INFORME DE CERTIFICACIÓN



Documentos relacionados
INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

Declaración de Seguridad

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

MINISTERIO DE DEFENSA CENTRO NACIONAL DE INTELIGENCIA CENTRO CRIPTOLÓGICO NACIONAL ORGANISMO DE CERTIFICACIÓN

MINISTERIO DE DEFENSA CENTRO NACIONAL DE INTELIGENCIA CENTRO CRIPTOLÓGICO NACIONAL ORGANISMO DE CERTIFICACIÓN INFORME DE CERTIFICACION

Declaración de Seguridad para PROCESA Engine v.1.7.3

Grupo de Seguridad de ATI Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico

AGESIC Gerencia de Proyectos

Plataforma de expediente

Servicios electrónicos del Banco de España

SISTEMA LOGÍSTICO DE ACCESO DE TERCEROS A LA RED (SL-ATR)

Resumen General del Manual de Organización y Funciones

SISTEMA LOGÍSTICO DE ACCESO DE TERCEROS A LA RED (SL-ATR)

Tecnología en Seguridad Perimetral

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Administración Local Soluciones

SPRI FIRMA ELECTRONICA DE DOCUMENTOS

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

INFORME Nº GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

Resumen General del Manual de Organización y Funciones

Consulta a servicio OCSP. Consulta en línea de estado de Certificados

Elementos requeridos para crearlos (ejemplo: el compilador)

1. CONFIGURACIÓN Y DESARROLLO FACTURACIÓN ELECTRÓNICA. a. CONFIGURACION DE SERVIDORES b. CERTIFICADO DIGITAL c. MODULO GENERADOR DOCUMENTOS XML d.

Administración segura de los certificados digitales. Ing. Carina Estrada Villegas Cel:

Ing. Cynthia Zúñiga Ramos

Entidad Certificadora y Políticas Pertinentes

PRIMEROS PASOS EN LA APLICACIÓN REA

MANUAL DE USUARIO. Versión: 3.5

Introducción a la Firma Electrónica en MIDAS

Nº de comunicación Romualdo Erdozain Iglesia

GUÍA DE USO E INSTALACIÓN DE CERTIFICADOS DIGITALES EN EL SISTEMA DE BONIFICACIONES 2009

INFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DE TRABAJO DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

OFICINA VIRTUAL FIRMA DIGITAL. Manual de Usuario

Curso Online. System Security Auditor

C/ ACEBO 33 POZUELO DE ALARCON MADRID TELEFONO (91) Curso

Adquisición de un producto comercial. para la Gestión del proyecto de. Factura Electrónica

Servinómina. Servicio de Visualización de Nóminas. (Servinómina) Agosto de Página 1 de 8 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS

Unidad I Introducción a la Criptografía Trabajo colaborativo 1 Temáticas revisadas:

SISTEMAS INFORMATICOS SUR, S.L. PERFIL DE LA COMPAÑÍA

LX8_022 Requisitos técnicos de. instalación para el usuario

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA

MACROPROCESO GESTIÓN TECNOLÓGICA

SEGURIDAD OCTUBRE Versión 1

MANUAL DE INSTALACIÓN

Especificaciones de la oferta Administración de dispositivos distribuidos Administración de activos

RECETA ELECTRÓNICA Informe de Seguridad

Prestador de servicios de certificación digital Empresas Organismos Administración Pública Gobiernos

S o l u c i o n e s I n f o r m a t i c a s. Soluciones a un solo clic

AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL

IAP TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)

Informe final de evaluación del seguimiento de la implantación de títulos oficiales GRADO EN DERECHO. Facultad de Derecho UCM

Curso MOC Servicios y administración de identidades en Office 365

FileMaker Pro 13. Uso de una Conexión a Escritorio remoto con FileMaker Pro 13

PERFILES OCUPACIONALES

Sistema de Control de Accesos API-WIN

Q-expeditive Publicación vía Internet

Resumen de Requisitos Técnicos para incorporación de Organismos a la Plataforma Integrada de Servicios Electrónicos del Estado

Information Security Network Management Solutions

CAPITULO V CONCLUSIONES Y RECOMENDACIONES. Para poder desarrollar una propuesta confiable de seguridades, enmarcada en las

UNIDESYS UNIVERSAL BUSINESS SYSTEMS INSTALACIÓN NUEVO PUESTO DE TRABAJO

Nombre de la sesión: Intelisis Business Intelligence segunda parte

Curso Online de Microsoft Project

La Solución informática para su sistema de gestión

"Plataforma para la Administración electrónica y not@rio"

El proceso de Instalación de Microsoft SQL Server 2008

INSTALACIÓ N A3ERP. Informática para empresas INTRODUCCIÓN CONSIDERACIONES GENERALES DE LA INSTALACIÓN PAQUETES DE INSTALACIÓN PREDEFINIDOS

Administración Local Soluciones

DESCRIPCIÓN DEL PROCESO DE CERTIFICACION INTE-ISO 9001, INTE-ISO e INTE-OHSAS 18001

MS_10748 Deploying System Center 2012, Configuration Manager

ANEXO 23: TÉRMINOS DE REFERENCIA PARA LA AUDITORÍA DEL PROYECTO

Guía Rápida de Inicio

FileMaker Pro 14. Uso de una Conexión a Escritorio remoto con FileMaker Pro 14

MANUAL DE INSTLACION ETOKEN PARA WINDOWS DESDE LA WEB. Gerente General Gerente General Gerente General

Conceptos útiles y glosario de definiciones

Software Criptográfico FNMT-RCM

Microsoft Dynamics. Migración de FRx 6.7 a Management Reporter for Microsoft Dynamics ERP

INFORME DE CERTIFICACIÓN

Versión:v01r06 Fecha: 07/11/2013. Matriz de compatibilidad del cliente 3.3.1

Curso Online. Desarrollo Seguro en Java

INSTALACIÓN A3ERP INTRODUCCIÓN CONSIDERACIONES GENERALES DE LA INSTALACIÓN PAQUETES DE INSTALACIÓN PREDEFINIDOS

Política de Formatos Oficiales de los Documentos Electrónicos Firmados Digitalmente

Solución de una Intranet bajo software Open Source para el Gobierno Municipal del Cantón Bolívar [IOS-GMCB] Gobierno Municipal del Cantón Bolívar

Universidad Mayor de San Andrés Facultad de Ciencias Puras y Naturales Carrera de Informática. ired. Sistema de Inventario de Red

Política de confianza

Administración Local Soluciones

EDItran/CA z/os. Autoridad de Certificación para EDItran/CD Servicios UNIX z/os. UNIX z/os. Manual de Usuario

Monitorización de sistemas y servicios

CONVOCATORIA DEL CURSO DE FORMACIÓN AL E-FÁCIL PARA DESARROLLADORES

Transcripción:

REF: 2010-4-INF-508 v1 Difusión: Público Fecha: 24.08.2010 Creado: CERT8 Revisado: TECNICO Aprobado: JEFEAREA INFORME DE CERTIFICACIÓN Expediente:2010-4 SIAVAL Módulo Crypto Datos del solicitante: A82733262 Sistemas Informáticos Abiertos Referencias: EXT-997 Solicitud de Certificación EXT-1026 ETR Final CCRA Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security, mayo 2000. Informe de certificación del producto eas/trusted Signature Platform (SIAVAL): Módulo Crypto v6.2.1, según la solicitud de referencia [EXT-997], de fecha 11 de mayo de 2010, y evaluado por el laboratorio Epoche & Espri, conforme se detalla en el correspondiente informe de evaluación indicado en [EXT-1026] de acuerdo a [CCRA], recibido el pasado 16 de julio de 2010. Página 1 de 11

INDICE RESUMEN... 3 RESUMEN DEL TOE... 4 REQUISITOS DE GARANTÍA DE SEGURIDAD... 4 REQUISITOS FUNCIONALES DE SEGURIDAD... 4 IDENTIFICACIÓN... 6 PROBLEMA DE SEGURIDAD... 6 FUNCIONALIDAD DEL ENTORNO... 6 ARQUITECTURA... 7 DOCUMENTOS... 8 PRUEBAS DEL PRODUCTO... 8 CONFIGURACIÓN EVALUADA... 9 RESULTADOS DE LA EVALUACIÓN... 9 RECOMENDACIONES Y COMENTARIOS DE LOS EVALUADORES... 10 RECOMENDACIONES DEL CERTIFICADOR... 10 GLOSARIO DE TÉRMINOS... 10 BIBLIOGRAFÍA... 11 DECLARACIÓN DE SEGURIDAD... 11 Página 2 de 11

Resumen Este documento constituye el Informe de Certificación para el expediente de la certificación del producto eas/trusted Signature Platform (SIAVAL): Módulo Crypto v6.2.1. El TOE es parte del producto eas/trusted Signatura Platform v6.2.1. El TOE está compuesto por el módulo Crypto, que ofrece las operaciones funcionales de firma electrónica, cifrado/descifrado de datos y validación de certificados, el API de integración que facilita las llamadas a los servicios web que ofrece el módulo Crypto y los ficheros de configuración que previamente deberán haber sido establecidos por un módulo de administración externo al TOE. Fabricante: Sistemas Informáticos Abiertos, S.A. Patrocinador: Sistemas Informáticos Abiertos, S.A. Organismo de Certificación: Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI). Laboratorio de Evaluación: Epoche & Espri. Perfil de Protección: Ninguno. Nivel de Evaluación: EAL1+ALC_FLR.1 Fortaleza de las Funciones: no aplica en CC v3.1 Fecha de término de la evaluación: 16 de julio de 2010. Todos los componentes de garantía requeridos por el nivel de evaluación EAL1 (aumentado con ALC_FLR.1) presentan el veredicto de PASA. Por consiguiente, el laboratorio Epoche & Espri asigna el VEREDICTO de PASA a toda la evaluación por satisfacer todas las acciones del evaluador, a nivel EAL1, definidas por los Criterios Comunes v3.1 [CC-P3] y la Metodología de Evaluación v3.1 [CEM]. A la vista de las pruebas obtenidas durante la instrucción de la solicitud de certificación del producto eas/trusted Signature Platform (SIAVAL): Módulo Crypto, se propone la resolución estimatoria de la misma. Página 3 de 11

Resumen del TOE El TOE es un subconjunto de elementos que forman parte del producto eas/trusted Signature Platform v6.2.1, también conocido como SIAVAL. El producto completo es una Plataforma de Firma y Custodia que permite tanto la generación como la validación de firma electrónica, utilizando diferentes formatos como XMLDSig, XAdES 1.2.2, CAdES 1.7.3, PKCS#7 y PDF, así como la Custodia de Documentos (firmados o no), custodia de firmas y almacenamiento simple. Requisitos de garantía de seguridad El producto se evaluó con todas las evidencias necesarias para la satisfacción del nivel de evaluación EAL1, más las requeridas para el componente adicional, ALC_FLR.1, según la parte 3 de CC v3.1 r3. ASE_INT.1 ASE_CCL.1 ASE_OBJ.1 ASE_ECD.1 ASE_REQ.1 ASE_TSS.1 AGD_OPE.1 AGD_PRE.1 ALC_CMC.1 ALC_CMS.1 ALC_FLR.1 ADV_FSP.1 ATE_IND.1 AVA_VAN.1 ST Introduction Conformance claims Security objectives for the operational environment Extended components definition Stated security requirements TOE summary specification Operational user guidance Preparative procedures Labelling of the TOE Parts of the TOE CM coverage Basic Flaw Remediation Basic functional specification Independent testing - conformance Vulnerability survey Requisitos funcionales de seguridad La funcionalidad de seguridad del producto satisface los requisitos funcionales, según la parte 2 de CC v3.1 r3, siguientes: FCS_COP.1 FCS_CKM.1 Cryptographic Operation Cryptographic Key Generation Página 4 de 11

FDP_ACC.2 FDP_ACF.1 FIA_UID.2 FIA_UAU.2 FIA_UAU.5 FAU_GEN.1 FPT_CII.1 Complete Access Control Security Attribute Based Access Control User Identification Before Any Action User Authentication Before Any Action Multiple Authentication Mechanisms Audit Data Generation Basic Confidentiality and Integrity of Imported Data (extendido) Página 5 de 11

Identificación Producto: eas/trusted Signature Platform (SIAVAL): Módulo Crypto v6.2.1 Declaración de Seguridad: eas/trusted Signatura Platform (SIAVAL): Módulo Crypto v6.2.1 - Declaración de Seguridad v1.6, junio 2010 Perfil de Protección: Ninguno. Nivel de Evaluación: CC v3.1 r3 EAL1+ (ALC_FLR.1). Fortaleza de las Funciones: no aplica en CC v3.1. Problema de seguridad Al tratarse de una Declaración de Seguridad de baja garantía (Low Assurance Security Target) no es necesario describir la definición del problema de seguridad. Únicamente se mantiene la descripción de los objetivos del entorno operacional. Funcionalidad del entorno. El producto requiere de la colaboración del entorno para la cobertura de algunos objetivos del problema de seguridad definido. Los objetivos que se deben cubrir por el entorno de uso del producto son los siguientes: Objetivo entorno 01: Acceso restringido El TOE estará instalado en un servidor físico y en un servidor de aplicaciones ubicados en un entorno seguro y controlado por administradores de confianza los cuales serán los encargados de gestionar el acceso físico al TOE, tanto a sus ficheros de configuración como a los ficheros ejecutables del TOE. Objetivo entorno 02: Comunicaciones seguras Las comunicaciones que se establecen a los servicios del TOE deben siempre realizarse a través de mecanismos seguros. La conexión desde los clientes al TOE deberá realizarse a través de una conexión http sobre SSL; de esta manera las aplicaciones clientes se aseguran que se conectan a un servidor seguro, puesto que deberán confiar en el certificado correspondiente del servidor. Objetivo entorno 03: Datos de autenticación Página 6 de 11

El entorno debe asegurar los distintos datos de autenticación de los usuarios y, en el caso de autenticación mediante certificados, éstos deberán ser emitidos por una fuente fiable y disponer de los procesos pertinentes para la renovación y verificación de los mismos. Arquitectura Arquitectura Lógica: Módulo Crypto: Proporciona todos los servicios de firma electrónica, cifrado/descifrado de información y validación de certificados. Estos servicios se ofrecen a través de servicios web WSS o mediante servicios web mediante protocolo binario Hessian. API de Integración Crypto: Este API realiza las llamadas a los servicios que proporciona el módulo Crypto de manera transparente al usuario abstrayendo la complejidad de la construcción de los WSDL o llamadas binarias Hessian, de manera que el usuario realiza las llamadas a través de un API Java. Arquitectura Física: Se trata de un producto software. Página 7 de 11

Documentos El producto incluye los documentos indicados a continuación, y que deberán distribuirse y facilitarse de manera conjunta a los usuarios de la versión evaluada. eas/trusted Signatura Platform v6.2.1 Manual de Administración v1.0, Julio 2010. eas/trusted Signatura Platform v6.2.1 Manual del Asistente de Instalación v1.0, julio 2010. eas/trusted Signatura Platform v6.2.1 Manual de Control de Acceso v1.0, Julio 2010. eas/trusted Signatura Platform v6.2.1 Manual de Despliegue v1.0, Julio 2010. eas/trusted Signatura Platform v6.2.1 Manual de Integración Crypto v1.0, julio 2010. eas/trusted Signatura Platform v6.2.1 Interfaces Modo Seguro v1.0, Julio 2010. eas/trusted Signatura Platform v6.2.1 Manual de Instalación Modo Seguro v1.0, Julio 2010. eas/trusted Signatura Platform v6.2.1 Manual de Auditoría v1.0, Julio 2010. eas/trusted Signatura Platform (SIAVAL): Módulo Crypto v6.2.1 Declaración de Seguridad v1.6, Junio 2010. Pruebas del producto El fabricante ha realizado pruebas para todas las funciones de seguridad. Todas las pruebas han sido realizadas por el fabricante en sus instalaciones con resultado satisfactorio. El proceso ha verificado cada una de las pruebas individuales, comprobando que se identifica la función de seguridad que cubre y que la prueba es adecuada a la función de seguridad que se desea cubrir. Todas las pruebas se han realizado sobre un mismo escenario de pruebas acorde a la arquitectura identificada en la declaración de seguridad. Se ha comprobado que los resultados obtenidos en las pruebas se ajustan a los resultados esperados. Para verificar los resultados de los las pruebas del fabricante, el laboratorio ha repetido en las instalaciones del fabricante todas estas pruebas funcionales. Igualmente, ha escogido y repetido entorno a un 25 % de las pruebas funcionales definidas por el fabricante, en la plataforma de pruebas montada en el laboratorio de evaluación, seleccionando una prueba por cada una de las clases funcionales más relevantes. Adicionalmente, el laboratorio ha desarrollado una prueba por cada una de las funciones de seguridad del producto, verificando que los resultados así obtenidos son consistentes con los resultados obtenidos por el fabricante. Página 8 de 11

Se ha comprobado que los resultados obtenidos en las pruebas se ajustan a los resultados esperados, y en aquellos casos en los que se presentó alguna desviación respecto de lo esperado el evaluador ha constatado que dicha variación no representaba un problema para la seguridad, ni suponía una merma en la capacidad funcional del producto. Configuración evaluada Los requisitos software y hardware, así como las opciones referidas son los que se indican a continuación. Así, para el funcionamiento del producto eas/trusted Signature Platform (SIAVAL): Módulo Crypto v6.2.1 es necesario disponer de los siguientes componentes software: Sistema Operativo en servidor del TOE: Microsoft Windows 2003 Server Sistema Operativo en servidor de servicios externos: Microsoft Windows 2003 Server Sistema Operativo en cliente: Microsoft Windows XP SP3 Servidor de Aplicaciones: JBOSS 4.0.4 GA Java Runtime Enviroment en servidor: JDK 1.5.0.15 con JCE Unlimited Strength Java Runtime Enviroment en cliente: JDK 1.5.0.15 con JCE Unlimited Strength Módulo de administración: Módulo que establece la configuración al TOE eas/tsp tspadmin v6.2 TSA: Módulo para el sellado de tiempo eas/tsp TSA v6.2 que cumple con la RFC3161 Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) OCSP: OCSP que cumple con la RFC2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol OCSP En cuanto a los componentes hardware, el único requisito es que soporten los elementos software detallados previamente. Dentro de todas las posibilidades que ofrecen estos requisitos software, la configuración que se ha elegido para su evaluación es la siguiente: Máquina Servidor: PC Intel 32 bits. Máquina Cliente: PC Intel 32 bits. Módulo Criptográfico: Luna SA v 4.4 de SafeNet mediante acceso de API cliente propio de SafeNet. Resultados de la Evaluación Página 9 de 11

El producto eas/trusted Signature Platform (SIAVAL): Módulo Crypto v6.2.1 ha sido evaluado frente a la declaración de seguridad eas/trusted Signature Platform (SIAVAL): Módulo Crypto v6.2.1 Declaración de Seguridad, v1.6 de junio de 2010. Todos los componentes de garantía requeridos por el nivel de evaluación EAL1+ (aumentado con ALC_FLR.1) presentan el veredicto de PASA. Por consiguiente, el laboratorio Epoche & Espri asigna el VEREDICTO de PASA a toda la evaluación por satisfacer todas las acciones del evaluador a nivel EAL1+ALC_FLR.1, definidas por los Criterios Comunes [CC-P3] y la Metodología de Evaluación [CEM] en su versión 3.1 r3. Recomendaciones y comentarios de los evaluadores A continuación se proporcionan las recomendaciones acerca del uso seguro del producto. Estas recomendaciones han sido recopiladas a lo largo de todo el proceso de evaluación y se detallan para que sean consideradas en la utilización del producto. El producto esta compuesto de diversos módulos, uno de los cuales es el objeto de evaluación (TOE). Se recomienda que la conexión entre estos módulos se limite a un entorno seguro donde ningún atacante pueda observar ni interferir la comunicación. Configurar el firewall del sistema operativo del TOE para denegar el acceso a los puertos que permiten el acceso no cifrado. Configurar el firewall del sistema operativo del TOE para denegar el acceso al puerto RMI levantado por el TOE. Evitar el acceso a la consola de JBoss a través de puertos en claro, y utilizar una password fuerte para protegerla. Permitir el acceso a los servicios del TOE únicamente a clientes confiables. Recomendaciones del certificador A la vista de las pruebas obtenidas durante la instrucción de la solicitud de certificación del producto eas/trusted Signature Platform (SIAVAL): Módulo Crypto v6.2.1, se propone la resolución estimatoria de la misma. Glosario de términos CCN CNI ETR OC TOE Centro Criptológico Nacional Centro Nacional de Inteligencia Evaluation Technical Report (Informe Técnico de Evaluación) Organismo de Certificación Target Of Evaluation (Objeto de Evaluación) Página 10 de 11

Bibliografía Se han utilizado las siguientes normas y documentos en la evaluación del producto: [CC_P1] Common Criteria for Information Technology Security Evaluation- Part 1: Introduction and general model, Version 3.1, r3, Julio 2009. [CC_P2] Common Criteria for Information Technology Security Evaluation Part 2: Security functional requirements, Version 3.1, r3, Julio 2009. [CC_P3] Common Criteria for Information Technology Security Evaluation Part 3: Security assurance requirements, Version 3.1, r3, Julio 2009. [CEM] Common Evaluation Methodology for Information Technology Security: Introduction and general model, Version 3.1, r3, Julio 2009. Declaración de seguridad Conjuntamente con este informe de certificación, se dispone en el Organismo de Certificación de la declaración de seguridad completa de la evaluación: eas/trusted Signature Platform (SIAVAL): Módulo Crypto v6.2.1 Declaración de Seguridad v 1.6, junio 2010. Página 11 de 11

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback