PREMIER MINISTRE
Secrétariat général de la défense nationale
Direction centrale de la sécurité des systèmes d'information
Rapport de certification 2004/26 bis
Micro-circuit ST19XL34P
Paris, le 20 août 2004
Le Directeur central de la sécurité des
systèmes d’information
Henri Serres
[ORIGINAL SIGNE]
Rapport de certification 2004/26 bis Micro-circuit ST19XL34P
Page 2 sur 24
Avertissement
Ce rapport est destiné à fournir aux commanditaires un document leur permettant d'attester du
niveau de sécurité offert par le produit dans les conditions d'utilisation ou d'exploitation
définies dans ce rapport pour la version qui a été évaluée. Il est destiné également à fournir à
l'acquéreur potentiel du produit les conditions dans lesquelles il pourra exploiter ou utiliser le
produit de manière à se trouver dans les conditions d'utilisation pour lesquelles le produit a été
évalué et certifié ; c'est pourquoi ce rapport de certification doit être lu conjointement aux
guides d’utilisation et d’administration évalués ainsi qu’à la cible de sécurité du produit qui
décrit les menaces, les hypothèses sur l'environnement et les conditions d'emploi
présupposées afin que l'utilisateur puisse juger de l'adéquation du produit à son besoin en
termes d'objectifs de sécurité.
Toutefois, la certification ne constitue pas en soi une recommandation du produit par le centre
de certification, et ne garantit pas que le produit certifié soit totalement exempt de
vulnérabilités exploitables.
Micro-circuit ST19XL34P Rapport de certification 2004/26 bis
Page 3 sur 24
Table des matières
1. LE PRODUIT EVALUE.............................................................................................................. 6
1.1. REMARQUES PRELIMINAIRE ................................................................................................... 6
1.2. CONTEXTE.............................................................................................................................. 6
1.3. IDENTIFICATION DU PRODUIT................................................................................................. 6
1.4. LE DEVELOPPEUR................................................................................................................... 6
1.5. DESCRIPTION DU PRODUIT EVALUE ....................................................................................... 7
1.6. UTILISATION ET ADMINISTRATION......................................................................................... 7
2. L’EVALUATION ......................................................................................................................... 8
2.1. CENTRE D'EVALUATION ......................................................................................................... 8
2.2. COMMANDITAIRE................................................................................................................... 8
2.3. REFERENTIELS D’EVALUATION.............................................................................................. 8
2.4. EVALUATION DE LA CIBLE DE SECURITE................................................................................ 8
2.5. EVALUATION DU PRODUIT ..................................................................................................... 8
2.5.1. Développement du produit ............................................................................................ 9
2.5.2. Documentation .............................................................................................................. 9
2.5.3. Livraison et installation ................................................................................................ 9
2.5.4. L’environnement de développement.............................................................................. 9
2.5.5. Tests fonctionnels.......................................................................................................... 9
2.5.6. Estimation des vulnérabilités ........................................................................................ 9
3. CONCLUSIONS DE L'EVALUATION................................................................................... 10
3.1. RAPPORT TECHNIQUE D’EVALUATION ................................................................................. 10
3.2. NIVEAU D'EVALUATION ....................................................................................................... 10
3.3. EXIGENCES FONCTIONNELLES ............................................................................................. 11
3.4. RESISTANCE DES FONCTIONS ............................................................................................... 12
3.5. ANALYSE DES MECANISMES CRYPTOGRAPHIQUES .............................................................. 12
3.6. CONFORMITE A UN PROFIL DE PROTECTION......................................................................... 12
3.7. RECONNAISSANCE EUROPEENNE (SOG-IS)......................................................................... 12
3.8. RECONNAISSANCE INTERNATIONALE (CC RA)................................................................... 12
3.9. RESTRICTIONS D'USAGE ....................................................................................................... 13
3.10. OBJECTIFS DE SECURITE SUR L’ENVIRONNEMENT ............................................................... 13
3.11. SYNTHESE DES RESULTATS .................................................................................................. 13
ANNEXE 1. RAPPORT DE VISITE DU SITE DE SMIC............................................................. 14
ANNEXE 2. ANALYSE DES MECANISMES CRYPTOGRAPHIQUES................................... 15
ANNEXE 3. EXIGENCES FONCTIONNELLES DE SECURITE DU PRODUIT EVALUE .. 16
ANNEXE 4. NIVEAUX D'ASSURANCE PREDEFINIS IS 15408 OU CC ................................. 19
ANNEXE 5. REFERENCES DOCUMENTAIRES DU PRODUIT EVALUE ............................ 20
ANNEXE 6. REFERENCES LIEES A LA CERTIFICATION .................................................... 23
Rapport de certification 2004/26 bis Micro-circuit ST19XL34P
Page 4 sur 24
Préface
La certification
La certification de la sécurité offerte par les produits et les systèmes des technologies de
l'information est régie par le décret 2002-535 du 18 avril 2002, publié au Journal officiel de la
République française. Ce décret indique que :
• La direction centrale de la sécurité des systèmes d’information élabore les rapports
de certification. Ces rapports précisent les caractéristiques des objectifs de sécurité
proposés. Ils peuvent comporter tout avertissement que ses rédacteurs estiment utile de
mentionner pour des raisons de sécurité. Ils sont, au choix des commanditaires,
communiqués ou non à des tiers ou rendus publics (article 7).
• Les certificats délivrés par le Premier ministre attestent que l'exemplaire des produits
ou systèmes soumis à évaluation répond aux caractéristiques de sécurité spécifiées. Ils
attestent également que les évaluations ont été conduites conformément aux règles et
normes en vigueur, avec la compétence et l'impartialité requises (article 8).
Les procédures de certification selon les ITSEC et les Critères Communs sont publiques et
disponibles en français sur le site Internet :
www.ssi.gouv.fr
Accords de reconnaissance des certificats
L’accord de reconnaissance européen du SOG-IS de 1999 permet la reconnaissance entre les
Etats signataires de l’accord1
, des certificats délivrés par leur autorité de certification. La
reconnaissance mutuelle européenne s’applique jusqu’au niveau ITSEC E6 et CC EAL7. Les
certificats reconnus dans le cadre de cet accord sont émis avec la marque suivante :
La direction centrale de la sécurité des systèmes d'information passe aussi des accords de
reconnaissance avec des organismes étrangers homologues ayant leur siège en dehors des
Etats membres de l’Union européenne. Ces accords peuvent prévoir que les certificats
délivrés par la France sont reconnus par les Etats signataires. Ils peuvent prévoir aussi que les
certificats délivrés par chaque partie sont reconnus par toutes les parties. (article 9 du décret
2002-535)
Ainsi, l'accord Common Criteria Recognition Arrangement permet la reconnaissance, par les
pays signataires2
, des certificats Critères Communs. La reconnaissance mutuelle s’applique
1
En avril 1999, les pays signataires de l’accord SOG-IS sont : le Royaume-Uni, l’Allemagne, la France,
l’Espagne, l’Italie, la Suisse, les Pays-Bas, la Finlande, la Norvège, la Suède et le Portugal.
2
En novembre 2003, les pays émetteurs de certificats signataires de l’accord sont : la France, l'Allemagne, le
Royaume-Uni, les Etats-Unis, le Canada, l'Australie, la Nouvelle-Zélande et le Japon ; les pays signataires de
l'accord qui n'émettent pas de certificats sont : l’Autriche, l’Espagne, la Finlande, la Grèce, la Hongrie, Israël,
l’Italie, la Norvège, les Pays-Bas, la Suède et la Turquie.
Micro-circuit ST19XL34P Rapport de certification 2004/26 bis
Page 5 sur 24
jusqu’aux composants d’assurance du niveau CC EAL4 ainsi qu’à la famille ALC_FLR. Les
certificats reconnus dans le cadre de cet accord sont émis avec la marque suivante :
Rapport de certification 2004/26 bis Micro-circuit ST19XL34P
Page 6 sur 24
1. Le produit évalué
1.1. Remarques préliminaires
Ce rapport de certification « 2004/26 bis » est similaire au rapport « 2004/26 ». Il intègre
cependant la référence de la cible de sécurité qui permet la reconnaissance internationale (cf.
[CC RA]). La préface a également été mise à jour en conséquence et les paragraphes §3.7,
§3.8 ont été ajoutés.
1.2. Contexte
Ce certificat porte sur une mise à jour du micro-circuit ST19XL34 en version O certifié sous
la référence 2003/26 (cf. [2003/26]), lui-même étant une mise à jour du micro-circuit
ST19XL34 en version L, initialement certifié sous la référence 2002/20 (cf. [2002/20]).
Sur la base des informations fournies par le développeur [SIA_DEV], l’évaluateur a estimé
l’impact des évolutions sur la sécurité du micro-circuit ST19XL34 en révision P et a mené les
travaux d’évaluation requis. Les résultats de cette analyse sont disponibles dans le rapport
technique d’évaluation [RTE].
1.3. Identification du produit
Le produit évalué est le micro-circuit ST19XL34 en version P (logiciel dédié WSF, maskset
K590PPA). Le micro-circuit inclut une partie logicielle en ROM intégrant des logiciels de test
du micro-circuit («autotest») et des librairies (gestion du système, services cryptographiques).
1.4. Le développeur
Plusieurs acteurs interviennent dans la conception et fabrication du micro-circuit :
Le produit est développé en partie, intégré (préparation de la base de données du masque) et
testé par :
STMicroelectronics
Smartcard IC division
ZI de Rousset, BP2
13106 ROUSSET CEDEX
FRANCE
Une partie du développement du produit est réalisée par :
STMicroelectronics
28 Ang Mo Kio - Industrial park 2
SINGAPORE 569508
SINGAPOUR.
Micro-circuit ST19XL34P Rapport de certification 2004/26 bis
Page 7 sur 24
Les réticules du produit et le produit lui-même sont fabriqués par :
SMIC
18 Zhangjiang Road, PuDong New Area,
Shanghai Zip : 201203
China
1.5. Description du produit évalué
En terme de description technique, les fonctionnalités de sécurité du produit sont identiques à
celles de la version L et de la version O. Seule une étape du développement a changé dans le
cycle de vie puisque la fabrication des réticules et la fabrication du produit lui-même sont
sous-traitées à la société SMIC en Chine.
Le périmètre d’évaluation est également identique à celui des versions précédentes (cf.
[2002/20]).
1.6. Utilisation et administration
Les modes d’administration et d’utilisation du produit sont identiques à ceux des versions
précédentes (cf. [2002/20]).
Rapport de certification 2004/26 bis Micro-circuit ST19XL34P
Page 8 sur 24
2. L’évaluation
2.1. Centre d'évaluation
SERMA Technologies
30 avenue Gustave Eiffel
33608 Pessac
France
Téléphone : +33 (0)5 57 26 08 64
Adresse électronique : m.dus@serma.com
2.2. Commanditaire
STMicroelectronics
Smartcard IC division
ZI de Rousset, BP2
13106 ROUSSET CEDEX
FRANCE
2.3. Référentiels d’évaluation
L’évaluation a été menée conformément aux Critères Communs [CC], à la méthodologie
d’évaluation définie dans le manuel CEM [CEM], et à l’ensemble des interprétations finales
listées dans les rapports d’évaluation.
2.4. Evaluation de la cible de sécurité
La cible de sécurité [ST] définit le produit évalué et son environnement d’exploitation.
Toutes les exigences fonctionnelles et d’assurance de la cible de sécurité sont extraites
respectivement de la partie 2 et de la partie 3 des Critères Communs [CC].
La cible de sécurité répond aux exigences de la classe ASE.
2.5. Evaluation du produit
L’évaluation consiste à vérifier que le produit et sa documentation respectent les exigences
fonctionnelles et d’assurance définies dans la cible de sécurité [ST]. Dans le cadre d’une ré-
évaluation, les travaux consistent à analyser l’impact des évolutions du produit.
A l’issue de cette analyse d’impact, le centre d’évaluation peut réaliser à nouveau certaines
tâches d’évaluation relatives aux composants d’assurance pour lesquels les changements ont
un impact majeur sur la sécurité.
Micro-circuit ST19XL34P Rapport de certification 2004/26 bis
Page 9 sur 24
2.5.1. Développement du produit
L’analyse de l’impact des évolutions sur la sécurité du micro-circuit ST19XL34P (cf. [RTE])
a permis de conclure qu’il n’y avait pas nécessité de réaliser de travaux pour la classe
d’assurance ADV.
2.5.2. Documentation
L’analyse de l’impact des évolutions sur la sécurité du micro-circuit ST19XL34P (cf. [RTE])
a permis de conclure qu’il n’y avait pas nécessité de réaliser de travaux pour la classe
d’assurance AGD.
2.5.3. Livraison et installation
Concernant la classe ADO, une étape du développement a changé dans le cycle de vie : les
réticules et le produit lui-même sont désormais fabriqués par la société SMIC en Chine.
Les procédures de livraison avec ce sous-traitant ont donc fait l’objet d’une évaluation et
d’une visite sur site pour vérifier l’application des procédures (cf. Annexe 1).
2.5.4. L’environnement de développement
Concernant la classe ALC, une étape du développement a changé dans le cycle de vie : les
réticules et le produit lui-même sont désormais fabriqués par la société SMIC en Chine. De
même, la liste de configuration du produit [LGC] a changé. En conséquence, la
documentation sécuritaire du fabriquant « SMIC » en Chine a fait l’objet d’une évaluation, et
une visite sur site a été réalisée afin de vérifier l’application des procédures (cf. Annexe 1).
Les tâches relatives à la classe ACM ont été partiellement réalisées pour vérifier la mise à jour
de la liste de configuration [LGC].
2.5.5. Tests fonctionnels
L’analyse de l’impact des évolutions sur la sécurité du micro-circuit ST19XL34P (cf. [RTE])
a permis de conclure qu’il n’y avait pas nécessité de réaliser de travaux pour la classe
d’assurance ATE.
2.5.6. Estimation des vulnérabilités
L’analyse de l’impact des évolutions sur la sécurité du micro-circuit ST19XL34P (cf. [RTE]),
ainsi que l’analyse de vulnérabilité menée lors de l’évaluation de produits similaires (cf.
[2004/09]) ont permis de conclure qu’il n’y avait pas nécessité de réaliser de travaux
spécifiques pour la classe d’assurance AVA.
Le produit dans son environnement d’exploitation est résistant à des attaquants disposant d’un
potentiel d’attaque élevé.
Rapport de certification 2004/26 bis Micro-circuit ST19XL34P
Page 10 sur 24
3. Conclusions de l'évaluation
3.1. Rapport technique d’évaluation
Le rapport technique de l’évaluation initiale [RTE_OLD] et le rapport technique de cette
évaluation [RTE] décrivent les résultats de l’évaluation du micro-circuit ST19XL34 en
version P.
3.2. Niveau d'évaluation
Le micro-circuit ST19XL34P a été évalué selon les Critères Communs [CC] et sa
méthodologie [CEM] au niveau EAL41
augmenté des composants d'assurance suivants,
conformes à la partie 3 des Critères Communs :
Composants Descriptions
ADV_IMP.2 Implementation of the TSF
ADV_FSP.3 Semiformal functional specification
ALC_DVS.2 Sufficiency of security measures
AVA_VLA.4 Highly resistant
AVA_CCA.1 Covert Channel Analysis
Tableau 1 - Augmentations
Pour tous les composants, les verdicts suivants ont été émis :
Class ASE Security Target evaluation
ASE_DES.1 TOE description [2002/20]
ASE_ENV.1 Security environment [2002/20]
ASE_INT.1 ST introduction [2002/20]
ASE_OBJ.1 Security objectives [2002/20]
ASE_PPC.1 PP claims [2002/20]
ASE_REQ.1 IT security requirements [2002/20]
ASE_SRE.1 Explicitly stated IT security
requirements
[2002/20]
ASE_TSS.1 Security Target, TOE summary
specification
[2002/20]
Class ACM Configuration management
ACM_AUT.1 Partial CM automation [2002/20]
ACM_CAP.4 Generation support and acceptance
procedures
Réussite
ACM_SCP.2 Problem tracking CM coverage [2002/20]
Class ADO Delivery and operation
1
Annexe 4 : tableau des différents niveaux d’assurance d’évaluation (EAL – Evaluation Assurance Level)
prédéfinis dans les Critères Communs [CC].
Micro-circuit ST19XL34P Rapport de certification 2004/26 bis
Page 11 sur 24
ADO_DEL.2 Detection of modification Réussite
ADO_IGS.1 Installation, generation, and start-up
procedures
[2002/20]
Class ADV Development
ADV_FSP.3 Semiformal functional specification [2002/20]
ADV_HLD.2 Security enforcing high-level design [2002/20]
ADV_IMP.2 Implementation of the TSF [2002/20]
ADV_LLD.1 Descriptive low-level design [2002/20]
ADV_RCR.1 Informal correspondence demonstration [2002/20]
ADV_SPM.1 Informal TOE security policy model [2002/20]
Class AGD Guidance
AGD_ADM.1 Administrator guidance [2002/20]
AGD_USR.1 User guidance [2002/20]
Class ALC Life cycle support
ALC_DVS.2 Sufficiency of security measures Réussite
ALC_LCD.1 Developer defined life-cycle model Réussite
ALC_TAT.1 Well-defined development tools [2002/20]
Class ATE Tests
ATE_COV.2 Analysis of coverage [2002/20]
ATE_DPT.1 Testing: high-level design [2002/20]
ATE_FUN.1 Functional testing [2002/20]
ATE_IND.2 Independent testing - sample [2002/20]
Class AVA Vulnerability assessment
AVA_CCA.1 Covert Channel Analysis [2002/20]
AVA_MSU.2 Validation of analysis [2002/20]
AVA_SOF.1 Strength of TOE security function
evaluation
[2002/20]
AVA_VLA.4 Highly resistant Réussite
Tableau 2 - Composants et verdicts associés
3.3. Exigences fonctionnelles
Le produit répond aux exigences fonctionnelles de sécurité suivantes1
. Les opérations sur
ces exigences sont décrites dans la cible de sécurité [ST].
Potential violation analysis (FAU_SAA.1)
Cryptographic Key Generation (FCS_CKM.1)
Cryptographic operation (FCS_COP.1)
Complete access control (FDP_ACC.2)
Security attributes based access control (FDP_ACF.1)
Subset information flow control (FDP_IFC.1)
Simple security attributes (FDP_IFF.1)
1
Annexe 3 : tableau des exigences fonctionnelles de sécurité du produit évalué.
Rapport de certification 2004/26 bis Micro-circuit ST19XL34P
Page 12 sur 24
Partial elimination of illicit information flows (FDP_IFF.4)
Basic internal transfer protection (FDP_ITT.1)
Subset residual information protection (FDP_RIP.1)
Stored data integrity monitoring and action (FDP_SDI.1)
Stored data integrity monitoring and action (FDP_SDI.2)
User attribute definition (FIA_ATD.1)
TSF Generation of secrets (FIA_SOS.2)
User authentication before any action (FIA_UAU.2)
User Identification before any action (FIA_UID.2)
Management of security functions behaviour (FMT_MOF.1)
Management of security attributes (FMT_MSA.1)
Static attribute initialisation (FMT_MSA.3)
Security management roles (FMT_SMR.1)
Unobservability (FPR_UNO.1)
Notification of physical attack (FPT_PHP.2)
Resistance to physical attack (FPT_PHP.3)
TOE Security Functions testing (FPT_TST.1)
3.4. Résistance des fonctions
L’analyse de l’impact des évolutions sur la sécurité du ST19XL34P (cf. [RTE]) a permis de
conclure qu’il n’y avait pas nécessité de réaliser de travaux de mise à jour pour la famille
d’assurance SOF. Dans le cadre de la précédente évaluation, la fonction suivante avait fait
l’objet d’une estimation du niveau de résistance :
authentification de l’administrateur en mode « test » et « issuer »,
Le niveau de résistance de la fonction de sécurité était jugé élevé (SOF-High).
3.5. Analyse des mécanismes cryptographiques
Aucun mécanisme cryptographique n’a été coté dans le cadre de l’évaluation.
3.6. Conformité à un profil de protection
Le produit répond aux exigences de sécurité du profil de protection PP/9806 [PP/9806].
3.7. Reconnaissance européenne (SOG-IS)
Ce certificat a été émis dans les conditions de l’accord du SOG-IS [SOG-IS].
3.8. Reconnaissance internationale (CC RA)
Ce certificat a été émis dans les conditions de l’accord du CC RA [CC RA]. Toutefois, les
augmentations suivantes n’entrent pas dans le cadre de l’accord : ADV_IMP.2, ADV_FSP.3,
ALC_DVS.2, AVA_VLA.4, AVA_CCA.1 et AVA_MSU.3 (Tableau 1).
Micro-circuit ST19XL34P Rapport de certification 2004/26 bis
Page 13 sur 24
3.9. Restrictions d'usage
L’environnement d’exploitation doit respecter les objectifs de sécurité sur l’environnement
(§ 3.10) ainsi que les recommandations se trouvant dans les guides utilisateur et
administrateur [USR].
Les résultats de l’évaluation ne sont valables que dans la configuration spécifiée dans le
présent rapport de certification.
3.10. Objectifs de sécurité sur l’environnement
Les objectifs de sécurité suivants sont extraits de la cible de sécurité du produit [ST § 4.2] :
Objectifs de sécurité sur l’environnement concernant le système en phase d’utilisation
Ces objectifs de sécurité concernent le système dans lequel sera utilisé le micro-circuit avec
son application embarquée (extraits de la cible de sécurité [ST § 4.2.6]) :
la communication entre un produit développé sur le micro-circuit sécurisé et
d’autre produit doit être sécurisée (en terme de protocole et de procédure),
le système (terminal, communication,…) doit garantir la confidentialité et
l’intégrité des données sensibles qu’il stocke ou qu’il traite.
3.11. Synthèse des résultats
L'ensemble des travaux réalisés par le centre d'évaluation est accepté par le centre de
certification qui atteste que le micro-circuit ST19XL34P identifié au paragraphe 1.3 et décrit
au paragraphe 1.5 du présent rapport est conforme aux exigences spécifiées dans la cible de
sécurité [ST]. L'ensemble des travaux d'évaluation et les résultats de ces travaux sont décrits
dans le rapport technique de l'évaluation initial [RTE_OLD] ainsi que dans le rapport
technique de cette ré-évaluation [RTE].
Rapport de certification 2004/26 bis Micro-circuit ST19XL34P
Page 14 sur 24
Annexe 1. Rapport de visite du site de SMIC
Le site de développement de la société SMIC situé à l’adresse : 18 Zhangjiang Road, PuDong
New Area, Shanghai 201203, en Chine, a fait l'objet, dans le cadre de l'évaluation du micro-
circuit ST19XL34P, d'une visite sur site pour vérifier la conformité aux critères d'évaluation
et aux documents fournis pour ce qui concerne :
la livraison : ADO (ADO_DEL.2) ;
le support au cycle de vie : ALC (ALC_DVS.2).
La visite par le centre d'évaluation a permis de conclure que les critères sont satisfaits sur ce
site. Le rapport de la visite est disponible sous la référence [Visite].
Micro-circuit ST19XL34P Rapport de certification 2004/26 bis
Page 15 sur 24
Annexe 2. Analyse des mécanismes cryptographiques
Aucun mécanisme cryptographique spécifique n’a été analysé dans le cadre de l’évaluation de
ce produit.
Rapport de certification 2004/26 bis Micro-circuit ST19XL34P
Page 16 sur 24
Annexe 3. Exigences fonctionnelles de sécurité du produit
évalué
Attention : les descriptions des composants fonctionnels suivants sont données à titre
indicatif. Seule une lecture attentive de la cible de sécurité ([ST]) peut apporter la description
exacte des exigences fonctionnelles du produit.
Class FAU Security audit
Security audit analysis
FAU_SAA.1 Potential violation analysis
Le produit doit implémenter un seuil de détection élémentaire, défini selon une
règle fixée (spécifiée dans la cible de sécurité [ST]).
Class FCS Cryptographic support
Cryptographic key management
FCS_CKM.1 Cryptographic key generation
Le produit doit générer des clés cryptographiques conformément à un algorithme et
des tailles de clés spécifiées qui peuvent être basées sur une norme identifiée. Les
paramètres de cette exigence sont spécifiés dans la cible de sécurité [ST].
Cryptographic operation
FCS_COP.1 Cryptographic operation
Le produit doit exécuter des opérations cryptographiques conformément à un
algorithme spécifié et des clés cryptographiques dont les tailles peuvent prendre
plusieurs valeurs spécifiées. L’algorithme et les tailles des clés cryptographiques
spécifiés peuvent être basés sur une norme identifiée (spécifiés dans la cible de
sécurité [ST]).
Class FDP User data protection
Access control policy
FDP_ACC.2 Complete access control
Chaque règle de contrôle d’accès identifiée doit s’appliquer à toutes les opérations
sur les sujets et objets couverts par cette règle. De plus tous les objets et toutes les
opérations doivent être couverts par au moins une règle de contrôle d’accès
identifiée.
Access control functions
FDP_ACF.1 Security attribute based access control
Le produit doit mettre en œuvre des accès basés sur des attributs de sécurité et des
groupes d’attributs désignés. Il peut aussi offrir l’aptitude d’autoriser ou de refuser
explicitement l’accès à un objet sur la base d’attributs de sécurité.
Information flow control policy
FDP_IFC.1 Subset information flow control
Le produit doit appliquer les politiques de sécurité de contrôle de flux
d’information, lesquelles sont spécifiées dans la cible de sécurité [ST] pour un
sous-ensemble des opérations possibles sur un sous-ensemble des flux
d’informations.
Information flow control functions
FDP_IFF.1 Simple security attributes
Ce composant impose des attributs de sécurité aux informations, aux sujets qui
déclenchent le transfert de ces informations ainsi qu’aux sujets qui reçoivent ces
informations. Ce composant spécifie les règles qui doivent être appliquées par la
Micro-circuit ST19XL34P Rapport de certification 2004/26 bis
Page 17 sur 24
fonction et décrit comment les attributs de sécurité sont choisis par la fonction.
FDP_IFF.4 Partial elimination of illicit information flows
Le produit doit couvrir l’élimination de certains flux d’information illicites (mais
pas nécessairement de tous).
Internal TOE transfer
FDP_ITT.1 Basic internal transfer protection
Les données de l’utilisateur doivent être protégées lorsqu’elles sont transmises
entre différentes parties du produit.
Residual information protection
FDP_RIP.1 Subset residual information protection
Le produit doit garantir que toutes les informations résiduelles contenues dans
n’importe quelle ressource ne sont pas disponibles pour un sous-ensemble défini
des objets lors de l’allocation ou de la désallocation de la ressource.
Stored data integrity
FDP_SDI.1 Stored data integrity monitoring
Le produit doit contrôler les données des utilisateurs stockées pour rechercher des
erreurs d’intégrité identifiées.
FDP_SDI.2 Stored data integrity monitoring and action
Le produit doit contrôler les données des utilisateurs stockées pour rechercher des
erreurs d’intégrité identifiées et entreprendre des actions (spécifiées dans la cible de
sécurité [ST]) suite à une détection d’erreur.
Class FIA Identification and authentication
User attribute definition
FIA_ATD.1 User attribute definition
Les attributs de sécurité spécifiés dans la cible de sécurité [ST] doivent être
maintenus individuellement pour chaque utilisateur.
Specification of secrets
FIA_SOS.2 TSF Generation of secrets
Le produit doit être capable de générer des secrets qui répondent à des métriques de
qualité définies.
User authentication
FIA_UAU.2 User authentication before any action
Les utilisateurs doivent s’authentifier avant que toute action ne soit autorisée.
User identification
FIA_UID.2 User identification before any action
Les utilisateurs doivent s’identifier avant que toute action ne soit autorisée.
Class FMT Security management
Management of functions in TSF
FMT_MOF.1 Management of security functions behaviour
Le produit doit limiter la capacité à gérer le comportement des fonctions de sécurité
du produit à des utilisateurs autorisés (spécifiés dans la cible de sécurité [ST]).
Management of security attributes
FMT_MSA.1 Management of security attributes
Les utilisateurs autorisés doivent pouvoir gérer les attributs de sécurité spécifiés.
FMT_MSA.3 Static attribute initialisation
Le produit doit garantir que les valeurs par défaut des attributs de sécurité sont soit
de nature permissive soit de nature restrictive.
Security management roles
FMT_SMR.1 Security roles
Les rôles relatifs à la sécurité que le produit reconnaît doivent être identifiés et
associés à des utilisateurs (spécifiés dans la cible de sécurité [ST]).
Rapport de certification 2004/26 bis Micro-circuit ST19XL34P
Page 18 sur 24
Class FPR Privacy
Unobservability
FPR_UNO.1 Unobservability
Le produit n’autorise pas certains utilisateurs (spécifiés dans la cible de sécurité
[ST]) à déterminer si certaines opérations (spécifiées dans la cible de sécurité [ST])
sont en cours d’exécution.
Class FPT Protection of the TSF
TSF physical protection
FPT_PHP.2 Notification of physical attack
Le produit doit notifier automatiquement l’intrusion physique sur certaines parties
du produit (spécifiées dans la cible de sécurité [ST]).
FPT_PHP.3 Resistance to physical attack
Le produit doit empêcher ou résister à certaines intrusions physiques (spécifiées
dans la cible de sécurité [ST]) sur certaines parties du produit (spécifiées dans la
cible de sécurité [ST]).
TSF self test
FPT_TST.1 TSF testing
Le produit doit effectuer des tests permettant de s’assurer de son fonctionnement
correct. Ces tests peuvent être effectués au démarrage, de façon périodique, à la
demande d’un utilisateur autorisé ou quand d’autres conditions sont remplies. Le
produit doit aussi permettre aux utilisateurs autorisés de contrôler l’intégrité de
données du produit et du code exécutable.
Micro-circuit ST19XL34P Rapport de certification 2004/26 bis
Page 19 sur 24
Annexe 4. Niveaux d'assurance prédéfinis
IS 15408 ou CC
Composants par niveau d’assurance
Classe Famille
EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7
ACM_AUT 1 1 2 2
ACM_CAP 1 2 3 4 4 5 5
Classe ACM
Gestion de configuration
ACM_SCP 1 2 3 3 3
ADO_DEL 1 1 2 2 2 3
Classe ADO
Livraison et opération ADO_IGS 1 1 1 1 1 1 1
ADV_FSP 1 1 1 2 3 3 4
ADV_HLD 1 2 2 3 4 5
ADV_IMP 1 2 3 3
ADV_INT 1 2 3
ADV_LLD 1 1 2 2
ADV_RCR 1 1 1 1 2 2 3
Classe ADV
Développement
ADV_SPM 1 3 3 3
AGD_ADM 1 1 1 1 1 1 1
Classe AGD
Guides d’utilisation AGD_USR 1 1 1 1 1 1 1
ALC_DVS 1 1 1 2 2
ALC_FLR
ALC_LCD 1 2 2 3
Classe ALC
Support au cycle de vie
ALC_TAT 1 2 3 3
ATE_COV 1 2 2 2 3 3
ATE_DPT 1 1 2 2 3
ATE_FUN 1 1 1 1 2 2
Classe ATE
Tests
ATE_IND 1 2 2 2 2 2 3
AVA_CCA 1 2 2
AVA_MSU 1 2 2 3 3
AVA_SOF 1 1 1 1 1 1
Classe AVA
Estimation des
vulnérabilités
AVA_VLA 1 1 2 3 4 4
Rapport de certification 2004/26 bis Micro-circuit ST19XL34P
Page 20 sur 24
Annexe 5. Références documentaires du produit évalué
[2002/20] Rapport de certification 2002/20 - Plate-forme ST19X
Micro-circuit ST19XL34 V2,
Août 2002
SGDN/DCSSI
[2003/26] Rapport de certification 2003/26 - Micro-circuit ST19XL34O,
Janvier 2004
SGDN/DCSSI
[2004/09] Rapport de certification 2004/09 - Micro-circuit ST19XR08B,
Mai 2004
SGDN/DCSSI
[Visite] Voir l’annexe A.3 du [RTE]
[DEL] LIVRAISON DE PRODUITS SMARTCARD A UN CLIENT ET
RECEPTION DES RETOURS CLIENTS
Référence : 7147367, revision B
STMicroelectronics
[LGC] Configuration List – ST19XL34P Product,
Référence : PEN_GRENAT_CFGL_04_001 v1.0
STMicroelectronics
[PP/9806] Common Criteria for Information Technology Security Evaluation -
Protection Profile : Smart Card Integrated Circuit Version 2.0, Issue
September 1998.
Certifié par le centre de certification français sous la référence 9806.
Document publié sur le site : www.ssi.gouv.fr
[RTE] Evaluation Technical Report - ST19XL34P - (EAL4+ evaluation),
Référence : GRENAT_XL34P_ETR v1.0
Serma Technologies
Pour le besoin des évaluations en composition, une version diffusable du
document a été validée :
ETR-lite for composition - ST19XL34P - (EAL4+ evaluation),
Référence : GRENAT_XL34P_ETR_lite v1.0
Serma Technologies
[RTE_OLD] Evaluation Technical Report GRENAT
Référence : GRENAT_ETR, version 1.0, juin 2002
Serma Technologies
Pour le besoin des évaluations en composition, une version diffusable du
document avait été validée :
ST19XL34 : ETR lite for composition
Micro-circuit ST19XL34P Rapport de certification 2004/26 bis
Page 21 sur 24
Référence : GRENAT_XL34_ETR_lite v1.1, April 2003
Serma Technologies
[SIA DEV] Impact Analysis for ST19XL34P, v1.0,
Référence : SMD_GRENAT_SIA_04_001_V1.0
STMicroelectronics
[ST]
ST19X GENERIC SECURITY TARGET,
Référence : STM_ST_ST19X0104_003 v1.3
STMicroelectronics
ST19XL34V2 - Security Target Lite,
Référence : FNT_GRENAT_ST_02_002 v1.2
STMicroelectronics
Pour les besoins de la reconnaissance internationale, le cible suivante a
été fournie et validée dans le cadre de cette évaluation :
ST19XL34 Security Target,
Référence : SMD_ST19XL34_ST_04_001_V1.00
STMicroelectronics
[USR] Les guides d’utilisation du produit sont constitués des documents
suivants :
ST19XL34V2 data sheet,
Référence : DS_19XL34V2/0209 v1.1
STMicroelectronics
Manual for System ROM (Issuer configuration)
Référence : UM_19XV2_SR_I/0204V1
STMicroelectronics
Addendum to Manual for System ROM
Référence : AD_UM_19W_SR_I/0308V1.1
STMicroelectronics
ST19X – 19W – System library User Manual
Référence : UM_19X_19W_SYSLIB/0304 v2.0
STMicroelectronics
ST19X E-DES Library – Enhanced DES Library User
Manual
Référence : UM_19XV2_EDESLIB/0203 v1.1
STMicroelectronics
Crypto LIB4 V2 – User Manual
Référence : UM_19X_LIB4V2/0301 v1.1
STMicroelectronics
Manuals of security recommendations v1.7
Référence : APM_19X-19W_SECU/0312V1.7
STMicroelectronics
Technical Note (E-DES)
Référence : TN 19X 19W EDES/0307V1
Rapport de certification 2004/26 bis Micro-circuit ST19XL34P
Page 22 sur 24
STMicroelectronics
ST19X programming manual,
Référence : PM_19X-19W/0210V2
STMicroelectronics
Micro-circuit ST19XL34P Rapport de certification 2004/26 bis
Page 23 sur 24
Annexe 6. Références liées à la certification
Décret 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité
offerte par les produits et les systèmes des technologies de l'information.
[CC] Critères Communs pour l’évaluation de la sécurité des technologies de
l’information:
Part 1: Introduction and general model,
august 1999, version 2.1, ref CCIMB-99-031 ;
Part 2: Security functional requirements,
august 1999, version 2.1, ref CCIMB-99-032 ;
Part 3: Security assurance requirements,
august 1999, version 2.1, réf: CCIMB-99-033.
[CEM] Méthodologie d’évaluation de la sécurité des technologies de
l’information:
Part 2: Evaluation Methodology,
august 1999, version 1.0, ref CEM- 99/045.
[IS 15408] Norme Internationale ISO/IEC 15408:1999, comportant 3 documents :
ISO/IEC 15408-1: Part 1 Introduction and general model ;
ISO/IEC 15408–2: Part 2 Security functional requirements ;
ISO/IEC 15408–3: Part 3 Security assurance requirements ;
[CC RA] Arrangement on the Recognition of Common criteria certificates in the
field of information Technology Security, may 2000.
[SOG-IS] «Mutual Recognition Agreement of Information Technology Security
Evaluation Certificates», version 2.0, April 1999, Management Committee
of Agreement Group.
Rapport de certification 2004/26 bis Micro-circuit ST19XL34P
Page 24 sur 24
Toute correspondance relative à ce rapport doit être adressée au :
Secrétariat Général de la Défense Nationale
Direction Centrale de la Sécurité des Systèmes d'Information
Bureau certification
51, boulevard de la Tour Maubourg
75700 PARIS cedex 07 SP
certification.dcssi@sgdn.pm.gouv.fr
La reproduction de ce document sans altérations ni coupures est autorisée.