Maintenance Report: ANSSI-CC-2011-62

Maintenance Report: ANSSI-CC-2011-62
PREMIER MINISTRE
Secrétariat général de la défense et de la sécurité nationale
Agence nationale de la sécurité des systèmes d'information
Rapport de maintenance ANSSI-CC-2011/62M02
Carte CC IDeal Citiz (sur composants
SB23YR80B et SB23YR48B) - Application
ICAO EAC
(version 1.6.1)
Certificat de référence : ANSSI-CC-2011/62
Paris, le 6 mars 2012
Le directeur général de l’agence nationale
de la sécurité des systèmes d’information
Patrick Pailloux
[ORIGINAL SIGNE]
Carte CC IDeal Citiz (sur composants SB23YR80B et SB23YR48B) Application ICAO EAC
Rapport de maintenance
Références
a) [MAI] : Procédure MAI/P/01 Continuité de l’assurance ;
b) [ST] : « Common Criteria Security Target - Machine Readable Travel Document –
Extended Access Control – CC IDeal Citiz », référence SSE-0000067224, révision 13
c) [CER] : Rapport de certification ANSSI-CC-2011/62 du 25/11/11 ;
d) [CER_M01] : Rapport de maintenance ANSSI-CC-2011/62-M01 du 22/12/11 ;
e) [IAR] : « IDeal 1.6.1 Analyse d'Impact », référence SSE-0000089042, version 3 ;
f) [SOG-IS] : « Mutual Recognition Agreement of Information Technology Security
Evaluation Certificates », version 3.0, 8 Janvier 2010, Management Committee ;
g) [CC RA] : « Arrangement on the Recognition of Common Criteria certificates in the
field of information Technology Security », May 2000.
Identification du produit maintenu
Le produit maintenu est la Carte CC IDeal Citiz (sur composants SB23YR80B et
SB23YR48B), version 1.6.1, développée par Morpho et ST Microelectronics.
Description des évolutions
Les évolutions du produit consistent à :
- corriger l’ordre d’enregistrement des certificats du fichier CVCA (ce fichier contient
deux certificats, le courant et le précédent) ;
- ajouter des tests de cohérence des dates courantes et d’expiration des certificats
CVCA, DV et IS ;
- introduire les vérifications permettant de s’assurer qu’en cas de coupure
d’alimentation du produit, les certificats stockés dans le fichier CVCA suite à un
renouvellement sont cohérents avec les autres données de la carte ;
- corriger un problème de réinitialisation de la RAM, observé avec certains lecteurs de
cartes, lors d’une remise à zéro.
Cette correction du produit ayant fait l’objet de la certification en référence c est réalisée par
un patch en EEPROM du code de l’exécutable de la ROM. Pour rappel, le mécanisme de
chargement de patch de ce produit a été étudié dans le cadre d’une précédente évaluation.
Fournitures impactées
[CONF]
« IDEAL_– Software Release Sheet – V1.6 », référence SSE0000083251, révision 08.
[GUIDES]
Guides d’administration du produit :
- « IDEAL – IAS ECC Functionnal specification », référence
SSE-0000067235, version 04,
- « ICAO Application Pre-personalization manual - Project : CC
Ideal Pass », référence SSE-0000074722, version 05,
- « ICAO Application Personalization manual - Project : CC Ideal
Pass », référence SSE-0000074723, version 06.
Les autres guides identifiés dans [CER] sont toujours applicables.
ANSSI-CC-MAI-F-02/003
Page 2 sur 4
Carte CC IDeal Citiz (sur composants SB23YR80B et SB23YR48B) Application ICAO EAC
Rapport de maintenance
Conclusions
Les évolutions listées ci-dessus sont considérées comme ayant un impact mineur.
Le niveau de confiance dans cette nouvelle version du produit est donc identique à celui de la
version certifiée, à la date de certification.
Avertissement
Le niveau de résistance d’un produit certifié se dégrade au cours du temps. L’analyse de
vulnérabilité de cette version du produit au regard des nouvelles attaques apparues depuis
l’émission du certificat n’a pas été conduite dans le cadre de cette maintenance. Seule une réévaluation ou une surveillance de la nouvelle version du produit permettrait de maintenir le
niveau de confiance dans le temps.
Reconnaissance du certificat
Ce rapport de maintenance est émis en accord avec le document : « Assurance Continuity :
CCRA Requirements, ref. CCIMB-2004-02-009, version 1.0, February 2004 ».
Reconnaissance européenne (SOG-IS)
Le certificat initial a été émis dans les conditions de l’accord du SOG-IS [SOG-IS].
L’accord de reconnaissance européen du SOG-IS de 2010 permet la reconnaissance, par les
pays signataires de l’accord1, des certificats ITSEC et Critères Communs. La reconnaissance
européenne s’applique, pour les cartes à puces et les dispositifs similaires, jusqu’au niveau
ITSEC E6 Elevé et CC EAL7. Les certificats reconnus dans le cadre de cet accord sont émis
avec la marque suivante :
1
Les pays signataires de l’accord SOG-IS sont : l’Allemagne, l’Autriche, l’Espagne, la Finlande, la France,
l’Italie, la Norvège, les Pays-Bas, le Royaume-Uni et la Suède.
ANSSI-CC-MAI-F-02/003
Page 3 sur 4
Carte CC IDeal Citiz (sur composants SB23YR80B et SB23YR48B) Application ICAO EAC
Rapport de maintenance
Reconnaissance internationale critères communs (CCRA)
Le certificat initial a été émis dans les conditions de l’accord du CC RA [CC RA].
L’accord « Common Criteria Recognition Arrangement » permet la reconnaissance, par les
pays signataires1, des certificats Critères Communs. La reconnaissance s’applique jusqu’aux
composants d’assurance du niveau CC EAL4 ainsi qu’à la famille ALC_FLR. Les certificats
reconnus dans le cadre de cet accord sont émis avec la marque suivante :
1
Les pays signataires de l’accord sont : l’Allemagne, l’Australie, l’Autriche, le Canada, le Danemark, l’Espagne,
les États-Unis, la Finlande, la France, la Grèce, la Hongrie, l’Inde, Israël, l’Italie, le Japon, la Malaisie, la
Norvège, la Nouvelle-Zélande, le Pakistan, les Pays-Bas, la République de Corée, la République Tchèque, le
Royaume-Uni, Singapour, la Suède et la Turquie.
ANSSI-CC-MAI-F-02/003
Page 4 sur 4
Was this manual useful for you? yes no
Thank you for your participation!

* Your assessment is very important for improving the work of artificial intelligence, which forms the content of this project

Download PDF

advertisement