PREMIER MINISTRE
Secrétariat général de la défense nationale
Direction centrale de la sécurité des systèmes d'information
Rapport de certification 2004/31
Micro-circuit ST19XR34F
Paris, le 8 octobre 2004
Le Directeur central de la sécurité des
systèmes d’information
Henri Serres
[ORIGINAL SIGNE]
Rapport de certification 2004/31 Micro-circuit ST19XR34F
Page 2 sur 24
Avertissement
Ce rapport est destiné à fournir aux commanditaires un document leur permettant d'attester du
niveau de sécurité offert par le produit dans les conditions d'utilisation ou d'exploitation
définies dans ce rapport pour la version qui a été évaluée. Il est destiné également à fournir à
l'acquéreur potentiel du produit les conditions dans lesquelles il pourra exploiter ou utiliser le
produit de manière à se trouver dans les conditions d'utilisation pour lesquelles le produit a été
évalué et certifié ; c'est pourquoi ce rapport de certification doit être lu conjointement aux
guides d’utilisation et d’administration évalués ainsi qu’à la cible de sécurité du produit qui
décrit les menaces, les hypothèses sur l'environnement et les conditions d'emploi
présupposées afin que l'utilisateur puisse juger de l'adéquation du produit à son besoin en
termes d'objectifs de sécurité.
Toutefois, la certification ne constitue pas en soi une recommandation du produit par le centre
de certification, et ne garantit pas que le produit certifié soit totalement exempt de
vulnérabilités exploitables.
Micro-circuit ST19XR34F Rapport de certification 2004/31
Page 3 sur 24
Table des matières
1. LE PRODUIT EVALUE.............................................................................................................. 6
1.1. CONTEXTE.............................................................................................................................. 6
1.2. IDENTIFICATION DU PRODUIT................................................................................................. 6
1.3. DEVELOPPEUR........................................................................................................................ 6
1.4. DESCRIPTION DU PRODUIT EVALUE ....................................................................................... 7
2. L’EVALUATION ......................................................................................................................... 8
2.1. COMMANDITAIRE................................................................................................................... 8
2.2. REFERENTIELS D’EVALUATION.............................................................................................. 8
2.3. CENTRE D'EVALUATION ......................................................................................................... 8
2.4. EVALUATION DE LA CIBLE DE SECURITE................................................................................ 8
2.5. EVALUATION DU PRODUIT ..................................................................................................... 8
2.5.1. L’environnement de développement.............................................................................. 8
2.5.2. La conception du produit .............................................................................................. 9
2.5.3. La livraison et l’installation.......................................................................................... 9
2.5.4. La documentation d’exploitation .................................................................................. 9
2.5.5. Les tests fonctionnels................................................................................................... 10
2.5.6. L’analyse de vulnérabilité........................................................................................... 10
3. CONCLUSIONS DE L'EVALUATION................................................................................... 11
3.1. RAPPORT TECHNIQUE D’EVALUATION ................................................................................. 11
3.2. NIVEAU D'EVALUATION ....................................................................................................... 11
3.3. EXIGENCES FONCTIONNELLES ............................................................................................. 12
3.4. RESISTANCE DES FONCTIONS ............................................................................................... 13
3.5. ANALYSE DE LA RESISTANCE DES MECANISMES CRYPTOGRAPHIQUES ............................... 13
3.6. CONFORMITE A UN PROFIL DE PROTECTION......................................................................... 13
3.7. RECONNAISSANCE EUROPEENNE (SOG-IS)......................................................................... 13
3.8. RECONNAISSANCE INTERNATIONALE (CC RA)................................................................... 13
3.9. RESTRICTIONS D'USAGE ....................................................................................................... 14
3.10. OBJECTIFS DE SECURITE SUR L’ENVIRONNEMENT ............................................................... 14
3.11. SYNTHESE DES RESULTATS .................................................................................................. 14
ANNEXE 1. VISITE DE SITE.......................................................................................................... 15
ANNEXE 2. EXIGENCES FONCTIONNELLES DE SECURITE DU PRODUIT EVALUE .. 16
ANNEXE 3. NIVEAUX D'ASSURANCE PREDEFINIS EAL ..................................................... 19
ANNEXE 4. REFERENCES DOCUMENTAIRES DU PRODUIT EVALUE ............................ 20
ANNEXE 5. REFERENCES LIEES A LA CERTIFICATION .................................................... 23
Rapport de certification 2004/31 Micro-circuit ST19XR34F
Page 4 sur 24
Préface
La certification
La certification de la sécurité offerte par les produits et les systèmes des technologies de
l'information est régie par le décret 2002-535 du 18 avril 2002, publié au Journal officiel de la
République française. Ce décret indique que :
• La direction centrale de la sécurité des systèmes d’information élabore les rapports
de certification. Ces rapports précisent les caractéristiques des objectifs de sécurité
proposés. Ils peuvent comporter tout avertissement que ses rédacteurs estiment utile de
mentionner pour des raisons de sécurité. Ils sont, au choix des commanditaires,
communiqués ou non à des tiers ou rendus publics. (article 7)
• Les certificats délivrés par le Premier ministre attestent que l'exemplaire des produits
ou systèmes soumis à évaluation répond aux caractéristiques de sécurité spécifiées. Ils
attestent également que les évaluations ont été conduites conformément aux règles et
normes en vigueur, avec la compétence et l'impartialité requises. (article 8)
Les procédures de certification sont publiques et disponibles en français sur le site Internet :
www.ssi.gouv.fr
Accords de reconnaissance des certificats
L’accord de reconnaissance européen du SOG-IS de 1999 permet la reconnaissance entre les
Etats signataires de l’accord1
, des certificats délivrés par leur autorité de certification. La
reconnaissance mutuelle européenne s’applique jusqu’au niveau ITSEC E6 et CC EAL7. Les
certificats reconnus dans le cadre de cet accord sont émis avec la marque suivante :
La direction centrale de la sécurité des systèmes d'information passe aussi des accords de
reconnaissance avec des organismes étrangers homologues ayant leur siège en dehors des
Etats membres de l’Union européenne. Ces accords peuvent prévoir que les certificats
délivrés par la France sont reconnus par les Etats signataires. Ils peuvent prévoir aussi que les
certificats délivrés par chaque partie sont reconnus par toutes les parties. (article 9 du décret
2002-535)
Ainsi, l'accord Common Criteria Recognition Arrangement permet la reconnaissance, par les
pays signataires2
, des certificats Critères Communs. La reconnaissance mutuelle s’applique
1
En avril 1999, les pays signataires de l’accord SOG-IS sont : le Royaume-Uni, l’Allemagne, la France,
l’Espagne, l’Italie, la Suisse, les Pays-Bas, la Finlande, la Norvège, la Suède et le Portugal.
2
En novembre 2003, les pays émetteurs de certificats signataires de l’accord sont : la France, l'Allemagne, le
Royaume-Uni, les Etats-Unis, le Canada, l'Australie-Nouvelle Zélande et le Japon ; les pays signataires de
l'accord qui n'émettent pas de certificats sont : l’Autriche, l’Espagne, la Finlande, la Grèce, la Hongrie, Israël,
l’Italie, la Norvège, les Pays-Bas, la Suède et la Turquie.
Micro-circuit ST19XR34F Rapport de certification 2004/31
Page 5 sur 24
jusqu’aux composants d’assurance du niveau CC EAL4 ainsi qu’à la famille ALC_FLR. Les
certificats reconnus dans le cadre de cet accord sont émis avec la marque suivante :
Rapport de certification 2004/31 Micro-circuit ST19XR34F
Page 6 sur 24
1. Le produit évalué
1.1. Contexte
Ce certificat porte sur une mise à jour du micro-circuit ST19XR34 en version A et B certifié
sous la référence 2002/18 (cf. [2002/18]). Suite à une mise à jour des guides d’utilisation, le
produit a été à nouveau certifié en version B sous la référence 2004/21 (cf. [2004/21]).
Sur la base des informations fournies par le développeur [SIA_DEV], l’évaluateur a estimé
l’impact des évolutions sur la sécurité du micro-circuit ST19XR34 en version F et a mené les
travaux d’évaluation requis. Les résultats de cette analyse sont disponibles dans le rapport
technique d’évaluation [RTE].
1.2. Identification du produit
Le produit évalué est le micro-circuit ST19XR34 en version F (logiciel dédié WNF, maskset
K526FKB). Le micro-circuit inclut une partie logicielle en ROM intégrant des logiciels de
test du micro-circuit («autotest») et des bibliothèques (gestion du système, services
cryptographiques).
1.3. Développeur
Plusieurs acteurs interviennent dans la conception et la fabrication du micro-circuit :
Le produit est développé en partie, intégré (préparation de la base de données du masque) et
testé par :
STMicroelectronics
Smartcard IC division
ZI de Rousset, BP2
13106 ROUSSET CEDEX
FRANCE
Une partie du développement du produit est réalisée par :
STMicroelectronics
28 Ang Mo Kio - Industrial park 2
SINGAPORE 569508
SINGAPOUR.
Les réticules du micro-circuit sont fabriqués par :
Dupont Photomasks
224, bd John Kennedy
91100 Corbeil Essonnes
France
Micro-circuit ST19XR34F Rapport de certification 2004/31
Page 7 sur 24
Le produit est fabriqué sur le site de :
STMicroelectronics
Stradale Primosole, 50
I-95121 Catania
Italie.
1.4. Description du produit évalué
En termes de description technique, les fonctionnalités de sécurité du produit ainsi que son
cycle de vie sont identiques à celles de la version B.
Le périmètre d’évaluation est également identique à celui de la version précédente (cf.
[2004/21]).
Rapport de certification 2004/31 Micro-circuit ST19XR34F
Page 8 sur 24
2. L’évaluation
2.1. Commanditaire
STMicroelectronics
Smartcard IC division
ZI de Rousset, BP2
13106 ROUSSET CEDEX
FRANCE
2.2. Référentiels d’évaluation
L’évaluation a été menée conformément aux Critères Communs [CC], à la méthodologie
d’évaluation définie dans le manuel CEM [CEM], et à l’ensemble des interprétations finales
listées dans les rapports d’évaluation.
2.3. Centre d'évaluation
SERMA Technologies
30 avenue Gustave Eiffel
33608 Pessac
France
Téléphone : +33 (0)5 57 26 08 64
Adresse électronique : m.dus@serma.com
2.4. Evaluation de la cible de sécurité
La cible de sécurité [ST] définit le produit évalué et son environnement d’exploitation.
Toutes les exigences fonctionnelles et d’assurance de la cible de sécurité sont extraites
respectivement de la partie 2 et de la partie 3 des Critères Communs [CC].
La cible de sécurité répond aux exigences de la classe ASE.
2.5. Evaluation du produit
L’évaluation consiste à vérifier que le produit et sa documentation satisfont aux exigences
fonctionnelles et d’assurance définies dans la cible de sécurité [ST]. Dans le cadre d’une ré-
évaluation, les travaux consistent à analyser l’impact des évolutions du produit.
A l’issue de cette analyse d’impact, le centre d’évaluation peut réaliser à nouveau certaines
tâches d’évaluation relatives aux composants d’assurance pour lesquels les changements ont
un impact majeur sur la sécurité.
L’évaluation s’est déroulée de juillet à août 2004.
2.5.1. L’environnement de développement
Le développement du micro-circuit implique l’ensemble des sites identifiés au §1.3.
Micro-circuit ST19XR34F Rapport de certification 2004/31
Page 9 sur 24
Les environnements de développement des sites impliqués sont évalués et audités dans le
cadre des différentes évaluations et ré-évaluations des produits de STMicroelectronics (voir
notamment [2003/18] et [2004/09]). Les conclusions des travaux associés sont satisfaisantes.
Les environnements de développement liés à ces sites n’ont donc pas fait l’objet d’une
évaluation particulière au sein de ce projet.
Les tâches relatives à la classe ACM ont été partiellement réalisées, notamment pour vérifier
la mise à jour de la liste de configuration [LGC].
2.5.2. La conception du produit
La classe d’assurance ADV définit les exigences de raffinement des fonctions de sécurité du
produit depuis les spécifications globales présentes dans la cible de sécurité [ST] jusqu’à
l’implémentation de ces fonctions.
Dans le cadre de cette ré-évaluation, l’analyse de l’impact des évolutions sur la sécurité du
ST19XR34F a permis de conclure qu’il n’y avait pas nécessité de réaliser de travaux pour la
classe d’assurance ADV.
2.5.3. La livraison et l’installation
Conformément au guide pour l’évaluation « The application of CC to IC » (cf. [CC_IC]), les
livraisons considérées sont :
la livraison du code des applications embarquées au fabricant du micro-circuit,
la livraison des informations nécessaires au fabricant de réticules,
la livraison des réticules au fabricant du micro-circuit,
la livraison des micro-circuits au responsable de l’étape suivante (mise en micro-
module, encartage).
Les différents sites impliqués sont identifiés au §1.3 du présent rapport. Tous les flux relatifs
à l’ensemble des sites sont évalués et audités régulièrement dans le cadre des différentes
évaluations et ré-évaluations des produits de STMicroelectronics (voir notamment [2003/18]
et [2004/09]). Les conclusions des travaux associés sont satisfaisantes. Ces flux n’ont donc
pas fait l’objet d’évaluation pour ce projet.
Par ailleurs, le produit évalué ne comportant pas d’application embarquée spécifique, il ne
nécessite pas de phases d’installation, génération et démarrage spécifiques.
2.5.4. La documentation d’exploitation
Utilisation
Le produit évalué ne met pas en œuvre une application particulière. Il s’agit d’une plate-forme
matérielle et logicielle offrant différents services pour les logiciels embarqués dans l’optique
d’une utilisation de type « carte à puce ». De fait, il n’y a pas réellement d’utilisation à
proprement parler. Les utilisateurs du micro-circuit peuvent être vus (cf. document [CC_IC])
comme étant les développeurs des applications ainsi que tous les acteurs intervenant dans les
phases dites d’administration du micro-module et de la carte (phases 4 à 6) qui interviendront
notamment dans la configuration et la personnalisation des applications embarquées.
Dans le cadre de l’évaluation du ST19XR34F, ces rôles sont rappelés dans la cible de sécurité
[ST §5.3.1] : les utilisateurs sont définis comme étant les personnes pouvant mettre en œuvre
les fonctionnalités du micro-circuit, de sa bibliothèque logicielle et de son logiciel applicatif.
Cette définition comprend tous les utilisateurs utilisant le produit en mode « user » :
l’émetteur de la carte mais également le développeur du logiciel embarqué, le responsable de
l’encartage et la personne en charge d’intégrer la carte dans son système d’utilisation finale.
Rapport de certification 2004/31 Micro-circuit ST19XR34F
Page 10 sur 24
Administration
Le guide « The application of CC to Integrated Circuits » [CC_IC] spécifie les
administrateurs du produit comme étant les différents intervenants des phases 4 à 7 du cycle
de vie et qui configurent (personnalisation) le produit final. Ces opérations sont en grande
partie liées au type d’applications embarquées. Dans le cadre d’un micro-circuit, seules les
interfaces d’administration propres au micro-circuit sont évaluées. Par ailleurs, les phases 4 à
6 dites « d’administration » sont couvertes par une hypothèse dans le profil de protection, qui
suppose que les opérations associées à ces phases sont réalisées dans des conditions ne
remettant pas en cause la sécurité du produit. Ces conditions n’ont pas été évaluées.
Dans le cadre de l’évaluation du ST19XR34F, les rôles sont définis différemment. Dans la
cible de sécurité [ST, §5.3.1], les administrateurs sont définis comme étant :
TEST administrator : il est chargé de tester le produit dans son environnement de
développement et de changer la configuration du produit du mode « test » en
mode « issuer » (et éventuellement en mode « user » si besoin est). Ce rôle est
relatif à la phase 3 du cycle de vie ;
ISSUER administrator : chargé de réaliser un nombre limité de tests du produit,
de le personnaliser si besoin est et de changer la configuration du produit du
mode « issuer » en mode « user ». Ce rôle peut intervenir à différentes phases du
cycle de vie et peut être incarné par le développeur lui-même, le développeur du
logiciel embarqué, le responsable de l’encartage ou tout autre responsable
intervenant dans une phase ultérieure du cycle de vie. Ce rôle est relatif aux
phases 3 à 6 du cycle de vie.
Les guides d’utilisation et d’administration du produit ont été, en partie, mis à jour. Les
travaux d’évaluation ont donc été réalisés, avec ré-utilisation de résultats, pour les guides
n’ayant pas évolué.
Les guides d’utilisation et d’administration du produit (cf. [USR]) répondent aux exigences de
la partie 3 des critères communs [CC] en termes de contenu et de présentation des éléments de
preuve.
2.5.5. Les tests fonctionnels
Dans le cadre de cette ré-évaluation, l’analyse de l’impact des évolutions sur la sécurité du
ST19XR34F a permis de conclure qu’il n’y avait pas nécessité de réaliser de travaux pour la
classe d’assurance ATE.
2.5.6. L’analyse de vulnérabilité
L’analyse de l’impact des évolutions sur la sécurité du ST19XR34F (cf. [RTE]) a permis de
conclure à la nécessité de réaliser partiellement les travaux associés à la classe d’assurance
AVA : l’évaluateur a réalisé une mise à jour de l’analyse de vulnérabilité indépendante dont
les résultats ne montrent pas de vulnérabilités exploitables au niveau d’évaluation considéré.
Le produit dans son environnement d’exploitation est résistant à des attaquants disposant d’un
potentiel d’attaque élevé.
Micro-circuit ST19XR34F Rapport de certification 2004/31
Page 11 sur 24
3. Conclusions de l'évaluation
3.1. Rapport technique d’évaluation
Le rapport technique d’évaluation [RTE] décrit les résultats de l’évaluation du micro-circuit
ST19XR34F.
3.2. Niveau d'évaluation
Le produit micro-circuit ST19XR34F a été évalué selon les Critères Communs [CC] et sa
méthodologie [CEM] au niveau EAL41
augmenté des composants d'assurance suivants,
conformes à la partie 3 des Critères Communs :
Composants Descriptions
ADV_FSP.3 Semiformal functional specification
ADV_IMP.2 Implementation of the TSF
ALC_DVS.2 Sufficiency of security measures
ALC_FLR.1 Basic Flaw Remediation
AVA_CCA.1 Covert Channel Analysis
AVA_VLA.4 Highly resistant
Tableau 1 - Augmentations
Pour tous les composants, les verdicts suivants ont été émis :
Class ASE Security Target evaluation
ASE_DES.1 TOE description [2002/18]
ASE_ENV.1 Security environment [2002/18]
ASE_INT.1 ST introduction [2002/18]
ASE_OBJ.1 Security objectives [2002/18]
ASE_PPC.1 PP claims [2002/18]
ASE_REQ.1 IT security requirements [2002/18]
ASE_SRE.1 Explicitly stated IT security
requirements
[2002/18]
ASE_TSS.1 Security Target, TOE summary
specification
[2002/18]
Class ACM Configuration management
ACM_AUT.1 Partial CM automation [2002/18]
ACM_CAP.4 Generation support and acceptance
procedures
Réussite
ACM_SCP.2 Problem tracking CM coverage [2002/18]
Class ADO Delivery and operation
1
Annexe 3 : tableau des différents niveaux d’assurance d’évaluation (EAL – Evaluation Assurance Level)
prédéfinis dans les Critères Communs [CC].
Rapport de certification 2004/31 Micro-circuit ST19XR34F
Page 12 sur 24
ADO_DEL.2 Detection of modification [2004/09]
ADO_IGS.1 Installation, generation, and start-up
procedures
[2002/18]
Class ADV Development
ADV_FSP.3 Semiformal functional specification [2002/18]
ADV_HLD.2 Security enforcing high-level design [2002/18]
ADV_IMP.2 Implementation of the TSF [2002/18]
ADV_LLD.1 Descriptive low-level design [2002/18]
ADV_RCR.1 Informal correspondence demonstration [2002/18]
ADV_SPM.1 Informal TOE security policy model [2002/18]
Class AGD Guidance
AGD_ADM.1 Administrator guidance Réussite
AGD_USR.1 User guidance Réussite
Class ALC Life cycle support
ALC_DVS.2 Sufficiency of security measures [2004/09]
ALC_FLR.1 Basic Flaw Remediation [2004/09]
ALC_LCD.1 Developer defined life-cycle model [2002/18]
ALC_TAT.1 Well-defined development tools [2002/18]
Class ATE Tests
ATE_COV.2 Analysis of coverage [2002/18]
ATE_DPT.1 Testing: high-level design [2002/18]
ATE_FUN.1 Functional testing [2002/18]
ATE_IND.2 Independent testing - sample [2002/18]
Class AVA Vulnerability assessment
AVA_CCA.1 Covert Channel Analysis [2002/18]
AVA_MSU.2 Validation of analysis [2002/18]
AVA_SOF.1 Strength of TOE security function
evaluation
[2002/18]
AVA_VLA.4 Highly resistant Réussite
Tableau 2 - Composants et verdicts associés
3.3. Exigences fonctionnelles
Le produit répond aux exigences fonctionnelles de sécurité suivantes1
. Les opérations sur
ces exigences sont décrites dans la cible de sécurité [ST].
• Potential violation analysis (FAU_SAA.1)
• Cryptographic Key Generation (FCS_CKM.1)
• Cryptographic operation (FCS_COP.1)
• Complete access control (FDP_ACC.2)
• Security attributes based access control (FDP_ACF.1)
• Subset information flow control (FDP_IFC.1)
1
Annexe 2 : tableau des exigences fonctionnelles de sécurité du produit évalué.
Micro-circuit ST19XR34F Rapport de certification 2004/31
Page 13 sur 24
• Simple security attributes (FDP_IFF.1)
• Partial elimination of illicit information flows (FDP_IFF.4)
• Basic internal transfer protection (FDP_ITT.1)
• Subset residual information protection (FDP_RIP.1)
• Stored data integrity monitoring and action (FDP_SDI.1)
• Stored data integrity monitoring and action (FDP_SDI.2)
• User attribute definition (FIA_ATD.1)
• TSF Generation of secrets (FIA_SOS.2)
• User authentication before any action (FIA_UAU.2)
• User Identification before any action (FIA_UID.2)
• Management of security functions behaviour (FMT_MOF.1)
• Management of security attributes (FMT_MSA.1)
• Static attribute initialisation (FMT_MSA.3)
• Security management roles (FMT_SMR.1)
• Unobservability (FPR_UNO.1)
• Notification of physical attack (FPT_PHP.2)
• Resistance to physical attack (FPT_PHP.3)
• TOE Security Functions testing (FPT_TST.1)
3.4. Résistance des fonctions
L’analyse de l’impact des évolutions sur la sécurité du ST19XR34F a permis de conclure
qu’il n’y avait pas nécessité de réaliser de travaux de mise à jour pour la famille d’assurance
SOF. Dans le cadre de la précédente évaluation, la fonction suivante avait fait l’objet d’une
estimation du niveau de résistance :
• authentification de l’administrateur en mode « test » et « issuer ».
Le niveau de résistance de la fonction de sécurité était jugé élevé (SOF-High).
3.5. Analyse de la résistance des mécanismes cryptographiques
La résistance des mécanismes cryptographiques n’a pas été analysée par la DCSSI.
3.6. Conformité à un profil de protection
Le produit répond aux exigences de sécurité du profil de protection PP/9806 [PP/9806].
3.7. Reconnaissance européenne (SOG-IS)
Ce certificat a été émis dans les conditions de l’accord du SOG-IS [SOG-IS].
3.8. Reconnaissance internationale (CC RA)
Ce certificat a été émis dans les conditions de l’accord du CC RA [CC RA]. Toutefois, les
augmentations suivantes n’entrent pas dans le cadre de l’accord : ADV_FSP.3, ADV_IMP.2,
ALC_DVS.2, AVA_VLA.4 et AVA_CCA.1 (Tableau 1).
Rapport de certification 2004/31 Micro-circuit ST19XR34F
Page 14 sur 24
3.9. Restrictions d'usage
L’environnement d’exploitation doit respecter les objectifs de sécurité sur l’environnement
(§ 3.10) ainsi que les recommandations se trouvant dans les guides utilisateur et
administrateur [USR].
Les résultats de l’évaluation ne sont valables que dans la configuration spécifiée dans le
présent rapport de certification.
De plus, la présente évaluation donne une appréciation de la résistance du produit à des
attaques qui demeurent fortement génériques du fait de l’absence d’application spécifique
embarquée. Par conséquent, la sécurité d’un produit complet construit sur le micro-circuit ne
pourra être appréciée qu’au travers d’une évaluation du produit complet. Cette évaluation
pourra être réalisée en ré-utilisant les résultats de la présente évaluation.
3.10. Objectifs de sécurité sur l’environnement
Les objectifs de sécurité suivants sont extraits de la cible de sécurité du produit [ST § 4.2] :
Objectifs de sécurité sur l’environnement concernant le système en phase d’utilisation
Ces objectifs de sécurité concernent le système dans lequel sera utilisé le micro-circuit avec
son application embarquée (extraits de la cible de sécurité [ST § 4.2.6]) :
• la communication entre un produit développé sur le micro-circuit sécurisé et
d’autres produits doit être sécurisée (en termes de protocole et de procédure) ;
• le système (terminal, communication,…) doit garantir la confidentialité et
l’intégrité des données sensibles qu’il stocke ou qu’il traite.
3.11. Synthèse des résultats
L'ensemble des travaux réalisés par le centre d'évaluation est accepté par le centre de
certification qui atteste que le micro-circuit ST19XR34F, identifié au paragraphe 1.2 et décrit
au paragraphe 1.4 du présent rapport, est conforme aux exigences spécifiées dans la cible de
sécurité [ST]. L'ensemble des travaux d'évaluation et les résultats de ces travaux sont décrits
dans le rapport technique d'évaluation [RTE].
Micro-circuit ST19XR34F Rapport de certification 2004/31
Page 15 sur 24
Annexe 1. Visite de site
Aucune visite de site spécifique n’a été réalisée dans le cadre de l’évaluation de ce produit.
Rapport de certification 2004/31 Micro-circuit ST19XR34F
Page 16 sur 24
Annexe 2. Exigences fonctionnelles de sécurité du produit
évalué
Attention : les descriptions des composants fonctionnels suivants sont données à titre
indicatif. Seule une lecture attentive de la cible de sécurité ([ST]) peut apporter la description
exacte des exigences fonctionnelles du produit.
Class FAU Security audit
Security audit analysis
FAU_SAA.1
Potential violation analysis
Le produit doit implémenter un seuil de détection élémentaire, défini selon une
règle fixée (spécifiée dans la cible de sécurité [ST]).
Class FCS Cryptographic support
Cryptographic key management
FCS_CKM.1
Cryptographic key generation
Le produit doit générer des clés cryptographiques conformément à un algorithme
et des tailles de clés spécifiées qui peuvent être basés sur une norme identifiée.
Les paramètres de cette exigence sont spécifiés dans la cible de sécurité [ST].
Cryptographic operation
FCS_COP.1
Cryptographic operation
Le produit doit exécuter des opérations cryptographiques conformément à un
algorithme spécifié et des clés cryptographiques dont les tailles peuvent prendre
plusieurs valeurs spécifiées. L‘algorithme et les tailles des clés cryptographiques
spécifiés peuvent être basés sur une norme identifiée (spécifiés dans la cible de
sécurité [ST]).
Class FDP User data protection
Access control policy
FDP_ACC.2
Complete access control
Chaque règle de contrôle d’accès identifiée doit s’appliquer à toutes les opérations
sur les sujets et objets couverts par cette règle. De plus tous les objets et toutes les
opérations doivent être couverts par au moins une règle de contrôle d’accès
identifiée.
Access control functions
FDP_ACF.1
Security attribute based access control
Le produit doit mettre en œuvre des accès basés sur des attributs de sécurité et des
groupes d’attributs désignés. Il peut aussi offrir l’aptitude d’autoriser ou de refuser
explicitement l’accès à un objet sur la base d’attributs de sécurité.
Information flow control policy
FDP_IFC.1
Subset information flow control
Le produit doit appliquer les politiques de sécurité de contrôle de flux
d’information, lesquelles sont spécifiées dans la cible de sécurité [ST] pour un
sous-ensemble des opérations possibles sur un sous-ensemble des flux
d’information.
Micro-circuit ST19XR34F Rapport de certification 2004/31
Page 17 sur 24
Information flow control functions
FDP_IFF.1
Simple security attributes
Ce composant impose des attributs de sécurité aux informations, aux sujets qui
déclenchent le transfert de ces informations ainsi qu’aux sujets qui reçoivent ces
informations. Ce composant spécifie les règles qui doivent être appliquées par la
fonction et décrit comment les attributs de sécurité sont choisis par la fonction.
Stored data integrity
FDP_SDI.1
Stored data integrity monitoring
Le produit doit contrôler les données des utilisateurs stockées pour rechercher des
erreurs d’intégrité identifiées.
Class FIA Identification and authentication
User attribute definition
FIA_ATD.1
User attribute definition
Les attributs de sécurité spécifiés dans la cible de sécurité [ST] doivent être
maintenus individuellement pour chaque utilisateur.
User authentication
FIA_UAU.2
User authentication before any action
Les utilisateurs doivent s’authentifier avant que toute action ne soit autorisée.
User identification
FIA_UID.2
User identification before any action
Les utilisateurs doivent s’identifier avant que toute action ne soit autorisée.
Class FMT Security management
Management of functions in TSF
FMT_MOF.1
Management of security functions behaviour
Le produit doit limiter la capacité à gérer le comportement des fonctions de
sécurité du produit à des utilisateurs autorisés (spécifiés dans la cible de sécurité
[ST]).
Management of security attributes
FMT_MSA.1
Management of security attributes
Les utilisateurs autorisés doivent pouvoir gérer les attributs de sécurité spécifiés.
FMT_MSA.3
Static attribute initialisation
Le produit doit garantir que les valeurs par défaut des attributs de sécurité sont soit
de nature permissive soit de nature restrictive.
Security management roles
FMT_SMR.1
Security roles
Les rôles relatifs à la sécurité que le produit reconnaît doivent être identifiés et
associés à des utilisateurs (spécifiées dans la cible de sécurité [ST]).
Class FPR Privacy
Unobservability
FPR_UNO.1
Unobservability
Le produit n’autorise pas certains utilisateurs (spécifiées dans la cible de sécurité
[ST]) à déterminer si certaines opérations (spécifiées dans la cible de sécurité
[ST]) sont en cours d’exécution.
Class FPT Protection of the TSF
TSF physical protection
FPT_PHP.2
Notification of physical attack
Le produit doit notifier automatiquement l’intrusion physique sur certaines parties
du produit (spécifiées dans la cible de sécurité [ST]).
Rapport de certification 2004/31 Micro-circuit ST19XR34F
Page 18 sur 24
FPT_PHP.3
Resistance to physical attack
Le produit doit empêcher ou résister à certaines intrusions physiques (spécifiées
dans la cible de sécurité [ST]) sur certaines parties du produit (spécifiées dans la
cible de sécurité [ST]).
TSF self test
FPT_TST.1
TSF testing
Le produit doit effectuer des tests permettant de s’assurer de son fonctionnement
correct. Ces tests peuvent être effectués au démarrage, de façon périodique, à la
demande d’un utilisateur autorisé ou quand d’autres conditions sont remplies. Le
produit doit aussi permettre aux utilisateurs autorisés de contrôler l’intégrité de
données du produit et du code exécutable.
Micro-circuit ST19XR34F Rapport de certification 2004/31
Page 19 sur 24
Annexe 3. Niveaux d'assurance prédéfinis EAL
Composants par niveau d’assurance
Classe Famille
EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7
ACM_AUT 1 1 2 2
ACM_CAP 1 2 3 4 4 5 5
Classe ACM
Gestion de configuration
ACM_SCP 1 2 3 3 3
ADO_DEL 1 1 2 2 2 3
Classe ADO
Livraison et opération ADO_IGS 1 1 1 1 1 1 1
ADV_FSP 1 1 1 2 3 3 4
ADV_HLD 1 2 2 3 4 5
ADV_IMP 1 2 3 3
ADV_INT 1 2 3
ADV_LLD 1 1 2 2
ADV_RCR 1 1 1 1 2 2 3
Classe ADV
Développement
ADV_SPM 1 3 3 3
AGD_ADM 1 1 1 1 1 1 1
Classe AGD
Guides d’utilisation AGD_USR 1 1 1 1 1 1 1
ALC_DVS 1 1 1 2 2
ALC_FLR
ALC_LCD 1 2 2 3
Classe ALC
Support au cycle de vie
ALC_TAT 1 2 3 3
ATE_COV 1 2 2 2 3 3
ATE_DPT 1 1 2 2 3
ATE_FUN 1 1 1 1 2 2
Classe ATE
Tests
ATE_IND 1 2 2 2 2 2 3
AVA_CCA 1 2 2
AVA_MSU 1 2 2 3 3
AVA_SOF 1 1 1 1 1 1
Classe AVA
Estimation des
vulnérabilités
AVA_VLA 1 1 2 3 4 4
Rapport de certification 2004/31 Micro-circuit ST19XR34F
Page 20 sur 24
Annexe 4. Références documentaires du produit évalué
[2002/18] Rapport de certification 2002/18 - Plate-forme ST19X -
Micro-circuit ST19XR34,
Août 2002
SGDN/DCSSI
[2003/18] Rapport de certification 2003/18 - Micro-circuit ST19WK08C,
Décembre 2003
SGDN/DCSSI
[2004/09] Rapport de certification 2004/09 - Micro-circuit ST19XR08B,
6 mai 2004
SGDN/DCSSI
[2004/21] Rapport de certification 2004/21 - Micro-circuit ST19XR34B,
9 juillet 2004,
SGDN/DCSSI
[DEL] Internal and external managements for smartcards new codes",
Référence : 7100037, rev.C
STMicroelectronics
[LGC] Liste de Configuration - ST19XR34F (K520)
Référence : PEN_GRENAT_XR34_CFGL_04_001
STMicroelectronics
[PP9806]
Common Criteria for Information Technology Security Evaluation -
Protection Profile : Smart Card Integrated Circuit Version 2.0, Issue
September 1998.
Certifié par le centre de certification français sous la référence 9806.
Document publié sur le site : www.ssi.gouv.fr
[RTE]
• Evaluation Technical Report - ST19XR34F - (EAL4+
evaluation)
Référence : GRENAT_XR34F_ETR v1.1
Serma Technologies
Pour les besoins des évaluations en composition, le RTE suivant a été
fournie et validée dans le cadre de cette évaluation :
• ETR-lite for composition - ST19XR34F - (EAL4+ evaluation),
Référence : GRENAT_XR34F_ETR_lite v1.0
Serma Technologies
[SIA_DEV] Impact Analysis for ST19XR34F, v1.0
Référence : SMD_GRENAT_SIA_04_001_V1.0
STMicroelectronics
Micro-circuit ST19XR34F Rapport de certification 2004/31
Page 21 sur 24
[ST] Cible générique à tous les micro-circuits ST19X :
• ST19X GENERIC SECURITY TARGET
Référence : STM_ST_ST19X0104_003 v1.3
STMicroelectronics
Cible spécifique aux micro-circuits ST19XR34 :
• ST19XR34 - Security Target Lite
Référence : PID_GRENAT_ST_02_004_V01.30
STMicroelectronics
Pour les besoins de la reconnaissance internationale, la cible suivante a
été fournie et validée dans le cadre de cette évaluation :
• ST19XR34 Security Target
Référence : SMD_ST19XR34_ST_04_001_V1.00
STMicroelectronics
[USR] Les guides d’utilisation et d’administration du produit sont constitués des
documents suivants :
• ST19XR34 - Data Sheet
Référence : DS_19XR34/0206V2
STMicroelectronics
• Manuals of security recommendations v1.7
Référence : APM_19X-19W_SECU/0312V1.7
STMicroelectronics
• ST19X-ST19W - Security Application Manual - Addendum to
V1.7
Référence : AD_APM_19X-19W_SECU/0405V4
STMicroelectronics
• Manual for System ROM (Issuer configuration)
Référence : UM_19XV2_SR_I/0204V1
STMicroelectronics
• Addendum to Manual for System ROM
Référence : AD_UM_19W_SR_I/0308V1.1
STMicroelectronics
• Technical Note for ATR in Issuer mode,
Référence : TN_19XRxx_ATR/0403V1
STMicroelectronics
• ST19X - DES Library 1 – User Manual
Référence : UM_19X_DESLIB1/0305 v3.1
STMicroelectronics
• Crypto Library LIB4 V2.0 – User Manual
Référence : UM_19X_LIB4V2/0301V1.1
STMicroelectronics
• System Library - User Manual
Référence : UM_19X-19W_SYSLIB/0404V2.1
STMicroelectronics
Rapport de certification 2004/31 Micro-circuit ST19XR34F
Page 22 sur 24
• Contactless Communication Library – User Manual
Référence : PM_19XRxx_RFComLib/0401V1
STMicroelectronics
• Application Note - Contactless operations recommandations,
Référence : AN_19XRxx_RECOMM/0406V3
STMicroelectronics
Micro-circuit ST19XR34F Rapport de certification 2004/31
Page 23 sur 24
Annexe 5. Références liées à la certification
Décret 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité
offerte par les produits et les systèmes des technologies de l'information.
[CER/P/01] Procédure CER/P/01 Certification de la sécurité offerte par les produits et
les systèmes des technologies de l'information, DCSSI.
[CRY/I/01] Instruction CRY/I/01 Analyse des mécanismes cryptographiques, DCSSI.
[CC] Critères Communs pour l’évaluation de la sécurité des technologies de
l’information:
• Part 1: Introduction and general model,
August 1999, version 2.1, ref CCIMB-99-031 ;
• Part 2: Security functional requirements,
August 1999, version 2.1, ref CCIMB-99-032 ;
• Part 3: Security assurance requirements,
August 1999, version 2.1, réf: CCIMB-99-033.
Le contenu des Critères Communs version 2.1 est identique à celui de la
Norme Internationale ISO/IEC 15408:1999, comportant les trois
documents suivants :
• ISO/IEC 15408-1: Part 1 Introduction and general model ;
• ISO/IEC 15408–2: Part 2 Security functional requirements ;
• ISO/IEC 15408–3: Part 3 Security assurance requirements.
[CEM] Méthodologie d’évaluation de la sécurité des technologies de
l’information:
• Part 2: Evaluation Methodology,
August 1999, version 1.0, ref CEM- 99/045.
[CC_AP] Common Criteria supporting documentation - Application of attack
potential to smart-cards, version 1.1, July 2002
[CC_IC] Common Criteria supporting documentation - The Application of CC to
Integrated Circuits, Version 1.2, July 2000
[CC RA] Arrangement on the Recognition of Common criteria certificates in the
field of information Technology Security, may 2000.
[SOG-IS] «Mutual Recognition Agreement of Information Technology Security
Evaluation Certificates», version 2.0, April 1999, Management Committee
of Agreement Group.
Rapport de certification 2004/31 Micro-circuit ST19XR34F
Page 24 sur 24
Toute correspondance relative à ce rapport doit être adressée au :
Secrétariat Général de la Défense Nationale
Direction Centrale de la Sécurité des Systèmes d'Information
Bureau certification
51, boulevard de la Tour Maubourg
75700 PARIS cedex 07 SP
certification.dcssi@sgdn.pm.gouv.fr
La reproduction de ce document sans altérations ni coupures est autorisée.