreteknek

[2048 és 4096 Bit] megfelelően kell a kriptográfiai

kulcsokat generálnia, amik megfelelnek a következőknek:

[[5], [6], és [9]].

FCS_CKM.1.1/SYMMETRIC-KEY

A TSF-nek a meghatározott kriptográfiai kulcs létrehozó

algoritmusnak [Triple-DES] és a meghatározott

kulcsméreteknek [192 bit] megfelelően kell a kriptográfiai

kulcsokat generálnia, amik megfelelnek a következőknek:

[[7]].

6.1.2.1.2 Kriptográfiai kulcs megsemmisítése (FCS_CKM.4)

FCS_CKM.4.1 A TSF-nek meg kell semmisítenie a kriptográfiai kulcsokat egy

meghatározott kriptográfiai kulcsmegsemmisítő eljárásnak

megfelelően [zeroization] ami megfelel a következőnek:

[FIPS 140-2, 4.7.6 fejezet].


A kriptográfiai kulcs SCD az Aláíró kérésére meg lesz semmisítve. Az egész SCD

entitás is megsemmisítésre kerül. Az összes Aláírói SCD-t megsemmisítheti a

felhasználó adminisztrátor fiókvisszavonás esetén.

6.1.2.2 Kriptográfiai műveletek (FCS_COP)



Page 58 of 133

June 2015

6.1.2.2.1 Kriptográfiai műveletek (FCS_COP.1)

FCS_COP.1.1/CORRESP

A TSF-nek végre kell hajtania [az SCD/SVD kapcsolat

ellenőrzést] egy meghatározott kriptográfiai

algoritmus [RSA] és kulcsméretek [2048 bit és 4096

bit] szerint, ami megfelel a következőeknek: [[5] and

[6]].

FCS_COP.1.1/SIGNIN

G

A TSF-nek végre kell hajtania [az elektronikus

aláírás-létrehozást] egy meghatározott kriptográfiai

algoritmus [RSA] és kulcsméretek [2048 bit és 4096

bit] szerint, ami megfelel a következőeknek: [[5] and

[6]].

FCS_COP.1.1/DATA-INTEG

A TSF-nek végre kell hajtania [a MAC számítás és

ellenőrzést] egy meghatározott kriptográfiai

algoritmus [Triple-DES] és [192 bit] szerint, ami

megfelel a következőnek: [[7]].

FCS_COP.1.1/AUK-ENCRYPTION

A TSF-nek végre kell hajtania [Felhasználói

szimmetrikus kulcsú titkosítás] egy meghatározott

kriptográfiai algoritmus [Triple-DES] és [192 bit]

szerint, ami megfelel a következőnek: [[7]].

FCS_COP.1.1/KEY-ENCRYPTION

A TSF-nek végre kell hajtania [Aláíró kulcs titkosítás]

egy meghatározott kriptográfiai algoritmus [Triple-DES]

és [192 bit] szerint, ami megfelel a következőnek:

[[7]].


Sikeres adatintegritási számítások, vizsgálatok és titkosító/visszafejtő műveletek

nem lesznek auditálva.



Page 59 of 133

June 2015

6.1.3 Felhasználói adatvédelem (FDP)

6.1.3.1 Hozzáférésvezérlési Politika (FDP_ACC)

6.1.3.1.1 Részhalmaz hozzáférésvezérlés (FDP_ACC.1)

FDP_ACC.1.1/Personalisation SFP A TSF-nek érvényesítenie kell a

[Personalisation SFP ] az [Alany =

Felhasználó Adminisztrátor,

Objektum = Felhasználói Fiók,

Műveletek = felhasználói fiók

létrehozás, aktiváló jelszó

beállítása egy felhasználói fiókhoz

ahol a Felhasználó Szerepköre

(User.Role)=Aláíró].

FDP_ACC.1.1/Activation SFP A TSF-nek érvényesítenie kell az

[Activation SFP ] az [Alany = Aláíró,

Objektum = Felhasználói Fiók (

Aláíró), Statikus VAD, OTP VAD,

OTP Validációs állapot, Művelet =

fiók aktiváció].

FDP_ACC.1.1/SCD-GEN SFP A TSF-nek érvényesítenie kell az [SCD-

GEN SFP] az [Alany = Aláíró,

Objektum

= Felhasználói Fiók (Aláíró),

SCD/SVD pár, Statikus VAD, OTP

VAD, OTP Validációs állapot,

Művelet = SCD/SVD pár generálás].

FDP_ACC.1.1/Cert-IMP SFP A TSF-nek érvényesítenie kell az [Cert-

IMP SFP] az [Alany = Aláíró,

Objektum

= Felhasználói Fiók (Aláíró),

SCD/SVD pár, Tanúsítvány, Művelet

= tanúsítvány importálása].

FDP_ACC.1.1/Signature-Creation SFP A TSF-nek érvényesítenie kell az

[Signature-Creation SFP] az [Alany

= Aláíró, Objektum = Felhasználói

Fiók (Aláíró), SCD/SVD pár, az SCA

által küldött DTBS/R Statikus VAD,

OTP VAD, OTP Validációs állapot,

Művelet = elektronikus aláírás].



Page 60 of 133

June 2015

FDP_ACC.1.1/SVD-Transfer SFP A TSF-nek érvényesítenie kell az [SVD

Transfer SFP] az [Alany = Aláíró,

Objektum = Felhasználói Fiók

(Aláíró), SVD, Művelet = SVD

exportálás].

FDP_ACC.1.1/Unlock-User SFP A TSF-nek érvényesítenie kell az

[Unlock-User SFP] a [Alany =


Objektum = Felhasználói fiók,

Művelet = Felhasználó feloldása].

FDP_ACC.1.1/Enable-User SFP A TSF-nek érvényesítenie kell az

[Enable-User SFP] az [Alany =



Művelet = Felhasználó

engedélyezése].

FDP_ACC.1.1/Disable-User SFP A TSF-nek érvényesítenie kell az

[Disable-User SFP] az [Alany =



Művelet = Felhasználó tiltása].

FDP_ACC.1.1/Export-Certs SFP A TSF-nek érvényesítenie kell az

[Export-Certs SFP] az [Alany = Aláíró,


(Aláíró), Művelet

= Tanúsítványok exportálása].

FDP_ACC.1.1/Export-Gr-Imgs SFP A TSF-nek érvényesítenie kell az

[Export-Gr-Imgs SFP] az [Alany =

Aláíró, Objektum = Felhasználói Fiók

(Aláíró), Művelet = Képek

exportálása].

FDP_ACC.1.1/Import-Gr-Img SFP A TSF-nek érvényesítenie kell az

[Import-Gr-Img SFP] az [Alany =

Aláíró, Objektum = Felhasználói

Fiók (Aláíró), Művelet = kép

importálása].

FDP_ACC.1.1/Revoke-User SFP A TSF-nek érvényesítenie kell a

[Revoke User SFP] az [Alany =

Users Administrator, Objektum =

Felhasználói Fiók, a felhasználói

fiókhoz tartozó SCD-k



Page 61 of 133

June 2015

(aszerint, hogy az alábbi

táblázatban mi van megállapítva),

Művelet = Felhasználó

visszavonása].

FDP_ACC.1.1/Appliance-Admin SFP A TSF-nek érvényesítenie kell az

Appliance-Admin SFP] az [Alany =

Eszköz Adminisztrátor, Objektum =

Eszközzel kapcsolatos információ,

Művelet = Eszköz adminisztratív

műveletei, amik nem

kapcsolatosak a felhasználókkal és

nem a TOE konzoljáról

működtethetőek].

FDP_ACC.1.1/Change-Password SFP A TSF-nek érvényesítenie kell a

[Change-Password SFP] az [Alany

= bármely felhasználó, Objektum =

Felhasználói Fiók, Művelet =

statikus jelszó megváltoztatása].

FDP_ACC.1.1/Revoke-SCD SFP A TSF-nek érvényesítenie kell a

Revoke-SCD SFP] az [Alany =

Aláíró, Objektum = Felhasználói

Fiók (Aláíró), SCD/SVD pár,

Statikus VAD, OTP VAD, OTP

validációs állapot, Művelet = SCD

visszavonása].



Page 62 of 133

June 2015


Az alábbi táblázat összesíti a fentebbi SFP-ket:

HOZZÁFÉRÉSVEZÉRLÉSI POLITIKA

ALANY MŰVELET OBJEKTUM

Personalization SFP Felhaszáló

Adminisztrátor –

S.UserAdmin az

R.UserAdmin

szerepkörrel

Létrehozás. AZ

aktivációs jelszót a

felhasználó

adminisztrátor állítja

be a fiók

létrehozásának

részeként.

Felhasználói Fiók

Activation SFP Aláíró - S.Sigy az

R.Sigy

szerepkörrel

Fiók Aktiváció Felhasználói Fiók ahol

a szerepkör R.Sigy,

statikus VAD, OTP

VAD, OTP validáció

állapot

SCD-GEN SFP Aláíró - S.Sigy az

R.Sigy

szerepkörrel

SCD/SVD pár

létrehozása


ahol a szerepkör

R.Sigy, SCD/SVD

pár statikus VAD,

OTP VAD, OTP

validáció állapot

Cert-IMP SFP Aláíró - S.Sigy az

R.Sigy

szerepkörrel

Tanúsítvány importálása Felhasználói

Fiók ahol a

szerepkör

R.Sigy,

SCD/SVD pár

Tanúsítvány

Signature creation SFP Aláíró - S.Sigy az

R.Sigy

szerepkörrel

Elektronikus aláírás Felhasználói Fiók

ahol a szerepkör

R.Sigy,SCD/SVD

pár, SCA által

küldött DTBS/R ,

statikus VAD, OTP

VAD, OTP

validáció állapot

SVD transfer SFP Aláíró - S.Sigy az

R.Sigy szerepkörrel

SVD exportálása Felhasználói Fiók ahol a szerepkör R.Sigy, SVD

Unlock-user-SFP Felhaszáló

Adminisztrátor

Felhasználó feloldása Felhasználói Fiók

Enable-user-SFP Felhaszáló

Adminisztrátor

Felhasználó engedélyezése user


Disable-user-SFP Felhaszáló

Adminisztrátor

Felhasználó tiltása Felhasználói Fiók

Export-Certs SFP Aláíró - S.Sigy az

R.Sigy

szerepkörrel

Tanúsítványok

exportálása

Felhasználói Fiók ahol

a szerepkör R.Sigy

Export-GR-Imgs SFP Aláíró - az R.Sigy

szerepkörrel

Képek exportálása Felhasználói Fiók ahol

a szerepkör R.Sigy



Page 63 of 133

June 2015

HOZZÁFÉRÉSVEZÉRLÉSI

POLITIKA

ALANY MŰVELET OBJEKTUM

Import-GR-Img SFP Aláíró - S.Sigy az

R.Sigy szerepkörrel

Képek importálása Felhasználói Fiók ahol

a szerepkör R.Sigy

Revoke-User SFP Felhaszáló

Adminisztrátor –

S.UserAdmin az

R.UserAdmin

szerepkörrel

Felhasználó

visszavonása

Felhasználói

Fiók, SCDs

belonging to

user

accountFelha

sználói Fiók

Appliance-Admin SFP Eszköz

Adminisztrátor

S.ApplianceAdmin

az

R.ApplianceAdmin

szerepkörrel

Eszközzel kapcsolatos műveletek az FMT_SMF.1 listában felsorolva a Felhasználók kezelése funkció kivételével

Bármilyen nem

felhasználóval

kapcsolatos

információ, mint

az audit napló

vagy

rendszerkonfigurác

ió.

Továbbá a

konzollal

kapcsolatos

műveletek is ki

vannak zárva.

Change-Password SFP Bármilyen

felhasználótípus

Change static

password


Revoke-SCD SFP Aláíró - S.Sigy az R.Sigy szerepkörrel

Revoke SCD Felhasználói Fiók ahol a szerepkör R.Sigy, SCD/SVD pár statikus VAD, OTP VAD, OTP validáció állapot

3.Táblázat – Hozzáférésvezérlési politikák összefoglaló



Page 64 of 133

June 2015

6.1.3.2 Hozzáférésvezérlési funkciók (FDP_ACF)

6.1.3.2.1 Biztonsági attribútum alapú hozzáférésvezérlés (FDP_ACF.1)

A biztonsági attribútumok a felhasználónak, a TOE komponenseknek és a

kapcsolódó állapotoknak:

Felhasználó, Alany vagy

Objektum az attribútum

kapcsolatban áll

Attribútum Állapot

A felhasználói fiók általános attribútumai

Felhasználói Fiók Szerepkör Eszköz Adminisztrátor

(R.ApplianceAdmin),

Felhasználó Adminisztrátor

(R.UserAdmin), Aláíró (R.Sigy)

Felhasználói Fiók Adatintegritás igen, nem

A felhasználói fiók állapotatribútumai

Felhasználói Fiók Létrehozási állapot létrehozott, nincs létrehozva

Felhasználói Fiók Aktiválási állapot aktivált, nincs aktiválva

Felhasználói Fiók Zár állapot lezárt, nyitott

Felhasználói Fiók Engedélyezési állapot engedélyezett, tiltott

Egy felhasználói fiók hitelesítési attribútumai

Aláíró Aktivációs jelszóadat érték, üres

Aláíró Statikus jelszó RAD érték, üres

Aláíró OTP eszköz RAD érték, üres

Eszköz Adminisztrátor,

Felhasználó Adminisztrátor

Bejelentkezési jelszóadat érték, üres

Aláíró Statikus VAD

figyelem: Ez az érték nem a

felhasználói fiók részeként tárolt.

érték, üres

Aláíró OTP VAD

figyelem: Ez az érték nem a

felhasználói fiók részeként tárolt.

érték, üres

Aláíró OTP validációs állapot.

figyelem: Az értéket az OTP

validáció visszahívás számolja ki.

érvényes, érvénytelen

SCD/SVD pár attribútumok

SCD/SVD pár SCD állapot kezdeti, műveleti, nem

műveleti

SCD/SVD pár SCD adat érték, üres

SCD/SVDpár SVD adat érték, üres

SCD/SVD pár egyező tanúsítvány tanúsítvány érték

Kép attribútumok

Kép kép érték, üres

4.Táblázat – ACF biztonsági attribútumok



Page 65 of 133

June 2015

Personalisation SFP

FDP_ACF.1.1/Personalisation SFP

A TSF-nek érvényesítenie kell a [Personalisation SFP]

azokon az objektumokon, amik a következőn alapulnak: [

alany = Felhasználói Fiók

attribútumok = Általános attribútumok, Állapot

attribútumok és hitelesítési attribútumok

és

objektum = Felhasználói Fiók


attribútumok

].


A TSF-nek érvényesítenie kell a következő szabályokat,

hogy meghatározhassa, hogy egy művelet az irányított

alanyok és irányított objektumok között engedélyezett: [

(alany) Felhasználói Fiók.Szerep = R.UserAdmin és

(Objektum) Felhasználói Fiók.Létrehozási állapot =

nincs létrehozva és a következők bármelyike:

1. (Objektum) Felhasználói Fiók.Szerep = R.Sigy és

(Objektum) Felhasználói Fiók.Aktivációs állapot =

nincs aktiválva és (Objektum) Felhasználói

Fiók.Aktivációs jelszó nem üres és megfelel a jelszó

politika konfigurációjának

vagy

2. (Objektum) Felhasználói Fiók.Szerep = nem

R.Sigy és Felhasználói Fiók .Statikus jelszó nem

üres és megfelel a jelszó politika konfigurációjának

]


A TSF-nek explicite elérési jogosultságot kell adnia az

alanyoknak az objektumokhoz a következő kiegészítő

szabályok alapján: [nincs].


A TSF-nek explicite meg kell tagadnia az alanyokhoz

objektumokhoz az [üres Aktivációs Jelszó ] alapján.


A jelszó politika konfiguráció előírja a minimum 6 karakteres jelszóhosszt.



Page 66 of 133

June 2015

Activation SFP

FDP_ACF.1.1/Activation SFP

A TSF-nek érvényesítenie kell a [Activation SFP] azokon az

objektumokon, amik a következőn alapulnak:[


attribútumok = Általános

attribútumok és



attribútumok és hitelesítési attribútumok

és

objektum = Megadott Aláíró VAD

attribútumok= Statikus VAD, OTP VAD, OTP validációs

státusz

].





(Alany)Felhasználói Fiók.Szerep = R.Sigy és

(Objektum)Felhasználói_Fiók.Aktiváció Állapot =

nincs aktiválva és

(Objektum) Felhasználói_Fiók.Aktivációs Jelszó nem

üres és

(Objektum) Megadott Statikus VAD nem

üres és

(Objektum) Megadott OTP VAD nem

üres és

OTP validációs állapot=érvényes

].






A TSF-nek explicite meg kell tagadnia az alanyok

hozzáférését az objektumokhoz az [nincs] alapján.



Page 67 of 133

June 2015

SCD-GEN SFP

FDP_ACF.1.1/SCD-GEN SFP

A TSF-nek érvényesítenie kell a [SCD-GEN SFP] azokon az




attribútumok és


attribútumok = Általános attribútumok,

Statikus attribútumok és


attribútumok = Statikus VAD, OTP VAD, OTP validáció

állapot

].





(Alany) Felhasználói_Fiók.Szerepkör = R.Sigy és

(Objektum)Felhasználói Fiók.Aktivációs Állapot =

aktivált és

(Objektum) Megadott statikus VAD nem

üres és


üres és

OTP validáció állapot=érvényes

].








Cert-IMP SFP

FDP_ACF.1.1/Cert-IMP SFP

A TSF-nek érvényesítenie kell a [Cert-IMP SFP] azokon az


alany = Felhasználói Fiók attribútumok = Általános

attribútumok



Page 68 of 133

June 2015

és



attribútumok és SCD/SVD pár attribútumok

].





(Alany) Felhasználói_Fiók. Szerepkör = R.Sigy és

(Objektum) Felhasználói Fiók.Aktivációs Állapot =

aktivált és

(Objektum)Felhasználó_SCD.SCD Állapot = kezdeti].







objektumokhoz az [nincs] alapján.

Signature-Creation SFP

FDP_ACF.1.1/Signature-Creation SFP

A TSF-nek érvényesítenie kell a [Signature-Creation

SFP] azokon az objektumokon, amik a következőn

alapulnak: [



attribútumok és



attribútumok és SCD attribútumok

és



állapot

].






(objektum) Felhasználói_Fiók.Aktivációs állapot =

aktivált és

(objektum) Felhasználói_Fiók.Fiók Integritás =



Page 69 of 133

June 2015

igen és

(objektum)Felhasználói_Fiók.SCD/SVD pár.SCD

állapot = műveleti és

(objektum) Felhasználói_Fiók.SCD/SVD pár.SCD

integritás=igen és

(objektum) Megadott Statikus VAD nem

üres és

(objektum) Megadott OTP VAD nem

üres és

OTP validáció állapot = érvényes]

Application note: Since there can be several SCD/SVD for a certain user account, the specific

identification of the SCD is provided as part of the signature creation operation.








SVD-Transfer SFP

FDP_ACF.1.1/SVD-Transfer SFP

A TSF-nek érvényesítenie kell a [SVD-Transfer SFP]




attribútumok és


attribútumok = általános attribútumok, állapot


].




alanyok és irányított objektumok között engedélyezett:



Page 70 of 133

June 2015

[(Alany)Felhasználói_Fiók. Szerepkör = R.Sigy és

(Objektum) Felhasználói_Fiók. Aktivációs állapot =

aktivált

].








Unlock-User SFP

FDP_ACF.1.1/Unlock-User SFP

A TSF-nek érvényesítenie kell a [Unlock-User SFP] azokon

az objektumokon, amik a következőn alapulnak: [



attribútumok és


attributes = Általános attribútumok és állapot

attribútumok

].





(Alany) Felhasználói_Fiók.Szerepkör = R.UserAdmin

és (Objektum) Felhasználói_Fiók.Zár állapota = zárt

]










Page 71 of 133

June 2015

Enable-User SFP

FDP_ACF.1.1/Enable-User SFP

A TSF-nek érvényesítenie kell a [Enable-User SFP] azokon



attribútumok = általános

attribútumok és


attribútumok = Általános attribútumok és állapot

attribútumok

].






és (Objektum) Felhasználói_Fiók.Engedélyezési

Állapot = letiltott

]








Disable-User SFP

FDP_ACF.1.1/Disable-User SFP

A TSF-nek érvényesítenie kell a [Disable-User SFP] azokon




attribútumok és



attribútumok

].








Page 72 of 133

June 2015

és (Objektum) Felhasználói_Fiók.Engedélyezési

Állapot = engedélyezett

]








Export-Certs SFP

FDP_ACF.1.1/Export-Certs SFP

A TSF-nek érvényesítenie kell a [Export-Certs SFP]



attribútumok = Álatlános

attribútumok és



attribútumok

].





(Alany) Felhasználói_Fiók.Szerepkör = RSigy és

(Objektum) Felhasználói_Fiók.Aktivációs állapot =

aktivált

].






A TSF-nek explicite meg kell tagadnia az alanyoknak a

hozzáférést az objektumokhoz az [nincs] alapján.

Export-Gr-Imgs SFP

FDP_ACF.1.1/Export-Gr-Imgs SFP

A TSF-nek érvényesítenie kell a [Export-Gr-Imgs SFP]




Page 73 of 133

June 2015



attribútumok és


attribútumok = Általános attribútumok, általános

attribútumok

].







aktivált

].








Import-Gr-Img SFP

FDP_ACF.1.1/Import-Gr-Img SFP

A TSF-nek érvényesítenie kell a [Import-Gr-Img SFP]




attribútumok és


attribútumok = Általános attribútumok, állapot

attribútumok

].







aktivált].



Page 74 of 133

June 2015








Revoke-User SFP

FDP_ACF.1.1/Revokie-User SFP

A TSF-nek érvényesítenie kell a [Revoke-User SFP]




attribútumok és



attribútumok

].

FDP_ACF.1.2/Revoke-User SFP




(Alany). Felhasználói_Fiók.Szerepkör = R.UserAdmin

(Objektum).Felhasználói_Fiók.Role = Bármilyen

].








Appliance-Admin SFP

FDP_ACF.1.1/Appliance-Admin SFP

A TSF-nek érvényesítenie kell a [Appliance-Admin SFP]




attribútumok és



Page 75 of 133

June 2015

alany=Bármilyen rendszerinformáció ami nem

felhasználóhoz kapcsolódik és nem a TOE konzoljáról

kezelhető

].





(Alany). Felhasználói_Fiók.Szerepkör =

R.ApplianceAdmin

].








Change-Password SFP

FDP_ACF.1.1/Change-Password SFP

A TSF-nek érvényesítenie kell a [Change-Password SFP]




attribútumok és



attribútumok

].





A következő két eset engedélyezett:

1 - (Alany). Felhasználói_Fiók.Szerepkör = R.Sigy

és (Objektum).

Felhasználói_Fiók.Aktivációs_Állapot =

aktivált

2 - (Alany). Felhasználói_Fiók.Szerepkör != R.Sigy

és (mind a két esetben) az új jelszó kielégíti a jelszó

politika konfigurációt

].



Page 76 of 133

June 2015







hozzáférését az objektumokhoz az [üres Statikus Jelszó]

alapján.

Revoke-SCD SFP

FDP_ACF.1.1/Revoke-SCD SFP

A TSF-nek érvényesítenie kell a [Revoke-SCD SFP]




attribútumok és




és



állapot

].

FDP_ACF.1.2/ Revoke-SCD SFP





(Objektum) Felhasználói_Fiók.Aktivációs Állapot =

aktivált és (Objektum) Felhasználói_Fiók.Fiók

Integritás = igen és (Objektum)

Felhasználói_Fiók.SCD/SVD pár.SCD állapot =

műveleti és

(Objektum) Felhasználói_Fiók.SCD/SVD pár.SCD

integritás=igen és

(Objektum) Megadott Statikus VAD nem

üres és


üres és

OTP validásciós állapot = érvényes

]



Page 77 of 133

June 2015

Alkalmazás megjegyzés: Mivel több SCD/SVD is lehet egy adott Felhasználói Fiókban, a specifikus SCD

azonosítás biztosított az SCD visszavonás művelet részeként








6.1.3.3 Exportálás a TOE-ből (FDP_ETC)

6.1.3.3.1 Felhasználói adat exportálása biztonsági attribútomok nélkül

(FDP_ETC.1)

FDP_ETC.1.1/SVD Transfer A TSF-nek érvényesítenie kell az [SVD

Transfer SFP] amikor felhasználói adatot

exportál, az SFP(-k) irányítása alatt a TOE-n

kívülre.

FDP_ETC.1.2/SVD Transfer A TSF-nek a felhasználói adatokat a

felhasználói adatokhoz rendelt biztonsági

attribútumok nélkül kell exportálnia.

FDP_ETC.1.1/Export-Certs A TSF-nek érvényesítenie kell az [Export-Certs

SFP] amikor felhasználói adatot exportál az

SFP(-k) irányítása alatt a TOE-n kívülre.

FDP_ETC.1.2/Export-Certs A TSF-nek a felhasználói adatokat a



FDP_ETC.1.1/Export-Gr-Imgs A TSF-nek érvényesítenie kell az [Export-Gr-

Imgs SFP] ] amikor felhasználói adatot

exportál az SFP(-k) irányítása alatt a TOE-n

kívülre.

FDP_ETC.1.2/Export-Gr-Imgs A TSF-nek a felhasználói adatokat a




A következő műveletek nem keülnek auditálásra az audit naplóba miután azokat az



Page 78 of 133

June 2015

SCA használta minden egyes elektronikus aláírás művelet kor: Export-Certs, Export-Gr-

Imgs. Továbbá, az aláíró bejelentkező művelet a tanúsítvány exportálás céljából és a

képek vagy jelszóváltoztatás nem kerül auditálásra. Továbbá az Import-Gr-Img

művelet nem kerül auditálásra, mivel nem előírás azt auditálni.

6.1.3.3.2 Export of user data with security attributes (FDP_ETC.2)

FDP_ETC.2.1 A TSF-nek érvényesítenie kell az [HA-PRI-

REPL-INC- SIGKEY SFP] amikor felhasználói

adatot exportál, az SFP(-k) irányítása alatt a

TOE-n kívülre.

FDP_ETC.2.2 A TSF-nek a felhasználói adatokat a



FDP_ETC.2.3 A TSF-nek gondoskodnia kell arról, a biztonsági

attribútumok, amikor a TOE-n kívülre exportálja őket

egyértelműen kapcsolódnak az exportált felhasználói

adatokhoz.

FDP_ETC.2.4 A TSF-nek érvényesítenie kell a következő

szabályokat, amikor felhasználói adatokat

exportál a TOE-ből:[A TOE HA-PRI-REPL-

INC-SIGKEY-ként konfigurált].


A művelet nem kerül auditálásra az audit naplóba.



Page 79 of 133

June 2015

6.1.3.4 Információ-áramlás vezérlés politika (FDP_IFC)

Az elsődleges eszköz és az alternatív eszközök számára a biztonsági attribútumok:

Alany, amivel az attribútum

kapcsolatban áll


Az elsődleges eszköz általános attribútumai

Elsődleges eszköz Alternatív eszközök listája Érték, üres

Alternatív eszköz általános attribútumai

Alternatív eszköz Aktivációs állapot Aktivált, nem aktivált

5.Táblázat – Biztonsági attribútumok- Magas rendelkezésre állás

Megjegyzés:

Egy telepített alternatív eszköz mindig fogad frissítéseket az elsődleges eszköztől. Hogy

elkerülje az elsődleges eszköztől származó frissítéseket, az alternatív eszközt le kell

kapcsolni.

A biztonsági attribútumok, amiket az OTP validációs visszahívás használ:

Alany, amivel az attribútum

kapcsolatban áll


OTP validációs visszahívás kérelem

Próba OTP Az OTP hash értéke Érték

OTP eszköz RAD OTP eszköz RAD bináris Érték

6.Táblázat – Biztonsági attribútumok – OTP validációs visszahívás



Page 80 of 133

June 2015

6.1.3.4.1 Információ-áramlás vezérlés részhalmaz (FDP_IFC.1)

HA-PRI-REPL-INC-SIGKEY SFP

FDP_IFC.1.1/HA-PRI-REPL-INC-SIGKEY SFP

A TSF-nek érvényesítenie kell az [HA-PRI-REPL-INC-SIGKEY

SFP] az [Alanyok = Elsődleges CoSign eszköz és

Alternatív Eszköz lista,

Információ= Teljes Felhasználói Fiók információ,

Művelet= Felhasználói Fiók frissítés és

frissítések küldése az alternatív eszközöknek. A

művelet módja engedi az SCD adat replikálását

az elsődleges eszköztől az alternatívok felé.

].

HA-ALT-REPL-INC-SIGKEY SFP

FDP_IFC.1.1/HA-ALT-REPL-INC-SIGKEY SFP

A TSF-nek érvényesítenie kell az [HA-ALT-REPL-INC-SIGKEY

SFP] az [Alanyok= Alternatív CoSign eszköz

Információ= Teljes Felhasználói Fiók információ (Általános

attribútumai, Állapot attribútumai és hitelesítési

attribútumai a Felhasználói Fiókoknak, SCD/SVD pár

attribútumok és Kép attribútumok)

Művelet = Elsődleges Eszköztől adatfogadás.

].

Alkalmazás megjegyzés: A következő táblázat összegzi a fenti SFP-t:



Page 81 of 133

June 2015

ÁRAMLÁSVEZÉRLÉS POLITIKA ALANY INFORMÁCIÓ MŰVELET

HA-PRI-REPL-INC-SIGKEY

SFP

Elsődleges CoSign

eszköz és Alternatív

Eszköz lista

Teljes Felhasználói

Fiók információ

Felhasználói fiókok

frissítése az SCD

és képi információt

is beleértve, és

elküldeni a

frissítéseket az

alternatív

eszközöknek

HA-ALT-REPL-INC-SIGKEY

SFP

Alternatív CoSign eszköz Teljes Felhasználói

Fiók információ

Elsődleges

Eszköztől

adatfogadás

7.Táblázat – Magas rendelkezésre állás áramlásvezérlés

OTP-VAL-CALLBACK SFP

FDP_IFC.1.1/OTP-VAL-CALLBACK SFP

A TSF-nek érvényesítenie kell az [OTP-VAL-CALLBACK SFP] az

[Alanyok = Eszköz ,

Információ = Próba-OTP, OTP Eszköz RAD, Belső OTP

Művelet= OTP validáció

].

Alkalmazás megjegyzés:Application note:

A következő táblázat összegzi a fenti SFP-t:



Page 82 of 133

June 2015

ÁRAMLÁSVEZÉRLÉS POLITIKA ALANY INFORMÁCIÓ MŰVELET

OTP-VAL-CALBACK SFP Eszköz Próba-OTP, OTP

Eszköz RAD, Belső

OTP

A TOE el fogja érni

a belső OTP-t a

megadott Próba-

OTP alapján és

validálja a belső

OTP-t a megadott

OTP Eszköz RAD-

hoz képest.

8.Táblázat - OTP validációs visszahívás áramlásvezérlés



Page 83 of 133

June 2015

6.1.3.5 Információ-áramlás vezérlés funkciók (FDP_IFF)

6.1.3.5.1 Egyszerű biztonsági attribútumok (FDP_IFF.1)

HA-PRI-REPL-INC-SIGKEY SFP

FDP_IFF.1.1/HA-PRI-REPL-INC-SIGKEY SFP

A TSF-nek érvényesítenie kell az [HA-PRI-REPL-INC-SIGKEY SFP]

a következő alanytípusokon és információ biztonsági attribútumok

alapján: [ alany biztonsági attribútumok = Elsődleges Eszköz

listája az Alternatív eszközökről; Alternatív Eszközök státusza

és a művelet módja

Információ biztonsági attribútumok =

Teljes Felhasználói Fiók biztonsági

attribútumok és biztonsági attribútumok

az SCD adat biztonsági attribútumokat és a

képek biztonsági attribútumait is beleértve

].


A TSF-nek engedélyeznie kell az információ áramlását az irányított

alany és az irányított információ között irányított műveleten

keresztül amikor a következő szabály érvényes: [Felhasználói Fiók

frissítés, SCD-vel kapcsolatos frissítés, képek frissítése].


A TSF-nek érvényesítenie kell az [semmi].


A TSF-nek explicite fel kell jogosítania egy információ-áramot a

következő szabályok követése alapján: [semmi].


A TSF-nek explicite meg kell tagadnia egy információ-áramot a


HA-ALT-REPL-INC-SIGKEY SFP

FDP_IFF.1.1/HA-ALT-REPL-INC-SIGKEY SFP

A TSF-nek érvényesítenie kell az [HA-ALT-REPL –INC-

SIGKEY SFP] a következő alanytípusokon és információ

biztonsági attribútumok alapján: [

alany biztonsági attribútumai = Alternatív Eszköz



Page 84 of 133

June 2015

Információ biztonsági attribútumok = Teljes

Felhasználói Fiók biztonsági attribútumok

és biztonsági attribútumok az SCD adat

biztonsági attribútumokat és a képek

biztonsági attribútumait is beleértve

].




keresztül amikor a következő szabály érvényes: [Felhasználói Fiók

frissítés, SCD-vel kapcsolatos frissítés, képek frissítése].


A TSF-nek érvényesítenie kell az [semmi]







OTP-VAL-CALLBACK SFP

FDP_IFF.1.1/OTP-VAL-CALLBACK SFP

A TSF-nek érvényesítenie kell az [OTP-VAL-CALLBACK SFP] a

következő alanytípusokon és információ biztonsági attribútumok

alapján: [alany biztonsági attribútumai= E s z k ö z

Információ biztonsági attribútumok = Próba OTP, OTP Eszköz

RAD és belső OTP].




keresztül, amikor a következő szabály érvényes:[OTP validációs

visszahívás].


A TSF-nek érvényesítenie kell az [Csak a Radius szerver IP-je

felőli kommunikációt].



következő szabályok követése alapján: [semmi] .



Page 85 of 133

June 2015



következő szabályok követése alapján: [Bármely

kommunikációt ami a Radius szerver IP-je felől érkezik].

6.1.3.6 Importálás a TOE-n kívülről (FDP_ITC)

6.1.3.6.1 Felhasználói adat importálása biztonsági attribútumok nélkül

(FDP_ITC.1)

FDP_ITC.1.1/TOE-DTBS/R

A TSF-nek érvényesítenie kell az [Signature-creation

SFP] amikor felhasználói adatot importál, az SFP irányítása

alatt a TOE-n kívülről.


A TSF figyelmen kívül kell hagyjon bármilyen, a felhasználói

adathoz kapcsolt biztonsági attribútumot amikor a TOE-n

kívülről importál.



amikor felhasználói adatot importál, az SFP irányítása alatt

a TOE-n kívülről: [semmi].

FDP_ITC.1.1/GRIMG A TSF-nek érvényesítenie kell az [Import-Gr-Img SFP]

amikor felhasználói adatot importál, az SFP irányítása alatt a

TOE-n kívülről.

FDP_ITC.1.2/GRIMG A TSF figyelmen kívül kell hagyjon bármilyen, a felhasználói

adathoz kapcsolt biztonsági attribútumot amikor a TOE-n

kívülről importál.

FDP_ITC.1.3/GRIMG A TSF-nek érvényesítenie kell a következő szabályokat,


TOE-n kívülről: [semmi].



Page 86 of 133

June 2015

FDP_ITC.1.1/CERTIFICATE

A TSF-nek érvényesítenie kell az [Cert-IMP SFP] amikor

felhasználói adatot importál, az SFP irányítása alatt a TOE-n

kívülről.









6.1.3.6.2 Felhasználói adatok importálása biztonsági attribútumokkal

(FDP_ITC.2)

FDP_ITC.2.1/HA-ALT-REPL-INC-SIGKEY

A TSF-nek érvényesítenie kell az [HA-ALT-REPL-INC-

SIGKEY SFP] amikor felhasználói adatot importál, az SFP

irányítása alatt a TOE-n kívülről.


A TSF-nek az importált felhasználói adatokkal kapcsolatos

biztonsági adatokat kell használnia.


A TSF-nek gondoskodnia kell arról, hogy a használt protokoll

félreérthetetlen kapcsolatot biztosít a biztonsági attribútumok

és a fogadott felhasználói adatok között.


A TSF-nek gondoskodnia kell arról, hogy az importált

felhasználói adatok biztonsági attribútumainak értelmezése a

felhasználói adatok forrásának szándéka szerinti.





FDP_ITC.2.1/OTP- VAL-CALLBACK

A TSF-nek érvényesítenie kell az [OTP-VAL-CALLBACK

SFP] amikor felhasználói adatot importál, az SFP irányítása

alatt a TOE-n kívülről.



Page 87 of 133

June 2015


A TSF-nek az importált felhasználói adatokkal kapcsolatos

biztonsági adatokat kell használnia.


A TSF-nek gondoskodnia kell arról, hogy a használt protokoll

félreérthetetlen kapcsolatot biztosít a biztonsági attribútumok

és a fogadott felhasználói adatok között.


A TSF-nek gondoskodnia kell arról, hogy az importált

felhasználói adatok biztonsági attribútumainak értelmezése a

felhasználói adatok forrásának szándéka szerinti.

FDP_ITC.2.5/OTP-VAL-CALLBACK





FDP_ITC.2/HA-ALT-REPL-INC-SIGKEY kapcsolatos műveletek nem kerülnek

auditálásra az audit naplóba mivel a frissítés forrása az elsődleges eszköz

naplójában kerül naplózásra (például egy fiók létrehozása).

FDP_ITC.2/OTP-VAL-CALLBACK SIGKEY kapcsolatos műveletek nem kerülnek

auditálásra az audit naplóba. A teljes erős hitelesítési művelet az Elektronikis

Aláírás/Aktiváció/Kulcsgenerálás műveletek részeként kerül naplózásra.

6.1.3.7 Tárolt adatintegritás (FDP_SDI)

6.1.3.7.1 Tárolt adatintegritás megfigyelés és tevékenység (FDP_SDI.2)

FDP_SDI.2.1 A TSF-nek meg kell figyelnie a TSF által irányított

konténerekben tárolt felhasználói adatokat az

[integritási hibák] miatt az összes objektum esetén

a következő attribútumok alapján: [Felhasználói

Fiók adatintegritás].

FDP_SDI.2.2 Bármilyen adatintegritási hiba észlelésekor, a TSF

[megtiltja a módosított adat használatát és

megtagad bármilyen műveletet a felhasználói

fiókon].


A felhasználói fiókinformáció a 4. táblázatban van leírva. A következő információt

már ellenőrizték adatintegritási hibák kiszűrésére: A felhasználói fiók általános

attribútumait, felhasználói fiók állapot attribútumait és felhasználói fiók

hitelesítési attribútumait az OTP eszköz RAD mellett, amit a Radius szerver tart

irányítása alatt.



Page 88 of 133

June 2015

6.1.3.8 TSF-en belüli felhasználói adatbizalmasság átvitel

védelem (FDP_UCT)

6.1.3.8.1 Alapvető adatcsere bizalmasság (FDP_UCT.1)

FDP_UCT.1.1/HA-PRI-REPL-CONF-INC-SIGKEY

A TSF-nek érvényesítenie kell az [HA-PRI-REPL-

INC- SIGKEY SFP] hogy képes legyen a felhasználói

adat [átvitelére] olyan módon, ami védett a

jogosulatlan felfedés ellen.

FDP_UCT.1.1/HA-ALT-REPL-CONF-INC-SIGKEY

A TSF-nek érvényesítenie kell az [HA-ALT-REPL-INC-

SIGKEY SFP] hogy képes legyen a felhasználói adat

[fogadására] olyan módon, ami védett a jogosulatlan

felfedés ellen.

Alkalmazás megjegyzés: A fenti műveletek nem kerülnek auditálásra az audit naplóba, mivel a frissítés

forrása az elsődleges eszközben kerül naplózásra (például fióklétrehozás).

6.1.3.9 TSF-en belüli adatintegritási átvitel védelem

(FDP_UIT)

6.1.3.9.1 Adatcsere integritás (FDP_UIT.1)

FDP_UIT.1.1/SVD-Transfer

A TSF-nek érvényesítenie kell az [SVD átvitel SFP-t] hogy

képes legyen a felhasználói adatok [átvitelére] olyan módon,

ami védelmet nyújt a [módosítási, beillesztési] hibák ellen.

FDP_UIT.1.2/SVD-Transfer

A TSF-nek meg kell tudni állapítania felhasználói adat

átvételekor, hogy történt-e [módosítás, beillesztés] .

FDP_UIT.1.1/TOE-DTBS/R

A TSF-nek érvényesítenie kell az [Aláírás-létrehozás SFP-t]

hogy képes legyen a felhasználói adatok [fogadására] olyan

módon, ami védelmet nyújt a [módosítási, törlési és beillesztési]

hibák ellen.



Page 89 of 133

June 2015

FDP_UIT.1.2/TOE-DTBS/R

A TSF-nek meg kell tudni állapítania felhasználói

adat átvételekor, hogy történt-e [módosítás, törlés,

beillesztés].

FDP_UIT.1.1/HA-ALT-REPL-INC-SIGKEY

A TSF-nek érvényesítenie kell az [HA-ALT-REL-

INC- SIGKEY SFP] hogy képes legyen a

felhasználói adatok [átvitelére] olyan módon, ami

védelmet nyújt a [módosítási] hibák ellen.

FDP_UIT.1.2/HA-ALT-REPL-INC-SIGKEY

A TSF-nek meg kell tudni állapítania felhasználói adat

átvételekor, hogy történt-e [módosítás].

Alkalmazás megjegyzés: FDP_UIT.1/HA-ALT-REPL-INC-SIGKEY nem kerül auditálásra az audit naplóba, mivel

a frissítés forrása az elsődleges eszközben kerül naplózásra (például

fióklétrehozás).

6.1.4 Azonosítás és hitelesítés (FIA)

6.1.4.1 Hitelesítési hiba (FIA_AFL)

6.1.4.1.1 Hitelesítési hibakezelés (FIA_AFL.1)

FIA_AFL.1.1 A TSF-nek érzékelnie kell amikor [egy adminisztrátor által

konfigurálható pozitív egész számú [3-8]] sikertelen

hitelesítési próbálkozás fordul elő a [egymást követő

sikertelen hitelesítési kísérlettel] kapcsolatban.

FIA_AFL.1.2 Amikor a megadott értékű sikertelen hitelesítési

próbélkozást [eléri], a TSF-nek [le kell zárnia a

felhasználói fiókot].

6.1.4.1.2 Felhasználói attribútum leírás (FIA_ATD)

6.1.4.1.3 Felhasználói attribútum learás (FIA_ATD.1)

FIA_ATD.1.1 A TSF-nek a következő különböző felhasználókhoz tartozó

biztonsági attribútumlistát kell kezelnie: [Általános

attribútumok, Állapot attribútumok és a Felhasználói

fiók hitelesítési attribútumai, SCD/SVD pár

attribútumok és kép attribútumok].



Page 90 of 133

June 2015

6.1.4.2 Felhasználói hitelesítés (FIA_UAU)

6.1.4.2.1 Hitelesítés időzítése (FIA_UAU.1)

FIA_UAU.1.1 A TSF-nek engednie kell [(1) A felhasználó azonosítását a

FIA_UID.1. által előírt TSF eljárásokkal. (2) Megbízható

útvonal létrehozását a távoli felhasználó és a TOE

között a FTP_TRP.1 által előírt TSF eljárásokkal.] a

felhasználó részére az elvégzését mielőtt a felhasználót

hitelesítené.

FIA_UAU.1.2 A TSF-nek elő kell írnia minden egyes felhazsnáló sikeres

hitelesítését mielőtt engedélyezne bármilyen más TSF által

közvetített tevékenységet azon felhasználó részére.

6.1.4.2.2 Többszörös hitelesítő mechanizmus (FIA_UAU.5)

FIA_UAU.5.1 A TSF-nek biztosítania kell [Statikus felhasználói jelszót és

OTP dinamikus jelszót] hogy támogassa a felhasználói

hitelesítést.

FIA_UAU.5.2 A TSF-nek hitelesíteni kell bármilyen felhasználó nyújtotta

azonosítót a [ha(Alany)Felhasználói_Fiók.Szerepkör =

R.Sigy többszörös hitelesítés kötelező az elektronikus

aláírás művelethez, SCD létrehozáshoz és SCD

visszavonáshoz. Bármely más művelethez mint például

a statikus jelszó megváltoztatása vagy adminisztratív

műveletekhez, a többszörös hitelesítés nem előírás.

Konzollal kapcsolatos műveletekhez a hitelesítés nem

előírás.] szerint.


A többszörös hitelesítés részeként a specifikus fiók SCD elérhető az elektronikus

aláírás művelet elvégzéséhez.

A titkosított SCD mint a speciális AUK az adatbázisból kerül kivonása. Az AUK

titkosított egy olyan kulccsal, amit a globális főkulcs és az aláíró statikus

jelszava épít fel. A visszafejtett AUK a titkosított SCD dekódolására való.



Page 91 of 133

June 2015

6.1.4.3 Felhasználó azonosítás (FIA_UID)

6.1.4.3.1 Hitelesítés időzítése (FIA_UID.1)

FIA_UID.1.1 A TSF-nek engednie kell [ Megbízható útvonal

létrehozását a távoli felhasználó és a TOE között.] a

felhasználó részére az elvégzését mielőtt a felhasználót

hitelesítené.

FIA_UID.1.2 A TSF-nek elő kell írnia minden egyes felhazsnáló sikeres

hitelesítését mielőtt engedélyezne bármilyen más TSF által

közvetített tevékenységet azon felhasználó részére.


Bármilyen kísérlet a TSF-vel kapcsolatos kérelem elvégzésére azt megelőző

hitelesítés nélkül elutasításra kerül anélkül, hogy dedikált bejegyzés készülne

róla az audit naplóba. Vannak specifikus általános parancsok, amik névtelen

parancsként vannak azonosítva és nem írnak elő előzetes felhasználói

hitelesítést.



Page 92 of 133

June 2015

6.1.5 Biztonságkezelés (FMT)

6.1.5.1 TSF funkciók kezelése (FMT_MOF) 6.1.5.1.1 Biztonsági funkciók viselkedésének kezelése (FMT_MOF.1)

FMT_MOF.1.1 A TSF-nek korlátoznia kell a funkiók [engedélyezésének]

képességét [Minden TSF funkcionalitásról] [Eszköz

Adminisztrátorra].


A funkcionalitás a szabotázs utáni visszaállítás funkcióra utal szabotázs esemény

esetén.

6.1.5.2 Biztonsági attribútumok kezelése (FMT_MSA)

6.1.5.2.1 Biztonsági attribútumok kezelése (FMT_MSA.1)

FMT_MSA.1.1/Users-Administrator

A TSF-nek érvényesítenie kell a [Personalization SFP]

hogy korlátozza a képességet hogy [létrehozza] a

biztonsági attribútum [Aktivációs Jelszó adatot] a

[Felhasználó Adminisztrátor].

FMT_MSA.1.1/Signatory

A TSF-nek érvényesítenie kell a [Signature-creation

SFP] hogy korlátozza a képességet hogy [aláíráshoz

használja] a biztonsági attribútum [SCD adatot] az

[Aláíró].

FMT_MSA.1.1/Signatory-SCD-GEN

A TSF-nek érvényesítenie kell a [SCD-GEN SFP] hogy

korlátozza a képességet hogy [létrehozza] a biztonsági

attribútum [SCD adatot, SVD adatot] az [Aláíró].

FMT_MSA.1.1/Signatory-SCD-DISABLE


hogy korlátozza a képességet hogy [módosítsa] a

biztonsági attribútum [SCD állapotot] az [Aláíró, ha

az SCD állapot= műveleti].

FMT_MSA.1.1/Signatory-SCD-NO-REVERT



biztonsági attribútum



Page 93 of 133

June 2015

[SCD állapotot] [senki, amikor az SCD állapot =

nem műveleti].

FMT_MSA.1.1/Signatory-CERT-IMP

A TSF-nek érvényesítenie kell a [Cert-IMP SFP]


biztonsági attribútum [SCD egyező tanúsítványt]

az [Aláíró].

FMT_MSA.1.1/Signatory Change Password

A TSF-nek érvényesítenie kell a [Change-Password

SFP] hogy korlátozza a képességet hogy [módosítsa]

a biztonsági attribútum [Statikus jelszó RAD-ot] az

[Aláíró].

FMT_MSA.1.1/Admin-Reg Change Password

A TSF-nek érvényesítenie kell a [Change-Password

SFP] hogy korlátozza a képességet hogy [módosítsa]

a biztonsági attribútum [Bejelentkezési

jelszóadatot] a [Felhasználó Adminisztrátor,

Eszköz Adminisztrátor].

6.1.5.2.2 Biztonságos biztonsági attribútumok (FMT_MSA.2)

FMT_MSA.2.1/Activation-Password-Data

A TSF-nek gondoskodnia kell arról, hogy csak

biztonságos értékeket fogad el [Aktivációs

Jelszóadatnak].

FMT_MSA.2.1/SCD-Status A TSF-nek gondoskodnia kell arról, hogy csak

biztonságos értékeket fogad el [SCD státusznak].

FMT_MSA.2.1/Static-Password-RAD


biztonságos értékeket fogad el [Statikus jelszó

RAD-nak].

FMT_MSA.2.1/Login-Password-Data


biztonságos értékeket fogad el [Bejelentkezési

jelszóadatnak].



Page 94 of 133

June 2015


FMT_MSA.2.1/Login-Password-Data nem kerül auditálásra az audit naplóba érvényes aláírói

bejelentkezés esetén.

6.1.5.2.3 Statikus attribútum inicializálás (FMT_MSA.3)

FMT_MSA.3.1

A TSF-nek érvényesítenie kell a [Personalization SFP] hogy

[korlátozó] alapértékeket biztosítson a biztonsági attribútumokhoz,

amiket az SFP érvényesítéséhez használnak.

FMT_MSA.3.2

A TSF-nek engednie kell a [felhasználó adminisztrátorokat] hogy

alternatív kezdeti értékeket adjanak meg, hogy felülírják az

alapértékeket, amikor egy objektum információt hoznak létre.


A felhasználó adminisztrátor leírja a szerepkört és vagy egy statikus jelszót vagy egy

aktivációs jelszót az újonnan létrehozott felhasználónak.

6.1.5.3 Visszavonás (FMT_REV)

6.1.5.3.1 Visszavonás (FMT_REV.1)

FMT_REV.1.1/SCD A TSF-nek korlátoznia kell a képességet, hogy visszavonja

az [Aláíróhoz] rendelt [SCD

attribútumokat] a TSF kizárólagos irányításáról az

[Aláíróéra].

FMT_REV.1.2/SCD A TSF-nek érvényesítenie kell a [“SCD műveletiről”

biztonsági attribútum beállítását “igenről” “nemre”

és megsemmisíteni az SCD-t] szabályokat.

FMT_REV.1.1/Sig-User A TSF-nek korlátoznia kell a képességet, hogy visszavonja

az [bármely felhasználói fiókhoz ahol a

Felhasználói_Fiók.Szerepkör=R.Sigy] rendelt [állapot

attribútumokat] a TSF kizárólagos irányításáról a

[Felhasználó Adminisztrátorra].

FMT_REV.1.2/Sig-User A TSF-nek érvényesítenie kell a [Amikor egy felhasználói

fiók visszavonásra kerül az összes hozzá kapcsolt

aláírói kulcsok, tanúsítványok és képek törlésre

kerülnek.] szabályokat.

FMT_REV.1.1/Admin-User A TSF-nek korlátoznia kell a képességet, hogy

visszavonja az [bármely felhasználói fiókhoz ahol

Felhasználói_Fiók.Szerepkör <> R.Sigy] rendelt

[állapot attribútumokat] a TSF kizárólagos

irányításáról az [Felhasználó Adminisztrátoréra].



Page 95 of 133

June 2015

FMT_REV.1.2/Admin-User

A TSF-nek érvényesítenie kell a [Amikor egy felhasználói

fiók visszavonásra kerül az összes hozzá kapcsolt

információ törlődik.] szabályokat.

6.1.5.4 Kezelői funkció specifikációja (FMT_SMF)

6.1.5.4.1 A kezelői funkciók specifikációi (FMT_SMF.1)

FMT_SMF.1.1 A TSF-nek képesnek kell lennie a következő kezelői

funkciók végrehajtására :[

Audit napló letöltése

Új szoftververzió feltöltése. A frissített szoftvert

Common Criteria tanúsítani kell eszerint vagy egy

frissített biztonsági előirányzat szerint.

Alternatív eszközből Elsődleges eszközt

létrehozni.

Új alternatív eszköz telepítése

Megváltoztatni az elsődleges eszköz alternatív

eszköz listáját

REST szerver TLS kulcs feltöltése

Rendszerparaméterek konfigurációja

Felhasználók kezelése (felhasználó létrehozás,

felhasználó frissítés, felhasználói információ

lekérdezés, felhasználó engedélyezése/tiltása és

felhasználó törlése)

TOE lekapcsolása

TOE szoftver újraindítás

TOE hardver újraindítása

].



Page 96 of 133

June 2015

6.1.5.5 Biztonsági kezelő szerepkörök (FMT_SMR)

6.1.5.5.1 Biztonsági szerepkörök (FMT_SMR.1)

FMT_SMR.1.1 A TSF-nek kezelnie kell a [Eszköz Adminisztátor

(R.ApplianceAdmin), Felhasználói Adminisztrátor

(R.UserAdmin), és Aláíró (R.Sigy)].

FMT_SMR.1.2 A TSF-nek képesnek kell lennie a felhasználókat szerepekhez

kapcsolni.

6.1.6 TSF védelme (FPT)

6.1.6.1 TSF fizikai védelme (FPT_PHP)

6.1.6.1.1 Értesítés fizikai támadásról (FPT_PHP.2)

FPT_PHP.2.1 A TSF-nek egyértelmű észlelést kell biztosítania a fizikai

szabotázsról ami kompromittálhatja a TSF-t.

FPT_PHP.2.2 A TSF-nek biztosítania kell a képességet hogy megállapítsa történt-

e fizikai szabotázs a TSF eszközeivel vagy TSF elemeivel.

FPT_PHP.2.3 A [Teljes eszközt], a TSF-nek ellenőriznie kell az eszközöket és

elemeket és értesítenie kell a [Eszköz Adminisztrátort] amikor a

TSF eszközeit vagy a TSF elemeit fizikai szabotázs érte.

6.1.6.1.2 Fizikai támadás ellenállás (FPT_PHP.3)

FPT_PHP.3.1 A TSF [borításának] ellen kell állnia a [eszköz felnyitásának]

automatikus reacióval, amit az SFR mindig érvényesít.

6.1.6.2 Időbélyegek (FPT_STM)

6.1.6.2.1 Megbízható időbélyegek (FPT_STM.1)

FPT_STM.1.1 A TSF-nek képesnek kell lennie megbízható időbélyegek

nyújtására.



Page 97 of 133

June 2015

6.1.6.3 TSF-en belüli TSF adat konzisztencia (FPT_TDC)

6.1.6.3.1 TSF-en belüli alap TSF adat konzisztencia (FPT_TDC.1)

FPT_TDC.1.1/HIGH-AVAILABILITY

A TSF-nek biztosítania kell a képességét, hogy konzisztensen

értelmezze [Felhasználói Fiók információt (beleértve az

Általános attribútumokat, Állapot attribútumokat és

hitelesítési attribútumokat), SCD információt és képeket]

amikor megosztja a TSF és egy másik megbízható IT termék

között.

FPT_TDC.1.2/HIGH-AVAILABILITY

A TSF-nek használnia kell a [Felhasználói fiók adatintegritását]

amikor más megbízható IT termék felől érkező adatot értelmezi a

TSF.

FPT_TDC.1.1/OTP-VAL-CALLBACK

A TSF-nek biztosítania kell a képességet, hogy konzisztensen

értelmezi a [ Próba OTP és OTP eszköz RAD] amikor megosztja

a TSF és egy másik megbízható IT termék között.

FPT_TDC.1.2/ OTP-VAL-CALLBACK

A TSF-nek használnia kell a [kommunikáció adatintegritását]

amikor más megbízható IT termék felől érkező adatot értelmezi a

TSF.


A Radius szerver meghívja a TOE OTP validációs visszahívását a belső OTP ellenőrzéséhez

az OTP eszköz RAD használatával, amit a Radius szerver biztosít. Az interfész a TLS

biztonságos kommunikációra épít, ami magában foglalja az adatintegritási mechanizmust.

6.1.6.4TSF önteszt (FPT_TST)

6.1.6.4.1 TSF tesztelés (FPT_TST.1)

FPT_TST.1.1 A TSF-nek egy csomagnyi öntesztet kell elvégeznie [a kezdeti

indítása alatt] hogy demonstrálja a [TSF] korrekt működését.

FPT_TST.1.2 A TSF-nek a jogos felhasználóknak a [TSF adatok] integritásának

vizsgálatának képességét kell biztosítania.

FPT_TST.1.3 A TSF-nek a jogos felhasználóknak a TSF futtatható állományok

integritásának vizsgálatának képességét kell biztosítania.



Page 98 of 133

June 2015

6.1.6.5TOE kibocsátás (FPT_EMSEC)

6.1.6.5.1 TOE kibocsátás (FPT_EMSEC.1)

FPT_EMSEC.1.1 A TOE nem bocsáthat ki [energiafogyasztási különbségeket,

elektromágneses sugárzást a belső műveletek miatt, és a

belső állapotokról tranzakció időzítéseket] a [legkorszerűbb

határártéket meghaladó értéket azért, hogy a kibocsátás

értelmezhetetlen legyen] hozzáférést lehetővé téve a

[semmihez] és [RAD, SCD].

FPT_EMSEC.1.2 A TSF-nek biztosítania kell hogy [minden felhasználó] képtelen

használni a következő interfészt [Hálózat Interfész] hogy

hozzáférést szerezzen a [semmihez] és [SCD, RAD].

6.1.7 Megbízható útvonal/csatorna (FTP)

6.1.7.1 TSF-en belüli megbízható csatorna (FTP_ITC)

6.1.7.1.1 TSF-en belüli megbízható csatorna (FTP_ITC.1)

FTP_ITC.1.1/CoSign-Client A TSF-nek kommunikációs csatornát kell biztosítania önmaga

és egy másik megbízható IT termék között, ami logikailag

különáll más kommunikációs csatornáktól és biztosított

azonosítást biztosít a végpontjain és védelmet a csatorna

adatának a módosítás és lelepleződés ellen.

FTP_ITC.1.2/CoSign-Client

A TSF-nek engedélyeznie kell [másik megbízható IT

terméket] hogy kommunikációt kezdeményezhessen a

megbízható csatornán keresztül.

FTP_ITC.1.3/CoSign-Client A TSF-nek megbízható csatornán keresztül kell

kommunikációt kezdeményeznie az [összes eszközkezelő

művelethez, felhasználókezelő művelethez].

FTP_ITC.1.1/Pri-Appl-INC-SIGKEY

A TSF-nek kommunikációs csatornát kell biztosítania önmaga

és egy másik megbízható távoli IT termék között,



Page 99 of 133

June 2015

ami logikailag különáll más kommunikációs csatornáktól és

biztosított azonosítást biztosít a végpontjain és védelmet a

csatorna adatának a módosítás és lelepleződés ellen.


A TSF-nek engedlyeznie kell [a TSF-nek] hogy biztonságos

csatornán keresztül kommunikációt kezdeményezzen.


A TSF-nek biztonságos csatornán keresztül kommunikációt

kell kezdeményeznie [az alternatív eszköz felhasználói

információinak frissítése] végett.

FTP_ITC.1.1/Alt-Appl-INC-SIGKEY

A TSF-nek kommunikációs csatornát kell biztosítania önmaga

és egy másik megbízható távoli IT termék között, ami

logikailag különáll más kommunikációs csatornáktól és

biztosított azonosítást biztosít a végpontjain és védelmet a

csatorna adatának a módosítás és lelepleződés ellen.


A TSF-nek engedlyeznie kell [a TSF-nek] hogy biztonságos

csatornán keresztül kommunikációt kezdeményezzen.


A TSF-nek biztonságos csatornán keresztül kommunikációt

kell kezdeményeznie [az Elsődleges eszköz felől érkező

adatok fogadása] végett.

FTP_ITC.1.1/Radius-Server A TSF-nek kommunikációs csatornát kell biztosítania önmaga

és egy másik megbízható IT termék között, ami logikailag

különáll más kommunikációs csatornáktól és biztosított

azonosítást biztosít a végpontjain és védelmet a csatorna

adatának a módosítás és lelepleződés ellen.

FTP_ITC.1.2/Radius-Server A TSF-nek engedlyeznie kell [más megbízható IT terméknek]

hogy biztonságos csatornán keresztül kommunikációt

kezdeményezzen.



Page 100 of 133

June 2015

FTP_ITC.1.3/Radius-Server A TSF-nek megbízható csatornánk keresztül

kommunikációt kell kezdeményeznie [OTP validációs

visszahívás] végett.


A fentebbiek nem kerülnek auditálásra az audit naplóba, mivel a frissítés forrása az

elsődleges eszközben kerül majd naplózásra (például egy fiók létrehozásakor).

FTP_ITC.1/Radius-Server csak a Radius szerver részéről a Radius szerver IP címe

alapján korlátozza a kommunikációt.

6.1.7.2 Megbízható útvonal (FTP_TRP)

6.1.7.2.1 Megbízható útvonal (FTP_TRP.1)

FTP_TRP.1.1 A TSF-nek kommunikációs útvonalat kell biztosítania önmaga és a

[távoli] felhasználók között, ami logikailag különáll más

kommunikációs csatornáktól és biztosított azonosítást biztosít a

végpontjain és védelmet a csatorna adatának a [módosítás és

lelepleződés] ellen.

FTP_TRP.1.2 A TSF-nek engedlyeznie kell [a távoli felhasználóknak] hogy

biztonságos útvonalon keresztül kommunikációt kezdeményezzen.

FTP_TRP.1.3 A TSF-nek elő kell írnia a megbízható útvonal használatát [kezdeti

felhasználó hitelesítéshez, [felhasználói munkamenethet]].

6.2 Biztonsági garancia követelmények

Ezen TOE garanciaszintje EAL4+ AVA_VAN.5.

Garancia osztály Garancia komponensek

ADV: Fejlesztés - ADV_ARC.1 Biztonsági szerkezet leírás

- ADV_FSP.4 Teljes funkcionális specifikáció

- ADV_IMP.1 TSP implementációs értelmezés

- ADV_TDS.3 Alapvető moduláris tervezés



Page 101 of 133

June 2015

AGD: Útmutató dokumentumok - AGD_OPE.1 Műveleti felhasználói útmutató

- AGD_PRE.1 Előkészítő funkciók

ALC: Életciklus támogatás - ALC_CMC.4 Gyártási támogatás,

elfogadási eljárások és automatizálás

- ALC_CMS.4 Problémakövető CM lefedettség

- ALC_DEL.1 Kézbesítő eljárások

- ALC_DVS.1 Biztonsági intézkedések azonosítása

- ALC_LCD.1 Fejlesztő által leírt életciklus modell

- ALC_TAT.1 Jól meghatározott fejlesztői eszközök

ASE: Biztonsági előirányzat kiértékelés - ASE_CCL.1 Megfelelőségi igények

- ASE_ECD.1 Kiterjesztett komponens leírás

- ASE_INT.1 ST bemutatás

- ASE_OBJ.2 Biztonsági célok

- ASE_REQ.2 Származtatott biztonsági követelmények

- ASE_SPD.1 Biztonsági problémaleírás

- ASE_TSS.1 TOE összefoglaló leírás

ATE: Tesztek - ATE_COV.2 Lefedettség elemzése

- ATE_DPT.2 Tesztelés:biztonság érvényesítő modulok

- ATE_IND.2 Független tesztelés - minta

- ATE_FUN.1 Funkcionális tesztelés

AVA: Sérülékenység értékelés - - AVA_VAN.5 Részletes módszertani sebezhetőség-

elemzés

9.Táblázat – Biztosíték követelmények: EAL4+ AVA_VAN.5



Page 102 of 133

June 2015

SFR függőség kielégítő táblázat következik:

Követelmény Függőségek

FAU_GEN.1 - FPT_STM.1

FAU_GEN.2 - FAU_GEN.1

- FIA_UID.1

FCS_CKM.1/SIGNATURE-KEY - FCS_COP.1/CORRESP

- FCS_COP.1/SIGNING

- FCS_CKM.4

FCS_CKM.1/SYMMETRIC-KEY - FCS_COP.1/DATA-INTEG

- FCS_COP.1/AUK-ENCRYPTION

- FCS_CKM.4

FCS_CKM.4 - FCS_CKM.1

- FDP_ITC.2/ HA-ALT-REPL-INC-SIGKEY

FCS_COP.1/CORRESP - FCS_CKM.1/SIGNATURE-KEY

- FCS_CKM.4

FCS_COP.1/SIGNING - FCS_CKM.1/SIGNATURE-KEY

- FCS_CKM.4

FCS_COP.1/DATA-INTEG - FCS_CKM.1/SYMMETRIC-KEY

- FCS_CKM.4

FCS_COP.1/AUK-ENCRYPTION - FCS_CKM.1/SYMMETRIC-KEY

- FCS_CKM.4

FCS_COP.1/KEY-ENCRYPTION - FCS_CKM.1/SYMMETRIC-KEY

- FCS_CKM.4

FDP_ACC.1/Personalisation SFP - FDP_ACF.1/Personalisation SFP

FDP_ACC.1/Activation SFP - FDP_ACF.1/Activation SFP

FDP_ACC.1/SCD-GEN SFP - FDP_ACF.1/SCD-GEN SFP

FDP_ACC.1/Cert-IMP SFP - FDP_ACF.1/Cert-IMP SFP

FDP_ACC.1/Signature-Creation SFP - FDP_ACF.1/Signature-Creation SFP

FDP_ACC.1/SVD-Transfer SFP - FDP_ACF.1/SVD-Transfer SFP

FDP_ACC.1/Unlock-User SFP - FDP_ACF.1/Unlock-User SFP

FDP_ACC.1/Enable-User SFP - FDP_ACF.1/Enable-User SFP

FDP_ACC.1/Disable-User SFP - FDP_ACF.1/Disable-User SFP

FDP_ACC.1/Export-Certs SFP - FDP_ACF.1/Export-Certs SFP

FDP_ACC.1/Export-Gr-Imgs SFP - FDP_ACF.1/Export-Gr-Imgs SFP

FDP_ACC.1/Import-Gr-Img SFP - FDP_ACF.1/Import-Gr-Img SFP

FDP_ACC.1/Revoke-User SFP - FDP_ACF.1/Revoke-User SFP

FDP_ACC.1/Appliance-Admin SFP - FDP_ACF.1/Appliance-Admin SFP

FDP_ACC.1/Change-Password SFP - FDP_ACF.1/Change-Password SFP

FDP_ACC.1/Revoke-SCD SFP - FDP_ACF.1/Revoke-SCD SFP

FDP_ACF.1/Personalisation SFP - FDP_ACC.1/Personalisation

- FMT_MSA.3

FDP_ACF.1/Activation SFP - FDP_ACC.1/Activation

- FMT_MSA.3



Page 103 of 133

June 2015


FDP_ACF.1/SCD-GEN SFP - FDP_ACC.1/SCD-GEN

- FMT_MSA.3

FDP_ACF.1/Cert-IMP SFP - FDP_ACC.1/Cert-IMP

- FMT_MSA.3

FDP_ACF.1/Signature-Creation SFP - FDP_ACC.1/Signature-Creation

- FMT_MSA.3

FDP_ACF.1/SVD-Transfer SFP - FDP_ACC.1/SVD-Transfer

- FMT_MSA.3

FDP_ACF.1/Unlock-User SFP - FDP_ACC.1/Unlock-User SFP

- FMT_MSA.3

FDP_ACF.1/Enable-User SFP - FDP_ACC.1/Enable-User SFP

- FMT_MSA.3

FDP_ACF.1/Disable-User SFP - FDP_ACC.1/Disable-User SFP

- FMT_MSA.3

FDP_ACF.1/Export-Certs SFP - FDP_ACC.1/Export-Certs SFP

- FMT_MSA.3

FDP_ACF.1/Export-Gr-Imgs SFP - FDP_ACC.1/Export-Gr-Imgs SFP

- FMT_MSA.3

FDP_ACF.1/Import-Gr-Img SFP - FDP_ACC.1/Import-Gr-Img SFP

- FMT_MSA.3

FDP_ACF.1/Revoke-User SFP - FDP_ACC.1/Revoke-User SFP

- FMT_MSA.3

FDP_ACF.1/Appliance-Admin SFP - FDP_ACC.1/Appliance-Admin SFP

- FMT_MSA.3

FDP_ACF.1/Change-Password SFP - FDP_ACC.1/Change-Password SFP

- FMT_MSA.3

FDP_ACF.1/Revoke-SCD SFP - FDP_ACC.1/Revoke-SCD SFP

- FMT_MSA.3

FDP_ETC.1/SVD Transfer - FDP_ACC.1/SVD-Transfer SFP

FDP_ETC.1/Export-Certs - FDP_ACC.1/Export-Certs SFP

FDP_ETC.1/Export-Gr-Imgs - FDP_ACC.1/Export-Gr-Imgs SFP

FDP_ETC.2 - FDP_IFC.1/HA-PRI-REPL-NO-SIGKEY SFP

FDP_IFC.1/HA-PRI-REPL-INC-

SIGKEY SFP

- FDP_IFF.1/HA-PRI-REPL-INC-SIGKEY SFP

FDP_IFC.1/HA-ALT-REPL-INC-

SIGKEY SFP

- FDP_IFF.1/HA-ALT-REPL-INC-SIGKEY SFP

FDP_IFC.1/OTP-VAL-CALLBACK

SFP

- FDP_IFF.1/OTP-VAL-CALLBACK SFP

FDP_IFF.1/HA-PRI-REPL-INC-

SIGKEY SFP - FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP

- FMT_MSA.3

FDP_IFF.1/HA-ALT-REPL-INC-

SIGKEY SFP - FDP_IFC.1/HA-ALT-REPL-INC-SIGKEY SFP

- FMT_MSA.3

FDP_IFF.1/OTP-VAL-CALLBACK

SFP - FDP_IFC.1/OTP-VAL-CALLBACK SFP

- FMT_MSA.3



Page 104 of 133

June 2015


FDP_ITC.1/TOE-DTBS/R - FDP_ACC.1/Signature-Creation SFP

- FMT_MSA.3

FDP_ITC.1/GRIMG - FDP_ACC.1/Import-Gr-Img SFP

- FMT_MSA.3

FDP_ITC.1/CERTIFICATE - FDP_ACC.1/Cert-IMP SFP

- FMT_MSA.3

FDP_ITC.2/ HA-ALT-REPL-INC-

SIGKEY - FDP_IFC.1/HA-ALT-REPL-INC-SIGKEY SFP

- FTP_ITC.1/Alt-Appl-INC-SIGKEY

- FPT_TDC.1/HIGH-AVAILABILITY

FDP_ITC.2/ OTP-VAL-CALLBACK - FDP_IFC.1/OTP-VAL-CALLBACK SFP

- FTP_ITC.1/Radius-Server

- FPT_TDC.1/OTP-VAL-CALLBACK

FDP_SDI.2 -

FDP_UCT.1/TOE-PRI-REPL-CONF-

INC-SIGKEY - FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP

- FTP_ITC.1/Pri-Appl-INC-SIGKEY


FDP_UCT.1/TOE-ALT-REPL-CONF-

INC-SIGKEY - FDP_IFC.1/HA-ALT-REPL-INC-SIGKEY SFP

- FTP_ITC.1/Pri-Appl-INC-SIGKEY


FDP_UIT.1/SVD-Transfer - FDP_ACC.1/SVD-Transfer SFP

- FTP_ITC.1/CoSign-Client

FDP_UIT.1/TOE-DTBS/R - FDP_ACC.1/Signature-Creation SFP

- FTP_ITC.1/CoSign Client

FDP_UIT.1/TOE-ALT-REPL-INC-

SIGKEY - FDP_IFC.1/HA-ALT-REPL-INC-SIGKEY SFP


FIA_AFL.1 - FIA_UAU.1

FIA_ATD.1 -

FIA_UAU.1 - FIA_UID.1

FIA_UAU.5 -

FIA_UID.1 -

FMT_MOF.1 - FMT_SMR.1

- FMT_SMF.1

FMT_MSA.1/Users-Administrator - FDP_ACC.1/Personalisation SFP

- FMT_SMR.1

- FMT_SMF.1

FMT_MSA.1/Signatory - FDP_ACC.1/Signature-Creation SFP

- FMT_SMR.1

- FMT_SMF.1

FMT_MSA.1/Signatory-SCD-GEN - FDP_ACC.1/SCD-GEN SFP

- FMT_SMR.1

- FMT_SMF.1

FMT_MSA.1/Signatory-SCD-

DISABLE - FDP_ACC.1/Revoke-SCD SFP

- FMT_SMR.1

- FMT_SMF.1



Page 105 of 133

June 2015


FMT_MSA.1/Signatory-SCD-NO-

REVERT - FDP_ACC.1/Revoke-SCD SFP

- FMT_SMR.1

- FMT_SMF.1

FMT_MSA.1/Signatory-CERT-IMP - FDP_ACC.1/Cert-IMP SFP

- FMT_SMR.1

- FMT_SMF.1

FMT_MSA.1/Signatory-Change

Password - FMT_SMR.1

- FMT_SMF.1

- FDP_ACC.1/Change-Password SFP

FMT_MSA.1/Admin-Change-

Password - FMT_SMR.1

- FMT_SMF.1


FMT_MSA.2/Activation-Password-

Data - FDP_ACC.1/Personalisation SFP

- FDP_ACC.1/Activation SFP

- FMT_MSA.1/Users-Administrator

- FMT_SMR.1

FMT_MSA.2/SCD-Status - FDP_ACC.1/SCD-GEN SFP

- FDP_ACC.1/Cert-IMP SFP

- FMT_MSA.1/Signatory-SCD-GEN

- FMT_MSA.1/Signatory-SCD-DISABLE

- FMT_MSA.1/Signatory-SCD-NO-REVERT

- FMT_SMR.1

FMT_MSA.2/Static-Password-RAD - FDP_ACC.1/Activation SFP


- FMT_MSA.1/Signatory-Change-Password

- FMT_SMR.1

FMT_MSA.2/Login-Password-Data - FDP_ACC.1/Personalisation SFP


- FMT_MSA.1/Admin-Change-Password

- FMT_SMR.1

FMT_MSA.3 - FMT_MSA.1/Users-Administrator

- FMT_SMR.1

FMT_REV.1/SCD - FMT_SMR.1

FMT_REV.1/User - FMT_SMR.1

FMT_SMF.1 -

FMT_SMR.1 - FIA_UID.1

FPT_PHP.2 - FMT_MOF.1

FPT_PHP.3 -

FPT_STM.1 -

FPT_TDC.1/HIGH-AVAILABILITY -

FPT_TDC.1/OTP-VAL-CALLBACK -

FPT_TST.1 -

FPT_EMSEC.1 -

FTP_ITC.1/CoSign-Client -



Page 106 of 133

June 2015


FTP_ITC.1/Pri-Appl-INC-SIGKEY -

FTP_ITC.1/Alt-Appl-INC-SIGKEY -

FTP_ITC.1/Radius-Server -

FTP_TRP.1 -

10.Táblázat - SFR függőség kielégítő táblázat



Page 107 of 133

June 2015

6.3 Biztonsági követelmények indoklása

6.3.1 Biztonsági követelmény lefedettség

A következő táblázat a TOE számára a Biztonsági Funkcionális Követelmények és a biztonsági

célkitűzések közötti nyomkövetést adja.

TOE SFR / TOE Biztonsági célkitűzések O

T.E

MS

EC

_D

esig

n

OT

.Lif

ecycle

_S

ecu

rit

y

OT

.SC

D_

Se

cre

cy

OT

.SC

D_

SV

D_

Co

rresp

OT

.Ta

mp

er_

ID

OT

.Ta

mp

er_

Resis

tan

ce

OT

.SC

D/

SV

D_

Ge

n

OT

.SC

D_

Un

iqu

e

OT

.DT

BS

_In

teg

rit

y_

TO

E

OT

.Sig

y_

Sig

F

OT

.Sig

_S

ecu

re

OT

.Sig

nato

ry_

Au

th

OT

.Ad

min

Au

th

OT

.Acco

un

t_S

ep

arati

on

OT

.Acco

un

t_A

cti

vati

on

OT

.UserA

cco

un

tData

Pro

tec

OT

.Ke

ys&

Se

cretD

ata_

Ge

n

FAU_GEN.1 X

FAU_GEN.2 X

FCS_CKM.1/SIGNATURE-KEY X X X X

FCS_CKM.1/SYMMETRIC-KEY X X X X

FCS_CKM.4 X X

FCS_COP.1/CORRESP X

FCS_COP.1/SIGNING X

FCS_COP.1/DATA-INTEG X

FCS_COP.1/AUK-ENCRYPTION X

FCS_COP.1/KEY-ENCRYPTION X X

FDP_ACC.1/Personalisation SFP X X X X

FDP_ACC.1/Activation SFP X X X X X

FDP_ACC.1/SCD-GEN SFP X X X X X FDP_ACC.1/Cert-IMP SFP X X X X FDP_ACC.1/Signature-Creation SFP X X X X X FDP_ACC.1/SVD-Transfer SFP X X X X FDP_ACC.1/Unlock-User SFP X X FDP_ACC.1/Enable-User SFP X X FDP_ACC.1/DIsable-User SFP X X FDP_ACC.1/Export-Certs SFP X FDP_ACC.1/Export-Gr-Imgs SFP X FDP_ACC.1/Import-Gr-Img SFP X FDP_ACC.1/Revoke-User SFP X X FDP_ACC.1/Appliance-Admin SFP X X FDP_ACC.1/Change-Password SFP X X FDP_ACC.1/Revoke-SCD SFP X X X X FDP_ACF.1/Personalisation SFP X X X X FDP_ACF.1/Activation SFP X X X X X



Page 108 of 133

June 2015

TOE SFR / TOE Biztonsági célkitűzések

OT

.EM

SE

C_

Desig

n

OT

.Lif

ecycle

_S

ecu

rit

y

OT

.SC

D_

Se

cre

cy

OT

.SC

D_

SV

D_

Co

rresp

OT

.Ta

mp

er_

ID

OT

.Tam

pe

r_

Resis

tan

ce

OT

.SC

D/

SV

D_

Gen

OT

.SC

D_

Un

iqu

e

OT

.DT

BS

_In

teg

rit

y_

TO

E

OT

.Sig

y_

Sig

F

OT

.Sig

_S

ecu

re

OT

.Sig

nato

ry_

Au

th

OT

.Ad

min

Au

th

OT

.Acco

un

t_S

ep

arati

on

OT

.Acco

un

t_

Acti

vati

on

OT

.UserA

cco

un

tData

Pro

tec

OT

.Keys&

Se

cretD

ata

_G

en

FDP_ACF.1/SCD-GEN SFP X X X X X FDP_ACF.1/Cert-IMP SFP X X X FDP_ACF.1/Signature-Creation SFP X X X X X FDP_ACF.1/SVD-Transfer SFP X X X FDP_ACF.1/Unlock-User SFP X X FDP_ACF.1/Enable-User SFP X X FDP_ACF.1/Disable-User SFP X X FDP_ACF.1/Export-Certs SFP X FDP_ACF.1/Export-Gr-Imgs SFP X FDP_ACF.1/Import-Gr-Img SFP X FDP_ACF.1/Revoke-User SFP X X FDP_ACF.1/Appliance-Admin SFP X FDP_ACF.1/Change-Password SFP X X FDP_ACF.1/Revoke-SCD SFP X X X X FDP_ETC.1/SVD Transfer SFP X FDP_ETC.1/Export-Certs X FDP_ETC.1/Export-Gr-Imgs X FDP_ETC.2 X X X X X FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP X X X X X FDP_IFC.1/HA-ALT-REPL-INC-SIGKEY SFP X X X X X FDP_IFC.1/OTP-VAL-CALLBACK SFP X FDP_IFF.1/HA-PRI-REPL-INC-SIGKEY SFP X X X X X FDP_IFF.1/HA-ALT-REPL-INC-SIGKEY SFP X X X X X FDP_IFF.1/OTP-VAL-CALLBACK X FDP_ITC.1/TOE-DTBS/R X X FDP_ITC.1/GRIMG X FDP_ITC.1/CERTIFICATE X FDP_ITC.2/ HA-ALT-REPL-INC-SIGKEY X X X X X FDP_SDI.2 X X X X X FDP_UCT.1/TOE-PRI-REPL-CONF-INC-

SIGKEY X X X X X

FDP_UCT.1/TOE-ALT-REPL-CONF-INC-

SIGKEY X X X X X

FDP_UIT.1/SVD-Transfer X FDP_UIT.1/TOE-DTBS/R X X FDP_UIT.1/TOE-ALT-REPL-INC-SIGKEY X X X X X FIA_AFL.1 X X X FIA_ATD.1 X X X FIA_UAU.1 X X X FIA_UAU.5 X X X X X FIA_UID.1 X X X X X FMT_MOF.1 X X X X FMT_MSA.1/Users-Administrator X X X FMT_MSA.1/Signatory X X X



Page 109 of 133

June 2015

TOE SFR / TOE Biztonsági célkitűzések

OT

.EM

SE

C_

Desig

n

OT

.Lif

ecycle

_S

ecu

rit

y

OT

.SC

D_

Se

cre

cy

OT

.SC

D_

SV

D_

Co

rresp

OT

.Ta

mp

er_

ID

OT

.Tam

pe

r_

Resis

tan

ce

OT

.SC

D/

SV

D_

Gen

OT

.SC

D_

Un

iqu

e

OT

.DT

BS

_In

teg

rit

y_

TO

E

OT

.Sig

y_

Sig

F

OT

.Sig

_S

ecu

re

OT

.Sig

nato

ry_

Au

th

OT

.Ad

min

Au

th

OT

.Acco

un

t_S

ep

arati

on

OT

.Acco

un

t_

Acti

vati

on

OT

.UserA

cco

un

tData

Pro

tec

OT

.Keys&

Se

cretD

ata

_G

en

FMT_MSA.1/Signatory-SCD-GEN X X X X FMT_MSA.1/Signatory-SCD-DISABLE X X X X FMT_MSA.1/Signatory-SCD-NO-REVERT X X X X FMT_MSA.1/Signatory-CERT-IMP X X X FMT_MSA.1/Signatory-Change- Password X X X FMT_MSA.1/Admin-Change-Password X FMT_MSA.2/Activation-Password-Data X X X X FMT_MSA.2/SCD-Status X X X FMT_MSA.2/Static-Password-RAD X X X FMT_MSA.2/Login-Password-Data X X X FMT_MSA.3 X X FMT_REV.1/SCD X X FMT_REV.1/User X FMT_SMF.1 X X FMT_SMR.1 X X X X FPT_PHP.2 X X

FPT_PHP.3 X X X

FPT_STM.1 X FPT_TDC.1/HIGH-AVAILABILITY X X X X X FPT_TDC.1/OTP-VAL-CALLBACK X FPT_TST.1 X X X FPT_EMSEC.1 X X FTP_ITC.1/CoSign-Client X FTP_ITC.1/Pri-Appl-INC-SIGKEY X X X X X FTP_ITC.1/Alt-Appl-INC-SIGKEY X X X X X FTP_ITC.1/Radius-Server X FTP_TRP.1 X X X

11.Táblázat– Biztonsági Követelmények és TOE Biztonsági Célkitűzések megfeleltetése



Page 110 of 133

June 2015

6.3.2 Biztonsági Követelmények nyomkövetés indokolás

A következő rész indoklást nyújt a fentebbi megfeleltetéshez.

OT.EMSEC_Design (Fizikai kibocsátás biztonságot nyújt) lefedi, hogy

semmilyen értelmezhető információ ne kerüljön kibocsátásra. Ezt az

FPT_EMSEC.1 nyújtja.

OT.Lifecycle_Security (Életciklus biztonság). Az FPT_TST.1 teszt funkciók

hibadetektálást nyújtanak a teljes életciklus alatt.

SCD/SVD létrehozó FCS_CKM.1/SIGNATURE-KEY, SCD használó

FCS_COP.1/SIGNING, SCD megsemmisítő FCS_CKM.4 és FMT_REV.1/SCD a

kriptográfiailag biztonságos SCD életciklusát biztosítja.

FDP_ACC.1/Pesonalization SFP, FDP_ACF.1/Pesonalization SFP,

FDP_ACC.1/Activation SFP, FDP_ACF.1/Activation SFP, FDP_ACC.1/SCD- GEN

SFP, FDP_ACF.1/SCD-GEN SFP, FDP_ACC.1/SVD-Transfer SFP,

FDP_ACF.1/SVD-Transfer SFP, FDP_ACC.1/Cert-IMP SFP, FDP_ACF.1/Cert- IMP

SFP is életciklus biztonságot nyújt akár az SCD, akár a felhasználói fiók részére.

Az SCD biztosított hozzáférés-szabályozás által FDP_ACC.1/Signature-creation

SFP, FDP_ACF.1/Signature-creation SFP ami a biztonsági attribútum biztonságos

TSF kezelésen alapul az FMT_MOF.1, FMT_MSA.1/Users-Administrator,

FMT_MSA.1/Signatory, FMT_MSA.1/Signatory-SCD-GEN, FDP_ACC.1/Revoke-

SCD SFP, FDP_ACF.1/Revoke-SCD SFP, FMT_MSA.1/Signatory-SCD-DISABLE,

FMT_MSA.1/Signatory-SCD-NO-REVERT, FMT_MSA.1/Signatory-CERT-IMP,

FMT_MSA.2/Activation-Password-Data, FMT_MSA.2/SCD-STATUS,

FMT_MSA.2/Static-Password-RAD, FMT_MSA.2/Static-Password-Data,

FMT_MSA.3, FMT_SMF.1 és FMT_SMR.1 szerint.

FDP_ACC.1/Revoke-User SFP, FDP_ACF.1/Revoke-User SFP, and

FMT_REV.1/User a felhasználói fiók és a felhasználói összes SCD visszavonását

biztosítja.

FDP_ACC.1/Unlock-User SFP, FDP_ACF.1/Unlock-User SFP, FDP_ACC.1/Enable-

User SFP, FDP_ACF.1/Enable-User SFP, FDP_ACC.1/Disable-User SFP,

FDP_ACF.1/Disable-User SFP, letiltja a felhasználót bármilyen művelet

elvégzéséről amíg az adminisztrátor úgy nem dönt, hogy engedi a felhasználót új

aláíró kulcs feltöltése nélkül.

FAU_GEN.1, FAU_GEN.2 és FPT_STM.1 bármilyen, biztonsággal kapcsolatos

problémát jelent.

OT.SCD_Secrecy (Aláírás-létrehozó adat titkossága). OT.SCD_Secrecy a

FDP_ACC.1/SCD-GEN SFP és FDP_ACF.1/SCD-GEN SFP által definiált biztonsági

funkciók által van biztosítva, tami biztosítja, hogy csak jogosult felhasználó

tudjon SCD-t létrehozni. FCS_CKM.1/SYMMETRIC-KEY, FCS_COP.1/AUK-

ENCRYPTION és FCS_COP.1/KEY-ENCRYPTION biztosítja, hogy az SCD titkosítva

kerül tárolásra a belső merevlemezen egy olyan titkosító kulcs használatával,

ami a Kritikus kulcs titkosító kulcs és az aláíró statikus jelszavának

kombinációja.



Page 111 of 133

June 2015

A hitelesítő és hozzáférés kezelő funkciókat a FMT_MOF.1,

FMT_MSA.1(FMT_MSA.1/Signatory-SCD-GEN, FDP_ACC.1/Revoke-SCD SFP,

FDP_ACF.1/Revoke-SCD SFP, FMT_MSA.1/Signatory-SCD-DISABLE,

FMT_MSA.1/Signatory-SCD-NO-REVERT), FMT_MSA.2(FMT_MSA.2/SCD-

Status), FMT_MSA.3 és FMT_SMR.1 íja le, biztosítva, hogy csak az aláíró legyen

képes az SCD haználatára így elkerülhető, hogy egy támadó információt

szerezzen róla. A biztonsági funkciókat, amiket a by FMT_REV.1/SCD és

FCS_CKM.4 ír le, biztosítja, hogy az SCD maradvány információi is

megsemmisítésre kerülnek miután az SCD-t aláírás létrehozáshoz használták és

az SCD megsemmisítése ne hagyjon maradvány információt.

Kriptográfiai minősége az SCD/SVD párnak meg kell, hogy előzze az SCD

kriptográfiai támadás általi közzétételét a nyilvános SVD használatával.

Amikor az SCD információt átküldik, a következő SFR-ek biztosítják az SCD

titkosságát: FDP_ETC.2, FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP,

FDP_IFC.1/HA-ALT-REPL-INC-SIGKEY SFP, FDP_IFF.1/HA-PRI-REPL-INC- SIGKEY

SFP, FDP_IFF.1/HA-ALT-REPL-INC-SIGKEY SFP, FDP_ITC.2/HA- ALT-REPL-INC-

SIGKEY, FDP_UCT.1/TOE-PRI-REPL-CONF-INC-SIGKEY, FDP_UCT.1/TOE-ALT-

REPL-CONF-INC-SIGKEY, FDP_UIT.1/TOE-ALT-REPL- INC-SIGKEY,

FPT_TDC.1/HIGH-AVAILABILITY, FTP_ITC.1/Pri-Appl-INC-

SIGKEY, FTP_ITC.1/Alt-Appl-INC-SIGKEY. FDP_SDI.2 gondoskodik arról, hogy

biztonsággal kapcsolatos információt leellenőrzi egy adatintegtitási

tulajdonságához képest mielőtt használja azt.

Csak megfelelő többfaktoros FIA_UAU.5 alapú hitelesítést követően tudja az

aláíró visszafejteni az SCD-t és elektronikus aláírás műveletet elvégezni. Az SCD

egy speciális AUK hazsnálatával lett titkosítva, ami egy globális titkos főkulcs és

az aláíró statikus jelszava alapján lett titkosítva.

FMT_MSA.1/Signatory-Change-Password újratitkosítja az AUK-ot, így hatással van

az SCD titkosságára. FPT_TST.1 leteszteli a TOE. SFR FPT_EMSEC.1 és FPT_PHP.3

munkakörülményeit és előír további biztonsági funkciókat, a TOE. SFR

FPT_EMSEC.1 and FPT_PHP.3 előír további biztonsági funkciókat a TOE részére

hogy biztosítsa az SCD bizalmasságot.

OT.SCD_SVD_Corresp (Kapcsolat az SVD és SCD között) megcélozza, hogy

az SVD kapcsolódik az SCD-hez, amit a TOE implementál. A kapcsolódó SVD/SCD

párok létrehozását FCS_CKM.1/SIGNATURE-KEY által meghatározott algoritmus

biztosítja. A kriptográfiai kapcsolatot a FCS_COP.1/CORRESP biztosítja.

SCD információ átvitelekor az SCD titkosságát a következő SFR-ek biztosítják:

FDP_ETC.2, FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP, FDP_IFC.1/HA-ALT-REPL-

INC-SIGKEY SFP, FDP_IFF.1/HA-PRI-REPL-INC- SIGKEY SFP, FDP_IFF.1/HA-ALT-

REPL-INC-SIGKEY SFP, FDP_ITC.2/ HA- ALT-REPL-INC-SIGKEY, FDP_UCT.1/TOE-

PRI-REPL-CONF-INC-SIGKEY, FDP_UCT.1/TOE-ALT-REPL-CONF-INC-SIGKEY,

FDP_UIT.1/TOE-ALT-REPL-INC-SIGKEY FPT_TDC.1/HIGH-AVAILABILITY,

FTP_ITC.1/Pri-Appl-INC- SIGKEY, FTP_ITC.1/Alt-Appl-INC-SIGKEY.

FDP_SDI.2 gondoskodik arról, hogy biztonsággal kapcsolatos információt

leellenőrzi egy adatintegtitási tulajdonságához képest mielőtt használja azt.



Page 112 of 133

June 2015

OT.Tamper_ID (Szabotázs érzékelés) FPT_PHP.2 biztosítja fizikai támadások

passzív érzékelésének eszközeivel.

OT.Tamper_Resistance (Szabotázs ellenállás) FPT_PHP.3 nyújtja, hogy

fizikai támadásnak ellenálljon.

OT.SCD/SVD_Gen (SCD/SVD létrehozás) megcélozza, hogy az SCD/SVD pár

létrehozása megfelelő felhasználói hitelesítést igényel.

FDP_ACC.1/Personalisation SFP, FDP_ACC.1/Activation SFP,

FDP_ACF.1/Personalisation SFP and FDP_ACF.1/Activation SFP biztosítja, hogy az

aláíró csak akkor tudjon új SCD-t létrehozni, ha a fiók megfelelően beállított és

aktivált.

Az SFR FDP_ACC.1/SCD-GEN SFP és FDP_ACF.1/SCD-GEN SFP hosszáférés-

szabályozást biztosít az SCD/SVD létrehozáshoz.

FIA_ATD.1 a RAD-ot mint kapcsolódó felhasználói attribútum írja le. Az

FIA_UID.1, FIA_UAU.1 és FIA_UAU.5 által specifikált TSF felhasználói

azonosítást biztosít és felhasználói hitelesítést a jogosultságot igénylő funkciók

engedélyezése előtt.

A hitelesített felhasználók attribútumait a FMT_MSA.2/Activation- Password-Data,

FMT_MSA.2/Static-Password-RAD, FMT_MSA.2/Login- Password-Data,

FMT_MSA.1/Users-Administrator és FMT_MSA.3 nyújtja vagy a statikus

attribútum inicializáció.

Az erőfeszítést, hogy megkerülje a hozzáférés-szabályozást egy frontális

kimerítő támadással a FIA_AFL.1 által kerül blokkolásra.

OT.SCD_Unique (Aláírás-létrehozó adat egyedisége) implementálja a

gyakorlatilag egyedi SCD-t, ahogy az a Direktíva [1] 3. Mellékletének 1 (a)

cikkében szerepel, amit a FCS_CKM.1/SIGNATURE-KEY által leírt kriptográfiai

algoritmusok nyújtanak.

OT.DTBS_Integrity_TOE (DTBS/R verifikáció) lefedi, hogy a DTBS/R

integritását nem módosítja a TOE. Ezt a megbízható csatorna integritását

ellenőrző mechanizmusok biztosítják: FDP_ITC.1/TOE-DTBS/R, FTP_ITC.1/CoSign-

Client, és a FDP_UIT.1/TOE-DTBS/R. A FDP_ACC.1/Signature-Creation SFP és

FDP_ACF.1/Signature-Creation SFP hozzáférés-szabályozás követelményei a

jogosulatlan feleket visszatartják a DTBS/R megváltoztatásától.

OT.Sigy_SigF (Csak a jogosult aláíró számára aláírás létrehozó funkció)

a FIA_UAU.5 és FIA_UID.1 biztosítja, ami gondoskodik arról, hogy semmilyen

létrehozó funkciót ne lehessen meghívni mielőtt az aláíró azonosított és

hitelesített.



Page 113 of 133

June 2015

Az FDP_ACC.1/Personalisation SFP , FDP_ACC.1/Activation SFP, FDP_ACC.1/SCD-

GEN SFP, FDP_ACC.1/SVD-

Transfer SFP, FDP_ACC.1/Cert-IMP SFP, FDP_ACC.1/Signature-Creation SFP,

FDP_ACF.1/Personalisation SFP, FDP_ACF.1/Activation SFP, FDP_ACF.1/SCD-GEN

SFP, FDP_ACF.1/SVD-Transfer SFP ,

FDP_ACF.1/Cert-IMP SFP , FDP_ACF.1/Signature-Creation SFP, FMT_SMR.1

által biztosított biztonsági funkciók gondoskodnak arról, hogy az aláíró folyamat

azaláíróra van korlátozva.

A FIA_ATD.1, FMT_MOF.1, FMT_MSA.2 és FMT_MSA.3 által biztosított biztonsági

funkciók gondoskodnak arról, az aláírás létrehozó funkciókhoz való hozzáférés az

aláíró kizárólagos irányítása alatt marad, akár csak a FMT_MSA.1/Signatory,

FMT_MSA.1/Signatory-SCD-GEN, FDP_ACC.1/Revoke-SCD SFP, FDP_ACF.1/Revoke-

SCD SFP , FMT_MSA.1/Signatory-SCD-DISABLE, FMT_MSA.1/Signatory-SCD-NO-

REVERT, FMT_MSA.1/Signatory-CERT-IMP biztosítja, hogy a kapcsolódó Biztonsági

attribútumok irányítása az aláíró irányítása alatt áll.

Amikor SCD információt visznek át, a következő SFR-ek biztosítják az SCD

titkosságát; FDP_ETC.2, FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP, FDP_IFC.1/HA-

ALT-REPL-INC-SIGKEY SFP, FDP_IFF.1/HA-PRI-REPL-INC- SIGKEY SFP,

FDP_IFF.1/HA-ALT-REPL-INC-SIGKEY SFP, FDP_ITC.2/ HA- ALT-REPL-INC-SIGKEY,

FDP_UCT.1/TOE-PRI-REPL-CONF-INC-SIGKEY, FDP_UCT.1/TOE-ALT-REPL-CONF-

INC-SIGKEY, FDP_UIT.1/TOE-ALT-REPL- INC-SIGKEY, FPT_TDC.1/HIGH-

AVAILABILITY, FTP_ITC.1/Pri-Appl-INC- SIGKEY, FTP_ITC.1/Alt-Appl-INC-SIGKEY.

FDP_SDI.2 gondoskodik arról, hogy biztonsággal kapcsolatos információt leellenőrzi

egy adatintegtitási tulajdonságához képest mielőtt használja azt. A FIA_AFL.1 által

leírt biztonsági funkciók biztosítják a védelemet számos támadással szemben, mint

például a maradvány információ kriptográfiai kinyerése, vagy a hitelesítés elleni

nyers erő támadás.

OT.Sig_Secure (Az elektronikus aláírás kriptográfiai biztonsága) biztosított a

FCS_COP.1/SIGNING által leírt algoritmusok által, ami biztosítja a kriptográfiai

erősségét az aláírói algoritmusoknak. A FPT_TST.1 által leírt biztonsági funkciók

gondoskodnak arról, hogy a biztonsági funkciók megfelelően teljesítenek.

Amikor SCD-t visznek át, a következő SFR-ek gondoskodnak az SCD titkosságáról:

FDP_ETC.2, FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP, FDP_IFC.1/HA-ALT-REPL-

INC-SIGKEY SFP, FDP_IFF.1/HA-PRI-REPL-INC- SIGKEY SFP, FDP_IFF.1/HA-ALT-

REPL-INC-SIGKEY SFP, FDP_ITC.2/ HA- ALT-REPL-INC-SIGKEY, FDP_UCT.1/TOE-PRI-

REPL-CONF-INC-SIGKEY,



Page 114 of 133

June 2015

FDP_UCT.1/TOE-ALT-REPL-CONF-INC-SIGKEY, FDP_UIT.1/TOE-ALT-REPL- INC-

SIGKEY, FPT_TDC.1/HIGH-AVAILABILITY, FTP_ITC.1/Pri-Appl-INC- SIGKEY,

FTP_ITC.1/Alt-Appl-INC-SIGKEY.

FDP_ACC.1/Signature-Creation SFP és FDP_ACF.1/Signature-Creation SFP

gondoskodik arról, hogy a fiók és az SCD integritását kezelték az aláírói művelet

előtt.



OT.Signatory_Auth (Többfaktoros hitelesítésen alapuló felhasználói hitelesítés) a

FIA_UAU.5 és FIA_UID.1 biztosítja. Kötelező, hogy bármilyen elektronikus aláírás

művelet előtt megadja minde a statikus jelszót, mind az OTP-t.

FDP_ACC.1/Change-Password SFP és FDP_ACF.1/Change-Password SFP

lehetővé teszi az Aláíró számára, hogy megváltoztassa a statikus jelszavát.

A kliens alkalmazástól a megbízható útvonalat a FTP_TRP.1 biztosítja.

A statikus jelszó a TOE-n belül kerül validációra.

A TOE a Radius szervert hívja majd a Radius protokoll segítségével.

A Radius szerver visszahívja az eszközt az OTP ellenőrzés céljából. A visszahívás

biztonságát és integritását a FTP_ITC.1/Radius- Server, FDP_IFC.1/OTP-VAL-

CALLBACK SFP, FDP_IFF.1/OTP-VAL- CALLBACK SFP, FDP_ITC.2/OTP-VAL-

CALLBACK, FTP_ITC.1/Radius-Server and FPT_TDC.1/OTP-VAL-CALLBACK

biztosítja.

Az OTP ellenőrzés mindig az eredeti OTP értéket használja és nem pedig azt, ami a

Radius szervertől visszahívásként érkezik.

Csak sikeres OTP ellenőrzés után lehet elvégezni az elektronikus aláírás műveletet.

OT.Admin_Auth (Bármilyen művelet előtti adminisztrátori hitelesítés) a

FIA_UAU.1 és FIA.UID.1 biztosítja. Csak megfelelő hitelesítés után haladhat

tovább az adminisztrátor, és végezheti el a kezelési műveletet.

Eszköz adminisztrátorokat is hitelesít, mielőtt bármilyen eszközzel kapcsolatos

műveletet végeznének és a hozzáférési jogaikat a FDP_ACC.1/Appliance-Admin

SFP és FDP_ACF.1/Appliance-Admin SFP

méri, és a FDP_ACC.1/Change-Password SFP és FDP_ACF.1/Change-Password SFP

lehetővé teszi az adminisztrátorok számára a statikus jelszavuk megváltoztatását .

Az FTP_TRP.1. biztosítja a megbízható útvonalat az adminisztratív klienstől.

OT.Account_Separation (Különböző felhasználói fiókok elválasztása) a hitelesítés-

szabályozás használatával biztosított az összes aláíró művelethez és az

adminisztratív műveletekhez. A következő SFR-eket használják:

FDP_ACC.1/Personalisation SFP, FDP_ACC.1/Activation SFP, FDP_ACC.1/SCD-GEN

SFP, FDP_ACC.1/Cert-IMP SFP,



Page 115 of 133

June 2015

FDP_ACC.1/Signature-Creation SFP, FDP_ACC.1/SVD-Transfer SFP,

FDP_ACC.1/Unlock-User SFP, FDP_ACC.1/Enable-User SFP, FDP_ACC.1/Disable-

User SFP, FDP_ACC.1/Export-Certs SFP, FDP_ACC.1/Export-Gr-Imgs SFP,

FDP_ACC.1/Import-Gr-Img SFP, FDP_ACC.1/Revoke-User SFP,

FDP_ACF.1/Personalisation SFP, FDP_ACF.1/Activation SFP, FDP_ACF.1/SCD-GEN

SFP, FDP_ACF.1/Cert-IMP

SFP, FDP_ACF.1/Signature-Creation SFP, FDP_ACF.1/SVD-Transfer SFP,

FDP_ACF.1/Unlock-User SFP, FDP_ACF.1/Enable-User SFP, FDP_ACF.1/Disable-

User SFP, FDP_ACF.1/Export-Certs SFP, FDP_ACF.1/Export-Gr-Imgs SFP,

FDP_ACF.1/Import-Gr-Img SFP, FDP_ACF.1/Revoke-User SFP.

FDP_ITC.1/TOE-DTBS/R, FDP_ITC.1/GRIMG, FDP_ITC.1/CERTIFICATE,

FDP_UIT.1/SVD-Transfer és FDP_UIT.1/TOE-DTBS/R gondoskodnak arról, az

aláíró által küldött információt a felhasználó fiókja használja fel.

FIA_AFL.1, FIA_ATD.1, FIA_UAU.1, FIA_UAU.5, FIA_UID.1 gondoskodik arról, hogy

minden hitelesítés a megfelelő adminisztrátori vagy felhasználói fiókhoz

kapcsolótjon.

FMT_MOF.1, FMT_SMF, FMT_SMT és az FMT_MSA minden változata biztosítja, hogy a

minden tevékenység a releváns fiókadatokat és azonosítót használ.

FPT_TRP.1 gondoskodik arról, hogy a releváns adminisztrátor vagy aláíró csak a

saját adataihoz fér hozzá és azon adatok alapján végzi a műveleteit.

FCS_CKM.1/SYMMETRIC-KEY és FCS_COP.1/KEY-ENCRYPTION biztosítja, hogy az

aláíró kulcsokat a rendszer kritikus kulcsának és az aláíró statikus jelszavának

használatával titkosítva tárolják.

OT.Account_Activation (Felhasználói fiók egyszeri aktiválása) az

FDP_ACC.1/Activation SFP és FDP_ACF.1/Activation SFP biztosítja, azáltal hogy

korlátozza, hogy csak egyszer lehet elvégezni a fiók aktiválását.

OT.UserAccountDataProtection (Felhasználói adatok másoláskori védelme) a

következő SFR-ek követésével biztosított.

A következő SFR-ek gondoskodnak a fiók titkosságáról: FDP_ETC.2,

FDP_IFC.1/HA-PRI-REPL-INC-SIGKEY SFP, FDP_IFC.1/HA-ALT-REPL-INC- SIGKEY

SFP, FDP_IFF.1/HA-PRI-REPL-INC-SIGKEY SFP, FDP_IFF.1/HA-ALT- REPL-INC-

SIGKEY SFP, FDP_ITC.2/ HA-ALT-REPL-INC-SIGKEY, FDP_UCT.1/TOE-PRI-REPL-

CONF-INC-SIGKEY, FDP_UCT.1/TOE-ALT-REPL- CONF-INC-SIGKEY,

FDP_UIT.1/TOE-ALT-REPL-INC-SIGKEY, FPT_TDC.1/HIGH-AVAILABILITY,

FTP_ITC.1/Pri-Appl-INC-SIGKEY,

FTP_ITC.1/Alt-Appl-INC-SIGKEY.



FCS_CKM.1/SYMMETRIC-KEY és FCS_COP.1/DATA-INTEG adatintegritási

ellenőrzésekhez használatak.

OT.Keys&SecretData_Gen (Főkulcs létrehozás és kezelés) a következő SFR-ek

biztosítják.



Page 116 of 133

June 2015

FCS_CKM.1/SYMMETRIC-KEY biztosítja a főkulcsok megfelelő létrehozását.

FPT_PHP.2 and FPT_PHP.3 biztosítja a főkulcsok védelmét szabotázs esemény

bekövetkezésekor.

6.3.3 EAL4 kiegészítés indoklása

Ennek a védelmi provilnak a biztosíték szintje kiegészített EAL4-es. EAL4 engedi a

fejlesztőnek egy meglehetősen magad biztosítási szint elérését az igen speciális

folyamatok és gyakorlatok szükségessége nélkül. A legmagasabb alkalmazható

szintnek tartott egy létező termékcsalád esetén aránytalan költségek és komplexitás

nélkül. Mint olyan, az EAL4 alkalmas piaci termékekhez, amit közepes és magas

biztonsági funkciókra lehet alkalmazni. Ebben a védelmi profilban leírt TOE is egy

ilyen termék. A kiegészítés a következő válogatás eredménye:

AVA_VAN.5 Részletes módszertani sebezhetőség elemzés

A TOE a legkülönfélébb minősített vagy nem minősített elektronikus aláírásra való

aláírás-létrehozó rendszerrel kell, hogy működjön. A TOE egyszervezet IT

részlegének biztonságos környezetében kerül telepítésre. Az [1]-hez hasonló

politikák miatt részletes módszertani sebezhetőség elemzés szükséges.

A TOE-nak magasan ellenállónak kell mutatkoznia a behatolásos támadás ellen, hogy

a OT.SCD_Secrecy, OT.Sigy_SigF és OT.Sig_Secure biztonsági célkitűzéseknek

megfeleljen. Az AVA_VAN.5 komponensnek a következő függőségei vannak:

ADV_ARC.1 Biztonsági szerkezeti leírás

ADV_FSP.2 Biztonság érvényesítő funkcionális leírás

ADV_TDS.3 Alapvető moduláris terv

ADV_IMP.1 TSF implementációjának reprezentációja

AGD_OPE.1 Műveleti felhasználói útmutató

AGD_PRE.1 Előkészítő eljárások

Ezen függőségek mindegyike terjesíti vagy túlteljesíti az EAL4 biztosíték csomag.



Page 117 of 133

June 2015

7 TOE összefoglaló specifikáció Hogy teljesítse a Biztonsági Funkcionális Követelményeket, a TOE a következő

Biztonsági Funkciókból épül fel (TSF):

1. Hozzáférés-szabályozás

2. Azonosítás és hitelesítés

3. Kriptográfiai Művelet

4. Biztonságos kommunikáció és munkamenet kezelés

5. Szabotázs érzékelés

6. Önteszt

A TOE minden egyes biztonsági funkcióját részletesen leírják a következő fejezetek.

7.1 Hozzáférés-szabályozás (TSF.ACC)

Az alább leírt hozzáférés-szabályozás jogosultságok függenek a jelenlegi felhasználó

szerepkörtől „Eszköz Adminisztrátor” (R.ApplianceAdmin), „Felhasználó

Adminisztrátor” (R.UserAdmin), vagy „Aláíró” (R.Sigy).

Az alábbiakban leírt összes hozzáférési jogosultságot érvényesít a TOE.

1. A TOE biztosítja, hogy a felhasználói fiók létrehozása csak egy hitelesített

Felhasználó Adminisztrátornak engedélyezett.

2. A TOE biztosítja, hogy a fiók aktivációját csak az Aláíró végezheti el. A TOE

gondoskodik róla, hogy ha a fiók fiók már aktivált, a fiókot már nem lehet újra

aktiválni.

Egy aktiváció alatt az aláíró beállít egy statikus jelszót. A statikus jelszó hossza

legalább 6 karakter kell, hogy legyen.

3. A TOE gondoskodik arról, hogy a felhasználó statikus jelszavának

megváltoztatása csak az Aláíró számára lehetséges (sikeres ellenőrzést

követően a meglévő statikus jelszóval). A TOE gondoskodik róla, hogy ez a

művelet csak egy aktivált fióknál lehessen elvégezhető. Egy adminisztrátor

statikus jelszavának megváltoztatása hasonló az aláíró statikus jelszavának

megváltoztatása folyamathoz.

4. A TOE gondoskodik róla, hogy az SCD/SVD pár létrehozása csak akkor

engedélyezett egy Aláírónak, ha a fiók aktivált egy hitelesített aláíró számára.

5. A TOE gondoskodik róla, hogy egy tanúsítvány igénylése egy külső CA felől egy

aláírt PKCS#10 kérést hoz létre, ami elküldésre kerül a CGA-nak. A TOE

gondoskodik arról, hogy ez a művelet csak egy aktivált fióknál lehessen

elvégezhető.

6. A TOE gondoskodik arról, hogy a CGA válaszként megküldi a tanúsítványt, és

hogy az a hitelesített felhasználó által feltöltésre kerül a TOE-be. A TOE

gondoskodik arról, hogy a tanúsítvány a hozzá illő SCD-hez kötött. A művelet

az „SCD műveleti” biztonsági attribútumot „igen”-re állítja.

7. A TOE gondoskodik arról, hogy csak hitelesített aláíró vonhassa vissza az SCD-

t amit birtokol. Ez a művelet az „SCD műveleti” biztonsági attribútumot „igen”-

ről „nem”-re állítja és megsemmisíti az SCD-t.

8. A TOE gondoskodik arról, hogy az „SCD műveleti” biztonsági attribútum „igen”-

ről „nem”-re módosítása nem engedélyezett.

9. A TOE gondoskodik arról, hogy csak a Felhasználó Adminisztrátor tudjon aláírói

fiókot visszavonni, ami vissza fogja vonni az aláíró teljes SCD listáját.



Page 118 of 133

June 2015

10. A TOE gondoskodik arról, hogy az aláírás folyamat részeként a hitelesített

aláíró képes legyen megszerezni a tanúsítványlistát, ami a fiókhoz tartozik,

ahogy a képek listáját is, ami a fiókhoz tartozik. Az aláíró meghatározza a

használni kívánt tanúsítványt és képet.

11. A TOE gondoskodik arról, hogy csak az aláíró részére legyen engedélyezve az

aláírás létrehozás a DTBS/R-re, akkor ha (a) az „SCD műveleti” biztonsági

attribútum „igen”-re van állítva és (b) az aláírói fiók aktivált.

12. Ha egy fiókot lezár a TOE több sikertelen hitelesítés után, a TOE gondoskodik

arról, hogy csak a Felhasználó adminisztrátor tudja feloldani a fiókot. A fiók

feloldása mellett a TOE gondoskodik arról, hogy a hitelesített Felhasználó

Adminisztrátorok ne változtassanak meg fiókparamétereket.

13. A TOE gondoskodik arról, hogy a hitelesített felhasználó tudjon új képet

feltölteni a fiókjába.

14. A TOE gondoskodik arról, hogy a hitelesített eszköz adminisztrátor el tudjon

végezni több adminisztratív funkciót, mint például az audit napló lekérését,

rendszerparaméterek beállítását. Néhány művelet megköveteli a TOE fizikai

elérését, mint például az időbeállítás, a szabotázst követő visszaállítás, és a

hálózati paraméterek beállítása. Ezek a műveletek nem követelik meg az

eszköz adminisztrátor hitelesítését és a biztonságos környezet védelmére

fognak hagyatkozni.

15. A TOE gondoskodik arról, hogy a fentebbi műveletek mellett ne legyen több

művelet megengedve, ahogy bármilyen attribútum átállítása.

16. A TOE gondoskodik arról, hogy egy felhasználó engedélyezése/tiltása csak

hitelesített Felhaszáló Adminisztrátornak legyen engedélyezve.

17. A TOE gondoskodik arról, hogy ha egy felhasználó le van tiltva, akkor a

felhasználó ne legyen képes belépni a fiókjába.

7.2 Azonosítás és hitelesítés (TSF.IA)

1. A TOE azonosítja a felhasználókat egyedi felhasználói azonosító alapján, amit a

felhasználó küld a hitelesítés során. Minden felhasználónak a következő

szerepköre lehet: „Eszköz Adminisztrátor” (R.ApplianceAdmin), „Felhasználó

Adminisztrátor” (R.UserAdmin), vagy „Aláíró” (R.Sigy).

2. A TOE hitelesíti az azonosított Aláírót a hitelesítés során a felhasználó által

elküldött statikus jelszó és OTP ellenőrzésével. A statikus jelszó a RAD-al

szemben a TOE-ben kerül eltárolásra az egyénileg azonosított felhasználó

részére.



Page 119 of 133

June 2015

3. Az OTP a TOE-n belül kerül validálásra a Radius protokoll használatával az OTP

Radius szerver alapján. Az OTP Radius szerver visszahívással eléri a TOE-t az

OTP validálásához.

A Radius szerver OTP eszköz információt nyújt az OTP validáció céljából, a TOE

hatályán belül végrehajtott OTP visszahívás használatával. Ez a kommunikáció

TLS protokollal védett, ahogy a következő TSF.Comm §7.4 elempont 1. száma

leírja.

4. Az adminisztrátorok hitelesítése csak statikus jelszóval történik. Konzollal

kapcsolatos műveletek nem követelik meg az eszköz adminisztrátor

hitelesítését, és a biztonságos környezet védelmére hagyatkoznak.

5. A TOE hitelesítési információ védelmet biztosít a fiók lezárásával az előre

definiált számú egymás utáni sikertelen hitelesítési próbálkozást.

6. Az adminisztrátori szerepkör csak sikeres hitelesítés után kerül kiosztásra

akkor és csakis akkor, ha a szerepkör engedélyezett a TOE perzisztens

tárolójában a felhasználó számára.

7. Bármilyen érzékeny entitás, mint például a felhasználói fiók, egy RSA kulcs,

vagy egy rendszerparaméter, elérésének részeként az entitás integritása

ellenőrzésre kerül. Ezt egy különleges Adatintegritás szerver főkulcs

használatával végzi el, amit a Triple- DES MAC ellenőrzésének műveletéhez

használnak. Az integritás ellenőrzésének sikertelensége esetén a releváns

művelet is sikertelen lesz. Például amikor egy felhasználó megpróbál belépni,

és a MAC érvénytelen, akkor a felhasználó nem lesz képes belépni, így nem

tud továbblépni semmilyen műveletre, mint például az elektronikus aláírás.

7.3 Kriptográfiai művelet (TSF.Crypto)

1. A TSF 2048 vagy 4096 bites kriptográfiai RSA kulcsokat generál. A véletlen

számokat a kulcsgeneráláshoz egy belső RNG nyújtja, ami igazi (fizikai)

véletlenszám-forrással van ellátva. Ez a funkció megfelel a [6], [9] és [10]-

ben leírt véletlenszám és RSA kulcsgenerálás specifikációnak.

2. Továbbá, a TSF triple-DES kulcsokat generál. Ez a funkció megfelel a [14]-es

specifikációnak. A létrehozott kulcsok a szabotázs eszközben vagy a biztonsági

másolat USB tokeneken vagy a felhasználó adatbázisban titkosítva találhatóak

meg.

3. Amikor érzékeny adatelemet töröl, a TSF nullázza (zeroize) az adatot. Ez a

következő érzékeny adatelemekre érvényes: felhasználók privát RSA kulcsai,

RAD a perzisztens tárolóban, szimmetrikus kulcsok és felhasználói jelszavak

adatai a volatile tárolóban.

4. Minden aláírás kulcsot titkosítanak a TOE belső adatbázisában a fiókspecifikus

kulcs használatával (AUK). Az AUK-ot is titkosítva tárolja a belső adatbázis

azon kulcs alapján, amit a globális titkos főkulcsból és a statikus aláírói

jelszóból építenek.

5. A TSF RSA elektronikus aláírás-létrehozást végez a PKCS1 v1.5 (EMSA-PKCS1-

v1_5 padding rendszer) [5] szerint 2048 vagy 4096 bites kulcsokkal,



Page 120 of 133

June 2015

amiket a [6] és [9] specifikál. A DTBS/R-t az SCA küldi a TOE-nek. Abban az

esetben, amikor DTBS-reprezentációt kell küldeni, a DTBS hash értékét küldi a

TOE-nek. A hash értéket az SCA számítja ki.

A DTBS-reprezentáció a DTBS-en végrehajtott hashelésen alapszik a következő

algoritmusok valamelyikének használatával: SHA-2 család (SHA-256, SHA-384,

SHA-512), amik megfelelnek a [6]-nak.

6. A statikus jelszó SHA-1 és a felhasználó salt a felhasználói adatbázisban kerül

eltárolásra és statikus jelszó ellenőrzésére kerülnek felhasználásra.

7. A következő, a [6]-ban leírt aláírás csomagok támogatottak:

sha256 rsa-val

2048 vagy 4098 bites RSA kulcsméretekkel.

Továbbá, a következő aláírá csomagok támogatottak a CoSign által:

sha384 rsa-val

sha512 rsa-val

2048 vagy 4098 bites RSA kulcsméretekkel.

8. Minden TSF által generált RSA kulcsra a következő magokat használják:

RSA 2048 – 100 bit mag

RSA 4096 – 100 bit mag

Az RSA kulcsgeneráló algoritmus a [9]-en alapul és megfelel [6]-nak. Mivel a

követelmény [9]-ben az, hogy 8 kör Miller-Rabin valószínűségi primteszt

lefusson, ami kevesebb, mint 2-100 hibavalószínűséget biztosít a nem

megfelelő RSA titkos kulcs komponensekhez, így a [6]-ban tett valószínűségi

kérést megválaszolja.

9. A 216+1 nyilvános kitevőt [6]-nak megfelelően kell használni.

10. A szoftveralapú ellenállási mechanizmus az elektronikus aláírás műveletben

implementálva van az energiafogyasztás és az aláírás művelet idejének

kiegyenlítésére.

Sok mellékcsatorna ellenállás mechanizmus van, amiket a [11] vezet be, de

mivel a TOE biztonságos környezetben fut, egy fém dobozba zárva és

párhuzamosan több felhasználó használja, az alapmechanizmust használja.

11. Minden egyes objektum, ami nem aláírói kulcs, mint a kép vagy a tanúsítvány,

a TOE belső adatbázisában titkosítva van a titkosító főkulccsal. Minden egyes

objektumhoz történő hozzáférés során az objektum visszafejtésre kerül.

7.4 Biztonságos kommunikáció és munkamenet kezelés(TSF.Comm)

1. A kliensek és a TSF között a fő kommunikáció mindig biztonságos és a TOE

egy fedezetlen kommunikációt se engedélyez a külső eszközökkel.



Page 121 of 133

June 2015

Ez a kommunikáció TLS [8] protokoll használatával implementált. Ez a

biztonságos kommunikáció garantálja a TOE-nek/-től küldött üzenetek

titkosságát és adatintegritását, és a TOE hitelesítését a küldő eszközök felé,

ami TLS protokollra épül.

Két különböző kliens kommunikációs csatorna van:

TLS kommunikáció – általános kliens

A TLS szerverkulcs és a hozzá kapcsolódó tanúsítvány a TOE gyártásának

részeként kerül betöltésre. A gyártási folyamat alatt a TLS szerverkulcs a

TOE határain kívül jön létre, és kerül feltöltésre a TOE-be. A gyártás alatt a

kapcsolódó TLS szerver tanúsítványt is feltöltik a TOE-ba. Ez a TLS szerver

tanúsítvány 2030-ban jár le.

Ezen kommuikáció típus esetén, azonnal a TLS munkamenet létesítését

követően a felhasználó a felhasználói azonosító és a felhasználói jelszó

alapján hitelesítésre kerül. A TOE adatbázisában lévő felhasználói

információ alapján a felhasználótípus (pl.: Felhasználó Adminisztrátor) és a

felhasználó jogosultságai meghatározásra kerülnek.

TLS kommunikáció – REST

A TLS szerver kulcsot és a hozzá kapcsolódó tanúsítványt az eszköz admin

tölti fel. Lehetséges, hogy a TLS szerver kulcsot és a hozzá kapcsolódó

tanúsítványt újra fel kell tölteni, amikor a tanúsítvány érvényességi ideje

lejár.

A magyarázat, hogy ez a TLS szerver kulcs és tanúsítvány nem lett feltöltve

gyártás alatt az, hogy a REST kliensek a TOE kommunikációs azonosítóját

és a TLS szerver tanúsítvány közös nevét (Common-Name) egyeztetni

fogják. Mivel az nem ismert a TOE kommunikációs azonosítójának gyártása

alatt, a kulcs és a tanúsítvány nem tölthető fel a gyártási eljárások

részeként.

Minden REST kérés magában foglalja a felhasználó azonosítót és a

felhasználó statikus jelszavát, így a TOE használhatja a TOE adatbázisát

annak megállapítására, hogy a felhasználónak van-e jogosultsága a kért

művelet elvégzésére.

Az első típusát a kommunikációnak az OTP Radius szerver is használjahogy a

TOE-val kommunikáljonaz OTP ellenőrzésének céljából. Ebben az esetben az

eszköz csak a Radius szervertől fogadja el a kommunikációt, annak IP címe

alapján.

2. Egy Magas Rendelkezésreállás konfigurációban van egy elsődleges TOE és

alternatív TOE-k. Ez a konfiguráció a redundanciát célozza meg, az elsődleges

TOE hardver fagy szoftver hibájának esetére.

Az elsődleges TOE frissíti a többi alternatív TOE-t TCP/IP kommunikáción

keresztül ahol az adatintegritása az információnak, és a kritikus adat

titkossága alkalmazás szintű biztonságon alapul.

3. Speciális mechanizmusok biztosítják, hogy semmilyen érzékeny paraméter,

mint a statikus jelszó, vagy SCD érték ne lehessen elérhető egy folyamat

memóriájából más felhasználói munkamenet számára, mint az aláíróéra.



Page 122 of 133

June 2015

7.5 Auditálás

1. A TOE magában foglalja a központosított naplófájlt, ami az összes biztonsággal

kapcsolatos eseményt auditál, ahogy a 2. Táblázat írja.

Minden naplófájl bejegyzés része a dátum és az idő.

A belső alaplapja a rendszernek tartalmaz egy lekérdezéshez használt belső

órát, hogy a jelenlegi időt hozzáadja a releváns eseményhez.

2. A dátumot és az időt az eszköz adminisztrátor kézzel megváltoztathatja a TOE

konzoljának hazsnálatával.

7.6 Szabotázs érzékelés és védelem (TSF.Tamper)

1. A TOE implementálja a biztonsági funkciót, ami ellenáll a fizikai szabotázsnak.

A TOE hardver érzékeli a fizikai szabotázst (a TOE dobozának felnyitása),

aktívan kitörli az összes érzékeny adatot, és lekapcsolja a főáramellátását. Ez

biztosítja, hogy a vagyontárgyak nem sérülnek meg.

A szabotázs állapot alatt a TOE összes funkciója megáll, és semmilyen

szolgáltatást nem nyújt (mind az aláírói és adminisztratív), akkor se, ha a TOE

hardvert újraindítják. Amikor a TOE hardvert újraindítják, a fenntartja a

szabotált állapotot, hogy az előbbi szabotázs állapotot jelentse.

2. Csak miután a szabotázs oka mélyen ki lett vizsgálva, az eszköz

adminisztrátora visszaállíthatja a szabotázs állapotból a speciális szabotázst

követő visszaállítás művelet használatával, és a biztonsági mentés USB token

biztosításával.

3. A TOE-nek nem szabad kibocsátania semmiféle hasznos információt, hogy

hozzáférést engedjen a RAD-hoz és SCD-hez a következő forrásokból: az

energiafogyasztás változása, elektromágneses sugárzás a belső műveletek

miatt, a belső állapotváltások időzítése.

4. A TSF-nek biztosítania kell, hogy a LAN interfész nem használható, a RAD-hoz

és SCD-hez való hozzáférés szerzésére.

7.7 Önteszt(TSF.Test)

A TSF csomagot nyújt a következő öntesztekhez:

1) Indítási tesztek:

a) Hardver POST (Power On Self Tests)

b) Tesztet egy korábbi szabotázs eseményhez

c) Futtatható állomány integritásának tesztelése annak elektronikus

aláírásának ellenőrzése által



Page 123 of 133

June 2015

2) Tesztek futnak, amikor a TOE üzemképes és elektronikus aláírás szolgáltatást

nyújt:

a) Titkosítás - visszafejtés integritás teszt minden egyes generált RSA kulcshoz

b) Az RNG kimenetének megfelelőségi tezstje a [10]-el;

c) A felhasználói fiók integritásának tesztelése, amikor a perszisztens

tárolóból olvassa. Ez a speciális Adatintegritási szerver főkulcs

használatával történik, amit a Triple-DES MAC ellenőrzési műveletre

használnak.

A az indulási tesztek valamelyike sikertelen, a TOE NEM fog üzemképes állapotba

lépni. Ha valamelyik folyatólagos teszt sikertelen, a gyanús adat nem kerül

felhasználásra.

7.8 Eszköz adminisztrátori funkciói (TSF.Admin)

A TSF a következő adminisztratív funkciókat nyújtja:

1) Audit napló letöltése

A TOE gondoskodik arról, hogy az eszköz adminisztrátor let tudja tölteni az audit

naplót és meg tud vizsgálni bármilyen biztonsággal kapcsolatos problémát.

2) Rendszerparaméterek konfigurációja

A TOE gondoskodik arról, hogy az eszköz adminisztrátor tudjon különböző

rendszerparamétereket konfigurálni. Ezek a paraméterek finomítják a TOE

funkcionalitását. A hálózattal kapcsolatos paraméterek halmaza, mint az eszköz

IP címe nem része a rendszerparamétereknek. Ezeket a hálózattal kapcsolatos

paramétereket az eszköz konzoljáról lehet konfigurálni és nem igényelnek

adminisztrátori hitelesítést.

3) REST szerver TLS kulcs feltöltése

A TOE gondoskodik arról, hogy az eszköz adminisztrátor fel tudja tölteni a TOE

REST interfész szerver oldali interfész TLS szerver kulcsát.

4) Egy új alternatív eszköz telepítése

A TOE gondoskodik arról, hogy az eszköz adminisztrátor fel tudja telepíteni az új

alternatív eszközt. A telepítésnek biztonságos környezetben kell történnie.

5) Az elsődleges eszköz alternatív eszköz listájának megváltoztatása

A TOE gondoskodik arról, hogy az eszköz adminisztrátor el tud távolítani, vagy

hozzá tud adni egy alternatív eszközt az elsődleges eszköz alternatív eszköz

listáról/hoz.



Page 124 of 133

June 2015

Ez a művelet a következő al-műveletekből épül fel:

a) Egy alternatív eszköz leiratkoztatása – egy alternatív eszközt eltávolít az

elsődleges eszköz alternatív eszköz listáról

b) Egy telepített alternatív eszköz feliratkoztatása – egy alternatív eszköz,

amit már installált egyszer újra felkerül az elsődleges eszköz alternatív

eszköz listára.

c) Egy alternatív eszköz telepítése – ez a művelet új alternatív eszközt telepít,

így hozzáadja az új eszközt az elsődleges eszköz alternatív eszköz listához.

d) Egy alternatív eszköz újrainicializálása – alapvetően egy technikai művelet,

ami felfrissíti a kommunikációt az elsődleges eszköz és az alternatív

eszközzel, és gondoskodik arról, hogy az adatbázisok összehangoltak.

e) CoSign eszköz információ megszerzése – alapvetően egy technikai művelet,

ami visszaadja az eszközök adatait azelsődleges és az alternatív eszközöket

is beleértve. Ez az információ lesz visszaadva abban az esetben is, ha a

kérést egy alternatív eszköznek küldi el.

6) Alternatív eszköz elsődleges eszközké alakítása

Vészhelyzet esetén, ha az elsődleges eszköz nem üzemképes, a TOE

gondoskodik arról, hogy az eszköz adminisztrátor egy alternatív eszközt át tud

alakítani elsődleges eszközké, így nyújtva szolgáltatást a végfelhasználóknak.

7) Szoftver feltöltése

A TOE gondoskodik arról, hogy az eszköz adminisztrátor fel tudja tölteni a

szoftverfrissítéseket a TOE-be.

8) TOE leállítása, TOE hardver újraindítása vagy TOE szoftver

újraindítása

A TOE gondoskodik arról, hogy az eszköz adminisztrátor le tudja kapcsolni a

TOE-t, a TOE hardvert újra tudja indítani, vagy a TOE szoftvert újra tudja

indítani.

A szofver újraindítás műveletben csak a TOE fő szoftver szolgáltatása áll le és

indul el, amíg hardver újraindítás esetén a TOE operációs rendszere teljesen

leáll és utána újraindul.



Page 125 of 133

June 2015

7.9 TSF indokolás

Az alábbi táblázat megfelelteti a TOE Biztonsági Funkció Követelményeket, ahogy azok le lettek írva a

6.1 fejezetben a biztonsági funkciókkal ahogy azok fentebb leírásra kerültek. A táblázatban szereplő

számok leírják a TSF komponenst ami megfelel a követelményeknek.

SFR \ TSF ACC IA Crypto Comm Auditing Tamper Test Admin

FAU_GEN.1 1 FAU_GEN.2 1 FCS_CKM.1/SIGNAT

URE-KEY 1,7,8 2a

FCS_CKM.1/SYMMET

RIC-KEY 7,2 2

FCS_CKM.4 3 FCS_COP.1/CORRES P 2a

FCS_COP.1/SIGNING 5,7

FCS_COP.1/DATA-

INTEG 7 2c

FCS_COP.1/AUK-

ENCRYPTION 4

FCS_COP.1/KEY-

ENCRYPTION 4

FCS_COP.1/KEY-

ENCRYPTION 6

FCS_COP.1/KEY-

ENCRYPTION 2

FDP_ACC.1/Personali

sation SFP

1

FDP_ACC.1/Activation

SFP

2

FDP_ACC.1/SCD-

GEN SFP

4

FDP_ACC.1/Cert-IMP

SFP

6

FDP_ACC.1/Signature

-Creation SFP

11

FDP_ACC.1/SVD-

Transfer SFP

5

FDP_ACC.1/Unlock-

User SFP

12

FDP_ACC.1/Enable-

User SFP

16,17

FDP_ACC.1/Disable-

User SFP

16,17

FDP_ACC.1/Export-

Certs SFP

10



Page 126 of 133

June 2015


FDP_ACC.1/Export-

Gr-Imgs SFP

10

FDP_ACC.1/Import-

Gr-Img SFP

13

FDP_ACC.1/Revoke-

User SFP

9

FDP_ACC.1/Appliance

-Admin SFP

14

FDP_ACC.1/Change-

Password SFP

3

FDP_ACC.1/Revoke-

SCD SFP

7

FDP_ACF.1/Personali

sation SFP

1

FDP_ACF.1/Activation

SFP

2

FDP_ACF.1/SCD-

GEN SFP

4

FDP_ACF.1/Cert-IMP

SFP

6

FDP_ACF.1/Signature

-Creation SFP

11

FDP_ACF.1/SVD-

Transfer SFP

5

FDP_ACF.1/Unlock-

User SFP

12

FDP_ACF.1/Enable-

User SFP

16,17

FDP_ACF.1/Disable-

User SFP

16,17

FDP_ACF.1/Export-

Certs SFP

10

FDP_ACF.1/Export-

Gr-Imgs SFP

10

FDP_ACF.1/Import-

Gr-Img SFP

13

FDP_ACF.1/Revoke-

User SFP

9

FDP_ACF.1/Appliance

-Admin SFP

14

FDP_ACF.1/Change-

Password SFP

3

FDP_ACF.1/Revoke-

SCD SFP

7

FDP_ETC.1/SVD

Transfer

5

FDP_ETC.1/Export-

Certs

10

FDP_ETC.1/Export- 10



Page 127 of 133

June 2015


Gr-Imgs FDP_ETC.2 7 11 2 FDP_IFC.1/HA-PRI-

REPL-INC-SIGKEY

SFP

7 11 2

FDP_IFC.1/HA-ALT-

REPL-INC-SIGKEY

SFP

7 11 2

FDP_IFC.1/OTP-VAL-

CALLBACK 3 1

FDP_IFF.1/HA-PRI-

REPL-INC-SIGKEY

SFP

7 11 2

FDP_IFF.1/HA-ALT-

REPL-INC-SIGKEY

SFP

7 11 2

FDP_IFF.1/OTP-

VALIDATION-

CALLBACK

3 1

FDP_ITC.1/TOE-

DTBS/R

11

FDP_ITC.1/GRIMG 13 FDP_ITC.1/CERTIFIC

ATE

6

FDP_ITC.2/ HA-ALT-

REPL-INC-SIGKEY

7 11 2

FDP_ITC.2/ OTP-

VALIDATION-

CALLBACL

3 1

FDP_SDI.2 7 FDP_UCT.1/TOE-PRI-

REPL-CONF-INC-

SIGKEY

7 11 2

FDP_UCT.1/TOE-

ALT-REPL-CONF-

INC-SIGKEY

7 11 2

FDP_UIT.1/SVD-

Transfer 1

FDP_UIT.1/TOE-

DTBS/R 1

FDP_UIT.1/TOE-ALT-

REPL-INC-SIGKEY 7 11 2

FIA_AFL.1 1,5 FIA_ATD.1 1,6 FIA_UAU.1 1 1

FIA_UAU.5 1 1 FIA_UID.1 1,4 1 FMT_MOF.1 2



Page 128 of 133

June 2015


FMT_MSA.1/Users-

Administrator

1

FMT_MSA.1/Signatory 2-

8,10,11,

13

FMT_MSA.1/Signatory

-SCD-GEN

4

FMT_MSA.1/Signatory

-SCD-DISABLE

7

FMT_MSA.1.1/Signato

ry-SCD-NO-REVERT

7

FMT_MSA.1/Signatory

-CERT-IMP

6

FMT_MSA.1/Signatory

- Change-Password

3

FMT_MSA.1/Admin-

Change- Password

3

FMT_MSA.2/Activation

-Password-Data

1

FMT_MSA.2/SCD-

Status

7

FMT_MSA.2/Static-

Password-RAD

3 6

FMT_MSA.2/Login-

Password-Data 6

FMT_MSA.3 1 FMT_REV.1/SCD 7 FMT_REV.1/User 9 FMT_SMF.1 1,9, ,16 2 1-10

FMT_SMR.1 1 FPT_PHP.2 1 1b,1c FPT_PHP.3 1 FPT_STM.1 1 FPT_TDC.1/HIGH-

AVAILABILITY 7 11 2

FPT_TDC.1/OTP-VAL-

CALLBACK 3 1

FPT_TST.1 1 FPT_EMSEC.1 10 3,4 FTP_ITC.1/CoSign

Client 1

FTP_ITC.1/Pri-Appl-

INC-SIGKEY 7 11 2

FTP_ITC.1/Alt-Appl-

INC-SIGKEY 7 11 2

FTP_ITC.1/Radius-

Server 3 1

FTP_TRP.1 1

12.Táblázat - SFR - TSF kapcsolat



Page 129 of 133

June 2015



Page 130 of 133

June 2015

8 Hivatkozások [1] Directive 1999/93/ec of the European parliament and of the council of 13 December

1999 on a Community framework for electronic signatures (also referenced in the

document as “The Directive”)

[2] Common Criteria for Information Technology Security Evaluation - Part 1: Introduction

and general model, September 2006 Version 3.1 Rev. 1. CCMB-2006-09-001.

[3] Common Criteria for Information Technology Security Evaluation - Part 2: Security

functional components, September 2007 Version 3.1 Rev. 2. CCMB-2007-09-002

[4] Common Criteria for Information Technology Security Evaluation - Part 3: Security

assurance components, September 2007 Version 3.1 Rev. 2. CCMB-2007-09-003

[5] RSA Laboratories, PKCS #1: RSA Encryption Standard, An RSA Laboratories Technical

Note Version v2.1, Revised June 14, 2002

[6] Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for

Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms. ETSI

TS102 176-1 V2.1.1 2011-07.

[7] ETSI, Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for

Secure Electronic Signatures; Part 2: Secure channel protocols and algorithms for

signature creation devices (ETSI TS102 176-2) V1.2.1. 2005-07.

[8] RFC 2246 - The TLS Protocol, The Internet Society, January 1999

[9] ANSI, Digital Signatures Using Reversible Public Key Cryptography for the Financial

Services Industry (rDSA). X9.31 -1998.

[10] FIPS PUB 186-2 - Digital Signature Standard (DSS), Federal Information Processing

Standard Publication, January 2000

[11] Side-Channel Attacks: Ten Years After Its Publication and the Impacts on

Cryptographic Module Security Testing, Zhou, Feng,

http://csrc.nist.gov/groups/STM/cmvp/documents/fips140-

3/physec/papers/physecpaper19.pdf

[12] NIST Special Publication 800-57, Recommendation for Key Management – Part 1:

General (Revision 3), July 2012.

[13] RFC 2865 – RADIUS (Remote Authentication Dial In User Service), The Internet

Society, June 2000.

[14] FIPS Publication 46-3 (1999): Data Encryption Standard (DES), National Bureau of

Standards.

http://csrc.nist.gov/groups/STM/cmvp/documents/fips140-



Page 131 of 133

June 2015



Page 132 of 133

June 2015

9 A Melléklet – Rövidítések

AUK Egyedi fiók kulcs (Account Unique Key)

CC Common Criteria

CGA Tanúsítvány előállító alkalmazás (Certificate Generation Application)

CSP Hitelesítés szolgáltató (Certificate Service Provider)

DI Könyvtár független (Directory Independent)

DTBS Aláírandó adat. Minden aláírandó elektronikus adat, a felhasználó

üzenetét és aláírás attribútumokat is beleértve. (Data To Be Signed)

DTBS-representation Aláírandó adat reprezentáció (Data To Be Signed

Representation)

DTBS/R Az Aláírandó adat vagy annak egyedi reprezentációja. Az adat a

biztonságos aláírás-létrehozó eszköz bemenetként fogad egy aláírás-

létrehozás művelet esetén. (Data To Be Signed or its unique

representation.)

Megjegyzés: DTBS/R:

egy hash értéke az aláírandó adatnak (DTBS), vagy

egy köztes hash-értéke a DTBS első részének, kiegészítve a

DTBS maradék részével, vagy

a DTBS.

EAL Értékelési Garanciaszint (Evaluation Assurance Level)

IT Információs technológia (Information Technology)

KEK Kulcs titkosító kulcs (Key Encryption Key)

MAC Üzenet hitelesítő kód (Message Authentication Code)

OTP Egyszeri jelszó (One Time Password)

PP Védelmi profil (Protection Profile)



Page 133 of 133

June 2015

REST Reprezentációs állapot átvitel (Representational State Transfer)

RNG Véletlenszám generátor (Random Number Generator)

SCA Aláírás-létrehozó alkalmazás (Signature Creation application)

SCD Aláírás-létrehozó adat (Signature Creation Data)

Privát kriptográfiai kulcs, amit az SSCD tárol az aláíró kizárólagos

irányítása alatt elektronikus aláírás létrehozásához. (A Direktíva:

2.4)

SDO Aláírt adat objektum (Signed Data Object)

SVD Signature Verification Data

SF Biztonsági Funkció (Security Function)

SFP Biztonsági Funkció Politika (Security Function Policy)

SSCD Biztonságos aláírás-létrehozó eszköz (Secure Signature Creation Device)

ST Biztonsági Előirányzat (Security Target)

TLS Transport Layer Security

TOE Értékelés tárgya (Target of Evaluation)

TSC TSF Vezérlés hatálya (Scope of Control)

TSF TOE Biztonsági Funkciók (Security Functions)

TSP TOE Biztonsági Politika (Security Policy)

Documents

ARX CoSign biztonsági előirányzat · CoSign Security Target Revision 1.19 - Confidential – June Page 4 of 133 2015 1 Biztonsági előirányzat bevezetés Jelen biztonsági előírányzat