PREMIER MINISTRE
Secrétariat général de la défense nationale
Agence nationale de la sécurité des systèmes d’information
Rapport de certification ANSSI-CC-2009/34
Carte à puce JCLX80jTOP20ID :
Java Trusted Open Platform IFX#v42,
avec patch en version 2.0,
masquée sur composants
SLE66CLX800PE et SLE66CLX360PE
Paris, le 27 octobre 2009
Le vice-amiral Michel Benedittini
Directeur général adjoint
Agence nationale de la sécurité des systèmes d’information
[ORIGINAL SIGNE]
Rapport de certification ANSSI-CC-2009/34
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE
Page 2 sur 22 CER/F/07.5
Avertissement
Ce rapport est destiné à fournir aux commanditaires un document leur permettant d’attester du
niveau de sécurité offert par le produit dans les conditions d’utilisation ou d’exploitation
définies dans ce rapport pour la version qui a été évaluée. Il est destiné également à fournir à
l’acquéreur potentiel du produit les conditions dans lesquelles il pourra exploiter ou utiliser le
produit de manière à se trouver dans les conditions d’utilisation pour lesquelles le produit a
été évalué et certifié ; c’est pourquoi ce rapport de certification doit être lu conjointement aux
guides d’utilisation et d’administration évalués ainsi qu’à la cible de sécurité du produit qui
décrit les menaces, les hypothèses sur l’environnement et les conditions d’emploi
présupposées afin que l’utilisateur puisse juger de l’adéquation du produit à son besoin en
termes d’objectifs de sécurité.
La certification ne constitue pas en soi une recommandation du produit par l’agence nationale
de la sécurité des systèmes d’information (ANSSI), et ne garantit pas que le produit certifié
soit totalement exempt de vulnérabilités exploitables.
Toute correspondance relative à ce rapport doit être adressée au :
Secrétariat général de la défense nationale
Agence nationale de la sécurité des systèmes d’information
Centre de certification
51, boulevard de la Tour Maubourg
75700 Paris cedex 07 SP
certification.anssi@ssi.gouv.fr
La reproduction de ce document sans altération ni coupure est autorisée.
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE Rapport de certification ANSSI-CC-2009/34
Page 3 sur 22
Référence du rapport de certification
ANSSI-CC-2009/34
Nom du produit
Carte à puce JCLX80jTOP20ID :
Java Trusted Open Platform IFX#v42,
avec patch en version 2.0,
masquée sur composants
SLE66CLX800PE et SLE66CLX360PE
Référence/version du produit
Version plate-forme : IFX#v42
Version patch : 2.0
Conformité à un profil de protection
Néant
Critères d’évaluation et version
Critères Communs version 2.3
conforme à la norme ISO 15408:2005
Niveau d’évaluation
EAL 5 augmenté
ALC_DVS.2, AVA_VLA.4
Développeur(s)
Trusted Logic
5 rue du Bailliage, 78000 VERSAILLES,
FRANCE
Infineon Technologies AG
AIM CC SM PS - Am Campeon 1-12 -
85579 Neubiberg, GERMANY
Commanditaire
Trusted Logic
5 rue du Bailliage, 78000 VERSAILLES, FRANCE
Centre d’évaluation
Serma Technologies
30 avenue Gustave Eiffel, 33608 Pessac, France
Tél : +33 (0)5 57 26 08 75, mél : e.francois@serma.com
Accords de reconnaissance applicables
CCRA
Le produit est reconnu au niveau EAL4.
SOG-IS
Rapport de certification ANSSI-CC-2009/34
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE
Page 4 sur 22 CER/F/07.5
Préface
La certification
La certification de la sécurité offerte par les produits et les systèmes des technologies de
l’information est régie par le décret 2002-535 du 18 avril 2002, publié au Journal officiel de la
République française. Ce décret indique que :
• L’agence nationale de la sécurité des systèmes d’information élabore les rapports de
certification. Ces rapports précisent les caractéristiques des objectifs de sécurité
proposés. Ils peuvent comporter tout avertissement que ses rédacteurs estiment utile de
mentionner pour des raisons de sécurité. Ils sont, au choix des commanditaires,
communiqués ou non à des tiers ou rendus publics (article 7).
• Les certificats délivrés par le Premier ministre attestent que l’exemplaire des produits
ou systèmes soumis à évaluation répond aux caractéristiques de sécurité spécifiées. Ils
attestent également que les évaluations ont été conduites conformément aux règles et
normes en vigueur, avec la compétence et l’impartialité requises (article 8).
Les procédures de certification sont disponibles sur le site Internet www.ssi.gouv.fr.
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE Rapport de certification ANSSI-CC-2009/34
Page 5 sur 22
Table des matières
1. LE PRODUIT ............................................................................................................................... 6
1.1. PRESENTATION DU PRODUIT .................................................................................................. 6
1.2. DESCRIPTION DU PRODUIT ..................................................................................................... 6
1.2.1. Identification du produit................................................................................................ 7
1.2.2. Services de sécurité....................................................................................................... 9
1.2.3. Architecture................................................................................................................. 10
1.2.4. Cycle de vie ................................................................................................................. 12
1.2.5. Configuration évaluée................................................................................................. 13
2. L’EVALUATION ....................................................................................................................... 14
2.1. REFERENTIELS D’EVALUATION............................................................................................ 14
2.2. TRAVAUX D’EVALUATION ................................................................................................... 14
2.3. COTATION DES MECANISMES CRYPTOGRAPHIQUES SELON LES REFERENTIELS TECHNIQUES
DE L’ANSSI ...................................................................................................................................... 15
2.4. ANALYSE DU GENERATEUR D’ALEAS................................................................................... 15
3. LA CERTIFICATION............................................................................................................... 16
3.1. CONCLUSION........................................................................................................................ 16
3.2. RESTRICTIONS D’USAGE....................................................................................................... 16
3.3. RECONNAISSANCE DU CERTIFICAT ...................................................................................... 17
3.3.1. Reconnaissance européenne (SOG-IS) ....................................................................... 17
3.3.2. Reconnaissance internationale critères communs (CCRA) ........................................ 17
ANNEXE 1. NIVEAU D’EVALUATION DU PRODUIT.............................................................. 18
ANNEXE 2. REFERENCES DOCUMENTAIRES DU PRODUIT EVALUE ............................ 19
ANNEXE 3. REFERENCES LIEES A LA CERTIFICATION .................................................... 21
Rapport de certification ANSSI-CC-2009/34
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE
Page 6 sur 22 CER/F/07.5
1. Le produit
1.1. Présentation du produit
Le produit évalué est la carte à puce JCLX80jTOP20ID : Java Trusted Open Platform
(également dénommée synthétiquement en jTOP IFX#v42), plate-forme Java Card ouverte,
développée par Trusted Logic :
• compatible avec les spécifications de Java Card 2.2.1 et VISA GlobalPlatform 2.1.1 -
configuration 2 standard ;
• masquée sur des variantes (par la taille mémoire et les interfaces offertes) d’une même
famille de composants développées par Infineon Technologies, soit SLE66CLX800PE
et SLE66CLX360PE ;
• patchée par un code de version 2.0.
1.2. Description du produit
La cible de sécurité [ST] (Security Target) définit le produit évalué, ses fonctionnalités de
sécurité évaluées et son environnement d’exploitation.
La cible de sécurité s’inspire du profil de protection [JCSPP]1
. Etant donné que le mécanisme
RMI (Remote Method Invocation - méthode d’invocation à distance) et l’utilisation de
plusieurs Logical Channels (canaux logiques) ne sont pas inclus dans le périmètre de
l’évaluation, la conformité à ce profil de protection n’est pas réclamée.
1
[JCSPP] Java Card System Standard 2.2.1 Configuration Protection Profile, (« Standard 2.2.1 du
Système Carte Java, Profil de Protection de la Configuration »)
Version 1.0b, août 2003, enregistré et certifié par la DCSSI sous la référence PP/0305.
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE Rapport de certification ANSSI-CC-2009/34
Page 7 sur 22
1.2.1. Identification du produit
Les éléments constitutifs du produit sont identifiés dans la liste de configuration [CONF].
La version certifiée du produit est identifiable par les éléments suivants :
Sujet concerné Configuration concernée Origine
jTOP ID platform Trusted Logic
Nom commercial
JCLX80jTOP20ID Infineon
Nom long de la TOE
(Target Of Evaluation –
cible d’évaluation)
Java Trusted Open Platform IFX#v42 on
SLE66CLX800PE
Trusted Logic
Version de la plate-forme
(label interne)
IFX#v42 Trusted Logic
Version du patch 2.0 Trusted Logic
Label CM
(Code ROM)
TREL_INF_SLE66_VGP211_V42_00 Trusted Logic
Label CM
(Code EEPROM)
TREL_INF_SLE66_VGP211_V42_00_PA
TCH_V2_0
Trusted Logic
Label générique du
composant
SLE66CLX800PE Infineon
Identifiant des variantes
du composant entrant dans
le périmètre de
l’évaluation
SLE66CLX800PE / m1581-e13/a14,
SLE66CLX360PE / m1587-e13/a14
Infineon
A partir des variantes du composant, le fabricant décline d’autres sous-variantes pour des
raisons commerciales. Ces sous-variantes commerciales sont obtenues en initialisant, lors de
la phase de fabrication, des paramètres ad’hoc correspondant à la taille mémoire, aux
interfaces offertes et aux algorithmes cryptographiques autorisés. Le nommage adopté par le
fabricant pour ces sous-variantes est JC(L)(X)xxjTOP20IDv2 dans lequel :
• « L » indique, s’il est présent, que l'interface sans contact est activée ;
• « X » indique, s’il est présent, que les algorithmes cryptographiques asymétriques sont
activés ;
• « xx » indique la taille EEPROM qui peut être utilisée par le client final (maximum 80
Ko sur le composant SLE66CLX800PE et 36 Ko sur le composant
SLE66CLX360PE) ;
• « jTOP20IDv2 » identifie de manière unique la plateforme jTOP IFXv#42 objet de ce
rapport de certification.
Ces sous-variantes sont toutes incluses dans le périmètre de l’évaluation.
Rapport de certification ANSSI-CC-2009/34
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE
Page 8 sur 22 CER/F/07.5
Des échantillons de la TOE ont été fournis pour les besoins d’évaluation. La TOE peut être
identifiée de manière unique par lecture des octets d’ATR (Answer To Reset - réponse à la
mise sous tension) :
• 3B FE 18 00 00 80 31 FE 45 80 31 80 66 40 90 A4 16 2A 20 83 XX 90 00 dans
lesquels, les octets historiques permettent d’identifier :
o le fabricant du composant : 40 90 ;
o le type du composant : A42
(c’est-à-dire SLE66CLX800PE) ;
o le type du masque : 16 ;
o la version du masque : 2A (c’est-à-dire IFX#42) ;
o la version du patch : 20 (2.0 est la version courante du patch).
Le dernier octet XX précédant le mot d’état (90 00) est variable, il dépend de l’état courant du
cycle de vie de la carte (dans l’implémentation GlobalPlatfom, va de OP_READY à
TERMINATED).
Ces informations permettent de tracer tous les éléments constitutifs de la TOE (composant,
masque matériel, version et patch logiciel). Elles permettent d’identifier correctement et de
façon unique la TOE. Elles ont pu être vérifiées sur les versions successives de la TOE reçues
lors de l’évaluation.
2
Pour SLE66CLX360PE, la valeur serait B6.
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE Rapport de certification ANSSI-CC-2009/34
Page 9 sur 22
1.2.2. Services de sécurité
Les principaux services de sécurité fournis par le produit sont :
• Card Management
o Issuer Security Domain
ƒ OPEN
ƒ Card Content Management
• Card Content Loading
• Card Content Installation
• Card Content Deletion
ƒ Life Cycle Management
ƒ Administration Commands Control
o Secure Channels
ƒ Host Authentication
ƒ Message Integrity and Authentication
ƒ Message Data Confidentiality
ƒ Secure Channel Termination
o Secure Channel Key Management
ƒ Session Key Generation
ƒ ISD Key Loading and Replacement
o Cardholder Verification Management
ƒ Global CVM
• Runtime Environment
o Application Reference Monitors
ƒ Java Card Firewall
ƒ Defensive Java Card Virtual Machine
o Security countermeasures
ƒ Card Muting
ƒ Card Locking
ƒ Card Termination
o Life Cycle Management
ƒ Clearing sensitive information
ƒ Booting Tests
o Integrity
ƒ Atomic Transactions
o Service Availability
ƒ Resource Quotas
o Cryptography
ƒ Signature Generation and Verification
ƒ Encryption and Decryption
ƒ Message Digest Generation
ƒ Random Number Generation
o Key Management
ƒ Key Generation
ƒ Key Agreement
ƒ Key Encryption
ƒ Key Integrity
ƒ Key Destruction
Rapport de certification ANSSI-CC-2009/34
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE
Page 10 sur 22 CER/F/07.5
o Cardholder Authentication
ƒ Cardholder Verification
ƒ PIN Value Integrity
• Integrated Circuit TSFs
o Operating State Checking
o Phase Management
o Protection Against Snooping
o Hardware Data Encryption
o True Random Number Generation
o Hardware Self Test
o Notification of Physical Attack
o Memory Management Unit
o Cryptographic Support
1.2.3. Architecture
L’évaluation porte sur un produit en composition, une carte à puce complète composée d’un
système d’exploitation, incluant :
• le système Java Card 2.2.1 (carte java 2.2.1), c’est-à-dire :
o JCVM (Java Card Virtual Machine - machine virtuelle carte java) ;
o JCRE (Java Card Runtime Environment - environnement d’exécution de la
carte java) ;
o JCAPI (Java Card Application Program Interface - interface du programme
d’application de la carte java) ;
• VISA GlobalPlatform 2.1.1 - configuration 2.
L’ensemble du logiciel est masqué dans la ROM du microcontrôleur SLE66CLX800PE /
SLE66CLX360PE qui a été certifié puis maintenu par le BSI (cf. [BSI-482_M5]).
Le résultat de cette composition est une carte à puce de type plate-forme Java Card ouverte et
sécurisée capable d’héberger des applications Java Card.
Les différentes opérations impliquées dans la gestion de ces applications sont accomplies
conformément aux spécifications de VISA GlobalPlatform 2.1.1, configuration 2. Les
opérations de gestion comprennent le téléchargement d’applications Java Card, leur
installation, suppression, sélection en vue de leur exécution, la gestion du cycle de vie de la
carte et des applications, et le partage d’un PIN (Personal Identification Number - code
d’identification personnel) global commun à toutes les applications installées dans la carte.
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE Rapport de certification ANSSI-CC-2009/34
Page 11 sur 22
Le schéma global de l’architecture du produit est :
Programming Rules
& Bytecode Verification
Operating System
OPEN
Applet
Applet
Native
Applications
Java Card Platform
JC API
ISD G
P
A
P
I
Applet
TOE
Secure
Environment
Potentially
hostile
environment
Secure Channel
Protocol
SLE66CLX800PE/SLE66CLX360PE
DAP
Secure
Environment
Card Administrator Verification Authority
DAP
Signature
Secure Channel
Other
APIs
TL API
Programming Rules
& Bytecode Verification
Operating System
OPEN
Applet
Applet
Applet
Applet
Native
Applications
Java Card Platform
JC API
ISD G
P
A
P
I
Applet
Applet
TOE
Secure
Environment
Potentially
hostile
environment
Secure Channel
Protocol
SLE66CLX800PE/SLE66CLX360PE
DAP
DAP
Secure
Environment
Card Administrator Verification Authority
DAP
Signature
Secure Channel
Other
APIs
TL API
Les éléments suivants sont dans le périmètre de l’évaluation :
• Java Card 2.2.1 (excepté le RMI et les canaux logiques) ;
• VISA GlobalPlatform 2.1.1, configuration 2 ;
• des APIs Java Card propriétaires additionnelles (util, security) ;
• toutes les primitives cryptographiques exceptées :
o la primitive AES,
o la primitive RSA lorsque la taille de la clé est inférieure à 1 024 bits ;
cependant, le RSA est utilisé pour la vérification DAP (Data Authentication
Pattern – reconnaissance des données d’authentification ) et, à ce seul titre, fait
partie de la TOE ;
• le cycle de vie de la TOE comprend les phases de conception et de développement du
logiciel masqué. Les phases de conception et de fabrication du composant sont
également couvertes en composition.
Le produit final est une plate-forme Java Card personnalisée sans applet chargée.
Les éléments suivants sont en dehors du périmètre de l’évaluation :
• le RMI ;
• les canaux logiques ;
• des APIs Java Card propriétaires additionnelles (filesystem, math, sim) ;
• toute application native qui pourrait être masquée dans le composant ;
• toute applet Java Card qui pourrait être chargée sur la plate-forme.
Rapport de certification ANSSI-CC-2009/34
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE
Page 12 sur 22 CER/F/07.5
1.2.4. Cycle de vie
Comme précisé précédemment, le périmètre d´évaluation comprend les phases de conception
et de développement du logiciel masqué (la phase de conception et de fabrication du
composant étant couverte par l’évaluation du composant). C’est le bloc qui est intitulé
« Platform design » dans la figure suivante ; cette dernière représente tout le cycle de vie dans
lequel la cible d’évaluation s’inscrit.
Les phases d’initialisation et de personnalisation de la plate-forme sont en dehors du
périmètre de l’évaluation. Les fonctions de sécurité de la TOE sont évaluées dans la Phase
d´utilisation (état SECURED du cycle de vie GlobalPlatform).
Platform software & any
embedded applications
Platform design
Application
design
IC &
dedicated
platform
design
Tools
&
manuals
Manuals
IC Production
To be masked Platform data &
embedded
applications
Platform fabrication & initialization
Loaded
directly
Application loading
Application management & use
Application deletion
OP_READY Life Cycle State
Development
Initialization
Card
is
operational
Platform
Production
Platform
Usage
Platform personalization
Platform
upgrades
Application
loading
INITIALIZED Life Cycle State
Platform software & any
embedded applications
Platform design
Application
design
IC &
dedicated
platform
design
Tools
&
manuals
Manuals
IC Production
To be masked Platform data &
embedded
applications
Platform fabrication & initialization
Loaded
directly
Application loading
Application management & use
Application deletion
OP_READY Life Cycle State
Development
Initialization
Card
is
operational
Platform
Production
Platform
Usage
Platform personalization
Platform
upgrades
Application
loading
INITIALIZED Life Cycle State
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE Rapport de certification ANSSI-CC-2009/34
Page 13 sur 22
La plate-forme a été développée sur le site suivant :
Trusted Logic SA
5 rue du Bailliage
78000 Versailles
France
Le composant a été développé sur le site de :
INFINEON TECHNOLOGIES AG
AIM CC SM PS
Am Campeon 1-12
85579 Neubiberg
Allemagne
Pour l’évaluation, l’évaluateur a considéré comme administrateur du produit le Card
Administrator (administrateur de la carte) dont le rôle est défini dans [ST] et rappelé dans le
guide d’administration du produit au chapitre Définitions (cf. [GUIDES]).
En particulier, il est le représentant du Card Issuer (émetteur de la carte). Il a le contrôle du
contenu de la carte, ainsi que de la gestion du cycle de vie de cette dernière. Durant la phase
d’initialisation de la plate-forme, ce rôle est endossé par le Card Enabler (chargé
d’habilitations de la carte). Durant la phase d’utilisation de la plate-forme, le Card
Administrator peut verrouiller, déverrouiller, ou terminer la carte, télécharger de nouvelles
applets sur la carte, modifier les clés statiques de l’ISD (Issuer Security Domain - domaine de
sécurité de l’émetteur) ou récupérer des informations d’administration de la carte.
Par ailleurs, l’évaluateur a considéré comme utilisateurs du produit les Application
Developers (développeurs d’applications) dont les responsabilités sont détaillées dans le guide
d’utilisation du produit (cf. [GUIDES]).
1.2.5. Configuration évaluée
Le certificat porte sur la plate-forme Java Card seule (telle que présentée au paragraphe 1.2.3
Architecture) et configurée conformément au guide de personnalisation (Cf. [GUIDES]).
Rapport de certification ANSSI-CC-2009/34
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE
Page 14 sur 22 CER/F/07.5
2. L’évaluation
2.1. Référentiels d’évaluation
L’évaluation a été menée conformément aux Critères Communs version 2.3 [CC], à la
méthodologie d’évaluation définie dans le manuel CEM [CEM].
Pour les composants d’assurance supérieurs au niveau EAL4, des méthodes propres au centre
d’évaluation, validées par l’ANSSI et compatibles avec le document [AIS 34], ont été
utilisées.
Pour répondre aux spécificités des cartes à puce, les guides [CC IC] et [CC AP] ont été
appliqués.
2.2. Travaux d’évaluation
L’évaluation en composition a été réalisée en application du guide [COMP] permettant de
vérifier qu’aucune faiblesse n’est introduite par l’intégration du logiciel dans le
microcontrôleur déjà certifié par ailleurs.
Cette évaluation a ainsi pris en compte les résultats de l’évaluation du microcontrôleur au
niveau EAL5 augmenté des composants ALC_DVS.2, AVA_MSU.3 et AVA_VLA.4 et
conformément au profil de protection [PP0002].
L’évaluation s’appuie sur les résultats d’évaluation de la carte à puce JCLX80jTOP20ID :
Java Trusted Open Platform sur composant SLE66CLX800PE certifiée par l’ANSSI (cf.
[DCSSI-2008_43]).
Le rapport technique d’évaluation [RTE], remis à l’ANSSI le 1er septembre 2009, détaille les
travaux menés par le centre d’évaluation et atteste que toutes les tâches d’évaluation sont à
« réussite ».
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE Rapport de certification ANSSI-CC-2009/34
Page 15 sur 22
2.3. Cotation des mécanismes cryptographiques selon les référentiels
techniques de l’ANSSI
La résistance des mécanismes cryptographiques a été analysée par l’ANSSI sur la version
précédente du produit (cf. [DCSSI-2008_43]).
Les résultats obtenus ont fait l’objet d’un rapport d’analyse [ANA-CRY] et donnent lieu aux
conclusions suivantes : certains des mécanismes analysés n’atteignent pas le niveau standard
défini dans le référentiel cryptographique de la DCSSI (Cf. [REF-CRY]).
L´analyse a identifié des faiblesses théoriques dans certains des mécanismes étudiés. Quoi
qu’il en soit, les résultats ont été pris en compte dans l’analyse de vulnérabilité indépendante
réalisée par l’évaluateur et n’ont pas permis de mettre en évidence de vulnérabilité exploitable
pour le niveau VLA visé.
2.4. Analyse du générateur d’aléas
L’analyse du générateur d’aléa a été faite par l’ANSSI sur la version précédente du produit
(cf. [DCSSI-2008_43]). Le produit dispose de deux générateurs de nombres aléatoires (notés
SMRNG et APRNG).
Tous deux utilisent le TRNG (True Randon Number Generator - générateur matériel de
nombres aléatoires) fourni par le composant. Ce TRNG a fait l'objet d'une évaluation selon la
méthodologie [AIS 31]. Il atteint le niveau Class P2 level High lorsqu’il est utilisé en
respectant les recommandations spécifiques décrites au chapitre 2 du [AN_RNG].
Le SMRNG est destiné aux seuls besoins du système d’exploitation. Les sorties de SMRNG
ne sont disponibles ni pour les applications, ni pour l’utilisateur final de la carte, et ne sont
pas utilisées pour des applications cryptographiques.
L’APRNG est destiné aux applications. Plus précisément, les données aléatoires générées,
combinaison de TRNG et d’un post-traitement cryptographique, sont utilisées pour :
• la génération des clés ;
• compléter les données de certains protocoles ;
• les données aléatoires fournies par la classe RandomData (JavaCard API).
L’APRNG a fait l’objet d’une analyse par la DCSSI qui indique qu’il est de niveau de
robustesse standard.
Rapport de certification ANSSI-CC-2009/34
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE
Page 16 sur 22 CER/F/07.5
3. La certification
3.1. Conclusion
L’évaluation a été conduite conformément aux règles et normes en vigueur, avec la
compétence et l’impartialité requises pour un centre d’évaluation agréé. L’ensemble des
travaux d’évaluation réalisés permet la délivrance d’un certificat conformément au décret
2002-535.
Ce certificat atteste que la carte à puce JCLX80jTOP20ID : Java Trusted Open Platform
IFX#v42, avec un patch de version 2.0, masquée sur composants SLE66CLX800PE et
SLE66CLX360PE d'Infineon Technologies, soumise à l’évaluation répond aux
caractéristiques de sécurité spécifiées dans sa cible de sécurité [ST] pour le niveau
d’évaluation EAL 5 augmenté.
3.2. Restrictions d’usage
Ce certificat porte sur le produit spécifié au chapitre 1.2 du présent rapport de certification.
L’utilisateur du produit certifié devra s’assurer du respect des objectifs de sécurité sur
l’environnement d’exploitation spécifiés dans la cible de sécurité [ST] et suivre les
recommandations se trouvant dans les guides fournis [GUIDES].
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE Rapport de certification ANSSI-CC-2009/34
Page 17 sur 22
3.3. Reconnaissance du certificat
3.3.1. Reconnaissance européenne (SOG-IS)
Ce certificat est émis dans les conditions de l’accord du SOG-IS [SOG-IS].
L’accord de reconnaissance européen du SOG-IS de 1999 permet la reconnaissance, par les
pays signataires de l’accord3
, des certificats ITSEC et Critères Communs. La reconnaissance
européenne s’applique jusqu’au niveau ITSEC E6 et CC EAL7. Les certificats reconnus dans
le cadre de cet accord sont émis avec la marque suivante :
3.3.2. Reconnaissance internationale critères communs (CCRA)
Ce certificat est émis dans les conditions de l’accord du CCRA [CC RA].
L’accord « Common Criteria Recognition Arrangement » permet la reconnaissance, par les
pays signataires4
, des certificats Critères Communs. La reconnaissance s’applique jusqu’aux
composants d’assurance du niveau CC EAL4 ainsi qu’à la famille ALC_FLR. Les certificats
reconnus dans le cadre de cet accord sont émis avec la marque suivante :
3
Les pays signataires de l’accord SOG-IS sont : l’Allemagne, l’Espagne, la Finlande, la France, la Grèce,
l’Italie, la Norvège, les Pays-Bas, le Royaume-Uni et la Suède.
4
Les pays signataires de l’accord CCRA sont : l’Allemagne, l’Australie, l’Autriche, le Canada, le Danemark,
l’Espagne, les États-Unis, la Finlande, la France, la Grèce, la Hongrie, l’Inde, Israël, l’Italie, le Japon, la
Malaisie, la Norvège, la Nouvelle-Zélande, la République de Corée, le Pakistan, les Pays-Bas, la République
Tchèque, le Royaume-Uni, Singapour, la Suède et la Turquie.
Rapport de certification ANSSI-CC-2009/34
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE
Page 18 sur 22 CER/F/07.5
Annexe 1. Niveau d’évaluation du produit
Composants par niveau
d’assurance
Niveau d’assurance retenu
pour le produit
Classe Famille
EAL
1
EAL
2
EAL
3
EAL
4
EAL
5
EAL
6
EAL
7
EAL
5+
Intitulé du composant
ACM_AUT 1 1 2 2 1 Partial CM automation
ACM_CAP 1 2 3 4 4 5 5 4
Generation support and
acceptance procedures
ACM
Gestion de
configuration
ACM_SCP 1 2 3 3 3 3
Development tools CM
coverage
ADO_DEL 1 1 2 2 2 3 2 Detection of modification
ADO
Livraison et
opération ADO_IGS 1 1 1 1 1 1 1 1
Installation, generation and
start-up procedures
ADV_FSP 1 1 1 2 3 3 4 3
Semiformal functional
specification
ADV_HLD 1 2 2 3 4 5 3 Semiformal high-level design
ADV_IMP 1 2 3 3 2 Implementation of the TSF
ADV_INT 1 2 3 1 Modularity
ADV_LLD 1 1 2 2 1 Descriptive low-level design
ADV_RCR 1 1 1 1 2 2 3 2
Semiformal correspondence
demonstration
ADV
Développement
ADV_SPM 1 3 3 3 3
Formal TOE security policy
model
AGD_ADM 1 1 1 1 1 1 1 1 Administrator guidance
AGD
Guides
d’utilisation AGD_USR 1 1 1 1 1 1 1 1 User guidance
ALC_DVS 1 1 1 2 2 2
Sufficiency of security
measures
ALC_FLR
ALC_LCD 1 2 2 3 2 Standardised life-cycle model
ALC
Support au
cycle de vie
ALC_TAT 1 2 3 3 2
Compliance with
implementation standards
ATE_COV 1 2 2 2 3 3 2 Analysis of coverage
ATE_DPT 1 1 2 2 3 2 Testing: low-level design
ATE_FUN 1 1 1 1 2 2 1 Functional testing
ATE
Tests
ATE_IND 1 2 2 2 2 2 3 2 Independent testing – sample
AVA_CCA 1 2 2 1 Covert channel analysis
AVA_MSU 1 2 2 3 3 2 Validation of analysis
AVA_SOF 1 1 1 1 1 1 1
Strength of TOE security
function evaluation
AVA
Estimation des
vulnérabilités
AVA_VLA 1 1 2 3 4 4 4 Highly resistant
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE Rapport de certification ANSSI-CC-2009/34
Page 19 sur 22
Annexe 2. Références documentaires du produit évalué
[ST] Cible de sécurité de référence pour l’évaluation :
• Java Trusted Open PlatformJava Card Open Platform - Security
Target - version 1.2 (la référence Développeur est CP-2006-RT-
389-v42)
Pour les besoins de publication, la cible de sécurité suivante a été
fournie et validée dans le cadre de cette évaluation :
• Java Card Open Platform - Security Target Lite - version 1.2 (la
référence Développeur est PU-2006-RT-389-v42-1.2-LITE)
[RTE] Rapport technique d’évaluation :
• Evaluation Technical Report - AJAX project
AJAX_ETR_v1.1 / 1.1
Pour le besoin des évaluations en composition avec ce microcontrôleur
un rapport technique pour la composition a été validé :
• ETR-LITE FOR COMPOSITION (ETR-LITE), v1.0,
2008.03.11, (la référence Développeur est
0482_ETRcomp_080311_v1)
o SLE66CLX800PE / m1581-e13/a14
o SLE66CLX800PEM / m1580-e13/a14
o SLE66CLX800PES / m1582-e13/a14
o SLE66CX800PE / m1599-e13/a14
o SLE66CLX360PE / m1587-e13/a14
o SLE66CLX360PEM / m1588-e13/a14
o SLE66CLX360PES / m1589-e13/a14
o SLE66CLX180PE / m2080-a14
o SLE66CLX180PEM / m2081-a14
o SLE66CLX120PE / m2082-a14
o SLE66CLX120PEM / m2083-a14
o all optional with RSA2048 V1.5 and ECC V1.1
Certification ID: 8103819623 / BSI-DSZ-CC-0482
[CONF] Gestion de la configuration :
• Java Trusted Open Platform – Software Configuration
Management Plan - version 1.4 (la référence Développeur est
CP-2007-RT-017) ;
• Java Trusted Open Platform – Software Configuration
Management Plan (assignment for AJAX) – version 1.0 (la
référence Développeur est CP-2007-RT-679-42) ;
• Configuration list (extraction from CVS) (la référence
Développeur est AJAX_DELIVERY_SERMA_ACM-CVS-
LISTING_20090629).
Rapport de certification ANSSI-CC-2009/34
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE
Page 20 sur 22 CER/F/07.5
[GUIDES] Guide d’administration du produit :
• Java Trusted Open Platform Administration Guide – version 1.0
(la référence Développeur est CP-2007-RT-165-v42)
Guide d’utilisation du produit :
• Java Trusted Open Platform Common Criteria User Guide -
version 1.1, (la référence Développeur est CP-2007-RT-166-
v42)
[PP0002] Protection Profile, Smart card IC Platform Protection Profile Version
1.0 July 2001. Certifié par le BSI (Bundesamt für Sicherheit in der
Informationstechnik) sous la référence BSI-PP-0002-2001.
[DCSSI-
2008_43]
Certificat ANSSI :
• délivré le 19 décembre 2008,
• pour le produit « carte à puce JCLX80jTOP20ID : Java Trusted
Open Platform sur composant SLE66CLX800PE »,
• sous la référence DCSSI-2008_43.
[BSI-
482_M5]
Rapport de maintenance BSI :
• délivrée le 15 avril 2009,
• pour le composant SLE66CLX800PE et ses variantes,
• sous la référence BSI-DSZ-CC-0482-2008-MA-05.
[ANA-CRY] Cotation de mécanismes cryptographiques,
847/SGDN/DCSSI/SDS/Crypto, 18/04/2008
[AN_RNG] Application Note : Security & Chip Card Ics SLE 66CxxxP and SLE
66CxxxPE Testing the Random Number Generator non-AIS-31 and
AIS-31 compliant, version 11.2004 (la référence Développeur est
CAN_SLE66CxxxP_PE_RNG_2004_11)
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE Rapport de certification ANSSI-CC-2009/34
Page 21 sur 22
Annexe 3. Références liées à la certification
Décret 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité
offerte par les produits et les systèmes des technologies de l’information.
[CER/P/01] Procédure CER/P/01 Certification de la sécurité offerte par les produits
et les systèmes des technologies de l’information, DCSSI.
[CC] Common Criteria for Information Technology Security Evaluation :
Part 1: Introduction and general model,
August 2005, version 2.3, ref CCMB-2005-08-001;
Part 2: Security functional requirements,
August 2005, version 2.3, ref CCMB-2005-08-002;
Part 3: Security assurance requirements,
August 2005, version 2.3, ref CCMB-2005-08-003.
Le contenu des Critères Communs version 2.3 est identique à celui de la
Norme Internationale ISO/IEC 15408:2005.
[CEM] Common Methodology for Information Technology Security
Evaluation : Evaluation Methodology,
August 2005, version 2.3, ref CCMB-2005-08-004.
Le contenu de la CEM version 2.3 est identique à celui de la Norme
Internationale ISO/IEC 18045:2005.
[CC IC] Common Criteria Supporting Document - Mandatory Technical
Document - The Application of CC to Integrated Circuits, reference
CCDB-2006-04-003 version 2.0, revision 1, April 2006.
[CC AP] Common Criteria Supporting Document - Mandatory Technical
Document - Application of attack potential to smart-cards, reference
CCDB-2009-03-001 version 2.7 revision 1, March 2009.
[COMP] Common Criteria Supporting Document - Mandatory Technical
Document - Composite product evaluation for smart cards and similar
devices, reference CCDB-2007-09-001 version 1.0, revision 1,
September 2007.
[CC RA] Arrangement on the Recognition of Common Criteria certificates in the
field of information Technology Security, May 2000.
[SOG-IS] «Mutual Recognition Agreement of Information Technology Security
Evaluation Certificates», version 2.0, April 1999, Management
Committee of Agreement Group.
[REF-CRY] Mécanismes cryptographiques - Règles et recommandations concernant
le choix et le dimensionnement des mécanismes cryptographiques de
niveau de robustesse standard, version 1.10 du 19 décembre 2006, réf:
2741/SGDN/DCSSI/SDS/Crypto.
Rapport de certification ANSSI-CC-2009/34
Carte à puce JCLX80jTOP20ID : Java Trusted Open
Platform IFX#v42, avec patch en version 2.0, masquée sur
composants SLE66CLX800PE et SLE66CLX360PE
Page 22 sur 22 CER/F/07.5
[AIS 34] Application Notes and Interpretation of the Scheme - Evaluation
Methodology for CC Assurance Classes for EAL5+, AIS34, Version
1.00, 01 June 2004,
BSI (Bundesamt für Sicherheit in der Informationstechnik)
[AIS 31] Functionnality classes and evaluation methodology for physical random
number generator, AIS31 version 1, 25 September 2001,
BSI (Bundesamt für Sicherheit in der Informationstechnik)