PREMIER MINISTRE
Secrétariat général de la défense nationale
Direction centrale de la sécurité des systèmes d’information
Rapport de certification DCSSI-2008/01
Plateforme Java Card MultiApp ID -
Microcontrôleur SLE66CX680PE-A13 masqué
par le logiciel MultiApp ID v1.0
et correctif v3.1
Paris, le 13 février 2008
Le Directeur central de la sécurité des
systèmes d’information
P a t r i c k P a i l l o u x
[ O R I G I N A L S I G N E ]
Rapport de certification DCSSI-2008/01
Plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID
v1.0 et correctif v3.1
Page 2 sur 15 CER/F/07.5
Avertissement
Ce rapport est destiné à fournir aux commanditaires un document leur permettant d’attester du
niveau de sécurité offert par le produit dans les conditions d’utilisation ou d’exploitation
définies dans ce rapport pour la version qui a été évaluée. Il est destiné également à fournir à
l’acquéreur potentiel du produit les conditions dans lesquelles il pourra exploiter ou utiliser le
produit de manière à se trouver dans les conditions d’utilisation pour lesquelles le produit a
été évalué et certifié ; c’est pourquoi ce rapport de certification doit être lu conjointement aux
guides d’utilisation et d’administration évalués ainsi qu’à la cible de sécurité du produit qui
décrit les menaces, les hypothèses sur l’environnement et les conditions d’emploi
présupposées afin que l’utilisateur puisse juger de l’adéquation du produit à son besoin en
termes d’objectifs de sécurité.
La certification ne constitue pas en soi une recommandation du produit par la Direction
centrale de la sécurité des systèmes d’information (DCSSI), et ne garantit pas que le produit
certifié soit totalement exempt de vulnérabilités exploitables.
Toute correspondance relative à ce rapport doit être adressée au :
Secrétariat général de la défense nationale
Direction centrale de la sécurité des systèmes d’information
Centre de certification
51, boulevard de la Tour Maubourg
75700 Paris cedex 07 SP
certification.dcssi@sgdn.pm.gouv.fr
La reproduction de ce document sans altération ni coupure est autorisée.
Référence du rapport de certification
Plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID
v1.0 et correctif v3.1 Rapport de certification DCSSI-2008/01
Page 3 sur 15
DCSSI-2008/01
Nom du produit
Plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID
v1.0 et correctif v3.1
Référence/version du produit
Version 1.0
Conformité à un profil de protection
PP/0304 JavaCard System Standard –
JavaCard 2.1.1 configuration v1.0b
Critères d’évaluation et version
Critères Communs version 2.3
conforme à la norme ISO 15408:2005
Niveau d’évaluation
EAL 4 augmenté
ADV_IMP.2, ALC_DVS.2, AVA_MSU.3, AVA_VLA.4
Développeur(s)
Gemalto SA
6 rue de la Verrerie, 92197 Meudon,
France
Infineon Technologies AG
Security & Chipcard ICs P.O. Box 80 09 49,
81609 München, Allemagne
Commanditaire
Gemalto SA
6 rue de la Verrerie, 92197 Meudon, France
Centre d’évaluation
Serma Technologies
30 avenue Gustave Eiffel, 33608 Pessac, France
Tél : +33 (0)5 57 26 08 75, mél : e.francois@serma.com
Accords de reconnaissance applicables
CCRA
Le produit est reconnu au niveau EAL4.
SOG-IS
Rapport de certification DCSSI-2008/01
Plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID
v1.0 et correctif v3.1
Page 4 sur 15 CER/F/07.5
Préface
La certification
La certification de la sécurité offerte par les produits et les systèmes des technologies de
l’information est régie par le décret 2002-535 du 18 avril 2002, publié au Journal officiel de la
République française. Ce décret indique que :
• La direction centrale de la sécurité des systèmes d’information élabore les rapports
de certification. Ces rapports précisent les caractéristiques des objectifs de sécurité
proposés. Ils peuvent comporter tout avertissement que ses rédacteurs estiment utile de
mentionner pour des raisons de sécurité. Ils sont, au choix des commanditaires,
communiqués ou non à des tiers ou rendus publics (article 7).
• Les certificats délivrés par le Premier ministre attestent que l’exemplaire des produits
ou systèmes soumis à évaluation répond aux caractéristiques de sécurité spécifiées. Ils
attestent également que les évaluations ont été conduites conformément aux règles et
normes en vigueur, avec la compétence et l’impartialité requises (article 8).
Les procédures de certification sont disponibles sur le site Internet www.ssi.gouv.fr.
Plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID
v1.0 et correctif v3.1 Rapport de certification DCSSI-2008/01
Page 5 sur 15
Table des matières
1. LE PRODUIT ............................................................................................................................... 6
1.1. PRESENTATION DU PRODUIT .................................................................................................. 6
1.2. DESCRIPTION DU PRODUIT EVALUE ....................................................................................... 6
1.2.1. Identification du produit................................................................................................ 6
1.2.2. Services de sécurité....................................................................................................... 6
1.2.3. Architecture................................................................................................................... 7
1.2.4. Cycle de vie ................................................................................................................... 8
1.2.5. Configuration évaluée................................................................................................... 9
2. L’EVALUATION ....................................................................................................................... 10
2.1. REFERENTIELS D’EVALUATION............................................................................................ 10
2.2. TRAVAUX D’EVALUATION ................................................................................................... 10
2.3. ANALYSE DE LA RESISTANCE DES MECANISMES CRYPTOGRAPHIQUES ............................... 10
3. LA CERTIFICATION............................................................................................................... 11
3.1. CONCLUSION........................................................................................................................ 11
3.2. RESTRICTIONS D’USAGE....................................................................................................... 11
3.3. RECONNAISSANCE DU CERTIFICAT ...................................................................................... 12
3.3.1. Reconnaissance européenne (SOG-IS) ....................................................................... 12
3.3.2. Reconnaissance internationale critères communs (CCRA) ........................................ 12
ANNEXE 1. NIVEAU D’EVALUATION DU PRODUIT.............................................................. 13
ANNEXE 2. REFERENCES DOCUMENTAIRES DU PRODUIT EVALUE ............................ 14
ANNEXE 3. REFERENCES LIEES A LA CERTIFICATION .................................................... 15
Rapport de certification DCSSI-2008/01
Plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID
v1.0 et correctif v3.1
Page 6 sur 15 CER/F/07.5
1. Le produit
1.1. Présentation du produit
Le produit évalué est la carte « plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID v1.0 et correctif v3.1 » développée
par Gemalto SA et Infineon Technologies AG.
1.2. Description du produit évalué
La cible de sécurité [ST] définit le produit évalué, ses fonctionnalités de sécurité évaluées et
son environnement d’exploitation.
Cette cible de sécurité est conforme au profil de protection «JavaCard System Standard -
Protection Profile Collection, JavaCard 2.1.1 configuration v1.0b» [PP0304].
1.2.1. Identification du produit
Les éléments constitutifs du produit sont identifiés dans la liste de configuration [CONF].
La version certifiée du produit est identifiable par les éléments suivants :
• l’application MultiApp ID (« hardmask » en ROM) version 1.0,
• le correctif applicatif MultiApp ID (MultiApp ID corrective softmask #1) version 3.1,
• le microcontrôleur SLE66CX680PE-A13 avec RMS library version 2.5 et RSA2048
library version 1.4.
Ces informations peuvent être vérifiées par la commande « masktrack ». La valeur retournée
est : « 53 91 05 00 01 31 00 00 00 00 ».
Ces informations sont décrites dans les guides (cf. [GUIDES]).
Les applications chargées dans les phases de personnalisation et d’utilisation ne font pas
partie du périmètre d’évaluation.
1.2.2. Services de sécurité
Les principaux services de sécurité fournis par la plateforme Java Card sont :
• la gestion du cycle de vie de la carte et des applications ;
• des services d’administration des applications (chargement, installation, suppression)
grâce au gestionnaire « GlobalPlatform Card Manager » et à l’utilisation de domaines
de sécurité ;
• la gestion des clés de la plateforme « GlobalPlatform » ;
• la gestion des accès des applets aux interfaces de la plateforme (GlobalPlatform and
Java Card 2.2.1 APIs et APIs propriétaires) ;
• l’isolation des applications (Java Card firewall).
Plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID
v1.0 et correctif v3.1 Rapport de certification DCSSI-2008/01
Page 7 sur 15
1.2.3. Architecture
Le produit est constitué :
• du microcontrôleur et ses librairies ;
• du système d’exploitation GEOS ;
• du « Card manager » incluant le « loader » ;
• du « Java Card System ».
Certaines abréviations proviennent du profil de protection [PP0304]
(CAD : Card Acceptance Device, BCV : Byte Code Verifier).
Rapport de certification DCSSI-2008/01
Plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID
v1.0 et correctif v3.1
Page 8 sur 15 CER/F/07.5
1.2.4. Cycle de vie
Le cycle de vie du produit est le suivant :
Le produit a été développé sur les sites suivants :
Gemalto Meudon site R&D
6 rue de la Verrerie
92197 Meudon,
France.
Plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID
v1.0 et correctif v3.1 Rapport de certification DCSSI-2008/01
Page 9 sur 15
Gemalto Gémenos – site de production
Avenue du Pic de Bretagne,
13 881 Gémenos,
France.
Gemalto Orléans – site de production
Avenue de la Pomme de Pin,
45590 Saint Cyr en val,
France.
INFINEON Technologies AG
Postfach 80 09 49,
D-81609 München,
Allemagne.
Pour l’évaluation, l’évaluateur a considéré comme « administrateurs du produit », le
« personnalisateur » de la carte, le fournisseur de services et l’émetteur de la carte (« Card
Issuer ») et comme « utilisateurs du produit », le détenteur de la carte à puce et les
applications. Ces rôles sont détaillés dans la cible de sécurité [ST].
1.2.5. Configuration évaluée
Le certificat porte sur la plateforme JavaCard seule, configurée conformément au guide de
personnalisation (Cf. [GUIDES]).
Rapport de certification DCSSI-2008/01
Plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID
v1.0 et correctif v3.1
Page 10 sur 15 CER/F/07.5
2. L’évaluation
2.1. Référentiels d’évaluation
L’évaluation a été menée conformément aux Critères Communs version 2.3 [CC], à la
méthodologie d’évaluation définie dans le manuel CEM [CEM].
Pour les composants d’assurance supérieurs au niveau EAL4, des méthodes propres au centre
d’évaluation, validées par la DCSSI et compatibles avec le document [AIS 34], ont été
utilisées.
Pour répondre aux spécificités des cartes à puce, les guides [CC IC] et [CC AP] ont été
appliqués.
2.2. Travaux d’évaluation
L’évaluation en composition a été réalisée en application du guide [COMP] permettant de
vérifier qu’aucune faiblesse n’est introduite par l’intégration du logiciel dans le
microcontrôleur déjà certifié par ailleurs.
Cette évaluation a ainsi pris en compte les résultats de l’évaluation du microcontrôleur
« SLE66CX680PE - m1534-A13 with RSA2048 V1.4 & specific IC dedicated software » au
niveau EAL5 augmenté des composants ALC_DVS.2, AVA_MSU.3 et AVA_VLA.4,
conforme au profil de protection [PP0002]. Ce microcontrôleur a été certifié le 14 septembre
2005 sous la référence BSI-DSZ-CC-0322.
Le niveau de résistance du microcontrôleur a été confirmé le 11 octobre 2006 dans le cadre du
processus de surveillance.
Le rapport technique d’évaluation [RTE], remis à la DCSSI le 11 décembre 2007, détaille les
travaux menés par le centre d’évaluation et atteste que toutes les tâches d’évaluation sont à
« réussite ».
2.3. Analyse de la résistance des mécanismes cryptographiques
La résistance des mécanismes cryptographiques n’a pas été analysée par la DCSSI.
Plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID
v1.0 et correctif v3.1 Rapport de certification DCSSI-2008/01
Page 11 sur 15
3. La certification
3.1. Conclusion
L’évaluation a été conduite conformément aux règles et normes en vigueur, avec la
compétence et l’impartialité requises pour un centre d’évaluation agréé. L’ensemble des
travaux d’évaluation réalisés permet la délivrance d’un certificat conformément au décret
2002-535.
Ce certificat atteste que le produit « plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID v1.0 et correctif v3.1» soumis à
l’évaluation répond aux caractéristiques de sécurité spécifiées dans sa cible de sécurité [ST]
pour le niveau d’évaluation EAL 4 augmenté.
3.2. Restrictions d’usage
Ce certificat porte sur le produit spécifié au chapitre 1.2 du présent rapport de certification.
L’utilisateur du produit certifié devra s’assurer du respect des objectifs de sécurité sur
l’environnement d’exploitation spécifiés dans la cible de sécurité [ST] et suivre les
recommandations se trouvant dans les guides fournis [GUIDES].
Des objectifs de sécurité sur l’environnement liés à la plateforme concernent les aspects
suivants :
• des procédures doivent être employées pour couvrir les besoins de confidentialité et
d’intégrité des biens de la carte jusqu’à la phase de personnalisation (phase 6),
(OE.DEVELOPMENT) ;
• les applets chargées après la livraison au porteur ne doivent pas contenir de méthodes
natives (OE.APPLET) ;
• tout code (« byte-code ») d’applet doit être vérifié avant chargement, afin de garantir
son exécution (OE.VERIFICATION).
Rapport de certification DCSSI-2008/01
Plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID
v1.0 et correctif v3.1
Page 12 sur 15 CER/F/07.5
3.3. Reconnaissance du certificat
3.3.1. Reconnaissance européenne (SOG-IS)
Ce certificat est émis dans les conditions de l’accord du SOG-IS [SOG-IS].
L’accord de reconnaissance européen du SOG-IS de 1999 permet la reconnaissance, par les
pays signataires de l’accord1
, des certificats ITSEC et Critères Communs. La reconnaissance
européenne s’applique jusqu’au niveau ITSEC E6 et CC EAL7. Les certificats reconnus dans
le cadre de cet accord sont émis avec la marque suivante :
3.3.2. Reconnaissance internationale critères communs (CCRA)
Ce certificat est émis dans les conditions de l’accord du CCRA [CC RA].
L’accord « Common Criteria Recognition Arrangement » permet la reconnaissance, par les
pays signataires2
, des certificats Critères Communs. La reconnaissance s’applique jusqu’aux
composants d’assurance du niveau CC EAL4 ainsi qu’à la famille ALC_FLR. Les certificats
reconnus dans le cadre de cet accord sont émis avec la marque suivante :
1
Les pays signataires de l’accord SOG-IS sont : l’Allemagne, l’Espagne, la Finlande, la France, la Grèce,
l’Italie, la Norvège, les Pays-Bas, le Portugal, le Royaume-Uni, la Suède et la Suisse.
2
Les pays signataires de l’accord CCRA sont : l’Allemagne, l’Australie, l’Autriche, le Canada, le Danemark,
l’Espagne, les États-Unis, la Finlande, la France, la Grèce, la Hongrie, l’Inde, Israël, l’Italie, le Japon, la
Malaisie, la Norvège, la Nouvelle-Zélande, la République de Corée, les Pays-Bas, la République Tchèque, le
Royaume-Uni, Singapour, la Suède et la Turquie.
Plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID
v1.0 et correctif v3.1 Rapport de certification DCSSI-2008/01
Page 13 sur 15
Annexe 1. Niveau d’évaluation du produit
Composants par niveau
d’assurance
Niveau d’assurance retenu
pour le produit
Classe Famille
EAL
1
EAL
2
EAL
3
EAL
4
EAL
5
EAL
6
EAL
7
EAL
4+
Intitulé du composant
ACM_AUT 1 1 2 2 1 Partial CM automation
ACM_CAP 1 2 3 4 4 5 5 4
Configuration support and
acceptance procedures
ACM
Gestion de
configuration
ACM_SCP 1 2 3 3 3 2
Problem tracking CM
coverage
ADO_DEL 1 1 2 2 2 3 2 Detection of modification
ADO
Livraison et
opération ADO_IGS 1 1 1 1 1 1 1 1
Installation, generation and
start-up procedures
ADV_FSP 1 1 1 2 3 3 4 2
Fully defined external
interfaces
ADV_HLD 1 2 2 3 4 5 2
Security enforcing high-level
design
ADV_IMP 1 2 3 3 2 Implementation of the TSF
ADV_INT 1 2 3
ADV_LLD 1 1 2 2 1 Descriptive low-level design
ADV_RCR 1 1 1 1 2 2 3 1
Informal correspondence
demonstration
ADV
Développement
ADV_SPM 1 3 3 3 1
Informal TOE security policy
model
AGD_ADM 1 1 1 1 1 1 1 1 Administrator guidance
AGD
Guides
d’utilisation AGD_USR 1 1 1 1 1 1 1 1 User guidance
ALC_DVS 1 1 1 2 2 2
Sufficiency of security
measures
ALC_FLR
ALC_LCD 1 2 2 3 1
Developer defined life-cycle
model
ALC
Support au
cycle de vie
ALC_TAT 1 2 3 3 1
Well-defined development
tools
ATE_COV 1 2 2 2 3 3 2 Analysis of coverage
ATE_DPT 1 1 2 2 3 1 Testing: high-level design
ATE_FUN 1 1 1 1 2 2 1 Functional testing
ATE
Tests
ATE_IND 1 2 2 2 2 2 3 2 Independent testing – sample
AVA_CCA 1 2 2
AVA_MSU 1 2 2 3 3 3
Analysis and testing for
insecure states
AVA_SOF 1 1 1 1 1 1 1
Strength of TOE security
function evaluation
AVA
Estimation des
vulnérabilités
AVA_VLA 1 1 2 3 4 4 4 Highly resistant
Rapport de certification DCSSI-2008/01
Plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID
v1.0 et correctif v3.1
Page 14 sur 15 CER/F/07.5
Annexe 2. Références documentaires du produit évalué
[ST] Cible de sécurité de référence pour l’évaluation :
- ODYSSEUS Platform Security Target Version 1.3 issued
September 14th
, 2007, réf. : ST_D1049224.
Pour les besoins de publication, la cible de sécurité suivante a été
fournie et validée dans le cadre de cette évaluation :
- ODYSSEUS Platform Security Target (Public version) Version
1.5 issued January 24th
, 2008, réf. : D1049224.
[RTE] Rapport technique d’évaluation :
- Evaluation Technical Report - ODYSSEUS Project
réf.: ODYSSEUS_ETR_V1.1
- ADDENDUM au Rapport Technique d’Evaluation
ODYSSEUS_ETR_V1.1 réf : ODYSSEUS_REP_03_V1.1
- ADDENDUM au Rapport Technique d’Evaluation
ODYSSEUS_ETR_V1.1 réf. : ODYSSEUS_REP_04_V1.0
[CONF] ODYSSEUS Configuration List v1.3 réf. : D1050209.
[GUIDES] Guide d’installation du produit :
- ODYSSEUS Installation, Generation & Startup procedure, v1.0,
réf. : D1050210
Guide d’administration du produit :
- ODYSSEUS: Administration Manual for Java Card platform,
version 0.1, réf : ADM_D1070935
- ODYSSEUS SSCD Personalization, v1.02, réf. :
PER_D1051441
Guide d’utilisation du produit :
- ODYSSEUS: User Manual for Java Card platform, version 0.1,
réf : USR_D1070937
[PP0304] JavaCard System Standard - Protection Profile Collection, JavaCard
2.1.1 configuration v1.0b, August 2003. Certifié par la DCSSI sous la
référence PP/0304.
[PP0002] Protection Profile, Smart card IC Platform Protection Profile Version
1.0 July 2001. Certifié par le BSI sous la référence BSI-PP-0002-2001.
Il est à noter que le nom « ODYSSEUS » présent dans certains documents correspond à
« MultiApp ID » et identifie l’évaluation.
Plateforme Java Card MultiApp ID - Microcontrôleur
SLE66CX680PE-A13 masqué par le logiciel MultiApp ID
v1.0 et correctif v3.1 Rapport de certification DCSSI-2008/01
Page 15 sur 15
Annexe 3. Références liées à la certification
Décret 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité
offerte par les produits et les systèmes des technologies de l’information.
[CER/P/01] Procédure CER/P/01 Certification de la sécurité offerte par les produits
et les systèmes des technologies de l’information, DCSSI.
[CC] Common Criteria for Information Technology Security Evaluation :
Part 1: Introduction and general model,
August 2005, version 2.3, ref CCMB-2005-08-001;
Part 2: Security functional requirements,
August 2005, version 2.3, ref CCMB-2005-08-002;
Part 3: Security assurance requirements,
August 2005, version 2.3, ref CCMB-2005-08-003.
Le contenu des Critères Communs version 2.3 est identique à celui de la
Norme Internationale ISO/IEC 15408:2005.
[CEM] Common Methodology for Information Technology Security
Evaluation: Evaluation Methodology, August 2005, version 2.3, ref
CCMB-2005-08-004.
Le contenu de la CEM version 2.3 est identique à celui de la Norme
Internationale ISO/IEC 18045:2005.
[CC IC] Common Criteria Supporting Document - Mandatory Technical
Document - The Application of CC to Integrated Circuits, reference
CCDB-2006-04-003 version 2.0, revision 1, April 2006.
[CC AP] Common Criteria Supporting Document - Mandatory Technical
Document - Application of attack potential to smart-cards, reference
CCDB-2007-04-001 version 2.3, revision 1, April 2007.
[COMP] Common Criteria Supporting Document - Mandatory Technical
Document - Composite product evaluation for smart cards and similar
devices, reference CCDB-2007-09-001 version 1.0, revision 1,
September 2007.
[CC RA] Arrangement on the Recognition of Common Criteria certificates in the
field of information Technology Security, May 2000.
[SOG-IS] «Mutual Recognition Agreement of Information Technology Security
Evaluation Certificates», version 2.0, April 1999, Management
Committee of Agreement Group.
[AIS 34] Application Notes and Interpretation of the Scheme - Evaluation
Methodology for CC Assurance Classes for EAL5+, AIS34, Version
1.00, 01 June 2004, Bundesamt für Sicherheit in der
Informationstechnik.