ISO 13491-1:1998
(Main)Banking - Secure cryptographic devices (retail) - Part 1: Concepts, requirements and evaluation methods
Banking - Secure cryptographic devices (retail) - Part 1: Concepts, requirements and evaluation methods
Banque — Dispositifs cryptographiques de sécurité (services aux particuliers) — Partie 1: Concepts, prescriptions et méthodes d'évaluation
La présente partie de l'ISO 13491 vise deux principaux objectifs:1. établir les prescriptions concernant les caractéristiques opérationnelles des SCD et la gestion de ces dispositifs à travers les diverses étapes de leur cycle de vie;2. normaliser la méthodologie de vérification de la conformité aux prescriptions en question.Il est nécessaire que ces dispositifs soient dotés de caractéristiques garantissant qu'ils disposent des capacités opérationnelles adéquates et qu'ils assurent la protection qui convient aux données qu'ils contiennent. Une bonne gestion de ces dispositifs est nécessaire pour garantir que le dispositif considéré est légitime, qu'il n'a pas été modifié de manière illicite, par exemple par «bogage», et que les données sensibles qu'il peut contenir (par exemple, des clés cryptographiques) n'ont été ni divulguées ni modifiées.D'un point de vue pratique, il est impossible de garantir une sécurité absolue. La sécurité cryptographique dépend de chaque phase du cycle de vie du SCD et de la combinaison complémentaire des procédures de gestion appropriées et des caractéristiques cryptographiques sécurisées. Ces procédures de gestion mettent en oeuvre des mesures préventives pour réduire l'opportunité d'une violation de la sécurité du dispositif cryptographique. Elles ont pour but un haut niveau de probabilité de détection des accès illicites aux données sensibles ou confidentielles dans le cas où les caractéristiques des dispositifs ne parviendraient pas à empêcher ou à détecter la compromission de sécurité.La présente partie de l'ISO 13491 ne traite pas les questions liées au refus de service d'un SCD.Les prescriptions spécifiques concernant les caractéristiques et la gestion des types spécifiques de fonctionnalités des SCD utilisées dans le cadre des services bancaires aux particuliers sont décrites dans une autre partie de l'ISO 13491.
General Information
Relations
Frequently Asked Questions
ISO 13491-1:1998 is a standard published by the International Organization for Standardization (ISO). Its full title is "Banking - Secure cryptographic devices (retail) - Part 1: Concepts, requirements and evaluation methods". This standard covers: La présente partie de l'ISO 13491 vise deux principaux objectifs:1. établir les prescriptions concernant les caractéristiques opérationnelles des SCD et la gestion de ces dispositifs à travers les diverses étapes de leur cycle de vie;2. normaliser la méthodologie de vérification de la conformité aux prescriptions en question.Il est nécessaire que ces dispositifs soient dotés de caractéristiques garantissant qu'ils disposent des capacités opérationnelles adéquates et qu'ils assurent la protection qui convient aux données qu'ils contiennent. Une bonne gestion de ces dispositifs est nécessaire pour garantir que le dispositif considéré est légitime, qu'il n'a pas été modifié de manière illicite, par exemple par «bogage», et que les données sensibles qu'il peut contenir (par exemple, des clés cryptographiques) n'ont été ni divulguées ni modifiées.D'un point de vue pratique, il est impossible de garantir une sécurité absolue. La sécurité cryptographique dépend de chaque phase du cycle de vie du SCD et de la combinaison complémentaire des procédures de gestion appropriées et des caractéristiques cryptographiques sécurisées. Ces procédures de gestion mettent en oeuvre des mesures préventives pour réduire l'opportunité d'une violation de la sécurité du dispositif cryptographique. Elles ont pour but un haut niveau de probabilité de détection des accès illicites aux données sensibles ou confidentielles dans le cas où les caractéristiques des dispositifs ne parviendraient pas à empêcher ou à détecter la compromission de sécurité.La présente partie de l'ISO 13491 ne traite pas les questions liées au refus de service d'un SCD.Les prescriptions spécifiques concernant les caractéristiques et la gestion des types spécifiques de fonctionnalités des SCD utilisées dans le cadre des services bancaires aux particuliers sont décrites dans une autre partie de l'ISO 13491.
La présente partie de l'ISO 13491 vise deux principaux objectifs:1. établir les prescriptions concernant les caractéristiques opérationnelles des SCD et la gestion de ces dispositifs à travers les diverses étapes de leur cycle de vie;2. normaliser la méthodologie de vérification de la conformité aux prescriptions en question.Il est nécessaire que ces dispositifs soient dotés de caractéristiques garantissant qu'ils disposent des capacités opérationnelles adéquates et qu'ils assurent la protection qui convient aux données qu'ils contiennent. Une bonne gestion de ces dispositifs est nécessaire pour garantir que le dispositif considéré est légitime, qu'il n'a pas été modifié de manière illicite, par exemple par «bogage», et que les données sensibles qu'il peut contenir (par exemple, des clés cryptographiques) n'ont été ni divulguées ni modifiées.D'un point de vue pratique, il est impossible de garantir une sécurité absolue. La sécurité cryptographique dépend de chaque phase du cycle de vie du SCD et de la combinaison complémentaire des procédures de gestion appropriées et des caractéristiques cryptographiques sécurisées. Ces procédures de gestion mettent en oeuvre des mesures préventives pour réduire l'opportunité d'une violation de la sécurité du dispositif cryptographique. Elles ont pour but un haut niveau de probabilité de détection des accès illicites aux données sensibles ou confidentielles dans le cas où les caractéristiques des dispositifs ne parviendraient pas à empêcher ou à détecter la compromission de sécurité.La présente partie de l'ISO 13491 ne traite pas les questions liées au refus de service d'un SCD.Les prescriptions spécifiques concernant les caractéristiques et la gestion des types spécifiques de fonctionnalités des SCD utilisées dans le cadre des services bancaires aux particuliers sont décrites dans une autre partie de l'ISO 13491.
ISO 13491-1:1998 is classified under the following ICS (International Classification for Standards) categories: 35.240.40 - IT applications in banking. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO 13491-1:1998 has the following relationships with other standards: It is inter standard links to ISO 13491-1:2007. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO 13491-1:1998 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 13491-1
First edition
1998-06-15
Banking — Secure cryptographic
devices (retail) —
Part 1:
Concepts, requirements and evaluation
methods
Banque — Dispositifs cryptographiques de sécurité (service aux
particuliers) —
Partie 1: Concepts, prescriptions et méthodes d'évaluation
A
Reference number
Contents
1 Scope .1
2 Normative references .1
3 Terms and definitions .2
4 Secure cryptographic device concepts.3
4.1 Attack scenarios .3
4.1.1 Penetration .3
4.1.2 Monitoring .3
4.1.3 Manipulation.3
4.1.4 Modification.4
4.1.5 Substitution.4
4.2 Defence Measures .4
4.2.1 Device Characteristics .4
4.2.2 Device Management .5
4.2.3 Environment.5
5 Requirements for device characteristics .5
5.1 Introduction.5
5.2 Physical Security Requirements for SCDs.5
5.2.1 General.5
5.2.2 Tamper Evidence Requirement .6
5.2.3 Tamper Resistance Requirements.6
5.2.4 Tamper Response Requirements.6
5.3 Logical Security Requirements for SCDs.7
5.3.1 Assurance of genuine devices .7
© ISO 1998
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means, electronic
or mechanical, including photocopying and microfilm, without permission in writing from the publisher.
International Organization for Standardization
Case postale 56 • CH-1211 Genève 20 • Switzerland
Internet iso@iso.ch
Printed in Switzerland
ii
© ISO
5.3.2 Design of functions . 7
5.3.3 Use of cryptographic keys. 7
5.3.4 Sensitive Device States. 7
5.3.5 Multiple Cryptographic Relationships. 7
5.3.6 SCD Software Authentication. 7
5.3.7 Minimally Tamper Resistant Devices with Tamper Evidence Characteristics . 8
6 Requirements for device management . 8
6.1 Life-Cycle Phases . 8
6.2 Life Cycle Protection Requirements. 9
6.2.1 Manufacturing and Post-Manufacturing. 9
6.2.2 Pre-Use . 9
6.2.3 Use . 9
6.2.4 Post-Use . 10
6.3 Life Cycle Protection Methods . 10
6.3.1 Manufacturing. 10
6.3.2 Post-Manufacturing. 10
6.3.3 Pre-Use . 10
6.3.4 Use . 11
6.3.5 Post-Use . 11
6.4 Accountability. 12
6.5 Device Management Principles of Audit and Control. 12
7 Evaluation method selection. 14
7.1 Evaluation Methods. 14
7.1.1 Informal Method. 15
7.1.2 Semi-formal Method . 15
7.1.3 Formal Method. 15
7.2 Risk Assessment . 16
7.3 Informal Evaluation Method. 16
7.3.1 Manufacturer / Sponsor . 16
7.3.2 Auditor . 16
7.3.3 Audit Review Body . 16
iii
© ISO
7.3.4 Audit Check-List .17
7.3.5 Auditor Results .17
7.3.6 Audit Report .17
7.4 Semi-Formal Evaluation Method .17
7.4.1 Manufacturer / Sponsor.18
7.4.2 Evaluation Agency.18
7.4.3 Evaluation Review Body .18
7.4.4 Evaluation Results.18
7.4.5 Evaluation Report .19
7.5 Formal Evaluation Method.19
Annex A (informative) Concepts of security levels for system security.20
iv
© ISO
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO
member bodies). The work of preparing International Standards is normally carried out through ISO technical
committees. Each member body interested in a subject for which a technical committee has been established has
the right to be represented on that committee. International organizations, governmental and non-governmental, in
liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical
Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 3.
Draft International Standards adopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the member bodies casting a vote.
International Standard ISO 11568 was prepared by Technical Committee ISO/TC 68, Banking, securities and other
financial services, Subcommittee SC 6, Retail financial services.
ISO 13491 consists of the following parts, under the general title Banking — Secure cryptographic devices (retail):
— Part 1: Concepts, requirements and evaluation methods
— Part 2: Security compliance check-lists for devices used in magnetic stripe card systems
Annex A of this part of ISO 13491 is for information only.
v
© ISO
Introduction
ISO 13491 describes both the physical and logical characteristics and the management of the secure cryptographic
devices (SCD’s) used to protect messages, cryptographic keys and other sensitive information used in a retail
banking environment, where a SCD is a physically and logically protected hardware device that provides a secure
set of cryptographic services.
The security of retail electronic banking is largely dependent upon the security of these cryptographic devices. This
security is based upon the premise that computer files can be accessed and manipulated, communications lines
can be "tapped" and authorized data or control inputs into system equipment can be replaced with unauthorized
inputs. While certain cryptographic equipment (e.g. host security modules) remain concentrated in the relatively
high security of processing centers, a large proportion of cryptographic devices used in retail banking (e.g. PIN
pads, ATM’s, etc) now reside in non-secure environments. Therefore when Personal Identification Numbers
(PIN’s), Message Authentication Codes (MAC’s), Cryptographic Keys and other sensitive data are processed in
these devices, there is a risk that these devices may be tampered with or otherwise compromised to disclose or
modify such data. It must be ensured that the risk of financial loss is reduced through the appropriate use of
cryptographic devices that have proper characteristics and are properly managed.
vi
INTERNATIONAL STANDARD © ISO ISO 13491-1:1998(E)
Banking — Secure cryptographic devices (retail) — Part 1:
Concepts, requirements and evaluation methods
This part of ISO 13491 does not address issues
1 Scope
arising from the denial of service of a SCD.
This part of ISO 13491 specifies the requirements for
Specific requirements for the characteristics and
Secure Cryptographic Devices which incorporate the
management of specific types of SCD functionality
cryptographic processes defined in ISO 9564,
used in the retail banking environment are contained
ISO 9807 and ISO 11568.
in another part of ISO 13491.
This part of ISO 13491 has two primary purposes:
2 Normative references
1. to state the requirements concerning both the
operational characteristics of SCD’s and the
The following standards contain provisions which,
management of such devices throughout all
through references in this text, constitute provisions
stages of their life cycle,
of this part of ISO 13491. At the time of publication,
the editions indicated were valid. All standards are
2. to standardize the methodology for verifying
subject to revision and parties to agreements based
compliance with those requirements.
upon this part of ISO 13491 should apply the most
recent edition of the standards indicated below.
Appropriate device characteristics are necessary to
Members of IEC and ISO maintain registers of
ensure that the device has the proper operational
currently valid International Standards.
capabilities and provides adequate protection for the
data it contains. Appropriate device management is
ISO 7498-2:1989, Information processing systems —
necessary to ensure that the device is legitimate, that
Open Systems Interconnection — Basic Reference
it has not been modified in an unauthorized manner,
Model — Part 2: Security architecture.
e.g., by "bugging", and that any sensitive data placed
ISO 8908:1993, Banking and related financial
within the device (e.g., cryptographic keys) has not
services — Vocabulary and data elements.
been subject to disclosure or change.
1)
ISO 9564-1:— , Banking — Personal Identification
Absolute security is not practically achievable.
Number management and security — Part 1: PIN
Cryptographic security depends upon each life cycle
protection priniciples and techniques.
phase of the SCD and the complementary
combination of appropriate management procedures
ISO 9807:1991, Banking and related financial
and secure cryptographic characteristics. These
services — Requirements for message authentication
management procedures implement preventive
(retail).
measures to reduce the opportunity for a breach of
ISO 10202 (all parts), Financial transaction cards —
cryptographic device security. These aim for a high
Security architecture of financial transaction systems
probability of detection of any illicit access to sensitive
using integrated circuit cards.
or confidential data should device characteristics fail
to prevent or detect the security compromise.
ISO 11568 (all parts), Banking key management
(retail).
Annex A provides an informative illustration of the
2)
concepts of security levels described in this part of
ISO 13491-2:— , Banking — Secure cryptographic
ISO 13491 as being applicable to secure
devices (retail) — Part 2: Security compliance
cryptographic devices.
checklists for devices using magnetic stripe cards.
1) To be published. (Revision of ISO 9564-1:1991)
2) To be published.
© ISO
authorities which evaluates the SCD (using specialist
3 Terms and definitions
skills and tools) in accordance with this part of ISO
13491.
For the purposes of this part of ISO 13491, the terms
and definitions given in ISO 8908 and the following
definitions apply.
3.14 evaluation report: the output of the
evaluation review body based on the results from an
3.1 accreditation authority: the authority
evaluation agency or auditor.
responsible for the accreditation of evaluation
authorities and supervision of their work in order to
3.15 evaluation review body: a group with
guarantee the reproducibility of the evaluation results.
responsibility for reviewing, and making judgements
on, the results of the evaluation agency.
3.2 accredited evaluation authority: a body
accredited in accordance to a set of rules, e.g. EN 3.16 formal claims: statements about the
45000 or ISO Guide 25, and accepted by the characteristics and functions of a Secure
accreditation authority for the purpose of evaluation. Cryptographic Device.
3.17 logical security: the ability of a device to
3.3 attack: an attempt by an adversary on the
withstand attacks through its functional interface.
device to obtain or modify sensitive information or a
service he is not authorized to obtain or modify.
3.18 operational environment: the environment
3.4 audit check-list: a list of auditable claims,
in which the SCD is operated, i.e. the application
organized by device type, and contained in another
system of which it is part, the location where it is
part of ISO 13491.
placed, the persons operating and using it, the
entities communicating with it.
3.5 audit report: the output of the Audit Review
Body based on the results from an auditor
3.19 physical security: the ability of a device to
withstand attacks against its physical construction.
3.6 audit review body: a group with responsibility
for reviewing and making judgements on the results
3.20 secure cryptographic device: SCD: a
from the auditor.
physically and logically protected hardware device
that provides a secure set of cryptographic services.
3.7 auditor: one who checks, assesses, reviews
and evaluates compliance with an informal evaluation
3.21 SCD interface: the interface of the SCD
on behalf of the Sponsor or Audit Review Body.
through which the SCD interacts with the operational
environment (e.g. command, control panels, lock,
3.8 certification report: the output of the
etc.).
evaluation review body based on the results from an
accredited evaluation authority.
3.22 sensitive data; sensitive information:
data, design characteristics, status information,
3.9 controller: Entity responsible for the secure
cryptographic keys etc, which must be protected
management of an SCD
against unauthorized disclosure, alteration, or
destruction.
3.10 deliverables: documents, equipment and any
other items or information needed by the evaluators
to perform an evaluation of the Secure Cryptographic
3.23 software: programs and/or data that will be
Device.
used within the SCD or downloaded for use by the
SCD.
3.11 device security: security of the SCD related
to its characteristics only, without reference to a
specific operational environment.
3.24 sponsoring authority; sponsor: the
individual, company or organization that requires the
SCD to undergo evaluation.
3.12 environment-dependent security: security
of an SCD as part of an operational environment.
3.25 tamper evident characteristic: A
3.13 evaluation agency: an organization trusted
characteristic that provides evidence that an attack
by the design, manufacturing and sponsoring
has been attempted.
© ISO
assessment of the risks arising from the intended
3.26 tamper resistant characteristic: A
applications.
characteristic that provides passive physical
protection against an attack.
The required security characteristics will depend on
the intended application and operational environment,
3.27 tamper responsive characteristic: A
and on the attack types that have to be considered.
characteristic that provides an active response to the
A risk assessment should be made as an aid to
detection of an attack, thereby preventing its success.
selecting the most appropriate method of evaluating
the security of the device. The results are then
assessed in order to accept the devices for a certain
4 Secure cryptographic device concepts
application and environment. Standardized methods
of evaluation are given in clause 7.
Cryptographic devices are used in retail banking to
help ensuring:
4.1 Attack scenarios
• the integrity of sensitive data, eg transaction
The attack scenarios described are not intended to
details
be an inclusive list but are an indication of the
main areas of concern. SCDs are subject to five
• the confidentiality of secret information, eg
primary classes of attack:
customer PINs
• penetration
• the confidentiality of cryptographic keys used
to achieve these objectives.
• monitoring
To ensure the above objectives, the following threats
• manipulation
must be countered:
• modification
• Disclosure of sensitive information stored or
entered into the device
• substitution.
• Modification of sensitive information These attacks are described below.
4.1.1 Penetration
• Unauthorized use of a device
Penetration is an active attack which involves
• Unauthorized access to service.
the physical perforation or unauthorized
opening of the device to ascertain sensitive
Since absolute security is not practically achievable, it
data contained within it, for example,
is not realistic to describe a SCD as being "tamper
cryptographic keys. Therefore, penetration is
proof" or "physically secure." With enough cost,
an attack on the physical characteristics of the
effort, and skill, virtually any security scheme can be
device.
defeated. Furthermore, as technology continues to
evolve, new techniques may be developed to attack a
4.1.2 Monitoring
security scheme that was previously believed to be
immune to feasible attack. Therefore, it is more
Monitoring is a passive attack which may
realistic to categorize a security device as possessing
involve the monitoring of electromagnetic
a degree of tamper resistance, where an acceptable
radiation for the purposes of discovering
degree is one that is deemed adequate to deter any
sensitive information contained within the
attack envisioned as feasible during the operational
device; or visually, aurally, or electronically
life of the device, taking into account the equipment,
monitoring secret data being entered into the
skills and other costs to the adversary to mount a
device. Therefore, monitoring is an attack on
successful attack and the financial benefits that the
the physical characteristics of the device.
adversary could realize from such an attack.
4.1.3 Manipulation
Security of retail systems considers physical and
logical aspects of device security, security of the
Manipulation is the unauthorized sending to the
operational environment and management of the
device of a sequence of inputs so as to cause
device. These factors establish jointly the security of
the disclosure of sensitive information or to
the devices and the applications in which they are
obtain a service in an unauthorized manner, for
used. The security needs are derived from an
© ISO
example, causing the device to enter its "test While in some cases a single factor, eg device
mode" in order that sensitive information could characteristics, may be dominant, the normal
be disclosed or the device integrity situation is that all factors are necessary to
manipulated. Manipulation is an attack on the achieve the desired result.
logical characteristics of the device.
4.2.1 Device Characteristics
4.1.4 Modification
Cryptographic devices are designed and
Modification is the unauthorized modification or implemented with logical and physical security
alteration of the logical or physical so as to deter the attack scenarios described in
characteristics of the device, for example, 4.1, as indicated by the results of the risk
inserting a PIN-disclosing "bug" in a PIN pad assessment of the application and the
between the point of PIN entry and the point of environment.
PIN encryption. Note that modification may
The main objective of physical security device
involve penetration but for the purpose of
characteristics is to defend against attacks
altering the device rather than disclosing
using penetration. Such characteristics can be
information contained within the device. The
subdivided into three classes;
unauthorized replacement of a cryptographic
key contained within a device is a form of
• Tamper Evidence Characteristics
modification. Modification is an attack on either
the physical or logical characteristics of the
• Tamper Resistance Characteristics
device.
4.1.5 Substitution Tamper Response Characteristics.
•
Substitution is the unauthorized replacement of
The intent of Tamper Evidence is to provide
one device with another. The replacement
evidence that an attack has been attempted
device might be a look-alike "counterfeit" or
and may or may not have resulted in the
emulating device having all or some of the
unauthorized disclosure, use, or modification of
correct logical characteristics plus some
the sensitive information. The disclosure of an
unauthorized functions, such as a PIN-
attempted attack could be in the form of
disclosing bug. The replacement device might
physical evidence such as damage to the
be a once-legitimate device that had been
packaging. The evidence could also be that the
subject to unauthorized modifications and then
device is no longer in its expected location.
substituted for another legitimate device.
Removal is a form of substitution which may be The intent of Tamper Resistance is to block
carried out in order to perform a penetration or attacks against the information to be protected
modification attack in an environment better from unauthorized disclosure, use, or
suited to such attacks, or as a first step in a modification by employing passive barriers.
substitution attack, the device may be taken out Defences or blocks are usually single purpose
of its operating environment. Substitution can and are designed to block a particular threat.
be seen as a special case of modification in The implementation of tamper resistant designs
which the adversary does not actually modify is very dependent on the designer's knowledge
the target device but instead replaces it with a and experience of known attacks against the
modified substitute. Substitution is an attack on particular implementation. For that reason,
the physical and logical characteristics of the attacks against tamper resistance
device. implementations are usually directed to
discovering which, if any, of the known threats,
4.2 Defence Measures
the implementor failed to address. The attacker
will also attempt to discover new attacks that
To defend against the attack scenarios discussed
are likely to be unknown by the implementor.
above, three factors work together to provide the
Evaluation of a tamper resistant design is
security required:
difficult and not conclusive in that the
evaluation normally only proves that the design
• Device Characteristics
successfully blocks the known attacks for which
it was designed, but does not or cannot
• Device Management
evaluate resistance to unknown attacks.
• Environment.
© ISO
The intent of Tamper Response is to employ • Physical characteristics are the way the
active barriers against attacks aimed at
device is constructed.
unauthorized disclosure, use or modification of
the protected information. The active barriers • Logical characteristics are the way that inputs
are intended to alter the protected information
are processed to produce device outputs.
into an unusable form. Deployment of the
tamper response is initiated by some pre- The SCD needs to have characteristics that
defined condition or by the discovery of an ensure that in the normal operating environment
attack against the information. the device or its interface does not endanger any
data that is entering or leaving the device, or
Physical implementations are usually a
stored or processed in the device.
combination of the three classes of
characteristics. Other physical security Where the SCD is operated in a controlled
characteristics may be required to defend environment, the requirements for device
against monitoring. Physical security characteristics may be eased to the extent that the
characteristics may also help defend against protection is provided by the controlled
modification or substitution. environment and the management of the device.
4.2.2 Device Management
5.2 Physical Security Requirements for
SCDs
Device management refers to the external
controls placed on the device during its life
5.2.1 General
cycle and by its environments. These controls
include external key management methods, An SCD shall be so designed that any failure of a
security practices and operational procedures. component in the device or use of that component
The security level may change during the outside of the device specification shall not cause
device life cycle. A primary objective of device the disclosure or undetected modification of
management is to ensure that device sensitive data.
characteristics are not subject to unauthorized
An SCD shall be so designed and constructed
alteration during the life of the device.
that any unauthorized access to or modification of
4.2.3 Environment
sensitive data (including device software) that are
input, stored, or processed in it shall necessitate
The objective of environment security is to
physical penetration of the device.
control access to the SCD and its services, thus
preventing or at least detecting attacks on the NOTE It is recommended that an SCD should be so
designed and constructed that any additions of external
SCD. Throughout its life cycle, a SCD will
devices that intercept or substitute data input to or
reside in a variety of environments. These
output from the SCD for the purpose of masquerade,
environments may be characterized as ranging
will have a high probability of being detected and/or
from highly controlled to minimally controlled.
recognized as not being part of a correct device.
A highly controlled environment is one that
includes constant surveillance by trusted
When an SCD is designed to permit access to
individuals, while a minimally controlled
internal areas, eg. for service or maintenance, it
environment may not include any special
have a mechanism so that such access
shall
environmental security supplements. If the
causes immediate erasure of all cryptographic
security of an SCD is dependent on some
keys and other sensitive data, if compromise
function of a controlled environment, it must be
cannot otherwise be prevented.
satisfactorily proven that the controlled
environment actually provides this function.
The SCD and its data entry functions shall be so
shielded from direct and indirect monitoring that
when it is operating in its intended environment
5 Requirements for device
and in its intended manner, no feasible attack will
characteristics
result in compromise of any secret or sensitive
data.
5.1 Introduction
If there is an appreciable risk of modification or
The device characteristics of a Secure
substitution that will not be countered by the logical
Cryptographic Device may be categorized as
security of the SCD, or its management and
either physical or logical.
environment, the physical design shall be such
© ISO
that there will be a high degree of probability of • shielding against electromagnetic emissions
detection of any modification or substitution.
in all frequencies in which sensitive information
could be feasibly disclosed by monitoring the
5.2.2 Tamper Evidence Requirement
device;
A device that claims Tamper Evidence
• privacy shielding such that during normal
characteristics shall be designed and constructed
operation, keys pressed will not be easily
as follows.
observable to other persons. (For example, the
device could be designed and installed so that the
Substitution:
device can be picked up and shielded from
monitoring by the user’s own body.)
To protect against substitution with a forged or
compromised device, a device is designed so that
Where parts of the device cannot be appropriately
it is not practical for an attacker to construct a
protected from monitoring, these parts of the
duplicate from commercially available components
device shall not store, transmit or process
that can reasonably be mistaken for a genuine
sensitive data.
device.
The device shall be designed and constructed in
Penetration:
such a way that any unauthorized additions to the
device, intended to monitor it for sensitive data,
To ensure that penetration of an SCD is detected,
shall have a high probability of being detected
the device shall be so designed and constructed
before such monitoring can occur.
that any successful penetration shall require that
the device be subject to physical damage or
Removal:
prolonged absence from its authorized location
such that the device cannot be placed back into
If protection against removal is required, the
service without a high probability of detection by a
device shall be secured in such a manner that it is
knowledgeable observer.
not economically feasible to remove the device
from its intended place of operation.
5.2.3 Tamper Resistance Requirements
5.2.4 Tamper Response Requirements
Penetration:
Where an SCD employs a Tamper Responsive
An SCD shall be protected against penetration by
mechanism, the integrity of the mechanism shall
being Tamper Resistant to such a degree that its
be ensured by employing Tamper Responsive
passive resistance is sufficient to make
characteristics and/or Tamper Resistant
penetration infeasible both in its intended
characteristics.
environment and when taken to a specialized
facility where it would be subjected to penetration
Penetration:
attempts by specialized equipment.
A device that claims Tamper Responsive
Modification:
characteristics shall be designed and constructed
to ensure that penetration of the device results in
The unauthorized modification of any key or other
the immediate and automatic erasure of all keys
sensitive data stored within an SCD, or the placing
and other sensitive data and all useful residues of
within the device of a tap e.g. active, passive, radio
sensitive data.
etc, to record such sensitive data, not be
shall
possible unless the device be taken to a
Modification:
specialized facility and at this facility be subject to
damage such that the device is rendered
A device that claims Tamper Responsive
inoperable.
characteristics shall be designed to detect any
unauthorized modification and shall cause the
Monitoring:
immediate and automatic erasure of all keys and
other sensitive data and all useful residues of such
Monitoring shall be countered by using tamper
sensitive data.
resistant device characteristics. The passive
physical barriers shall include the following:
© ISO
5.3.3 Use of cryptographic keys
Removal:
An SCD shall enforce a key separation scheme
Removal of the device can be the first step to an
such that no key can be used for any but its single
attack when taken out of its operating
intended purpose (see ISO 11568-2 and ISO
environment. Therefore if the security of the device
11568-4).
depends on the operating environment, the
unauthorized movement of the device shall cause
The key generation methods of an SCD shall
the immediate and automatic erasure of all keys
comply with ISO 11568-3 or ISO 11568-5.
and other sensitive data and all useful residues of
such sensitive data.
An SCD shall implement one or more key
management schemes that comply with the
5.3 Logical Security Requirements for SCDs
principles outlined in ISO 11568-1.
Where a requirement for dual or multiple control is
5.3.4 Sensitive Device States
stated below, the requirement for logical security
device characteristics is that the device shall
If an SCD can be put into a 'sensitive state', i.e. a
provide facilities that support the secure
state that allows functions that are normally not
implementation of dual or multiple control.
permitted (e.g. manual loading of cryptographic
keys), then such a transition shall require multiple
5.3.1 Assurance of genuine devices
control via a secure operator interface. Activation
of a Tamper Responsive mechanism shall not put
If the provision of a genuine, uncompromised
the SCD into a sensitive state.
device is not assured by the device management
and the device characteristics, then the device
If passwords or other plaintext data are used to
shall be delivered with sensitive information that
control transition to a sensitive state, then the input
enables the user to ascertain that the device is
of such passwords shall be protected in the same
genuine and not compromised.
manner as other sensitive data.
NOTE One example of such information is a secret
To minimize the risks of unauthorized use of
symmetric key, without which the device will not
sensitive functions, the sensitive state shall be
operate correctly. Another example is an asymmetric
key pair, with the public key of the device signed by the established with limits on the number of function
private key of the supplier.
calls (where appropriate) and a time limit. After the
first of these limits is reached, the device shall
5.3.2 Design of functions
return to its normal state.
The function set of an SCD shall be so designed
5.3.5 Multiple Cryptographic Relationships
that no single function, nor any combination of
functions, can result in disclosure of sensitive data,
The selection of cryptographic key sets for
except as explicitly allowed by the security scheme
encipherment of sensitive data (eg PINs) be
shall
used.
controlled only by a Controller responsible for the
secure management of the SCD. Where multiple
Logical protection must be sufficient so as not to
cryptographic relationships are to be maintained in
permit the compromise of sensitive data, even
a device (eg a Multi-Acquirer PIN Pad), then there
when only legitimate functions are used. Therefore
be one entity, the Controller. In this
shall
protection against exhaustive searches is needed.
situation, the source and path of data used to
When the environment does not provide this
select a cryptographic key set be physically
shall
protection, it must be provided by device
or logically protected.
characteristics.
5.3.6 SCD Software Authentication
NOTE The following methods are examples of how this
can be achieved:
A specific technique for authentication of the
software must be included. Such a technique shall
• internal monitoring of statistics, e.g. so that only
ensure that only software produced by the
some given fraction of incorrect PIN verifications
supplier, owner or a third party approved by the
are permitted,
Controller can be loaded and installed in the SCD.
• imposing a minimum time interval between sensitive
NOTE The technique may involve either
function calls.
generating a cryptographic check value for the software
or enciphering the software.
© ISO
5.3.7 Minimally Tamper Resistant Devices with
life cycle, to the attack scenarios identified earlier.
Tamper Evidence Characteristics
Such attacks could jeopardize its security when it is
placed into operational use.
In some applications and environments, risk
assessment may result in minimal requirements
Whether detection of a compromise is sufficient or
for physical security. Penetration of an SCD shall
whether prevention of the compromise is necessary,
not permit the determination of any key or other
and the means that can be used to implement
sensitive data used by the device for any previous
prevention or detection, depend upon where the
transaction, given the knowledge of all data stored
device is in its life cycle.
within the device as well as any relevant data that
has ever existed outside the device, except within
6.1 Life-Cycle Phases
an SCD.
A life-cycle phase is a result of a change in either
One means of accomplishing this is through the
the environment and/or the state of the device.
use of a derived, or non-reversible, unique key per
Different cryptographic devices can have
transaction key management scheme. Where
substantially different life cycles. Table 1 presents
devices employ a derived or non-reversible unique
a generalized device life cycle, indicating the
key per transaction key management scheme and
possible phases in the life of a cryptographic
where all information from which these keys might
device and the events that cause a transition from
be determined is erased from the device at the
one phase to the next. It is important to distinguish
completion of the transaction, the potential
between these phases because the protection
damage of a breach of security is reduced.
requirements for the device, as well as the means
Therefore requirements for tamper resistance or
of providing protection, may change as the device
tamper response characteristics may be reduced.
moves from one life cycle phase to another.
Any compromise of an SCD shall not result in the
For the purpose of this part of ISO 13491, the
compromise of another such device.
phases of the Life-Cycle are defined as follows:
Therefore, the secret keys used by one SCD shall
• Manufacturing; The design, construction,
not, except by chance, be equal to any keys used
repair, upgrade and testing of a device so that it
by any other SCD.
incorporates the intended functional and physical
characteristics of that device.
The logical security features of the SCD shall
ensure that any working keys stored within a
• Post-Manufacturing; The post-manufacturing
device are not themselves directly loaded into the
phase consists of the transport and storage of
device. Rather, the working keys are created
the device up to and including initial key loading.
within the device by non-reversibly transforming
the keying material which is directly loaded into
• Pre-Use; The phase in the device life cycle in
the device. The
...
NORME ISO
INTERNATIONALE 13491-1
Première édition
1998-06-15
Banque — Dispositifs cryptographiques de
sécurité (services aux particuliers) —
Partie 1:
Concepts, prescriptions et méthodes
d'évaluation
Banking — Secure cryptographic devices (retail) —
Part 1: Concepts, requirements and evaluation methods
A
Numéro de référence
Sommaire
1 Domaine d’application .1
2 Références normatives .1
3 Termes et définitions.2
4 Concepts de dispositifs cryptographiques de sécurité.4
4.1 Scénarios d'attaque.5
4.1.1 Pénétration .5
4.1.2 Surveillance.5
4.1.3 Manipulation.5
4.1.4 Modification.5
4.1.5 Substitution.6
4.2 Mesures défensives.6
4.2.1 Caractéristiques des dispositifs .6
4.2.2 Gestion des dispositifs .7
4.2.3 Environnement.7
5 Prescriptions concernant les caractéristiques des dispositifs.7
5.1 Introduction.7
5.2 Prescriptions concernant la sécurité physique des SCD.7
5.2.1 Généralités .7
5.2.2 Prescription concernant la preuve d'attaque.8
5.2.3 Prescriptions concernant la résistance à l'attaque.8
5.2.4 Prescriptions concernant la réponse à l'attaque.9
© ISO 1998
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publi-
cation ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun pro-
cédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord
écrit de l'éditeur.
Organisation internationale de normalisation
Case postale 56 • CH-1211 Genève 20 • Suisse
Internet iso@iso.ch
Version française tirée en 1999
Imprimé en Suisse
ii
© ISO
5.3 Prescriptions concernant la sécurité logique des SCD. 9
5.3.1 Assurance des dispositifs authentiques. 9
5.3.2 Conception des fonctions . 9
5.3.3 Utilisation des clés cryptographiques. 10
5.3.4 États des dispositifs sensibles . 10
5.3.5 Relations cryptographiques multiples . 10
5.3.6 Authentification des logiciels du SCD. 10
5.3.7 Dispositifs présentant une résistance minimale à l'attaque avec caractéristiques de preuve
d'attaque. 10
6 Prescriptions concernant la gestion des dispositifs . 11
6.1 Phases du cycle de vie. 11
6.2 Prescriptions concernant la protection du cycle de vie . 12
6.2.1 Fabrication et postfabrication . 12
6.2.2 Préutilisation . 12
6.2.3 Utilisation . 13
6.2.4 Postutilisation. 13
6.3 Méthodes de protection du cycle de vie . 13
6.3.1 Fabrication . 13
6.3.2 Postfabrication. 14
6.3.3 Préutilisation . 14
6.3.4 Utilisation . 14
6.3.5 Postutilisation. 15
6.4 Responsabilité . 15
6.5 Principes de gestion de dispositifs pour l’audit et le contrôle . 16
7 Choix de la méthode d'évaluation. 16
7.1 Méthodes d'évaluation . 16
7.1.1 Méthode informelle. 19
7.1.2 Méthode semi-formelle. 19
7.1.3 Méthode formelle. 19
7.2 Évaluation des risques. 19
7.3 Méthode d'évaluation informelle. 21
iii
© ISO
7.3.1 Fabricant/Commanditaire .21
7.3.2 Auditeur .21
7.3.3 Organisme d'examen d'audit.21
7.3.4 Liste de contrôle d'audit .22
7.3.5 Résultats des auditeurs .22
7.3.6 Compte rendu d'audit.22
7.4 Méthode d'évaluation semi-formelle.23
7.4.1 Fabricant/Commanditaire .23
7.4.2 Agence d'évaluation .23
7.4.3 Organisme d'examen d'évaluation.23
7.4.4 Résultats d'évaluation.24
7.4.5 Compte rendu d'évaluation.24
7.5 Méthode d'évaluation formelle .25
(informative)
Annexe A Concepts de niveaux de sécurité pour la sécurité du système .26
iv
© ISO
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée aux
comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité
technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en
liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec la Commission
électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI, Partie 3.
Les projets de Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des comités
membres votants.
La Norme internationale ISO 13491-1 a été élaborée par le comité technique ISO/TC 68, Banque, valeurs
mobilières et autres services financiers, sous-comité SC 6, Services financiers liés à la clientèle.
L'ISO 13491 comprend les parties suivantes, présentées sous le titre général Banque — Dispositifs
cryptographiques de sécurité (services aux particuliers):
Partie 1: Concepts, prescriptions et méthodes d'évaluation
Partie 2: Listes de contrôle de la conformité à la sécurité pour les dispositifs utilisés dans les systèmes de
cartes à bande magnétique
L'annexe A de la présente partie de l'ISO 13491 est donnée uniquement à titre d'information.
v
© ISO
Introduction
L'ISO 13491 décrit à la fois les caractéristiques physiques et logiques et la gestion des dispositifs cryptographiques
de sécurité (SCD) employés pour protéger les messages, les clés cryptographiques et les autres informations
sensibles utilisées dans le cadre des services bancaires aux particuliers, où un SCD est un dispositif matériel
protégé physiquement et logiquement assurant un ensemble de services cryptographiques de sécurité.
La sécurité des services bancaires électroniques aux particuliers dépend largement de la sécurité de ces dispositifs
cryptographiques. Cette sécurité est basée sur le principe selon lequel l’accès et la manipulation des fichiers
informatiques sont possibles, les lignes de communication peuvent faire l’objet d'une écoute clandestine, et que des
données autorisées ou des saisies de commandes dans l'équipement du système peuvent être remplacées par des
saisies non autorisées. Si certains équipements cryptographiques (par exemple, les modules de sécurité d’hôte)
restent concentrés à l'intérieur de centres de traitement dont la sécurité est relativement élevée, une large
proportion de dispositifs cryptographiques utilisés dans les services bancaires aux particuliers (par exemple, les
claviers de saisie de PIN, les guichets automatiques bancaires, etc.) sont installés dans des environnements non
sécurisés. Par conséquent, lorsque des Numéros personnels d'identification (PIN), des Codes d'authentification de
message (MAC), des clés cryptographiques et autres données sensibles, sont traités dans ces dispositifs, il existe
un risque que ces derniers soient attaqués ou compromis de manière à divulguer ou à modifier ces données. On
doit donc réduire le risque financier par l'utilisation appropriée de dispositifs cryptographiques dotés des
caractéristiques adéquates et gérés correctement.
vi
NORME INTERNATIONALE © ISO ISO 13491-1:1998(F)
Banque — Dispositifs cryptographiques de sécurité (services aux
particuliers) —
Partie 1:
Concepts, prescriptions et méthodes d'évaluation
1 Domaine d’application
La présente partie de l'ISO 13491 spécifie les prescriptions concernant les Dispositifs Cryptographiques de Sécurité
qui intègrent les procédés cryptographiques définis dans l'ISO 9564, l'ISO 9807 et l'ISO 11568.
La présente partie de l'ISO 13491 vise deux principaux objectifs:
1. établir les prescriptions concernant les caractéristiques opérationnelles des SCD et la gestion de ces
dispositifs à travers les diverses étapes de leur cycle de vie;
2. normaliser la méthodologie de vérification de la conformité aux prescriptions en question.
Il est nécessaire que ces dispositifs soient dotés de caractéristiques garantissant qu'ils disposent des capacités
opérationnelles adéquates et qu'ils assurent la protection qui convient aux données qu'ils contiennent. Une bonne
gestion de ces dispositifs est nécessaire pour garantir que le dispositif considéré est légitime, qu'il n'a pas été
modifié de manière illicite, par exemple par «bogage», et que les données sensibles qu'il peut contenir (par
exemple, des clés cryptographiques) n'ont été ni divulguées ni modifiées.
D'un point de vue pratique, il est impossible de garantir une sécurité absolue. La sécurité cryptographique dépend
de chaque phase du cycle de vie du SCD et de la combinaison complémentaire des procédures de gestion
appropriées et des caractéristiques cryptographiques sécurisées. Ces procédures de gestion mettent en œuvre des
mesures préventives pour réduire l'opportunité d'une violation de la sécurité du dispositif cryptographique. Elles ont
pour but un haut niveau de probabilité de détection des accès illicites aux données sensibles ou confidentielles
dans le cas où les caractéristiques des dispositifs ne parviendraient pas à empêcher ou à détecter la
compromission de sécurité.
L'annexe A contient une illustration informative des concepts de niveaux de sécurité décrits dans la présente partie
de l'ISO 13491 applicables aux dispositifs cryptographiques de sécurité.
La présente partie de l'ISO 13491 ne traite pas les questions liées au refus de service d'un SCD.
Les prescriptions spécifiques concernant les caractéristiques et la gestion des types spécifiques de fonctionnalités
des SCD utilisées dans le cadre des services bancaires aux particuliers sont décrites dans une autre partie de
l'ISO 13491.
2 Références normatives
Les normes suivantes contiennent des dispositions qui, par suite de la référence qui en est faite, constituent des
dispositions valables pour la présente partie de l'ISO 13491. Au moment de la publication, les éditions indiquées
étaient en vigueur. Toute norme est sujette à révision et les parties prenantes des accords fondés sur la présente
partie de l'ISO 13491 sont invitées à rechercher la possibilité d'appliquer les éditions les plus récentes des normes
indiquées ci-après. Les membres de la CEI et de l'ISO possèdent le registre des Normes internationales en vigueur
à un moment donné.
© ISO
ISO 7498-2:1989,
Systèmes de traitement de l’information — Interconnexion de systèmes ouverts — Partie 2:
Architecture de sécurité.
ISO 8908:1993, Banque et services financiers connexes — Vocabulaire et éléments de données.
1)
ISO 9564-1:— , Banque — Gestion et sécurité du numéro personnel d’identification — Partie 1: Principes et
techniques de protection du PIN.
ISO 9807:1991, Banque et services financiers liés aux opérations bancaires — Spécifications liées à
l’authentification des messages (service aux particuliers).
ISO 10202 (toutes les parties), Cartes de transactions financières — Architecture de sécurité des systèmes de
transactions financières utilisant des cartes à circuit intégré.
ISO 11568 (toutes les parties), Banque — Gestion de clés (services aux particuliers).
2)
ISO 13491-2:— , Banque — Dispositifs cryptographiques de sécurité (services aux particuliers) — Partie 2: Listes
de contrôle de conformité de sécurité pour les dispositifs utilisés dans les systèmes de cartes à bande magnétique.
3 Termes et définitions
Pour les besoins de la présente partie de l'ISO 13491, les termes et définitions données dans l'ISO 8908, ainsi que
les suivants, s'appliquent.
3.1
autorité d'accréditation
autorité responsable de l'accréditation des autorités d'évaluation et de la supervision de leur travail de manière à
garantir la reproductibilité des résultats des évaluations
3.2
autorité d'évaluation accréditée
organisme accrédité conformément à un ensemble de règles, par exemple EN 45000 ou le Guide ISO 25, et
accepté par l'autorité d'accréditation aux fins de l'évaluation
3.3
attaque
tentative par un adversaire sur le dispositif en vue d’obtenir ou de modifier des informations sensibles ou un service
qu'il n'est pas autorisé à obtenir ou à modifier
3.4
liste de contrôle d'audit
liste de prescriptions à contrôler, organisée par type de dispositif, et contenue dans une autre partie de l'ISO 13491
3.5
compte rendu d'audit
document émis par l'Organisme d'examen d'audit basé sur les résultats obtenus par un auditeur
3.6
organisme d'examen d'audit
groupe ayant la responsabilité d'examiner et de juger les résultats obtenus par l'auditeur
1) À publier. (Révision de l'ISO 9564-1:1991)
2) À publier.
© ISO
3.7
auditeur
personne chargée de vérifier, d'estimer, d'examiner et d'évaluer la conformité à une évaluation informelle au nom
du commanditaire ou de l'Organisme d'examen d'audit
3.8
compte rendu de certification
document produit par l'organisme d'examen d'évaluation sur la base des résultats obtenus auprès d'une autorité
d'évaluation accréditée
3.9
contrôleur
entité responsable de la gestion sûre d'un SCD
3.10
livraison
documents, équipement et autres articles ou informations nécessaires aux personnes chargées de l’évaluation pour
réaliser une évaluation du Dispositif Cryptographique de Sécurité
3.11
sécurité d'un dispositif
sécurité du SCD compte tenu de ses caractéristiques uniquement, sans référence à un environnement opérationnel
particulier
3.12
sécurité dépendante de l'environnement
sécurité d'un SCD dans le cadre d'un environnement opérationnel
3.13
agence d'évaluation
organisme bénéficiant de la confiance des autorités de conception, de fabrication et commanditaire, chargée
d'évaluer le SDC (au moyen de compétences et d'outils spécialisés) conformément à la présente partie de
l'ISO 13491
3.14
compte rendu d'évaluation
document émis par l'organisme d'examen d'évaluation sur la base des résultats obtenus auprès d'une agence
d'évaluation ou d'un auditeur
3.15
organisme d'examen d'évaluation
groupe chargé d'examiner et de juger les résultats de l'agence d'évaluation
3.16
prescriptions formelles
déclarations concernant les caractéristiques et fonctions d'un Dispositif Cryptographique de Sécurité
3.17
sécurité logique
capacité d'un dispositif à résister aux attaques à travers son interface fonctionnelle
3.18
environnement opérationnel
environnement dans lequel le SCD est exploité, c'est-à-dire le système d'application dont il fait partie, son
emplacement, les personnes qui l'exploitent et l'utilisent et les entités qui communiquent avec lui
3.19
sécurité physique
capacité d'un dispositif à résister aux attaques contre sa construction physique
© ISO
3.20
dispositif cryptographique de sécurité; SCD
dispositif matériel protégé physiquement et logiquement, qui assure un ensemble sécurisé de services
cryptographiques
3.21
interface du SCD
interface du SCD par l'intermédiaire de laquelle le SCD interagit avec l'environnement opérationnel (par exemple,
les commandes, les panneaux de contrôle, le verrouillage, etc.)
3.22
données sensibles; informations sensibles
données, caractéristiques de conception, informations d'état, clés cryptographiques, etc. qui doivent être protégées
contre la divulgation non autorisée, l'altération et la destruction
3.23
logiciel
programmes et/ou données qui seront utilisés par le SCD ou téléchargés pour être utilisés par le SCD
3.24
autorité commanditaire; commanditaire
personne, entreprise ou organisme exigeant l'évaluation du SCD
3.25
caractéristique de preuve d'attaque
caractéristique qui fournit la preuve qu'une attaque a été tentée
3.26
caractéristique de résistance aux attaques
caractéristique qui assure la protection physique passive contre une attaque
3.27
caractéristique de réponse aux attaques
caractéristique qui assure une réponse active à la détection d’une attaque, de manière à l'empêcher de réussir
4 Concepts de dispositifs cryptographiques de sécurité
Les dispositifs cryptographiques sont utilisés dans le cadre des services bancaires aux particuliers pour assurer
l'intégrité des données sensibles, par exemple les détails d'une transaction;
la confidentialité des informations secrètes, par exemple les codes PIN des clients;
la confidentialité des clés cryptographiques utilisées pour atteindre ces objectifs.
Pour remplir les obligations ci-dessus, les dangers ci-dessous doivent être contrés:
divulgation d'informations sensibles stockées ou saisies dans le dispositif;
modification d'informations sensibles;
utilisation non autorisée d'un dispositif;
accès non autorisé à un service.
La sécurité absolue étant impossible à atteindre, il n'est pas réaliste de décrire un SCD comme étant «100 %
inviolable» ou «physiquement sûr». Moyennant l'investissement, les efforts et les compétences nécessaires, il sera
toujours possible de surmonter un schéma de sécurité. Qui plus est, avec les progrès de la technologie, de
nouvelles techniques seront développées pour attaquer un schéma de sécurité jusque là réputé résistant aux
© ISO
attaques. De ce fait, il est plus réaliste de caractériser un dispositif de sécurité comme possédant un degré de
résistance à l'attaque, un degré acceptable correspondant à la capacité d'empêcher toute attaque envisageable
pendant la vie opérationnelle du dispositif, en tenant compte de l'équipement, du savoir-faire et des autres frais
qu'un adversaire devrait engager pour monter une attaque réussie, ainsi que du profit financier que l'adversaire en
question pourrait tirer de pareille attaque.
La sécurité des systèmes de services aux particuliers considère les aspects physiques et logiques de la sécurité
des dispositifs, la sécurité de l'environnement opérationnel et la gestion du dispositif. Ces facteurs établissent
conjointement la sécurité des dispositifs et celle des applications qui les utilisent. Les besoins de sécurité sont
déduits de l'évaluation des risques liés aux applications prévues.
Les caractéristiques de sécurité requises vont dépendre de l'application prévue et de l'environnement opérationnel,
ainsi que des types d'attaques à considérer. Une évaluation des risques devrait être réalisée pour permettre de
sélectionner la méthode la mieux appropriée pour estimer la sécurité du dispositif. Les résultats sont ensuite
évalués de manière à accepter les dispositifs pour une application et un environnement donnés. Les méthodes
normalisées d'évaluation sont énumérées dans l'article 7.
4.1 Scénarios d'attaque
Les scénarios d'attaque décrits ne constituent pas une liste exhaustive, mais sont indicatifs des principales zones
de risque. Les SCD sont soumis à cinq grandes catégories d'attaques:
pénétration;
surveillance;
manipulation;
modification;
substitution.
Ces attaques sont décrites ci-dessous.
4.1.1 Pénétration
La pénétration est une attaque active résultant de la perforation physique ou de l'ouverture non autorisée du
dispositif pour vérifier les données sensibles qu'il contient, par exemple, des clés cryptographiques. Par
conséquent, la pénétration est une attaque contre les caractéristiques physiques du dispositif.
4.1.2 Surveillance
La surveillance est une attaque passive pouvant nécessiter la surveillance des rayons électromagnétiques de
manière à découvrir les informations sensibles contenues dans le dispositif; ou la surveillance visuelle, auditive ou
électronique des données secrètes saisies dans le dispositif. Par conséquent, la surveillance est une attaque contre
les caractéristiques physiques du dispositif.
4.1.3 Manipulation
La manipulation est l'envoi non autorisé au dispositif d'une séquence de saisies de manière à provoquer la
divulgation d'informations sensibles ou obtenir un service de manière non autorisée, par exemple, faire passer le
dispositif en «mode test» pour que les informations sensibles puissent être divulguées ou que l'intégrité du dispositif
soit manipulée. La manipulation est une attaque contre les caractéristiques logiques du dispositif.
4.1.4 Modification
La modification est la transformation ou l'altération non autorisée des caractéristiques logiques ou physiques du
dispositif, par exemple, l'introduction d'un «bogue» de divulgation de PIN sur un clavier de saisie de PIN, entre le
point de saisie et le point de chiffrement du PIN. La modification peut nécessiter la pénétration; dans ce cas, le but
est d'altérer le dispositif et non pas de divulguer les données qu'il contient. Le remplacement non autorisé d'une clé
© ISO
cryptographique contenue dans un dispositif est une forme de modification. La modification est une attaque contre
les caractéristiques physiques ou logiques d'un dispositif.
4.1.5 Substitution
La substitution est le remplacement non autorisé d'un dispositif par un autre. Le dispositif de remplacement peut
ressembler à une «contrefaçon» ou à une émulation du dispositif considéré, doté de toutes ou de certaines des ses
caractéristiques logiques et de fonctions non autorisées, par exemple un bogue de divulgation de PIN. Le dispositif
de remplacement peut être un ancien dispositif légitime soumis à des modifications non autorisées puis substitué à
un autre dispositif légitime. Le retrait est une forme de substitution qui peut être effectuée pour réaliser une attaque
par pénétration ou par modification dans un environnement mieux adapté pour ce type d'attaque ou, à titre de
première étape dans une attaque par substitution, le dispositif peut être retiré de son environnement de
fonctionnement. La substitution peut être considérée comme un cas particulier de modification dans lequel
l'adversaire ne modifie pas le dispositif cible, mais le remplace par un substitut modifié. La substitution est une
attaque contre les caractéristiques physiques et logiques du dispositif.
4.2 Mesures défensives
Pour assurer la défense contre les scénarios d'attaque décrits ci-dessus, trois facteurs contribuent au niveau de
sécurité requis:
les caractéristiques du dispositif;
la gestion du dispositif;
l'environnement.
Si dans certains cas un seul facteur, par exemple les caractéristiques du dispositif, peut être prédominant, en
général, tous les facteurs sont nécessaires pour assurer le résultat souhaité.
4.2.1 Caractéristiques des dispositifs
Les dispositifs cryptographiques sont conçus et mis en œuvre avec une sécurité logique et physique de manière à
empêcher les scénarios d'attaque décrits en 4.1, comme l'indiquent les résultats de l'évaluation des risques de
l'application et de l'environnement.
Le but principal des caractéristiques physiques d'un dispositif de sécurité est d'assurer la défense contre les
attaques par pénétration. Ces caractéristiques peuvent être réparties en trois catégories:
caractéristiques de preuve d'attaque;
caractéristiques de résistance aux attaques;
caractéristiques de réponse aux attaques.
Le but de la preuve d'attaque est de prouver qu'une attaque a été tentée et peut avoir ou ne pas avoir entraîné la
divulgation, l'utilisation ou la modification non autorisée des informations sensibles. La découverte d'une tentative
d'attaque peut prendre la forme d'une preuve physique, par exemple la détérioration du conditionnement, ou
l'absence du dispositif de son emplacement prévu.
Le but de la résistance aux attaques est de bloquer les attaques contre les informations à protéger contre la
divulgation, l'utilisation ou la modification non autorisée, au moyen de barrières passives. Les défenses ou blocages
ont généralement un but unique, à savoir qu'ils sont conçus pour bloquer un danger spécifique. La mise en œuvre
de conceptions résistantes aux attaques dépend énormément des connaissances du concepteur et de l'expérience
d'attaques antérieures contre une conception spécifique. C'est pourquoi les attaques contre les conceptions
résistantes aux attaques visent généralement à découvrir, parmi les dangers connus, celui que le concepteur n'a
pas prévu. L'attaquant va également tenter de découvrir de nouvelles attaques susceptibles d'être inconnues du
concepteur. L'évaluation d'une conception résistante aux attaques est difficile et peu concluante, car elle se
contente généralement de démontrer que la conception parvient à bloquer les attaques connues pour lesquelles
elle a été prévue, mais n'évalue pas, ou ne parvient pas à évaluer, la résistance aux attaques inconnues.
© ISO
Le but de la réponse aux attaques est d'employer des barrières actives contre les attaques visant la divulgation,
l'utilisation ou la modification non autorisée des informations protégées. Les barrières actives ont pour but d'altérer
les informations protégées en leur faisant prendre une forme inexploitable. Le déploiement de la réponse aux
attaques est déclenché par une condition prédéfinie ou par la découverte d'une attaque contre les informations.
Les mises en œuvre physiques sont généralement une combinaison des trois catégories de caractéristiques.
D'autres caractéristiques physiques de sécurité peuvent être nécessaires pour assurer la défense contre la
surveillance. Les caractéristiques de sécurité physique peuvent également contribuer à la défense contre la
modification ou la substitution.
4.2.2 Gestion des dispositifs
La gestion des dispositifs fait référence aux contrôles externes placés sur le dispositif pendant son cycle de vie et
ses environnements. Ces contrôles peuvent être des méthodes de gestion des clés externes, des pratiques de
sécurité et des procédures opérationnelles. Le niveau de sécurité peut évoluer au cours du cycle de vie du
dispositif. L'objectif essentiel de la gestion de dispositif est de garantir que les caractéristiques du dispositif
considéré ne sont pas victimes d'une altération non autorisée pendant la vie du dispositif.
4.2.3 Environnement
L'objectif de la sécurité de l'environnement est de contrôler l'accès au SCD et à ses services, empêchant ainsi, ou
tout du moins permettant de détecter, les attaques contre le SCD. Au long de son cycle de vie, un SCD va être
appelé à résider dans des environnements divers. Ces environnements peuvent être caractérisés comme étant de
hautement contrôlés à très peu contrôlés. Un environnement hautement contrôlé comporte la surveillance
constante par des personnes de confiance. Un environnement très peu contrôlé peut ne comporter aucun service
de sécurité particulier. Si la sécurité d'un SCD dépend d'une fonction d'un environnement contrôlé, on doit pouvoir
démontrer de manière satisfaisante que l'environnement contrôlé assure ladite fonction.
5 Prescriptions concernant les caractéristiques des dispositifs
5.1 Introduction
Les caractéristiques d'un Dispositif Cryptographique de Sécurité peuvent être réparties en caractéristiques
physiques et caractéristiques logiques.
les caractéristiques physiques correspondent à la construction du dispositif;
les caractéristiques logiques correspondent à la manière dont les saisies sont traitées pour produire les
éléments en sortie des dispositifs.
Le SCD doit avoir des caractéristiques qui assurent que, dans son environnement de fonctionnement normal, le
dispositif ou son interface ne met pas en danger les données introduites dans, émises par, stockées ou traitées
dans le dispositif en question.
Lorsque le SCD est exploité dans un environnement contrôlé, les prescriptions concernant les caractéristiques du
dispositif peuvent être allégées, de manière à permettre que la protection soit assurée par l'environnement contrôlé
et la gestion du dispositif.
5.2 Prescriptions concernant la sécurité physique des SCD
5.2.1 Généralités
Un SCD doit être conçu de manière que la moindre défaillance de l'un de ses composants, ou son utilisation en
dehors du champ des spécifications, ne puisse pas causer la divulgation ou la modification non détectée de
données sensibles.
Un SCD doit être conçu et construit de manière que tout accès non autorisé ou toute modification non autorisée de
données sensibles (le logiciel du dispositif y compris) introduites dans, émises par, stockées ou traitées dans le
dispositif en question, nécessite la pénétration physique du dispositif.
© ISO
NOTE Il est recommandé qu'un SCD soit conçu et construit de manière que tout ajout de dispositifs externes visant à
intercepter ou à remplacer des données saisies dans, ou émises par, le SCD, aux fins d'une usurpation d'identité, ait une haute
probabilité d'être détecté et/ou reconnu comme ne faisant pas partie du dispositif légitime.
Lorsqu'un SCD est conçu de manière à autoriser l'accès à des zones internes, par exemple pour son entretien ou
sa maintenance, il doit disposer d'un mécanisme tel que ce type d'accès entraîne l'effacement immédiat de toutes
les clés cryptographiques et autres données sensibles, s'il est impossible d'empêcher autrement la compromission.
Les SCD et ses fonctions de saisie de données doivent être protégés contre la surveillance directe et indirecte, de
manière que, lorsque le dispositif fonctionne dans son environnement prévu et de la manière prévue, aucune
attaque possible ne puisse entraîner la compromission de données secrètes ou sensibles.
S'il existe un risque considérable de modification ou de substitution non contré par la sécurité logique du SCD, sa
gestion ou son environnement, la conception physique doit garantir un haut niveau de probabilité de détection des
modifications et substitutions.
5.2.2 Prescription concernant la preuve d'attaque
Un dispositif revendiquant des caractéristiques de preuve d'attaque doit être conçu et construit comme suit.
Substitution:
Pour assurer contre la substitution au moyen d'un dispositif compromis ou contrefait, un dispositif doit être conçu de
manière à rendre difficile à un attaquant, à partir de composants du commerce, la construction d'une copie pouvant
être raisonnablement confondue avec le dispositif authentique.
Pénétration:
Pour garantir la détection de la pénétration d'un SCD, le dispositif doit être conçu et construit de manière que toute
pénétration réussie nécessite la détérioration physique ou l'absence prolongée du dispositif de son emplacement
autorisé, de manière que le dispositif ne puisse pas être remis en service sans une haute probabilité de détection
par un observateur averti.
5.2.3 Prescriptions concernant la résistance à l'attaque
Pénétration:
Un SCD doit être protégé contre la pénétration en étant résistant à l'attaque au point que sa résistance passive
suffise à rendre la pénétration impossible, à la fois dans son environnement prévu et après transfert dans des
locaux spécialisés où il serait soumis à des tentatives de pénétration au moyen d'équipements spéciaux.
Modification:
La modification non autorisée d'une clé ou de toutes autres données sensibles stockées dans un SCD ou
l'introduction dans un dispositif d'un système d'écoute clandestine, active, passive ou radio, pour enregistrer les
données sensibles en question, doit être impossible, à moins que le dispositif soit transféré dans des locaux
spécialisés pour y être soumis à des détériorations le rendant inexploitable.
Surveillance:
La surveillance doit être contrée au moyen des caractéristiques de résistance à l'attaque. Les barrières physiques
passives doivent être les suivantes:
la protection contre les émissions électromagnétiques de toutes fréquences permettant de divulguer les
informations sensibles par surveillance du dispositif;
la protection de la confidentialité, de manière que, en fonctionnement normal, les touches saisies ne soient pas
facilement observables par d'autres personnes. (Par exemple, le dispositif peut être conçu et installé de
manière que l'utilisateur puisse le prendre en main et le mettre à l'abri des regards par son propre corps.)
© ISO
Les parties du dispositif ne pouvant pas être protégées de manière adéquate contre la surveillance doivent être
incapables de stocker, transmettre ou encore traiter les données sensibles.
Le dispositif doit être conçu et construit de manière que tout ajout non autorisé audit dispositif, en vue d'en surveiller
les données sensibles, ait une haute probabilité d'être détecter avant que la surveillance puisse démarrer.
Retrait:
Si une protection contre le retrait est nécessaire, le dispositif doit être sécurisé de manière qu'il soit
économiquement impossible de retirer le dispositif de son emplacement prévu.
5.2.4 Prescriptions concernant la réponse à l'attaque
Lorsqu'un SCD utilise un mécanisme de réponse à l'attaque, l'intégrité de ce dernier doit être assurée au moyen de
caractéristiques de réponse à l'attaque et/ou de caractéristiques de résistance à l'attaque.
Pénétration:
Un dispositif revendiquant des caractéristiques de réponse à l'attaque doit être conçu et construit de manière à
garantir que toute pénétration du dispositif entraîne l'effacement immédiat et automatique de toutes les clés et
autres données sensibles, ainsi que des éventuels résidus utiles des dites données sensibles.
Modification:
Un dispositif revendiquant des caractéristiques de réponse à l'attaque doit être conçu de manière à détecter toute
modification non autorisée et doit provoquer l'effacement immédiat et automatique de toutes les clés et autres
données sensibles, ainsi que des éventuels résidus utiles des dites données sensibles.
Retrait:
Le retrait du dispositif peut être la première étape vers une attaque, une fois ce dernier retiré de son environnement
de fonctionnement. Par conséquent, si la sécurité du dispositif dépend de l'environnement de fonctionnement, le
déplacement non autorisé du dispositif doit provoquer l'effacement immédiat et automatique de toutes les clés et
autres données sensibles, ainsi que de tous les résidus utiles des dites données sensibles.
5.3 Prescriptions concernant la sécurité logique des SCD
Lorsqu'une prescription concernant le contrôle double ou multiple est énoncée ci-dessous, la prescription
concernant la sécurité logique du dispositif consiste à exiger que ce dispositif comporte des éléments permettant
une mise en œuvre sécurisée du contrôle double ou multiple.
5.3.1 Assurance des dispositifs authentiques
Si la mise à disposition d'un dispositif authentique, non compromis, n'est pas assurée par la gestion et par les
caractéristiques du dispositif, ce dernier doit être livré avec des informations sensibles permettant à l'utilisateur de
vérifier son authenticité et sa non compromission.
NOTE Un exemple de ce type d'informations est la clé symétrique secrète, sans laquelle le dispositif ne peut pas
fonctionner correctement. Un autre exemple en est la paire de clés asymétriques, dans laquelle la clé publique du dispositif est
signée par la clé privée du fournisseur.
5.3.2 Conception des fonctions
L'ensemble des fonctions d'un SCD doit être conçu de manière qu'aucune fonction isolée, ni aucune combinaison
de fonctions, ne puisse permettre la divulgation des données sensibles, sauf autorisation explicite dans le schéma
de sécurité utilisé.
La protection logique doit être suffisante pour interdire la compromission des données sensibles, même lorsque
seules des fonctions légitimes sont employées. Par conséquent, la protection contre des recherches exhaustives
est nécessaire. Lorsque l'environnement n'assure pas cette protection, cette dernière doit être assurée par les
caractéristiques du dispositif.
© ISO
NOTE Les méthodes ci-après sont des exemples pour atteindre cet objectif:
surveillance interne des statistiques, par exemple de manière que seule une fraction donnée des vérifications incorrectes
d’un PIN soit permise;
imposition d'un intervalle de temps minimal entre deux appels de fonctions sensibles.
5.3.3 Utilisation des clés cryptographiques
Un SCD doit mettre en œuvre un schéma de séparation de clés tel qu'aucune clé ne puisse être utilisée dans un
but autre que son but prévu (voir l'ISO 11568-2 et l'ISO 11568-4).
Les méthodes de génération de clés d'un SCD doivent se conformer à l'ISO 11568-3 et à l'ISO 11568-5.
Un SCD doit mettre en œuvre un ou plusieurs schémas de gestion de clés conformes aux principes énoncés dans
l'ISO 11568-5.
5.3.4 États des dispositifs sensibles
Si un SCD peut être mis en «état sensible», c'est-à-dire un état permettant des fonctions normalement interdites
(par exemple, chargement manuel de clés cryptographiques),
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...