Statuts des participants Détails du fonctionnement Documents supports

Profils de Protection Domaines techniques Accord

Documents supports du groupe Crypto WG

Le groupe SOG-IS Crypto WG a pour mission de fournir un support technique au CG dans l’établissement d’un schéma SOG-IS d’évaluation de la cryptographie, c’est-à-dire d’un ensemble d’exigences et de procédures d’évaluation mutuellement reconnues par les participants de l’accord du SOG-IS et relatives aux aspects cryptographiques dans les évaluations de la sécurité de produits des technologies de l’information selon les Critères Communs.

Le document "SOG-IS Crypto Working Group – Agreed Cryptographic Mechanisms" est principalement destiné aux évaluateurs et aux développeurs. Il a pour objet de spécifier quels mécanismes cryptographiques sont reconnus acceptés, c’est-à-dire acceptables par tous les participants de l’accord du SOG-IS. Pour chacun des principaux types de mécanismes cryptographiques symétriques et asymétriques, ce document fournit une table indiquant quels mécanismes de ce type sont acceptés. Une évaluation selon les exigences du schéma SOG-IS d’évaluation de la cryptographie doit permettre de donner à un utilisateur de la cible de sécurité l’assurance que tous les mécanismes cryptographiques mis en œuvre sont acceptés. Ce document fournit également des recommandations générales et des recommandations spécifiques relatives à la manière d’implémenter et d’évaluer les différents mécanismes cryptographiques et formule des exigences relatives à la gestion des clés.

Les autres aspects de l’évaluation des mécanismes cryptographiques selon le schéma SOG-IS d’évaluation de la cryptographie tels que les tests de conformité, l’évaluation de l’implémentation, la vérification de la cohérence entre l’architecture de sécurité et la gestion des clés de la cible de sécurité et ses objectifs de sécurité, etc., seront traités dans d’autres documents support.

Titre	Commentaire	Version	Date
SOGIS Agreed Cryptographic Mechanisms	Tout commentaire doit être adressé aux éditeurs du document par l’intermédiaire des membres du groupe JIWG. Ce document sera régulièrement mis à jour.	1.3	Février 2023
SOGIS Agreed Cryptographic Mechanisms		1.2	Janvier 2020
SOGIS Agreed Cryptographic Mechanisms		1.1	Juin 2018
SOGIS Agreed Cryptographic Mechanisms	Version initiale	1.0	Mai 2016

Le document "SOG-IS Crypto Working Group - Harmonised cryptographic Evaluation Procedures" (HEP) est prioritairement destiné aux évaluateurs et aux développeurs. Son objectif étant de déterminer une méthode d’évaluation harmonisée des mécanismes cryptographiques mis en œuvre par une cible d’évaluation (TOE, Target of evaluation), il peut être utilisé dans tout schéma d’évaluation. Il constitue également un support au document "Agreed Cryptographic Mechanisms" (ACM), HEP prenant en compte tous les mécanismes décrits par ACM.

Toujours à l’état de projet, ce document n’a pas été totalement approuvé par les membres du SOG-IS.

Titre	Commentaire	Version	Date
SOGIS Harmonised cryptographic Evaluation Procedures	Ce document HEP est toujours en cours de développement, il est disponible ici pour revue publique. Les commentaires peuvent être diffusés par l’intermédiaire des membres du groupe JIWG et à l’adresse commoncriteria@bsi.bund.de, point de contact du président du MC.	0.16	Dec. 2020

Documents supports du JIWG

Les documents supports du JIWG listés dans le tableau ci-dessous servent de support à l'évaluation de produits aux niveaux généraux. Ils sont continuellement contrôlés et mis à jours par le JIWG.

Il est à noter que le JIWG maintient également des documents supports associés à des domaines techniques spécifiques. Pour une vue d'ensemble, voir la page sur les domaines techniques gérés par le SOG-IS.

Guide: l'objectif des guides est de permettre aux développeurs, ITSEF et centres de certification d'améliorer l'évaluation et le processus de certification. Les guides peuvent par exemple donner du contexte pour aider à comprendre l'approche d'évaluation ou toute autre information, et n'engagent aucune des parties.

Obligatoire: les documents obligatoires contiennent un ensemble cohérent d'interprétations qui spécifient l'usage des critères et de la méthodologie dans un domaine spécifique, et doivent être utilisés lorsque applicables. Ces documents contiennent les éléments nécessaire à la reconnaissance mutuelle des certificats pour les technologies auxquelles ils s'appliquent. Le Rapport Technique d'Evaluation et le Rapport de Certification doivent identifier les documents obligatoires pris en compte, y compris leurs numéros de version.

Pour test: avant de rendre un document obligatoire, une phase expérimentale s'applique. L'objectif de cette phase expérimentale est d'acquérir de l'expérience dans l'application des exigences qui seront attendues d'un document obligatoire dans le contexte de l'évaluation d'un produit. L'usage des documents pour test est obligatoire pour la certification sous l'accord SOGIS-MRA de tout produit auquel ils s'appliquent.

Pendant sa phase expérimentale, il est prévu qu'un soutien particulier soit fourni par le centre de certification en charge de l?évaluation pour interpréter le document considéré au cas par cas si des problèmes sur son application sont identifiés. Les interprétations qui auront été identifiées pendant les phases de test seront émises aux éditeurs des documents en vue de leurs améliorations dans des versions ultérieures.

Documents supports CC d'usage général

Titre	Type	Version	Date
Collection of developer evidence	Guide	1.5	Jan. 2012
Evaluation methodology for product series	Guide	1.0	Avril 2017
Minimum site security requirements Ce document correspond à un guide dans le cas général, mais est obligatoires pour les domaines techniques	Guide	3.1	Dec 2023
Checklist (corresponding to MSSR 3.1)	Guide	3.1	Dec. 2023

 

Documents supports CC pour cartes à puces et dispositifs similaires

Titre	Type	Version	Date
Application of Attack Potential to Smartcards	Obligatoire	3.2.1	Fev. 2024
Application of CC to Integrated Circuits	Obligatoire	3.0	Fév. 2009
Composite product evaluation for Smart Cards and similar devices	Obligatoire	1.5.1	Mai 2018
ETR for composite evaluation template	Guide	1.1	Août 2015
Guidance for Smartcard evaluation	Guide	2.0	Fév. 2010
Security Architecture requirements (ADV_ARC) for Smart Cards and similar devices extended to Secure Sub-Systems in SoC	Obligatoire	2.1	Juil. 2021
Security Architecture requirements (ADV_ARC) for Smart Cards and similar devices extended to Secure Sub-Systems in SoC - Appendix 1	Guide	2.1	Juil. 2021
Certification of "open" smart card products	Pour test	1.1	Fév. 2013
Minimum site security requirements	Obligatoire	3.1	Dec. 2023
Checklist (corresponding to MSSR 3.1)	Guide	3.1	Dec. 2023
Site Technical Audit Report Template	Guide	1.0	Fév. 2018
Security requirements for post-delivery code loading	Guide	1.0	Fev. 2016
Minimum ITSEF Requirements for Security Evaluations of Smart cards and similar devices	Obligatoire	2.1	Fev. 2020
Assurance Continuity - Practical Cases for Smart Cards and similar devices	Guide	1.0	Nov. 2017
Code Disclosure and Software IP Reuse	Guide	1.2	Nov. 2017
Biometric Card - Guidelines	Guide	1.1	Sept. 2023

 

Documents supports CC pour équipements matériels avec boîtiers sécurisés

Titre	Type	Version	Date
Application of Attack Potential to Hardware Devices with Security Boxes	Obligatoire	3.1	Nov. 2023
Minimum ITSEF Requirements for Security Evaluations of Hardware Devices with Security Boxes	Obligatoire	1.1	Août 2020
Minimum site security requirements	Obligatoire	3.1	Dec. 2023
Checklist (corresponding to MSSR 3.1)	Guide	3.1	Dec. 2023

 

Critères ITSEC et documents supports

Titre	Type	Version	Date
Critères d'évaluation de la sécurité des technologies de l'information (ITSEC)	-	1.2	Juin 1991
Manuel pour l'évaluation de la sécurité des technologies de l'information (ITSEM)	-	1.0	Sep. 1993
ITSEC Joint Interpretation Library (ITSEC JIL)	Obligatoire	2.0	Nov. 1998