Secrétariat général de la défense et de la sécurité nationale

Secrétariat général de la défense et de la sécurité nationale

P R E M I E R M I N I S T R E

Secrétariat général de la défense et de la sécurité nationale

Agence nationale de la sécurité des systèmes d’information

Rapport de certification ANSSI-CC-2016/07

HSM TrustWay Proteccio

Version V128/X130

Paris, le 17 février 2016

Le directeur général adjoint de l’agence nationale de la sécurité des systèmes d’information

Guillaume P

OUPARD

[ORIGINAL SIGNE]

Rapport de certification ANSSI-CC-2016/07

Avertissement

HSM TrustWay Proteccio

Version V128/X130

Ce rapport est destiné à fournir aux commanditaires un document leur permettant d’attester du niveau de sécurité offert par le produit dans les conditions d’utilisation ou d’exploitation définies dans ce rapport pour la version qui a été évaluée. Il est destiné également à fournir à l’acquéreur potentiel du produit les conditions dans lesquelles il pourra exploiter ou utiliser le produit de manière à se trouver dans les conditions d’utilisation pour lesquelles le produit a

été évalué et certifié ; c’est pourquoi ce rapport de certification doit être lu conjointement aux guides d’utilisation et d’administration évalués ainsi qu’à la cible de sécurité du produit qui décrit les menaces, les hypothèses sur l’environnement et les conditions d’emploi présupposées afin que l’utilisateur puisse juger de l’adéquation du produit à son besoin en termes d’objectifs de sécurité.

La certification ne constitue pas en soi une recommandation du produit par l’agence nationale de la sécurité des systèmes d’information (ANSSI), et ne garantit pas que le produit certifié soit totalement exempt de vulnérabilités exploitables.

Toute correspondance relative à ce rapport doit être adressée au :

Secrétariat général de la défense et de la sécurité nationale

Agence nationale de la sécurité des systèmes d’information

Centre de certification

51, boulevard de la Tour Maubourg

75700 Paris cedex 07 SP [email protected]

La reproduction de ce document sans altération ni coupure est autorisée.

Page 2 sur 19 ANSSI-CC-CER-F-07.016

HSM TrustWay Proteccio

Version V128/X130

Référence du rapport de certification

Rapport de certification ANSSI-CC-2016/07

ANSSI-CC-2016/07

Nom du produit

HSM TrustWay Proteccio

Référence/version du produit

TrustWay Proteccio EL : 1.05.03 - 76681604-004D/76681604-005

(hardware), V128 (module de sécurité), X130 (système)

TrustWay Proteccio HR : 1.05.03 - 76681610-004D/76681610-005

(hardware), V128 (module de sécurité), X130 (système)

Conformité à un profil de protection

Profil de protection prEN 14167-2 :2012 « Cryptographic

Module for CSP Signing Operations with Backup »

Critères d’évaluation et version

Critères Communs version 3.1 révision 3

Niveau d’évaluation

EAL 4 augmenté

ADV_IMP.2, ALC_CMC.5, ALC_DVS.2, ALC_FLR.3, AVA_VAN.5

Développeur

BULL SAS

Avenue Jean Jaurès, BP 68, 78340 Les Clayes-sous-Bois, France

Commanditaire

BULL SAS

Avenue Jean Jaurès, BP 68, 78340 Les Clayes-sous-Bois, France

Centres d’évaluation

Serma Technologies

14 rue Galilée, CS 10055, 33615 Pessac Cedex, France

Amossys

4 bis allée du bâtiment, 35000 Rennes, France

Accords de reconnaissance applicables

CCRA SOG-IS

Le produit est reconnu au niveau EAL4.

ANSSI-CC-CER-F-07.016 Page 3 sur 19

Rapport de certification ANSSI-CC-2016/07

Préface

HSM TrustWay Proteccio

Version V128/X130

La certification

La certification de la sécurité offerte par les produits et les systèmes des technologies de l’information est régie par le décret 2002-535 du 18 avril 2002 modifié. Ce décret indique que :

L’agence nationale de la sécurité des systèmes d’information élabore les rapports de

certification. Ces rapports précisent les caractéristiques des objectifs de sécurité proposés. Ils peuvent comporter tout avertissement que ses rédacteurs estiment utile de mentionner pour des raisons de sécurité. Ils sont, au choix des commanditaires, communiqués ou non à des tiers ou rendus publics (article 7).

Les certificats délivrés par le Premier ministre attestent que l’exemplaire des produits ou systèmes soumis à évaluation répond aux caractéristiques de sécurité spécifiées. Ils attestent également que les évaluations ont été conduites conformément aux règles et normes en vigueur, avec la compétence et l’impartialité requises (article 8).

Les procédures de certification sont disponibles sur le site Internet www.ssi.gouv.fr

.

Page 4 sur 19 ANSSI-CC-CER-F-07.016

HSM TrustWay Proteccio

Version V128/X130 Rapport de certification ANSSI-CC-2016/07

Table des matières

1. LE PRODUIT ............................................................................................................................... 6

1.1. P

RESENTATION DU PRODUIT

.................................................................................................. 6

1.2. D

ESCRIPTION DU PRODUIT

..................................................................................................... 6

1.2.1. Introduction ....................................................................................................................... 6

1.2.2. Identification du produit .................................................................................................... 7

1.2.3. Services de sécurité ........................................................................................................... 7

1.2.4. Architecture ....................................................................................................................... 7

1.2.5. Cycle de vie ........................................................................................................................ 9

1.2.6. Configuration évaluée ..................................................................................................... 12

2. L’EVALUATION ....................................................................................................................... 13

2.1. R

EFERENTIELS D

EVALUATION

............................................................................................ 13

2.2. T

RAVAUX D

EVALUATION

................................................................................................... 13

2.3. C

OTATION DES MECANISMES CRYPTOGRAPHIQUES SELON LES REFERENTIELS TECHNIQUES

DE L

’ANSSI ...................................................................................................................................... 13

2.4. A

NALYSE DU GENERATEUR D

ALEAS

................................................................................... 13

3. LA CERTIFICATION ............................................................................................................... 14

3.1. C

ONCLUSION

........................................................................................................................ 14

3.2. R

ESTRICTIONS D

USAGE

....................................................................................................... 14

3.3. R

ECONNAISSANCE DU CERTIFICAT

...................................................................................... 15

ANNEXE 1. NIVEAU D’EVALUATION DU PRODUIT .............................................................. 17

ANNEXE 2. REFERENCES DOCUMENTAIRES DU PRODUIT EVALUE ............................ 18

ANNEXE 3. REFERENCES LIEES A LA CERTIFICATION .................................................... 19

ANSSI-CC-CER-F-07.016 Page 5 sur 19

Rapport de certification ANSSI-CC-2016/07

1.

Le produit

HSM TrustWay Proteccio

Version V128/X130

1.1.

Présentation du produit

Le produit évalué est le « HSM TrustWay Proteccio, version V128/X130 » développé par

BULL. Il se présente sous la forme d’une appliance, composée d’une carte électronique principale, intégrée dans un boitier 19 pouces 2U avec une interface Ethernet Gigabit, et qui offre une protection physique contre les tentatives d’altérations physiques.

La plate-forme TrustWay Proteccio existe sous deux formes :

une forme dite d’entrée de gamme (EL – Entry Level) avec un module Com Express au format micro et basée sur un processeur ATOM et un FPGA

1

ARRIA2GX125 ;

une forme dite à haute performance (HR – High Range) avec un module Com Express au format basique embarquant un processeur Core 2 Duo ou Core I5 et un FPGA

ARRIA2GX260.

Le HSM fournit des fonctions cryptographiques de type :

chiffrement ;

signature numérique ;

gestion de clés (y compris la génération et le stockage sécurisé).

1.2.

Description du produit

1.2.1.

Introduction

La cible de sécurité [ST] définit le produit évalué, ses fonctionnalités de sécurité évaluées et son environnement d’exploitation.

Cette cible de sécurité est conforme au profil de protection [PP-CM-SOB], Cryptographic

Module for CSP Signing Operations with Backup – Protection Profile - prEN 14167-2:2012.

1

Field-Programmable Gate Array ou circuit logique programmable.

Page 6 sur 19 ANSSI-CC-CER-F-07.016

HSM TrustWay Proteccio

Version V128/X130 Rapport de certification ANSSI-CC-2016/07

1.2.2.

Identification du produit

Les éléments constitutifs du produit sont identifiés dans la liste de configuration [CONF].

La version certifiée du produit est identifiable par les éléments suivants :

Nom TrustWay Proteccio EL TrustWay Proteccio HR

Version matérielle

Cible d’évaluation

76681604-004D

76681604-005

76681610-004D

76681610-005

Version logicielle « module de sécurité »

Version logicielle

« système »

V128

X130

V128

X130

Environnement IT

Version logicielle 1.05.03 1.05.03

Tableau 1 - identification des versions de la TOE

1.2.3.

Services de sécurité

Les principaux services de sécurité fournis par le produit sont :

la signature et la vérification de signature ;

le chiffrement et le déchiffrement ;

le calcul de condensats (hash) ;

le wrapping et l’unwrapping de clefs ;

la gestion sécurisée de clés : génération, stockage, sauvegarde, restauration, destruction ;

la protection en intégrité et en confidentialité du code du FPGA : vérification de la signature lors du démarrage et de la mise à jour, déchiffrement à la volée lors de l’exécution ;

l’installation sécurisée via notamment la génération de cartes à puces d’installation et d’administration ;

la gestion des évènements de sécurité (journalisation et protection en intégrité) et la génération d’alarmes ;

la protection des services de la TOE, qui s’appuie sur un mécanisme d’authentification et un contrôle d’accès basé sur les rôles des utilisateurs (RBAC, Role-Based Access

Control).

1.2.4.

Architecture

Le produit se présente sous la forme d’un boîtier au format 19 pouces 2U rackable avec alimentation intégrée et interfaces en face avant. La plate-forme est reliée au système hôte par le biais d’une interface Ethernet Gigabit. Elle comprend un processeur réseau (ComExpress) et un processeur cryptographique (FPGA).

ANSSI-CC-CER-F-07.016 Page 7 sur 19

Rapport de certification ANSSI-CC-2016/07

HSM TrustWay Proteccio

Version V128/X130

Figure 1 - Description de la TOE dans son environnement

Le produit est constitué :

d’une carte électronique principale (appelée carte mère) sur laquelle sont montés les

éléments suivants :

• un processeur réseau implémenté sous la forme d’un module ComExpress

• comprenant un processeur I

NTEL

sur lequel tourne L

INUX

et le logiciel applicatif ; un composant Ethernet 10/100/1000 à interface PCI Express ; un composant chiffre FPGA A

LTERA

, appelé CC, embarquant trois processeurs

NIOS2 et toutes les interfaces de programmation de chiffrement symétriques et asymétriques requises ;

• un microcontrôleur A

TMEL

appelé MCS pour le chargement sécurisé du

bitstream

1

du FPGA, la gestion des alarmes anti-intrusion et la sauvegarde d’une clé rouge B

ULL

et/ou des CIK (Crypto Ignition Key) ;

512 Mo de RAM DDR2 protégée par ECC (Error Correction Code) pour le

• code, les données et clés du composant CC ;

128 Mo de FLASH NOR incluant le bitstream du FPGA et le code du processeur cryptographique ;

2 GB de FLASH NAND pour le stockage de clés noires ; un CPLD (Complex Programmable Logic Device) pour le partage de la

FLASH et de l’afficheur entre le CC et le MCS ;

d’un disque dur 2,5 pouces relié en SATA au module ComExpress ;

d’une pile lithium 3.6V pour le maintien de la clé rouge dans le MCS et l’alimentation des alarmes actives hors Tension ;

d’une alimentation ATX AC/DC d’au moins 100 W ;

de deux ou trois ventilateurs en fonction du modèle.

1

Données de configuration du FPGA.

Page 8 sur 19 ANSSI-CC-CER-F-07.016

HSM TrustWay Proteccio

Version V128/X130 Rapport de certification ANSSI-CC-2016/07

Les interfaces externes de l’équipement sont les suivantes :

en face avant :

• deux interfaces Ethernet RJ45 (reliées au module ComExpress et au composant

Ethernet de la carte mère), dont une seulement est active (eth0) ;

• une interface VGA en face avant reliée au module ComExpress ; quatre interfaces USB 2.0 (clavier, souris, disque externe, etc.) ; un connecteur carte à puce relié au FPGA ; un écran LCD relié au CPLD ; un clavier 16 touches relié au FPGA ; un bouton d’arrêt d’urgence relié au FPGA ; une LED de statut bicolore (Ready, Error/Alarm) reliée au FPGA ; une LED de statut pile faible reliée au FPGA ;

en face arrière :

• le connecteur d'alimentation 220 V ;

• un interrupteur pour l'alimentation 220V ; un connecteur liaison série DB9.

Le produit est en outre livré avec un jeu de cartes à puce vierges, décrites au 1.2.6 et destinées

à l’installation et à l’administration de la TOE.

ANSSI-CC-CER-F-07.016 Page 9 sur 19

Rapport de certification ANSSI-CC-2016/07

HSM TrustWay Proteccio

Version V128/X130

1.2.5.

Cycle de vie

Le produit est développé sur les sites suivants :

B

ULL

Les Clayes-sous-Bois

B

ULL

Angers

Avenue Jean Jaurès, BP 68,

78340 Les Clayes-sous-Bois,

France

357 avenue Patton, BP 20845,

49008 Angers

France

Enfin, une partie de la conception du produit est sous-traitée à la société A

STEELFLASH

.

Le site suivant intervenant dans le cycle de vie du produit a été audité dans le cadre de la présente

évaluation :

A

STELFLASH

Atlantique

Le Clos de la Grée,

35660 Langon,

France

Page 10 sur 19 ANSSI-CC-CER-F-07.016

HSM TrustWay Proteccio

Version V128/X130

Le cycle de vie du produit est le suivant :

Phase

1 Développement

Rapport de certification ANSSI-CC-2016/07

Responsabilité

L’équipe de développement se charge de la conception matérielle et du développement du logiciel implémentant les services de la TOE.

(responsabilité du développeur)

Environnement

Cette phase est réalisée dans les locaux de B

ULL

Les

Clayes-sous-Bois

2 Signature des logiciels

Toutes les signatures utilisent des courbes elliptiques de 256 bits selon le mécanisme asymétrique EC-KCDSA.

(responsabilité de l’intégrateur)

Cette phase est réalisée dans les locaux de

B

ULL

Les

Clayes-sous-Bois

3 Fabrication Cette phase comprend les étapes suivantes de la fabrication du

HSM :

fabrication du circuit imprimé de la carte mère ;

fabrication du boîtier;

assemblage, programmation et test des composants ;

intégration dans le boîtier ;

tests du boitier.

Réalisées dans les locaux de :

SOMACIS

1

ATOS

ASTEEL

4 Tests et préparation par Bull

BULL Angers réalise des tests de robustesse complémentaires et prépare le HSM pour la phase suivante, réalisée sur réception d’une commande.

5 Pré-personnalisation Cette phase comprend la mise à jour du logiciel du composant cryptographique (FPGA) et du logiciel du module

ComExpress, ainsi que l’injection des éléments de prépersonnalisation.

A la fin de cette phase, le TrustWay Proteccio est prêt à être envoyé au client pour personnalisation.

Ces phases sont réalisées dans les locaux de B

ULL

Angers

6 Livraison au client Le TrustWay Proteccio est envoyé au client.

7 Personnalisation Personnalisation par le client.

8 Mise à jour du logiciel implémentant les services de la TOE

Si nécessaire, l’Officier de sécurité maître du client peut effectuer la mise à jour du logiciel du HSM.

(responsabilité du client)

Ces phases sont réalisées dans l’environnement du client

9 Utilisation de la

TOE

Cette dernière phase est réalisée par le client.

L’évaluation couvre les phases 1 à 6. Sont notamment exclues les processus de personnalisation, configuration et mise à jour du logiciel implémentant les services de la TOE dans l’environnement du client.

1

Le site de SOMACIS n’a pas été audité, aucune menace n’ayant été reliée à cette étape de la conception du produit.

ANSSI-CC-CER-F-07.016 Page 11 sur 19

Rapport de certification ANSSI-CC-2016/07

HSM TrustWay Proteccio

Version V128/X130

1.2.6.

Configuration évaluée

L’évaluation a porté sur les versions de la TOE identifiées au chapitre 1.2.2.

La TOE existe en deux déclinaisons, EL et HR ; les deux modèles ont été mis à disposition du

CESTI pour les besoins de l’évaluation. Si les tests chez le CESTI ont principalement été joués sur le modèle HR, celui-ci s’est assuré, notamment en rejouant une partie des tests fonctionnels dans les locaux du développeur, que les résultats observés étaient applicables aux deux versions du produit.

Le produit est livré dans un état dit « Prêt à être personnalisé par le client », avec un jeu de cartes à puce vierges (carte Ideal Citiz développée par M

ORPHO

, certifiée au niveau EAL5+ sous la référence [ANSSI-CC-2010-56] et maintenue sous la référence [ANSSI-CC-2011/63-

M01].

La personnalisation de la TOE et son administration ont été effectuées par l’évaluateur avec l’application d’administration fournie par le développeur telle que décrite dans [GUIDES].

Page 12 sur 19 ANSSI-CC-CER-F-07.016

HSM TrustWay Proteccio

Version V128/X130 Rapport de certification ANSSI-CC-2016/07

2.

L’évaluation

2.1.

Référentiels d’évaluation

L’évaluation a été menée conformément aux Critères Communs version 3.1 révision 3

[CC], à la méthodologie d’évaluation définie dans le manuel CEM [CEM] et, lorsqu’applicable, au document [JIL-AP-HDSB].

Pour les composants d’assurance qui ne sont pas couverts par le manuel [CEM], des méthodes propres au centre d’évaluation et validées par l’ANSSI ont été utilisées.

2.2.

Travaux d’évaluation

Le rapport technique d’évaluation [RTE], remis à l’ANSSI le 21 décembre 2015, détaille les travaux menés par le centre d’évaluation et atteste que toutes les tâches d’évaluation sont à

« Succès ».

2.3.

Cotation des mécanismes cryptographiques selon les référentiels techniques de l’ANSSI

La cotation des mécanismes cryptographiques a été réalisée. Afin que les mécanismes analysés soient conformes aux exigences du référentiel cryptographique de l’ANSSI ([REF]), les recommandations contenues dans [MAN-D] doivent être suivies.

Dans le cadre du processus de qualification renforcée, une expertise de l’implémentation de la cryptographie a été réalisée par le CESTI (annexe G de [RTE]). Ces résultats ont été pris en compte dans l’analyse de vulnérabilité indépendante réalisée par l’évaluateur et n’ont pas permis de mettre en évidence de vulnérabilité exploitable pour le niveau AVA_VAN.5 visé.

2.4.

Analyse du générateur d’aléas

Le mécanisme de génération d’aléas a été analysé et est jugé conforme au référentiel [REF].

En particulier, l’analyse n’a pas permis de mettre en évidence de biais statistiques bloquants pour un usage direct des sorties du générateur physique. Ceci ne permet pas d'affirmer que les données générées soient réellement aléatoires mais assure que le générateur ne souffre pas de défauts majeurs de conception. En outre, le produit met en œuvre un retraitement algorithmique de nature cryptographique conforme aux exigences énoncées dans [REF].

ANSSI-CC-CER-F-07.016 Page 13 sur 19

Rapport de certification ANSSI-CC-2016/07

3.

La certification

HSM TrustWay Proteccio

Version V128/X130

3.1.

Conclusion

L’évaluation a été conduite conformément aux règles et normes en vigueur, avec la compétence et l’impartialité requises pour un centre d’évaluation agréé. L’ensemble des travaux d’évaluation réalisés permet la délivrance d’un certificat conformément au décret

2002-535.

Ce certificat atteste que le produit « HSM TrustWay Proteccio, Version V128/X130 » soumis

à l’évaluation répond aux caractéristiques de sécurité spécifiées dans sa cible de sécurité [ST] pour le niveau d’évaluation EAL 4 augmenté des composants ADV_IMP.2, ALC_CMC.5,

ALC_DVS.2, ALC_FLR.3 et AVA_VAN.5.

3.2.

Restrictions d’usage

Ce certificat porte sur le produit spécifié au chapitre 1.2 du présent rapport de certification.

L’utilisateur du produit certifié devra s’assurer du respect des objectifs de sécurité sur l’environnement d’exploitation, tels que spécifiés dans la cible de sécurité [ST], et suivre les recommandations se trouvant dans les guides fournis [GUIDES], en particulier :

les administrateurs autorisés ne sont pas hostiles, sont correctement formés et s’authentifient auprès de la TOE avant d’effectuer toute action (O.ENV_ADMIN) ;

le système d’exploitation L

INUX

durci doit assurer l’intégrité de ses fichiers sensibles, et ne doit permettre l’accès qu’aux seules applications distantes autorisées

(O.ENV_PROTECTION_HOST) ;

les applications (cliente et administration) doivent effectuer les contrôles de sécurité nécessaires sur les données échangées avec la TOE afin de détecter toute manipulation non autorisée ;

les applications (cliente et administration) doivent identifier et authentifier localement les utilisateurs et assurer un contrôle d’accès local (O.ENV_APPLICATION) ;

l’environnement de la TOE doit assurer la disponibilité des fichiers d’audit générés et exportés par la TOE et prévoir l’examen des fichiers d’audit enregistrés par la TOE

(O.ENV_SECURE_CHANNEL) ;

le personnel utilisant les services de la TOE doit être conscient des responsabilités civiles, financières et juridiques, ainsi que des obligations auxquelles il doit faire face, en fonction de son rôle. Le personnel doit être formé sur l’utilisation correcte de la TOE

(O.ENV_PERSONNEL) ;

la TOE doit être protégée par des mesures de protection physiques, logiques et organisationnelles, afin d’empêcher toute modification de la TOE, ainsi que la divulgation des biens protégés de la TOE. Ces mesures doivent limiter l’utilisation de la TOE aux seules personnes autorisées (O.ENV_PROTECT_ACCESS) ;

Page 14 sur 19 ANSSI-CC-CER-F-07.016

HSM TrustWay Proteccio

Version V128/X130 Rapport de certification ANSSI-CC-2016/07

des procédures permettant une récupération sûre et rapide en cas de problème majeur avec la TOE (par exemple, si la TOE est bloquée suite à une défaillance, une interruption de service ou la détection d’une tentative d’attaque physique) doivent être mises en place.

Elles doivent en particulier assurer : o que la confidentialité et l’intégrité des biens de la TOE et des clés de sauvegarde associées sont maintenues durant le processus de récupération ; o que cette récupération ne conduit pas à une situation où des personnels pourraient accéder à des services de la TOE auxquels ils n’ont légitimement pas accès

(O.ENV_RECOVERY) ;

des procédures et des contrôles doivent être définis et appliqués dans l’environnement de la TOE pour permettre de configurer et d’initialiser la TOE de manière sûre pour toutes les opérations cryptographiques, y compris la génération de signatures pour les certificats qualifiés. Cela inclut la génération et l’importation sécurisée des clés, ainsi que la configuration initiale d’autres données de la TSF, comme les rôles, utilisateurs et les informations d’authentification des utilisateurs ;

la TOE doit être installée (initialisée) avec une procédure d’installation sûre, en utilisant des données secrètes fournies par un ou plusieurs administrateurs, lesquelles sont entrées par le chemin de confiance en utilisant des mécanismes de partage de connaissances

(O.ENV_SECURE_INIT) ;

pour permettre l’exploitation de la TOE dans un système de CA

1

conforme aux exigences de la directive de l’UE et à la politique concernant les autorités de certification délivrant des certificats qualifiés, des procédures et des contrôles adéquats doivent être définis dans l’environnement de la TOE (O.ENV_SECURE_OPER).

3.3.

Reconnaissance du certificat

3.3.1.

Reconnaissance européenne (SOG-IS)

Ce certificat est émis dans les conditions de l’accord du SOG-IS [SOG-IS].

L’accord de reconnaissance européen du SOG-IS de 2010 permet la reconnaissance, par les pays signataires de l’accord

2

, des certificats ITSEC et Critères Communs. La reconnaissance européenne s’applique, pour les équipements matériels avec boîtiers sécurisés, jusqu’au niveau ITSEC E6 Elevé et CC EAL7. Les certificats reconnus dans le cadre de cet accord sont

émis avec la marque suivante :

1

Certification Authority ou Autorité de Certification.

2

Les pays signataires de l’accord SOG-IS sont : l’Allemagne, l’Autriche, l’Espagne, la Finlande, la France, l’Italie, la Norvège, les Pays-Bas, le Royaume-Uni et la Suède.

ANSSI-CC-CER-F-07.016 Page 15 sur 19

Rapport de certification ANSSI-CC-2016/07

HSM TrustWay Proteccio

Version V128/X130

3.3.2.

Reconnaissance internationale critères communs (CCRA)

Ce certificat est émis dans les conditions de l’accord du CCRA [CC RA].

L’accord « Common Criteria Recognition Arrangement » permet la reconnaissance, par les pays signataires

1

, des certificats Critères Communs.

Pour les évaluations enregistrées avant septembre 2014, la reconnaissance s’applique jusqu’aux composants d’assurance du niveau CC EAL4 ainsi qu’à la famille ALC_FLR.

Les certificats reconnus dans le cadre de cet accord sont émis avec la marque suivante :

1

Les pays signataires de l’accord CCRA sont : l’Allemagne, l’Australie, l’Autriche, le Canada, le Danemark, l’Espagne, les États-Unis, la Finlande, la France, la Grèce, la Hongrie, l’Inde, Israël, l’Italie, le Japon, la

Malaisie, la Norvège, la Nouvelle-Zélande, le Pakistan, les Pays-Bas, la République de Corée, la République

Tchèque, le Royaume-Uni, la Suède et la Turquie.

Page 16 sur 19 ANSSI-CC-CER-F-07.016

HSM TrustWay Proteccio

Version V128/X130 Rapport de certification ANSSI-CC-2016/07

Annexe 1.

Niveau d’évaluation du produit

Classe

ADV

Développement

Famille Composants par niveau d’assurance

EAL EAL EAL EAL EAL EAL EAL

1 2 3 4 5 6 7

ADV_ARC

1

1 1 1 1 1

ADV_FSP

1 2 3 4 5

5

6

ADV_IMP 1 1 2 2

Niveau d’assurance retenu pour le produit

EAL

4+

Intitulé du composant

1

Security architecture description

4

2

Complete functional specification

Complete mapping of the implementation representation of the TSF

ADV_INT 2 3 3

ADV_SPM

1

1

ADV_TDS

1 2 3 4 5 6 3

Basic modular design

AGD

Guides d’utilisation

AGD_OPE

1

1 1 1 1 1 1

AGD_PRE 1 1 1 1 1 1 1

1

Operational user guidance

1

Preparative procedures

ALC_CMC

1

2 3 4

4

5

5

ALC_CMS 1 2 3 4

5

5 5

5

Advanced support

4

Problem tracking CM coverage

ALC_DEL

1

1 1 1 1 1

ALC

Support au cycle de vie

ASE

Evaluation de la cible de sécurité

ATE

Tests

ALC_DVS

ALC_FLR

ALC_LCD

ALC_TAT

ATE_DPT

ATE_FUN

1

1 1

2

2

1

1 1 1 2

1 2 3 3

ASE_CCL 1 1 1 1 1 1 1

ASE_ECD 1 1 1 1 1 1 1

ASE_INT 1 1 1 1 1 1 1

ASE_OBJ 1

2

2 2 2 2 2

ASE_REQ 1

2

2 2 2 2 2

ASE_SPD 1 1 1 1 1 1

ASE_TSS

1

1 1 1 1 1 1

ATE_COV 1 2 2 2 3 3

1

1 3 3 4

1

1 1 1

2

2

ATE_IND 1 2 2 2 2 2 3

AVA

Estimation des vulnérabilités

AVA_VAN

1 2

2

3

4 5 5

1

Delivery procedures

2

Sufficiency of security measures

3

Systematic flaw remediation

1

1

Developer defined life-cycle model

Well-defined development tools

1

Conformance claims

1

Extended components definition

1

ST introduction

2

Security objectives

2

Derived security requirements

1

Security problem definition

1

TOE summary specification

2

Analysis of coverage

1

Testing: basic design

1

Functional testing

2

Independent testing: sample

5

Advanced methodical vulnerability analysis

ANSSI-CC-CER-F-07.016 Page 17 sur 19

Rapport de certification ANSSI-CC-2016/07

HSM TrustWay Proteccio

Version V128/X130

Annexe 2.

Références documentaires du produit évalué

[ST]

[RTE]

Cible de sécurité de référence pour l’évaluation :

BULL TrustWay HSM - Cible de Sécurité, référence :

PCA4_0003_CIB_Cible de sécurité_FR, version 2.14, Bull

TrustWay.

Pour les besoins de publication, la cible de sécurité suivante a été fournie et validée dans le cadre de cette évaluation :

-

TrustWay PROTECCIO Security

Target, référence :

PCA4_0003_CIB_Security Target_EN, version 1.5, Bull

TrustWay.

Rapport technique d’évaluation :

Rapport Technique d'Évaluation du projet PCA4-2, référence :

PCA4-2_RTE_v1.1, version 1.1, 21 décembre 2015, Serma

Technologies.

Addendum au Rapport Technique d'Évaluation du projet PCA4-

2, référence : PCA4-2_RTE_Add_v1.2, version 1.2, 21 décembre 2015, Serma Technologies.

[CONF] Liste de configuration du produit :

PCA4 – Document de synthèse pour évaluation CC, référence :

PCA4_0012_CD_Document de synthèse pour évaluation, version 1.12, Bull TrustWay.

[GUIDES]

[MAN-D]

Guide d’installation et d’administration du produit :

Proteccio: manuel d'installation et d'utilisation, référence : 86 F2

76 FH 09, février 2015, Bull TrustWay.

Guide d’utilisation du produit :

Proteccio: manuel développeur, référence : 86 F2 75 FH 14, septembre 2015, Bull TrustWay.

[PP-CM-

SOB]

Cryptographic Module for CSP Signing Operations with Backup –

Protection Profile, référence : prEN 14167-2:2012.

[PP-CM-KG] Cryptographic Module for CSP key generation services, référence: prTS 14167-3:2011.

Page 18 sur 19 ANSSI-CC-CER-F-07.016

HSM TrustWay Proteccio

Version V128/X130 Rapport de certification ANSSI-CC-2016/07

Annexe 3.

Références liées à la certification

Décret 2002-535 du 18 avril 2002 modifié relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information.

[CER/P/01] Procédure CER/P/01 Certification de la sécurité offerte par les produits et les systèmes des technologies de l’information, ANSSI.

[CC] Common Criteria for Information Technology Security Evaluation :

Part 1: Introduction and general model, juillet 2009, version 3.1, révision 3 Final, référence CCMB-2009-

07-001;

Part 2: Security functional components, juillet 2009, version 3.1, révision 3 Final, référence CCMB-2009-

07-002;

Part 3: Security assurance components, juillet 2009, version 3.1, révision 3 Final, référence CCMB-2009-

07-003.

[CEM]

[JIL-AP-

HDSB]

Common Methodology for Information Technology Security Evaluation :

Evaluation Methodology, juillet 2009, version 3.1, révision 3 Final, référence CCMB-2009-

07-004.

Application of Attack Potential to Hardware Devices with Security

Boxes, version 1.0, Mai 2012.

[REF] Mécanismes cryptographiques – Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques, version 2.03 du 21 février 2014 annexée au Référentiel général de sécurité (RGS_B1), voir www.ssi.gouv.fr.

Gestion des clés cryptographiques – Règles et recommandations concernant la gestion des clés utilisées dans des mécanismes cryptographiques, version 2.00 du 8 juin 2012 annexée au Référentiel général de sécurité (RGS_B2), voir www.ssi.gouv.fr.

Authentification – Règles et recommandations concernant les mécanismes d’authentification de niveau de robustesse standard, version

1.0 du 13 janvier 2010 annexée au Référentiel général de sécurité

(RGS_B3), voir www.ssi.gouv.fr.

[AIS 31]

[FIPS 140]

Functionnality classes and evaluation methodology for physical random number generator, AIS31, version 1, 25 septembre 2001,

BSI (Bundesamt für Sicherheit in der Informationstechnik).

Security Requirements for Cryptographic Modules, référence : FIPS PUB

140-2, 25 mai 2001,NIST.

ANSSI-CC-CER-F-07.016 Page 19 sur 19

Was this manual useful for you? yes no
Thank you for your participation!

* Your assessment is very important for improving the work of artificial intelligence, which forms the content of this project

Download PDF

advertisement