OT.Init для [SSCD РР] частково відповідає О.Identification за допомогою підтримки попередньої персоналізації через дані ініціалізації для ідентифікації ТОЕ.
АІ.1.3 SSCD проти SCSUG
АІ.1.3.1 Область застосування ТОЕ
Профіль захисту [SCSUG] визначає вимоги для платформи смарт-картки, убудованої в інтегральну схему, включаючи операційну систему, на якій додаткові застосування можна завантажити на фазі кінцевого використання.
На противагу Eurosmart 0010 PP [PP 0010], життєвий цикл смарт-карток не враховано у поясненні тверджень об’єктів безпеки (хоча довідковий додаток В.2 надає багато інформації про це). Отже, точно не зазначено в об’єктах безпеки факт розробки (рідних) застосувань і вставлення перед кінцевим використанням і набором відповідних вимог безпеки.
Середовище функціонування відповідає фазі кінцевого використання. Об’єкти безпеки для ТОЕ звертаються винятково до цієї фази.
Проблеми безпеки мають справу з об’єктами безпеки, заявленими в цьому РР, і можна їх підсумувати:
підробка чи пасивне прослуховування функцій безпеки ТОЕ, даних TSF і користувацьких даних,
дотримання стандартів криптографії й інструкцій,
відмовостійкість,
керування доступом до користувацьких даних і даних TSF,
керування доступом до функцій життєвого циклу,
сегрегація між застосуваннями,
ревізія можливостей,
захист від методів грубої сили,
захист від повторюваних атак,
— безпечна комунікація з CAD.
Контрольні точки ідентифіковано нижче як умови для відповідності цілей безпеки.
АІ.1.3.2 Порівняння об’єктів безпеки
Є суттєва відповідність між PP SCSUG і SSCD РР, ніж з Eurosmart РР, тому що пристосування фаз життєвого циклу смарт-карток перебуває в кращій відповідності. Природно, SCSUG не звертається до SSCD-визначених об’єктів, але є зв’язок щодо загальних мотивів як доказ втручання, логічний захист, опір «атакам грубої сили», керування відкритими ключами або користувацькою автентифікацією.
Один привід для занепокоєння, проте є фактом, що пакет гарантій РР SCSUG включає тільки складовий AVA_VLA.З, a SSCD РР включає AVA_VLA.4. Пояснення для вибору AVA_VLA.3 ([SCSUG]) розглянуто як спірне. Крім того, РР SCSUG передають під мандат SOF-високий рівень для всіх «статистичних або імовірнісних механізмів в ТОЕ», але не нормативним способом [SCSUG]:
Компонент AVA_VLA.4 вибирають, щоб вимагати відповідності з [SSCD РР]. Сила функціональних вимог до відповідних механізмів безпеки має бути високою, відповідно до розглянутої вище вдалої практики.
Об’єктивно OT.EMSEC_Design відповідає O.I_Leak і O.Env_Strs.
Об’єктивно OT.Init може відповідати O.Life_Cycle через генерацію SCD/SVD, що є командою, залежною від життєвого циклу в термінах [SCSUG], У рамках цього об’єкта безпеки єдині команди, доступні для SCD і операцій генерації SVD, явно пов’язані з фазою персоналізації застосування SSCD. Також OT.Init може відповідати O.SetJJp.
Об’єктивно OT.SCD_Secrecy може відповідати О.Brute-Force настільки, наскільки SCD відповідає меті цього об’єкта безпеки, який відкидає SCD у пошуку атаки грубої сили.
Об’єктивно OT.TamperJD відповідає ОЕ.Tamper, але цей об’єкт безпеки середовища ТОЕ також надає політику підтримки організаційної безпеки, мета якої є перевірка носіїв відповідним персоналом.
Об’єктивно OT.DTBS_lntegrity_TOE відповідає O.Log_Prot (наскільки захист подано DTBS, збереженого в межах ТОЕ) і може відповідати O.Sec_Com (наскільки захист подано DTBS між SCA і SSCD.
Об’єктивно OT.Sigy_Sig може відповідати O.Sec_Com, де надійний шлях надано [SCSUG], а необхідний опір атакам забезпечує О.Brute-Force.
Об’єктивно OT.Sig_Secure може відповідати О.Crypt, О.Brute— Force або О.Unlink.
Об’єктивно OE.CGA_QCert може відповідати OE.Key_Supp.
Об’єктивно OE.SVD_Auth_CGA може відповідати OE.CAD_Sec-Com і/або OE.Key_Supp, залежно від деталей політики керування SVD/сертифіката.
Об’єктивно OE.HI_.VAD може відповідати O.Sec_Com, коли надано надійний шлях [SCSUG]
,
Al.2 Порівняння функціональних вимог безпеки
АІ.2.1 Атрибут безпеки FAU
Коментарі
[SSCD РР] і [РР 9806] не покривають функціональні можливості аудиту, а інші РР роблять це. Більш точно, Eurosmart РР (у термінах [РР 9806], [РР 9911] і [РР 0010]) інтегрує вимоги безпеки для генерації тривог безпеки й аналізу потенційного порушення безпеки.
[РР 0002] визначає сімейство для можливості зберігання даних аудиту.
Функціональні вимоги безпеки |
PP SSCD |
PP9806 |
PP0002 |
PP9911 |
PP0010 |
PP SCUG |
||||||||
T1 |
T2 |
T3 |
||||||||||||
Тривоги безпеки |
FAU.ARP.1.1 |
|
|
|
|
|
|
X |
X |
|||||
Генерація списку аудиту списку (РР UG) |
FAU_LST.1.1 |
|
|
|
|
|
|
|
X |
|||||
FAU LST.1.2 |
|
|
|
|
|
|
|
X |
||||||
Аналіз потенційного порушення |
FAU_SAA.1.1 |
|
|
|
X |
|
X |
|
X |
|||||
FAU SAA.1.2 |
|
|
|
X |
|
X |
|
X |
||||||
] Зберігання даних аудиту [РР 0002] |
FAU_SAS.1.1 |
|
|
|
|
X |
|
|
|
|||||
Вибірковий аудит |
FAU.SEL.1.1 |
|
|
|
|
|
|
|
X |
|||||
Захищене зберігання аудиторського сліду |
FAU_STG.1.1 |
|
|
|
|
|
|
|
X |
|||||
FAU_STG.1.2 |
|
|
|
|
|
|
|
X |
||||||
Дія у разі можливої втрати даних аудиту |
FAU_STG.3.1 |
|
|
|
|
|
|
|
X |
АІ.2.2 Криптографічна підтримка FCS
Функціональні вимоги безпеки |
PP SSCD |
PP9806 |
PP0002 |
PP9911 |
PP0010 |
PP SCUG |
|||
T1 |
T2 |
T3 |
|||||||
Генерація криптоключа |
FCS_CKM.1.1 |
X |
|
X |
|
|
|
|
X |
Розподіл криптоключа |
FCS_CKM.2.1 |
E |
E |
E |
|
|
|
|
|
Доступ до криптоключа |
FCS_CKM.3.1 |
E |
E |
E |
|
|
X |
X |
X |
Знищення криптоключа |
FCS_CKM.4.1 |
X |
X |
X |
|
|
X |
X |
|
Криптооперація |
FCS_COP.1.1 |
X |
X |
X |
|
|
X |
X |
X |
Якісні показники випадкових чисел [РР 0002] |
|
|
|
|
|
X |
|
|
|
Коментарі
Вимога безпеки про доступ до криптоключа перебуває під відповідальністю ІТ-середовища TOE (CGA для генерації сертифіката).
[РР 0002] визначає конкретне сімейство для якісних показників генераторів випадкових чисел.
АІ.2.3 Користувацький захист даних FDP
Функціональні вимоги безпеки |
РР SSCD |
РР9806 |
РР0002 |
РР9911 |
РР0010 |
РР SCUG |
||||||||||||||||
|
|
|
|
|
|
|
|
|||||||||||||||
Керування доступом підмножини |
FDP_ACC.1.1 |
X |
X |
X |
|
|
|
|
X |
Функціональні вимоги безпеки |
PP SSCD |
PP9806 |
PP0002 |
PP9911 |
PP0010 |
PP SCUG |
|||
|
|
|
|||||||
Повне керування доступом |
FDP_ACC.2.1 |
|
|
|
X |
|
X |
X |
|
FDP_ACC.2.2 |
|
|
|
X |
|
X |
X |
|
|
Керування доступом, засноване на атрибутах безпеки |
FDP_ACF.1.1 |
X |
X |
X |
X |
|
X |
X |
X |
FDP_ACF.1.2 |
X |
X |
X |
X |
|
X |
X |
X |
|
FDP_ACF.1.3 |
X |
X |
X |
X |
|
X |
X |
X |
|
FDP_ACF.1.4 |
X |
X |
X |
X |
|
X |
X |
X |
|
Базова автентифікація даних |
FDP_DAU.1.1 |
|
|
|
|
|
X |
X |
|
FDP_DAU.1.2 |
|
|
|
|
|
X |
X |
|
|
Експорт користувацьких даних без атрибутів безпеки |
FDPJETC.1.1 |
X |
X |
X |
|
|
X |
X |
X |
FDP_ETC.1.2 |
X |
X |
X |
|
|
X |
X |
X |
|
інформаційних даних підмножини |
FDPJFC.1.1 |
|
|
|
X |
X |
|
|
X |
Прості атрибути безпеки |
FDPJFF.1.1 |
|
|
|
X |
|
|
|
X |
FDPJFF.1.2 |
|
|
|
X |
|
|
|
X |
|
FDPJFF.1.3 |
|
|
|
X |
|
|
|
X |
|
FDPJFF.1.4 |
|
|
|
X |
|
|
|
X |
|
FDPJFF.1.5 |
|
|
|
X |
|
|
|
X |
|
FDPJFF.1.6 |
|
|
|
X |
|
|
|
X |
|
Імпорт користувацьких даних без атрибутів безпеки |
FDPJTC.1.1 |
|
X |
X |
|
|
X |
X |
X |
FDPJTC.1.2 |
|
X |
X |
|
|
X |
X |
X |
|
FDPJTC.1.3 |
|
X |
X |
|
|
X |
X |
X |
|
Основний внутрішній захист передачі |
FDPJTT.1.1 |
|
|
|
|
X |
|
|
|
Захист підмножини залишкової інформації |
FDP_RIP.1.1 |
X |
X |
X |
|
|
X |
X |
X |
Основне відкочування |
FDP_ROL,1.1 |
|
|
|
|
|
|
X |
|
FDP_ROL.1.2 |
|
|
|
|
|
|
X |
|
|
Моніторинг цілісності збережених даних |
FDP_SDI.1.1 |
|
|
|
X |
|
|
|
|
Моніторинг цілісності збережених даних і дій |
FDP_SDI.2.1 |
|
X |
X |
|
|
X |
X |
|
FDP_SDI.2.2 |
|
X |
X |
|
|
X |
X |
|
|
Конфіденційність базових даних обміну |
FDPJJCT.1.1 |
X |
X |
|
|
|
|
|
|
Цілісність обміну даними |
FDP UIT.1.1 |
X |
X |
X |
|
|
|
|
X |
FDPJJIT.1.2 |
X |
X |
X |
|
|
|
|
X |