Documents supports du groupe Crypto WG

Le groupe SOG-IS Crypto WG a pour mission de fournir un support technique au CG dans l’établissement d’un schéma SOG-IS d’évaluation de la cryptographie, c’est-à-dire d’un ensemble d’exigences et de procédures d’évaluation mutuellement reconnues par les participants de l’accord du SOG-IS et relatives aux aspects cryptographiques dans les évaluations de la sécurité de produits des technologies de l’information selon les Critères Communs.


Le document "SOG-IS Crypto Working Group – Agreed Cryptographic Mechanisms" est principalement destiné aux évaluateurs et aux développeurs. Il a pour objet de spécifier quels mécanismes cryptographiques sont reconnus acceptés, c’est-à-dire acceptables par tous les participants de l’accord du SOG-IS. Pour chacun des principaux types de mécanismes cryptographiques symétriques et asymétriques, ce document fournit une table indiquant quels mécanismes de ce type sont acceptés. Une évaluation selon les exigences du schéma SOG-IS d’évaluation de la cryptographie doit permettre de donner à un utilisateur de la cible de sécurité l’assurance que tous les mécanismes cryptographiques mis en œuvre sont acceptés. Ce document fournit également des recommandations générales et des recommandations spécifiques relatives à la manière d’implémenter et d’évaluer les différents mécanismes cryptographiques et formule des exigences relatives à la gestion des clés.

Les autres aspects de l’évaluation des mécanismes cryptographiques selon le schéma SOG-IS d’évaluation de la cryptographie tels que les tests de conformité, l’évaluation de l’implémentation, la vérification de la cohérence entre l’architecture de sécurité et la gestion des clés de la cible de sécurité et ses objectifs de sécurité, etc., seront traités dans d’autres documents support.

Titre Commentaire Version Date
SOGIS Agreed Cryptographic Mechanisms Tout commentaire doit être adressé aux éditeurs du document par l’intermédiaire des membres du groupe JIWG. Ce document sera régulièrement mis à jour. 1.2 Janvier 2020
SOGIS Agreed Cryptographic Mechanisms 1.1 Juin 2018
SOGIS Agreed Cryptographic Mechanisms Version initiale 1.0 Mai 2016


Le document "SOG-IS Crypto Working Group - Harmonised cryptographic Evaluation Procedures" (HEP) est prioritairement destiné aux évaluateurs et aux développeurs. Son objectif étant de déterminer une méthode d’évaluation harmonisée des mécanismes cryptographiques mis en œuvre par une cible d’évaluation (TOE, Target of evaluation), il peut être utilisé dans tout schéma d’évaluation. Il constitue également un support au document "Agreed Cryptographic Mechanisms" (ACM), HEP prenant en compte tous les mécanismes décrits par ACM.

Toujours à l’état de projet, ce document n’a pas été totalement approuvé par les membres du SOG-IS.

Titre Commentaire Version Date
SOGIS Harmonised cryptographic Evaluation Procedures Ce document HEP est toujours en cours de développement, il est disponible ici pour revue publique.
Les commentaires peuvent être diffusés par l’intermédiaire des membres du groupe JIWG et à l’adresse commoncriteria@bsi.bund.de, point de contact du président du MC.
0.16 Dec. 2020


Documents supports du JIWG

Les documents supports du JIWG listés dans le tableau ci-dessous servent de support à l'évaluation de produits aux niveaux généraux. Ils sont continuellement contrôlés et mis à jours par le JIWG.

Il est à noter que le JIWG maintient également des documents supports associés à des domaines techniques spécifiques. Pour une vue d'ensemble, voir la page sur les domaines techniques gérés par le SOG-IS.


Guide: l'objectif des guides est de permettre aux développeurs, ITSEF et centres de certification d'améliorer l'évaluation et le processus de certification. Les guides peuvent par exemple donner du contexte pour aider à comprendre l'approche d'évaluation ou toute autre information, et n'engagent aucune des parties.

Obligatoire: les documents obligatoires contiennent un ensemble cohérent d'interprétations qui spécifient l'usage des critères et de la méthodologie dans un domaine spécifique, et doivent être utilisés lorsque applicables. Ces documents contiennent les éléments nécessaire à la reconnaissance mutuelle des certificats pour les technologies auxquelles ils s'appliquent. Le Rapport Technique d'Evaluation et le Rapport de Certification doivent identifier les documents obligatoires pris en compte, y compris leurs numéros de version.

Pour test: avant de rendre un document obligatoire, une phase expérimentale s'applique. L'objectif de cette phase expérimentale est d'acquérir de l'expérience dans l'application des exigences qui seront attendues d'un document obligatoire dans le contexte de l'évaluation d'un produit. L'usage des documents pour test est obligatoire pour la certification sous l'accord SOGIS-MRA de tout produit auquel ils s'appliquent.

Pendant sa phase expérimentale, il est prévu qu'un soutien particulier soit fourni par le centre de certification en charge de l?évaluation pour interpréter le document considéré au cas par cas si des problèmes sur son application sont identifiés. Les interprétations qui auront été identifiées pendant les phases de test seront émises aux éditeurs des documents en vue de leurs améliorations dans des versions ultérieures.


Documents supports CC d'usage général

Titre Type Version Date
Collection of developer evidence Guide 1.5 Jan. 2012
Evaluation methodology for product series Guide 1.0 Avril 2017
Minimum site security requirements
Ce document correspond à un guide dans le cas général, mais est obligatoires pour les domaines techniques
Guide
3.0
Fev. 2020
Checklist (corresponding to MSSR 3.0)
Guide
3.0
Fev. 2020

 

Documents supports CC pour cartes à puces et dispositifs similaires

Titre Type Version Date
Application of Attack Potential to Smartcards Obligatoire 3.2 Nov. 2022
Application of CC to Integrated Circuits
Obligatoire 3.0
Fév. 2009
Composite product evaluation for Smart Cards and similar devices
Obligatoire 1.5.1
Mai 2018
ETR for composite evaluation template
Guide 1.1
Août 2015
Guidance for Smartcard evaluation
Guide 2.0
Fév. 2010
Security Architecture requirements (ADV_ARC) for Smart Cards and similar devices extended to Secure Sub-Systems in SoC
Obligatoire
2.1
Juil. 2021
Security Architecture requirements (ADV_ARC) for Smart Cards and similar devices extended to Secure Sub-Systems in SoC - Appendix 1
Guide
2.1
Juil. 2021
Certification of "open" smart card products
Pour test
1.1
Fév. 2013
Minimum site security requirements
Obligatoire
3.0
Fev. 2020
Checklist (corresponding to MSSR v2.2)
Guide
1.2
Janv. 2020
Security requirements for post-delivery code loading
Guide
1.0
Fev. 2016
Minimum ITSEF Requirements for Security Evaluations of Smart cards and similar devices
Obligatoire
2.1
Fev. 2020
Assurance Continuity - Practical Cases for Smart Cards and similar devices
Guide
1.0
Nov. 2017
Code Disclosure and Software IP Reuse
Guide
1.2
Nov. 2017
Site Technical Audit Report Template
Guide
1.0
Fév. 2018

 

Documents supports CC pour équipements matériels avec boîtiers sécurisés

Titre Type Version Date
Application of Attack Potential to Hardware Devices with Security Boxes
Obligatoire
3.0
Juil. 2020
Minimum ITSEF Requirements for Security Evaluations of Hardware Devices with Security Boxes
Obligatoire
1.1
Août 2020
Minimum site security requirements
Obligatoire
3.0
Fev. 2020
Checklist (corresponding to MSSR v2.2)
Guide
3.0
Fev. 2020

 

Critères ITSEC et documents supports

Titre Type Version Date
Critères d'évaluation de la sécurité des technologies de l'information (ITSEC)
-
1.2
Juin 1991
Manuel pour l'évaluation de la sécurité des technologies de l'information (ITSEM)
-
1.0
Sep. 1993
ITSEC Joint Interpretation Library (ITSEC JIL) Obligatoire 2.0 Nov. 1998