Commission Interministérielle pour la Sécurité des Systèmes d Information PROFIL DE PROTECTION OUTILS DE SECURISATION DES MESSAGES

Transcription

1 Commission Interministérielle pour la Sécurité des Systèmes d Information PROFIL DE PROTECTION OUTILS DE SECURISATION DES MESSAGES PP/9804 Version juin 1998

2 AVANT PROPOS Ce document est issu des réflexions du groupe ad-hoc Messagerie Sécurisée de la Commission Interministérielle pour la Sécurité des Systèmes d Information. Toute correspondance concernant ce profil de protection doit être adressée au Service Central de la Sécurité des Systèmes d Information : SCSSI Division CH/PP 18 rue du Doc Zamenhof Issy Les Moulineaux France

3 Sommaire Chapitre 1 Outils de sécurisation des messages Identification du profil de protection Présentation du profil de protection Chapitre 2 Description de la cible d évaluation Définition de la cible d évaluation Les services de la TOE Chapitre 3 Environnement de sécurité L environnement physique de la TOE Connexion de la TOE à son environnement Les acteurs Typologie des attaquants Les biens à protéger Les menaces Description de la politique de sécurité organisationnelle Les hypothèses d utilisation Chapitre 4 Objectifs de sécurité Objectifs de sécurité portant sur la cible d évaluation Objectifs de sécurité portant sur l environnement de la TOE Chapitre 5 Exigences de sécurité Exigences fonctionnelles de la cible d évaluation Liste des exigences fonctionnelles Exigences d assurance des TI de la cible d évaluation Chapitre 6 Notes d application Exploitation de la TOE Législation applicable en France Page i

4 Chapitre 7 Justification du profil de protection Menaces non couvertes par le profil de protection Justification des objectifs de sécurité Tableau croisé Justificatif des exigences de sécurité Dépendances des composantes fonctionnelles Dépendances des composantes d assurance Annexe A Abréviations et Glossaire A.1 Abréviations A.2 Glossaire Annexe B Bibliographie B.1 Document relatif aux messageries sécurisés B.2 Documents relatifs aux critères communs B.3 Documents relatifs à la réglementation française Page ii

5 Chapitre 1 Outils de sécurisation des messages 1.1 Identification du profil de protection 1 Titre : Profil de protection pour les outils de sécurisation des messages (PP_OSM). 2 Version : 1.5, du 6 juin Identifiant : PP/ Ce profil de protection est conforme à la version 2.0 Draft des Critères Communs. 5 La liste des abréviations ainsi qu un glossaire des termes utilisés dans ce profil de protection sont donnés en annexe A. 1.2 Présentation du profil de protection 6 L échange d informations par l intermédiaire de courrier électronique est un besoin majeur des utilisateurs des systèmes d information. 7 Lorsqu il s agit de documents sensibles ou classifiés de défense, le service de messagerie doit apporter des assurances supplémentaires à ses utilisateurs : l intégrité et la protection de la confidentialité des messages échangés et secrets cryptologiques. 8 La cible d évaluation décrite dans ce profil de protection est la ressource cryptologique installée sur un poste informatique destiné à sécuriser des messages. Cette cible d évaluation doit être une enceinte de confiance où sont conservés les secrets et où est effectué l ensemble des opérations cryptographiques nécessaires à la sécurisation des messages. 9 Ce profil de protection définit au sens des Critères Communs les exigences fonctionnelles et d assurance de la cible d évaluation qui sont nécessaires au traitement et aux échanges d informations classifiées de défense au niveau Confidentiel Défense. 10 Cependant, des exigences complémentaires peuvent s avérer nécessaires à la protection des informations classifiées de défense, en particulier lorsque la cible d évaluation est soumise à des menaces autres que celles prises en compte par ce profil de protection (cf. chapitre 3.6). Des exigences complémentaires peuvent aussi découler des choix de réalisation et d implémentation de la cible d évaluation, choix qui restent ouverts au niveau de ce PP. Page 1

6 11 Les exigences figurant dans ce PP sont indépendantes du degré de sécurité des réseaux de transport et indépendantes des protocoles d échanges de messages. 12 Les grandes lignes d une architecture de messagerie électronique pour l administration [Ad-hoc] sont rappelées dans la figure 1.1 ci-dessous. 13 La cible d évaluation décrite dans ce profil de protection est une sous partie de l architecture de messagerie qui est composée des entités décrites ci-dessous. a) Un poste utilisateur (PU) : il s agit d un micro-ordinateur connecté à un réseau. Un logiciel de messagerie (LM) est installé sur le poste. La sécurisation des messages par le logiciel de messagerie nécessite l emploi d une ressource cryptologique logicielle ou matérielle installée sur le PU. Cette ressource cryptologique est la cible d évaluation. b) Une infrastructure de gestion de clés (IGC) : l IGC se compose d un ensemble d organismes de confiance organisés le plus souvent en arborescence ou en réseau maillé. Les services offerts par ces tiers sont la certification et la distribution de clés, l horodatage et la notarisation des messages ainsi que la gestion des annuaires d abonnés au service de messagerie. Ces tiers utiliseront une TOE pour sécuriser les messages échangés. c) Des serveurs locaux de messagerie (SLM) : il s agit du bureau de poste pour un ensemble d utilisateurs. Le SLM a pour fonction l archivage, l envoi et la réception de messages entre les postes des utilisateurs et le réseau de serveurs de messagerie. Une passerelle de sécurite pourra renforcer la sécurité de l architecture de messagerie au moyen des services de sécurité d une TOE. d) Des serveurs de messagerie (SM) : un SM est optionnel dans l architecture. C est un routeur des messages entre les SLM qui lui sont attachés et le réseau étendu. Un SM peut éventuellement utiliser des services de sécurité d une TOE. Page 2

7 Réseau local Poste utilisateur (PU) Logiciel messagerie (LM) Ressource cryptologique Réseau local Serveur local de messagerie (SLM) et passerelle de sécurité Ressource cryptologique Serveur de messagerie (SM) Ressource cryptologique Serveur de messagerie (SM) et passerelle de sécurité Réseau étendu Infrastructures de gestion de clés (IGC) Ressource cryptologique Fig Diagramme d une architecture de messagerie. Page 3

8 Page 4

9 Chapitre 2 Description de la cible d évaluation 2.1 Définition de la cible d évaluation 14 La cible d évaluation (notée TOE dans la norme des Critères Communs - Target Of Evaluation -) est la ressource cryptologique nécessaire à la protection des messages par un logiciel de messagerie d un utilisateur ou par un serveur de l IGC. Cette ressource est par exemple un logiciel, une carte à puce, une carte PCcard, un boîtier externe (lecteur de carte à puce sécurisé, boîtier chiffrant). 2.2 Les services de la TOE 15 La TOE contribue à la sécurisation des messages échangés : - entre deux utilisateurs, - entre un utilisateur et l infrastructure de gestion de clés, - entre un utilisateur et un groupe d abonnés à l intérieur d un forum de discussion. 16 Cette section décrit la liste des services de sécurité qui doivent être offerts par la TOE : - identification de l utilisateur, - authentification des parties communicantes, - la génération de clés symétriques et asymétriques, - la génération de condensats, - la protection des clés conservées dans la TOE, - le chiffrement et le déchiffrement des messages et pièces jointes, - la vérification de l intégrité d un certificat de clé publique, - la génération et la vérification de la signature numérique des messages et pièces jointes. Page 5

10 Page 6

11 Chapitre 3 Environnement de sécurité 3.1 L environnement physique de la TOE 17 La TOE admet diverses représentations physiques (logiciel, cartes à puces, cartes internes ou externes PC, etc...). L accès physique à la TOE est un facteur qui doit être pris en compte dans la politique de sécurité qui définit les conditions d usage de la TOE. 3.2 Connexion de la TOE à son environnement 18 La TOE est reliée au poste utilisateur par un port série ou parallèle, ou par un bus PC d extension de périphérique. 19 L application de messagerie accède aux fonctions de sécurité de la TOE par l intermediaire d une interface conforme aux normes internationales (par exemple, IDUP-GSS-API ou MAPI). 3.3 Les acteurs Les utilisateurs 20 L utilisateur est défini comme une entité humaine extérieure à la TOE mais qui interagit avec la TOE par l intermédiaire d une application accessible par le poste informatique de l utilisateur. Par extension, l utilisateur peut être un processus informatique. 21 Pour ce profil de protection, l utilisateur est un individu autorisé par son autorité de sécurité à mettre en œuvre la TOE. Il obtient de l IGC les certificats de clés publiques et secrets nécessaires à son authentification et à la sécurisation des messages par la TOE L administrateur de sécurité 22 L administrateur de sécurité de la cible d évaluation est responsable de la mise en oeuvre de la politique de sécurité de la TOE. Il peut être confondu avec l administrateur de sécurité des systèmes d information incluant la TOE. On entend par autorité de sécurité l entité responsable de la définition et de l application d une politique de sécurité. Page 7

12 3.4 Typologie des attaquants 23 Les attaquants potentiels de la cible d évaluation sont : a) les utilisateurs autorisés mais pouvant commettre une erreur par inadvertance, b) les personnes ou machines qui disposent de moyens d investigation et d action sur la TOE elle-même et sur toutes les composantes de l architecture de messagerie (le poste utilisateur, les serveurs de messagerie, les tiers de l IGC et les réseaux locaux ou étendus, etc.). 3.5 Les biens à protéger 24 La TOE est destinée à protéger les informations sensibles appelées biens. Deux types de biens sont à distinguer : les biens directs et les biens indirects. 25 Les biens directs sont les messages et pièces jointes sécurisés au moyen de la TOE et échangés par les utilisateurs. Ces biens sont produits au moyen d un logiciel de messagerie ou de tout autre applicatif. Ils doivent être protégés en intégrité. Les biens directs protégés également en confidentialité sont appelés biens directs secrets. 26 Les biens indirects sont les informations nécessaires à la protection des biens directs. Il s agit de l ensemble des variables cryptographiques : les biens indirects secrets (clés privées et symétriques, germes d aléa) et les biens indirects publics (les certificats de clés publiques). 27 La TOE est considérée dans ce PP comme une enceinte de confiance où sont conservés les secrets et appliquées les fonctions cryptographiques. Tous les biens indirects conservés dans la TOE seront protégés en confidentialité et en intégrité. 3.6 Les menaces 28 Les menaces prises en compte dans ce profil de protection sont issues du répertoire EBIOS des menaces génériques (cf. [EBIOS], Outillage). 29 Toutes les menaces auxquelles la TOE est soumise ne sont pas prises en compte dans ce PP. Une liste non exhaustive de menaces non couvertes par ce PP mais identifées comme pouvant porter atteinte à la sécurité du service de messagerie figure au chapitre Menaces portant sur la TOE 30 M.INTRUSION : Un attaquant obtient un accès non autorisé à la TOE. 31 Remarque : L accès peut être obtenu suite au vol de la TOE ou par intrusion via le poste utilisateur, via une application installée sur le poste ou via le réseau. Les Page 8

13 conséquences de cette attaque sont l accès non autorisé de l attaquant à des fonctions de sécurité de la TOE et l accès à des biens indirects secrets conservés dans la TOE. Cette attaque est ludique, avide mais surtout stratégique; elle vise l intégrité et la confidentialité des biens à protéger par la TOE. De bonnes connaissances cryptographiques et techniques sont indispensables. 32 M.DYSFONC : Le dysfonctionnement de la TOE risque d entraîner une perte de l intégrité et de la confidentialité des biens indirects conservés dans la TOE. 33 Remarque : Cette menace provient soit de la défaillance accidentelle d un composant de la TOE soit de sa modification par un attaquant disposant d excellentes connaissances techniques et d un accès à la TOE. 34 M.CLONAGE : La reproduction de la TOE par copie de son support physique ou par simulation logique permet à l attaquant de reproduire toutes ou parties des fonctions de la TOE. 35 Remarque : Cette attaque est stratégique. Selon le mode de reproduction, les moyens financiers peuvent être conséquents et de bonnes connaissances cryptographiques et techniques nécessaires. 36 M.MODIFIE : La modification non détectée d un bien après sa sécurisation par la TOE est une menace sur l intégrité de ce bien. 37 Remarque : L attaque peut être localisée sur le poste utilisateur, sur le réseau local, ou étendu, ou dans un serveur de l architecture de messagerie. Cette attaque est ludique, avide ou stratégique; elle engendre une perte de l intégrité des biens à protéger. Aucune connaissance technique de la TOE et aucun accès physique à la TOE ne sont nécessaires. L attaquant doit seulement avoir des connaissances cryptologiques et maîtriser les protocoles de sécurisation et d échange des biens à protéger. 38 M.DIVULG : Un attaquant prend connaissance d un bien direct ou indirect secret alors qu il est protégé en confidentialité au moyen de la TOE. 39 Remarque : L attaque peut être localisée sur le poste utilisateur, sur le réseau support ou dans un serveur de l architecture de messagerie. Cette attaque est ludique, avide ou stratégique. Aucune connaissance technique de la TOE et aucun accès physique à la TOE ne sont nécessaires. Les moyens financiers sont importants et d excellentes connaissances cryptologiques sont indispensables. 40 M.ECHANGE : Un utilisateur autorisé échange involontairement un bien direct ou indirect secret avec un utilisateur non autorisé. 41 Remarque : Cette menace peut provoquer une perte de confidentialité du bien échangé. C est par exemple le cas si un certificat révoqué est utilisé par l une ou l autre des parties communicantes pour sécuriser l échange. L accès à la TOE n est pas indispensable, une faible connaissance technique et peu de moyens financiers sont nécessaires. Page 9

14 3.6.2 Menaces portant sur l environnement de la TOE 42 M.PILOTE : Un logiciel ou un matériel installé sur le poste utilisateur provoque une perte d intégrité non détectée des pilotes de périphériques nécessaires à l activation de la TOE par le poste utilisateur, impliquant une perte d intégrité des services de la TOE ou une perte d intégrité et de confidentialité des biens à protéger. 43 Remarque : Cette menace peut découler d une action d un utilisateur non averti ou d une attaque ludique ou stratégique. Une connaissance technique de la TOE est nécessaire à l attaquant, mais aucun moyen financier et aucun accès à la TOE ne sont indispensables; seul le poste utilisateur doit être accessible à l attaquant. 3.7 Description de la politique de sécurité organisationnelle 44 P.UTILIS : Les fonctions de la TOE doivent être limitées aux services décrits dans le chapitre 2. L usage et l administration de la TOE pour protéger des informations classifiées de défense nécessite son agrément par le SCSSI et éventuellement l agrément de l application ou du système d information utilisant la TOE [900]. 45 P.ADMIN : L administrateur de la sécurité de la TOE doit pouvoir joindre dans les plus brefs délais les utilisateurs de la TOE et inversement. 46 P.CSP : Une autorité de certification de clés publiques de l infrastructure de gestion de clés génère, publie ou révoque un certificat de clé publique conformément à une politique de certification (notée CSP) approuvée par l autorité de sécurité compétente. 3.8 Les hypothèses d utilisation Les hypothèses sur l administration et l utilisation de la TOE 47 H.USAGE : La TOE doit être administrée et utilisée par des personnes habilitées et disposant des moyens nécessaires à ces tâches. Les utilisateurs et administrateurs de TOE doivent être formés aux techniques nécessaires à l utilisation, respectivement à l administration, de la TOE. 48 H.RESP : Les utilisateurs de la TOE connaissent les responsabilités financières, civiles et pénales associées à l usage de la TOE (reconnaissance juridique de la signature numérique générée ou vérifiée par l usage d une TOE et contraintes réglementaires imposées pour le traitement d informations classifiées de défense protégées à l aide d une TOE) Les hypothèses sur l architecture de messagerie 49 H.MESSAGERIE : Les composantes des technologies de l information (par exemple : serveurs de messagerie, services de publication, gardes, autorités de certification, d enregistrement, de confiance et applications logicielles associées) Page 10

15 qui composent l architecture de messagerie doivent faire l objet d une évaluation selon les critères en vigueur. a) Pour les besoins de confidentialité, l utilisateur de la TOE est abonné auprès d un tiers de confiance agréé conformément au décret n du 24 février 1998 en application de l article 28 de la loi n du 29 décembre 1990 sur la réglementation des télécommunications. b) Pour les besoins d authentification et de signature numérique, les certificats de clés publiques sont générés par une autorité de certification et publiés dans un annuaire conformément à une politique approuvée par l autorité de sécurité compétente. Page 11

16 Page 12

17 Chapitre 4 Objectifs de sécurité 4.1 Objectifs de sécurité portant sur la cible d évaluation Les accès autorisés 50 O.TOE-ACCES : Seul un utilisateur autorisé par son autorité de sécurité doit pouvoir employer la TOE. Avant toute utilisation ou après une période d inactivité fixée par l autorité de sécurité, la TOE doit identifier et authentifier l utilisateur La protection des biens de la TOE 51 O.NOIR : Les biens indirects conservés dans la TOE sont protégés en confidentialité et en intégrité. 52 O.INTEGRITE : La TOE doit pouvoir contrôler l intégrité des biens qu elle reçoit et produire les informations nécessaires aux autres TOE pour contrôler l intégrité des biens à protéger qu elle exporte. 53 O.SECRET : Les biens directs ou indirects secrets exportés ou importés par la TOE doivent être protégés en confidentialité. 54 O.VOL : Le vol ou la perte d une TOE ne doit pas porter atteinte à la sécurité des biens gérés par les différentes TOE de la messagerie. 55 O.SECOURS : En cas de dysfonctionnement de la TOE, toute exportation de biens conservés ou en cours de traitement par la TOE doit être impossible. 56 O.AUTH : La TOE doit permettre l authentification des parties communicantes lors d un échange de biens. 4.2 Objectifs de sécurité portant sur l environnement de la TOE 57 O.GUIDE : L installation, l initialisation et l usage de la TOE doivent être correctement documentés. 58 O.USAGE : L administration et l emploi de la TOE ne doivent en aucun cas nuire à la sécurité des biens secrets gérés par la TOE. Les utilisateurs de la TOE connaissent les responsabilités financières, civiles et pénales associées à l usage de la TOE. 59 O.MESSAGERIE : Les composantes des technologies de l information (par exemple : serveurs de messagerie, services de publication, gardes, autorités de certification, d enregistrement, de confiance et applications logicielles associées) qui composent l architecture de messagerie doivent faire l objet d une évaluation Page 13

18 selon les critères en vigueur et doivent pouvoir traiter des informations classifiées de défense. 60 O.UTILIS : Les fonctions de la TOE ne sont pas détournables à des services non décrits dans le Chapitre 2. L utilisation de la TOE pour traiter des informations classifiées de défense nécessite un agrément du SCSSI et éventuellement l agrément de l application ou du système d information utilisant la TOE [900]. 61 O.ADMIN : Une infrastructure de communication opérationnelle doit exister entre l utilisateur et l administrateur. Page 14

19 Chapitre 5 Exigences de sécurité 5.1 Exigences fonctionnelles de la cible d évaluation 62 Le tableau ci-dessous présente la liste des exigences fonctionnelles inclues dans ce profil de protection. 63 Les exigences d administration (management) et les opérations (assignment, iteration, selection, refinement), doivent être complétées par le rédacteur de la cible de sécurité. Composantes Noms 1 FCO_NRO.2 Obligation de preuve de l origine 2 FCS_CKM.2 3 FCS_CKM.4 Génération des clés cryptographiques basée sur des standards Distribution des clés cryptographiques basée sur des standards 4 FCS_CKM.7 Destruction des clés cryptographiques 5 FCS_COP.2 Opération cryptographique basée sur des standards 6 FDP_ACC.2 Contrôle d accès total 7 FDP_ACF.1 Contrôle d accès basé sur les attributs de sécurité 8 FDP_ETC.2 Exportation des données de l utilisateur avec attributs de sécurité 9 FDP_IFC.1 Contrôle de flux d un sous-ensemble d informations 10 FDP_IFF.1 Attributs de sécurité simples 11 FDP_ITC.2 12 FDP_SDI.2 Importation de données de l utilisateur avec attributs de sécurité Contrôle de l intégrité des données stockées et mesures conséquentes Tab Composantes de sécurité Page 15

20 Composantes Noms 13 FDP_UCT.1 Confidentialité élémentaire de l échange de données 14 FDP_UIT.1 Intégrité de l échange de données 15 FIA_AFL.1 Action élémentaire en cas d échec d authentification de l utilisateur 16 FIA_SOS.1 Vérification des secrets 17 FIA_SOS.2 Génération des secrets par la TSF 18 FIA_UID.2 Identification de l utilisateur avant action 19 FIA_UAU.1 Temporisation de l authentification 20 FIA_UAU.5 Mécanismes multiples d authentification 21 FIA_UAU.6 Ré-authentification 22 FMT_MSA.1 Gestion des attributs de sécurité 23 FMT_MSA.2 Attributs de sécurité sûrs 24 FMT_MSA.3 Initialisation statique des attributs de sécurité 25 FMT_SMR.1 Rôles de sécurité 26 FPT_AMT.1 Machine abstraite de test 27 FPT_FLS.1 Conservation d un état sûr lors d une défaillance 28 FPT_ITC.1 Confidentialité inter-tsf pendant une transmission 29 FPT_ITI.1 Détection de modification inter-tsf 30 FPT_ITT.1 Protection élémentaire de données internes à la TSF 31 FPT_ITT.3 Surveillance de l intégrité des données de la TSF 32 FPT_PHP.3 Résistance aux attaques physiques 33 FPT_RCV.1 Recouvrement manuel 34 FPT_RVM.1 Non contournement de la politique de sécurité Tab (Suite) - Composantes de sécurité Page 16

21 Composantes 35 FPT_TDC.1 Noms Consistance élémentaire des données de la TSF inter- TSF 36 FPT_TST.1 Tests de la TSF 37 FTA_SSL.3 Fonction d abandon de session 38 FTA_TSE.1 Etablissement de session de la TOE 39 FTP_ITC.1 Canal sûr inter-tsf Tab (Suite) - Composantes de sécurité 5.2 Liste des exigences fonctionnelles Composante FCO FCO_NRO.2 Enforced Proof of Origin 64 FCO_NRO.2.1 The TSF shall enforce the generation of evidence of origin for transmitted [assignment: list of information types] at all times. 65 Types d information : tous les messages traités par la TOE (enveloppes, messages, pièces jointes et certificats). 66 FCO_NRO.2.2 The TSF shall be able to relate the [assignment: list of attributes] of the originator of the information, and the [assignment: list of information fields] of the information to which the evidence applies. 67 La liste des attributs comprend les signatures et certificats de clés publiques attachés aux messages gérés par la TOE et la désignation de l émetteur ou/et du rédacteur de ces messages. 68 La liste des champs d informations est décrite par le rédacteur de la cible de sécurité. 69 FCO_NRO.2.3 The TSF shall provide a capability to verify the evidence of origin of information to [selection: originator, recipient, [assignment: list of third parties]] given [assignment: limitations on the evidence of origin] Composante FCS FCS_CKM.2 Standards-Based Cryptographic Key Generation Page 17

22 70 FCS_CKM.2.1 The TSF shall generate cryptographic keys in accordance with a specified cryptographic key generation algorithm and specified cryptographic key sizes which meet the following standard: [assignment: list of international standards, list of national standards, list of industry standards, list of organisational standards]. 71 Les fonctions de génération des clés de la TOE utilisent un générateur d aléa réel et/ou un générateur logiciel de pseudo-aléa. 72 La cible de sécurité décrira de façon précise les générateurs choisis et leur mise en oeuvre. FCS_CKM.4 Standards-Based Cryptographic Key Distribution 73 FCS_CKM.4.1 The TSF shall distribute cryptographic keys in accordance with a specified cryptographic key distribution method which meets the following standard: [assignment: list of international standards, list of national standards, list of industry standards, list of organisational standards]. 74 Les méthodes décrites ci-dessous illustrent l usage des ressources de cryptographie lors de la distribution des clés d authentification et de confidentialité. 75 Méthode pour l obtention d un certificat de clé publique de signature : - L utilisateur A génère à l aide de sa TOE son bi-clé asymétrique de signature. - A communique à l autorité de certification (notée AC(a)) sa clé publique et son identité. Remarque : AC(a) s assure de l identité de A par une mesure non TI, par exemple une consultation d annuaire, la présentation par A d un document officiel ou un rapport facial entre A et un agent d enregistrement relevant de l autorité de AC(a). - AC(a) forge un certificat de la clé publique en signant à l aide de sa TOE le couple formé de la clé publique et des informations identifiant A. AC(a) publie le certificat de cette clé publique de A. 76 Méthode pour l obtention d une clé de chiffrement : - La tierce partie de confiance (notée TPC(a)) vérifie l identité de A, au besoin en communiquant avec l autorité de certification de A. TPC(a) génère un bi-clé de confidentialité à l aide de sa TOE et certifie la clé publique également à l aide de sa TOE. - TPC(a) protège la confidentialité de la clé privée de A au moyen de sa TOE. Eventuellement, la TPC(a) publie le certificat de la clé publique de confidentialité de A. FCS_CKM.7 Cryptographic Key Destruction Page 18

23 77 FCS_CKM.7.1 The TSF shall destroy cryptographic keys in accordance with a specified cryptographic key destruction method. 78 Le rédacteur de la cible de sécurité précisera la procédure d effacement des secrets conservés dans la TOE. FCS_COP.2 Standards-Based Cryptographic Operation 79 FCS_COP.2.1 The TSF shall perform [assignment: list of cryptographic operations] in accordance with a specified cryptographic algorithm and cryptographic key size which meet the following standard: [assignment: list of international standards, list of national standards, list of industry standards, list of organisational standards]. 80 Les opérations cryptographiques sont : - l authentification des parties communicantes, - la génération de clés symétriques et asymétriques, - la génération des condensats, - la protection des clés conservées dans la TOE, - la génération et la vérification de la signature numérique des messages et des pièces jointes, - la vérification de l intégrité d un certificat de clé publique, - le chiffrement et le déchiffrement des messages et pièces jointes qui sont échangés à l aide de la TOE. 81 Le rédacteur de la cible de sécurité raffinera la description de toutes les opérations cryptographiques présentées ci-dessus Composante FDP FDP_ACC.2 Complete Access Control 82 FDP_ACC.2.1 The TSF shall enforce the [assignment: access control SFP] on [assignment: list of subjects and objects] and all operations among subjects and objects covered by the SFP. 83 FDP_ACC.2.2 The TSF shall ensure that all operations between any subject in the TSC and any object within the TSC are covered by the SFP. FDP_ACF.1 Security Attribute Based Access Control 84 FDP_ACF.1.1 The TSF shall enforce the [assignment: access control SFP] to objects based on [assignment: security attributes, named groups of security attributes]. 85 FDP_ACF.1.2 The TSF shall enforce the following rules to determine if an operation among controlled subjects and controlled objects is allowed [assignment: rules Page 19

24 governing access among controlled subjects and controlled objects using controlled operations on controlled objects]. FDP_ETC.2 Export of User Data With Security Attributes 86 FDP_ETC.2.1 The TSF shall enforce the [assignment: access control SFP and/or information flow control SFP] when exporting user data, controlled under the SFP, outside of the TSC. 87 FDP_ETC.2.2 The TSF shall export the user data with the user data s associated security attributes. 88 FDP_ETC.2.3 The TSF shall ensure that the security attributes, when exported outside the TSC, are unambiguously associated with the exported user data. 89 FDP_ETC.2.4 The TSF shall enforce [assignment: additional exportation control rules] when user data is exported from the TSC. FDP_IFC.1 Subset Information Flow Control 90 FDP_IFC.1.1 The TSF shall enforce the [assignment: information flow control SFP] on [assignment: list of subjects, objects and operations among subjects and objects covered by the SFP]. FDP_IFF.1 Simple Security Attributes 91 FDP_IFF.1.1 The TSF shall enforce the [assignment: information flow control SFP] to enforce at least the following types of subject and object security attributes [assignment: the minimum number and type of security attributes]. 92 FDP_IFF.1.2 The TSF shall permit an information flow between a controlled subject and a controlled object via a controlled operation if the following rules hold [assignment: for each operation, the security attribute-based relationship that must hold between subject and object security attributes]. 93 FDP_IFF.1.3 The TSF shall enforce the [assignment: additional information flow control SFP rules]. 94 FDP_IFF.1.4 The TSF shall enforce the following [assignment: list of additional SFP capabilities]. FDP_ITC.2 Import of User Data with Security Attributes 95 FDP_ITC.2.1 The TSF shall enforce the [assignment: access control SFP and/or information flow control SFP] when importing user data, controlled under the SFP, from outside of the TSC. 96 FDP_ITC.2.2 The TSF shall use the security attributes associated with the imported user data. Page 20

25 97 FDP_ITC.2.3 The TSF shall ensure that the protocol used provides for the unambiguous association between the security attributes and the user data received. 98 FDP_ITC.2.4 The TSF shall ensure that interpretation of the security attributes of the imported user data is as intended by the source TSF. 99 FDP_ITC.2.5 The TSF shall enforce the following [assignment: additional importation control rules] when importing user data controlled under the SFP from outside the TSC. FDP_SDI.2 Stored Data Integrity Monitoring and Action 100 FDP_SDI.2.1 The TSF shall monitor user data stored within the TSC for [assignment: integrity errors] on all objects, based on the following [assignment: user data attributes]. 101 Toutes les données contenues dans la TOE (clés, certificats, attributs de sécurité, données d authentification, fonctions de cryptographie, logiciel, contextes d application) sont concernées. La rédacteur de la cible de sécurité complétera cette liste. 102 FDP_SDI.2.2 Upon detection of a data integrity error, the TSF shall [assignment: action to be taken]. 103 La mesure à prendre en cas de détection de la perte d intégrité d un des objets est d inhiber toutes les fonctionnalités. FDP_UCT.1 Basic Data Exchange Confidentiality 104 The TSF shall enforce the [assignment: access control SFP and/or information flow control SFP] to be able to [selection: transmit, receive] objects in a manner protected from unauthorised disclosure. FDP_UIT.1 Basic Data Exchange Integrity 105 FDP_UIT.1.1 The TSF shall enforce the [assignment: access control SFP and/or information flow control SFP] to be able to [selection: transmit, receive] user data in a manner protected from undetectable [selection: modification, deletion, insertion, replay] errors 106 FDP_UIT.1.2 The TSF shall be able to determine on receipt of user data, whether [selection: modification, deletion, insertion, or replay] has occurred Composante FIA FIA_AFL.1 Basic authentication failure handling 107 FIA_AFL.1.1 The TSF shall detect when [selection: an authorised administrator configurable number of, [assignment: number]] unsuccessful authentication attempts occur related to [assignment: list of authentication events]. Page 21

26 108 FIA_AFL.1.2 After the defined number of unsuccessful authentication attempts has been detected, the TSF shall [assignment: list of actions]. FIA_SOS.1 Verification of secrets 109 FIA_SOS.1.1 The TSF shall provide a mechanism to verify that secrets meet [assignment: a defined quality metric]. FIA_SOS.2 TSF Generation of Secret 110 FIA_SOS.2.1 The TSF shall provide a mechanism to generate secrets that meet [assignment: a defined quality metric]. 111 FIA_SOS.2.2 The TSF shall be able to enforce the use of TSF generated secrets for [assignment: list of TSF functions]. FIA_UID.2 User Identification before any action 112 FIA_UID.2.1 The TSF shall require each user to identify itself before allowing any TSF-mediated actions on behalf of that user. FIA_UAU.1 Timing of authentification 113 FIA_UAU.1.1 The TSF shall allow [assignment: list of TSF mediated actions] on behalf of the user to be performed before the user is authenticated. 114 FIA_UAU.1.2 The TSF shall require each user to be successfully authenticated before allowing any other TSF-mediated actions on behalf of that user. FIA_UAU.5 Multiple Authentication Mechanisms 115 FIA_UAU.5.1 The TSF shall provide [assignment: list of multiple authentication mechanisms] to support user authentication. 116 FIA_UAU.5.2 The TSF shall authenticate any user s claimed identity according to the [assignment: rules describing how the multiple authentication mechanisms provide authentication]. FIA_UAU.6 Re-authenticating 117 FIA_UAU.6.1 The TSF shall re-authenticate the user under the conditions [assignment: list of conditions under which re-authentication is required]. 118 Après un délai d inactivité fixé par l autorité de sécurité et précisé par le rédacteur de la cible de sécurité, l utilisateur doit de nouveau être authentifié. Page 22

27 5.2.5 Composante FMT FMT_MSA.1 Management of security attributes 119 FMT_MSA.1 The TSF shall enforce the [assignment: access control SFP, information flow control SFP] to restrict the ability to [selection: change_default, read, modify, delete] the values of the security attributes [assignment: list of security attributes] to [assignment: the authorized identified roles]. FMT_MSA.2 Safe security attributes 120 FMT_MSA.2 The TSF shall ensure that only safe values are accepted for security attributes. FMT_MSA.3 Static Attribute Initialisation 121 FMT_MSA.3.1 The TSF shall enforce the [assignment: access control SFP, information flow control SFP] to provide [selection: restrictive, permissive, other property] default values for object security attributes that are used to enforce the SFP. 122 FMT_MSA.3.2 The TSF shall allow the [assignment: the authorised identified roles] to specify alternate initial values to override the default values when an object is created. FMT_SMR.1 Security roles 123 FMT_SMR.1.1 The TSF shall maintain the roles [assignment: the authorised identified roles]. 124 FMT_SMR.1.2 The TSF shall be able to associate users with roles Composante FPT FPT_AMT.1 Abstract Machine Testing 125 FPT_AMT.1.1 The TSF shall run a suite of tests [selection: during initial start-up, periodically during normal operation, at the request of the authorised administrator, other conditions] to demonstrate the correct operation of the security functions provided by the abstract machine which underlies the TSF. FPT_FLS.1 Failure with Preservation of Secure State 126 FPT_FLS.1.1 The TSF shall preserve a secure state when [assignment: list of types of TSF failures] occur. FPT_ITC.1 Inter-TF Confidentiality During Transmission Page 23

28 127 FPT_ITC.1.1 The TSF shall protect any TSF data transmitted from the TSF to a remote TSF from unauthorized disclosure. FPT_ITI.1 Inter-TSF Detection of Modification 128 FPT_ITI.1.1 The TSF shall provide the capability to detect modification within [assignment: a defined modification metric] of all TSF data transmitted between the TSF and a remote trusted IT product. 129 FPT_ITI.1.2 The TSF shall verify the integrity of all TSF data transmitted between the TSF and a remote trusted IT product and perform [assignment: action to be taken] in case modifications are detected. FPT_ITT.1 Basic Internal TSF Data Transfer Protection 130 FPT_ITT.1.1 The TSF shall protect TSF data from [selection: disclosure, modification] when it is transmitted between physically-separated parts of the TOE. FPT_ITT.3 TSF Data Integrity Monitoring 131 FPT_ITT.3.1 The TSF shall be able to detect [selection: modification of data, substitution of data, re-ordering of data, deletion of data, other integrity errors] for TSF data transmitted between physically-separated parts of the TOE. 132 FPT_ITT.3.2 Upon detection of a data integrity error, the TSF shall [assignment: specify the action to be taken]. FPT_PHP.3 Resistance to Physical Attack 133 FPT_PHP.3.1 The TOE shall resist identified physical tampering attacks to the [assignment: list of devices/elements, physical tampering attack scenarios, work factors for which resistance to attack is required] 134 FPT_PHP.3.2 The TOE shall respond automatically to physical attacks to [assignment: list of devices/elements, physical tampering attack scenarios for which automatic response to attack is required] in such a way as to ensure that the TSP is not violated FPT_RCV.1 Manual Recovery 135 FPT_RCV.1.1 After a failure or service discontinuity, the TSF shall enter a maintenance mode where the ability to return the TOE to a secure state is provided. 136 Remarque : l état dit de confiance de la TOE après un dysfonctionnement ou une interruption de service peut être un vérouillage complet de la TOE qui peut nécessiter une repersonnalisation complète de la TOE. 137 FPT_RCV.1.2 The TSF shall provide the authorised administrator with the capability to restore the TSF data to a consistent and secure state. Page 24

29 FPT_RVM.1 Non-Bypassability of the TSP 138 FPR_RVM.1.1 The TSF shall ensure that TSP enforcement functions are invoked and succeed before assignment operation within the TSC is allowed to proceed. FPT_TDC.1 Inter-TSF Basic TSF Data Consistency 139 FPT_TDC.1.1 The TSF shall enforce the consistent interpretation of [assignment: list of TSF data types] between this TSF and another trusted IT product. 140 FPT_TDC.1.2 The TSF shall use [assignment: list of interpretation rules to be applied by the TSF] when interpreting the TSF data from another trusted IT product. FPT_TST.1 TSF Testing 141 FPT_TST.1.1 The TSF shall run a suite of self tests [selection: during initial startup, periodically during normal operation, at the request of the authorised administrator, at the conditions [assignment: conditions at which self test should occur]] to demonstrate the correct operation of the TSF. 142 FPT_TST.1.2 The TSF shall provide authorized administrators with the capability to verify the integrity of TSF data. 143 FPT_TST.1.3 The TSF shall provide authorised administrators with the capability to verify the integrity of stored TSF executable code Composante FTA FTA_SSL.3 TSF-initiated Termination 144 FTA_SSL3.1 The TSF shall terminate an interactive session after a [assignment: time interval] interval of user inactivity. FTA_TSE.1 TOE Session Establishment 145 FTA_TSE.1.1 The TSF shall be able to deny session establishment based on [assignment: attributes] Composante FTP FTP_ITC.1 Inter-TSF Trusted Channel 146 FTP_ITC.1.1 The TSF shall provide a communication channel between itself and a remote trusted IT product that is logically distinct from other communication channels and provides assured identification of its end points and protection of the channel data from modification or disclosure. Page 25

30 147 FTP_ITC.1.2 The TSF shall permit [selection: only the TSF, the remote trusted IT product] to initiate communication via the trusted channel. 148 FTP_ITC.1.3 The TSF shall initiate communication via the trusted channel for [assignment: list of functions for which a trusted channel is required]. Page 26

31 5.3 Exigences d assurance des TI de la cible d évaluation 149 Le niveau d assurance visé est EAL5 augmenté de plusieurs composantes d assurance. 150 Ce niveau est nécessairement élevé car le besoin exprimé par les utilisateurs est d employer une TOE pour sécuriser des informations classifiées de défense du niveau Confidentiel Défense avec à terme la possiblité d utiliser la TOE dans un système d information approuvé pour traiter des informations classifiées Secret Défense. 151 Par rapport au niveau EAL 4, le niveau retenu dans ce profil de protection apporte les assurances supplémentaires suivantes : - une description semi-formelle des fonctions de sécurité, - une visibilité totale de l implémentation de la TSF, - une représentation semi-formelle des correspondances entre les différentes représentations, - le développement d un modèle formel de politique de sécurité (contre un développement informel dans le cas de EAL 4), - un modèle du cycle de vie de la TOE basé sur un standard, - un niveau de détail plus élevé dans la réalisation de tests, - une représentation semi-formelle des interfaces utilisateurs, - une recherche systématique des attaques possibles sur la TOE, et la garantie de disposer d un système relativement résistant. 152 Ces compléments s accordent avec la nécessité de sécuriser des informations classifiées de défense et justifient le choix d un niveau d assurance EAL Le niveau EAL5 est résumé dans le tableau 5.2. Les composantes d assurance rajoutées sont listées dans le tableau 5.3. Composantes ACM_AUT.1 ACM_CAP.4 ACM_SCP.3 ADO_DEL.2 ADO_IGS.1 Noms Automatisation partielle de la gestion de configuration Génération de supports et procédures de recette Couverture de la gestion de configuration des outils de développement Détection de modification Procédures d installation, de génération, et de démarrage Tab EAL5 Page 27

32 Composantes ADV_FSP.3 ADV_HLD.3 ADV_IMP.2 ADV_INT.1 ADV_LLD.1 ADV_RCR.2 ADV_SPM.3 AGD_ADM.1 AGD_USR.1 ALC_DVS.1 ALC_LCD.2 ALC_TAT.2 ATE_COV.2 ATE_DPT.2 ATE_FUN.1 ATE_IND.2 AVA_CCA.1 AVA_MSU.2 AVA_SOF.1 AVA_VLA.3 Spécification fonctionnelle semi-formelle Conception générale semi-formelle Implémentation de la TSF Modularité (composante couverte par l augmentation) Conception détaillée descriptive Démonstration de correspondance semi-formelle Modèle formel de la politique de sécurité de la TOE Documentation de l administrateur Documentation l utilisateur Identification des mesures de sécurité Modèle standardisé du cycle de vie Conformité à des standards d implémentation Analyse de couverture Test- conception détaillée (composante couverte par l augmentation) Tests fonctionnels Test indépendant - échantillon Analyse des canaux cachés (composante couverte par l augmentation) Validation de l analyse Évaluation de la force des fonctions de sécurité de la cible d évaluation. Relativement résistant Noms Tab (Suite) - EAL5 Page 28

33 Composantes ADV_INT.3 ALC_FLR.3 ATE_DPT.3 AVA_CCA.3 Noms Minimisation de la complexité Réparation systématique Test - Implémentation Analyse exhaustive des canaux cachés Tab Exigences d assurance ajoutées 154 L ajout de la composante ADV_INT.3 permet de minimiser la complexité de l architecture de la TOE. Ces composantes viennent en complément de la composante ADV_IMP.2 en facilitant la compréhension de l implémentation de la TOE. 155 L ajout de la composante ALC_FLR.3 offre l assurance de la réaction systématique de l éditeur de la TOE après détection d un incident de sécurité de la TOE. 156 L ajout de la composante ATE_DPT.3 permet de tester l implémentation de la TOE à son plus bas niveau. 157 L ajout de la composante AVA_CCA.3 assure l adoption d une méthode exhaustive d analyse des canaux cachés de la TOE, par rapport à une analyse simple (AVA_CCA.1). 158 Dans la mesure où la TOE est destinée à sécuriser des informations classifiées de défense, elle peut être confrontée à des attaques stratégiques ce qui justifie, dans la composante AVA_SOF.1, le choix du niveau de résistance le plus élevé possible: SOF - high. Page 29

34 Page 30

35 Chapitre 6 Notes d application 6.1 Exploitation de la TOE 159 Les responsables de l exploitation de la TOE doivent être certains que la découverte d un dysfonctionnement de la TOE provoquera une réaction pertinente et rapide de du constructeur de la TOE au profit de l ensemble de ses utilisateurs de la TOE. 160 La disponibilité de la TOE peut diminuer si la TOE ne peut plus être maintenue pour réparation ou évolution en raison de la défaillance des fournisseurs des biens de supports (logiciels et materiels). L utilisation et l évolution de la TOE doivent être opérationnelles pour une durée fixée par l autorité de sécurité et figurant dans le contrat de fourniture de la TOE. 161 En conséquence, si la TOE ne peut plus être maintenue pour réparation ou évolution en raison de défaut d organisation administrative (absence de personnel spécialisé, défaut de budget) le niveau de sécurité de l environnement d emploi de la TOE peut diminuer et donc porter atteinte à la sécurité des biens traités par la TOE. 162 Les documents de spécification de la TOE sont séquestrés en lieu sûr et consultables uniquement par les personnes ayant le besoin d en connaître. 6.2 Législation applicable en France 163 Plusieurs contraintes légales existent qui obligent les administrations et organismes liés par tutelle ou contrat à l Etat à mettre en œuvre des mesures techniques visant à protéger les informations traitées par les administrations : - la loi relative à la protection du secret de défense (code pénal art 410-1, à 414-9), - la loi n 78-17, du 6 janvier 1978, relative à l informatique, aux fichiers et aux libertés, - la loi relative au secret professionnel (Code pénal : art et ), - loi du 11 juillet 1991 relative au secret des correspondances. 164 La loi n du 29 décembre 1990 modifiée sur la réglementation des télécommunications, notamment son article 28 précise la réglementation applicable aux moyens et prestations de cryptologie. Les constructeurs, distributeurs et utilisateurs de la TOE doivent prendre connaissance du décret ci-dessous : Page 31

36 - Décret n du 24 février 1998 définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie (J.O. du 25/02/98 pp.2911). 165 Le terme TTP est utilisé dans ce PP, la législation française emploie l expression organisme gérant pour le compte d autrui des conventions secrètes de cryptologie Le décret cité ci-dessous précise le terme d agrément de ces organismes : - Décret n du 24 février 1998 définissant les conditions dans lesquelles sont agréées les organismes gérant pour le compte d autrui des conventions secrètes de cryptologie en application de l article 28 de la loi n du 29 décembre 1990 sur la réglementation des télécommunications (J.O. du 25/02/98, pp. 2915). 166 Lorsque le contenu des messages, leur simple existence, y compris leur destinataire, récipiendaire ou date d envoi relève du secret de défense, l ensemble de la réglementation interministérielle s applique : - l instruction générale interministérielle n 1300/SGDN/SSD du 12 mars 1982, sur la protection du secret et des informations concernant la défense nationale et la sûreté de l État, - l instruction interministérielle n 500bis/SGDN/TTS/SSI/DR, du 18 octobre 1996, relative au chiffre dans la sécurité des systèmes d information, - l instruction générale n 900/DISSI/SCSSI/DR, du 20 juillet 1993, sur la sécurité des systèmes d information qui font l objet d une classification de défense pour eux-mêmes ou pour les informations traitées. 167 Dans le cas contraire, la recommandation n 901/DISSI/SCSSI, du 2 mars 1994, pour la protection des systèmes d informations sensibles non classifiées de défense, peut guider le développement et l utilisation d une messagerie électronique dans l administration. Page 32

37 Chapitre 7 Justification du profil de protection 7.1 Menaces non couvertes par le profil de protection 168 La cible d évaluation décrite dans ce PP ne suffit pas à elle seule à sécuriser un service de messagerie. En particulier, les menaces citées dans la liste non exhaustive qui suit, ne sont pas couvertes par le présent profil Menaces non couvertes portant sur la TOE 169 MNC.DYSFONC-D : Le dysfonctionnement de la TOE risque d entraîner une perte de disponibilité des biens indirects conservés dans la TOE. Cette vulnérabilité provient soit de la défaillance accidentelle d un composant de la TOE soit de sa modification par un attaquant. Cette menace n est pas couverte pas le présent profil. 170 MNC.VOL-TOE-D : Le vol de la TOE est une perte de disponibilité de ses fonctions de sécurité et des secrets qu elle conserve. Cette menace n est pas couverte par le présent profil. 171 MNC.TEMPEST : Les changements électromagnétiques du poste utilisateur et de la ressource cryptologique sont des menaces portant sur la TOE car les signaux parasites induits peuvent compromettre la sécurité des biens de la TOE. Conformément à la directive [495], l emploi de la TOE pour le traitement des informations classifiées de défense impose une politique de zonage des lieux d emploi pour vérifier que le rayonnement de la TOE et du poste utilisateur ne porte pas atteinte à la sécurité des biens directs ou indirects sécurisés par la TOE. Cette menace n est pas couverte pas le présent profil Menaces non couvertes portant sur le poste utilisateur 172 MNC.DYSFONC-PU : Le dysfonctionnement du matériel ou du système d exploitation du poste utilisateur ou encore des pilotes logiques d extension de la TOE risque de nuire à la disponibilité de la TOE. Cette menace n est pas couverte par le présent profil. 173 MNC.VOL-SUPPORT : Le vol d un disque ou d une disquette ayant contenu ou contenant des informations classifiées provoque une perte de confidentialité et de disponibilité de ces informations. Cette menace n est pas couverte par le présent profil. 174 MNC.RESIDUEL : L utilisation de logiciel bureautique pour créer des biens directs peut entraîner la persistance d information résiduelle (fichiers temporaires, mémoires tampons, versions antérieures, fichiers rémanant,..). Cette menace provoque une perte de la confidentialité des biens directs. Elle n est pas couverte Page 33