보안토큰보호프로파일 V0.5 (Security Token Protection Profile V0.5) 2007. 11.
( 본면은양면인쇄를위해의도적으로비워놓은공란임 )
보호프로파일제목 보안토큰보호프로파일 Security Token Protection Profile 평가기준버전 본보호프로파일은정보보호시스템공통평가기준 ( 정보통신부고시제2005-25호 ) 을사용하여작성되었다. 작성자 본보호프로파일은아래의작성자들에의해개발되었다. 한국정보보호진흥원이완석, 홍원순, 순천향대학교곽진 - i -
( 본면은양면인쇄를위해의도적으로비워놓은공란임 )
목 차 1. 보호프로파일소개 1 1.1 보호프로파일참조 1 1.1.1 보호프로파일식별 1 1.1.2 보호프로파일개요 1 1.1.3 작성규칙 2 1.1.4 용어정의 2 1.1.5 보호프로파일구성 6 1.2 TOE 개요 6 1.2.1 TOE 사용용도 7 1.2.2 TOE 범위 7 1.2.3 TOE 기능 8 2. 준수선언 9 2.1 공통평가기준준수 9 2.2 보호프로파일준수 9 2.3 패키지준수 9 2.4 보호프로파일준수방법 9 2.5 준수선언의이론적근거 9 3. 보안문제정의 11 3.1 위협 11 3.2 조직의보안정책 12 3.3 가정사항 12 4. 보안목적 15 4.1 TOE에대한보안목적 15 4.2 운영환경에대한보안목적 16 4.3 보안목적의이론적근거 16 - iii -
4.3.1 TOE 보안목적의이론적근거 17 4.3.2 운영환경에대한보안목적의이론적근거 18 5. 보안요구사항 21 5.1 보안기능요구사항 21 5.1.1 암호지원 22 5.1.2 사용자데이터보호 23 5.1.3 식별및인증 24 5.1.4 보안관리 26 5.1.5 TSF 보호 27 5.1.6 안전한경로 / 채널 28 5.2 보증요구사항 29 5.2.1 보안목표명세서평가 29 5.2.2 개발 35 5.2.3 설명서 38 5.2.4 생명주기지원 39 5.2.5 시험 42 5.2.6 취약성평가 45 5.3 보안요구사항의이론적근거 45 5.3.1 보안기능요구사항의이론적근거 45 5.3.2 보증요구사항의이론적근거 49 5.4 종속관계에대한이론적근거 50 5.4.1 보안기능요구사항의이론적근거 50 5.4.2 보증요구사항의종속관계 52 참고자료 55 약어표 57 - iv -
표목차 [ 표 1] 보안환경과보안목적대응 17 [ 표 2] 보안기능요구사항 21 [ 표 3] 보증요구사항 29 [ 표 4] 보안목적과보안기능요구사항대응 46 [ 표 5] TOE 기능컴포넌트종속관계 51 - v -
그림목차 ( 그림 1) TOE 범위 7 - vi -
1. 보호프로파일소개 1 본보호프로파일은산학협동과제로한국정보보호진흥원과순천향대학교에의해작성되었으며, 보안토큰이갖추어야하는보안기능요구사항과보증요구사항을정의한다. 본보호프로파일을수용하여평가된제품은보안토큰에대해요구되는기본적인보안요구사항을만족함을의미한다. 1.1 보호프로파일참조 1.1.1 보호프로파일식별 2 제목 : 보안토큰보호프로파일 3 인증기관 : 국가정보원 IT보안인증사무국 4 작성자 : 한국정보보호진흥원보안성평가단평가기획팀, 순천향대학교정보보호응용및보증연구실 5 공헌자 : 보안토큰보호프로파일개발전문가그룹 6 신청자 : 한국정보보호진흥원장 7 평가기준 : 정보보호시스템공통평가기준 ( 정보통신부고시제2005-25호 ) 8 공통평가기준버전 : V3.1 9 평가보증등급 : EAL4 10 보호프로파일버전 : V0.5, 2007년 11월 11 등록번호 : PP- 12 검증결과 : 공통평가기준에적합한보호프로파일로인증함 13 주요단어 : 보안토큰, USB 인증토큰, 암호토큰, 스마트카드 1.1.2 보호프로파일개요 14 본보호프로파일은보안토큰을구성하는집적회로 (IC) 에탑재되는소프트웨어에대한보안요구사항을정의한다. 15 본보호프로파일은보안토큰에서다루어져야하는위협, 가정사항, 조직의보안정책을정의하고, 구현환경에독립적인보안목적, 보안기능요구사항, 보증요구사항을서술한다. 16 보안목표명세서작성자는보안토큰구현시본보호프로파일의보안요구사항보다높은수준의보안요구사항을추가할수있다. 17 본보호프로파일은보안토큰과통신하는단말기와보안토큰의물리적인요소에대 - 1 -
한보안기능요구사항을다루지는않는다. 1.1.3 작성규칙 18 본보호프로파일은일부약어및명확한의미전달을위해영어를혼용한다. 사용된표기법, 형태, 작성규칙은정보보호시스템공통평가기준 ( 이하 공통평가기준 이라한다 ) 을따른다. 19 공통평가기준은보안기능요구사항에서수행될수있는반복, 선택, 정교화, 할당오퍼레이션을허용한다. 각오퍼레이션은본보호프로파일에서사용된다. 반복 다양한오퍼레이션에서같은컴포넌트가반복될경우사용된다. 반복오퍼레이션의결과는컴포넌트식별자뒤에괄호안의반복번호, 즉, ( 반복번호 ) 로표시된다. 선택 요구사항서술시정보보호시스템공통평가기준에서제공되는선택사항중하나이상을선택하는데사용된다. 선택오퍼레이션의결과는밑줄그은이탤릭체로표시된다. 정교화 요구사항에상세사항을추가함으로써요구사항을더욱제한하는데사용된다. 정교화오퍼레이션의결과는굵은글씨로표시된다. 할당 명세되지않은매개변수에특정값을할당하는데사용된다 ( 예 : 패스워드길이 ). 할당오퍼레이션의결과는대괄호, 즉, [ 할당 _ 값 ] 으로표시된다. 20 요구사항의의미를명확히하고, 구현시선택사항에대한정보를제공하며, 요구사항에대한 적합 / 부적합 기준을정의하기위해응용시주의사항이제공된다. 응용시주의사항은필요한경우해당요구사항과함께제공된다. 1.1.4 용어정의 21 본보호프로파일에사용된용어중공통평가기준에사용된용어와동일한것은공통평가기준을따른다. 객체 (Object) 주체의오퍼레이션대상이며정보를포함하거나수신하는 TOE 내의수동적인실체 - 2 -
공격성공가능성 (Attack potential) 공격자의전문지식, 자원, 동기등의측면에서파악된 TOE 공격에소요되는노력의정도 단말기 (Terminal) 디지털자료전송시스템에서자료를만들거나보기위한기기. 또는자료를보내거나받기위한기능을수행하는기기로서사람과직접대면하게되는자료처리의기본기기로정보가통신망에서입출력되는지점을말함부채널공격 (Side Channel Attack) 스마트카드등의암호연산을처리하는장치에설계자가예기치못한정보 (Side Channel Information) 를이용해암호키등의비밀정보를해석하는방법으로, 타이밍해석, 전력해석, 전자파분석, 고장이용해석등이있음. 보안목표명세서 (ST, Security Target) 특정 TOE 에적합한구현 - 종속적인보안요구명세서 보안토큰 (Security Token) 전자서명생성키등비밀정보를안전하게저장 보관하기위하여키생성 전자서명생성등이기기내부에서처리되도록구현된하드웨어기기 보호프로파일 (PP, Protection Profile) TOE 유형에적합한구현 - 독립적인보안요구명세서 신원 (Identity) 인가된사용자를식별하는유일한표현. 그사용자의본명이나, 약칭혹은가명일수있다. 스마트카드 (Smart Card) IC(integrated circuit: 집적회로 ) 기억소자를장착하여대용량의정보를담을수있는형태로 ISO의규격은 IC가 1개이상내장되어있는모든카드를말한다. 암호토큰 (Cryptographic Token) 사용자에의해제어되는물리적인디바이스로, 암호기술정보저장에사용되며, USB인증토큰, IC칩과같은스마트암호토큰이있음 엘리먼트 (Element) - 3 -
분할할수없는보안요구 ( 사항 ) 의최소단위 외부실체 (External Entity) TOE의외부에서 TOE와상호작용하는 ( 또는상호작용할수도있는 ) 실체 ( 사람또는 IT). 인증데이터 (Authentication Data) 사용자의신원을증명하기위하여사용되는정보 인증토큰 (Authentication Token) 사용자를인증하는데사용되는휴대용기기로시도응답방식이나시간기준부호열 (time based code sequences) 방식으로동작한다. 종이에기록한일회용패스워드도인증토큰이라고할수있다. 자산 (Assets) TOE 의소유자가가치를부여하는실체 조직의보안정책 (Organizational Security Policies) 실제또는가상적인조직에의해운영환경에현재부여되고 / 거나앞으로부여될것으로여겨지는보안규칙, 절차, 지침의집합 종속관계 (Dependency) 컴포넌트간의관계로, 종속하는컴포넌트에근거한요구사항이보호프로파일, 보안목표명세서, 또는패키지에포함되어있는경우, ( 그컴포넌트에 ) 종속되는컴포넌트에근거한요구사항도보호프로파일, 보안목표명세서, 또는패키지에포함되어야하는관계주체 (Subject) 객체에대한오퍼레이션을수행하는 TOE 내의능동적인실체. 집적회로 (Integrated Circuit) 실리콘이나기타결정재료로만든단일의기판위나기판내에회로소자를분리할수없는형태로결합한미소회로또는초소회로의패키지를 IC라고약칭하며칩이라고도한다. 토큰 (Token) 사용자식별및인증을위한암호키와인증서등의전자 ID 를저장하고있는인 - 4 -
증디바이스로 USB 토큰, PCMCIA 카드, 스마트카드등이해당 컴포넌트 (Component) 엘리먼트의집합으로서요구사항의기초를형성하는데사용될수있는가장작은선택단위 클래스 (Class) 같은보안목적을가지는공통평가기준패밀리의모음 평가대상 (TOE, Target of Evaluation) 가능한설명서가수반되는소프트웨어, 펌웨어및 / 또는하드웨어집합 평가보증등급 (EAL) 공통평가기준에서미리정의된보증수준을가지는 3부의보증요구사항으로이루어진보증패키지 확장 (Extension) 공통평가기준 2부에포함되지않은보안기능요구사항이나 3부에포함되지않은보증요구사항을보호프로파일, 보안목표명세서에추가하는것 PCMCIA 카드 국제개인용컴퓨터메모리카드협회 (PCMCIA) 에서제정한규격에부합되는초소형컴퓨터의확장기억장치나보조기억장치, 또는주변장치로사용되는 IC 메모리카드. PC 카드는 PCMCIA의표준슬롯에삽입하여사용할수있도록설계된신용카드크기 (54 85.6mm) 의 IC 메모리카드이다. PKCS#11 PKCS#11은암호토큰인터페이스표준을 RSA사가제시한공개키암호표준의하나로 CAPI라고하는보안서비스응용프로그램인터페이스 API 를정의한것이다. 이표준은 Cryptoki라는 API로도부르며미국표준협회 ANSI C 프로그래밍언어를사용함으로써암호학적서비스구현에이용할수있는데이터타입과함수들을정의한다. TOE 보안기능성 (TSF: TOE Security Functionality) SFR( 보안기능요구사항 ) 들의정확한수행에기여하는 TOE의모든하드웨어, 소프트웨어, 펌웨어로구성된집합 TSF 데이터 (TSF Data) - 5 -
TOE의오퍼레이션에영향을줄수있는, TOE에의해서 TOE를위하여생성된데이터 USB 인증토큰 (USB Authentication Token) USB 인터페이스통신을통한사용자인증디바이스로사용되며, 이를통해원격접근, 전자서명, 암호화한기밀성이높은메일교환등에이용되는토큰 1.1.5 보호프로파일구성 22 1장은보호프로파일소개로보호프로파일식별에필요한개요정보와 TOE 정의및운영환경정보를제공한다. 23 2장은준수선언으로본보호프로파일이준수하는공통평가기준, 보호프로파일, 패키지에대한선언과다른보호프로파일및보안목표명세서가본보호프로파일을준수하는방법을서술한다. 24 3장은보안문제정의로 TOE 및 TOE 보안환경에서의보안문제를위협, 조직의보안정책, 가정사항관점으로서술한다. 25 4장은보안목적으로 TOE 보안환경에서식별된위협에대응하고, 조직의보안정책및가정사항을지원하기위한 TOE 보안목적및환경에대한보안목적을서술한다. 26 5장은보안요구사항으로보안목적을만족시키기위한보안기능요구사항및보증요구사항을서술한다. 27 6장은보호프로파일응용시주의사항으로본보호프로파일적용시주의해야할특이사항을서술한다. 28 참고자료는본보호프로파일에관심이있는사용자가본보호프로파일에서언급된내용이상의배경및관련정보가필요할경우를위하여참고한자료들을서술한다. 29 약어표는자주사용되는용어나약어에대한이해를돕기위해제공한다. 1.2 TOE 개요 30 TOE는사용자식별및인증기능을수행하는데사용되고, 암호키와인증서등을저장한다. 이를위한보안토큰에는스마트카드, USB 토큰, PCMCIA 카드를포함한다양한형태가있다. 31 TOE는집적회로에탑재되는임베디드소프트웨어이다. 집적회로는연산을위한중앙처리장치, 데이터저장을위한메모리, 통신을위한 USB, 무선등의인터페이스등으로구성된다. - 6 -
32 TOE가보호하고자하는자산은보안토큰의소유자를증명하기위한패스워드, 암호키, 인증서를비롯해, TOE 자체, TOE 내부의중요데이터 ( 보안속성, TSF 데이터등 ) 이다. 1.2.1 TOE 사용용도 33 보안토큰은다양한응용에활용될수있는사용자인증을위한디바이스로, 인증을위한정보 ( 개인식별번호, 암호키, 바이오인식정보등 ) 를저장한휴대용인증토큰이다. 34 TOE는주로 PC, 단말기등에서사용자인증장치로사용되며, 원격접근, 전자서명, 암호화한기밀성이높은메일교환등에이용할수있다. 35 TOE는제한된접속을허용하는온라인서비스에접속하거나서비스이용시전송되는개인식별번호, 패스워드등의비밀성또는무결성을검증하기위해사용된다. 36 TOE는전자서명키를보안토큰내부에서생성함으로써인증서등의중요정보를각종보안위협으로부터안전하게보관할수있는저장장치로사용된다. 1.2.2 TOE 범위 37 ( 그림 1) 은 TOE 의범위를보여준다. ( 그림 1) TOE 범위 38 보안토큰은보안기능수행등의연산을위한 CPU 및제어회로와임베디드소프트웨어를저장하는휘발성 / 비휘발성메모리, 통신을위한무선및 USB 인터페이스등의하드웨어장치인 IC칩과메모리등에탑재되는임베디드소프트웨어다. 39 TOE의물리적범위인임베디드소프트웨어는 IC칩의 ROM이나 EEPROM 등메모리 - 7 -
에탑재되어, IC칩을구동하고, 보안기능을수행하는역할을담당하는 OS, 응용프로그램등으로이뤄져있다. 40 TOE의논리적범위와경계는 IC칩을구동하기위한파일, 프로세스, 메모리관리등의 OS기능과응용프로그램에서제공하는암호화기능과식별및인증, 접근통제등의보안기능이다. 41 보안토큰은사용자가인증데이터를입력할수있는단말기 (PIN 패드터미널, PC 등 ) 와통신을수행하며, 단말기는보안토큰과의안전한통신을위해신뢰된장치이다. 1.2.3 TOE 기능 42 TOE의안전성을보장하기위해아래와같은보안기능이요구된다. 43 암호지원 TOE는사용자인증, 전자서명검증, 데이터의안전한저장, 데이터암 복호화를위해암호메커니즘을이용한다. 신속하고안전한암호연산을위해별도의하드웨어암호프로세스를가질수있다. 44 접근통제 TOE는인가된사용자만이 TOE 내사용자데이터및 TSF 데이터에접근할수있도록접근통제정책을지원한다. 45 데이터보호 TSF 데이터를안전하게저장하기위해메모리내에보호영역을두어, 인가된사용자만이이영역에접근할수있다. 46 식별및인증 TOE는 TOE의소유자 / 사용자또는외부 IT 실체를유일하게인증해야하며, 악의적인연속인증시도에대응해야한다. 47 보안관리 TOE는사용자데이터및 TSF 데이터를안전하게관리하며, 인가된역할에따라사용자데이터및 TSF 데이터를관리할수있도록통제한다. 48 TOE 보호 TOE는예상치못한환경에서도사용자데이터및 TSF 데이터를노출시키지않도록대응한다. - 8 -
2. 준수선언 49 준수선언은본보호프로파일이준수하는공통평가기준, 보호프로파일, 패키지에대한선언과다른보호프로파일및보안목표명세서가본보호프로파일을준수하는방법을서술한다. 2.1 공통평가기준준수 50 본보호프로파일은다음과같이공통평가기준버전 3.1을준수한다. 공통평가기준 2부준수 공통평가기준 3부준수 2.2 보호프로파일준수 51 본보호프로파일이준수하는보호프로파일은없다. 2.3 패키지준수 52 본보호프로파일은다음과같은보증요구사항패키지를준수한다. 보증패키지 : EAL4 준수 2.4 준수선언의이론적근거 53 본보호프로파일은다른보호프로파일에대한준수를선언하지않았으므로, 준수선언의이론적근거기술은필요하지않다. 2.5 보호프로파일준수방법 54 본보호프로파일은 입증가능한준수 를요구한다. - 9 -
( 본면은양면인쇄를위해의도적으로비워놓은공란임 )
3. 보안문제정의 55 보안문제정의는 TOE 및운영환경에의해대응되어야하는위협, 수행되어야하는조직의보안정책, 지원되어야하는가정사항을서술한다. 3.1 위협 56 보안토큰은휴대용으로개인이소지해관리하므로, 논리적인위협과함께물리적인위협도발생한다. 57 위협원은일반적으로 TOE 및보호대상시스템에불법적인접근을시도하거나비정상적인방법으로 TOE에위해를가하는외부실체이다. 위협원은강화된-기본수준의전문지식, 자원, 동기를가진다. T. 고장 58 토큰을사용하는도중에전원공급이중단되거나, 충격등으로 TSF 서비스가불완전하게종료되어사용자데이터및 TSF 데이터가노출및손상되어위협원이이를악용할수있다. T. 논리적인공격 59 위협원은논리적인인터페이스를악용하여사용자데이터나 TSF 데이터를변경, 노출할수있다. 응용시주의사항 : 논리적인인터페이스는 TOE와단말기간데이터교환인터페이스로 USB, PCI, 무선통신상의단말기와보안토큰간의명령어와응답의통신프로토콜을의미한다. 위협원은통신프로토콜의구문및해석차이, 특정한사용을위한명령어를악용하여공격할수있다. T. 도청 60 위협원은 TOE와외부 IT 실체사이에통신을도청하여사용자데이터및 TSF 데이터를노출할수있다. T. 연속인증시도 61 위협원은연속적으로인증을시도하여 TOE에접근할수있다. T. 위장 62 위협원은인가된사용자로위장하여정보나자원에접근할수있다. T. 잔여정보 63 TOE가자원을재사용할경우, 객체의정보를적절하게제거하지못해위협원이정보에불법적으로접근할수있다. T. 정보누출 - 11 -
위협원은 TOE를정상적으로사용하는동안 TOE로부터누출된정보를악용할수있다. 응용시주의사항 : 정상적으로사용되는 IC 칩이누출하는정보란 IC 칩회로에서방출되는전력, 전압, 전류등전기적인신호를의미한다. 이위협은위협원이분석장비를통해 IC 칩에서발생되는전기적인신호를분석하여 PIN, 암호키등중요 TSF 데이터를노출할수있는공격을의미한다. 이러한부채널공격에는전력분석공격, 차분전력분석공격, 시간차공격, 오류주입공격, 전자파공격등이있다. 3.2 조직의보안정책 64 본절에서기술하는조직의보안정책은본보호프로파일을수용하는 TOE에서준수되어야한다. P. 안전한관리 65 보안토큰의제조와발급의각단계별물리적, 인적, 절차적보안대책이수립되어야하며, 보안토큰활용을위해 IC 칩내사용자데이터및암호키에대한품질이보장되어야한다. 응용시주의사항 : 국가정보원의 USB 메모리등보조기억매체보안관리지침 (2007.1) 에따라안전하게관리되어야한다. P. 초기화 66 보안토큰의일련번호 (serial number) 는항상유지되어야한다. 응용시주의사항 : 관리자가토큰을초기화할때일련번호는그대로유지되고, 모든다른정보 ( 키, 인증서, 라벨등의토큰에저장된정보 ) 는토큰에서제거되어야한다. 3.3 가정사항 67 다음의조건들이본보호프로파일을수용하는 TOE 운영환경에존재한다고가정된다. A. 신뢰된단말기 68 단말기는보안토큰에악의적인코드등을설치하지않아야하며, 안전하게유지 관리되어서단말기에설치되는파일등이외부위협에의해악용되지않는다. A. 신뢰된사용자 69 TOE의인가된사용자는악의가없으며, TOE 사용기능에대하여적절히교육받았고, 사용자지침에따라정확하게의무를수행한다. A. 신뢰된개발자 - 12 -
70 보안토큰의개발및생산단계동안에 TOE 및관련된개발툴은개발자에의해불법적으로변경되거나노출되지않는다. A. 하부하드웨어 71 TOE가운영되는하부하드웨어는물리적으로안전하다. 응용시주의사항 : TOE가동작하는기반인하드웨어는다양한물리적인공격에대해서대응수단을갖추고있어야하며, 이것을전제로 TOE가안전하게운영됨을가정한다. - 13 -
( 본면은양면인쇄를위해의도적으로비워놓은공란임 )
4. 보안목적 72 본보호프로파일은보안목적을 TOE에대한보안목적및운영환경에대한보안목적으로분류하여정의한다. TOE에대한보안목적은 TOE에의해서직접적으로다루어지는보안목적이고, 운영환경에대한보안목적은 IT 영역이나비기술적 / 절차적수단에의해다루어지는보안목적이다. 4.1 TOE에대한보안목적 73 다음은 TOE에의해직접적으로다루어져야하는보안목적이다. O. 관리 74 TOE는 TOE의인가된사용자가 TOE를효율적으로관리할수있는관리수단을안전한방법으로제공해야한다. O. 사용자인증 75 TOE는사용자를유일하게식별해야하며, TOE의관리및객체에대한접근을허용하기전에사용자의신원을인증해야한다. 또한, 악의적인연속인증시도에대웅수단을갖추어야한다. O. 잔여정보제거 76 TOE는 TSF가사용하는작업영역에사용종료시, 사용자데이터나 TSF 데이터를남기지않는것을보장해야한다. O. 저장데이터보호 77 TOE는 TOE에저장된 TSF 데이터를인가되지않은노출, 변경, 삭제로부터보호해야한다. 응용시주의사항 : TOE는사용자데이터및 TSF 데이터를변경이나비인가된쓰기로부터보호해야한다. O. 접근통제 78 TOE는보안정책규칙에따라 TOE에대한접근을통제하여야한다. O. 전송데이터보호 79 TOE는단말기와보안토큰사이에전송되는 TSF 데이터를인가되지않은노출, 변경으로부터보호해야한다. O. 정보누출대응 80 TOE는정상적으로사용되는 IC 칩이누출하는정보가악용되지못하도록대응수단을마련해야한다. - 15 -
4.2 운영환경에대한보안목적 81 다음은 IT 영역또는비기술적 / 절차적수단에의해다루어지는보안목적이다. OE. 생명주기내보호 82 보안토큰의제조, 발급각과정에대해물리적, 인적, 절차적보안대책이수립되어운영되어야한다. OE. 안전한소지 83 보안토큰소지자 / 사용자는사용에신중을기하여분실에대비하고, 신뢰된단말기이외에는사용해서는안된다. OE. 초기화 84 보안토큰의일련번호 (serial number) 는항상유지되어야한다. OE. 하부하드웨어 85 TOE는물리적으로안전한 IC 칩상에서동작하는것을보장해야하며, TOE의하부하드웨어는다양한물리적인공격에대한대응책을가지고있어야한다. 4.3 보안목적의이론적근거 86 보안목적의이론적근거는명세한보안목적이적합하고, 보안문제를다루기에충분하며, 과도하지않고반드시필요한것임을입증한다. 87 보안목적의이론적근거는다음을입증한다. 각위협, 조직의보안정책, 가정사항이최소한하나의보안목적에의해다루어진다. 각보안목적은최소한하나의위협, 조직의보안정책, 가정사항을다룬다. 88 [ 표 1] 은보안환경과보안목적간의대응관계를설명한다. - 16 -
[ 표 1] 보안환경과보안목적대응 TOE 보안목적운영환경에 보안목적 O. 관리 O. 사용자인증 O. 잔여정보제거 O. 저장데이터보호 O. 접근통제 O. 전송데이터보호 O. 정보누출대응 대한보안목적 OE. OE. OE. OE. 생명주기내보호 안전한소지 초기화 하부하드웨어 보안환경 T. 고장 X X X T. 논리적인공격 X X T. 도청 X X T. 연속인증시도 X T. 위장 X T. 잔여정보 X X T. 정보누출 X P. 안전한관리 X X P. 초기화 X X A. 신뢰된단말기 X A. 신뢰된사용자 X A. 신뢰된개발자 X A. 하부하드웨어 X 4.3.1 TOE 보안목적의이론적근거 O. 관리 89 본보안목적은 TOE 사용중에 TSF 서비스가불완전하게종료되어사용자데이터및 TSF 데이터가노출및손상되지않게하고, TOE의인가된사용자가 TOE를효율적으로관리할수있는관리수단을안전한방법으로제공해야함을보장한다. 그러므로본보안목적은위협 T. 고장에대응하고, 조직의보안정책 P. 초기화, P. 안전 - 17 -
한관리를지원하는데필요하다. O. 사용자인증 90 본보안목적은 TOE 및 TSF 데이터에접근하기위해사용자를인증해야하고, 연속되는인증실패에대한적절한대응책을구현해야함을보장한다. 그러므로본보안목적은위협 T. 연속인증시도에대응하고, 위협원은인가된사용자로위장하여정보나자원에접근할수없음을보장하므로 T. 위장에대응한다. O. 잔여정보제거 91 본보안목적은 TSF 서비스를사용하는작업영역에사용자데이터나 TSF 데이터를남기지않는것을보장한다. 이것은 TSF 서비스가불완전하게종료되어사용자데이터및 TSF 데이터가노출및손상되어위협원이이를악용할수있는 T. 고장위협과 TOE가자원을재사용할경우객체의정보를적절하게제거하지못해위협원이정보에불법적으로접근할수있는위협인 T. 잔여정보위협에대응한다. O. 저장데이터보호 92 본보안목적은인가된사용자만이사용자데이터에접근하여수정하는것을보장한다. 본보안목적은비인가된사용자가보안토큰의논리적인인터페이스를통해공격을유발하는위협 T. 논리적인공격위협에대응하는데필요하다. O. 접근통제 93 본보안목적은인가된단말기또는인가된사용자에게만사용자데이터및 TSF 데이터에대한접근권한을부여하고단말기와통신하는데이터의비밀성을암호화를통해보장한다. 그러므로본보안목적은 T. 논리적인공격, T. 도청위협에대응한다. O. 전송데이터보호 94 본보안목적은인가된단말기와전송되는데이터의비밀성및무결성을보장하는수단을갖추어야함을보장한다. 그러므로본보안목적은위협 T. 도청에대응하는데필요하다. O. 정보누출대응 95 본보안목적은정상적으로사용되는 IC 칩이누출하는정보가악용되지못하도록대응책을구현해야함을보장한다. 그러므로본보안목적은위협 T. 정보누출에대응하는데필요하다. 4.3.2 운영환경에대한보안목적의이론적근거 OE. 생명주기내보호 96 본보안목적은보안토큰의제조, 발급각과정에대해물리적, 인적, 절차적보안 - 18 -
대책이수립되어야하며, 보안토큰활용을위해 IC 칩내사용자데이터및암호키에대한품질이보장되어야함을보장한다. 그러므로본보안목적은가정사항 A. 신뢰된개발자를지원하며조직의보안정책 P. 안전한관리를수행하는데필요하다. OE. 안전한소지 97 본보안목적은보안토큰소지자가인가된단말기이외에는인가된통신을허가하지않도록함을보장한다. 그러므로본보안목적은가정사항 A. 신뢰된단말기와 A. 신뢰된사용자를지원하는데필요하다. OE. 초기화 98 본보안목적은보안토큰의일련번호 (serial number) 는항상유지되어야함을보장한다. 그러므로본보안목적은조직의보안정책 P. 초기화를수행하는데필요하다. OE. 하부하드웨어 99 본보안목적은 TOE가물리적으로안전한칩상에서동작하는것을보장하며, TOE 의하부하드웨어는다양한물리적인공격에대한대응책을가지고있는것을보장한다. 또한, TOE의잔여정보를안전한방법으로제거해야함을보장한다. 그러므로본보안목적은가정사항 A. 하부하드웨어를지원하며위협 T. 고장, T. 잔여정보에대응하는데필요하다. - 19 -
( 본면은양면인쇄를위해의도적으로비워놓은공란임 )
5. 보안요구사항 100 보안요구사항은본보호프로파일을수용하는 TOE에서만족되어야하는보안기능요구사항및보증요구사항을서술한다. 5.1 보안기능요구사항 101 본보호프로파일의보안기능요구사항은공통평가기준 2부의기능컴포넌트로구성된다. 다음의 [ 표 2] 는 4장에서식별한 TOE 보안목적을만족시키기위하여본보호프로파일에서사용하는보안기능요구사항컴포넌트들을보여준다. 102 본보호프로파일은보안기능요구사항의의미를명확히하거나요구사항에대한 적합 / 부적합 기준을정의및구현시선택사항에대한정보를제공하기위해응용시주의사항이해당요구사항과함께제공된다. [ 표 2] 보안기능요구사항 보안기능 클래스 보안기능컴포넌트 FCS_CKM.1 암호키생성 암호지원 FCS_CKM.4 암호키파기 FCS_COP.1 암호연산 FD P _A CC.1 부분적인접근통제 FD P _ A CF.1 보안속성에기반한 접근통제 사용자 데이터 보호 FD P _R I P.1 부분적인잔여정보 보호 FD P _UC T.1 기본적인전송 데이터 비밀성 FD P _UI T.1 전송데이터 무결성 FIA_AFL.1 인증실패 처리 FI A _ A TD.1 사용자속성정의 식별 및 인증 FIA_SOS.1 비밀정보의검증 FIA_UAU.1 인증 FIA_UID.1 식별 FM T_ MS A.1 보안속성관리 FM T_ MS A.2 안전한보안속성 FM T_ MS A.3 정적속성 초기화 보안관리 FM T_ MTD.1 TSF 데이터 관리 FM T_ MTD.2 TSF 데이터 한계치의 관리 FM T_ SM F.1 관리기능명세 FMT_SMR.1 보안역할 FPT_AMT.1 추상기계시험 TSF 보호 FP T_ F LS.1 장애시 안전한 상태유지 FPT_TST.1 TSF 자체 시험 안전한 경로 / 채널 FTP_ I TC.1 TSF 간안전한 채널 - 21 -
5.1.1 암호지원 FCS_CKM.1 암호키생성 계층관계 : 없음종속관계 : [FCS_CKM.2 암호키분배또는 FCS_COP.1 암호연산 ] FCS_CKM.4 암호키파기 FMT_MSA.2 안전한보안속성 103 FCS_CKM.1.1 TSF는다음의 [ 할당 : 표준목록 ] 에부합하는명세된암호키생성알고리즘 [ 할당 : 암호키생성알고리즘 ] 과명세된암호키길이 [ 할당 : 암호키길이 ] 에따라암호키를생성해야한다. 응용시주의사항 : 암호키생성, 전자서명생성등은보안토큰내부에서처리되어야하며, 보안토큰과단말기간상호연동및보안을위해암호토큰인터페이스표준인 PKCS#11 규격등을준수해야한다. FCS_CKM.4 암호키파기 계층관계 : 없음종속관계 : [FDP_ITC.1 보안속성없이사용자데이터유입또는 FDP_ITC.2 보안속성을포함한사용자데이터유입또는 FCS_CKM.1 암호키생성 ] FMT_MSA.2 안전한보안속성 104 FCS_CKM.4.1 TSF는다음의 [ 할당 : 표준목록 ] 에부합하는명세된암호키파기방법 [ 할당 : 암호키파기방법 ] 에따라암호키를파기해야한다. 응용시주의사항 : 암호키를파기하기위해암호키와관련된장치내의모든평문암호키및보안상중요한매개변수를 0 으로바꾸는방법등을사용할수있다. FCS_COP.1 암호연산 계층관계 : 없음종속관계 : [FDP_ITC.1 보안속성없이사용자데이터유입또는 FDP_ITC.2 보안속성을포함한사용자데이터유입또는 FCS_CKM.1 암호키생성 ] FCS_CKM.4 암호키파기 FMT_MSA.2 안전한보안속성 - 22 -
105 FCS_COP.1.1 TSF는다음의 [ 할당 : 표준목록 ] 에부합하는명세된암호알고리즘 [ 할당 : 암호키생성알고리즘 ] 과명세된암호키길이 [ 할당 : 암호키길이 ] 에따라 [ 할당 : 암호연산목록 ] 을수행해야한다. 5.1.2 사용자데이터보호 FDP_ACC.1 부분적인접근통제 계층관계 : 없음종속관계 : FDP_ACF.1 보안속성에기반한접근통제 106 FDP_ACC.1.1 TSF는 [ 할당 : 주체목록, 객체목록, SFP에의해서다루어지는주체와객체간의오퍼레이션목록 ] 에대하여 [ 할당 : 접근통제 SFP] 를강제해야한다. 응용시주의사항 : 본보호프로파일을준수하여구현한제품의보안목표명세서를작성할때보안토큰이집행하는접근통제정책을구체적으로명시하여기술하여야한다. 이때접근통제정책이란보안토큰에서어떤주체와어떤객체간의접근통제를강제하는규칙을말한다. FDP_ACF.1 보안속성에기반한접근통제 계층관계 : 없음종속관계 : FDP_ACC.1 부분적인접근통제 FMT_MSA.3 정적속성초기화 107 FDP_ACF.1.1 TSF는 [ 할당 : 다음의 SFP 하에서통제되는주체와객체의목록, 주체와객체각각에대해 SFP에적절한보안속성또는명명된보안속성의그룹 ] 에기초하여객체에대한 [ 할당 : 접근통제 SFP] 를강제해야한다. 108 FDP_ACF.1.2 TSF는통제된주체와통제된객체간의오퍼레이션을허용할것인지를결정하기위하여다음과같은규칙을강제해야한다 : [ 할당 : 통제된객체에대한통제된오퍼레이션을이용하여통제된주체와통제된객체간의접근을제어하는규칙 ] 109 FDP_ACF.1.3 TSF는다음과같은추가적인규칙에기반하여객체에대한주체의접근을명시적으로인가해야한다 : [ 할당 : 보안속성에기반하여객체에대한주체의접근을명시적으로인가하는규칙 ] 110 FDP_ACF.1.4 TSF는 [ 할당 : 보안속성에기반하여객체에대한주체의접근을명시적으로거부하는규칙 ] 에기반하여객체에대한주체의접근을명시적으로거부해야한다. FDP_RIP.1 부분적인잔여정보보호 계층관계 : 없음 종속관계 : 없음 - 23 -
111 FDP_RIP.1.1 TSF는다음의객체 [ 할당 : 객체목록 ] [ 선택 : 에자원을할당, 로부터자원을회수 ] 하는경우에자원의모든이전정보내용이가용하지않음을보장해야한다. FDP_UCT.1 기본적인전송데이터비밀성 계층관계 : 없음종속관계 : [FTP_ITC.1 TSF간안전한채널또는 FTP_TRP.1 안전한경로 ] [FDP_ACC.1 부분적인접근통제또는 FDP_IFC.1 부분적인정보흐름통제 ] 112 FDP_UCT.1.1 TSF는인가되지않은노출로부터보호된방법으로객체를송신, 수신할수있도록 [ 접근통제 SFP ] 를강제해야한다. FDP_UIT.1 전송데이터무결성 계층관계 : 없음종속관계 : [FDP_ACC.1 부분적인접근통제또는 FDP_IFC.1 부분적인정보흐름통제 ] [FTP_ITC.1 TSF간안전한채널또는 FTP_TRP.1 안전한경로 ] 113 FDP_UIT.1.1 TSF는 [ 선택 : 변경, 삭제, 삽입, 재사용 ] 으로부터보호된방법으로사용자데이터를송신, 수신할수있도록 [ 접근통제 SFP ] 를강제해야한다. 114 FDP_UIT.1.2 TSF는사용자데이터의수신시 [ 선택 : 변경, 삭제, 삽입, 재사용 ] 이발생했는지를결정할수있어야한다. 5.1.3 식별및인증 FIA_AFL.1 인증실패처리 계층관계 : 없음종속관계 : FIA_UAU.1 인증 115 FIA_AFL.1.1 TSF는 [ 할당 : 인증사건의목록 ] 에관련된 [ 선택 : [ 할당 : 양수 ], 관리자가구성가능한 [ 할당 : 허용할수있는수의범위 ] 안의양수 ] 번의실패한인증시도가발생한경우이를탐지해야한다. 116 FIA_AFL.1.2 실패한인증시도가정의된회수에도달하거나초과하면, TSF는 [ 할당 : 대응행동목록 ] 을수행해야한다. - 24 -
FIA_ATD.1 사용자속성정의 계층관계 : 없음 종속관계 : 없음 117 FIA_ATD.1.1 TSF는각사용자에속한다음의보안속성목록을유지해야한다 : [ a) 사용자신원 b) 인증데이터 c) 역할 d) { 보안목표명세서에서작성자에의해결정 } 된기타사용자보안속성 ] FIA_SOS.1 비밀정보의검증 계층관계 : 없음 종속관계 : 없음 118 FIA_SOS.1.1 TSF는비밀정보가 [ 할당 : 정의된허용기준 ] 을만족시킴을검증하는 메커니즘을제공해야한다. 응용시주의사항 : 정의된허용기준은패스워드인증메커니즘의경우최소길이, 조합규칙등이될수있다. FIA_UAU.1 인증 계층관계 : 없음종속관계 : FIA_UID.1 식별 119 FIA_UAU.1.1 TSF는사용자가인증되기전에사용자를대신하여수행될 [ 할당 : TSF가중재하는행동의목록 ] 을허용해야한다. 120 FIA_UAU.1.2 TSF는 FIA_UAU.1.1에서명시된행동이외의사용자를대신하여 TSF가중재하는행동을허용하기전에사용자를성공적으로인증해야한다. FIA_UID.1 식별계층관계 : 없음종속관계 : 없음 121 FIA_UID.1.1 TSF는사용자를식별하기전에사용자를대신하여수행될 [ 할당 : TSF가중재하는행동의목록 ] 을허용해야한다. 122 FIA_UID.1.2 TSF는 FIA_UID.1.1에서명시된행동이외의사용자를대신하여 TSF가중재하는다른모든행동을허용하기전에각사용자를성공적으로식별해야한다. 응용시주의사항 : TOE 의사용자는사용자와관리자로구분되며, 사용자와관리자는 - 25 -
식별및인증을거친후, 각각의역할에맞게 TOE 에접근하여기능을사용해야한다. 5.1.4 보안관리 FMT_MSA.1 보안속성관리 계층관계 : 없음종속관계 : [FDP_ACC.1 부분적인접근통제또는 FDP_IFC.1 부분적인정보흐름통제 ] FMT_SMF.1 관리기능명세 FMT_SMR.1 보안역할 123 FMT_MSA.1.1 TSF는 [ 할당 : 보안속성목록 ] 의보안속성을 [ 선택 : 디폴트값변경, 질의, 변경, 삭제, [ 할당 : 기타연산 ]] 하는능력을 [ 할당 : 인가된역할 ] 로제한하도록 [ 할당 : 접근통제 SFP, 정보흐름통제 SFP] 를강제해야한다. FMT_MSA.2 안전한보안속성 계층관계 : 없음종속관계 : ADV_SPM.1 비정형화된 TOE 보안정책모델 [FDP_ACC.1 부분적인접근통제또는 FDP_IFC.1 부분적인정보흐름통제 ] FMT_MSA.1 보안속성관리 FMT_SMR.1 보안역할 124 FMT_MSA.2.1 TSF는오직안전한값만이보안속성값으로허용됨을보장해야한다. FMT_MSA.3 정적속성초기화 계층관계 : 없음종속관계 : FMT_MSA.1 보안속성관리 FMT_SMR.1 보안역할 125 FMT_MSA.3.1 TSF는 SFP를강제하기위하여사용되는보안속성의 [ 선택 : 제한적인, 허가하는, [ 할당 : 기타속성의 ] 중하나를선택 ] 디폴트값을제공하도록 [ 할당 : 접근통제 SFP, 정보흐름통제 SFP] 를강제해야한다. 126 FMT_MSA.3.2 TSF는객체나정보생성시디폴트값을대체하기위하여 [ 할당 : 인가된역할 ] 이선택적인초기값을명세하도록해야한다. - 26 -
FMT_MTD.1 TSF 데이터관리계층관계 : 없음종속관계 : FMT_SMF.1 관리기능명세 FMT_SMR.1 보안역할 127 FMT_MTD.1.1 TSF는 [ 할당 : TSF 데이터목록 ] 을 [ 선택 : 디폴트값변경, 질의, 변경, 삭제, 소거, [ 할당 : 기타연산 ]] 하는능력을 [ 할당 : 인가된역할 ] 로제한해야한다. FMT_MTD.2 TSF 데이터한계치의관리 계층관계 : 없음 종속관계 : FMT_MTD.1 TSF 데이터관리 FMT_SMR.1 보안역할 128 FMT_MTD.2.1 TSF는 [ 할당 : TSF 데이터목록 ] 에대한한계치의명세를 [ 할당 : 인가된역할 ] 로제한해야한다. 129 FMT_MTD.2.2 TSF는 TSF 데이터가지정된한계치에이르거나이를초과하는경우 [ 할당 : 취해질대응행동 ] 을수행해야한다. FMT_SMF.1 관리기능명세계층관계 : 없음종속관계 : 없음 130 FMT_SMF.1.1 TSF는다음의보안관리기능을수행할수있어야한다 : [ 할당 : TSF 가제공하는보안관리기능목록 ] FMT_SMR.1 보안역할 계층관계 : 없음 종속관계 : FIA_UID.1 식별 131 FMT_SMR.1.1 TSF는 [ 사용자, 관리자 ] 역할을유지해야한다. 132 FMT_SMR.1.2 TSF는사용자와인가된관리자역할을연관지을수있어야한다. 5.1.5 TSF 보호 FPT_AMT.1 추상기계시험 계층관계 : 없음 종속관계 : 없음 - 27 -
133 FPT_AMT.1.1 TSF는 TSF 하부추상기계관련보안가정사항이정확하게운영됨을보이기위하여 [ 선택 : 초기시동시, 일반적인운영중에주기적으로, 인가된사용자의요청시, [ 할당 : 기타조건들 ] 일련의시험을수행해야한다. FPT_FLS.1 장애시안전한상태유지 계층관계 : 없음종속관계 : 없음 134 FPT_FLS.1.1 TSF는다음과같은유형의장애가발생한경우안전한상태를유지해야한다 : [ 할당 : TSF 장애유형목록 ]. FPT_TST.1 TSF 자체시험 계층관계 : 없음종속관계 : FPT_AMT.1 추상기계시험 135 FPT_TST.1.1 TSF는 [ 선택 : [ 할당 : TSF의부분들 ], TSF] 의정확한운영을입증하기위하여 [ 선택 : 시동시, 정규운영동안주기적으로, 인가된사용자요구시, [ 할당 : 자체시험이발생해야하는조건 ] 조건시 ] 자체시험을실행해야한다. 136 FPT_TST.1.2 TSF는인가된사용자에게 [ 선택 : [ 할당 : TSF 데이터의부분들 ], TSF 데이터 ] 의무결성을검증하는기능을제공해야한다. 137 FPT_TST.1.3 TSF는인가된사용자에게저장된 TSF 실행코드의무결성을검증하는기능을제공해야한다. 5.1.6 안전한경로 / 채널 FTP_ITC.1 TSF간안전한채널계층관계 : 없음종속관계 : 없음 138 FTP_ITC.1.1 TSF는자신과원격의신뢰된 IT 제품간에다른통신채널과논리적으로구별되고, 단말의보증된식별을제공하며, 변경이나노출로부터채널데이터를보호하는통신채널을제공해야한다. 139 FTP_ITC.1.2 TSF는 [ 선택 : TSF, 원격의신뢰된 IT 제품 ] 이안전한채널을통하여통신을초기화하는것을허용해야한다. 140 FTP_ITC.1.3 TSF는 [ 할당 : 안전한채널이요구되는기능목록 ] 에대하여안전한채널을통하여통신을초기화해야한다. - 28 -
5.2 보증요구사항 141 본보호프로파일의보증요구사항은공통평가기준 3부의보증컴포넌트로구성되었고, 평가보증등급은 EAL4이다. [ 표 3] 은보증컴포넌트를보여준다. [ 표 3] 보증요구사항 보증 클래스 보증 컴포넌트 ASE_INT.1 보안목표명세서 소개 A SE_EC D.1 확장 컴포넌트 정의 ASE_CCL.1 준수 선언 보안목표명세서 평가 A SE_OBJ.2 보안목적 ASE_REQ.2 도출된 보안요구사항 A SE_SP D.1 보안문제정의 ASE_TSS.1 TOE 요약명세 ADV_ARC.1 보안 구조 설명 개발 A D V _FS P.4 완전한기능명세 ADV_IMP.1 TSF에대한구현의표현 ADV_TDS.3 기본적인 모듈화 설계 설명서 A G D_OPE.1 사용자운영설명서 AGD_PRE.1 준비절차 ALC_CMC.4 생산지원, 수용절차및 자동화 A L C_ CM S.4 문제추적 형상관리 범위 생명주기 지원 ALC_DEL.1 배포절차 ALC_DVS.1 보안대책의식별 A L C_ LC D.1 개발자가 정의한 생명주기모델 ALC_TAT.1 잘 정의된 개발도구 ATE_COV.2 시험범위의 분석 시험 ATE_DPT.2 보안 -수행모듈의시험 ATE_FUN.1 기능시험 ATE_IND.2 독립적인 시험 : 표본시험 취약성 평가 AVA_VAN.3 강화된 취약성 분석 5.2.1 보안목표명세서평가 ASE_INT.1 보안목표명세서소개 종속관계 : 없음 개발자요구사항 - 29 -
142 ASE_INT.1.1D 개발자는보안목표명세서소개를제공해야한다. 증거요구사항 143 ASE_INT.1.1C 보안목표명세서소개는보안목표명세서참조, TOE 참조, TOE 개 요, TOE 설명을포함해야한다. 144 ASE_INT.1.2C 보안목표명세서참조는유일하게보안목표명세서를식별해야한 다. 145 ASE_INT.1.3C TOE 참조는 TOE를식별해야한다. 146 ASE_INT.1.4C TOE 개요는 TOE의용도와주요보안특성을요약해야한다. 147 ASE_INT.1.5C TOE 개요는 TOE 유형을식별해야한다. 148 ASE_INT.1.6C TOE 개요는 TOE에서요구되는비-TOE에해당하는하드웨어 / 소 프트웨어 / 펌웨어를식별해야한다. 149 ASE_INT.1.7C TOE 설명은 TOE의물리적인범위를서술해야한다. 150 ASE_INT.1.8C TOE 설명은 TOE의논리적인범위를서술해야한다. 평가자요구사항 151 ASE_INT.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. 152 ASE_INT.1.2E 평가자는 TOE 참조, TOE 개요, TOE 설명이서로일관성이있음 을확인해야한다. ASE_OBJ.2 보안목적 종속관계 : ASE_SPD.1 보안문제정의 개발자요구사항 153 ASE_OBJ.2.1D 개발자는보안목적에대한설명을제공해야한다. 154 ASE_OBJ.2.2D 개발자는보안목적의이론적근거를제공해야한다. 증거요구사항 155 ASE_OBJ.2.1C 보안목적에대한설명은 TOE 보안목적과운영환경에대한보안목 적을서술해야한다. 156 ASE_OBJ.2.2C 보안목적의이론적근거는 TOE에대한각보안목적을보안목적에 의해대응되는위협과보안목적에의해수행되는조직의보안정책으로추적해야한 다. 157 ASE_OBJ.2.3C 보안목적의이론적근거는운영환경에대한각보안목적을보안목 적에의해대응되는위협, 보안목적에의해수행되는조직의보안정책, 보안목적에 의해지원되는가정사항으로추적해야한다. - 30 -
158 ASE_OBJ.2.4C 보안목적의이론적근거는보안목적이모든위협에대응함을입증 해야한다. 159 ASE_OBJ.2.5C 보안목적의이론적근거는보안목적이모든조직의보안정책을수 행함을입증해야한다. 160 ASE_OBJ.2.6C 보안목적의이론적근거는운영환경에대한보안목적이모든가정 사항을지원함을입증해야한다. 평가자요구사항 161 ASE_OBJ.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. ASE_CCL.1 준수선언 종속관계 : ASE_INT.1 보안목표명세서소개 ASE_ECD.1 확장컴포넌트정의 ASE_REQ.1 명시된보안요구사항 개발자요구사항 162 ASE_CCL.1.1D 개발자는준수선언을제공해야한다. 163 ASE_CCL.1.2D 개발자는준수선언의이론적근거를제공해야한다. 증거요구사항 164 ASE_CCL.1.1C 준수선언은보안목표명세서및 TOE가준수하는공통평가기준의 버전을식별하기위해공통평가기준준수선언을포함해야한다. 165 ASE_CCL.1.2C 공통평가기준준수선언은보안목표명세서의공통평가기준 2부에 대한준수선언을 2부준수 또는 2부확장 으로서술해야한다. 166 ASE_CCL.1.3C 공통평가기준준수선언은보안목표명세서의공통평가기준 3부에 대한준수선언을 3부준수 또는 3부확장 으로서술해야한다. 167 ASE_CCL.1.4C 공통평가기준준수선언은확장컴포넌트정의와일관성이있어야 한다. 168 ASE_CCL.1.5C 준수선언은보안목표명세서가준수하는모든보호프로파일및보 안요구사항패키지를식별해야한다. 169 ASE_CCL.1.6C 준수선언은보안목표명세서의패키지에대한준수선언을 패키 지준수 또는 패키지추가 로서술해야한다. 170 ASE_CCL.1.7C 준수선언의이론적근거는보안목표명세서의 TOE 유형이그보 안목표명세서가준수하는보호프로파일의 TOE 유형과일관성이있음을입증해야 한다. - 31 -
171 ASE_CCL.1.8C 준수선언의이론적근거는보안목표명세서의보안문제정의에대 한설명이그보안목표명세서가준수하는보호프로파일의보안문제정의설명과일 관성이있음을입증해야한다. 172 ASE_CCL.1.9C 준수선언의이론적근거는보안목표명세서의보안목적에대한설 명이그보안목표명세서가준수하는보호프로파일의보안목적설명과일관성이있 음을입증해야한다. 173 ASE_CCL.1.10C 준수선언의이론적근거는보안목표명세서의보안요구사항에대 한설명이그보안목표명세서가준수하는보호프로파일의보안요구사항설명과일 관성이있음을입증해야한다. 평가자요구사항 174 ASE_CCL.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. ASE_ECD.1 확장컴포넌트정의 종속관계 : 없음 개발자요구사항 175 ASE_ECD.1.1D 개발자는보안요구사항에대한설명을제공해야한다. 176 ASE_ECD.1.2D 개발자는확장컴포넌트정의를제공해야한다. 증거요구사항 177 ASE_ECD.1.1C 보안요구사항에대한설명은확장된모든보안요구사항을식별해 야한다. 178 ASE_ECD.1.2C 확장컴포넌트정의는각각확장된보안요구사항에대한확장컴 포넌트를정의해야한다. 179 ASE_ECD.1.3C 확장컴포넌트정의는각확장컴포넌트가기존의공통평가기준 컴포넌트, 패밀리, 클래스와어떻게연관되는지를서술해야한다. 180 ASE_ECD.1.4C 확장컴포넌트정의는기존의공통평가기준컴포넌트, 패밀리, 클 래스와방법론을모델로하여표현해야한다. 181 ASE_ECD.1.5C 확장컴포넌트는각엘리먼트에대한준수여부를입증할수있도 록측정가능하고객관적인엘리먼트로구성되어야한다. 평가자요구사항 182 ASE_ECD.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. 183 ASE_ECD.1.2E 평가자는확장된컴포넌트가기존의컴포넌트를이용하여명확히 표현할수없음을확인해야한다. ASE_OBJ.2 보안목적 - 32 -
종속관계 : ASE_SPD.1 보안문제정의 개발자요구사항 184 ASE_OBJ.2.1D 개발자는보안목적에대한설명을제공해야한다. 185 ASE_OBJ.2.2D 개발자는보안목적의이론적근거를제공해야한다. 증거요구사항 186 ASE_OBJ.2.1C 보안목적에대한설명은 TOE 보안목적과운영환경에대한보안목 적을서술해야한다. 187 ASE_OBJ.2.2C 보안목적의이론적근거는 TOE에대한각보안목적을보안목적에 의해대응되는위협과보안목적에의해수행되는조직의보안정책으로추적해야한 다. 188 ASE_OBJ.2.3C 보안목적의이론적근거는운영환경에대한각보안목적을보안목 적에의해대응되는위협, 보안목적에의해수행되는조직의보안정책, 보안목적에 의해지원되는가정사항으로추적해야한다. 189 ASE_OBJ.2.4C 보안목적의이론적근거는보안목적이모든위협에대응함을입증 해야한다. 190 ASE_OBJ.2.5C 보안목적의이론적근거는보안목적이모든조직의보안정책을수 행함을입증해야한다. 191 ASE_OBJ.2.6C 보안목적의이론적근거는운영환경에대한보안목적이모든가정 사항을지원함을입증해야한다. 평가자요구사항 192 ASE_OBJ.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. ASE_REQ.2 도출된보안요구사항 종속관계 : ASE_OBJ.2 보안목적 ASE_ECD.1 확장컴포넌트정의 개발자요구사항 193 ASE_REQ.2.1D 개발자는보안요구사항에대한설명을제공해야한다. 194 ASE_REQ.2.2D 개발자는보안요구사항의이론적근거를제공해야한다. 증거요구사항 195 ASE_REQ.2.1C 보안요구사항에대한설명은보안기능요구사항과보증요구사항을 서술해야한다. - 33 -
196 ASE_REQ.2.2C 보안기능요구사항및보증요구사항에서사용되는모든주체, 객체, 오퍼레이션, 보안속성, 외부실체, 기타조건들은정의되어야한다. 197 ASE_REQ.2.3C 보안요구사항에대한설명은보안요구사항에대한모든오퍼레이 션을식별해야한다. 198 ASE_REQ.2.4C 모든오퍼레이션은정확히수행되어야한다. 199 ASE_REQ.2.5C 보안요구사항의각종속관계는만족되어야하며, 그렇지않을경 우에는보안요구사항의이론적근거에그에대한정당화가제공되어야한다. 200 ASE_REQ.2.6C 보안요구사항의이론적근거는각보안기능요구사항을 TOE에대 한보안목적으로추적해야한다. 201 ASE_REQ.2.7C 보안요구사항의이론적근거는보안기능요구사항이 TOE에대한 모든보안목적을만족한다는것을입증해야한다. 202 ASE_REQ.2.8C 보안요구사항의이론적근거는보증요구사항이선택된이유를설 명해야한다. 203 ASE_REQ.2.9C 보안요구사항에대한설명은내부적으로일관성이있어야한다. 평가자요구사항 204 ASE_REQ.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. ASE_SPD.1 보안문제정의 종속관계 : 없음 개발자요구사항 205 ASE_SPD.1.1D 개발자는보안문제정의를제공해야한다. 증거요구사항 206 ASE_SPD.1.1C 보안문제정의는위협을서술해야한다. 207 ASE_SPD.1.2C 모든위협은위협원, 자산, 공격행동의관점에서서술되어야한 다. 208 ASE_SPD.1.3C 보안문제정의는조직의보안정책 (OSP) 을서술해야한다. 209 ASE_SPD.1.4C 보안문제정의는 TOE 운영환경에관한가정사항을서술해야한다. 평가자요구사항 210 ASE_SPD.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. ASE_TSS.1 TOE 요약명세 종속관계 : - 34 -
ASE_INT.1 보안목표명세서소개 ASE_REQ.1 명시된보안요구사항 개발자요구사항 211 ASE_TSS.1.1D 개발자는 TOE 요약명세를제공해야한다. 증거요구사항 212 ASE_TSS.1.1C TOE 요약명세는 TOE가어떻게각각의보안기능요구사항을만족 시키는지서술해야한다. 평가자요구사항 213 ASE_TSS.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. 214 ASE_TSS.1.2E 평가자는 TOE 요약명세가 TOE 개요및 TOE 설명과일관성이있 음을확인해야한다. 5.2.2 개발 ADV_ARC.1 보안구조설명 종속관계 : ADV_FSP.1 기본적인기능명세 ADV_TDS.1 기본적인설계 개발자요구사항 215 ADV_ARC.1.1D 개발자는 TSF의보안특성이우회되지않도록 TOE를설계하고구 현해야한다. 216 ADV_ARC.1.2D 개발자는신뢰되지않은능동적실체에의한침해로부터 TSF 자 체를보호할수있도록 TSF를설계하고구현해야한다. 217 ADV_ARC.1.3D 개발자는 TSF의보안구조설명을제공해야한다. 증거요구사항 218 ADV_ARC.1.1C 보안구조설명은 TOE 설계문서에서술된 SFR-수행추상화설 명에알맞은상세수준으로서술되어야한다. 219 ADV_ARC.1.2C 보안구조설명은 TSF에의해서 SFR과일관성있게유지되어야 하는보안영역을서술해야한다. 220 ADV_ARC.1.3C 보안구조설명은 TSF 초기화과정이어떻게안전한지서술해야 한다. 221 ADV_ARC.1.4C 보안구조설명은 TSF가침해로부터자신을보호함을입증해야 - 35 -
한다. 222 ADV_ARC.1.5C 보안구조설명은 TSF가 SFR-수행기능성의우회를방지함을입 증해야한다. 평가자요구사항 223 ADV_ARC.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. ADV_FSP.4 완전한기능명세 종속관계 : ADV_TDS.1 기본적인설계 개발자요구사항 224 ADV_FSP.4.1D 개발자는기능명세를제공해야한다. 225 ADV_FSP.4.2D 개발자는기능명세에서 SFR로의추적성을제공해야한다. 증거요구사항 226 ADV_FSP.4.1C 기능명세는 TSF를완전하게표현해야한다. 227 ADV_FSP.4.2C 기능명세는모든 TSFI에대한목적과사용방법을서술해야한다. 228 ADV_FSP.4.3C 기능명세는각 TSFI와관련된모든매개변수를식별및서술해야 한다. 229 ADV_FSP.4.4C 기능명세는각 TSFI에관련된모든행동을서술해야한다. 230 ADV_FSP.4.5C 기능명세는각 TSFI 호출과관련된보안수행효과및예외사항 결과로발생하는모든직접적인오류메시지를서술해야한다. 231 ADV_FSP.4.6C 추적성은 SFR이기능명세내의 TSFI로추적됨을입증해야한다. 평가자요구사항 232 ADV_FSP.4.1E 평가자는제공된정보가모든증거요구사항을만족함을확인해야 한다. 233 ADV_FSP.4.2E 평가자는기능명세가 SFR을정확하고완전하게실체화하는지결 정해야한다. ADV_IMP.1 TSF에대한구현의표현 종속관계 : ADV_TDS.3 기본적인모듈화설계 ALC_TAT.1 잘정의된개발도구 개발자요구사항 - 36 -
234 ADV_IMP.1.1D 개발자는전체 TSF에대한구현의표현을가용하게해야한다. 235 ADV_IMP.1.2D 개발자는 TOE 설계설명과구현의표현표본간의대응관계를제 공해야한다. 증거요구사항 236 ADV_IMP.1.1C 구현의표현은더이상의설계과정없이 TSF가생성될수있는 상세수준으로 TSF를정의해야한다. 237 ADV_IMP.1.2C 구현의표현은개발인력이사용한형태이어야한다. 238 ADV_IMP.1.3C TOE 설계설명과구현의표현표본간의대응관계는이들의일치 성을입증해야한다. 평가자요구사항 239 ADV_IMP.1.1E 평가자는선택된구현의표현표본에대해제공된정보가모든증 거요구사항을만족하는지확인해야한다. ADV_TDS.3 기본적인모듈화설계 종속관계 : ADV_FSP.4 완전한기능명세 개발자요구사항 240 ADV_TDS.3.1D 개발자는 TOE 설계를제공해야한다. 241 ADV_TDS.3.2D 개발자는기능명세의 TSFI와 TOE 설계에서사용가능한가장상 세수준분해간의대응관계를제공해야한다. 증거요구사항 242 ADV_TDS.3.1C 설계는 TOE의구조를서브시스템측면에서서술해야한다. 243 ADV_TDS.3.2C 설계는 TSF를모듈측면에서서술해야한다. 244 ADV_TDS.3.3C 설계는 TSF의모든서브시스템을식별해야한다. 245 ADV_TDS.3.4C 설계는 TSF의각서브시스템에대한설명을제공해야한다. 246 ADV_TDS.3.5C 설계는 TSF의모든서브시스템들간의상호작용에대한설명을 제공해야한다. 247 ADV_TDS.3.6C 설계는 TSF 서브시스템과 TSF 모듈간의대응관계를제공해야한 다. 248 ADV_TDS.3.7C 설계는각 SFR-수행모듈을그목적측면에서서술해야한다. 249 ADV_TDS.3.8C 설계는각 SFR-수행모듈을 SFR-관련인터페이스, 인터페이스로부 터의반환값, 다른모듈에서호출된인터페이스등의측면에서서술해야한다. 250 ADV_TDS.3.9C 설계는각 SFR-지원또는 SFR-비-간섭모듈을목적및다른모듈 - 37 -
과의상호작용측면에서서술해야한다. 251 ADV_TDS.3.10C 대응관계는 TOE 설계내에서술된모든행동이그것을호출하는 TSFI로대응됨을입증해야한다. 평가자요구사항 252 ADV_TDS.3.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. 253 ADV_TDS.3.2E 평가자는설계가모든보안기능요구사항을정확하고완전하게실 체화하는지결정해야한다. 5.2.3 설명서 AGD_OPE.1 사용자운영설명서종속관계 : ADV_FSP.1 기본적인기능명세개발자요구사항 254 AGD_OPE.1.1D 개발자는사용자운영설명서를제공해야한다. 증거요구사항 255 AGD_OPE.1.1C 사용자운영설명서는각각의사용자역할에대해안전한처리환경내에서통제되어야하는사용자가접근가능한기능및특권에대해적절한경고를포함해서서술해야한다. 256 AGD_OPE.1.2C 사용자운영설명서는각각의사용자역할에대해 TOE에의해안전한방식으로제공되는인터페이스의사용방법을서술해야한다. 257 AGD_OPE.1.3C 사용자운영설명서는각각의사용자역할에대해사용가능한기능및인터페이스를서술해야한다. 특히사용자의통제하에있는모든보안매개변수에대해안전한값을적절하게표시해야한다. 258 AGD_OPE.1.4C 사용자운영설명서는각각의사용자역할에대해, 수행되어야할사용자가접근할수있는기능과연관된보안-관련사건의각유형을명확히제시해야한다. 여기에는 TSF의통제하에있는실체에대한보안특성의변경도포함되어야한다. 259 AGD_OPE.1.5C 사용자운영설명서는 ( 장애후의운영또는운영상의오류후의운영을포함한 ) TOE의모든가능한운영모드, 그영향및안전한운영유지를위한관련사항들을식별해야한다. 260 AGD_OPE.1.6C 사용자운영설명서는각각의사용자역할에대해보안목표명세서에기술된대로운영환경에대한보안목적을만족시키기위해준수해야하는보안대책을서술해야한다. - 38 -
261 AGD_OPE.1.7C 사용자운영설명서는명확하고타당해야한다. 평가자요구사항 262 AGD_OPE.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. AGD_PRE.1 준비절차 종속관계 : 없음 개발자요구사항 263 AGD_PRE.1.1D 개발자는준비절차를포함하여 TOE를제공해야한다. 증거요구사항 264 AGD_PRE.1.1C 준비절차는배포된 TOE의안전한인수를위해필요한모든단계 를개발자의배포절차와일관되게서술해야한다. 265 AGD_PRE.1.2C 준비절차는 TOE의안전한설치및운영환경의안전한준비를위 해필요한모든단계를보안목표명세서에기술된운영환경에대한보안목적과일관 되게서술해야한다. 평가자요구사항 266 AGD_PRE.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. 267 AGD_PRE.1.2E 평가자는 TOE가운영을위해안전하게준비될수있음을확인하 기위해준비절차를적용해야한다. 5.2.4 생명주기지원 ALC_CMC.4 생산지원, 수용절차및자동화종속관계 : ALC_CMS.1 TOE 형상관리범위 ALC_DVS.1 보안대책의식별 ALC_LCD.1 개발자가정의한생명주기모델개발자요구사항 268 ALC_CMC.4.1D 개발자는 TOE 및그에대한참조를제공해야한다. 269 ALC_CMC.4.2D 개발자는형상관리문서를제공해야한다. 270 ALC_CMC.4.3D 개발자는형상관리시스템을사용해야한다. 증거요구사항 - 39 -
271 ALC_CMC.4.1C TOE는유일한참조를위한레이블을붙여야한다. 272 ALC_CMC.4.2C 형상관리문서는형상항목을유일하게식별하는데사용된방법을 서술해야한다. 273 ALC_CMC.4.3C 형상관리시스템은모든형상항목을유일하게식별해야한다. 274 ALC_CMC.4.4C 형상관리시스템은형상항목에인가된변경만을허용하는자동화 된수단을제공해야한다. 275 ALC_CMC.4.5C 형상관리시스템은자동화된수단을이용하여 TOE의생산을지원 해야한다. 276 ALC_CMC.4.6C 형상관리문서는형상관리계획을포함해야한다. 277 ALC_CMC.4.7C 형상관리계획은형상관리시스템이 TOE 개발에사용되는방법을 서술해야한다. 278 ALC_CMC.4.8C 형상관리계획은변경되거나새로생성된형상항목을 TOE의일부 로수용하는데사용된절차를서술해야한다. 279 ALC_CMC.4.9C 증거는모든형상항목이형상관리시스템하에유지되고있음을 입증해야한다. 280 ALC_CMC.4.10C 증거는형상관리시스템이형상관리계획에따라운영되고있음 을입증해야한다. 평가자요구사항 281 ALC_CMC.4.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. ALC_CMS.4 문제추적형상관리범위 종속관계 : 없음 개발자요구사항 282 ALC_CMS.4.1D 개발자는 TOE에대한형상목록을제공해야한다. 증거요구사항 283 ALC_CMS.4.1C 형상목록은 TOE, 보증요구사항에서요구하는평가증거, TOE를구 성하는부분, 구현표현, 보안결함보고서및해결상태를포함해야한다. 284 ALC_CMS.4.2C 형상목록은형상항목을유일하게식별해야한다. 285 ALC_CMS.4.3C 형상목록은각 TSF 관련형상항목의개발자를표시해야한다. 평가자요구사항 286 ALC_CMS.4.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. - 40 -
ALC_DEL.1 배포절차 종속관계 : 없음 개발자요구사항 287 ALC_DEL.1.1D 개발자는소비자에게 TOE나 TOE 일부를배포하는절차를문서화 해야한다. 288 ALC_DEL.1.2D 개발자는배포절차를사용해야한다. 증거요구사항 289 ALC_DEL.1.1C 배포문서는 TOE를소비자에게배포할때보안을유지하기위해 필요한모든절차를서술해야한다. 평가자요구사항 290 ALC_DEL.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. ALC_DVS.1 보안대책의식별 종속관계 : 없음 개발자요구사항 291 ALC_DVS.1.1D 개발자는개발보안문서를작성해야한다. 증거요구사항 292 ALC_DVS.1.1C 개발보안문서는개발환경내에서 TOE 설계및구현과정의비밀 성과무결성을보호하기위하여필요한모든물리적, 절차적, 인적및기타보안대 책을서술해야한다. 평가자요구사항 293 ALC_DVS.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. 294 ALC_DVS.1.2E 평가자는보안대책이적용되고있는지확인해야한다. ALC_LCD.1 개발자가정의한생명주기모델 종속관계 : 없음 개발자요구사항 295 ALC_LCD.1.1D 개발자는 TOE의개발과유지에사용되는생명주기모델을수립해 야한다. 296 ALC_LCD.1.2D 개발자는생명주기정의문서를제공해야한다. 증거요구사항 - 41 -
297 ALC_LCD.1.1C 생명주기정의문서는 TOE의개발과유지에사용되는모델을서 술해야한다. 298 ALC_LCD.1.2C 생명주기모델은 TOE의개발과유지에필요한통제를제공해야 한다. 평가자요구사항 299 ALC_LCD.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. ALC_TAT.1 잘정의된개발도구 종속관계 : ADV_IMP.1 TSF 에대한구현의표현 개발자요구사항 300 ALC_TAT.1.1D 개발자는 TOE에사용된각개발도구를식별해야한다. 301 ALC_TAT.1.2D 개발자는각개발도구에대해구현-종속적인선택사항을문서화 해야한다. 증거요구사항 302 ALC_TAT.1.1C 구현에사용된각개발도구는잘정의된것이어야한다. 303 ALC_TAT.1.2C 각개발도구문서는구현에사용된모든규정과지시어뿐만아 니라모든명령문의의미를모호하지않게정의해야한다. 304 ALC_TAT.1.3C 각개발도구문서는모든구현-종속적인선택사항의의미를모호 하지않게정의해야한다. 평가자요구사항 305 ALC_TAT.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. 5.2.5 시험 ATE_COV.2 시험범위의분석종속관계 : ADV_FSP.2 보안-수행기능명세 ATE_FUN.1 기능시험개발자요구사항 306 ATE_COV.2.1D 개발자는시험범위의분석을제공해야한다. - 42 -
증거요구사항 307 ATE_COV.2.1C 시험범위의분석은시험문서내의시험항목과기능명세내의 TSFI간의일치성을입증해야한다. 308 ATE_COV.2.2C 시험범위의분석은기능명세내의모든 TSFI가시험되었음을입 증해야한다. 평가자요구사항 309 ATE_COV.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. ATE_DPT.2 보안-수행모듈시험 종속관계 : ADV_ARC.1 보안구조설명 ADV_TDS.3 기본적인모듈화설계 ATE_FUN.1 기능시험 개발자요구사항 310 ATE_DPT.2.1D 개발자는시험의상세수준분석을제공해야한다. 증거요구사항 311 ATE_DPT.2.1C 시험의상세수준분석은시험문서내의시험항목과 TOE 설계내 의 TSF 서브시스템및모듈간의일치성을입증해야한다. 312 ATE_DPT.2.2C 시험의상세수준분석은 TOE 설계내의모든 TSF 서브시스템이 시험되었음을입증해야한다. 313 ATE_DPT.2.3C 시험의상세수준분석은 TOE 설계내의 SFR-수행모듈이시험되 었음을입증해야한다. 평가자요구사항 314 ATE_DPT.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. ATE_FUN.1 기능시험 종속관계 : ATE_COV.1 시험범위의증거 개발자요구사항 315 ATE_FUN.1.1D 개발자는 TSF를시험하고그결과를문서화해야한다. 316 ATE_FUN.1.2D 개발자는시험문서를제공해야한다. 증거요구사항 - 43 -
317 ATE_FUN.1.1C 시험문서는시험계획, 예상시험결과, 실제시험결과로구성되어 야한다. 318 ATE_FUN.1.2C 시험계획은수행되어야할시험항목을식별하고각시험수행의 시나리오를서술해야한다. 이러한시나리오는다른시험결과에대한순서종속관 계를포함해야한다. 319 ATE_FUN.1.3C 예상시험결과는시험의성공적인수행으로기대되는결과를제시 해야한다. 320 ATE_FUN.1.4 실제시험결과는예상시험결과와일관성이있어야한다. 평가자요구사항 321 ATE_FUN.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. ATE_IND.2 독립적인시험 : 표본시험 종속관계 : ADV_FSP.2 보안-수행기능명세 AGD_OPE.1 사용자운영설명서 AGD_PRE.1 준비절차 ATE_COV.1 시험범위의증거 ATE_FUN.1 기능시험 개발자요구사항 322 ATE_IND.2.1D 개발자는시험할 TOE를제공해야한다. 증거요구사항 323 ATE_IND.1.1C TOE는시험하기에적합해야한다. 324 ATE_IND.2.2C 개발자는개발자의 TSF 기능시험에사용된자원과동등한자원 을제공해야한다. 평가자요구사항 325 ATE_IND.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. 326 ATE_IND.2.2E 평가자는개발자시험결과를검증하기위하여시험문서내의시 험항목에대한표본시험을수행해야한다. 327 ATE_IND.2.3E 평가자는 TSF가명세된대로동작함을확인하기위하여 TSF 인터 페이스의일부를시험해야한다. - 44 -
5.2.6 취약성평가 AVA_VAN.3 강화된취약성분석 종속관계 : ADV_ARC.1 보안구조설명 ADV_FSP.2 보안-수행기능명세 ADV_TDS.3 기본적인모듈화설계 ADV_IMP.1 TSF에대한구현의표현 AGD_OPE.1 사용자운영설명서 AGD_PRE.1 준비절차 개발자요구사항 328 AVA_VLA.3.1D 개발자는시험할 TOE를제공해야한다. 증거요구사항 329 AVA_VLA.3.1C TOE는시험하기에적합해야한다. 평가자요구사항 330 AVA_VLA.3.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해 야한다. 331 AVA_VLA.3.2E 평가자는 TOE의잠재적취약성을식별하기위해공개영역에대 한조사를수행해야한다. 332 AVA_VLA.3.3E 평가자는 TOE의잠재적취약성을식별하기위해설명서, 기능명 세, TOE 설계및보안구조설명, 구현의표현을이용하여독립적인취약성분석을 수행해야한다. 333 AVA_VLA.3.4E 평가자는 TOE가강화된-기본공격성공가능성을가진공격자에 의해행해지는공격에내성이있음을결정하기위해, 식별된잠재적취약성에근거 하여침투시험을수행해야한다. 5.3 보안요구사항의이론적근거 334 보안요구사항의이론적근거는서술된보안요구사항이보안목적을만족시키기에적합하고, 그결과보안문제를다루기에적절함을입증한다. 5.3.1 보안기능요구사항의이론적근거 335 보안기능요구사항의이론적근거는다음을입증한다. - 45 -
각 TOE 보안목적은적어도하나의보안기능요구사항에의해서다루어진다. 각보안기능요구사항은적어도하나의 TOE 보안목적을다룬다. 336 [ 표 4] 는보안목적과보안기능요구사항사이의대응관계를보여준다. [ 표 4] 보안목적과보안기능요구사항대응 보안목적 TOE 보안목적 보안기능 요구사항 O. 관리 O. 사용자인증 O. 잔여정보제거 O. 저장데이터보호 O. 접근통제 O. 전송데이터보호 O. 정보누출대응 FCS_CKM.1 X X X FCS_CKM.4 X X FCS_COP.1 X X X FDP_ACC.1 X FDP_ACF.1 X FDP_RIP.1 X FDP_UCT.1 X FDP_UIT.1 X FIA_AFL.1 X FIA_ATD.1 X FIA_SOS.1 X FIA_UAU.1 X FIA_UID.1 X FMT_MSA.1 X FMT_MSA.2 X FMT_MSA.3 X FMT_MTD.1 X FMT_MTD.2 X FMT_SMF.1 X FMT_SMR.1 X F P T_ A M T.1 X FPT_FLS.1 X F P T_ TST.1 X X FTP_ITC.1 X - 46 -
FCS_CKM.1 암호키생성 337 본컴포넌트는암호키생성알고리즘에따라암호키를생성해사용자인증과전송데이터를보호하고, 정보누출에대응하는것을요구하므로 O. 사용자인증, O. 전송데이터보호, O. 정보누출대응을만족시킨다. FCS_CKM.4 암호키파기 338 본컴포넌트는명세된방법으로암호키의안전한파키를통해정상적인운영조건외에서발생할수있는정보노출및변경을지원하므로 O. 잔여정보제거, O. 저장데이터보호를만족시킨다. FCS_COP.1 암호연산 339 본컴포넌트는사용자인증과전송데이터보호를위한암호연산을지원하고, 정보누출에대응하는것을요구하므로 O. 사용자인증, O. 전송데이터보호, O. 정보누출대응을만족시킨다. FDP_ACC.1 부분적인접근통제 340 본컴포넌트는주체, 객체간의오퍼레이션에대해접근통제정책에따른수행을요구하므로 O. 접근통제를만족시킨다. FDP_ACF.1 보안속성에기반한접근통제 341 본컴포넌트는주체, 객체와이들의보안속성에기반해접근통제정책에따른수행을요구하므로 O. 접근통제를만족시킨다. FDP_RIP.1 부분적인잔여정보보호 342 본컴포넌트는 TSF가자원의할당이나회수시에 TSF에의해통제되는객체의정의된부분집합에대해서모든자원의잔여정보내용이가용하지않음을요구하므로 O. 잔여정보제거를만족시킨다. FDP_UCT.1 기본적인전송데이터비밀성 343 본컴포넌트는 TSF가인가되지않은노출로부터보호된방법으로객체를송 / 수신할수있도록접근통제정책을강제해야함을요구하므로 O. 전송데이터보호를만족시킨다. FDP_UIT.1 전송데이터무결성 344 본컴포넌트는 TSF가변경, 삭제, 삽입, 재사용등으로부터보호된방법으로사용자데이터를송 / 수신할수있도록접근통제정책을강제해야함을요구하므로 O. 전송데이터보호를만족시킨다. FIA_AFL.1 인증실패처리 345 본컴포넌트는사용자인증메커니즘에대한연속인증시도공격에대응하여 O. - 47 -
사용자인증을만족시킨다. FIA_ATD.1 사용자속성정의 346 본컴포넌트는사용자인증시사용자와관련된속성에따라안전하게사용자를인증함을요구하므로 O. 사용자인증을만족시킨다. FIA_SOS.1 비밀정보의검증 347 본컴포넌트는비밀정보가정의된허용기준을만족하는지검증하는메커니즘을제공하므로 O. 사용자인증을만족시킨다. FIA_UAU.1 인증 348 본컴포넌트는사용자를성공적으로인증하는능력을보장하기위해사용되므로 TOE 보안목적 O. 사용자인증을만족시킨다. FIA_UID.1 식별 349 본컴포넌트는사용자를성공적으로식별하는능력을보장하기위해사용되므로 TOE 보안목적 O. 사용자인증을만족시킨다. FMT_MSA.1 보안속성관리 350 본컴포넌트는보안속성값의변경, 질의, 삭제등의연산을인가된역할로제한하므로 O. 저장데이터보호를만족시킨다. FMT_MSA.2 안전한보안속성 351 본컴포넌트는오직안전한값만이보안속성값으로허용됨을보장함으로 O. 저장데이터보호를만족시킨다. FMT_MSA.3 정적속성초기화 352 본컴포넌트는 TOE의디폴트값을대체하기위해선택적인초기값을강제하므로 O. 저장데이터보호를만족시킨다. FMT_MTD.1 TSF 데이터관리 353 본컴포넌트는인가된역할에게 TSF 데이터를처리하는능력을제공하므로 TOE 보안목적 O. 관리를만족시킨다. FMT_MTD.2 TSF 데이터한계치의관리 354 본컴포넌트는인가된역할에게 TSF 데이터의한계치를관리하고지정된한계치에도달하거나이를초과하는경우대응행동이취해짐을보장하므로 O. 관리를만족시킨다. FMT_SMF.1 관리기능명세 - 48 -
355 본컴포넌트는 TSF가수행해야하는보안기능, 보안속성, TSF 데이터등의관리기능을명세하도록요구하므로 TOE 보안목적 O. 관리를만족시킨다. FMT_SMR.1 보안역할 356 본컴포넌트는사용자를인가된관리자역할에연관시킴을보장하므로 TOE 보안목적 O. 사용자인증을만족시킨다. FPT_AMT.1 추상기계시험 357 본컴포넌트는 TOE 하부구조가정상적으로동작함을 TOE가시험할수있도록하여 TOE의정상적인동작을보장하므로 O. 저장데이터보호를만족시킨다. FPT_FLS.1 장애시안전한상태유지 358 본컴포넌트는 TSF 장애가발생한경우안전한상태를유지해야함을보장하므로 O. 저장데이터보호를만족시킨다. FPT_TST.1 TSF 자체시험 359 본컴포넌트는 TSF의정확한운영을위한자체시험을보장하고, 인가된관리자가 TSF 데이터및 TSF 실행코드의무결성을검증하는기능을보장하므로 TOE 보안목적 O. 관리, O. 저장데이터보호를만족시킨다. FTP_ITC.1 TSF간안전한채널 360 본컴포넌트는 TOE와원격의신뢰된 IT제품간에다른통신채널과논리적으로구별되고, 단말의보증된식별을제공하며, 변경이나노출로부터채널데이터를보호하는통신채널을제공함을요구하므로 O. 전송데이터보호를만족시킨다. 5.3.2 보증요구사항의이론적근거 361 본보호프로파일의보증등급은 TOE가보호하는자산의가치, 위협수준등을고려하여 EAL4로선정하였다. 362 EAL4는체계적인설계, 시험및검토를요구하는보증패키지로, 개발자가견실한상업적개발방법론에기반한실용적인보안공학으로부터최대한의보증을얻을수있도록한다. 견실한상업적개발방법론은엄밀하지만, 방대한전문지식, 기술, 기타자원들을요구하지않는것을말한다. EAL4는기존의생산라인을갱신하는것이경제적측면에서실현가능한가장높은등급이다. 363 EAL4는개발자나사용자가전통적인상용 TOE에중간수준에서높은수준의독립적으로보증된보안성을요구하며, 보안공학으로인한추가적인비용을지불할용의가있는경우에적용가능하다. 364 EAL4는보안행동을이해하기위해기능및완전한인터페이스명세, 모듈설계설명, TSF 일부에대한구현의표현, 시험, 자동화를포함한형상관리를제공한다. - 49 -
365 또한, 보안토큰의경우, 물리적인공격등에대응하기위해 AVA_VAN.3, 강화된취약성분석을요구해평가자가잠재적취약성이 TOE 운영환경에서악용될수없음을확인하기위해침투시험을수행한다. 평가자는강화된-기본 (Enhanced-Basic) 공격성공가능성을가정하고침투시험을수행한다. 5.4 종속관계에대한이론적근거 5.4.1 보안기능요구사항의이론적근거 366 [ 표 5] 는 TOE 기능컴포넌트의종속관계를보여준다. - 50 -
[ 표 5] TOE 기능컴포넌트종속관계 번호 기능 컴포넌트 종속관계 참조번호 [FCS_CKM.2 또는 - 1 FCS_CKM.1 FCS_COP.1] 3 FCS_CKM.4 2 FMT_MSA.2 15 [FDP_ITC.1 또는 - 2 FCS_CKM.4 FDP_ITC.2 또는 - FCS_CKM.1] 1 FMT_MSA.2 15 3 FCS_COP.1 [FDP_ITC.1 또는 FDP_ITC.2 또는 FCS_CKM.1] FCS_CKM.4 FMT_MSA.2 - - 1 2 15 4 FDP_ACC.1 FDP_ACF.1 5 5 FDP_ACF.1 FDP_ACC.1 4 FMT_MSA.3 16 6 FDP_RIP.1 - [FDP_ACC.1 또는 4 7 FDP_UCT.1 FDP_IFC.1] - [FTP_ITC.1 또는 24 FTP_TRP.1] - [FDP_ACC.1 또는 4 8 FDP_UIT.1 FDP_IFC.1] - [FTP_ITC.1 또는 24 FTP_TRP.1] - 9 FIA_AFL.1 FIA_UAU.1 12 10 FIA_ATD.1 - - 11 FIA_SOS.1 - - 12 FIA_UAU.1 FIA_UID.1 13 13 FIA_UID.1 - - [FDP_ACC.1 또는 4 14 FMT_MSA.1 FDP_IFC.1] - FMT_SMF.1 19 FMT_SMR.1 20 [FDP_ACC.1 또는 4 15 FMT_MSA.2 FDP_IFC.1] - FMT_MSA.1 14 FMT_SMR.1 20 16 FMT_MSA.3 FMT_MSA.1 14 FMT_SMR.1 20 17 FMT_MTD.1 FMT_SMF.1 19 FMT_SMR.1 20 18 FMT_MTD.2 FMT_MTD.1 17 FMT_SMR.1 20 19 FMT_SMF.1 - - 20 FMT_SMR.1 FIA_UID.1 13 2 1 F P T_ A M T.1 - - 22 FPT_FLS.1 - - 2 3 F P T_ TST.1 F P T_ A M T.1 2 1 24 FTP_ITC.1 - - - 51 -
5.4.2 보증요구사항의종속관계 367 정보보호시스템공통평가기준에서제공하는각보증패키지의종속관계는이미만족된다. - 52 -
( 본면은양면인쇄를위해의도적으로비워놓은공란임 )
참고자료 [1] Common Criteria for Information Technology Security Evaluation, Version 3.1, CCMB, 2006. 9. [2] Common Methodology for Information Technology Security Evaluation, Version 3.1, CCMB, 2006. 9. [3] 국가기관용개방형스마트카드플랫폼보호프로파일 V1.1, 국가정보원 IT보안인증사무국, 한국정보보호진흥원, 2006. 5 [4] Common Criteria Protection Profile, USB-Datenträger, BSI-PP-0025, 2006. 3 [5] Protection Profile Authentication Device, DAUTH-PP (PKI based), 2006. 1 [6] Department of Defense Public Key Infrastructure and Key Management Infrastructure Token Protection Profile(Medium Robustness), V3.0, 2002. 3 [7] Supporting Document Mandatory Technical Document, Application of Attack Potential to Smartcards, Version 2.1, CCDB, 2006. 4 [8] Supporting Document Mandatory Technical Document, The Application of CC to Integrated Circuits, Version 2.0, CCDB, 2006. 4-54 -
( 본면은양면인쇄를위해의도적으로비워놓은공란임 )
약어표 CC DES DPA EAL EEPROM IC PIN PKI PP RAM ROM SFP SPA ST TOE TSF USB Common Criteria Data Encryption Standard Differential Power Analysis Evaluation Assurance Level Electrically Erasable Programmable Read Only Memory Integrated Circuit Personal Identification Number Public Key Infrastructure Protection Profile Random Access Memory Read Only Memory Security Function Policy Simple Power Analysis Security Target Target of Evaluation TOE Security Functionality Universal Serial Bus - 56 -