ST Chess BCT v1.1

Commentaren

Transcriptie

ST Chess BCT v1.1
Security Target van de Taxitronic BCT One
Boordcomputer Taxi (Secure Component
v1.x)
Projectnaam
BCT
Projectnummer
08068
Titel
Security Target van de Taxitronic BCT One Boordcomputer Taxi (Secure
Component v1.x)
Auteur
Dirk Jan Out, Roger van Schie
Versie
1.1
Status
Released
Classificatie
Openbaar
Info
Opgeslagen als ST Chess BCT v1.1.doc, op 13-02-2013 14:34:00
Copyright Statement
© 2013 Chess eT international B.V.
All rights reserved. Disclosure to third parties of this document or any part thereof, or the use of any information
contained therein for purposes other than provided for by this document, is not permitted, except with the prior
and express written permission of Chess Embedded Technology international B.V.
Chess www.chess.nl
Lichtfabriekplein 1, 2031 TE, Haarlem, The Netherlands
P.O. Box 5021, 2000 CA, Haarlem, The Netherlands
Tel.nr +31 (0)23 51 49 149 , Fax nr +31 (0)23 51 49 199
Chess embedded Technology international bv, K.v.K. 53479467
Documenthistorie
Datum
Auteur
Versie
Status
Opmerking
22 februari 2012
Dirk Jan Out
0.1
Draft
Eerste versie
28 februari 2012
Roger van Schie
0.2
Draft
Chess template toegevoegd,
diverse textuele correcties
1 maart 2012
Dirk-Jan Out
0.3
Draft
Kleine correcties. [PPI]
toegevoegd. Klaar om naar
NSCIB te worden gezonden.
22 april 2012
Dirk-Jan Out
0.4
Draft
Verbeterde definitie van de TOE
8 mei 2012
Roger van Schie
0.5
For review
Titel aangepast, aanvulling TOE
overzicht, handleiding nummers,
aanpassing tamper evidence GU,
FPT_TST.1.
25 mei 2012
Dirk-Jan Out
0.6
For review
Correcties naar aanleiding van
eerste evaluatie.
27 januari 2013
Roger van Schie
0.7
For review
Correcties na meeting-1. Update
van naamgeving SW
configuration items, Physical
scope up to date gemaakt.
Verzegeling updated.
6 februari 2013
Roger van Schie
0.8
Released
Update na review
7 februari 2013
Roger van Schie
1.0
Released
Final version
13 februari 2013
Roger van Schie
1.1
Released
FAQ updated
Referenties
2-12
[CCp1]
Common Criteria for IT Security Evaluation, Part 1, v3.1r3, Juli 2009
[CCp2]
Common Criteria for IT Security Evaluation, Part 2, v3.1r3, Juli 2009
[CCp3]
Common Criteria for IT Security Evaluation, Part 3, v3.1r3, Juli 2009
[CEMe]
Common Methodology for IT Security Evaluation, v3.1r3, Juli 2009
[FAQ]
Veelgestelde vragen fabrikanten Boordcomputer Taxi, Versie 1.7
[PP]
Beveiligingsprofiel Boordcomputer Taxi (PP-BCT), v1.3, Februari 2010
Security Target van de Taxitronic BCT One Boordcomputer Taxi (Secure Component v1.x) versie 1.1
Openbaar
Inhoud
1
ST Introductie
4
1.1 ST en TOE Referenties
1.2 TOE Overzicht en Gebruik
4
4
1.2.1
1.2.2
Belangrijke security features
Additioneel benodigde Hardware/Software/Firmware
1.3 TOE Beschrijving
1.3.1
1.3.2
2
3
4
5
Fysieke scope
Logische scope
6
6
6
Conformering
Beveiligingsprobleem, doelstellingen en eisen
7
8
3.1
3.2
3.3
3.4
3.5
3.6
8
8
8
8
8
8
Beveiligingsprobleem
Beveiligingsdoelstellingen
Definitie van “extended” componenten
Definities van termen
Functionele beveiligingseisen
Garantieniveau
Samengevatte TOE Specificatie
Rationale
5.1 Afhankelijkheden
3-12
5
5
Security Target van de Taxitronic BCT One Boordcomputer Taxi (Secure Component v1.x) versie 1.1
Openbaar
9
12
12
1
ST Introductie
1.1ST en TOE Referenties
Dit is versie 1.1 van de Security Target voor de Taxitronic1 BCT ONE Boordcomputer Taxi (Secure
component v1.x2).
1.2TOE Overzicht en Gebruik
De TOE is een Boordcomputer Taxi, zoals bedoeld in [PP]. De hardware van de TOE bestaat uit
drie delen (zie Figuur 1):
•
Een GU (Gebruikers Unit). Deze bevat een touchscreen (voor in- en uitvoer van
gegevens) en een kaartlezer. Hij dient in het voertuig te worden gemonteerd op een
dusdanige plek dat de chauffeur hem kan bedienen (bijvoorbeeld op de zonneklep of het
dashboard).
Figuur 1: Een GU, BU en GU Houder
•
Een BU (Basis Unit). Deze bevat het grootste gedeelte van de functionaliteit van de BCT.
Hij kan overal in het voertuig worden gemonteerd, en is verbonden met:
o
De GU via een (vercijferde) USB-kabel
o
De Bewegingsopnemer (geen onderdeel van de TOE), zodat de vastgelegde weg
kan worden vastgesteld
o
Een GPS-antenne (geen onderdeel van de TOE) , zodat de plaats kan worden
o
bepaald
Een printer (geen onderdeel van de TOE), voor het afdrukken van gegevens
o
Een taximeter (geen onderdeel van de TOE) voor informatie over ritprijs, tarief
etc.
De BU bevat ook twee USB-poorten die gebruikt kunnen worden door een inspecteur om
gegevens naar een USB-stick weg te schrijven.
•
Daarnaast bevat de BU de Systeemkaart, maar deze vormt geen onderdeel van de TOE.
Een GU-Houder. Deze wordt gebruikt om de GU aan het voertuig te bevestigen en te
verbinden met de BU. De GU kan hier op worden geplaatst en weer weggehaald. De GUhouder is geen onderdeel van de TSF.
1
2
4-12
De TOE is ontwikkeld door Chess eT International B.V. in opdracht van Taxitronic.
The sub-version parameter indicated by x is not security relevant
Security Target van de Taxitronic BCT One Boordcomputer Taxi (Secure Component v1.x) versie 1.1
Openbaar
De software van de TOE is hieronder weergeven (in relatie tot de hardware)
TOE
Omgeving
Randapparatuur
Randapparatuur
Randapparatuur
GU
SW
GUHouder
SE
SW
BU Core
SW
SE
SW
Core
Processor
GU Hardware
BU IO
SW
I/O
Processor
BU Hardware
GU
Systeemkaart
BU
Op de GU hardware draaien de GU software) en de Secure Element (SE) software.
De BU bevat drie processoren:
•
•
Een Core Processor, waarop de BU Core software draait
Een Secure Element (SE), waarop de SE software draait
•
Een I/O Processor, waarop de BU IO software draait. Deze software is bedoeld om alle
randapparatuur aan te sturen, en, omdat randapparatuur voortdurend wijzigt, is deze
frequent aan wijzingen onderhevig. Om deze reden is gekozen om de BU IO software
geen onderdeel van de TOE te laten uitmaken.
De software van de GU en BU wordt samengevoegd in één BCT One software release met
versienummer 1.0.xx.
1.2.1Belangrijke security features
De TOE bevat alle security features die vereist worden door [PP].
1.2.2Additioneel benodigde Hardware/Software/Firmware
De TOE dient te worden gebruikt in combinatie met:
• Een voertuig
3
4
• Een Bewegingsopnemer, een externe GPS-antenne , een Systeemkaart zoals
gedefinieerd in Artikel 3.3.1 van [PP].
• Een printer
• Een taximeter (optioneel)
• Een of meerdere Chauffeurskaarten, Inspectiekaarten, Keuringskaarten, en
Ondernemerskaarten, zoals gedefinieerd in Artikel 3.3.2 van [PP].
• Een USB-stick van de inspecteur (dit is een S.HANDHAVINGSMIDDEL zoals
gedefinieerd in Artikel 3.3.1 van [PP]).
• Een versie van BU IO SW, geïnstalleerd op de BU.
3
4
5-12
Onderdeel van de Positiebepalingsensor
Deze wordt meegeleverd in de TOE, maar is er geen onderdeel van
Security Target van de Taxitronic BCT One Boordcomputer Taxi (Secure Component v1.x) versie 1.1
Openbaar
1.3TOE Beschrijving
1.3.1Fysieke scope
Fysieke Scope
Hardware
Software
BU
GU
BCT One SW
Handleidingen Montagehandleiding BCT One
Chauffeurshandleiding BCT One
Inspectiehandleiding BCT One
Ondernemershandleiding BCT One
Werkplaatshandleiding BCT One
Instructie ontvangst BCT inbouwstation
Instructie ontvangst BCT Taxitronic Neone
Instructie opvragen inspectiehandleiding
ILenT
Instructie opvragen tamper inspectie
handleiding
BCT One tamper inspectie handleiding
5639.2000.xxx
5639.3000.xxx
V1.0.xx
V1 d.v
V1 d.v
V1 d. v
V1 d. v
V1 d. v
V1.x
V1.x
V1.x
V1.x
V1.x
Opmerking: xxx, xx, d.v en x zijn sub-versienummers binnen de certificering en met volgende
definitie:
xxx = volgnummer
xx = volgnummer
d.v = datum (jjjj.mm.dd) en volgnummer (xxx)
x = volgnummer
1.3.2Logische scope
Zie Artikel 3.1 van [PP].
6-12
Security Target van de Taxitronic BCT One Boordcomputer Taxi (Secure Component v1.x) versie 1.1
Openbaar
2Conformering
Deze ST en de TOE conformeren aan:
5 CC, versie 3.1R3, zoals beschreven in [CCp1], [CCp2], [CCp3] and [CEMe].
5 CC Part 2 als CC Part 2 “conformant”
5 CC Part 3 als CC Part 3 “conformant”
Deze ST conformeert aan [PP], zoals geinterpreteerd in [FAQ].
Deze ST conformeert aan EAL 3, en aan geen andere “packages”.
7-12
Security Target van de Taxitronic BCT One Boordcomputer Taxi (Secure Component v1.x) versie 1.1
Openbaar
3Beveiligingsprobleem, doelstellingen en
eisen
3.1Beveiligingsprobleem
Zie Artikel 4 van [PP].
3.2Beveiligingsdoelstellingen
Zie Artikel 5 van [PP].
3.3Definitie van “extended” componenten
Geen: identiek aan [PP].
3.4Definities van termen
Zie Artikelen 2.4 en 3.3 van [PP]:
3.5Functionele beveiligingseisen
Zie Artikel 6 van [PP]. Zie ook [FAQ] voor interpretaties hierop.
3.6Garantieniveau
Het garantieniveau is EAL3. Zie Artikel 7 van [PP] voor een toelichting hierop.
8-12
Security Target van de Taxitronic BCT One Boordcomputer Taxi (Secure Component v1.x) versie 1.1
Openbaar
4Samengevatte TOE Specificatie
FMT_SMR.2,
FIA_UID.1
(Boordcomputerkaarten),
computerkaarten), FIA_AFL.1,
FIA_UAU.1
(Boord-
Figuur 2: Het I&A interface van de GU
Het aannemen van een rol geschiedt door het inbrengen van een Chauffeurskaart,
Inspectiekaart, Keuringskaart of Ondernemerskaart in het Passysteem van de GU (zie
Figuur 2). De BU zal deze kaart authenticeren middels het certificaat op de kaart, en
vervolgens zal de GU vragen om een authenticatie van de bij de kaart behorende
persoon doormiddel van het invoeren van een minimaal 4-cijferige PIN op de GU (de
daadwerkelijke lengte van de PIN wordt door de kaart bepaald). Als er met de kaart 5
maal achtereen (dit wordt op de kaart bijgehouden) op een BCT foutief wordt getracht in
te loggen, dan zal de kaart worden geblokkeerd. Als de BCT een geblokkeerde kaart
krijgt aangeboden, kan er dus niet meer worden geauthenticeerd en wordt de
gebruikersrol ONBEKEND.
FIA_UAU.6
Voor de gebeurtenissen in FIA_UAU.6 zal een herauthenticatie moeten plaatsvinden
door middel van PIN-invoer, identiek aan hierboven.
FTA_SSL.2, FTA_SSL.3
Als de kaart wordt verwijderd, toont de GU een herauthenticatiescherm als boven, en laat
alleen herauthenticatie toe. Na herauthenticatie wordt de originele sessie hervat. Als er
niet binnen het uur wordt geherauthenticeerd (of er wordt een andere kaart ingebracht, of
aangemeld met BSN) wordt de sessie afgebroken.
Ondernemers, inspectie of keuringssessies worden afgebroken als er meer dan vijf
minuten geen activiteit plaatsvindt.
FIA_UID.2 (Overigen), FDP_ITC.1
9-12
Security Target van de Taxitronic BCT One Boordcomputer Taxi (Secure Component v1.x) versie 1.1
Openbaar
De
TOE
heeft
specifieke
interfaces
voor
S.BEWEGINGSOPNEMER,
S.POSITIEBEPALINGS-SENSOR,
S.PRINTER,
S.TAXAMETER,
S.HANDHAVINGSMIDDELEN, S.KALIBRATIEMIDDELEN EN S.BEDRIJFSMIDDELEN, en
neemt aan dat een apparaat die dat interface gebruikt, het bijbehorende S.* is. Omdat het
hier alleen maar identificatie betreft en geen authenticatie is dit voldoende. De TOE
draagt er ook zorg voor dat:
• Informatie die bedoeld is voor een interface, alleen maar naar dat interface gaat
• De opdracht tot uitvoer van bepaalde informatie alleen maar kan worden
gegeven als de TOE in de juiste mode is.
FDP_ACC.2, FDP_ACF.1, FDP_ETC.2,
Afhankelijk van de aangenomen rol toont de GU een aantal schermen (zie Figuur 3 voor
voorbeelden). Als een rol een bepaalde handeling (bijvoorbeeld het uitvoeren van
gegevens plus een digitale handtekening) niet toestaat, is die handeling niet beschikbaar
op de schermen die voor die rol worden getoond.
Figuur 3: Een aantal schermen op de GU
FAU_GEN.1, FAU_ARP.1, FAU_STG.1, FAU_STG.4, FRU_RSA.2
Als er één van de gebeurtenissen op de lijst in FAU_GEN.1 optreedt dan:
• registreert de BU alle gevraagde gegevens over die gebeurtenis in een Flashgeheugen binnenin de BU,
• Gerelateerde errors en storingen worden weergegeven op het scherm van de
GU.
Het Flash-geheugen waar de gegevens in zijn opgeslagen is niet toegankelijk van buiten
(niemand kan de gegevens wijzigen), en alleen de rollen die expliciet zijn geautoriseerd
kunnen de gegevens wissen. Het Flash-geheugen heeft voldoende capaciteit voor 365
dagen normaal gebruik. Mocht het Flash-geheugen desondanks vol raken dan worden de
oudste gegevens overschreven.
FDP_DAU.2, FCS_COP.1
10-12
Security Target van de Taxitronic BCT One Boordcomputer Taxi (Secure Component v1.x) versie 1.1
Openbaar
Als er gegevens worden opgeslagen en/of ge-exporteerd, dan worden deze voorzien van
5
een digitale handtekening. De BU geneert hiervoor een hash (SHA -256 ) en stuurt deze
hash ter ondertekening naar dan wel de systeemkaart, dan wel de chauffeurskaart.
FPT_STM.1
De BU bevat een interne klok (met batterij). Als de BU van de accu wordt afgekoppeld,
sluit hij na vijf seconden af: de klok blijft echter doorlopen.
FPT_PHP.1
De BU heeft een behuizing waarbij in de constructie (naden/openingen/ connectoren) al
rekening gehouden is met tamper-evidence. De BU wordt bijeengehouden middels een
schroef. Deze is voorzien van een eerste tamper seal (een groen plastic breekdopje) met
daaroverheen een tamper-evident plakzegel. Zie Figuur 4 voor details.
Figuur 4: Breekdopje BU en plakzegel BU
De GU is identiek beveiligd: bij de constructie (naden/openingen/ connectoren) is al
rekening gehouden met tamper-evidence en er worden drie schroeven gebruikt met
plakzegels (één van de schroeven is voorzien van een groen plastic breekdopje). Zie
Figuur 5 voor details.
Figuur 5: Schroeven/breekdopje GU en Plakzegel GU
De GU-houder is niet tamper-evident, want deze is geen onderdeel van de TSF.
FTP_ITC.1, FIA_UID.2 (Systeemkaart)
De systeemkaart is ingebouwd in een kaarthouder in de BU. De kaarthouder is
bereikbaar vanuit het connector compartiment. Na plaatsing van de systeemkaart wordt
de toegang van de kaarthouder verzegeld met een tamper-evident plakzegel. Zie Figuur
6 voor details.
5
Het PP zegt “SHA -256 en SHA -1”, maar sinds oktober 2011 is gebruik van SHA -1 voor Nederlandse
overheidscertificaten niet langer toegestaan. Aangezien alle kaarten voor dit project van na die tijd
stammen wordt SHA -1 niet ondersteund. Een voorstel voor aanpassing van het PP ligt op dit moment bij
IVW. Zodra deze bekend is zal de ST worden aangepast.
11-12
Security Target van de Taxitronic BCT One Boordcomputer Taxi (Secure Component v1.x) versie 1.1
Openbaar
Figuur 6: Systeemkaart plaatsing in de BU en plakzegel
Zowel de systeemkaart als de verbinding tussen de systeemkaart en de rest van de TOE
kan niet worden benaderd tenzij de tamper-evident verzegeling wordt doorbroken.
Daarnaast wordt de systeemkaart bij opstarten van de BU geïdentificeerd door het
checken van de identiteit op het certificaat van de systeemkaart.
FPT_TST.1
Bij opstarten van de TOE wordt de integriteit van de TOE gecontroleerd door
• Een CRC check over de uitvoerbare code
•
Een CRC check over de O.SYSTEEMGEGEVENS
• Een status check van alle storingen in het systeem
Op verzoek van de TOEZICHTHOUDER, WERKPLAATS of VERVOERDER, wordt de
integriteit van de O.SYSTEEMGEGEVENS en/of de uitvoerbare code gecontroleerd door
een CRC check.
5
Rationale
Zie Artikel 8.1 en 8.2 van [PP].
5.1Afhankelijkheden
Zie Artikel 8.3 van [PP].
12-12
Security Target van de Taxitronic BCT One Boordcomputer Taxi (Secure Component v1.x) versie 1.1
Openbaar

Vergelijkbare documenten

ST Versie 1.1. Quipment BCT Focus

ST Versie 1.1. Quipment BCT Focus Figuur 2: Het I&A interface van de GU Het aannemen van een rol geschiedt door het inbrengen van een Chauffeurskaart, Inspectiekaart, Keuringskaart of Ondernemerskaart in het Passysteem van de GU (z...

Nadere informatie

Release notes Cabman BCT 1.8

Release notes Cabman BCT 1.8 randapparatuur aan te sturen, en, omdat randapparatuur voortdurend wijzigt, is deze frequent aan wijzingen onderhevig. Om deze reden is gekozen om de BU IO software geen onderdeel van de TOE te lat...

Nadere informatie

Release notes Cabman BCT 2.0

Release notes Cabman BCT 2.0 De TOE is een Boordcomputer Taxi, zoals bedoeld in [PP]. De hardware van de TOE bestaat uit drie delen (zie Figuur 1):

Nadere informatie

Handleiding

Handleiding voorbeelden). Als een rol een bepaalde handeling (bijvoorbeeld het uitvoeren van gegevens plus een digitale handtekening) niet toestaat, is die handeling niet beschikbaar op de schermen die voor di...

Nadere informatie