Common Criteria Certification BSI-DSZ-CC-1067 BSI-CC-PP-0097 Security Target Netzkonnektor KoCoBox MED+ OPB 2.1 Konnektor Version 2.3.24 KoCo Connector GmbH Dessauer Str. 28/29 10963 Berlin info@kococonnector.com Dokumentversion 1.27 2020-07-16 Vorwort Anmerkungen zur CC Zertifizierung Die vorliegende KoCoBox MED+ wird in zwei Verfahren zertifiziert: Das umfassende Verfahren nach [BSI-CC-PP-0098] beschreibt die gesamte Firmware des Konnektors. Dieses Schutzprofil fordert ei- ne Evaluierung nach AVA_VAN.3. Zusätzlich dazu gibt es ein zweites, spezialisiertes Verfahren, in dem die Anforderungen an die Komponente „Netzkonnektor“ spezifiziert werden. Dieses Verfahren wird nach den Vorgaben des Schutzprofils [BSI-CC-PP-0097] durchgeführt, das eine Evaluierung nach AVA_VAN.5 vorsieht. Das Schutzprofil [BSI-CC-PP-0097] stellt eine Teilmenge des Schutzprofils [BSI-CC-PP-0098] dar. Abbildung 0.1 zeigt schematisch, welche Teile des Konnektors von welchem Schutzprofil beschrieben werden und wie sich die Schutzprofile zueinander verhalten. Zur Vereinfachung der beiden Verfahren folgen die Security Targets der Struktur der Schutzprofile: Das Security Target für den Gesamtkonnektor [KoCo ASE_ST-98] enthält auch den gesamten Inhalt des Security Targets für den Netzkonnektor [KoCo ASE_ST-97]. Bis auf minimale orthographisch bedingte Abweichungen sind die Texte strukturell identisch. Lediglich an den Stellen, an denen auf den jeweiligen TOE Bezug genommen wird, weichen die Texte voneinander ab. Das Security Target des Netzkonnektors bezieht sich bei allen Bedrohungen, Annahmen, Sicherheits- zielen und Anforderungen auf (a) das Schutzprofil des Netzkonnektors und (b) auf genau die Teile des Schutzprofiles des Gesamtkonnektors, die sich auf den Netzkonnektor beziehen. Dieser doppelte Bezug wird angenommen, ohne eine formale Übereinstimmung zu behaupten. Das Security Target des Gesamtkonnektors hingegen bezieht sich an allen Stellen, die auch in [KoCo ASE_ST-97] beschrieben sind, ebenfalls auf beide Schutzprofile. Ziel dieser Maßnahme ist, dass ein Evaluator lediglich die Dokumente für den Gesamtkonnektor [KoCo ASE_ST-98] zugrunde legen muss, um den vorliegenden Evaluierungsgegenstand nach beiden Schutzprofilen, bzw. Security Targets bewerten zu können. Diese Einführung mit der Abgrenzung gegenüber den Schutzprofilen ersetzt nicht die formale Be- hauptung der Konformität zu einem Schutzprofil. Diese geht aus den Ausführungen in Kapitel 2 hervor. Anmerkungen zur Spezifikationslage Die KoCoBox MED+ wurde nach der Spezifikation der gematik entwickelt. Dabei gelten die Spezifi- kationsdokumente in Tabelle 0.1. 2 KoCoBox MED+ Hardware gSMC-K#1, #2, #3 JVM der Fachmodule TSF nach BSI-CC-PP-0098 TSF nach BSI-CC-PP-0097 TOE nach BSI-CC-PP-0097 und BSI-CC-PP-0098 non-TSF JVM des Anwendungs- konnektors Kernel, non-Java Anteile des NK non- TSF JVM des Netzkonnektors non- TSF Abbildung 0.1.: Abgrenzung der Verfahren zu BSI-CC-PP-0097 und BSI-CC-PP-0098 3 Dokument Version Datum Referenz Produkttypsteckbrief Konnektor, Produkttyp Version PTV3 3.6.0-2 1.0.0 4. März 2020 [gemProdT_Kon_PTV3_3.6.0-2] Spezifikation Konnektor 5.4.0 26. Okt. 2018 [gemSpec_Kon] Errata 1 zum Konnektor PTV 3 (eMP/AMTS, NFDM) 1.0.1 6. Feb. 2019 [gemErrata_1_Kon_PTV3] Errata 2 zum Konnektor PTV 3 (eMP/AMTS, NFDM) 1.0.0 6. Juni 2019 [gemErrata_2_Kon_PTV3] Errata 3 zum Konnektor PTV 3 (eMP/AMTS, NFDM) 1.0.0 2. Okt. 2019 [gemErrata_3_Kon_PTV3] Errata 4 zum Konnektor PTV 3 (eMP/AMTS, NFDM) 1.0.1 27. Nov. 2019 [gemErrata_4_Kon_PTV3] Errata 5 zum Konnektor PTV 3 (eMP/AMTS, NFDM) 1.0.0 4. Feb. 2020 [gemErrata_5_Kon_PTV3] Errata 6 zum Konnektor PTV 3 (eMP/AMTS, NFDM) 1.0.0 4. März 2020 [gemErrata_6_Kon_PTV3] Tabelle 0.1.: Spezifikationsdokumente der KoCoBox MED+ 4 Inhaltsverzeichnis 1. Einführung in das Security Target 9 1.1. ST Referenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1.2. TOE Referenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1.3. Überblick über den TOE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.3.1. TOE Typ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.3.2. Verwendung und Hauptfunktionalität des TOE . . . . . . . . . . . . . . . . 10 1.3.3. Erforderliche Non-TOE Hardware/Software/Firmware . . . . . . . . . . . . 10 1.4. Beschreibung des TOE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1.4.1. Hauptziele des TOE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1.4.2. Aufbau des TOE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1.4.3. Einsatzumgebung des TOE . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.4.4. Hardware der KoCoBox MED+ . . . . . . . . . . . . . . . . . . . . . . . 14 1.4.5. Schnittstellen des Konnektors . . . . . . . . . . . . . . . . . . . . . . . . . 16 1.4.6. Aufbau und physische Abgrenzung des Konnektors OPB 2.1 . . . . . . . . . 21 1.4.7. Logische Abgrenzung: Vom TOE erbrachte Sicherheitsdienste . . . . . . . . 22 1.4.8. Physischer Umfang des TOE . . . . . . . . . . . . . . . . . . . . . . . . . 24 2. Postulat der Übereinstimmung 25 2.1. Konformität zu Common Criteria . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2.2. Konformität zu Schutzprofilen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2.3. Konformität zu Paketen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2.4. Erklärung der Konformität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 3. Definition des Sicherheitsproblems 27 3.1. Werte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.1.1. Zu Schützende Werte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.1.2. Benutzer des TOE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.2. Bedrohungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.3. Organisatorische Sicherheitspolitiken des Netzkonnektors . . . . . . . . . . . . . . 27 3.4. Annahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4. Sicherheitsziele 29 4.1. Sicherheitsziele für den Netzkonnektor . . . . . . . . . . . . . . . . . . . . . . . . 29 4.1.1. Allgemeine Ziele: Schutz und Administration . . . . . . . . . . . . . . . . 29 4.1.2. Ziele für die VPN Funktionalität . . . . . . . . . . . . . . . . . . . . . . . 30 4.1.3. Ziele für die Paketfilter-Funktionalität . . . . . . . . . . . . . . . . . . . . 30 4.2. Sicherheitsziele für die Umgebung des Netzkonnektors . . . . . . . . . . . . . . . . 30 4.3. Erklärung der Sicherheitsziele des Netzkonnektors . . . . . . . . . . . . . . . . . . 32 4.3.1. Abbildung der Bedrohungen, OSPs und Annahmen auf Ziele . . . . . . . . 32 5 5. Definition der erweiterten Komponenten 34 5.1. Definition der erweiterten Familie FCS_RNG . . . . . . . . . . . . . . . . . . . . . 34 5.2. Definition der erweiterten Familie FPT_EMS . . . . . . . . . . . . . . . . . . . . . 35 6. Sicherheitsanforderungen 36 6.1. Hinweise und Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 6.1.1. Hinweise zur Notation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 6.2. Funktionale Sicherheitsanforderungen des Netzkonnektors . . . . . . . . . . . . . . 37 6.2.1. VPN Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 6.2.2. Dynamischer Paketfilter mit zustandsgesteuerter Filterung . . . . . . . . . . 37 6.2.3. Netzdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 6.2.4. Stateful Packet Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 6.2.5. Selbstschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 6.2.6. Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 6.2.7. Kryptographische Basisdienste . . . . . . . . . . . . . . . . . . . . . . . . 46 6.2.8. TLS-Kanäle unter Nutzung sicherer kryptographischer Algorithmen . . . . . 48 6.2.9. Zusätzliche Sicherheitsanforderungen . . . . . . . . . . . . . . . . . . . . . 53 6.3. Sicherheitsanforderungen an die Vertrauenswürdigkeit des EVG . . . . . . . . . . . 56 6.3.1. Verfeinerung zur Vertrauenswürdigkeitskomponente ADV_ARC.1 . . . . . . . 56 6.3.2. Verfeinerung zur Vertrauenswürdigkeitskomponente AGD_OPE.1 . . . . . . 56 6.3.3. Verfeinerung zur Vertrauenswürdigkeitskomponente ALC_DEL.1 . . . . . . . 56 6.4. Erklärung der Sicherheitsanforderungen . . . . . . . . . . . . . . . . . . . . . . . . 56 6.4.1. Erklärung der Abhängigkeiten der SFR des Netzkonnektors . . . . . . . . . 56 6.4.2. Überblick der Abdeckung von Sicherheitszielen des Netzkonnektors . . . . . 56 6.4.3. Detaillierte Erklärung für die Sicherheitsziele des Netzkonnektors . . . . . . 57 6.5. Erklärung für Erweiterung der Sicherheitsanforderungen . . . . . . . . . . . . . . . 59 6.6. Erklärung für die gewählte EAL-Stufe . . . . . . . . . . . . . . . . . . . . . . . . 59 7. TOE Summary Specification 60 7.1. TOE Sicherheitsfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 7.1.1. VPN-Client (SF.VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 7.1.2. Dynamischer Paketfilter (SF.DynamicPacketFilter) . . . . . . . . . . . . . 61 7.1.3. Netzbasierte Sicherheitsfunktionen (SF.NetworkServices) . . . . . . . . . 63 7.1.4. Selbstschutz (SF.SelfProtection/NK) . . . . . . . . . . . . . . . . . . . . 63 7.1.5. Protokollierungsdienst/NK (SF.Audit/NK) . . . . . . . . . . . . . . . . . . 65 7.1.6. Administration/NK (SF.Administration/NK) . . . . . . . . . . . . . . . . 65 7.1.7. Kryptografische Dienste/NK (SF.CryptographicServices/NK) . . . . . . . . 66 7.2. Verhältnis von SFR zu SF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 A. Erklärung der tabellarischen Darstellung 71 B. TLS Verbindungen 72 6 Tabellenverzeichnis 0.1. Spezifikationsdokumente der KoCoBox MED+ . . . . . . . . . . . . . . . . . . . . 4 1.1. Logische Schnittstellen an LS.LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 1.2. Logische Schnittstellen an LS.WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 1.3. Logische Schnittstellen an LS.VPN_TI . . . . . . . . . . . . . . . . . . . . . . . . . 19 1.4. Logische Schnittstellen an LS.VPN_SIS . . . . . . . . . . . . . . . . . . . . . . . . . 19 1.5. Logische Schnittstellen an LS.FM . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 1.6. Physischer Umfang des TOE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 2.1. Ergänzungen zur Vertrauenswürdigkeit EAL3 . . . . . . . . . . . . . . . . . . . . . 25 4.1. Abbildung der Sicherheitsziele des Netzkonnektors auf Bedrohungen und Annahmen 33 6.1. Typographische Konventionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 6.2. Algorithms, Key sizes and Purposes of Signature Verification . . . . . . . . . . . . 54 6.3. Abbildung der Sicherheitsziele des NK auf Sicherheitsanforderungen . . . . . . . . . 59 7.1. Abbildung der SFR des NK auf Sicherheitsfunktionalität . . . . . . . . . . . . . . . 70 A.1. Legende der Abbildungstabellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 B.1. Cipher Suites der TLS Verbindungen des Konnektors . . . . . . . . . . . . . . . . . 72 B.2. Elliptische Kurven für die TLS Verbindungen des Konnektors . . . . . . . . . . . . 72 B.3. Legende zu den TLS Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . 73 B.4. TLS Verbindungen der KoCoBox MED+ . . . . . . . . . . . . . . . . . . . . . . . 74 7 Abbildungsverzeichnis 0.1. Abgrenzung der Verfahren zu BSI-CC-PP-0097 und BSI-CC-PP-0098 . . . . . . . 3 1.1. Gehäuse der KoCoBox MED+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.2. Einsatzumgebung der KoCoBox MED+ . . . . . . . . . . . . . . . . . . . . . . . . 13 1.3. Hardware-Komponenten der KoCoBox MED+ . . . . . . . . . . . . . . . . . . . . 15 8 1. Einführung in das Security Target Der TOE, der in diesem Dokument beschrieben wird, ist der KoCoBox MED+ Netzkonnektor. Der TOE ist eine sichere Komponente, die im Kontext der Telematikinfrastruktur als Netzkonnektor eingesetzt wird. Dieses Dokument ist das Security Target, in dem die funktionalen und organisatorischen Sicherheits- anforderungen des TOE und seiner Einsatzumgebung beschrieben werden. Dieses Dokument findet seine formale Grundlage in: • Schutzprofil 1: Anforderungen an den Netzkonnektor [BSI-CC-PP-0097] Darüber hinaus gibt es – wie im Vorwort beschrieben – eine enge Verwandtschaft zum Dokument Schutzprofil 2: Anforderungen an den Konnektor [BSI-CC-PP-0098]. 1.1. ST Referenz Titel des Dokuments Security Target / Netzkonnektor Version des Dokuments 1.27 Datum des Dokuments 16.07.2020 Allgemeiner Status: Verfeinerung nach der Einreichung für den Antrag des Zertifizie- rungsverfahrens Autor KoCo Connector GmbH Editor n-design GmbH, OS-Cillation GmbH 1.2. TOE Referenz Evaluierungsgegenstand KoCoBox MED+ Netzkonnektor Version des EVG 2.3.24 Hersteller KoCo Connector GmbH Vertrauenswürdigkeitsstufe EAL3 erweitert um AVA_VAN.5, ADV_IMP.1, ADV_TDS.3, ADV_FSP.4, ALC_TAT.1, and ALC_FLR.2 (Kurzbezeichnung „EAL3+“) CC Version 3.1 Release 5 9 1.3. Überblick über den TOE Der Evaluierungsgegenstand ist der Konnektor für den Online Produktivbetrieb Stufe 2.1. Der TOE umfasst folgende Komponenten: • den Netzkonnektor Der Lieferumfang des TOE umfasst ebenfalls die Betriebsdokumentation für den Netzkonnektor. Somit entspricht der TOE dem im Schutzprofil [BSI-CC-PP-0097] genannten Umfang und Aufbau.1 1.3.1. TOE Typ Die KoCoBox MED+ implementiert – konform zu [BSI-CC-PP-0098; BSI-CC-PP-0097] – den Pro- dukttyp Konnektor. 1.3.2. Verwendung und Hauptfunktionalität des TOE Der TOE ist eine sichere Komponente, die in der Telematikinfrastrukur als Konnektor eingesetzt wird. Die Funktionalität der KoCoBox MED+ geht aus der Konnektor-Spezifikation der gematik [gemSpec_Kon] hervor. Darüber hinaus finden weitere Spezifikationen der gematik Beachtung [gem- Spec_Krypt]. Die Sicherheitsanforderungen spezifiziert das BSI in [BSI-CC-PP-0098; BSI-CC-PP- 0097]. Die KoCoBox MED+ besteht aus ihrer Firmware (inklusive Betriebssystem und Anwendungssoft- ware) und der Hardwareplattform, einem herstellerspezifischen Design. Für die Zertifizierung wird nur die Firmware der KoCoBox MED+ betrachtet. Die KoCoBox MED+ ist speziell entwickelt für Anwendungsfälle niedergelassener Ärzte, Kliniken und Apotheken.2 Sie kann in IT-Umgebungen eingesetzt werden, die weitgehend ohne Administrator auskommen. 1.3.3. Erforderliche Non-TOE Hardware/Software/Firmware Der TOE benötigt für den Betrieb verschiedene Komponenten. Als reiner Software-TOE muss die pas- sende Hardware vorhanden sein. Der TOE ist auf die herstellereigene Hardware der KoCoBox MED+ angewiesen und kann nicht auf generischer Hardware betrieben werden. Die kryptographischen Identitäten des Konnektors werden durch drei Smart Card basierte Sicher- heitsmodule (gSMC-K) bereitgestellt, die in den internen Kartensteckplätzen des Konnektors installiert sind. Diese Smart Cards werden im Produktionsprozess eingebaut und sind nicht austauschbar. Weder Endbenutzer noch geschultes Service-Personal können die gSMC-K ersetzen. Die Manipulation oder das Entfernen der Smart Cards führt zur Außerbetriebssetzung des Geräts. Die Smart Cards sind nicht Teil des TOE, sondern gehören zur Einsatzumgebung. Sie werden separat zertifiziert, vgl. [BSI-CC- PP-0082-2] und im Rahmen dieses Dokuments nicht weiter bewertet. Sowohl die Hardware als auch die gSMC-K gehören zum Lieferumfang der KoCoBox MED+. 1 Allerdings sieht das Schutzprofil den Online-Rollout (Stufe 1) vor. Der TOE setzt einen neuen Stand der Spezifikation um. 2 Im folgenden wird der Einfachheit halber angenommen, dass die Einsatzumgebung eine Arztpraxis ist. 10 1.4. Beschreibung des TOE 1.4.1. Hauptziele des TOE Der Konnektor wurde als Bindeglied zwischen den Praxisverwaltungssystemen im LAN des Leistungs- erbringers und der Telematikinfrastruktur entwickelt. Der Konnektor setzt zwei Hauptziele um: Erstens stellt er eine sichere Verbindung zwischen den dezentralen und den zentralen Komponenten der Tele- matikinfrastruktur bereit; zweitens kontrolliert er die eHealth-Kartenterminals und Smart Cards, die eine fundamentale Rolle im Sicherheitskonzept der Telematikinfrastruktur spielen. Darüber hinaus im- plementiert der TOE verschiedene Fachanwendungen und eine Signaturanwendung. Der vorliegende TOE setzt das erste dieser Ziele um. Sichere Verbindung in die Telematikinfrastruktur Das erste Ziel ist, eine sichere Verbindung zur Telematikinfrastruktur bereitzustellen, die durch dyna- mische Paketfilter und Smart Card basiertes VPN abgesichert ist. Der Konnektor schützt sich selbst und die Telematikinfrastruktur vor Angriffen aus dem LAN des Leistungserbringers. Weiterhin schützt er die Komponenten im LAN vor Angriffen aus dem WAN. Darüber hinaus stellt der Konnektor einen VPN-Tunnel zu einem sicheren Internetgateway (Secure Internet Service, SIS) zur Verfügung. Über diesen abgesicherten Internetzugang haben die Kompo- nenten im LAN des Leistungserbringers einen abgesicherten und kontrollierten Zugang zum Internet, unter Umgehung des direkten WAN Zugangs über den DSL-Anschluss3 der Praxis. Kontrolle von Kartenterminals und Smart Cards Das zweite Hauptziel ist, eine kontrollierte Verwendung der Aktoren im Umfeld der Telematikinfra- struktur zu ermöglichen. Die Aktoren in diesem Fall sind u. a. der Heilberufeausweis (HBA), die Institutionskarte (Smart Module Card-B, SMC-B) und die elektronische Gesundheitskarte (eGK). Doch auch die Smart Cards des Konnektors (vom Typ gSMC-K) enthalten kryptographische Iden- titäten für die Authentisierung und Identifikation gegenüber anderen Teilen der Infrastruktur: z. B. den VPN-Konzentratoren, eHealth-Kartenterminals und Clientsystemen. Darüber hinaus werden die Smart Cards auch zur Verschlüsselung und für Signaturen verwendet. Signaturkomponente und Dokumentenverschlüsselung Zusätzlich zu diesen Hauptzielen stellt der Konnektor noch eine Signaturerstellungskomponente bereit. Diese Komponente kann qualifizierte und nicht-qualifizierte elektronische Signaturen sowohl erzeugen als auch verifizieren. Der im Konnektor vorhandene Verschlüsselungsdienst kann von Produkten im LAN des Leistungserbringers verwendet werden, um Dokumente zu ver- und zu entschlüsseln. Das kryptographische Material, das in diese Prozesse eingeht, stammt von den Smart Cards, die der Kon- nektor kontrolliert. 1.4.2. Aufbau des TOE Der TOE ist ein reines Softwareprodukt. Er besteht aus der Firmware der KoCoBox MED+. Der Konnektor ist logisch aufgeteilt in zwei Bestandteile: Den Netzkonnektor (NK) und den Anwendungs- konnektor (AK). Der Anwendungskonnektor enthält das Fachmodul VSDM. Die KoCoBox MED+ ist als eine Ein-Box Lösung ausgelegt. In der Spezifikation des Konnektors bezeichnet dieser Begriff ein 3 oder eine andere Zugangstechnologie 11 Abbildung 1.1.: Gehäuse der KoCoBox MED+ Gerät, bei dem alle relevanten Komponenten in einem einzigen Gehäuse untergebracht sind. Das Ge- häuse enthält sowohl den Netz-, als auch den Anwendungskonnektor. Das Gehäuse ist in Abbildung 1.1 dargestellt. Das Gerät besteht neben der Software, die den TOE ausmacht, noch aus der Hardware. Die Hard- ware ist herstellerspezifisch. Die Software, die den TOE ausmacht, muss auf genau dieser Hardware betrieben werden. Der TOE benutzt die Hardware als Einsatzumgebung. Ebenso zur Einsatzumgebung gehören die drei im Gehäuse vorhandenen Smart Cards vom Typ gSMC-K. Die drei Secure Module Cards sind nicht Teil des TOE. Sie werden in diesem Security Target nicht beschrieben. Das Betriebssystem der KoCoBox MED+ ist GNU/Linux. Teile des Betriebssystems setzen Sicher- heitsanforderungen an den TOE um und sind somit SFR-enforcing. Das betrifft vor allem den TCP/IP- Stack, den Netfilter und das IPsec Protokoll. Der TOE ist in verschiedenen Programmiersprachen implementiert: C/C++, Shell-Skripte und Java. Der Produkttyp und die Aufteilung der Funktionalität auf die einzelnen Systemkomponenten und die Funktionsblöcke werden in [BSI-CC-PP-0097; BSI-CC-PP-0098, Abschnitt 1.3.1] beschrieben. 1.4.3. Einsatzumgebung des TOE Die Einsatzumgebung des TOE wird im Schutzprofil definiert [BSI-CC-PP-0098, Abschnitt 1.3.2]. Die dort gemachten Aussagen gelten ohne Anpassung für dieses Security Target. Die aus dem Schutzprofil 12 Abbildung 1.2.: Einsatzumgebung der KoCoBox MED+ übernommene Abbildung 1.2 zeigt die Einsatzumgebung des Konnektors. Um die Telematikinfrastruktur gegen Angriffe aus dem LAN zu schützen, implementiert der TOE einen dynamischen Paketfilter, der auf beiden Ethernetschnittstellen (LAN und WAN) die ein- und aus- gehenden Pakete überwacht. Derselbe Paketfilter schützt auch den TOE selbst, ebenfalls vor Angriffen aus dem LAN oder WAN. Der Konnektor verbindet das LAN mit potenziell unsicheren Netzwerken wie dem Internet, die über das WAN Interface erreichbar sind. Der Konnektor stellt folglich das einzige Gateway des LAN ins WAN dar. 4 Die Verbindung zwischen dem Konnektor und den gekoppelten eHealth Kartenterminals ist eine durch gegenseitige Authentisierung abgesicherte Verbindung. Komponenten der Einsatzumgebung Das sichere Funktionieren des Konnektors hängt vom Vorhandensein bestimmter Komponenten in der Einsatzumgebung ab. Solche Komponenten sind Hardware, Software und andere vertrauenswürdige IT-Produkte: KoCoBox MED+ Hardware Der TOE als reines Softwareprodukt benötigt eine Hardware- Laufzeitumgebung, innerhalb derer die Programme des TOE ausgeführt werden können. 3 × STARCOS 3.6 Health SMCK R1 Vertrauenswürdige Smart Cards vom Typ gSMC-K mit der Zertifizierungs-ID BSI-DSZ-CC-0916-2015. Der Konnektor unterstützt drei Karten dieser Art, um die Performance bei kryptographischen Operationen zu steigern. Telematikinfrastruktur Die TI wird von der gematik bereitgestellt. Sie ist für den TOE über das WAN Interface erreichbar. Die TI wird über die gematik Spezifikation „OPB 2.1“ definiert. SIS Der sichere Internet-Service ist ein dedizierter VPN-Konzentrator, der über das WAN Interface des Konnektors erreichbar ist. Der SIS wird über die gematik Spezifikation „OPB 2.1“ definiert. Web-Browser Der Konnektor wird über eine Web-Anwendung administriert. Diese Administrator- schnittstelle erlaubt authentisierten Benutzern, verschiedene Management-Aufgaben zu erledi- 4 Ausnahmen hiervon werden in der Konnektorspezifikation beschrieben [gemSpec_Kon, Anhang K]. In solchen Situationen – wie dort in Szenario 3 beschrieben – muss sichergestellt sein, dass das vorhandene Gateway abgesichert ist und nicht kompromittiert werden kann. 13 gen. Diese Aufgaben sind z. B. das Einspielen aktueller Firmware, Anpassung der Konfigurati- onsparametern, und das Auslesen diagnostischer Informationen. Der Browser des Administrators gehört zur Einsatzumgebung und wird hier nicht bewertet. Die Verbindung eines Administrator- Arbeitsplatzes zu der Web-Anwendung ist immer über HTTPS abgesichert. Clientsysteme Praxisverwaltungssysteme, die die Funktionen des Konnektors nutzen, müssen die Programmierschnittstellen des Konnektors befolgen [gemWSDL]. Die Anwendung dieser for- malen Definition ist im Implementierungsleitfaden der gematik für Clientsysteme beschrieben [gemILF_PS]. Anforderungen an die Sicherheit der Einsatzumgebung Der Konnektor soll in einem zutrittsgeschützten Bereich der Praxis betrieben werden und nur von vertrauenswürdigem und geschulten Personal benutzt werden. Daraus folgen einige Sicherheitsanfor- derungen an die Einsatzumgebung: Identifikation eines physischen Angriffs Die Einsatzumgebung muss in der Lage sein, den Zugang eines Angreifers und die Manipulation an der Hardware des Geräts zu identifizieren. Geschützter Betrieb Wenn das Gerät gestartet und betriebsbereit ist, muss die Einsatzumgebung den Zugang zum Konnektor verhindern. Das kann durch organisatorische, aber auch durch tech- nische Maßnahmen erfolgen. Organisatorische Maßnahmen sind z. B. die regelmäßige Prüfung der Unversehrtheit des Betriebsraums; technische Maßnahmen sind z. B. die Installation einer Alarmanlage. Befolgen anerkannter Sicherheitsregeln Regeln, die im IT-Grundschutz [BSI-GS] oder den Richtlinien der BÄK [BÄK-DV] formuliert sind, müssen angewendet werden. 1.4.4. Hardware der KoCoBox MED+ Abbildung 1.3 auf Seite 15 zeigt die Hardware-Komponenten, aus denen sich die Laufzeitumgebung des TOE zusammensetzt. Alle Teile des TOE werden durch die CPU des System-on-a-chip ausgeführt. Der TOE kann nicht auf anderen Hardware-Plattformen betrieben werden. Die logischen Schnittstellen des TOE sind in dem Diagramm als von außen an die Systemkompo- nenten heranreichende Pfeile repräsentiert. Die entsprechenden physischen Schnittstellen sind in den äußeren Komponenten eingetragen. Die Real-Time-Clock (RTC) wird vom TOE verwendet, um zu- verlässige Zeitstempel zu erzeugen. Die Uhr ist batteriegepuffert, um die korrekte Uhrzeit zu erhalten, wenn die KoCoBox MED+ vom Strom getrennt ist. Die 2 GB RAM bilden den flüchtigen Arbeitsspeicher. Der persistente NAND-Flash Speicher befin- det sich auf einer Speicherkarte (embedded Multimedia Card eMMC). Dieser Speicher ist 4 GB groß. Der 4 MB große NOR-Flash enthält den Bootloader. Der duale Ethernet-Controller unterscheidet zwischen den zwei physischen Schnittstellen für das LAN (PS.LAN) und das WAN (PS.WAN). Für jede Schnittstelle wird ein eigener Port an der Außenseite des Geräts angeboten. Jeder Port hat seine eigene MAC-Adresse. Der Controller erhält die Ethernet- Frames und ordnet die Frames dem jeweiligen Port zu. Der Controller stellt sicher, dass Frames nicht zwischen den Ports ausgetauscht weden. Basierend auf Port und MAC-Adresse bietet der TOE eindeu- tige Schnittstellen für jeden Port. Die Tasten und das Display werden verwendet um Statusinformationen über die KoCoBox MED+ abzurufen. Weiterhin kann hierüber ein Neustart des Geräts ausgelöst werden. 14 Abbildung 1.3.: Hardware-Komponenten der KoCoBox MED+ Der Mini-USB Anschluss (USB On-the-Go, OTG) wird verwendet, um im Produktionsprozess die Firmware des Bootloader in die KoCoBox MED+ einzubringen. Für diesen Vorgang muss der SoC Pin für das Booten von USB-Medien während des Resets verbunden sein. Nur in diesem Fall handelt das SoC als ein USB-Gerät, sodass neue Firmware in den NOR-Flash Speicher geladen werden kann. Danach kann der Konnektor mit dem neuen Bootloader neugestartet werden. Der Pin am SoC ist ei- ne interne Schnittstelle, deren Benutzung direkten Zugriff auf die Platine benötigt. Dieser Weg eine Firmware einzuspielen wird nur in der Fertigung verwendet und im Verlauf der Fertigung durch Fuses in der Hardware komplett deaktiviert. Somit ist sie während des Betriebs der KoCoBox MED+ nicht erreichbar. Als zusätzliche Schutzmaßnahme prüft der SoC vor dem Start die Signatur des Bootloader (High Assurance Boot, HAB). Danach werden durch weitere Verifizierungen von Signaturen zuerst der Kernel und das Initramfs und dann im Initramfs alle anderen Firmwareanteile auf ihre Integrität geprüft. Der Micro SD-Kartenslot ist für zukünftige Anwendungszwecke vorgesehen. Er wird in der zertifi- zierten Konfiguration des TOE als alternatives Bootmedium verwendet. Der Kartenslot ist außerhalb des Geräts nicht zu erreichen. Die UART-Schnittstelle zum Anschluss einer seriellen Konsole wird nicht benutzt. Sie ist über Soft- ware deaktiviert, sodass weder Eingaben noch Ausgaben darüber möglich sind. 15 1.4.5. Schnittstellen des Konnektors 1.4.5.1. Physische Schnittstellen Alle Schnittstellen des Konnektors sind physisch am Gehäuse des Geräts untergebracht. Die folgen- de Liste bezieht sich auf die Liste der Schnittstellen, wie sie im Schutzprofil des Gesamtkonnektors [BSI-CC-PP-0098, Abschnitt 1.3.3.1] angegeben ist. Die Schnittstellen sind im Kontext der Systemar- chitektur in Abbildung 1.3 aufgeführt, die außen sichtbaren Schnittstellen sind auf dem Foto des TOE in Abbildung 1.1 zu erkennen (vgl. Anwendungshinweis 5 des Schutzprofils). Die Schnittstelle PS.DISPLAY ist zusätzlich aufgenommen. Hier erneut der Hinweis, dass der Evaluie- rungsgegenstand ein reines Softwareprodukt ist. Dennoch weist das Schutzprofil an, dass die physischen Außenschnittstellen des Geräts beschrieben werden sollen. PS.LAN ist die Schnittstelle ins LAN und zu den Clientsystemen. Obwohl der Netzkonnektor selbst nicht direkt mit den Clientsystemen kommuniziert, stellt er die LAN-Schnittstelle zur Verfügung, die wiederum von Anwendungskonnektor verwendet wird, um mit Infrastruktur-Komponenten im LAN zu kommunizieren. Diese Schnittstelle stellt abhängig von der Konfiguration die Kon- nektivität für die VPN-Verbindungen in die TI und zum SIS zur Verfügung. Die Schnittstelle wird durch den Paketfilter des Netzkonnektors geschützt. PS.WAN ist die Schnittstelle ins WAN. Diese Schnittstelle stellt abhängig von der Konfiguration die Konnektivität für die VPN-Verbindungen in die TI und zum SIS zur Verfügung. Die Schnittstelle wird durch den Paketfilter des Netzkonnektors geschützt. PS.SMC ist die Schnittstelle zu den Smart Cards vom Typ gSMC-K, die im Konnektor fest verbaut sind. Die Schnittstelle verfügt über drei Steckplätze. Die Verwendung der jeweiligen Karten wird in Abschnitt 1.4.3 beschrieben. PS.DISPLAY repräsentiert das Display und die Tasten an der Außenseite des Geräts. Das Display wird verwendet, um den Administrator über kritische Betriebszustände und den Verbindungsstatus zur TI und zum SIS zu informieren. Über die Tasten kann der Administrator durch ein Menü navigieren, um z. B. die Netzwerkparameter für das LAN abzulesen (keine Änderungsmöglich- keit) oder einen Neustart des Geräts auszulösen. 1.4.5.2. Logische Schnittstellen Der TOE verfügt über die logischen Schnittstellen, die das Schutzprofil des Gesamtkonnektors [BSI- CC-PP-0098, Abschnitt 1.3.3.2] in beschreibt. Diese werden hier der besseren Lesbarkeit halber wie- derholt. LS.LAN ist die Schnittstelle ins lokale Netzwerk des Leistungserbringers. Zusätzlich zu den im Schutz- profil genannten Schnittstellen werden hier weitere protokollspezifische Schnittstellen definiert. Tabelle 1.1 listet diese Logischen Schnittstellen. LS.WAN ist die Schnittstelle des TOE zum Internet Access Gateway (IAG). Verschiedene Protokolle implementieren weitere Logische Schnittstellen in Richtung des WAN. Tabelle 1.2 listet diese Logischen Schnittstellen. 16 LS.VPN_TI ist die Schnittstelle des TOE zu den zentralen Komponenten der Telematikinfrastruktur. Die Kommunikation erfolgt über einen VPN-Kanal, der über die WAN-Schnittstelle PS.WAN läuft. Ggf. läuft der VPN-Kanal alternativ über die Schnittstelle PS.LAN, falls WAN und LAN nicht getrennt sind. Verschiedene Protokolle implementieren weitere Logische Schnittstellen in Richtung des VPN_TI. Tabelle 1.3 listet diese Logischen Schnittstellen. LS.VPN_SIS ist die Schnittstelle zum sicheren Internet Service SIS. Die Kommunikation erfolgt über einen VPN-Kanal, der über die WAN-Schnittstelle PS.WAN läuft. Ggf. läuft der VPN-Kanal al- ternativ über die Schnittstelle PS.LAN, falls WAN und LAN durch die Konfiguration des Konnek- tors über dieselbe Schnittstelle erreicht werden. Verschiedene Protokolle implementieren weitere Logische Schnittstellen in Richtung des VPN_SIS. Tabelle 1.4 listet diese Logischen Schnittstel- len. LS.SMC repräsentiert die logische Schnittstelle zum Sicherheitsmodul (gSMC-K) des Konnektors. Die Schnittstelle läuft über PS.SMC. LS.DISPLAY repräsentiert die logische Schnittstelle zum Display und den Bedienknöpfen über PS.DIS- PLAY. LS.FM ist die Schnittstelle zwischen dem Anwendungskonnektor und den Fachmodulen, die innerhalb des Konnektors laufen5. Verschiedene Protokolle implementieren weitere Logische Schnittstel- len in Richtung der Fachmodule. Tabelle 1.5 listet diese Logischen Schnittstellen. 5 Das Fachmodul VSDM ist Teil des Anwendungskonnektors und verwendet diese Schnittstelle nicht. 17 Bezeichner Rolle Zweck der Schnittstelle LS.LAN.CETP Client Übertragung von Systemereignissen an Clientsysteme LS.LAN.DHCP Server Adressvergabe im LAN LS.LAN.DNS Server Auflösung von Hostnamen im LAN LS.LAN.Ether — Protokoll auf Zugangsschicht LS.LAN.HTTP Server HTTP Zugriff auf Basisdienste LS.LAN.HTTP_Client Client CRL Download LS.LAN.HTTP.DVD Server Abruf des Dienstverzeichnis LS.LAN.HTTP_MGMT Server HTTP-Zugriff auf Managementschnittstelle LS.LAN.IP — Zugang zur Internet-Schicht LS.LAN.IPsec Client Verbindung zu VPN-Konzentratoren, inkl. der Protokolle für Schlüsselaustausch und Verschlüsselung der Inhalts- daten LS.LAN.LDAP Server Zugriff auf den LDAP-Proxy LS.LAN.NTP Server Abruf der Uhrzeit LS.LAN.SICCT Client Kommunikation mit den eHealth-Kartenterminals LS.LAN.SOAP Server SOAP Kommunikation mit den Basisdiensten LS.LAN.SOAP.AuthSignatureService Server Zugriff auf den Authentisierungsdienst LS.LAN.SOAP.CardService Server Zugriff auf den Kartendienst LS.LAN.SOAP.CertificateService Server Zugriff auf den Zertifikatsdienst LS.LAN.SOAP.CTService Server Zugriff auf den Kartenterminaldienst LS.LAN.SOAP.EncryptionService Server Zugriff auf den Verschlüsselungsdienst LS.LAN.SOAP.SignatureService Server Zugriff auf den Signaturdienst LS.LAN.SOAP.SysInfService Server Zugriff auf den Systeminformationsdienst LS.LAN.SOAP.VSDM Server Zugriff auf das Versichertenstammdatenmanagement LS.LAN.SOAP.FM Server Zugriff auf die Fachmodule des Konnektors LS.LAN.TCP — Zugang zur Transportschicht LS.LAN.TLS beide Sicherung der Verbindung mit TLS 1.2 LS.LAN.UDP — Zugang zur Transportschicht Tabelle 1.1.: Logische Schnittstellen an LS.LAN 18 Bezeichner Rolle Zweck der Schnittstelle LS.WAN.DHCP Client Adressbezug im WAN LS.WAN.DNS Client Auflösung von Hostnamen im WAN LS.WAN.Ether — Protokoll auf Zugangsschicht LS.WAN.HTTP_Client Client CRL Download LS.WAN.IP — Zugang zur Internet-Schicht LS.WAN.IPsec Client Verbindung zu VPN-Konzentratoren, inkl. der Protokolle für Schlüsselaustausch und Verschlüsselung der Inhaltsdaten LS.WAN.SOAP Client SOAP Kommunikation mit dem Registrierungsdienst LS.WAN.SOAP.RegService Client Registrieren des Konnektors am Registrierungsdienst LS.WAN.TCP — Zugang zur Transportschicht LS.WAN.TLS Client Sicherung der Verbindung mit TLS 1.2 LS.WAN.UDP — Zugang zur Transportschicht Tabelle 1.2.: Logische Schnittstellen an LS.WAN Bezeichner Rolle Zweck der Schnittstelle LS.VPN_TI.DNS Client Auflösung von Hostnamen im WAN LS.VPN_TI.HTTP Client HTTP Zugriff auf Fachdienste, Download der Updatepakete LS.VPN_TI.HTTP_TSL Client TSL/CRL Download, OCSP Abfragen LS.VPN_TI.IP — Zugang zur Internet-Schicht LS.VPN_TI.LDAP Client Zugriff auf den Verzeichnisdienst der TI LS.VPN_TI.SOAP Client SOAP Kommunikation mit den Fachdiensten VSDM LS.VPN_TI.SOAP.VSDM Client Kommunikation mit den Fachdiensten VSDM LS.VPN_TI.TCP — Zugang zur Transportschicht LS.VPN_TI.TLS Client Sicherung der Verbindung mit TLS 1.2 LS.VPN_TI.UDP — Zugang zur Transportschicht Tabelle 1.3.: Logische Schnittstellen an LS.VPN_TI Bezeichner Rolle Zweck der Schnittstelle LS.VPN_SIS.HTTP_Client Client TSL/CRL Download, HTTP Zugriff auf Fachdienste LS.VPN_SIS.IP — Zugang zur Internet-Schicht LS.VPN_SIS.TCP — Zugang zur Transportschicht LS.VPN_SIS.UDP — Zugang zur Transportschicht Tabelle 1.4.: Logische Schnittstellen an LS.VPN_SIS 19 Bezeichner Rolle Zweck der Schnittstelle LS.FM.RMI Server RMI-Zugriffe der Fachmodule auf den Basiskonnektor LS.FM.HTTP Client Durchleitung der HTTP-Zugriffe (SOAP-Requests) von Clientsyste- men an die Fachmodule LS.FM.HTTP_MGMT Client Durchleitung der HTTP-Zugriffe (Administration der Fachmodule) vom Browser des Administrators an die Fachmodule Tabelle 1.5.: Logische Schnittstellen an LS.FM 20 1.4.6. Aufbau und physische Abgrenzung des Konnektors OPB 2.1 Das Schutzprofil verweist in [BSI-CC-PP-0098, Abschnitt 1.3.4] auf die Konzeption zur Architektur der TI-Plattform [gemKPT_Arch]. Das Betriebssystem, das der TOE bereit stellt, ist ein GNU/Linux System. Das im TOE verbaute Linux ist gegenüber der Basis-Distribution deutlich angepasst worden, sodass hier von einer eigenen Distribution gesprochen werden muss. Die Java-Anwendungen des TOE stellen die fachlichen Funk- tionen bereit. Der TOE besteht aus folgenden Subsystemen: Bootloader Stellt die Integrität des Kernels und des Initramfs sicher; bootet den Kernel. Kernel Der Kernel abstrahiert in Richtung der Anwendungen die Hardware und stellt Mechanismen für das Managemnt der Prozesse zur Verfügung. Der Kernel bietet Sicherheitsfunktionalität für den Paketfilter, die IPsec Kanäle und kryptographische Algorithmen. Initramfs Enthält das initiale Dateisystem mit Tools und Skripten, die gebraucht werden, um nach dem Boot des Kernels das Root-Dateisystem zu laden. Systemdienste in Form von Dämonen bieten Basisdienste, die von anderen Subsystemen des TOE ge- nutzt werden. Systembibliotheken und Werkzeuge Bietet Bibliotheken im User Space, Programme und Kommando- zeilenwerkzeuge. Auch die Java Virtual Machine, in deren Instanzen der NK und der AK laufen, stammt aus diesem Subsystem. Programme im User Space tragen fachliche Funktionen wie Ver- und Entschlüsselung zum Gesamtsystem bei. Skripte werden vor allem während des Systemstarts verwendet, um Systemdienste zu starten und den TOE zu konfigurieren. JavaModule des NK Der in Java implementierte Teil des Netzkonnektors, der den TOE konfiguriert und anderen Teilen des TOE Dienste anbietet. CertificateService Stellt anderen Subsystemen Funktionen zur Verifikation von Zertifikaten zur Verfü- gung. RMIBridge Ermöglicht Funktionsaufrufe zwischen den beiden Java Virtual Machines des NK und des AK. Die Kommunikation kann in beide Richtungen erfolgen. EventService Fungiert als eine interne Zentrale für die Verteilung von Ereignissen an andere Subsyste- me und deren Module. PCSCService Ermöglicht dem Anwendungskonnektor den Zugriff auf die im Konnektor verbauten Smart Cards vom Typ gSMC-K. Facade Bildet aus Sicht der fachlich orientierten Subsysteme die technische Außenschnittstelle des Web-Servers ab. FM_VSDM Dieses Subsystem stellt die Funktionen für das Versichertenstammdatenmanagemt bereit. SystemInformationService Bietet Informationen über den Konnektor an. Nutzer sind sowohl interne Subsysteme (über ein Request-Reply Pattern), als auch Komponenten der Einsatzumgebung wie Clientsysteme (über ein Publish-Subscribe Pattern). 21 EncryptionService Bietet Ver- und Entschlüsselungsdienste für Clientsysteme und andere Subsysteme. AdminService Enthält die Web-Application der Management-Schnittstelle und Basisdienste wie das User-Management und den Export/Import der Systemkonfiguration. SignatureService Stellt Funktionen zum Signieren von Dokumenten und zur Verfikation von Signaturen zur Verfügung. AccessAuthorizationService Setzt die Anforderungen an den Zugriffsschutz für Subsysteme des Anwen- dungskonnektors und das Informationsmodell um. CardService Kapselt den Zugriff auf Smart Cards und eHealth-Kartenterminals; stellt anderen Subsys- temen den Zugriff auf diese Entitäten zur Verfügung. Tools.AK Bietet ein Sammelbecken für Programme, Werkzeuge und Frameworks, die von anderen Subsystemen herangezogen werden. Die prominentesten Vertreter sind das OSGi Framework als Modularisierungsplattform für Java-Anwendungen und das Krypto-Framework BouncyCastle. LDAPProxy Stellt Funktionen bereit, damit Clientsysteme auf den Verzeichnisdienst der TI zugreifen können. Wird für die Kommunikation zwischen den Leistungserbringern verwendet. AuthenticationService Bietet Authentisierungsmechanismen für Clientsysteme auf Basis der gematik Spezifikation zur Tokenbasierten Authentisierung [gemSpec_Kon_TBAuth] Alle anderen Teile der KoCoBox MED+ gehören nicht zum TOE. 1.4.7. Logische Abgrenzung: Vom TOE erbrachte Sicherheitsdienste 1.4.7.1. Sicherheitsdienste des Netzkonnektors Der Konnektor erfüllt alle Anforderungen an Sicherheitsdienste, die in [BSI-CC-PP-0098, Abschnitt 1.3.5.1] definiert werden. Die folgende Liste fasst die Sicherheitsdienste zusammen. VPN Client um den Anwendungskonnektor mit den den zentralen Diensten der Telematikinfrastruk- tur und dem Sicheren Internet Service zu verbinden. Dabei werden insbesondere die im Folgen- den dargestellten Funktionen umgesetzt 1. Erzwingen der Authentisierung des VPN Konzentrators. Der NK unterstützt IKEv2 gemäß [RFC 7296]. 2. Schutz der Integrität und der Vertraulichkeit der übertragenen Daten. 3. Regelbasierte Informationsflusskontrolle. Dynamischer Paketfilter Ein regelbasierter Paketfilter, der in der Lage ist, Angriffe mit hohem Potenzial aus LAN und WAN abzuwehren. TLS-Basisdienst Die Java Virtual Machine, die Teil des Netzkonnektors ist, setzt über ihr Frame- work JSSE das TLS Protokoll im geforderten Maße um. Der TOE wird so konfiguriert, dass lediglich die in der gematik-Spezifikation genannten Ciphersuiten und Sicherheitsparameter ver- wendet werden können, vgl. [gemSpec_Krypt, Abschnitt 3.3.2]. 22 Zeitdienst Bereitstellung eines NTP-Servers für Konnektor-interne Anwendungen wie das Audit- Log und für externe Komponenten wie Clientsysteme. Der NTP-Server synchronisiert sich mit den zentralen NTP-Servern der Telematikinfrastruktur. Der NTP-Server prüft die erhaltenen Zeitinformationen auf Plausibilität und erlaubt keine Zeit- abweichung über 3600 Sekunden hinaus. DHCP-Dienst Systeme im LAN des Leistungserbringers können den DHCP-Server des Konnektors gemäß [RFC 2131; RFC 2132] nutzen. DNS-Dienst Systeme im LAN des Leistungserbringers und der Anwendungskonnektor können den DNS-Server des Konnektors gemäß [RFC 4035] nutzen. Gültigkeitsprüfung von Zertifikaten Der Konnektor validiert die Gültigkeit der Zertifikate, die von externen Entitäten wie den VPN-Konzentratoren zur Authentisierung präsentiert werden. Die Vertrauensanker für diese Prüfung werden aus der aktuell installierten TSL entnommen. Die verwendeten Algorithmen sind in der Firmware des Konnektors definiert und können durch Software-Updates aktualisiert werden. Stateful Packet Inspection Der dynamische Paketfilter ist in der Lage, nicht-wohlgeformte IP- Pakete zu erkennen und entsprechend zu agieren. Selbstschutz Der Konnektor schützt Geheimnisse gegen Manipulationen und Preisgabe. Speicheraufbereitung Unmittelbar nach Abbau von TLS- und VPN-Verbindungen wird das Schlüsselmaterial durch aktives Überschreiben mit Null-Bytes vernichtet. Selbsttests Neben dem beim Systemstart ausgeführten Selbsttest haben Administratoren jederzeit die Möglichkeit, den Selbsttest des Konnektors über die Management-Anwendung zu starten. Protokollierung Der TOE reserviert Platz im nicht-flüchtigen Speicher für die Ablage eines Audit- Logs. Weder normale Benutzer noch Administratoren können das Audit-Log modifizieren oder löschen. Wenn der reservierte Speicherplatz erschöpft ist, wird der älteste Eintrag überschrieben. Neben den in [BSI-CC-PP-0098, Abschnitt 6.2.5] beschriebenen Anforderungen werden noch die Anforderungen aus FAU_GEN.1/AK erfüllt. Der TOE implementiert Mechanismen zum Selbstschutz gegen Angriffe, die das Audit-Log mit Einträgen zu überschwemmen versuchen, um Spuren eines Angriffs zu vertuschen. Bei einem Füllstand von 80% des Audit-Logs wird der Administrator über ein spezielles Audit-Event be- nachrichtigt. Eine Auswertung des Audit-Logs ist Aufgabe des Administrators. Administration Der TOE bietet eine web-basierte Management-Anwendung, die ausschließlich über eine TLS-gesicherte Verbindung erreichbar ist und die Authentisierung des Administra- tors über Benutzernamen/Passwort erzwingt. Diese Anwendung stellt der Anwendungskonnek- tor bereit. Die über die Management-Anwendung übergebenen Konfigurationswerte werden vom Netzkonnektor persistiert und angewendet. Die Konfigurationsmöglichkeiten sind auf solche Werte beschränkt, die nicht die Sicherheitsan- forderungen an den TOE gefährden. Die Sicherheit des TOE kann nicht durch Konfiguration in der Management-Anwendung kompromittiert werden. 23 Über die Management-Anwendung kann ein Administrator ein Firmware-Update initiieren. Eine Fernwartung gemäß [gemSpec_Kon, Abschnitt 4.3] ist nicht möglich. 1.4.8. Physischer Umfang des TOE Der physische Umfang des TOE umfasst die in Tabelle 1.6 aufgelisteten Komponenten. Komponente Beschreibung Version Firmware Image Die Firmware und der Boot Loader des TOE. Die Firmware umfasst den Netzkonnektor, den Anwendungskonnek- tor, das Fachmodul NFDM (in Versi- on 1.0.13) und das Fachmodul AMTS (Version 1.0.13) 2.3.24 Guidance Documentation („Admi- nistratorhandbuch KoCoBox MED+ Version 2.3“) Die Guidance Documentation beschreibt die sichere Verwendung des TOE [KoCo AGD_ADM] 2.3 (14.7.2020) Guidance Documentation („Ergän- zungen zum Administratorhandbuch KoCoBox MED+ Version 2.x“) Zielgruppe dieser Ergänzungen zum Handbuch sind Administratoren und Integratoren der KoCoBox MED+ sowie Hersteller von Primärsystemen, die für den Einsatz mit der KoCoBox MED+ vor- gesehen sind. [KoCo AGD_ADM-Erg] 1.1.1 Benutzerhandbuch („Allgemeine Ge- brauchsanleitung KoCoBox MED+“) Das Benutzerhandbuch beschreibt die all- gemeine Verwendung des Konnektors, so- wohl dessen TOE Anteile als auch die nicht-TOE Anteile 1.3.8 Entwicklerhandbuch („JSON- Managementschnittstelle der KoCo- Box MED+“) Anleitung für die Benutzung der API von LS.LAN.HTTP_MGMT. 2.22 Konnektor Security Guidance Fachmodu- le NFDM und AMTS Die Anleitung zur Verwendung des Kon- nektors für die Autoren von Fachmodulen AMTS und NFDM [KoCo AGD_Kon- Sec] 1.15 Konnektor API für Fachmodule Javadoc API-Beschreibung der Funktionen des Ba- siskonnektors für Fachmodule 2.3.24 Tabelle 1.6.: Physischer Umfang des TOE 24 2. Postulat der Übereinstimmung 2.1. Konformität zu Common Criteria Das Security Target wurde gemäß Common Criteria, Version 3.1, Revision 5, erstellt und ist • CC Part 2 [CC Part 2] erweitert (extended) und • CC Part 3 [CC Part 3] konform (conformant). 2.2. Konformität zu Schutzprofilen Dieses Security Target behauptet strikte Konformität zu: • „Schutzprofil 1: Anforderungen an den Netzkonnektor“ [BSI-CC-PP-0097] Dieses Security Target behauptet keine Konformität zu weiteren Schutzprofilen. 2.3. Konformität zu Paketen Das Schutzprofil fordert die Vertrauenswürdigkeitsstufe EAL3, erweitert um die Komponenten in Ta- belle 2.1. Dieses Security Target behauptet Konformität zu genau diesen Paketen. Diese Konformität wird als „EAL3+“ bezeichnet und ist somit „package-augmented“ gegenüber EAL3. Paket Erläuterung AVA_VAN.5 Resistenz gegen Angriffspotential „High“ ADV_FSP.4 Vollständige Funktionale Spezifikation ADV_TDS.3 Einfaches Modulares Design ADV_IMP.1 TSF-Implementierung ALC_TAT.1 Wohldefinierte Entwicklungswerkzeuge ALC_FLR.2 Verfahren für Problemreports Tabelle 2.1.: Ergänzungen zur Vertrauenswürdigkeit EAL3 2.4. Erklärung der Konformität Dieses Security Target behauptet strikte Konformität zu [BSI-CC-PP-0097]. Durch diese Feststellung sind Widersprüche und Inkonsistenzen zu anderen Schutzprofilen ausgeschlossen. Diese Behauptung basiert auf der Betrachtung des TOE Typs, der Definition des Sicherheitsproblems und schließlich 25 der Sicherheitsziele sowie der Sicherheitsanforderungen. Weiterhin behauptet dieses Security Target Konformität zu allen Security Assurance Requirements (SARs), die von [BSI-CC-PP-0097] gefordert werden. TOE Typ Das Schutzprofil fordert, dass der TOE ein Produkt ist, das die „Sicherheitsfunktionalität einer Firewall, eines VPN-Clients sowie von Servern für einen Zeitdienst, einen Namensdienst (DNS) und einen DHCP-Dienst“ umfasst. Zudem beinhaltet es die Basisfunktionen zum Aufbau von TLS-Kanälen zu anderen IT-Produkten. Der TOE, der in diesem Security Target beschrie- ben wird, ist ein solches Produkt. Es wird auch mit dem Begriff Netzkonnektor bezeichnet. Definition des Sicherheitsproblems Die Definition des Sicherheitsproblems, d. h. die Bedro- hungen, Annahmen und die organisatorischen Sicherheitspolitiken sind direkt aus dem Schutz- profil [BSI-CC-PP-0097] übernommen. Sicherheitsziele und Sicherheitsanforderungen Die Sicherheitsziele und Sicherheitsanfor- derungen sind dem Schutzprofil [BSI-CC-PP-0097] entnommen. Die Operationen an den SFR sind deutlich gekennzeichnet. Kapitel 5 bescheibt die über CC Teil 2 [CC Part 2] hinausgehenden funktionalen Anforderungen an die Vertrauenswürdigkeit. Es werden keine Anforderungen definiert, die über CC Teil 3 [CC Part 3] hinausgehen. 26 3. Definition des Sicherheitsproblems In diesem Abschnitt wird zunächst beschrieben, welche Werte der TOE schützen muss, welche exter- nen Einheiten mit ihm interagieren und welche Objekte von Bedeutung sind. Auf dieser Basis wird danach beschrieben, welche Bedrohungen der TOE abwehren muss, welche organisatorischen Sicher- heitspolitiken zu beachten sind und welche Annahmen an seine Einsatzumgebung getroffen werden können. Für die Bezüge auf Schutzprofile sind die Hinweise im Abschnitt „Anmerkungen zur CC Zertifizie- rung“ im Vorwort dieses Security Targets zu beachten. 3.1. Werte 3.1.1. Zu Schützende Werte Die zu schützenden Werte – also Ressourcen und Daten, die der TOE schützt – werden in [BSI-CC-PP- 0097] und [BSI-CC-PP-0098] beschrieben. Die dort beschriebenen Werte gelten bezüglich des TOE Scopes ohne Anpassung, vgl. hierzu auch die Anmerkungen im Vorwort dieses Security Targets. 3.1.2. Benutzer des TOE Die externen Entitäten, Subjekte und Objekte des TOE werden in [BSI-CC-PP-0097] und [BSI-CC- PP-0098] beschrieben. Die Benutzer des Anwendungskonnektors werden in [BSI-CC-PP-0098, Ab- schnitt 3.1.1] beschrieben. Diese Beschreibung gilt ohne Anpassung. Die Subjekte, die im Auftrag des Benutzers agieren, werden in [BSI-CC-PP-0098, Abschnitt 6.1.2] modelliert. Auch diese Darstellung wird ohne Anpassung in das Security Target übernommen. 3.2. Bedrohungen Die in [BSI-CC-PP-0097] und in den [BSI-CC-PP-0098] aufgelisteten und angenommenen Bedrohun- gen gelten bezüglich des TOE Scopes ohne Anpassung, vgl. hierzu auch die Anmerkungen im Vorwort dieses Security Targets. 3.3. Organisatorische Sicherheitspolitiken des Netzkonnektors OSP.NK.Zeitdienst (Zeitdienst) Die in Abschnitt 3.4 von [BSI-CC-PP-0097] und Abschnitt 3.3.1 von [BSI-CC-PP-0098] beschriebene organisatorische Sicherheitspolitik OSP.NK.Zeitdienst gilt ohne Anpassung. OSP.NK.SIS (Sicherer Internet Service) Die in Abschnitt 3.4 von [BSI-CC-PP-0097] und Abschnitt 3.3.1 von [BSI-CC-PP-0098] beschriebene organisatorische Sicherheitspolitik OSP.NK.SIS gilt ohne Anpassung. 27 OSP.NK.BOF (Kommunikation mit Bestandsnetzen und offenen Fachdiensten) Die in Abschnitt 3.4 von [BSI-CC-PP-0097] und Abschnitt 3.3.1 von [BSI-CC-PP-0098] beschriebene organisatorische Sicherheitspolitik OSP.NK.BOF gilt ohne Anpassung. OSP.NK.TLS (TLS-Kanäle mit sicheren kryptographische Algorithmen) Die in Abschnitt 3.4 von [BSI-CC-PP-0097] und Abschnitt 3.3.1 von [BSI-CC-PP-0098] beschriebene organisatorische Sicherheitspolitik OSP.NK.TLS gilt ohne Anpassung. 3.4. Annahmen Die in [BSI-CC-PP-0097] und [BSI-CC-PP-0098] getroffenen Annahmen gelten bezüglich des TOE Scopes ohne Anpassung, vgl. hierzu auch die Anmerkungen im Vorwort dieses Security Targets. Für A.NK.AK und A.NK.CS wird der ST-Autor über Anwendungshinweise Nr. 28 und 29 aufgefordert, die Funktionalität des Netzkonnektors und die dafür erforderlichen Separationsmechanismen zu er- klären. Zwar gehen die beiden Annahmen davon aus, dass sowohl der Anwendungskonnektor als auch die Clientsysteme die Sicherheitsdienste des Netzkonnektors automatisch nutzen. Doch muss auch aus dem LAN des Leistungserbringers mit Angriffen gerechnet werden, da möglicherweise Schadsoftware im LAN existiert. Dies leitet sich aus zwei Bedrohungen her, denen das Schutzprofil verschiedene An- griffspfade zuordnet [BSI-CC-PP-0098, Abschnitt 3.2.1.2]. T.NK.local_EVG_LAN Die in Angriffspfad 1 skizzierte Gefahr kann für den Konnektor ausgeschlossen werden. Der Konnektor verwendet an der LAN Schnittstelle einen Paketfilter, der nicht umgan- gen werden kann. Außer den definierten Schnittstellen sind keine Ports am Konnektor geöffnet. Daher gelten hier die üblichen Schutzmaßnahmen wie der Integritätsschutz. Die im Konnektor eingetragenen Routing-Tabellen sorgen dafür, dass Clientsysteme direkt mit den angeschlossenen Netzen des Gesundheitswesens („offene Bestandsnetze“) kommunizieren dürfen. T.NK.remote_EVG_LAN Der Paketfilter separiert auch die Schnittstellen LS.LAN und LS.WAN voneinan- der. Weiterhin haben LAN- und WAN-Interfaces unterschiedliche IP-Adressen. Sie arbeiten in unterschiedlichen Subnetzen, diese dürfen sich nicht überschneiden. Folglich separiert auch das Routing die beiden Netze. Damit ist der Angriffspfad 3.1 abgewehrt. Der Angriffspfad 3.2 muss durch das Clientsystem abgewehrt werden. In beiden Fällen werden vor allem Inhalte der Kommunikation nicht ausgewertet: Der Konnektor ist ja nur angreifbar, wenn auf dem Konnektor irgendetwas zur Auswertung ankommt. Firewall und Routing selber werten ja nur die Pakete auf IP/TCP/UDP Ebene aus. Der Konnektor fungiert in diesem Fall lediglich als Router, der weder den Anspruch erhebt, noch in der Lage ist, den von ihm an die Clientsysteme vermittelten Datenverkehr zu überwachen und zu filtern. Dienste auf dem Konnektor selber sind erreichbar und müssen sich selber schützen bzw sind auf anderen Ebenen separiert. 28 4. Sicherheitsziele 4.1. Sicherheitsziele für den Netzkonnektor 4.1.1. Allgemeine Ziele: Schutz und Administration O.NK.TLS_Krypto (TLS-Kanäle mit sicheren kryptographische Algorithmen) Das in Abschnitt 4.1.1 von [BSI-CC-PP-0097] und Abschnitt 4.1.1 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel O.NK.TLS_Krypto muss erfüllt werden. O.NK.Schutz (Selbstschutz, Selbsttest und Schutz von Benutzerdaten) Das in Abschnitt 4.1.1 von [BSI-CC-PP-0097] und Abschnitt 4.1.1 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel O.NK.Schutz muss erfüllt werden. O.NK.EVG_Authenticity (Authentizität des EVG) Das in Abschnitt 4.1.1 von [BSI-CC-PP-0097] und Abschnitt 4.1.1 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel O.NK.EVG_Authenticity muss erfüllt werden. Einen hinreichenden Schutz gegen Angreifer, welche gefälschte Konnektoren in Umlauf bringen, stellen ein geeignetes Auslieferungsverfahren (ALC_DEL.1) sowie sichere Verfahren zur Inbetrieb- nahme (AGD_OPE.1) dar, sofern sie mit weiteren Maßnahmen kombiniert werden, welche spätere Veränderungen am Konnektor mit Sicherheit ausschließen oder hinreichend erkennbar machen, z. .B. Aufbewahrung in einem gesicherten Bereich (siehe Abschnitt 4.1.1). Der Konnektor wird über ein sicheres Auslieferungsverfahren an den Bestimmungsort transportiert und dort dem Leistungserbringer übergeben. Die Eigenschaften des sicheren Auslieferungsprozess sind in [KoCo ALC_DEL] beschrieben. Das Administratorhandbuch listet in Abschnitt 4.2 die Art und die Plazierung der verschiedenen Siegel auf dem Gehäuse des Konnektors auf [KoCo AGD_ADM]. An- hand der Unversehrtheit der Siegel ist für den Leistungserbringer erkennbar, ob das Gerät manipuliert wurde. Der Konnektor implementiert das IPSec-Protokoll, das eine zertifikatsbasierte Authentisierung vor- sieht. Das Zertifikat bezieht der Konnektor von der gSMC-K#1. Diese Karte ist im Konnektor verbaut und kann nicht entfernt werden, ohne die Integrität des Konnektors zu zerstören. O.NK.Admin_EVG (Administration nur nach Autorisierung und über sicheren Kanal) Das in Abschnitt 4.1.1 von [BSI-CC-PP-0097] und Abschnitt 4.1.1 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel O.NK.Admin_EVG muss erfüllt werden. Das Administrationskonzept des Konnektors ist rollenbasiert, doch jeder Benutzer mit der Berech- tigung, die Administrationsschnittstelle zu benutzen, wird in diesem Security Target als Administrator bezeichnet – unabhängig von den konfigurierten Berechtigungen der spezifischen Rolle. Das Rollen- modell des Konnektors weist weitere Rollen auf (SuperAdmin, Admin etc., vgl. [KoCo AGD_ADM]), die mit verschiedenen Rechten versehen sind und durch Einzelvergabe individuell konfiguriert werden können. Aus Sicht dieses Security Targets werden die Inhaber dieser Rollen alle als „Administrator“ bezeichnet. 29 O.NK.Protokoll (Protokollierung mit Zeitstempel) Das in Abschnitt 4.1.1 von [BSI-CC-PP-0097] und Abschnitt 4.1.1 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel O.NK.Protokoll muss erfüllt werden. O.NK.Zeitdienst (Zeitdienst) Das in Abschnitt 4.1.1 von [BSI-CC-PP-0097] und Abschnitt 4.1.1 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel O.NK.Zeitdienst muss erfüllt werden. 4.1.2. Ziele für die VPN Funktionalität O.NK.VPN_Auth (Gegenseitige Authentisierung im VPN-Tunnel) Das in Abschnitt 4.1.2 von [BSI-CC-PP-0097] und Abschnitt 4.1.2 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel O.NK.VPN_Auth muss erfüllt werden. O.NK.Zert_Prüf (Gültigkeitsprüfung für VPN-Zertifikate) Das in Abschnitt 4.1.2 von [BSI-CC-PP-0097] und Abschnitt 4.1.2 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel O.NK.Zert_Prüf muss erfüllt werden. O.NK.VPN_Vertraul (Schutz der Vertraulichkeit von Daten im VPN-Tunnel) Das in Abschnitt 4.1.2 von [BSI-CC-PP-0097] und Abschnitt 4.1.2 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel O.NK.VPN_Vertraul muss erfüllt werden. O.NK.VPN_Integrität (Integritätsschutz von Daten im VPN-Tunnel) Das in Abschnitt 4.1.2 von [BSI-CC-PP-0097] und Abschnitt 4.1.2 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel O.NK.VPN_Integrität muss erfüllt werden. 4.1.3. Ziele für die Paketfilter-Funktionalität O.NK.PF_WAN (Dynamischer Paketfilter zum WAN) Das in Abschnitt 4.1.3 von [BSI-CC-PP-0097] und Abschnitt 4.1.3 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel O.NK.PF_WAN muss erfüllt werden. O.NK.PF_LAN (Dynamischer Paketfilter zum LAN) Das in Abschnitt 4.1.3 von [BSI-CC-PP-0097] und Abschnitt 4.1.3 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel O.NK.PF_LAN muss erfüllt werden. O.NK.Stateful (Stateful Packet Inspection (zustandsgesteuerte Filterung)) Das in Abschnitt 4.1.3 von [BSI-CC-PP-0097] und Abschnitt 4.1.3 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel O.NK.Stateful muss erfüllt werden. 4.2. Sicherheitsziele für die Umgebung des Netzkonnektors OE.NK.RNG (Externer Zufallszahlengenerator) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.RNG muss erfüllt werden. OE.NK.Echtzeituhr (Echtzeituhr) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.Echtzeituhr muss erfüllt werden. 30 OE.NK.Zeitsynchro (Zeitsynchronisation) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.Zeitsynchro muss erfüllt werden. OE.NK.gSMC-K (Sicherheitsmodul gSMC-K) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.gSMC-K muss erfüllt werden. OE.NK.KeyStorage (Sicherer Schlüsselspeicher) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.KeyStorage muss erfüllt werden. OE.NK.AK (Korrekte Nutzung des EVG durch Anwendungskonnektor) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.AK muss erfüllt werden. OE.NK.CS (Korrekte Nutzung des Konnektors durch Clientsysteme (oder weitere Systeme im LAN)) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.CS muss erfüllt werden. OE.NK.Admin_EVG (Sichere Administration des EVG) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.Admin_EVG muss erfüllt werden. OE.NK.Admin_Auth (Authentisierung des Administrators) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.Admin_Auth muss erfüllt werden. OE.NK.PKI (Betrieb einer Public-Key-Infrastruktur und Verteilung der TSL) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.PKI muss erfüllt werden. OE.NK.phys_Schutz (Physischer Schutz des EVG) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.phys_Schutz muss erfüllt werden. OE.NK.sichere_TI (Sichere Telematikinfrastruktur Platform) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.sichere_TI muss erfüllt werden. OE.NK.kein_DoS (Keine Denial Of Service Angriffe) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.kein_DoS muss erfüllt werden. OE.NK.Betrieb_AK (Sicherer Betrieb des Anwendungskonnektors) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.Betrieb_AK muss erfüllt werden. 31 OE.NK.Betrieb_CS (Sicherer Betrieb der Clientsysteme) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.Betrieb_CS muss erfüllt werden. OE.NK.Ersatzverfahren (Sichere Ersatzverfahren bei Ausfall der Infrastruktur) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.Ersatzverfahren muss erfüllt werden. OE.NK.SIS (Sicherer Internet Service) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel OE.NK.SIS muss erfüllt werden. 4.3. Erklärung der Sicherheitsziele des Netzkonnektors 4.3.1. Abbildung der Bedrohungen, OSPs und Annahmen auf Ziele Die Abbildung der Bedrohungen, organisatorischen Sicherheitspolitiken und Annahmen auf Sicher- heitsziele für den TOE entspricht den in [BSI-CC-PP-0098; BSI-CC-PP-0097] beschriebenen Re- lationen. Tabelle 4.1 entspricht der Übersicht im Schutzprofil. Tabelle A.1 zeigt die in Tabelle 4.1 verwendeten Symbole. Das Schutzprofil beschreibt darüber hinaus, dass einige Bedrohungen durch Assurance- Komponenten der CC abgewehrt werden. Diese zusätzliche Sicherung gilt auch für dieses Security Target. 4.3.1.1. Abwehr der Bedrohungen durch die Sicherheitsziele Die Verteidigung gegen Bedrohungen, die im Schutzprofil definiert werden, werden unverändert aus dem Schutzprofil übernommen. 4.3.1.2. Abbildung der organisatorischen Sicherheitspolitiken auf Sicherheitsziele Die Abbildungen der organisatorischen Sicherheitspolitiken OSP.NK.Zeitdienst, OSP.NK.SIS, OSP.NK.BOF und OSP.NK.TLS auf Sicherheitsziele wird unverändert aus dem Schutzprofil übernommen. 4.3.1.3. Abbildung der Annahmen auf Sicherheitsziele für die Umgebung Die Abbildung der Annahmen auf Sicherheitsziele der Umgebung wird unverändert aus dem Schutz- profil übernommen. 32 O.NK.TLS_Krypto O.NK.Schutz O.NK.EVG_Authenticity O.NK.Admin_EVG O.NK.Protokoll O.NK.Zeitdienst O.NK.VPN_Auth O.NK.Zert_Prüf O.NK.VPN_Vertraul O.NK.VPN_Integrität O.NK.PF_WAN O.NK.PF_LAN O.NK.Stateful OE.NK.RNG OE.NK.Echtzeituhr OE.NK.Zeitsynchro OE.NK.gSMC-K OE.NK.KeyStorage OE.NK.AK OE.NK.CS OE.NK.Admin_EVG OE.NK.Admin_Auth OE.NK.PKI OE.NK.phys_Schutz OE.NK.sichere_TI OE.NK.kein_DoS OE.NK.Betrieb_AK OE.NK.Betrieb_CS OE.NK.Ersatzverfahren OE.NK.SIS T.NK.Local_EVG_LAN . X . . X X . . . . . X – . X X . X . . . . . . . . . . . . T.NK.remote_EVG_WAN . X . . X X X X . X X . X X X X X X . . . . X . X . . . X . T.NK.remote_EVG_LAN . X . . X X X X . X X X X X X X X X . . . . X . X . . X X X T.NK.remote_VPN_Data . . . – X X X X X . . . X X X X X X X . . . X . X . X X X X T.NK.local_admin_LAN . X . X X X . . . . . – – X X X . X . . X X – – . . . . – . T.NK.remote_admin_WAN . X . X X X . . . . – . – X X X . X . . X X – . . . . . – . T.NK.counterfeit . . X . . . . . . . . . . . . . X . . . . . . X . . . . X . T.NK.Zert_Prüf . . . . – – . X . . – . – – – – – . . . . . X . . . . . X . T.NK.TimeSync . . . . – X X X . X – . – X X X X . . . . . X . . . . . X . T.NK.DNS . . . . – – X X . . – . – . – – . . . . . . X . . . . X X – OSP.NK.Zeitdienst . . . . . X . . . . . . . . X X . . . . . . . . . . . . . . OSP.NK.SIS . . . . . . . . . . X . X . . . . . . . . . . . . . . . . X OSP.NK.BOF . . . . . . X X X X X . X . . . . . . X . . . . . . . . . . OSP.NK.TLS X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.NK.phys_Schutz . . . . . . . . . . . . . . . . . . . . . . . X . . . . . . A.NK.gSMC-K . . . . . . . . . . . . . . . . X . . . . . . . . . . . . . A.NK.sichere_TI . . . . . . . . . . . . . . . . . . . . . . . . X . . . . . A.NK.kein_Dos . . . . . . . . . . . . . . . . . . . . . . . . . X . . . . A.NK.AK . . . . . . . . . . . . . . . . . . X . . . . . . . . . . . A.NK.CS . . . . . . . . . . . . . . . . . . . X . . . . . . . . . . A.NK.Betrieb_AK . . . . . . . . . . . . . . . . . . . . . . . . . . X . . . A.NK.Betrieb_CS . . . . . . . . . . . . . . . . . . . . . . . . . . . X . . A.NK.Admin_EVG . . . . . . . . . . . . . . . . . . . . X . . . . . . . . . A.NK.Ersatzverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . X . A.NK.Zugriff_gSMC-K . . . . . . . . . . . . . . . . X . . . . . . . . . X . . . Tabelle 4.1.: Abbildung der Sicherheitsziele des Netzkonnektors auf Bedrohungen und Annahmen 33 5. Definition der erweiterten Komponenten 5.1. Definition der erweiterten Familie FCS_RNG Familienverhalten Diese Familie definiert Anforderungen an die Erzeugung von Zufallszahlen, die für kryptographische Anwendungen vorgesehen sind. Komponentenabstufung FCS_RNG Zufallszahlenerzeugung 1 FCS_RNG.1 „Zufallszahlenerzeugung“ erfordert die Identifizierung des Typs des verwendeten Zufalls- zahlengenerators und eine Auflistung seiner Sicherheitsmerkmale. Für die erzeugten Zufallszahlen ist eine Qualitätsmetrik anzugeben, auf die sich ihre nachfolgende Verarbeitung und Bewertung abstützen kann. Management: FCS_RNG.1 Für diese Komponente sind keine Management-Aktivitäten vorgesehen. Protokollierung: FCS_RNG.1 Es sind keine Ereignisse identifiziert, die protokollierbar sein sollen, wenn FAU_GEN Generierung der Sicherheitsprotokolldaten Bestandteil des PP/des ST ist. FCS_RNG.1 Zufallszahlenerzeugung Hierarchical to: Keine andere Komponente Dependencies: Keine Abhängigkeiten FCS_RNG.1.1 The TSF shall provide a [selection: physical, non-physical true, deter- ministic, hybrid physical, hybrid deterministic] random number ge- nerator that implements: [assignment: list of security capabilities]. FCS_RNG.1.2 The TSF shall provide random numbers that meet [assignment: a de- fined quality metric]. Erklärung für die Einführung der erweiterten Familie Laut der Definition von OE.NK.RNG in [BSI-CC-PP-0098; BSI-CC-PP-0097] ist die Umgebung des Konnektors für die Zulieferung von Zufallszahlen verantwortlich. Dabei wird nahegelegt, dass die gSMC-K verwendet werden soll: Es ist vorgesehen, den Zufallszahlengenerator der gSMC-K als physikalischen Zufallszah- lengenerator der Klasse PTG.2 zu nutzen. 34 Die KoCoBox MED+ verwendet den Zufallsgenerator der gSMC-K; allerdings wird er genutzt, um einen eigenen Zufallsgenerator Hash_DRBG nach [NIST SP 800-90A, Sect. 10.1.1] in regelmäßigen Abständen mit Zufallszahlen zu initialisieren. Um die Sicherheitseigenschaften dieser eigenen Imple- mentierung beschreiben zu können, wird hier die Familie FCS_RNG eingeführt. Deren SFR werden später benutzt, um Anforderungen an den Zufallsgenerator des TOE zu stellen. 5.2. Definition der erweiterten Familie FPT_EMS Die Definitionen der Familie FPT_EMS und der Sicherheitsanforderung FPT_EMS.1 werden ohne Ände- rung aus [BSI-CC-PP-0097] übernommen. 35 6. Sicherheitsanforderungen 6.1. Hinweise und Definitionen Der größte Teil der Sicherheitsanforderungen wird ohne Anpassungen aus dem Schutzprofil übernom- men. Anpassungen werden kenntlich gemacht. Bei denjenigen SFR, die das Schutzprofil bereits vor- sieht, wird in diesem Security Target darauf verzichtet, die Hierarchie der Komponenten sowie deren Abhängigkeiten zu wiederholen. Diese Informationen sind dem Schutzprofil [BSI-CC-PP-0097] zu entnehmen. Bei Sicherheitsanforderungen, die durch das Security Target hinzugefügt werden, sind die Hierarchie- und Abhängigkeitsinformationen aufgeführt. 6.1.1. Hinweise zur Notation Die typographischen Auszeichnungen für die Operationen an den SFR sind in Tabelle 6.1 beschrie- ben. Die Anpassungen der Formatierungen gegenüber dem Schutzprofil [BSI-CC-PP-0097] dienen der Vereinheitlichung zwischen den Schutzprofilen [BSI-CC-PP-0097] und [BSI-CC-PP-0098]. ST-seitige Löschungen werden immer von einem Hinweis begleitet, wie die Löschung motiviert ist. Quelle Art der Anpassung Typographische Eigenschaften PP Zuweisung (Assignment) Zuweisungen sind unterstrichen gesetzt. Auswahl (Selection) Auswahlen sind kursiv und unterstrichen gesetzt. Verfeinerung (Refinement) Verfeinerungen sind fett gesetzt. Löschung (Deletion) Löschungen sind fett und durchgestrichen gesetzt. ST Zuweisung (Assignment) Zuweisungen sind in blauer Schrift gesetzt. Auswahl (Selection) Auswahlen sind in blauer Schrift und kursiv gesetzt. Verfeinerung (Refinement) Verfeinerungen sind in blauer Schrift und fett gesetzt. Löschung (Deletion) Löschungen sind in blauer Schrift, fett und durchgestrichen gesetzt. Tabelle 6.1.: Typographische Konventionen 36 6.2. Funktionale Sicherheitsanforderungen des Netzkonnektors 6.2.1. VPN Client FTP_ITC.1/NK.VPN_TI Inter-TSF trusted channel FTP_ITC.1.1/NK.VPN_TI Die in [BSI-CC-PP-0097, Abschnitt 6.2.1] und [BSI-CC-PP-0098, Abschnitt 6.2.1] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FTP_ITC.1.2/NK.VPN_TI Die in [BSI-CC-PP-0097, Abschnitt 6.2.1] und [BSI-CC-PP-0098, Abschnitt 6.2.1] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FTP_ITC.1.3/NK.VPN_TI Die in [BSI-CC-PP-0097, Abschnitt 6.2.1] und [BSI-CC-PP-0098, Abschnitt 6.2.1] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FTP_ITC.1/NK.VPN_SIS Inter-TSF trusted Channel FTP_ITC.1.1/NK.VPN_SIS Die in [BSI-CC-PP-0097, Abschnitt 6.2.1] und [BSI-CC-PP-0098, Abschnitt 6.2.1] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FTP_ITC.1.2/NK.VPN_SIS Die in [BSI-CC-PP-0097, Abschnitt 6.2.1] und [BSI-CC-PP-0098, Abschnitt 6.2.1] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FTP_ITC.1.3/NK.VPN_SIS Die in [BSI-CC-PP-0097, Abschnitt 6.2.1] und [BSI-CC-PP-0098, Abschnitt 6.2.1] formulierten Sicherheitsanforderungen gelten ohne Anpassung. 6.2.2. Dynamischer Paketfilter mit zustandsgesteuerter Filterung FDP_IFC.1/NK.PF Subset information flow control FDP_IFC.1.1/NK.PF Die in [BSI-CC-PP-0097, Abschnitt 6.2.2] und [BSI-CC-PP-0098, Abschnitt 6.2.2] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FDP_IFF.1/NK.PF Simple security attributes FDP_IFF.1.1/NK.PF The TSF shall enforce the PF SFP based on the following types of subject and information security attributes: 37 For all subjects and information as specified in FDP_IFC.1/NK.PF, the decision shall be based on the following security attributes: (1) IP address, (2) port number, (3) protocol type, (4) direction (inbound and outbound IP traffic), (5) interface (inbound and outbound traffic). The subject active entity in the LAN has the security attribute IP address within ANLW_LAN_NETWORK_SEGMENT or ANLW_LEKTR_INTRANET_ROUTES. FDP_IFF.1.2/NK.PF Die in [BSI-CC-PP-0097, Abschnitt 6.2.2] und [BSI-CC-PP-0098, Abschnitt 6.2.2] formulierten Sicherheitsanforderungen gelten ohne Anpassung. The usage of a VPN connection for security relevant data shall be enforced by using an appropriate set of policies of the network subsystem that demand data from the application connector to be routed into the VPN. ST-Anwendungshinweis 1 Die Unterpunkte FDP_IFF.1.2/NK.PF(8), (11), (12) und (13) referenzieren den Betriebsmodus MGM_LOGICAL_SEPARATION, der in der Konnektor- Spezifikation entfallen ist [gemSpec_Kon]. Die logische Trennung ist nicht im TOE implementiert ist. Daher ist es nicht möglich, die Aus- wahl „logische Trennung“ zu aktivieren, somit gilt MGM_LOGICAL_SE- PARATION=Disabled. Dieser Hinweis gilt auch für alle weiteren Vor- kommen von MGM_LOGICAL_SEPARATION. FDP_IFF.1.3/NK.PF Die in [BSI-CC-PP-0097, Abschnitt 6.2.2] und [BSI-CC-PP-0098, Abschnitt 6.2.2] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FDP_IFF.1.4/NK.PF The TSF shall explicitly authorise an information flow based on the following rules: Stateful Packet Inspection, none1. FDP_IFF.1.5/NK.PF The TSF shall explicitly deny an information flow based on the fol- lowing rules: (1) The TSF prevents direct communication of active entities in the LAN, application connector and service modules with NET_TI_GESICHERTE_FD, NET_TI_OFFENE_FD, NET_TI_ZENTRAL, NET_TI_DEZENTRAL outside VPN channel to VPN concentrator of the TI. 1 Assignment: rules, based on security attributes, that explicitly authorise information flow 38 (2) The TSF prevents direct communication of active entities in the LAN, application connector and service modules with SIS outside VPN channel to VPN concentrator of the SIS. (3) The TSF prevents communication of active entities in the LAN with destination IP address within ANLW_AKTIVE_BESTANDSNETZE initiated by active entities in the LAN, if (MGM_LOGICAL_SEPARATION=Enabled). (4) The TSF prevents communication of active entities in the LAN with entities with IP addresses within ANLW_BESTANDS- NETZE but outside ANLW_AKTIVE_BESTANDSNETZE. (5) The TSF prevents communication of service modules with NET_TI_ZENTRAL, NET_TI_DEZENTRAL, ANLW_AKTIVE_BESTANDSNETZE and internet via SIS or IAG. (6) The TSF prevents communication initiated by entities with IP address within NET_TI_GESICHERTE_FD, NET_TI_OFFENE_FD, NET_TI_ZENTRAL, NET_TI_DEZENTRAL (except the connector itself), ANLW_BESTANDSNETZE and NET_SIS. (7) The TSF prevents communication of entities with IP addresses in the inner header within NET_TI_ZEN- TRAL, NET_TI_GESICHERTE_FD, NET_TI_DE- ZENTRAL, ANLW_AKTIVE_BESTANDSNET- ZE, ANLW_LAN_ADDRESS_SEGMENT, AN- LW_LEKTR_INTRANET_ROUTES and AN- LW_WAN_NETWORK_SEGMENT coming through the VPN tunnel with VPN concentrator of the SIS. (8) The TSF prevents receive of packets from entities in LAN if packet destination is internet and (MGM_LU_ONLINE=Enabled and MGM_LOGI- CAL_SEPARATION=Disabled and ANLW_INTER- NET_MODUS=KEINER). (9) The TSF prevents inbound packets of the VPN channels from SIS with destination address in the inner header outside 1. ANLW_LAN_IP_ADDRESS or 2. ANLW_LEKTR_INTRANET_ROUTES if ANLW_WAN_ADAPTER_MODUS=DISABLED or 3. ANLW_WAN_IP_ADDRESS if ANLW_WAN_ADAPTER_MODUS=ACTIVE 39 (10) The TSF prevents communication of IAG to connector through LAN interface if (ANLW_WAN_ADAPTER_MODUS=ACTIVE). (11) The TSF prevents communication of IAG to connector through WAN interface of the connector if (ANLW_WAN_ADAPTER_MODUS= DISABLED). (12) All firewall rules defined in [gemSpec_Kon, Ab- schnitt 4.2.1.1.2] that call for traffic to be dropped.2 ST-Anwendungshinweis 2 Die [gemSpec_Kon] gibt sämtliche Paketfilterregeln vor. Damit sind auch die erlaubten Protokolle durch [gemSpec_Kon, TIP1-A_4747] festgelegt: ICMP, IP in IP, UDP, TCP, ESP und IPComp. Da die Nutzung von IPComp insgesamt optional ist, lehnt der TOE das IP- Comp und das nur dann benötigte IP in IP Protokoll zusätzlich ab. Für das Protokoll ICMP gelten für die einzelnen ICMP-Typen die Bestimmungen aus [gemSpec_Kon] und [gemSpec_Net] ST-Anwendungshinweis 3 Das Fachmodul VSDM ist Teil des Anwendungskonnektors, somit gelten auch die Firewallregeln des Anwendungskonnektors. Hintergrund: Das Fachmodul VSDM wird – anders als andere Fach- module der Ausbaustufe OPB 2.1 – nicht nach Technischer Richt- linie, sondern nach Common Criteria zertifiziert, im selben Verfah- ren wie der Anwendungskonnektor. Das Schutzprofil [BSI-CC-PP- 0098] formuliert die Sicherheitsanforderungen FDP_ACC.1/AK.VSDM und FDP_ACF.1/AK.VSDM an das Fachmodul. Dies verdeutlicht die ar- chitekturelle Einheit zwischen FM VSDM und Anwendungskonnek- tor. FMT_MSA.3/NK.PF Static attribute initialisation FMT_MSA.3.1/NK.PF Die in [BSI-CC-PP-0097, Abschnitt 6.2.2] und [BSI-CC-PP-0098, Abschnitt 6.2.2] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FMT_MSA.3.2/NK.PF The TSF shall allow the3 nobody4 to specify alternative initial values to override the default values when an object or information is created. 6.2.3. Netzdienste FPT_STM.1/NK Reliable time stamps FPT_STM.1.1/NK Die in [BSI-CC-PP-0097, Abschnitt 6.2.3] und [BSI-CC-PP-0098, Abschnitt 6.2.3] formulierten Sicherheitsanforderungen gelten ohne 2 Assignment: Additional rules, based on security attributes, that explicitly deny information flows 3 Deletion: Editorielle Anpassung 4 Assignment: the authorised identified roles 40 Anpassung. Refinement: Die Zuverlässigkeit (reliable) des Zeitstempels wird durch Zeitsyn- chronisation der Echtzeituhr (gemäß OE.NK.Echtzeituhr) mit Zeit- servern (vgl. OE.NK.Zeitsynchro) unter Verwendung des Protokolls NTPv4 [RFC 5905] erreicht. Der EVG verwendet den verlässlichen Zeitstempel für sich selbst und bietet anderen Konnektorteilen eine Schnittstelle zur Nutzung des verlässlichen Zeitstempels an. Befin- det sich der EVG im Online-Modus, muss er die Zeitsynchronisa- tion mindestens bei Start-up, einmal innerhalb von 24 Stunden und auf Anforderung durch den Administrator durchführen. Die verteilte Zeitinformation weicht nicht mehr als 3600 Sekunden5 von der Zeit- information der darüber liegenden Stratum-Ebene ab. ST-Anwendungshinweis 4 Der TOE benachrichtigt Benutzer auf seinem Display über kritische Betriebszustände. Das Display entspricht der „Signaleinrichtung“ des Konnektors, wie die Spezifikation sie fordert [gemSpec_Kon, TIP1- A_4843]. Der Netzkonnektor steuert das Display über die logische Schnittstelle LS.DISPLAY an. Das Schutzprofil fordert in Anwendungs- hinweis 72, dass die „Korrektheit der Kommunikation zwischen dem NK und anderen Konnektorteilen“ im Rahmen der Prüfung von FPT_STM.1/NK evaluiert wird. Aus diesem Grund werden Module der Subsysteme EventService und RMIBridge diesem SFR zugeordnet, auch wenn diese Subsysteme ursprünglich nicht im Zusammenhang mit der Zeitsynchronisation stehen. FPT_TDC.1/NK.Zert Inter-TSF basic TSF data consistency FPT_TDC.1.1/NK.Zert Die in [BSI-CC-PP-0097, Abschnitt 6.2.3] und [BSI-CC-PP-0098, Abschnitt 6.2.3] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FPT_TDC.1.2/NK.Zert The TSF shall use interpretation rules when interpreting the TSF data from another trusted IT product. The interpretation rules are defined in TUC_PKI_018 „Zertifikats- prüfung in der TI“ considering the verification mode „CRL“ [gemSpec_PKI, Abschnitt 8.3.1.1]. ST-Anwendungshinweis 5 Das Refinement des Schutzprofils zu FPT_TDC.1/NK.Zert verpflichtet den TOE zu prüfen, „dass […] sowohl TSL als auch CRL aktuell sind“. Dieses Refinement wird gemäß GS-A_4898 ergänzt durch den Verweis auf Tab_PKI_294, in der die Gültigkeit der TSL präzisiert wird. 5 Selection: nicht mehr als 330ms, [Zuweisung: andere Zeit] 41 6.2.4. Stateful Packet Inspection (This section intentionally left blank.) 6.2.5. Selbstschutz FDP_RIP.1/NK Subset residual information protection FDP_RIP.1.1/NK The TSF shall ensure that any previous informati- on content of a resource is made unavailable upon the deallocation of the resource from the following objects: cryptographic keys (and session keys) used for the VPN or for TLS-connections, sensitive user data (zu schützende Daten der TI und der Bestandsnetze and zu schützende Nutzerdaten), no other objects6. Refinement: Die sensitive Daten müssen mit konstanten oder zufälligen Werten überschrieben werden, sobald sie nicht mehr verwendet werden. In jedem Fall müssen die sensitiven Daten vor dem Herunterfahren bzw. Reset, überschrieben werden. These sensitive objects are overwritten with constant or pseudo- random values. FPT_TST.1/NK TSF testing FPT_TST.1.1/NK The TSF shall run a suite of self tests during initial start-up, periodi- cally during normal operation, at the request of the authorised user7 to demonstrate the correct operation of stored TSF executable code8. FPT_TST.1.2/NK The TSF shall provide authorised users with the capability to verify the integrity of TSF data. FPT_TST.1.3/NK The TSF shall provide authorised users with the capability to verify the integrity of stored TSF executable code9. ST-Anwendungshinweis 6 The „stored TSF executable code“ comprises not only strictly the code, but all parts of the firmware such as XML schema files. 6 Assignment: list of objects 7 Selection: during initial start-up, periodically during normal operation, at the request of the authorised user, at the conditions [assignment: conditions under which self test should occur] 8 Selection: [assignment: parts of TSF], the TSF 9 Selection: [assignment: parts of TSF], the TSF 42 FPT_EMS.1/NK Emanation of TSF and User data FPT_EMS.1.1/NK The TOE shall not emit sensitive data (as listed below) – or information which can be used to recover such sensitive data – through network interfaces (LAN or WAN) in excess of limits that ensure that no leakage of this sensitive data occurs enabling access to (1) session keys derived in course of the Diffie-Hellman Keyexchange Protocol, (2) key material used to verify the TOE’s integrity during self tests10, (3) key material used to verify the integrity and authenticity of soft- ware updates11, (4) none12, (5) key material used for authentication of administrative users13, (6) none14 and (7) data to be protected (“zu schützende Daten der TI und der Bestandsnetze”) (8) none15. FPT_EMS.1.2/NK Die in [BSI-CC-PP-0097, Abschnitt 6.2.5] und [BSI-CC-PP-0098, Abschnitt 6.2.5] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FAU_GEN.1/NK.SecLog Audit data generation FAU_GEN.1.1/NK.SecLog The TSF shall be able to generate an audit record of the following auditable events: a) Removed by refinement in [BSI-CC-PP-0097] b) All auditable events for the not specified16 level of audit; and c) • start-up, shut down and reset (if applicable) of the TOE • VPN connection to TI successfully / not successfully established, • VPN connection to SIS successfully / not successfully established, • TOE cannot reach services of the transport network, 10 Selection: none, key material used to verify the TOE’s integrity during self tests 11 Selection: none, key material used to verify the integrity and authenticity of software updates 12 Selection: none, key material used to decrypt encrypted software updates (if applicable) 13 Selection: none, key material used for authentication of administrative users (if applicable) 14 Assignment: list of other types of TSF data (may be empty) 15 Assignment: list of types of user data (may be empty) 16 Selection: choose one of: minimum, basic, detailed, not specified 43 • IP addresses of the TOE are undefined or wrong, • TOE could not perform system time synchronization within the last 30 days, • during time synchronization, the deviation between the local system time and the time received from the time server exceeds the allowed maximum deviation (see refinement to FPT_STM.1/NK); • changes of the TOE configuration FAU_GEN.1.2/NK.SecLog The TSF shall record within each audit record at least the following information: a) Date and time of the event, type of event, subject identity, and the outcome (success or failure) of the event; and b) For each audit event type, based on the auditable event defini- tions of the functional components included in the PP/ST, and no other audit relevant information17. The TOE shall implement countermeasures against attacks at- tempting to flood the audit log in order to use the limited size of the audit log memory and the process of cyclically overwriting log memory to overwrite log entries that provide evidence of the attacker’s activity. ST-Anwendungshinweis 7 Die zu loggenden „auditable events“ wurden mit der Zertifizierungs- stelle und den Evaluatoren abgeglichen und die Konformität zu [gem- Spec_Kon] wurde sichergestellt. FAU_GEN.2/NK.SecLog User identity association FAU_GEN.2.1/NK.SecLog Die in [BSI-CC-PP-0097, Abschnitt 6.2.5] und [BSI-CC-PP-0098, Abschnitt 6.2.5] formulierten Sicherheitsanforderungen gelten ohne Anpassung. 6.2.6. Administration FMT_SMR.1/NK Security roles FMT_SMR.1.1/NK Die in [BSI-CC-PP-0097, Abschnitt 6.2.6] und [BSI-CC-PP-0098, Abschnitt 6.2.6] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FMT_SMR.1.2/NK Die in [BSI-CC-PP-0097, Abschnitt 6.2.6] und [BSI-CC-PP-0098, Abschnitt 6.2.6] formulierten Sicherheitsanforderungen gelten ohne Anpassung. 17 Assignment: other audit relevant information 44 FMT_MTD.1/NK Management of TSF data FMT_MTD.1.1/NK The TSF shall restrict the ability to perform the operations in the „Ope- ration“ column of the following table on18 the real time clock, packet filtering rules and other TSF data named in the „Object“ column of the following table19 to the role Administrator. Operation Object Modify System time20 Create, Modify, Delete Packet filtering rules Perform Self-tests Perform Software update Perform Activation and deactivation of VPN connections21 FIA_UID.1/NK.SMR Timing of identification FIA_UID.1.1/NK.SMR Die in [BSI-CC-PP-0097, Abschnitt 6.2.6] und [BSI-CC-PP-0098, Abschnitt 6.2.6] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FIA_UID.1.2/NK.SMR Die in [BSI-CC-PP-0097, Abschnitt 6.2.6] und [BSI-CC-PP-0098, Abschnitt 6.2.6] formulierten Sicherheitsanforderungen gelten ohne Anpassung. Refinement: Additionally, the TOE prevents the following TSF-mediated ac- tions on behalf of the user before the user is identified: • All operations stated in FMT_MTD.1.1/NK. FTP_TRP.1/NK.Admin Trusted path FTP_TRP.1.1/NK.Admin The TSF shall provide a communication path between itself and lo- cal22 users that is logically distinct from other communication paths and provides assured identification of its end points and protection of the communicated data from modification, disclosure23. FTP_TRP.1.2/NK.Admin The TSF shall permit local users24 to initiate communication via the trusted path. 18 Selection: change_default, query, modify, delete, clear, [assignment: other operations] 19 Assignment: list of other TSF data (may be empty) 20 Only available in offline mode, when there is no connection to the NTP servers. 21 Please note that deactivation of a VPN connection also ensures that any network traffic which should be routed via the VPN is not possible at all. 22 Selection: remote, local 23 Selection: modification, disclosure, [assignment: other types of integrity or confidentiality violation] 24 Selection: the TSF, local users, remote users 45 FTP_TRP.1.3/NK.Admin Die in [BSI-CC-PP-0097, Abschnitt 6.2.6] und [BSI-CC-PP-0098, Abschnitt 6.2.6] formulierten Sicherheitsanforderungen gelten ohne Anpassung. ST-Anwendungshinweis 8 Der TOE setzt die Funktionalität für das Remote Management nicht um. FMT_SMF.1/NK Specification of Management Functions FMT_SMF.1.1/NK Die in [BSI-CC-PP-0097, Abschnitt 6.2.6] und [BSI-CC-PP-0098, Abschnitt 6.2.6] formulierten Sicherheitsanforderungen gelten ohne Anpassung. The TOE shall be capable of performing all security manage- ment functions stated in FMT_MTD.1/NK. FMT_MSA.1/NK.PF Management of security attributes FMT_MSA.1.1/NK.PF The TSF shall enforce the PF SFP to restrict the ability to query, modify, delete25 the security attributes packet filtering rules to the roles „Administrator“, no other role26. The refinement from [BSI-CC-PP-0097] applies without modificati- on. ST-Anwendungshinweis 9 Die Firewallregeln sind fester Bestandteil des TOE und lassen sich somit nur durch ein Update des gesamten TOE aktualisieren. FMT_MSA.4/NK Security attribute value inheritance FMT_MSA.4.1/NK Die in [BSI-CC-PP-0097, Abschnitt 6.2.6] und [BSI-CC-PP-0098, Abschnitt 6.2.6] formulierten Sicherheitsanforderungen gelten ohne Anpassung. 6.2.7. Kryptographische Basisdienste FCS_COP.1/NK.Hash Cryptographic operation FCS_COP.1.1/NK.Hash The TSF shall perform hash value calculation in accordance with a specified cryptographic algorithm SHA-1, SHA-256, SHA-51227 and cryptographic key sizes none that meet the following: FIPS PUB 180-4 [FIPS PUB 180-4]. 25 Selection: query, modify, delete, [assignment: other operations] 26 Assignment: (may be empty): other authorised identified roles 27 Assignment: list of SHA-2 Algorithms with more than 256 bit size 46 FCS_COP.1/NK.HMAC Cryptographic operation FCS_COP.1.1/NK.HMAC The TSF shall perform HMAC value generation and verification in accordance with a specified cryptographic algorithm HMAC with SHA-1, SHA-25628 and cryptographic key sizes 160 and 256 bit29 that meet the following: FIPS PUB 180-4 [FIPS PUB 180-4], RFC 2404 [RFC 2404], RFC 4868 [RFC 4868], RFC 7296 [RFC 7296]. FCS_COP.1/NK.Auth Cryptographic operation FCS_COP.1.1/NK.Auth Die in [BSI-CC-PP-0097, Abschnitt 6.2.7] und [BSI-CC-PP-0098, Abschnitt 6.2.7] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FCS_COP.1/NK.ESP Cryptographic operation FCS_COP.1.1/NK.ESP Die in [BSI-CC-PP-0097, Abschnitt 6.2.7] und [BSI-CC-PP-0098, Abschnitt 6.2.7] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FCS_COP.1/NK.IPsec Cryptographic operation FCS_COP.1.1/NK.IPsec Die in [BSI-CC-PP-0097, Abschnitt 6.2.7] und [BSI-CC-PP-0098, Abschnitt 6.2.7] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FCS_CKM.1/NK Cryptographic key generation FCS_CKM.1.1/NK The TSF shall generate cryptographic keys in accordance with a specified cryptographic key generation algorithm PRF-HMAC- SHA1, PRF-HMAC-SHA25630 and specified cryptographic key si- zes 256 bit31 that meet the following: specification [gemSpec_Krypt], TR-03116 [TR-03116-1]. 28 Assignment: list of SHA-2 Algorithms with 256bit size or more 29 Assignment: cryptographic key sizes 30 Assignment: cryptographic key generation algorithm 31 Assignment: cryptographic key sizes 47 FCS_CKM.2/NK.IKE Cryptographic key distribution FCS_CKM.2.1/NK.IKE Die in [BSI-CC-PP-0097, Abschnitt 6.2.7] und [BSI-CC-PP-0098, Abschnitt 6.2.7] formulierten Sicherheitsanforderungen gelten ohne Anpassung. The following algorithms and preferences are supported for IKEv2 connections: • Diffie-Hellman Group 14 • DH exponent minimum length: 384 bits • Forward secrecy: yes • Encryption: AES-256-CBC • Authentication: HMAC-SHA-1-96, HMAC-SHA-256-128 • PRF: PRF-HMAC-SHA1, PRF-HMAC-SHA-256 • Rekeying: IKE lifetime limited to 161 hours, IPsec SA life- time limited to 23 hours • Peer authentication: X.509 certificate with RSA 2048 bit keys FCS_CKM.4/NK Cryptographic key destruction FCS_CKM.4.1/NK The TSF shall destroy cryptographic keys in accordance with a spe- cified cryptographic key destruction method by overwriting with ze- ros32 that meets the following: none33. 6.2.8. TLS-Kanäle unter Nutzung sicherer kryptographischer Algorithmen FTP_ITC.1/NK.TLS Inter-TSF trusted channel FTP_ITC.1.1/NK.TLS Die in [BSI-CC-PP-0097, Abschnitt 6.2.8] und [BSI-CC-PP-0098, Abschnitt 6.2.8] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FTP_ITC.1.2/NK.TLS Die in [BSI-CC-PP-0097, Abschnitt 6.2.8] und [BSI-CC-PP-0098, Abschnitt 6.2.8] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FTP_ITC.1.3/NK.TLS The TSF shall initiate communication via the trusted channel for communication required by the Anwendungskonnektor, any connec- tion specified in Table B.4.34 32 Assignment: cryptographic key destruction method 33 Assignment: list of standards 34 Assignment: list of other functions for which a trusted channel is required 48 Refinement: Das Refinement im Schutzprofil [BSI-CC-PP-0097] gilt ohne Ein- schränkungen. Die umgesetzten Cipher Suiten aus dem Schutzprofil und der gematik Spezifikation [gemSpec_Krypt] werden in Tabel- le B.1 auf Seite 72 wiederholt. FPT_TDC.1/NK.TLS.Zert Inter-TSF basic TSF data consistency FPT_TDC.1.1/NK.TLS.Zert The TSF shall provide the capability to consistently interpret (1) X.509-Zertifikate für TLS-Verbindungen (2) eine Liste gültiger CA-Zertifikate (Trust-Service Status List TSL) (3) Sperrinformationen zu Zertifikaten für TLS-Verbindungen, die via OCSP erhalten werden (4) importierte X.509 Zertifikate für Clientsysteme (5) eine im Konnektor geführte Whitelist von Zertifikaten für TLS-Verbindungen (6) no other data types35 when shared between the TSF and another trusted IT product. FPT_TDC.1.2/NK.TLS.Zert The TSF shall use interpretation rules36 when interpreting the TSF data from another trusted IT product. The interpretation rules are defined in TUC_PKI_018 „Zertifikats- prüfung in der TI“ [gemSpec_PKI, Abschnitt 8.3.1.1]. The para- meters for certificate validation are specified in GS-A_4663 [gem- Spec_PKI, Abschnitt 8.4.1].37 Furthermore, GS-A_5215 [gemSpec_PKI, Abschnitt 9.1.2.2] de- fines rules for the interpretation of time stamps embedded in OCSP responses, which have to be taken into account when in- terpreting TSF data.38 FCS_CKM.1/NK.TLS Cryptographic key generation / TLS FCS_CKM.1.1/NK.TLS Die in [BSI-CC-PP-0097, Abschnitt 6.2.8] und [BSI-CC-PP-0098, Abschnitt 6.2.8] formulierten Sicherheitsanforderungen gelten ohne Anpassung. The following algorithms and preferences are supported for TLS key negotiation39 35 Assignment: additional list of data types 36 Assignment: list of interpretation rules to be applied by the TSF 37 Refinement: Präzisierung der Interpretationsregeln 38 Refinement: Ergänzt gemäß Anforderungen aus GS-A_5215 39 Refinement: Ergänzt gemäß Anforderungen aus GS-A_4384 49 • Diffie-Hellman Group 14 according to RFC 3526 [RFC 3526] for key establishment during TLS • DH exponent shall have a minimum length of 384 bits • Forward secrecy shall be provided • Ephemeral elliptic curve DH key exchange supports the P-256 and the P-384 curves according to FIPS186-4 [FIPS PUB 186-2] as well as the brainpoolP256r1 and the brain- poolP384r1 curves according to RFC 5639 and RFC 7027 [RFC 5639; RFC 7027] • Peer authentication (if required): X.509 certificate with RSA 2048 bit keys FCS_COP.1/NK.TLS.HMAC Cryptographic operation / HMAC for TLS FCS_COP.1.1/NK.TLS.HMAC Die in [BSI-CC-PP-0097, Abschnitt 6.2.8] und [BSI-CC-PP-0098, Abschnitt 6.2.8] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FCS_COP.1/NK.TLS.AES Cryptographic operation FCS_COP.1.1/NK.TLS.AES Die in [BSI-CC-PP-0097, Abschnitt 6.2.8] und [BSI-CC-PP-0098, Abschnitt 6.2.8] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FCS_COP.1/NK.TLS.Auth Cryptographic operation for TLS FCS_COP.1.1/NK.TLS.Auth Die in [BSI-CC-PP-0097, Abschnitt 6.2.8] und [BSI-CC-PP-0098, Abschnitt 6.2.8] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FCS_CKM.1/NK.Zert Cryptographic key generation / Certificates FCS_CKM.1.1/NK.Zert The TSF shall generate cryptographic keys in accordance with a spe- cified cryptographic key generation algorithm RSA (using the ran- dom number generator specified by FCS_RNG.1/Hash_DRBG)40 and specified cryptographic key sizes 2048 bit that meet the following: Standard OID 1.2.840.113549.1.1.11, RFC 4055 [RFC 4055], BSI TR-03116-1 [TR-03116-1]. The TSF shall 40 Assignment: Algorithm for cryptographic key generation of key pairs 50 (1) create a valid X.509 certificate [RFC 5280] with the gene- rated RSA key pair and (2) create a PKCS#12 file [RFC 7292]41 with the created cer- tificate and the associated private key. FDP_ITC.2/NK.TLS Import of user data with security attributes FDP_ITC.2.1/NK.TLS Die in [BSI-CC-PP-0097, Abschnitt 6.2.8] und [BSI-CC-PP-0098, Abschnitt 6.2.8] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FDP_ITC.2.2/NK.TLS Die in [BSI-CC-PP-0097, Abschnitt 6.2.8] und [BSI-CC-PP-0098, Abschnitt 6.2.8] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FDP_ITC.2.3/NK.TLS Die in [BSI-CC-PP-0097, Abschnitt 6.2.8] und [BSI-CC-PP-0098, Abschnitt 6.2.8] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FDP_ITC.2.4/NK.TLS Die in [BSI-CC-PP-0097, Abschnitt 6.2.8] und [BSI-CC-PP-0098, Abschnitt 6.2.8] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FDP_ITC.2.5/NK.TLS The TSF shall enforce the following rules when importing user data controlled under the SFP from outside the TOE: (1) Die TSF importiert X.509 Zertifikate für Clientsysteme durch den Administrator über die Management-Schnittstelle (2) No further rule42 FDP_ETC.2/NK.TLS Export of user data with security attributes FDP_ETC.2.1/NK.TLS Die in [BSI-CC-PP-0097, Abschnitt 6.2.8] und [BSI-CC-PP-0098, Abschnitt 6.2.8] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FDP_ETC.2.2/NK.TLS Die in [BSI-CC-PP-0097, Abschnitt 6.2.8] und [BSI-CC-PP-0098, Abschnitt 6.2.8] formulierten Sicherheitsanforderungen gelten ohne Anpassung. FDP_ETC.2.3/NK.TLS Die in [BSI-CC-PP-0097, Abschnitt 6.2.8] und [BSI-CC-PP-0098, Abschnitt 6.2.8] formulierten Sicherheitsanforderungen gelten ohne Anpassung. 41 Refinement: Die Quelle für den PKCS#12 Standard wurde gegenüber dem Schutzprofil aktualisiert. 42 Assignment: additional importation control rules 51 FDP_ETC.2.4/NK.TLS The TSF shall enforce the following rules when user data is exported from the TOE: (1) Die TSF exportiert X.509 Zertifikate für Clientsysteme und den zugehörigen privaten Schlüssel durch den Administrator über die Management-Schnittstelle. Als Exportformat wird PKCS#12 verwendet. (2) No further rule43 FMT_MOF.1/NK.TLS Management of security functions behaviour FMT_MOF.1.1/NK.TLS The TSF shall restrict the ability to determine the behaviour of the functions Management of TLS-Connections required by the Anwendungskonnektor to Anwendungskonnektor. The following rules apply: For each TLS-Connection managed by the Anwendungskonnektor, only the Anwendungskonnektor can determine: (1) Whether one or both endpoints of the TLS-connection need to be authenticated and which Authentication me- chanism is used for each endpoint. (2) Whether the Konnektor or the remote IT-Product or both can initiate the TLS-Connection. (3) Whether TLS 1.2 or TLS 1.3 (if provided) are used and which subset of the set of cipher suites as listed in FTP_ITC.1/NK.TLS is allowed for each connection. (4) Whether a „Keep-Alive“ mechanism is used for a connec- tion. (5) Which data can or must be transmitted via each TLS- Connection. (6) Whether the validity of the certificate of a remote IT- Pro- duct needs to be verified and whether a certificate chain or a whitelist is used for this verification. (7) Under which conditions a TLS-connection is terminated. (8) Whether and how terminating and restarting a TLS- connection using a Session-ID is allowed. (9) Whether and under which conditions certificates and keys for TLS-Connections are generated and exported or im- ported. (10) No further rule44 43 Assignment: additional exportation control rules 44 Assignment: additional rules 52 If one or more of these rules are managed by the EVG itself, this shall also be interpreted as a fullfillment of this SFR. ST-Anwendungshinweis 10 Gemäß C_6968 und der daraus resultierenden Anforderung A_18464 darf TLS 1.1 nicht mehr verwendet werden. Der TOE setzt diese An- forderung um und unterstützt TLS 1.1 nicht mehr. ST-Anwendungshinweis 11 TLS wird vom Konnektor von JSSE implementiert. Jeder in Java im- plementierte Teil des TOE kann prinzipiell eine TLS-Verbindung er- öffnen. Es gibt keine Kontrollinstanz, die die Einhaltung der oben ge- nannten Konfigurationsparameter einer TLS-Verbindung erzwingt. 6.2.9. Zusätzliche Sicherheitsanforderungen Dieser Abschnitt enthält Sicherheitsanforderungen, die zusätzlich zu denen des Schutzprofils definiert werden. Die Anforderungen an den Netzkonnektor werden hier um die in Kapitel 5.1 definierte Anfor- derung FCS_RNG.1/Hash_DRBG erweitert. Weiterhin werden Anforderungen definiert, deren Umsetzung notwendig für den sicheren Datenspeicher ist. Zwar ist der sichere Datenspeicher Teil des Gesamtkon- nektors, dennoch werden bereits hier Aspekte berücksichtigt, die für die Speicherung des Sicherheits- protokolls relevant sind. FCS_RNG.1/Hash_DRBG Zufallszahlenerzeugung Hierarchical to: No other components Dependencies: No dependencies FCS_RNG.1.1/Hash_DRBG The TSF shall provide a deterministic45 random number generator that implements: 46 (1) If initialized with a random seed using PTRNG of class PTG.2 as random source, the internal state of the RNG shall have at least 100 bits min-entropy. (2) The RNG provides forward secrecy. (3) The RNG provides backward secrecy even if the current inter- nal state is known. FCS_RNG.1.2/Hash_DRBG The TSF shall provide random numbers that meet: 47 (1) The RNG gets initialized during every startup and after 2048 requests with a random seed of minimal 384 bits using a PT- RNG of class PTG.2. The RNG generates output for which more than 234 strings of bit length 128 are mutually different with probability w > 1 − 2(−16). 45 Selection: physical, non-physical true, deterministic, hybrid physical, hybrid deterministic 46 Assignment: list of security capabilities 47 Assignment: a defined quality metric 53 (2) Statistical test suites cannot practically distinguish the random numbers from output sequences of an ideal RNG. The random numbers must pass test procedure A. ST-Anwendungshinweis 12 FCS_RNG.1/Hash_DRBG is implemented by Hash_DRBG with SHA- 256 according to [NIST SP 800-90A, Sect. 10.1.1]. It is used for ge- neration of ephemeral keys for Diffie-Hellman and nonces in the TLS protocol. FCS_COP.1/Sign Cryptographic Operation / Signature Verfication Hierarchical to: No other components Dependencies: (FDP_ITC.1 Import of user data without security attributes, or FDP_ITC.2 Import of user data with security attributes, or FCS_CKM.1 Cryptographic key generation) not fulfilled in this ST as no keys have to be generated for signature verification. The key pair for signature generation/verification is stored on the gSMC-K and has been created during production. FCS_CKM.4 Cryptographic key destruction is not fulfilled in this ST as only public keys are used for this operation. FCS_COP.1.1/Sign The TSF shall perform signature verification48 in accordance with a specified cryptographic algorithm according to Tabelle 6.249 and cryptographic key sizes according to Tabelle 6.250 that meet the fol- lowing: PKCS#1 [RFC 8017] and FIPS180-4 [FIPS PUB 180-4]51. Algorithm Key size (bits) Purpose: Verification of… RSASSA-PSS with SHA-256 2048 Signatures of TSL and CRL RSASSA-PSS with SHA-512 2048 Firmware update signatures RSASSA-PKCS1-1.5 with SHA-256 2048 Signatures of BNetzA-VL RSASSA-PSS with SHA-256 4096 Signatures for X.509 certificates during the firmware update process Tabelle 6.2.: Algorithms, Key sizes and Purposes of Signature Verification 48 Assignment: list of cryptographic operations 49 Assignment: cryptographic algorithm 50 Assignment: cryptographic key sizes 51 Assignment: list of standards 54 FCS_COP.1/Storage.AES Cryptographic Operation / Secure Storage AES Hierarchical to: No other components Dependencies: (FDP_ITC.1 Import of user data without security attributes, or FDP_ITC.2 Import of user data with security attributes, or FCS_CKM.1 Cryptographic key generation) not fulfilled by the TOE. The sym- metric key is generated by the gSMC-K. FCS_CKM.4 Cryptographic key destruction fulfilled by FCS_CKM.4/NK FCS_COP.1.1/Storage.AES The TSF shall perform symmetric encryption/decryption52 in ac- cordance with a specified cryptographic algorithm AES CBC with ESSIV53 and cryptographic key sizes 256 bit54 that meet the fol- lowing: FIPS197 [FIPS PUB 197], SP800-38A [NIST SP 800-38A], and ESSIV [ESSIV]55. 52 Assignment: list of cryptographic operations 53 Assignment: cryptographic algorithm 54 Assignment: cryptographic key sizes 55 Assignment: list of standards 55 6.3. Sicherheitsanforderungen an die Vertrauenswürdigkeit des EVG Die Sicherheitsanforderungen an die Vertrauenswürdigkeit für dieses Security Target entsprechen de- nen, die in [BSI-CC-PP-0097] definiert sind. 6.3.1. Verfeinerung zur Vertrauenswürdigkeitskomponente ADV_ARC.1 Die Verfeinerungen in [BSI-CC-PP-0098; BSI-CC-PP-0097] gelten ohne Anpassung. 6.3.2. Verfeinerung zur Vertrauenswürdigkeitskomponente AGD_OPE.1 Die Verfeinerungen in [BSI-CC-PP-0098; BSI-CC-PP-0097] gelten ohne Anpassung. 6.3.3. Verfeinerung zur Vertrauenswürdigkeitskomponente ALC_DEL.1 Die Verfeinerungen in [BSI-CC-PP-0098; BSI-CC-PP-0097] gelten ohne Anpassung. 6.4. Erklärung der Sicherheitsanforderungen 6.4.1. Erklärung der Abhängigkeiten der SFR des Netzkonnektors Die Abhängigkeiten der in Abschnitt 6.2 aufgestellten funktionalen Sicherheitsanforderungen sind er- füllt. Es gelten dieselben Auflösungen von Abhängigkeiten, wie sie im Schutzprofil [BSI-CC-PP-0097, Abschnitt 6.4.2] beschrieben sind. Die Abhängigkeiten der aus dem Schutzprofil des Gesamtkonnektors [BSI-CC-PP-0098] übernom- menen Sicherheitsanforderungen sind dem Schutzprofil zu entnehmen. Die Abhängigkeiten der über die Schutzprofile hinaus aufgenommenen Sicherheitsanforderungen sind bei der Definition des jeweiligen SFR notiert. Die zusätzlich aufgenommenen SFR sind Iterationen bestehender Komponenten, sodass sich durch diese keine neuen Abhängigkeiten ergeben. Die in Abschnitt 5.1 neu eingeführte Komponente FCS_RNG.1 hat keine Abhängigkeiten, die aufgelöst werden müssen. 6.4.2. Überblick der Abdeckung von Sicherheitszielen des Netzkonnektors Die Zuordnung von Sicherheitszielen zu Sicherheitsanforderungen entspricht weitestgehend der Zuord- nung, die in [BSI-CC-PP-0098; BSI-CC-PP-0097] getroffen wurde. Die in diesem Security Target neu hinzugefügten Sicherheitsziele werden ebenfalls auf die Sicher- heitsanforderungen abgebildet. Gleiches gilt für die neu eingeführten Sicherheitsanforderungen, die den Sicherheitszielen zugeordnet werden müssen. Tabelle 6.3 auf Seite 59 ordnet diese neuen Abbil- dungen in den Kontext der im Schutzprofil vorgenommenen Zuordnungen ein. Dabei ist die Legende aus Tabelle A.1 (auf Seite 71) zu verwenden. Die Einführung der zusätzlichen Sicherheitsanforderungen wird wie folgt begründet: FCS_COP.1/Sign wurde hinzugefügt, um die Algorithmen des TOE zur Signaturerstellung und - verifikation zu repräsentieren. Die Algorithmen tragen dazu bei, die Schutzziele O.NK.Schutz, 56 O.NK.EVG_Authenticity und O.NK.VPN_Auth zu erfüllen, indem sie für die Prüfung der Integrität von Hashes, der Integrität der TSL/CRL und der VPN-Vertrauensanker herangezogen werden. FCS_COP.1/Storage.AES helfen, die Benutzerdaten und den TOE selbst zu schützen, wie von O.NK.Schutz vorgesehen. FCS_RNG.1/Hash_DRBG trägt dazu bei, dass beim TLS-Verbindungsaufbau sichere Zufallszahlen ver- wendet werden. Dadurch wird das Schutzziel O.NK.TLS_Krypto erfüllt. 6.4.3. Detaillierte Erklärung für die Sicherheitsziele des Netzkonnektors Die detaillierte Erklärung der Sicherheitsziele des Netzkonnektors wird unverändert aus [BSI-CC-PP- 0098; BSI-CC-PP-0097] übernommen. 57 O.NK.TLS_Krypto O.NK.Schutz O.NK.EVG_Authenticity O.NK.Admin_EVG O.NK.Protokoll O.NK.Zeitdienst O.NK.VPN_Auth O.NK.Zert_Prüf O.NK.VPN_Vertraul O.NK.VPN_Integrität O.NK.PF_WAN O.NK.PF_LAN O.NK.Stateful FTP_ITC.1/NK.VPN_TI . . . . . . X . X X . . . FTP_ITC.1/NK.VPN_SIS . . . . . . X . X X . . . FDP_IFC.1/NK.PF . . . . . . . . . . X X X FDP_IFF.1/NK.PF . . . . . . . . . . X X X FMT_MSA.3/NK.PF . . . . . . . . . . X X . FPT_STM.1/NK . . . . X X . . . . . . . FPT_TDC.1/NK.Zert . . . . . . . X . . . . . FDP_RIP.1/NK . X . . . . . . . . . . . FPT_TST.1/NK . X . . . . . . . . . . . FPT_EMS.1/NK . X . . . . . . X X . . . FAU_GEN.1/NK.SecLog . . . . X . . . . . . . . FAU_GEN.2/NK.SecLog . . . . X . . . . . . . . FMT_SMR.1/NK X . . X . . . . . . X X . FMT_MTD.1/NK . . . X . . . . . . . . . FIA_UID.1/NK.SMR . . . X . . . . . . . . . FTP_TRP.1/NK.Admin X . . X . . . . . . . . . FMT_SMF.1/NK X . . X . . . . . . X X . FMT_MSA.1/NK.PF . . . X . . . . . . X X . FMT_MSA.4/NK . . . X . . . . . . . . . FCS_COP.1/NK.Hash . X . . . . . . . X . . . FCS_COP.1/NK.HMAC . . . . . . . . . X . . . FCS_COP.1/NK.Auth . X . . . . X . . . . . . FCS_COP.1/NK.ESP . . . . . . . . X . . . . FCS_COP.1/NK.IPsec . . . . . . . . X . . . . FCS_CKM.1/NK . X X . . . X . X X . . . FCS_CKM.2/NK.IKE . . . . . . X . X X . . . FCS_CKM.4/NK X X X . . . X . X X . . . FTP_ITC.1/NK.TLS X . . . . . . . . . . . . FPT_TDC.1/NK.TLS.Zert X . . . . . . . . . . . . FCS_CKM.1/NK.TLS X . . . . . . . . . . . . FCS_COP.1/NK.TLS.HMAC X . . . . . . . . . . . . FCS_COP.1/NK.TLS.AES X . . . . . . . . . . . . FCS_COP.1/NK.TLS.Auth X . . . . . . . . . . . . FCS_CKM.1/NK.Zert X . . . . . . . . . . . . FDP_ITC.2/NK.TLS X . . . . . . . . . . . . FDP_ETC.2/NK.TLS X . . . . . . . . . . . . FMT_MOF.1/NK.TLS X . . . . . . . . . . . . Abbildung der Sicherheitsziele des NK auf Sicherheitsanforderungen 58 O.NK.TLS_Krypto O.NK.Schutz O.NK.EVG_Authenticity O.NK.Admin_EVG O.NK.Protokoll O.NK.Zeitdienst O.NK.VPN_Auth O.NK.Zert_Prüf O.NK.VPN_Vertraul O.NK.VPN_Integrität O.NK.PF_WAN O.NK.PF_LAN O.NK.Stateful FCS_RNG.1/Hash_DRBG X . . . . . . . . . . . . FCS_COP.1/Storage.AES . X . . . . . . . . . . . FCS_COP.1/Sign . X X . . . X . . . . . . Tabelle 6.3.: Abbildung der Sicherheitsziele des NK auf Sicherheitsanforderungen 6.5. Erklärung für Erweiterung der Sicherheitsanforderungen FCS_RNG.1/Hash_DRBG Die Sicherheitsanforderung FCS_RNG.1/Hash_DRBG wurde eingeführt, um die Anforderungen der eben- falls eingeführten Komponente FCS_RNG.1 zu präzisieren. Die Erklärung für die Einführung der Familie FCS_RNG in Abschnitt 5.1 gilt auch für das resultierende SFR FCS_RNG.1/Hash_DRBG. Die Sicherheits- anforderung erfüllt das Sicherheitsziel O.NK.TLS_Krypto, vgl. auch Abschnitt 6.4.1. FIA_API.1/AK.TLS Die Sicherheitsanforderung FIA_API.1/AK.TLS wurde eingeführt, um die Anforderung gs-a_4384 zu er- füllen, die fordert, dass der Konnektor sich mit einem X.509 Zertifikat identifizieren muss, wenn er Server in einer TLS-Verbindung ist. Die Sicherheitsanforderung erfüllt das Sicherheitsziel O.AK.LAN. FIA_SOS.1/AK.CS.Passwörter Die Sicherheitsanforderung FIA_SOS.1/AK.CS.Passwörter wurde eingeführt, da die Qualitätsmetriken für Passwörter an der Clientsystemschnittstelle unterschiedlich sind und sich FIA_SOS.1/AK.Passwörter ex- plizit auf die Passwörter an der Managementschnittstelle bezieht. Die Sicherheitsanforderung erfüllt das Sicherheitsziel O.AK.LAN. 6.6. Erklärung für die gewählte EAL-Stufe Die Erklärung der gewählten EAL-Stufe wird unverändert aus dem Schutzprofil [BSI-CC-PP-0097] übernommen. 59 7. TOE Summary Specification Dieses Kapitel vermittelt einen Überblick über die IT-Sicherheitsfunktionen des TOE, wie sie in der funktionalen Spezifikation beschrieben sind. Abschnitt 7.1 enthält Beschreibungen der allgemeinen technischen Verfahren, die der TOE anwendet, um die Sicherheitsanforderungen zu erfüllen. Ab- schnitt 7.2 zeigt die Beziehungen zwischen der Sicherheitsanforderungen aus Abschnitt 6.2 und den IT-Sicherheitsfunktionen aus Abschnitt 7.1. 7.1. TOE Sicherheitsfunktionen 7.1.1. VPN-Client (SF.VPN) Die Sicherheitsfunktion SF.VPN erstellt sichere Kommunikationskanäle zwischen dem TOE und einem entfernten, vertrauenswürdigen IT-Produkt. Dazu wird eine IKEv2 Implementierung verwendet. Diese Kanäle sind logisch von anderen Kommunikationskanälen separiert. Sie bieten gesicherte Identifizie- rung der Endpunkte und Schutz der über den Kanal übertragenen Daten vor Manipulation und Preis- gabe. Solche Kanäle werden vom Konnektor für Verbindungen in die Telematikinfrastruktur und zum SIS verwendet. Der TOE verwendet die Identität auf der gSMC-K#1, um sich gegnüber den entfernten VPN-Konzentratoren zu authentisieren. Umgesetzte SFR FTP_ITC.1/NK.VPN_SIS FTP_ITC.1/NK.VPN_TI Zertifikate werden sowohl mathematisch geprüft, als auch gegen eine TSL und eine CRL geprüft. Die Signaturen der TSL und der CRL werden ebenfalls vom TOE geprüft. Beide Listen werden alle 24 Stunden über einen HTTP-Download aktualisiert. Darüberhinaus verfolgt der TOE die Ablaufdaten kryptographischer Algorithmen. Wenn die Al- gorithmen ablaufen, wird der TOE seine Operation einstellen und nicht mehr funktional sein. Die Ablaufdaten und die Algorithmen sind ausschließlich über Software-Updates möglich. Die vorliegende Implementierung unterstützt IPsec, wie von [gemSpec_Kon] gefordert: IKEv2 [RFC 7296] ohne herstellerspezifische Erweiterungen und Main Mode Exchange wird verwendet. NAT Traversierung wird unterstützt. Umgesetzte SFR FPT_TDC.1/NK.Zert Wenn der TOE konfiguriert ist, sich mit der Telematikinfrastruktur zu verbinden, wird dise Ver- bindung automatisch aufgebaut, wenn dies technisch möglich ist (d.h. wenn der VPN-Konzentrator erreicht werden kann). Im Fehlerfall werden erneute Versuche verzögert, um nicht das Sicherheitspro- tokoll mit Einträgen zu fluten. Wenn der TOE nicht für eine automatische Verbindung mit der Tele- matikinfrastruktur konfiguriert ist, wird keine Verbindung aufgebaut. Der Auf- und der Abbau einer VPN-Verbindung wird im Sicherheitslog protokolliert. 60 Um die zentrale Telematikinfrastruktur vor Angriffen zu schützen, ist die Kommunikation über den VPN-Kanal spezifischen Komponenten vorbehalten (durch SF.DynamicPacketFilter). Die einzigen Kom- ponenten, denen der Datentransfer in die TI gestattet ist, sind der Anwendungskonnektor, Fachdienste, Clientsysteme und Dienste für Namensauflösung (DNS), Zeitabgleich (NTP) und der Download von TSL, CRL und BNetzAVL. 7.1.2. Dynamischer Paketfilter (SF.DynamicPacketFilter) Die Sicherheitsfunktion SF.DynamicPacketFilter stellt eine Firewall (regelbasierten, dynamischen Paket- filter) für Netzwerkverbindungen über die LAN- und WAN-Schnittstellen des Konnektors zur Verfü- gung. Die Firewall kann über Regeln konfiguriert werden, die Pakete filtern. Filterkriterien sind: • IP Adressen (Quelle und Ziel), • Portnummern (Quelle und Ziel), • Protokolltypen, • physische Schnittstellen (Quelle oder Ziel), • die Netzwerkschnittstellen für Eintritt und Austritt der Daten (LAN, WAN, VPN), • Verbindungsstatus Umgesetzte SFR FDP_IFC.1/NK.PF FDP_IFF.1/NK.PF Das Standard-Regelset ist so gestaltet, dass es maximalen Schutz bietet. Dazu werden nur notwendi- ge Verbindungen erlaubt. Um absichtliches und unabsichtliches Untergraben der TOE Sicherheitsmaß- nahmen zu verhindern, dürfen ausschließlich Administratoren Firewallregeln hinzufügen. Auch hier sind die Möglichkeiten stark eingeschränkt. Der Administrator darf lediglich solche Regeln hinzufü- gen, die Kommunikation zwischen dem LAN und dem WAN erlauben. Es ist nicht möglich, Regeln einzuführen, die explizite Verbotsregeln des Standard-Regelsets aufheben. Die vom Administrator ein- gegebenen Regeln werden nach den Regeln des Standard-Regelsets bewertet. Neue Regeln werden über die Schnittstelle zum Anwendungskonnektor gesetzt. Umgesetzte SFR FMT_MSA.3/NK.PF FDP_IFC.1/NK.PF Es ist möglich einen von zwei Betriebsmodi auszuwählen, für die unterschiedliche Regelsets definiert sind: Serieller/Gateway Modus Der Konnektor wird zwischen dem lokalen Netzwerk und dem Internet-Gateway installiert. Der Zugang zum Internet wird in diesem Fall über das WAN- Interface PS.WAN bereitgestellt (ANLW_ANBINDUNGS_MODUS = InReihe). Paralleler Modus Der Konnektor wird gemeinsam mit dem Internet-Gateway, den Clientsystemen und anderen Geräten als Teil des lokalen Netzwerks installiert. Der Zugang zum Internet wird in diesem Fall über das LAN-Interface PS.LAN bereit gestellt. Das WAN-Interface bleibt in diesem Fall ungenutzt (ANLW_ANBINDUNGS_MODUS = Parallel). 61 Darüber hinaus kann der Administrator auswählen, ob. bzw. wie den Clientsystemen der Zugang zum Internet ermöglicht werden soll. Es stehen drei Möglichkeiten zur Verfügung: SIS Verkehr aus dem LAN wird über VPN SIS ins Internet geleitet (ANLW_INTERNET_MODUS = SIS) IAG Verkehr aus dem LAN wird über das Internet Access Gateway ins Internet geleitet. Bedingt, dass der serielle/Gateway Modus aktiv ist (ANLW_INTERNET_MODUS = IAG). Keiner Verkehr aus dem LAN wird nicht ins Internet geleitet (ANLW_INTERNET_MODUS = Keiner). Die vordefinierten Sets an Filterregeln können nicht modifiziert oder entfernt werden, außer wenn die Policies durch ein Firmware-Update in den Konnektor eingebracht werden. Umgesetzte SFR FMT_MSA.1/NK.PF Die vordefinierten Regelsets setzen die Anforderungen der Konnektor-Spezifikation um [gem- Spec_Kon, Abschnitt 4.2.1.1.2]. Explizit erlaubt sind alle Verbindungen, von denen die Spezifikation fordert, dass der Konnektor sie erlauben muss. Explizit verboten sind alle Verbindungen, von denen die Spezifikation fordert, dass der Konnektor sie unterbinden muss. Die Firewall-Regeln stellen sicher, dass nur die Protokolle IPv4, ICMP (Netzwerkebene), TCP, UDP, ESP (Transportebene) für die Kommunikation mit der Telematikinfrastruktur erlaubt sind. Die Routing-Tabellen des TOE stellen sicher, dass ausgehender Verkehr nur über LS.VPN_TI in die TI geleitet wird, wenn die Zieladresse Teil eines Subnetzes der TI oder Teil eines Bestandsnetzes ist. Jeglicher anderer Verkehr wird über LS.VPN_SIS, bzw. LS.LAN geleitet. Der dynamische Paketfilter erlaubt dem TOE ebenfalls, Netzwerkpakete zu identifizieren, die weder zu einer bereits aufegebauten, noch zu einer im Aufbau befindlichen Verbindung gehören. Solche nicht- wohlgeformeten Pakete werden verworfen. Der TOE führt Buch über den Status aller seiner Netzwerkverbindungen, sowie über deren relevante Informationen. Dafür setzt der TOE den Netfilter des Linux Kernels ein. Das Hoch- und Herunterfahren des Paketfilters wird im Audit-Log des Konnektors protokolliert. Ebenso werden Informationen protokolliert, die für Basic Intrusion Prevention benötigt werden. Vor- sichtsmaßnahmen sind implementiert, um zu verhindern, dass das Audit-Log mit speziell gefertigten Nachrichten geflutet wird. So könnte ein Angreifer versuchen, wichtige Nachrichten im Log zu über- schreiben. Umgesetzte SFR FDP_IFF.1/NK.PF 62 7.1.3. Netzbasierte Sicherheitsfunktionen (SF.NetworkServices) Die Sicherheitsfunktion SF.NetworkServices stellt dem TOE zuverlässige Zeitstempel zur Verfügung. Eine Referenzzeit wird über den VPN-Kanal von einem vertrauenswürdigen NTP-Server in der Tele- matikinfrastruktur bezogen. Dabei wird NTP in Version 4 verwendet [RFC 5905]. Die Abweichung zwischen der Netzwerkzeit und der lokalen Zeit im TOE darf maximal 1 Stunde betragen. Der TOE verwendet die Uhrzeit hauptsächlich, um die Gültigkeit von Zertifikaten zu prüfen und um Protokoll- einträge mit Zeitstempel schreiben zu können. Die Synchronisation der Zeit mit dem NTP-Server findet nach dem Boot-Vorgang kontinuierlich statt. Die Intervalle zwischen den Synchronisationsabrufen be- tragen zwischen 64 und 1024 Sekunden, wie im NTP-Protokoll vorgesehen. Umgesetzte SFR FPT_STM.1/NK Alle Anwendungen im TOE können über SF.NetworkServices die aktuelle Zeit erfragen. Der TOE stellt die Uhrzeit auch über seinen Zeitdienst an der Schnittstelle LS.LAN zur Verfügung (ebenfalls mit NTPv4). Cliensysteme und andere Nutzer im LAN des Leistungserbringers können den Zeitdienst verwenden. Der TOE bietet weitere Netzwerkdienste für die Clientsysteme im LAN an: • DHCP Server für die Konfiguration von Systemen mit IP-Adressen und Netzwerkparametern • DNS Server für die Namensauflösung 7.1.4. Selbstschutz (SF.SelfProtection/NK) Die Sicherheitsfunktion SF.SelfProtection/NK ist dafür verantwortlich, den TOE und die Daten, die er verarbeitet, vor Angriffen und Manipulation zu schützen. Sensible Daten werden aus dem Arbeitsspeicher gelöscht, sobald sie nicht mehr verwendet werden. Das umfasst kryptographische Schlüssel, Session Keys, kurzlebige Schlüssel während des Ver- und Entschlüsselungsvorgangs, aber auch sensible Benutzerddaten. Das Löschen wird durch aktives Über- schreiben der entsprechenden Speicherbereiche mit einer Konstante oder pseudo-zufälligen Werten umgesetzt. Umgesetzte SFR FCS_CKM.4/NK FDP_RIP.1/NK Der TOE kann eine Reihe von Selbsttests ausführen, um seine Integrität und die Funktionsfähigkeit seiner eigenen Sicherheitsfunktionen und Komponenten zu beweisen. Abhängig von deren Ausprägung werden die Selbsttests entweder beim Systemstart, während des normalen Betriebs oder zu beiden Ge- legenheiten ausgeführt. Der Administrator kann die Selbsttests ebenfalls starten. Folgende Selbsttests sind umgesetzt: • Prüfung auf Integrität des sicheren Datenspeichers • Prüfung auf Integrität des ausführbaren Codes der TOE Sicherheitsfunktionen. 63 Der sichere Datenspeicher speichert die Konfiguration des TOE in einem verschlüsselten Dateisys- tem. Die Integrität des sicheren Datenspeichers wird sichergestellt, indem für jede Datei des Datei- systems ein SHA-256 Hash berechnet, signiert und separat abgespeichert wird. Für die Signatur wird ein privater Schlüssel der gSMC-K verwendet. Beim Systemstart werden alle Hashwerte neu berechnet und mit den abgespeicherten Werten verglichen. Zusätzlich werden die Pfade und Namen aller Daten- und Signaturdateien in einem Journal abgelegt. Das Journal selbst wird ebenfalls signiert und mit ei- ner Signaturdatei ergänzt. Die Signaturdateien für die Datendateien stellen sicher, das die Datendateien nicht manipuliert worden sind; das Journal stellt sicher, dass keine Daten entfernt oder hinzugefügt wor- den sind. Die Prüfung der Integrität der TSF kann ebenfalls vom Administrator durchgeführt werden. Weiterhin testet der TOE seine Integrität alle 24 Stunden selbst. ST-Anwendungshinweis 6 erweitert die Prüfung, sodass nicht nur ausführbare Dateien getestet werden, sondern auch alle anderen Teil der Firmware. Die Integrität des Root-Dateisystems im NAND-Flash (Teil der TSF) wird sichergestellt, indem ein einzelner SHA-512 Hash über einer Hash-Datenbank verglichen wird. Die Hash-Datenbank wird beim Systemstart erstellt und enthält die Dateinamen und Hashes aller Daten im Root-Dateisystem. Wenn der Hash über der erstellten Datenbank mit einem abgespeicherten und signierten Hash übereinstimmt, gilt der Test als erfolgreich. Der Referenz-Hash wird mit einem dedizierten privaten Schlüssel signiert, der aus der PKI des Herstellers stammt. Die Signatur wird mit dem passenden öffentlichen Schlüssel mittels RSASSA-PSS verifiziert. Der Test wird während des Systemstarts und im laufenden Betrieb ausgeführt. Schlägt der Test während des Systemstarts fehl, bricht der TOE den Systemstart ab und hält an. Im Normalbetrieb führt der fehlschlagende Test dazu, dass der TOE seinen Dienst bis auf bestimmte Administrationsfunktionen einstellt. Die Tests werden von Skripten ausgeführt, die zweimal im System vorhanden sind: Für die Tests während des Systemstarts werden die Skripte aus dem Initramfs geladen, während des Normalbetriebs liegen sie im Root-Dateisystem. Die Integrität des Linux Kernels und des Initramfs (Teile der TSF) wird durch den Boot-Loader sichergestellt. Der TOE verifiziert eine RSASSA-PKCS1-1.5 Signatur und prüft, dass die SHA-256 Hashes für den Kernel und das Initramfs mit den signierten Hashes korrespondieren. Der öffentliche Schlüssel für die Signaturverifikation ist im Boot-Loader abgespeichert. Umgesetzte SFR FPT_TST.1/NK Der Boot-Loader (Teil der TSF) wird durch einen SHA-256 Hash und eine Signatur abgesichert, die vom SoC (Teil der Betriebsumgebung) verifiziert werden. Der öffentliche Schlüssel ist im Boot-Loader abgespeichert. Ein Hash des öffentlichen Schlüssels ist in einem einmalig beschreibbaren Speicherbe- reich des SoC gespeichert. Der Schlüssel wird im Produktionsprozess des Konnektors dort abgelegt. Dieser Hash wird ebenfalls verifiziert. Für die Erstellung der Signaturen, die in den Integritätsprüfungen verwendet werden, setzt der TOE die gSMC-K ein. Die Operationen und logischen Eigenschaften des TOE sind so implementiert, dass sie Seitenkanal- attacken widerstehen. Der TOE stellt sicher, dass keine Informationen über die Netzwerkschnittstellen abfließen kann. Im Besonderen gilt dies für VPN-Sitzungsschlüssel, jegliches verwendete oder abge- speicherte Schlüsselmaterial und zu schützende Daten der TI und der Bestandsnetze. Der TOE verwendet SELinux Policys, um zusätzlichen, verpflichtenden Zugriffsschutz (mandatory access control, MAC) für Ressourcen wie Dateien, Verzeichnisse, Sockets und Geräte zu erzwingen. 64 Der TOE nutzt zusätzlich Code aus dem linux-hardened Project, um das System weiter zu härten (Verfeinerung von ADV_ARC.1). Der TOE stellt sicher, dass der sichere Datenspeicher automatisch verschlüsselt wird (vgl. SF.Crypto- graphicServices/NK). Zusätzlich prüft der TOE permanent die Zeitabweichung von maximal 1 Stunde zur Netzwerkzeit (vgl. SF.NetworkServices). Umgesetzte SFR FPT_EMS.1/NK 7.1.5. Protokollierungsdienst/NK (SF.Audit/NK) Der TOE erzeugt Protokolleinträge für Ereignisse, die in FAU_GEN.1/NK.SecLog spezifiziert sind. Pro- tokolleinträge enthalten die folgenden Informationen: • Thema (Topic) des Ereignisses • Datum und Uhrzeit des Ereignisses • Art des Ereignisses • Schweregrad • Identität des auslösenden Subjekts (System oder die ID des korrespondierenden Fachmoduls) • Ausgang (Erfolg oder Fehler) des Ereignisses, falls relevant • Bei Konfigurationsänderungen: Benutzername des Administrators Umgesetzte SFR FAU_GEN.1/NK.SecLog FAU_GEN.2/NK.SecLog 7.1.6. Administration/NK (SF.Administration/NK) Die Sicherheitsfunktionen des TOE definieren eine Rolle „Administrator“. Benutzer greifen zur Ver- waltung des TOE über eine TLS-Verbindung auf den TOE zu und werden dabei vom Anwendungs- konnektor authentisiert. Die TLS-Verbindung wird von der Funktion SF.CryptographicServices/NK bereit gestellt. Ist ein Administrator authentisiert, ist er autorisiert, verschiedene TSF-Parameter zu konfigu- rieren und folgende TSF-bezogene Operationen durchzuführen: • Die Systemzeit/Echtzeituhr modifizieren • Die Regeln des dynamischen Paketfilters anpassen (vgl. SF.DynamicPacketFilter und FMT_MSA.1/NK.PF) • Das Sicherheitsprotokoll abfragen • Die Selbsttests des Konnektors auslösen (vgl. SF.SelfProtection/NK) 65 Es ist zu beachten, dass die Web-Anwendung in der Umgebung des Konnektors ausgeführt wird. Die Sicherheitsleistungen werden von der Schnittstelle LS.LAN.HTTP_MGMT erbracht, die den Authen- tisierungsstatus des Administrators prüft. Der TOE informiert den Administrator über kritische Betriebszustände über das Display an der Gehäusefront des Konnektors (PS.DISPLAY). Umgesetzte SFR FMT_SMR.1/NK FMT_MTD.1/NK FMT_SMF.1/NK FIA_UID.1/NK.SMR FTP_TRP.1/NK.Admin Administratoren müssen sich authentisieren, bevor sie die Konfigurationsdienste des TOE verwenden können. Die lokale Administration ist aus dem LAN des Leistungserbringers über die Schnittstelle LS.LAN.HTTP_MGMT erreichbar. Zu diesem Zweck verfügt der TOE über einen TLS-Server, der einsei- tige Authentisierung des Servers vorsieht. Nach dem Aufbau der TLS-Verbindung muss der Benutzer sich gegenüber der Web-Anwendung mit Benutzername und Passwort als Administrator authentisieren. Bei dieser Verbindung ist der TOE Server, der Browser des Administrators ist Client. Der TLS-Server des TOE unterstützt TLS 1.2. Umgesetzte SFR FMT_SMR.1/NK FIA_UID.1/NK.SMR FMT_MSA.4/NK FTP_TRP.1/NK.Admin Alle Aktionen, die über die Management-Anwendung durchgeführt werden (login, logout, Konfigu- rationsänderungen) werden im Sicherheitsprotokoll gespeichert. Diese Sicherheitsfunktion bietet eine Komponente, mit der die Firmware der KoCoBox MED+ – inklusive dem Bootloader – sicher aktualisiert werden kann. Mit Hilfe dieser Funktion werden alle Komponenten des Konnektors aktualisiert: sowohl der Netz- als auch der Anwendungskonnektor. Al- lerdings beschränkt sich die Sicherheitsfunktion auf das Prüfen und Aktualisieren der Firmware. Der Import der Firmware (Upload über die Management-Anwendung oder Download vom KSR-Server) wird nicht vom Netzkonnektor erbracht, sondern von Teilen des Anwendungskonnektors. 7.1.7. Kryptografische Dienste/NK (SF.CryptographicServices/NK) Die Sicherheitsfunktion SF.CryptographicServices/NK stellt Implementierungen verschiedener kryptogra- phischer Basisalgorithmen zur Verfügung, die von anderen Sicherheitsfunktionen des Konnektors ver- wendet werden können. Zufallszahlen Der TOE enthält einen DRNG nach FCS_RNG.1/Hash_DRBG, um Zufallszahlen hoher Qualität zu er- zeugen. Der nach [NIST SP 800-90A] umgesetzte DRNG wird in regelmäßigen Abständen (alle 2.048 Zugriffe) mit 32 Bytes aus dem Zufallsgenerator der gSMC-K#2 initialisiert. Die so erzeug- ten Zufallszahlen werden für verschiedene Zwecke verwendet, u.a. beim TLS-Verbindungsaufbau (FCS_CKM.1/NK.TLS und FCS_COP.1/NK.TLS.AES) Umgesetzte SFR FCS_RNG.1/Hash_DRBG 66 Hash-Algorithmen Die Funktion bietet Implementierungen für die Hash-Algorithmen SHA-1, SHA-256 und SHA-512. Im Kontext von TLS implementiert der TOE außerdem SHA-384 für bestimmte Cipher Suites. Umgesetzte SFR FCS_COP.1/NK.Hash, FCS_CKM.1/NK.TLS HMAC Generierung Die Funktion bietet darüber hinaus Algorithmen für die HMAC-Generierung, wobei die genannten Hash-Algorithmen zum Tragen kommen: HMAC-SHA-1(-96), HMAC-SHA-256(-128). Umgesetzte SFR FCS_COP.1/NK.HMAC, FCS_COP.1/NK.TLS.HMAC Signaturverifikation Die Sicherheitsfunktion SF.CryptographicServices/NK bietet Algorithmen zur Verifikation von Signa- turen. X.509-Zertifikate werden unter Verwendung des RSA-PKCS1-v1.5- bzw RSASSA-PSS- Algorithmus geprüft. Zur Verifikation der Signatur der BNetzA-VL muss aktuell noch das Schema RSA-PKCS1-v1.5 verwendet werden. Das Schema RSASSA-PSS wird auch zur Verifikation von Si- gnaturen der Software Updates, der TSL und der CRL verwendet. Zusätzlich werden damit die Hashes des sicheren Datenspeichers und die Integrität der TSF geprüft. Die Hashes des sicheren Datenspeichers wird nicht vom TOE signiert, sondern von der gSMC-K in der Betriebsumgebung des Konnektors. Die Generierung von Hashes und Zufallszahlen wird vom TOE durchgeführt. Umgesetzte SFR FCS_COP.1.1/NK.Auth IPsec Der TOE setzt das IPsec Protokoll um und verifiziert beim IKEv2 Schlüsselaustausch die Signaturen für die Authentisierung von VPN-Konzentratoren. Dabei wird RSA PKCS#1 1.5 verwendet. Während des Schlüsselaustausches wird mit dem Diffie- Hellman Verfahren ein gemeinsames Geheimnis etabliert [RFC 7296]. Auf der Basis des ausgehan- delten Geheimnisses wird mit PRF-HMAC-SHA-256 Schlüsselmaterial für den Integritätsschutz und Verschlüsselung während IKE und ESP generiert [RFC 7296, Abschnitt 2.14]. Der VPN-Verkehr wird mit ESP und den zuvor generierten Schlüsseln verschlüsselt. Die Integrität des VPN-Verkehrs wird über die Berechnung von HMACs mit dediziert generierten Schlüsseln sichergestellt. Schlüssel, die nicht mehr verwendet werden, werden durch das Überschreiben mit einer Konstanten sicher gelöscht. Umgesetzte SFR FCS_COP.1/NK.IPsec FCS_COP.1/NK.Auth FCS_COP.1/NK.ESP FCS_CKM.2/NK.IKE FCS_CKM.1/NK FCS_CKM.4/NK FCS_COP.1/NK.HMAC 67 AES / Sicherer Datenspeicher Der TOE legt seine Logdateien und den sicheren Datenspeicher im persistenten Speicher ab. Sowohl die Logdateien als auch der sichere Datenspeicher liegen auf Dateisystemen, die mit AES im CBC Modus und 256 Bit langen Schlüsseln verschlüsselt sind. Um unvorhersagbare Initialisierungsvektoren für CBC zu erlangen, wird das Encrypted Salt-Sector IV (ESSIV) Verfahren verwendet. Die AES- Schlüssel werden beim initialien Start des TOE von der gSMC-K#1 generiert und in dieser abgelegt. Die Erzeugung der Schlüssel wird von der gSMC-K umgesetzt. Die Schlüssel werden durch das Überschreiben mit konstanten oder pseudozufälligen Werten sicher aus dem Speicher entfernt. Umgesetzte SFR FCS_COP.1/Storage.AES FCS_CKM.4/NK TLS Der TOE stellt die Umsetzung des TLS-Protokolls in der Version 1.2 bereit. Dabei kann der TOE so- wohl Client als auch Server sein. Die Funktion stellt die Integrität und Vertraulichkeit der Verbindun- gen zu anderen vertrauenswürdigen IT-Systemen, aber auch zum Web-Browswer des Administrators sicher. Der Netzkonnektor stellt die technischen Grundlagen für TLS bereit. Die genaue Verwendung der TLS-Verbindungen und eine Auflistung der Kommunikationspartner befindet sich in Tabelle B.4 auf Seite 74. Der Anwendungskonnektor ist dafür verantwortlich, die TLS-Verbindungen so zu konfi- gurieren, dass die zweckangemessen parametrisiert sind. Umgesetzte SFR FCS_CKM.1/NK.TLS FMT_MOF.1/NK.TLS Für die Generierung von Nonces und Schlüsseln verwendet der TOE den Hash_DRBG Zufallsge- nerator nach FCS_RNG.1/Hash_DRBG [NIST SP 800-90A], der durch die gSMC-K#2 geseedet wird. Session Keys werden durch das Überschreiben mit konstanten oder pseudozufälligen Werten sicher aus dem Speicher entfernt. Umgesetzte SFR FCS_CKM.1/NK.TLS FCS_CKM.4/NK FCS_COP.1/NK.TLS.HMAC FCS_COP.1/NK.TLS.AES FCS_COP.1/NK.TLS.Auth JSSE erlaubt die Wiederaufnahme bestehender Sessions. Durch eine Anpassung an der JRE wurde die maximale Zeitspanne für eine Wiederaufnahme auf 24 Stunden begrenzt. Die JRE beherrscht von sich aus die session renegotiation nach [RFC 5746]. Die weiteren SFR aus Abschnitt 6.2.8 werden nicht von JSSE umgesetzt. Im Fall einer zertifikatsba- sierten Authentisierung kann der TOE X.509 Zertifikate importieren oder selbst erzeugen und an den Benutzer ausliefern. Umgesetzte SFR FDP_ITC.2/NK.TLS FCS_CKM.1/NK.Zert FPT_TDC.1/NK.TLS.Zert FDP_ETC.2/NK.TLS 68 7.2. Verhältnis von SFR zu SF Tabelle 7.1 zeigt, in welchem Verhältnis die im Abschnitt 6.2 definierten Sicherheitsanforderungen zu den in Abschnitt 7.1 beschriebenen Sicherheitsfunktionen des TOE stehen. SF.VPN SF.DynamicPacketFilter SF.NetworkServices SF.SelfProtection/NK SF.Audit/NK SF.Administration/NK SF.CryptographicServices/NK FAU_GEN.1/NK.SecLog . . . . X . . FAU_GEN.2/NK.SecLog . . . . X . . FCS_CKM.1/NK.TLS . . . . . . X FCS_CKM.1/NK.Zert . . . . . . X FCS_CKM.1/NK . . . . . . X FCS_CKM.2/NK.IKE . . . . . . X FCS_CKM.4/NK . . . . . . X FCS_COP.1/NK.Auth . . . . . . X FCS_COP.1/NK.ESP . . . . . . X FCS_COP.1/NK.Hash . . . . . . X FCS_COP.1/NK.HMAC . . . . . . X FCS_COP.1/NK.IPsec . . . . . . X FCS_COP.1/NK.TLS.AES . . . . . . X FCS_COP.1/NK.TLS.Auth . . . . . . X FCS_COP.1/NK.TLS.HMAC . . . . . . X FCS_COP.1/Sign . . . . . . X FCS_COP.1/Storage.AES . . . . . . X FCS_RNG.1/Hash_DRBG . . . . . . X FDP_ETC.2/NK.TLS . . . . . . X FDP_IFC.1/NK.PF . X . . . . . FDP_IFF.1/NK.PF . X . . . . . FDP_ITC.2/NK.TLS . . . . . . X FDP_RIP.1/NK . . . X . . . FIA_UID.1/NK.SMR . . . . . X . FMT_MOF.1/NK.TLS . . . . . . X FMT_MSA.1/NK.PF . . . . . X . FMT_MSA.3/NK.PF . X . . . . . FMT_MSA.4/NK . . . . . X . FMT_MTD.1/NK . . . . . X . FMT_SMF.1/NK . . . . . X . FMT_SMR.1/NK . . . . . X . FPT_EMS.1/NK . . . X . . . FPT_STM.1/NK . . X . . X . 69 SF.VPN SF.DynamicPacketFilter SF.NetworkServices SF.SelfProtection/NK SF.Audit/NK SF.Administration/NK SF.CryptographicServices/NK FPT_TDC.1/NK.TLS.Zert . . . . . . X FPT_TDC.1/NK.Zert X . . . . . . FPT_TST.1/NK . . . X . . . FTP_ITC.1/NK.TLS . . . . . . X FTP_ITC.1/NK.VPN_SIS X . . . . . . FTP_ITC.1/NK.VPN_TI X . . . . . . FTP_TRP.1/NK.Admin . . . . . X . Tabelle 7.1.: Abbildung der SFR des NK auf Sicherheitsfunktionalität 70 A. Erklärung der tabellarischen Darstellung Tabelle A.1 zeigt die in den Tabellen dieses Dokuments verwendeten Symbole. Diese kommen in allen Tabellen zum Einsatz, in denen Entitäten der Common Criteria aufeinander abgebildet werden. Symbol Beschreibung X Vom Schutzprofil vorgesehene Beziehung / vorgesehenes SFR – Nicht umgesetzte, vom Schutzprofil als optional vorgesehene Beziehung / vorgesehenes SFR X Vom Security Target zusätzlich angenommene Beziehung / zu- sätzlich angenommenes SFR Tabelle A.1.: Legende der Abbildungstabellen 71 B. TLS Verbindungen Für die TLS-Verbindungen werden die im Schutzprofil und der gematik-Spezifikation [gem- Spec_Krypt, Abschnitt 3.3.2] genannten Cipher Suiten verwendet. Der TOE beherrscht genau diese Cipher Suiten und keine darüber hinaus. Tabelle B.1 listet diese Cipher Suiten auf. Tabelle B.2 zeigt die elliptischen Kurven, die beim ECDHE Schlüsselaustausch zur Anwendung kommen. Algorithmen / Cipher Suite IANA ID TLS 1.2 [RFC 5246] TLS_DHE_RSA_WITH_AES_128_CBC_SHA 0x00, 0x33 X TLS_DHE_RSA_WITH_AES_256_CBC_SHA 0x00, 0x39 X TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xc0, 0x13 X TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 0xc0, 0x14 X TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 0xc0, 0x27 X TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 0xc0, 0x28 X TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xc0, 0x2f X TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xc0, 0x30 X Tabelle B.1.: Cipher Suites der TLS Verbindungen des Konnektors Elliptische Kurve IANA ID Standard secp256r1 (P-256) 23 [RFC 8422; ANSI X9.62] secp384r1 (P-384) 24 [RFC 8422; ANSI X9.62] brainpoolP256r1 26 [RFC 7027] brainpoolP384r1 27 [RFC 7027] Tabelle B.2.: Elliptische Kurven für die TLS Verbindungen des Konnektors Der TOE kommuniziert mit anderen vertrauenswürdigen IT-Produkten über gesicherte Verbindun- gen. Die Integrität und die Vertrauenswürdigkeit der Verbindungen wird durch die Verwendung von TLS in der Version 1.2 und die in Tabelle B.1 genannten Algorithmen und Cipher Suiten sichergestellt. Tabelle B.4 listet die Verbindungen auf, die der Konnektor eingeht. Die Spalten dieser Tabelle werden in Tabelle B.3 beschrieben. 72 Spalte Beschreibung ID Symbolischer Name der Verbindung Schnittstelle Logische Schnittstelle, deren Kommunikation abge- sichert wird. Rolle Beschreibt, ob der Konnektor in dieser Verbindung Client oder Server ist. Peer Beschreibung des Partners in der TLS-Verbindung Protokoll Anwendungsprotokoll, das für die Verbindung ge- nutzt wird. Subsystem::Modul Name des Subsystems und des Moduls, von dem die Verbindung ausgeht, bzw. das die Verbindung emp- fängt und behandelt. Port Port, den der TOE öffnet, um die Verbindung auf- zubauen. Für Verbindungen, bei denen der Konnek- tor Server ist, steht hier eine Portnummer. Wenn der TOE Client ist, steht „dyn.“ für die ephemerische Portvergabe bei TCP-Verbindungen. „konfig.“ steht dafür, dass der Zielport konfigurierbar ist. Schnittstelle Logische Schnittstelle des TOE , über die die Verbin- dung läuft. Identität des TOE Zertifikat, mit dem sich der TOE gegenüber dem Peer authentisiert. Identität des Peer Zertifikat/Verfahren, mit dem sich der Peer gegen- über dem TOE authentisiert. Authentifizierung des Peer durch Verfahren, Datenquelle oder Subsystem/Modul, mit dem der TOE die Identität des Peers verifiziert. Tabelle B.3.: Legende zu den TLS Verbindungen 73 ID Schnittstelle (Proto- koll) Rolle Peer Subsystem::Modul Port Identität des TOE Identität des Peer Authentifizierung des Peer durch TLS.1 LS.LAN.HTTP_MGMT Server Browser Facade::Jetty-Configu- ration 9443 gSMC-K#2: EF.C.AK.AUT.R2048 Benutzername/Pass- wort Benutzerverwaltung im TOE TLS.2 LS.LAN.SOAP Server Clientsystem Facade::Jetty-Configu- ration 443 gSMC-K#2: EF.C.AK.AUT.R2048 X.509 Zertifikate server_truststore.jks TLS.3 LS.LAN.SOAP Server Clientsystem Facade::Jetty-Configu- ration 443 gSMC-K#2: EF.C.AK.AUT.R2048 HTTP Basic Authen- tication Clientsystemverwal- tung im TOE TLS.4 LS.LAN.LDAP Server Clientsystem LDAPProxy::Core 636 gSMC-K#2: EF.C.AK.AUT.R2048 X.509 Zertifikate server_truststore.jks TLS.5 LS.LAN.CETP Client Clientsystem SystemInformation- Service::Core konfig. gSMC-K#2: EF.C.AK.AUT.R2048 X509 Zertifikate server_truststore.jks TLS.6 LS.LAN.SICCT Client eHealth Karten- terminal CardService::de.nde- sign.koco.ifd.sicct 4742 gSMC-K#2: EF.C.SAK.AUT.R2048 SMC-KT: ID.SMKT.AUT CertificateService::Core TLS.7 LS.WAN.SOAP Client Registrierungs- dienst AdminService::Regis- trationService 8443 SMC-B: EF.C.HCI.AUT.R2048 C.ZD.TLS-S, 1.2.276.0.76.4.161 CertificateService::Core TLS.8 LS.VPN_TI.LDAP Client Verzeichnis- dienst LDAPProxy::Core Dyn. n/a C.ZD.TLS-S, 1.2.276.0.76.4.171 CertificateService::Core TLS.9 LS.VPN_TI.HTTP Client BNetzAVL- Downloaddienst CertificateService::- BNetzAVLService Dyn. n/a C.ZD.TLS-S, 1.2.276.0.76.4.189 CertificateService::Core TLS.10 LS.VPN_TI.SOAP Client Intermediär VSDM FM_VSDM::TLS Dyn. SMC-B: EF.C.HCI.AUT.R2048 C.FD.TLS-S, 1.2.276.0.76.4.159 CertificateService::Core TLS.11 LS.VPN_TI.HTTP Client KSR Update Server AdminService::- KSR_CS_Core Dyn. n/a C.ZD.TLS-S, 1.2.276.0.76.4.160 CertificateService::Core Tabelle B.4.: TLS Verbindungen der KoCoBox MED+ 74 Literatur Schutzprofile und Technische Richtlinien [BSI-CC-PP-0082-2] Bundesamt für Sicherheit in der Informationstechnik. Card Ope- rating System Generation 2 (PP COS GEN2). BSI-CC-PP-0082. Common Criteria Schutzprofil (Protection Profile). Version 1.9. Bundesamt für Sicherheit in der Informationstechnik (BSI), 18. Nov. 2014. [BSI-CC-PP-0097] Bundesamt für Sicherheit in der Informationstechnik. Schutzprofil 1: Anforderungen an den Netzkonnektor. BSI-CC-PP-0097. Com- mon Criteria Schutzprofil (Protection Profile). Version 1.6.4. Bun- desamt für Sicherheit in der Informationstechnik (BSI), 17. März 2020. [BSI-CC-PP-0098] Bundesamt für Sicherheit in der Informationstechnik. Schutzpro- fil 2: Anforderungen an den Konnektor. BSI-CC-PP-0098. Com- mon Criteria Schutzprofil (Protection Profile). Version 1.5.4. Bun- desamt für Sicherheit in der Informationstechnik (BSI), 17. März 2020. [TR-03116-1] Bundesamt für Sicherheit in der Informationstechnik. Kryptogra- phische Vorgaben für Projekte der Bundesregierung. Teil 1: Tele- matikinfrastruktur. Technische Richtlinie BSI TR-03116-1. Tech- nical Guideline. Version 3.20. Bundesamt für Sicherheit in der In- formationstechnik (BSI), 21. Sep. 2018. url: https://www.bsi. bund . de / DE / Publikationen / TechnischeRichtlinien / tr03116/index_htm.html. Herstellerdokumente [KoCo AGD_ADM-Erg] KoCo Connector GmbH. Ergänzungen zum Administratorhand- buch KoCoBox MED+ Version 2.x. Common Criteria Komponen- te AGD_ADM. Version 1.1.1. Vorgelegt im Verfahren BSI-DSC- CC-1068 zu BSI-CC-PP-0098. 2020. [KoCo AGD_ADM] KoCo Connector GmbH. Administratorhandbuch KoCo- Box MED+ Version 2.3. Common Criteria Komponente AGD_ADM. Version 2.3. Vorgelegt im Verfahren BSI-DSC- CC-1068 zu BSI-CC-PP-0098. 14. Juli 2020. 75 [KoCo AGD_JSON] KoCo Connector GmbH. JSON-Managementschnittstelle der Ko- CoBox MED+. Dokumentation. Version 2.22. Vorgelegt im Ver- fahren BSI-DSC-CC-1068 zu BSI-CC-PP-0098. 2020. [KoCo AGD_Kon-Sec] KoCo Connector GmbH. KoCoBox MED+ OPB 2.1 Konnektor. Konnektor Security Guidance Fachmodule NFDM und AMTS. Pro- grammierrichtlinien für die Entwickler von Fachmodulen. Vor- gelegt im Verfahren BSI-DSC-CC-1068 zu BSI-CC-PP-0098. 2020. [KoCo ALC_DEL] KoCo Connector GmbH. KoCoBox MED+ OPB 2.1 Konnektor. Delivery Procedures (ALC_DEL). Common Criteria Komponente ALC_DEL. Version 1.1.9. Vorgelegt im Verfahren BSI-DSC-CC- 1068 zu BSI-CC-PP-0098. 2020. [KoCo ASE_ST-97] KoCo Connector GmbH. KoCoBox MED+ Netzkonnektor. Securi- ty Target. Common Criteria Komponente ASE_ST. Vorgelegt im Verfahren BSI-DSC-CC-1067 zu BSI-CC-PP-0097. 2020. [KoCo ASE_ST-98] KoCo Connector GmbH. KoCoBox MED+ OPB 2.1 Konnektor. Security Target. Common Criteria Komponente ASE_ST. Vor- gelegt im Verfahren BSI-DSC-CC-1068 zu BSI-CC-PP-0098. 2020. [KoCo FM-API] KoCo Connector GmbH. KoCoBox MED+ OPB 2.1 Konnektor. Konnektor API für Fachmodule Javadoc. Common Criteria Kom- ponente AGD. Vorgelegt im Verfahren BSI-DSC-CC-1068 zu BSI-CC-PP-0098. 2020. gematik Spezifikationen [gemErrata_1_Kon_PTV3] gematik GmbH. Errata 1 zum Konnektor PTV 3 (eMP/AMTS, NFDM). Version 1.0.1., 6. Feb. 2019. [gemErrata_2_Kon_PTV3] gematik GmbH. Errata 2 zum Konnektor PTV 3 (eMP/AMTS, NFDM). Version 1.0.0., 6. Juni 2019. [gemErrata_3_Kon_PTV3] gematik GmbH. Errata 3 zum Konnektor PTV 3 (eMP/AMTS, NFDM). Version 1.0.0., 2. Okt. 2019. [gemErrata_4_Kon_PTV3] gematik GmbH. Errata 4 zum Konnektor PTV 3 (eMP/AMTS, NFDM). Version 1.0.1., 27. Nov. 2019. [gemErrata_5_Kon_PTV3] gematik GmbH. Errata 5 zum Konnektor PTV 3 (eMP/AMTS, NFDM). Version 1.0.0., 4. Feb. 2020. [gemErrata_6_Kon_PTV3] gematik GmbH. Errata 6 zum Konnektor PTV 3 (eMP/AMTS, NFDM). Version 1.0.0., 4. März 2020. [gemILF_PS] gematik GmbH. Implementierungsleitfaden Primärsysteme – Te- lematikinfrastruktur (TI). einschließlich VSDM, QES, KOM-LE. Version 2.3.0. Revision 55792., 26. Okt. 2018. 76 [gemKPT_Arch] gematik GmbH. Konzept. Architektur der TI-Plattform. Versi- on 2.5.0. Revision 58160., 26. Okt. 2018. [gemProdT_Kon_PTV3_3.6.0-2] gematik GmbH. Produkttypsteckbrief Konnektor. Prüfvorschrift. Produkttyp Version PTV3 3.6.0-2. Version 1.0.0. Revisi- on 61976., 4. März 2020. [gemSpec_Kon_TBAuth] gematik GmbH. Spezifikation Konnektor. Basisdienst Tokenbasier- te Authentisierung. Version 1.2.0. Revision 19021., 14. Mai 2018. [gemSpec_Kon] gematik GmbH. Spezifikation Konnektor. Version 5.4.0., 26. Okt. 2018. [gemSpec_Krypt] gematik GmbH. Übergreifende Spezifikation Verwendung kryp- tographischer Algorithmen in der Telematikinfrastruktur. Versi- on 2.11.0. Revision 58823., 29. Okt. 2018. [gemSpec_Net] gematik GmbH. Übergreifende Spezifikation Netzwerk. Versi- on 1.14.0. Revision 58088., 26. Okt. 2018. [gemSpec_PKI] gematik GmbH. Übergreifende Spezifikation PKI. Version 2.3.0. Revision 58259., 26. Okt. 2018. [gemWSDL] gematik GmbH. Schnittstellendefinitionen im XSD- und WSDL- Format. Gültig ab 01.01.2019. 2019. url: https : / / fachportal . gematik . de / fileadmin / user _ upload / fachportal/files/Spezifikationen/Produktivbetrieb/ Schemata_WDSL/OPB3.1_Schemadateien_R3.1.2_Kon_ PTV3_20191002.zip. Standards [ANSI X9.62] Accredited Standards Committee X9. ANSI X9.62, Public Key Cryptography For The Financial Services Industry: The Ellip- tic Curve Digital Signature Algorithm (ECDSA). Standard. ANSI, 16. Nov. 2005. [CC Part 2] The Common Criteria Recognition Agreement Members. Com- mon Criteria for Information Technology Security Evaluation. Part 2: Security functional components. Common Criteria. Ver- sion 3.1R5. Common Criteria Portal, Apr. 2017. url: http:// www.commoncriteriaportal.org/thecc.html. [CC Part 3] The Common Criteria Recognition Agreement Members. Com- mon Criteria for Information Technology Security Evaluation. Part 3: Security assurance components. Common Criteria. Versi- on 3.1R5. Common Criteria Portal, Apr. 2017. url: http:// www.commoncriteriaportal.org/thecc.html. [FIPS PUB 180-4] National Institute of Standards und Technology. Secure Hash Stan- dard (SHS). Federal Information Processing Standards Publicati- on. Information Technology Laboratory, Aug. 2015. url: http: //dx.doi.org/10.6028/NIST.FIPS.180-4. 77 [FIPS PUB 186-2] National Institute of Standards und Technology. Digital Signa- ture Standard (DSS). Federal Information Processing Standards Publication. Information Technology Laboratory, Juli 2013. url: http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS. 186-4.pdf. [FIPS PUB 197] National Institute of Standards und Technology. Advanced En- cryption Standard (AES). Federal Information Processing Stan- dards Publication. Information Technology Laboratory, Nov. 2001. url: http://nvlpubs.nist.gov/nistpubs/FIPS/ NIST.FIPS.197.pdf. [NIST SP 800-38A] Morris Dworkin. Recommendation for Block Cipher Modes of Operation. Methods and Techniques. NIST Special Publication 800-38A. National Institute of Standards und Technology, Dez. 2001. url: http://nvlpubs.nist.gov/nistpubs/Legacy/ SP/nistspecialpublication800-38a.pdf. [NIST SP 800-90A] Elaine Barker und John Kelsey. Recommendation for Random Number Generation Using Deterministic Random Bit Generators. National Industrial Security Program Operating Manual. NIST Special Publication. Version Revision 1. National Institute of Stan- dards und Technology, Juni 2015. url: http://dx.doi.org/ 10.6028/NIST.SP.800-90Ar1. RFC [RFC 2131] R. Droms. Dynamic Host Configuration Protocol. RFC 2131 (Draft Standard). RFC. Updated by RFCs 3396, 4361, 5494, 6842. Fremont, CA, USA: RFC Editor, März 1997. doı: 10 . 17487/RFC2131. url: https://www.rfc-editor.org/rfc/ rfc2131.txt. [RFC 2132] S. Alexander und R. Droms. DHCP Options and BOOTP Vendor Extensions. RFC 2132 (Draft Standard). RFC. Updated by RFCs 3442, 3942, 4361, 4833, 5494. Fremont, CA, USA: RFC Editor, März 1997. doı: 10.17487/RFC2132. url: https://www.rfc- editor.org/rfc/rfc2132.txt. [RFC 2404] C. Madson und R. Glenn. The Use of HMAC-SHA-1-96 within ESP and AH. RFC 2404 (Proposed Standard). RFC. Fremont, CA, USA: RFC Editor, Nov. 1998. doı: 10.17487/RFC2404. url: https://www.rfc-editor.org/rfc/rfc2404.txt. [RFC 3526] T. Kivinen und M. Kojo. More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE). RFC 3526 (Proposed Standard). RFC. Fremont, CA, USA: RFC Editor, Mai 2003. doı: 10 . 17487 / RFC3526. url: https : / / www . rfc - editor.org/rfc/rfc3526.txt. 78 [RFC 4035] R. Arends u. a. Protocol Modifications for the DNS Security Exten- sions. RFC 4035 (Proposed Standard). RFC. Updated by RFCs 4470, 6014, 6840. Fremont, CA, USA: RFC Editor, März 2005. doı: 10.17487/RFC4035. url: https://www.rfc-editor. org/rfc/rfc4035.txt. [RFC 4055] J. Schaad, B. Kaliski und R. Housley. Additional Algorithms and Identifiers for RSA Cryptography for use in the Internet X.509 Pu- blic Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. RFC 4055 (Proposed Standard). RFC. Updated by RFC 5756. Fremont, CA, USA: RFC Editor, Juni 2005. doı: 10.17487/RFC4055. url: https://www.rfc-editor.org/ rfc/rfc4055.txt. [RFC 4868] S. Kelly und S. Frankel. Using HMAC-SHA-256, HMAC-SHA- 384, and HMAC-SHA-512 with IPsec. RFC 4868 (Proposed Stan- dard). RFC. Fremont, CA, USA: RFC Editor, Mai 2007. doı: 10.17487/RFC4868. url: https://www.rfc-editor.org/ rfc/rfc4868.txt. [RFC 5246] T. Dierks und E. Rescorla. The Transport Layer Security (TLS) Protocol Version 1.2. RFC 5246 (Proposed Standard). RFC. Up- dated by RFCs 5746, 5878, 6176, 7465, 7507, 7568, 7627, 7685, 7905, 7919. Fremont, CA, USA: RFC Editor, Aug. 2008. doı: 10.17487/RFC5246. url: https://www.rfc-editor.org/ rfc/rfc5246.txt. [RFC 5280] D. Cooper u. a. Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. RFC 5280 (Propo- sed Standard). RFC. Updated by RFC 6818. Fremont, CA, USA: RFC Editor, Mai 2008. doı: 10.17487/RFC5280. url: https: //www.rfc-editor.org/rfc/rfc5280.txt. [RFC 5639] M. Lochter und J. Merkle. Elliptic Curve Cryptography (ECC) Brainpool Standard Curves and Curve Generation. RFC 5639 (In- formational). RFC. Fremont, CA, USA: RFC Editor, März 2010. doı: 10.17487/RFC5639. url: https://www.rfc-editor. org/rfc/rfc5639.txt. [RFC 5746] E. Rescorla u. a. Transport Layer Security (TLS) Renegotiation In- dication Extension. RFC 5746 (Proposed Standard). RFC. Fre- mont, CA, USA: RFC Editor, Feb. 2010. doı: 10 . 17487 / RFC5746. url: https://www.rfc-editor.org/rfc/rfc5746. txt. [RFC 5905] D. Mills u. a. Network Time Protocol Version 4: Protocol and Al- gorithms Specification. RFC 5905 (Proposed Standard). RFC. Up- dated by RFC 7822. Fremont, CA, USA: RFC Editor, Juni 2010. doı: 10.17487/RFC5905. url: https://www.rfc-editor. org/rfc/rfc5905.txt. 79 [RFC 7027] J. Merkle und M. Lochter. Elliptic Curve Cryptography (ECC) Brainpool Curves for Transport Layer Security (TLS). RFC 7027 (Informational). RFC. Fremont, CA, USA: RFC Editor, Okt. 2013. doı: 10 . 17487 / RFC7027. url: https : / / www . rfc - editor.org/rfc/rfc7027.txt. [RFC 7292] K. Moriarty u. a. PKCS #12: Personal Information Exchange Syn- tax v1.1. RFC 7292 (Informational). RFC. Fremont, CA, USA: RFC Editor, Juli 2014. doı: 10.17487/RFC7292. url: https: //www.rfc-editor.org/rfc/rfc7292.txt. [RFC 7296] C. Kaufman u. a. Internet Key Exchange Protocol Version 2 (IKEv2). RFC 7296 (Internet Standard). RFC. Updated by RFCs 7427, 7670. Fremont, CA, USA: RFC Editor, Okt. 2014. doı: 10.17487/RFC7296. url: https://www.rfc-editor.org/ rfc/rfc7296.txt. [RFC 8017] K. Moriarty (Ed.) u. a. PKCS #1: RSA Cryptography Specificati- ons Version 2.2. RFC 8017 (Informational). RFC. Fremont, CA, USA: RFC Editor, Nov. 2016. doı: 10.17487/RFC8017. url: https://www.rfc-editor.org/rfc/rfc8017.txt. [RFC 8422] Y. Nir, S. Josefsson und M. Pegourie-Gonnard. Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS) Versions 1.2 and Earlier. RFC 8422 (Proposed Standard). RFC. Fremont, CA, USA: RFC Editor, Aug. 2018. doı: 10 . 17487/RFC8422. url: https://www.rfc-editor.org/rfc/ rfc8422.txt. Andere [BÄK-DV] Bundesärztekammer. „Empfehlungen zur ärztlichen Schweige- pflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“. In: Deutsches Ärzteblatt 111.21 (23. Mai 2014). url: http : / / www . bundesaerztekammer . de / fileadmin / user _ upload/downloads/Schweigepflicht_2014.pdf (besucht am 04. 07. 2017). [BSI-GS] Bundesamt für Sicherheit in der Informationstechnik. IT- Grundschutz-Kataloge. 2017. url: https://www.bsi.bund. de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/ itgrundschutzkataloge_node.html. [ESSIV] Clemens Fruwirth. New Methods in Hard Disk Encryption. 18. Ju- li 2005. url: http : / / clemens . endorphin . org / nmihde / nmihde-A4-os.pdf. 80 Verzeichnis der ST-Anwendungshinweise 1 FDP_IFF.1.2/NK.PF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 2 FDP_IFF.1.5/NK.PF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 3 FDP_IFF.1.5/NK.PF(5) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4 FPT_STM.1.1/NK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 5 FPT_TDC.1/NK.Zert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 6 FPT_TST.1/NK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 7 FAU_GEN.1.2/NK.SecLog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 8 FTP_TRP.1.1/NK.Admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 9 FMT_MSA.1/NK.PF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 10 FMT_MOF.1.1/NK.TLS(3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 11 FMT_MOF.1/NK.TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 12 FCS_RNG.1/Hash_DRBG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 81 Index der SFR FAU_GEN.1/NK.SecLog . . . . . . . . . . . . . . . . 43, 65 FAU_GEN.2/NK.SecLog . . . . . . . . . . . . . . . . 44, 65 FCS_CKM.1/NK. . . . . . . . . . . . . . . . . . . . . . .47, 67 FCS_CKM.1/NK.TLS . . . . . . . . . . . . . . . 49, 66–68 FCS_CKM.1/NK.Zert . . . . . . . . . . . . . . . . . . .50, 68 FCS_CKM.2/NK.IKE . . . . . . . . . . . . . . . . . . . 47, 67 FCS_CKM.4/NK . . . . . . . . . . . . . . . . 48, 63, 67, 68 FCS_COP.1/NK.Auth . . . . . . . . . . . . . . . . . . . 47, 67 FCS_COP.1/NK.ESP . . . . . . . . . . . . . . . . . . . 47, 67 FCS_COP.1/NK.Hash . . . . . . . . . . . . . . . . . . 46, 67 FCS_COP.1/NK.HMAC . . . . . . . . . . . . . . . . . 46, 67 FCS_COP.1/NK.IPsec . . . . . . . . . . . . . . . . . . 47, 67 FCS_COP.1/NK.TLS.AES . . . . . . . . . . . . 50, 66, 68 FCS_COP.1/NK.TLS.Auth . . . . . . . . . . . . . . . 50, 68 FCS_COP.1/NK.TLS.HMAC . . . . . . . . . . 50, 67, 68 FCS_COP.1/Sign . . . . . . . . . . . . . . . . . . . . . . 54, 56 FCS_COP.1/Storage.AES . . . . . . . . . . . . 54, 57, 68 FCS_RNG.1/Hash_DRBG . . 50, 53, 57, 59, 66, 68 FDP_ACC.1/AK.VSDM . . . . . . . . . . . . . . . . . . . . . 40 FDP_ACF.1/AK.VSDM . . . . . . . . . . . . . . . . . . . . . 40 FDP_ETC.2/NK.TLS . . . . . . . . . . . . . . . . . . . 51, 68 FDP_IFC.1/NK.PF. . . . . . . . . . . . . . . . . .37, 38, 61 FDP_IFF.1/NK.PF . . . . . . . . . . . . . . . . . . 37, 61, 62 FDP_ITC.2/NK.TLS . . . . . . . . . . . . . . . . . . . . 51, 68 FDP_RIP.1/NK . . . . . . . . . . . . . . . . . . . . . . . . 42, 63 FIA_API.1/AK.TLS . . . . . . . . . . . . . . . . . . . . . . . . 59 FIA_SOS.1/AK.CS.Passwörter . . . . . . . . . . . . . . 59 FIA_SOS.1/AK.Passwörter . . . . . . . . . . . . . . . . . 59 FIA_UID.1/NK.SMR . . . . . . . . . . . . . . . . . . . . 45, 66 FMT_MOF.1/NK.TLS . . . . . . . . . . . . . . . . . . . 52, 68 FMT_MSA.1/NK.PF . . . . . . . . . . . . . . . . 46, 62, 65 FMT_MSA.3/NK.PF. . . . . . . . . . . . . . . . . . . .40, 61 FMT_MSA.4/NK . . . . . . . . . . . . . . . . . . . . . . 46, 66 FMT_MTD.1/NK . . . . . . . . . . . . . . . . . . . . . . 44, 66 FMT_SMF.1/NK. . . . . . . . . . . . . . . . . . . . . . .46, 66 FMT_SMR.1/NK . . . . . . . . . . . . . . . . . . . . . . 44, 66 FPT_EMS.1/NK . . . . . . . . . . . . . . . . . . . . . . . 42, 65 FPT_STM.1/NK . . . . . . . . . . . . . . . . . . . 40, 44, 63 FPT_TDC.1/NK.TLS.Zert . . . . . . . . . . . . . . . 49, 68 FPT_TDC.1/NK.Zert . . . . . . . . . . . . . . . . . . . 41, 60 FPT_TST.1/NK . . . . . . . . . . . . . . . . . . . . . . . 42, 64 FTP_ITC.1/NK.TLS . . . . . . . . . . . . . . . . . . . . 48, 52 FTP_ITC.1/NK.VPN_SIS . . . . . . . . . . . . . . . . 37, 60 FTP_ITC.1/NK.VPN_TI . . . . . . . . . . . . . . . . . 37, 60 FTP_TRP.1/NK.Admin. . . . . . . . . . . . . . . . . .45, 66 82