Herunterladen Inhalt Inhalt
Teilen
Diese Seite drucken
KoCo Connector KoCoBox MED+ OPB2.1 Bedienungsanleitung
  1. Anleitungen
  2. Marken
  3. KoCo Connector Anleitungen
  4. Kabel und Steckverbinder
  5. KoCoBox MED+ OPB2.1
  6. Bedienungsanleitung

KoCo Connector KoCoBox MED+ OPB2.1 Bedienungsanleitung

Vorschau ausblenden
Inhaltsverzeichnis

Quicklinks

Common Criteria Certification
BSI-DSZ-CC-1067
BSI-CC-PP-0097
Security Target
Netzkonnektor
KoCoBox MED+ OPB 2.1 Konnektor
Version 2.3.24
KoCo Connector GmbH
Dessauer Str. 28/29
10963 Berlin
info@kococonnector.com
Dokumentversion 1.27
2020-07-16
Inhaltsverzeichnis
loading

Inhaltszusammenfassung für KoCo Connector KoCoBox MED+ OPB2.1

  • Seite 1 Common Criteria Certification BSI-DSZ-CC-1067 BSI-CC-PP-0097 Security Target Netzkonnektor KoCoBox MED+ OPB 2.1 Konnektor Version 2.3.24 KoCo Connector GmbH Dessauer Str. 28/29 10963 Berlin info@kococonnector.com Dokumentversion 1.27 2020-07-16...

  • Seite 2: Anmerkungen Zur Cc Zertifizierung

    Vorwort Anmerkungen zur CC Zertifizierung Die vorliegende KoCoBox MED+ wird in zwei Verfahren zertifiziert: Das umfassende Verfahren nach [BSI-CC-PP-0098] beschreibt die gesamte Firmware des Konnektors. Dieses Schutzprofil fordert ei- ne Evaluierung nach . Zusätzlich dazu gibt es ein zweites, spezialisiertes Verfahren, in dem AVA_VAN.3 die Anforderungen an die Komponente „Netzkonnektor“...

  • Seite 3: Abgrenzung Der Verfahren Zu Bsi-Cc-Pp-0097 Und Bsi-Cc-Pp-0098

    KoCoBox MED+ TOE nach BSI-CC-PP-0097 und BSI-CC-PP-0098 non- JVM des Netzkonnektors JVM des JVM der Anwendungs- Fachmodule konnektors non- Kernel, non-Java Anteile des NK TSF nach TSF nach BSI-CC-PP-0097 BSI-CC-PP-0098 gSMC-K#1, #2, #3 Hardware Abbildung 0.1.: Abgrenzung der Verfahren zu BSI-CC-PP-0097 und BSI-CC-PP-0098...
  • Seite 4 Dokument Version Datum Referenz Produkttypsteckbrief Konnektor, Produkttyp Version 1.0.0 4. März 2020 [gemProdT_Kon_PTV3_3.6.0-2] PTV3 3.6.0-2 Spezifikation Konnektor 5.4.0 26. Okt. 2018 [gemSpec_Kon] Errata 1 zum Konnektor PTV 3 (eMP/AMTS, NFDM) 1.0.1 6. Feb. 2019 [gemErrata_1_Kon_PTV3] Errata 2 zum Konnektor PTV 3 (eMP/AMTS, NFDM) 1.0.0 6.

  • Seite 5: Inhaltsverzeichnis

    Inhaltsverzeichnis 1. Einführung in das Security Target 1.1. ST Referenz ........1.2.
  • Seite 6 5. Definition der erweiterten Komponenten 5.1. Definition der erweiterten Familie FCS_RNG ..... 5.2. Definition der erweiterten Familie FPT_EMS ..... 6.
  • Seite 7 Tabellenverzeichnis 0.1. Spezifikationsdokumente der KoCoBox MED+ ....1.1. Logische Schnittstellen an ......LS.LAN 1.2.
  • Seite 8 Abbildungsverzeichnis 0.1. Abgrenzung der Verfahren zu BSI-CC-PP-0097 und BSI-CC-PP-0098 ..1.1. Gehäuse der KoCoBox MED+ ......1.2.

  • Seite 9: Einführung In Das Security Target

    Version des Dokuments 1.27 Datum des Dokuments 16.07.2020 Allgemeiner Status: Verfeinerung nach der Einreichung für den Antrag des Zertifizie- rungsverfahrens Autor KoCo Connector GmbH Editor n-design GmbH, OS-Cillation GmbH 1.2. TOE Referenz Evaluierungsgegenstand KoCoBox MED+ Netzkonnektor Version des EVG 2.3.24...

  • Seite 10: Überblick Über Den Toe

    1.3. Überblick über den TOE Der Evaluierungsgegenstand ist der Konnektor für den Online Produktivbetrieb Stufe 2.1. Der TOE umfasst folgende Komponenten: • den Netzkonnektor Der Lieferumfang des TOE umfasst ebenfalls die Betriebsdokumentation für den Netzkonnektor. Somit entspricht der TOE dem im Schutzprofil [BSI-CC-PP-0097] genannten Umfang und Aufbau. 1.3.1.

  • Seite 11: Beschreibung Des Toe

    1.4. Beschreibung des TOE 1.4.1. Hauptziele des TOE Der Konnektor wurde als Bindeglied zwischen den Praxisverwaltungssystemen im LAN des Leistungs- erbringers und der Telematikinfrastruktur entwickelt. Der Konnektor setzt zwei Hauptziele um: Erstens stellt er eine sichere Verbindung zwischen den dezentralen und den zentralen Komponenten der Tele- matikinfrastruktur bereit;...

  • Seite 12: Einsatzumgebung Des Toe

    Abbildung 1.1.: Gehäuse der KoCoBox MED+ Gerät, bei dem alle relevanten Komponenten in einem einzigen Gehäuse untergebracht sind. Das Ge- häuse enthält sowohl den Netz-, als auch den Anwendungskonnektor. Das Gehäuse ist in Abbildung 1.1 dargestellt. Das Gerät besteht neben der Software, die den TOE ausmacht, noch aus der Hardware. Die Hard- ware ist herstellerspezifisch.

  • Seite 13: Einsatzumgebung Der Kocobox Med

    Abbildung 1.2.: Einsatzumgebung der KoCoBox MED+ übernommene Abbildung 1.2 zeigt die Einsatzumgebung des Konnektors. Um die Telematikinfrastruktur gegen Angriffe aus dem LAN zu schützen, implementiert der TOE einen dynamischen Paketfilter, der auf beiden Ethernetschnittstellen (LAN und WAN) die ein- und aus- gehenden Pakete überwacht.

  • Seite 14: Anforderungen An Die Sicherheit Der Einsatzumgebung

    gen. Diese Aufgaben sind z. B. das Einspielen aktueller Firmware, Anpassung der Konfigurati- onsparametern, und das Auslesen diagnostischer Informationen. Der Browser des Administrators gehört zur Einsatzumgebung und wird hier nicht bewertet. Die Verbindung eines Administrator- Arbeitsplatzes zu der Web-Anwendung ist immer über HTTPS abgesichert. Clientsysteme Praxisverwaltungssysteme, die die Funktionen des Konnektors nutzen, müssen die Programmierschnittstellen des Konnektors befolgen [gemWSDL].

  • Seite 15: Hardware-Komponenten Der Kocobox Med

    Abbildung 1.3.: Hardware-Komponenten der KoCoBox MED+ Der Mini-USB Anschluss (USB On-the-Go, OTG) wird verwendet, um im Produktionsprozess die Firmware des Bootloader in die KoCoBox MED+ einzubringen. Für diesen Vorgang muss der SoC Pin für das Booten von USB-Medien während des Resets verbunden sein. Nur in diesem Fall handelt das SoC als ein USB-Gerät, sodass neue Firmware in den NOR-Flash Speicher geladen werden kann.

  • Seite 16: Schnittstellen Des Konnektors

    1.4.5. Schnittstellen des Konnektors 1.4.5.1. Physische Schnittstellen Alle Schnittstellen des Konnektors sind physisch am Gehäuse des Geräts untergebracht. Die folgen- de Liste bezieht sich auf die Liste der Schnittstellen, wie sie im Schutzprofil des Gesamtkonnektors [BSI-CC-PP-0098, Abschnitt 1.3.3.1] angegeben ist. Die Schnittstellen sind im Kontext der Systemar- chitektur in Abbildung 1.3 aufgeführt, die außen sichtbaren Schnittstellen sind auf dem Foto des TOE in Abbildung 1.1 zu erkennen (vgl.
  • Seite 17 ist die Schnittstelle des TOE zu den zentralen Komponenten der Telematikinfrastruktur. LS.VPN_TI Die Kommunikation erfolgt über einen VPN-Kanal, der über die WAN-Schnittstelle PS.WAN läuft. Ggf. läuft der VPN-Kanal alternativ über die Schnittstelle , falls WAN und LAN PS.LAN nicht getrennt sind. Verschiedene Protokolle implementieren weitere Logische Schnittstellen in Richtung des VPN_TI.
  • Seite 18 Bezeichner Rolle Zweck der Schnittstelle Client Übertragung von Systemereignissen an Clientsysteme LS.LAN.CETP Server Adressvergabe im LAN LS.LAN.DHCP Server Auflösung von Hostnamen im LAN LS.LAN.DNS — Protokoll auf Zugangsschicht LS.LAN.Ether Server HTTP Zugriff auf Basisdienste LS.LAN.HTTP Client CRL Download LS.LAN.HTTP_Client Server Abruf des Dienstverzeichnis LS.LAN.HTTP.DVD Server...
  • Seite 19 Bezeichner Rolle Zweck der Schnittstelle Client Adressbezug im WAN LS.WAN.DHCP Client Auflösung von Hostnamen im WAN LS.WAN.DNS — Protokoll auf Zugangsschicht LS.WAN.Ether Client CRL Download LS.WAN.HTTP_Client — Zugang zur Internet-Schicht LS.WAN.IP Client Verbindung zu VPN-Konzentratoren, inkl. der Protokolle für LS.WAN.IPsec Schlüsselaustausch und Verschlüsselung der Inhaltsdaten Client SOAP Kommunikation mit dem Registrierungsdienst...
  • Seite 20 Bezeichner Rolle Zweck der Schnittstelle Server RMI-Zugriffe der Fachmodule auf den Basiskonnektor LS.FM.RMI Client Durchleitung der HTTP-Zugriffe (SOAP-Requests) von Clientsyste- LS.FM.HTTP men an die Fachmodule Client Durchleitung der HTTP-Zugriffe (Administration der Fachmodule) LS.FM.HTTP_MGMT vom Browser des Administrators an die Fachmodule Tabelle 1.5.: Logische Schnittstellen an LS.FM...

  • Seite 21: Aufbau Und Physische Abgrenzung Des Konnektors Opb 2.1

    1.4.6. Aufbau und physische Abgrenzung des Konnektors OPB 2.1 Das Schutzprofil verweist in [BSI-CC-PP-0098, Abschnitt 1.3.4] auf die Konzeption zur Architektur der TI-Plattform [gemKPT_Arch]. Das Betriebssystem, das der TOE bereit stellt, ist ein GNU/Linux System. Das im TOE verbaute Linux ist gegenüber der Basis-Distribution deutlich angepasst worden, sodass hier von einer eigenen Distribution gesprochen werden muss.

  • Seite 22: Logische Abgrenzung: Vom Toe Erbrachte Sicherheitsdienste

    Bietet Ver- und Entschlüsselungsdienste für Clientsysteme und andere Subsysteme. EncryptionService Enthält die Web-Application der Management-Schnittstelle und Basisdienste wie das AdminService User-Management und den Export/Import der Systemkonfiguration. Stellt Funktionen zum Signieren von Dokumenten und zur Verfikation von Signaturen SignatureService zur Verfügung. Setzt die Anforderungen an den Zugriffsschutz für Subsysteme des Anwen- AccessAuthorizationService dungskonnektors und das Informationsmodell um.
  • Seite 23 Zeitdienst Bereitstellung eines NTP-Servers für Konnektor-interne Anwendungen wie das Audit- Log und für externe Komponenten wie Clientsysteme. Der NTP-Server synchronisiert sich mit den zentralen NTP-Servern der Telematikinfrastruktur. Der NTP-Server prüft die erhaltenen Zeitinformationen auf Plausibilität und erlaubt keine Zeit- abweichung über 3600 Sekunden hinaus. DHCP-Dienst Systeme im LAN des Leistungserbringers können den DHCP-Server des Konnektors gemäß...

  • Seite 24: Physischer Umfang Des Toe

    Über die Management-Anwendung kann ein Administrator ein Firmware-Update initiieren. Eine Fernwartung gemäß [gemSpec_Kon, Abschnitt 4.3] ist nicht möglich. 1.4.8. Physischer Umfang des TOE Der physische Umfang des TOE umfasst die in Tabelle 1.6 aufgelisteten Komponenten. Komponente Beschreibung Version Firmware Image Die Firmware und der Boot Loader 2.3.24 des TOE.

  • Seite 25: Postulat Der Übereinstimmung

    2. Postulat der Übereinstimmung 2.1. Konformität zu Common Criteria Das Security Target wurde gemäß Common Criteria, Version 3.1, Revision 5, erstellt und ist • CC Part 2 [CC Part 2] erweitert (extended) und • CC Part 3 [CC Part 3] konform (conformant). 2.2.
  • Seite 26 der Sicherheitsziele sowie der Sicherheitsanforderungen. Weiterhin behauptet dieses Security Target Konformität zu allen Security Assurance Requirements (SARs), die von [BSI-CC-PP-0097] gefordert werden. TOE Typ Das Schutzprofil fordert, dass der TOE ein Produkt ist, das die „Sicherheitsfunktionalität einer Firewall, eines VPN-Clients sowie von Servern für einen Zeitdienst, einen Namensdienst (DNS) und einen DHCP-Dienst“...

  • Seite 27: Definition Des Sicherheitsproblems

    3. Definition des Sicherheitsproblems In diesem Abschnitt wird zunächst beschrieben, welche Werte der TOE schützen muss, welche exter- nen Einheiten mit ihm interagieren und welche Objekte von Bedeutung sind. Auf dieser Basis wird danach beschrieben, welche Bedrohungen der TOE abwehren muss, welche organisatorischen Sicher- heitspolitiken zu beachten sind und welche Annahmen an seine Einsatzumgebung getroffen werden kö...

  • Seite 28: Annahmen

    OSP.NK.BOF (Kommunikation mit Bestandsnetzen und offenen Fachdiensten) Die in Abschnitt 3.4 von [BSI-CC-PP-0097] und Abschnitt 3.3.1 von [BSI-CC-PP-0098] beschriebene organisatorische Sicherheitspolitik gilt ohne Anpassung. OSP.NK.BOF OSP.NK.TLS (TLS-Kanäle mit sicheren kryptographische Algorithmen) Die in Abschnitt 3.4 von [BSI-CC-PP-0097] und Abschnitt 3.3.1 von [BSI-CC-PP-0098] beschriebene organisatorische Sicherheitspolitik gilt ohne Anpassung.

  • Seite 29: Sicherheitsziele

    4. Sicherheitsziele 4.1. Sicherheitsziele für den Netzkonnektor 4.1.1. Allgemeine Ziele: Schutz und Administration O.NK.TLS_Krypto (TLS-Kanäle mit sicheren kryptographische Algorithmen) Das in Abschnitt 4.1.1 von [BSI-CC-PP-0097] und Abschnitt 4.1.1 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel muss erfüllt werden. O.NK.TLS_Krypto O.NK.Schutz (Selbstschutz, Selbsttest und Schutz von Benutzerdaten) Das in Abschnitt 4.1.1 von [BSI-CC-PP-0097] und Abschnitt 4.1.1 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel muss erfüllt werden.

  • Seite 30: Ziele Für Die Vpn Funktionalität

    O.NK.Protokoll (Protokollierung mit Zeitstempel) Das in Abschnitt 4.1.1 von [BSI-CC-PP-0097] und Abschnitt 4.1.1 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel muss erfüllt werden. O.NK.Protokoll O.NK.Zeitdienst (Zeitdienst) Das in Abschnitt 4.1.1 von [BSI-CC-PP-0097] und Abschnitt 4.1.1 von [BSI-CC-PP-0098] beschrie- bene Sicherheitsziel muss erfüllt werden. O.NK.Zeitdienst 4.1.2.
  • Seite 31 OE.NK.Zeitsynchro (Zeitsynchronisation) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel muss erfüllt werden. OE.NK.Zeitsynchro OE.NK.gSMC-K (Sicherheitsmodul gSMC-K) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel muss erfüllt werden. OE.NK.gSMC-K OE.NK.KeyStorage (Sicherer Schlüsselspeicher) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel muss erfüllt werden.

  • Seite 32: Erklärung Der Sicherheitsziele Des Netzkonnektors

    OE.NK.Betrieb_CS (Sicherer Betrieb der Clientsysteme) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel muss erfüllt werden. OE.NK.Betrieb_CS OE.NK.Ersatzverfahren (Sichere Ersatzverfahren bei Ausfall der Infrastruktur) Das in Abschnitt 4.2 von [BSI-CC-PP-0097] und Abschnitt 4.3 von [BSI-CC-PP-0098] beschriebene Sicherheitsziel muss erfüllt werden.
  • Seite 33 – T.NK.Local_EVG_LAN T.NK.remote_EVG_WAN T.NK.remote_EVG_LAN – T.NK.remote_VPN_Data – – – – – T.NK.local_admin_LAN – – – – T.NK.remote_admin_WAN T.NK.counterfeit – – – – – – – – T.NK.Zert_Prüf – – – T.NK.TimeSync – – – – – – – T.NK.DNS OSP.NK.Zeitdienst OSP.NK.SIS OSP.NK.BOF OSP.NK.TLS...

  • Seite 34: Definition Der Erweiterten Komponenten

    5. Definition der erweiterten Komponenten 5.1. Definition der erweiterten Familie FCS_RNG Familienverhalten Diese Familie definiert Anforderungen an die Erzeugung von Zufallszahlen, die für kryptographische Anwendungen vorgesehen sind. Komponentenabstufung Zufallszahlenerzeugung FCS_RNG „Zufallszahlenerzeugung“ erfordert die Identifizierung des Typs des verwendeten Zufalls- FCS_RNG.1 zahlengenerators und eine Auflistung seiner Sicherheitsmerkmale.

  • Seite 35: Definition Der Erweiterten Familie Fpt_Ems

    Die KoCoBox MED+ verwendet den Zufallsgenerator der gSMC-K; allerdings wird er genutzt, um einen eigenen Zufallsgenerator Hash_DRBG nach [NIST SP 800-90A, Sect. 10.1.1] in regelmäßigen Abständen mit Zufallszahlen zu initialisieren. Um die Sicherheitseigenschaften dieser eigenen Imple- mentierung beschreiben zu können, wird hier die Familie eingeführt.

  • Seite 36: Sicherheitsanforderungen

    6. Sicherheitsanforderungen 6.1. Hinweise und Definitionen Der größte Teil der Sicherheitsanforderungen wird ohne Anpassungen aus dem Schutzprofil übernom- men. Anpassungen werden kenntlich gemacht. Bei denjenigen SFR, die das Schutzprofil bereits vor- sieht, wird in diesem Security Target darauf verzichtet, die Hierarchie der Komponenten sowie deren Abhängigkeiten zu wiederholen.

  • Seite 37: Funktionale Sicherheitsanforderungen Des Netzkonnektors

    6.2. Funktionale Sicherheitsanforderungen des Netzkonnektors 6.2.1. VPN Client FTP_ITC.1/NK.VPN_TI Inter-TSF trusted channel Die in [BSI-CC-PP-0097, Abschnitt 6.2.1] und [BSI-CC-PP-0098, FTP_ITC.1.1/NK.VPN_TI Abschnitt 6.2.1] formulierten Sicherheitsanforderungen gelten ohne Anpassung. Die in [BSI-CC-PP-0097, Abschnitt 6.2.1] und [BSI-CC-PP-0098, FTP_ITC.1.2/NK.VPN_TI Abschnitt 6.2.1] formulierten Sicherheitsanforderungen gelten ohne Anpassung.
  • Seite 38 For all subjects and information as specified in , the FDP_IFC.1/NK.PF decision shall be based on the following security attributes: IP address, port number, protocol type, direction (inbound and outbound IP traffic), interface (inbound and outbound traffic). The subject active entity in the LAN has the security attribute IP address within ANLW_LAN_NETWORK_SEGMENT or ANLW_LEKTR_INTRANET_ROUTES.
  • Seite 39 The TSF prevents direct communication of active entities in the LAN, application connector and service modules with SIS outside VPN channel to VPN concentrator of the SIS. prevents communication active entities with destination address within ANLW_AKTIVE_BESTANDSNETZE initiated active entities LAN, (MGM_LOGICAL_SEPARATION=Enabled).

  • Seite 40: Netzdienste

    (10) prevents communication connector through interface (ANLW_WAN_ADAPTER_MODUS=ACTIVE). (11) prevents communication connector through WAN interface of the connector if (ANLW_WAN_ADAPTER_MODUS= DISABLED). (12) firewall rules defined [gemSpec_Kon, schnitt 4.2.1.1.2] that call for traffic to be dropped. ST-Anwendungshinweis 2 Die [gemSpec_Kon] gibt sämtliche Paketfilterregeln vor. Damit sind auch die erlaubten Protokolle durch [gemSpec_Kon, TIP1-A_4747 festgelegt: ICMP, IP in IP, UDP, TCP, ESP und IPComp.
  • Seite 41 Anpassung. Refinement: Die Zuverlässigkeit (reliable) des Zeitstempels wird durch Zeitsyn- chronisation der Echtzeituhr (gemäß ) mit Zeit- OE.NK.Echtzeituhr servern (vgl. ) unter Verwendung des Protokolls OE.NK.Zeitsynchro NTPv4 [RFC 5905] erreicht. Der EVG verwendet den verlässlichen Zeitstempel für sich selbst und bietet anderen Konnektorteilen eine Schnittstelle zur Nutzung des verlässlichen Zeitstempels an.

  • Seite 42: Stateful Packet Inspection

    6.2.4. Stateful Packet Inspection (This section intentionally left blank.) 6.2.5. Selbstschutz FDP_RIP.1/NK Subset residual information protection shall ensure that previous informati- FDP_RIP.1.1/NK on content of a resource is made unavailable upon the deallocation of the resource from following objects: cryptographic keys (and session keys) used for the VPN or for TLS-connections, sensitive user data (zu schützende Daten der TI und der Bestandsnetze and zu schützende Nutzerdaten), no other...
  • Seite 43 FPT_EMS.1/NK Emanation of TSF and User data The TOE shall not emit sensitive data (as listed below) – or FPT_EMS.1.1/NK information which can be used to recover such sensitive data – through network interfaces (LAN or WAN) in excess of limits that ensure that no leakage of this sensitive data occurs enabling access to session keys derived in course of the Diffie-Hellman Keyexchange Protocol,...

  • Seite 44: Administration

    • IP addresses of the TOE are undefined or wrong, • TOE could not perform system time synchronization within the last 30 days, • during time synchronization, the deviation between the local system time and the time received from the time server exceeds the allowed maximum deviation (see refinement to FPT_STM.1/NK...
  • Seite 45 FMT_MTD.1/NK Management of TSF data The TSF shall restrict the ability to perform the operations in the „Ope- FMT_MTD.1.1/NK ration“ column of the following table on the real time clock, packet filtering rules and other TSF data named in the „Object“ column of the following table to the role Administrator.

  • Seite 46: Kryptographische Basisdienste

    Die in [BSI-CC-PP-0097, Abschnitt 6.2.6] und [BSI-CC-PP-0098, FTP_TRP.1.3/NK.Admin Abschnitt 6.2.6] formulierten Sicherheitsanforderungen gelten ohne Anpassung. ST-Anwendungshinweis 8 Der TOE setzt die Funktionalität für das Remote Management nicht FMT_SMF.1/NK Specification of Management Functions Die in [BSI-CC-PP-0097, Abschnitt 6.2.6] und [BSI-CC-PP-0098, FMT_SMF.1.1/NK Abschnitt 6.2.6] formulierten Sicherheitsanforderungen gelten ohne Anpassung.
  • Seite 47 FCS_COP.1/NK.HMAC Cryptographic operation The TSF shall perform HMAC value generation and verification FCS_COP.1.1/NK.HMAC in accordance with a specified cryptographic algorithm HMAC with SHA-1, SHA-256 and cryptographic key sizes 160 and 256 that meet the following: FIPS PUB 180-4 [FIPS PUB 180-4], RFC 2404 [RFC 2404], RFC 4868 [RFC 4868], RFC 7296 [RFC 7296].

  • Seite 48: Tls-Kanäle Unter Nutzung Sicherer Kryptographischer Algorithmen

    FCS_CKM.2/NK.IKE Cryptographic key distribution Die in [BSI-CC-PP-0097, Abschnitt 6.2.7] und [BSI-CC-PP-0098, FCS_CKM.2.1/NK.IKE Abschnitt 6.2.7] formulierten Sicherheitsanforderungen gelten ohne Anpassung. The following algorithms and preferences are supported for IKEv2 connections: • Diffie-Hellman Group 14 • DH exponent minimum length: 384 bits •...
  • Seite 49 Refinement: Das Refinement im Schutzprofil [BSI-CC-PP-0097] gilt ohne Ein- schränkungen. Die umgesetzten Cipher Suiten aus dem Schutzprofil und der gematik Spezifikation [gemSpec_Krypt] werden in Tabel- le B.1 auf Seite 72 wiederholt. FPT_TDC.1/NK.TLS.Zert Inter-TSF basic TSF data consistency The TSF shall provide the capability to consistently interpret FPT_TDC.1.1/NK.TLS.Zert X.509-Zertifikate für TLS-Verbindungen eine Liste gültiger CA-Zertifikate (Trust-Service Status List...
  • Seite 50 • Diffie-Hellman Group 14 according to RFC 3526 [RFC 3526] for key establishment during TLS • DH exponent shall have a minimum length of 384 bits • Forward secrecy shall be provided • Ephemeral elliptic curve DH key exchange supports the P-256 and the P-384 curves according to FIPS186-4 [FIPS PUB 186-2] as well as the brainpoolP256r1 and the brain- poolP384r1 curves according to RFC 5639 and RFC 7027...
  • Seite 51 create a valid X.509 certificate [RFC 5280] with the gene- rated RSA key pair and create a PKCS#12 file [RFC 7292] with the created cer- tificate and the associated private key. FDP_ITC.2/NK.TLS Import of user data with security attributes Die in [BSI-CC-PP-0097, Abschnitt 6.2.8] und [BSI-CC-PP-0098, FDP_ITC.2.1/NK.TLS Abschnitt 6.2.8] formulierten Sicherheitsanforderungen gelten ohne Anpassung.
  • Seite 52 The TSF shall enforce the following rules when user data is exported FDP_ETC.2.4/NK.TLS from the TOE: Die TSF exportiert X.509 Zertifikate für Clientsysteme und den zugehörigen privaten Schlüssel durch den Administrator über die Management-Schnittstelle. Als Exportformat wird PKCS#12 verwendet. No further rule FMT_MOF.1/NK.TLS Management of security functions behaviour The TSF shall restrict the ability to determine the behaviour of...

  • Seite 53: Zusätzliche Sicherheitsanforderungen

    If one or more of these rules are managed by the EVG itself, this shall also be interpreted as a fullfillment of this SFR. ST-Anwendungshinweis 10 Gemäß und der daraus resultierenden Anforderung C_6968 A_18464 darf TLS 1.1 nicht mehr verwendet werden. Der TOE setzt diese An- forderung um und unterstützt TLS 1.1 nicht mehr.
  • Seite 54 Statistical test suites cannot practically distinguish the random numbers from output sequences of an ideal RNG. The random numbers must pass test procedure A. ST-Anwendungshinweis 12 is implemented by Hash_DRBG with SHA- FCS_RNG.1/Hash_DRBG 256 according to [NIST SP 800-90A, Sect. 10.1.1]. It is used for ge- neration of ephemeral keys for Diffie-Hellman and nonces in the TLS protocol.
  • Seite 55 FCS_COP.1/Storage.AES Cryptographic Operation / Secure Storage AES Hierarchical to: No other components Dependencies: Import of user data without security attributes, or FDP_ITC.1 Import of user data with security attributes, or FDP_ITC.2 FCS_CKM.1 Cryptographic key generation) not fulfilled by the TOE. The sym- metric key is generated by the gSMC-K.

  • Seite 56: Sicherheitsanforderungen An Die Vertrauenswürdigkeit Des Evg

    6.3. Sicherheitsanforderungen an die Vertrauenswürdigkeit des EVG Die Sicherheitsanforderungen an die Vertrauenswürdigkeit für dieses Security Target entsprechen de- nen, die in [BSI-CC-PP-0097] definiert sind. 6.3.1. Verfeinerung zur Vertrauenswürdigkeitskomponente ADV_ARC.1 Die Verfeinerungen in [BSI-CC-PP-0098; BSI-CC-PP-0097] gelten ohne Anpassung. 6.3.2. Verfeinerung zur Vertrauenswürdigkeitskomponente AGD_OPE.1 Die Verfeinerungen in [BSI-CC-PP-0098;...

  • Seite 57: Detaillierte Erklärung Für Die Sicherheitsziele Des Netzkonnektors

    zu erfüllen, indem sie für die Prüfung der Integrität O.NK.EVG_Authenticity O.NK.VPN_Auth von Hashes, der Integrität der TSL/CRL und der VPN-Vertrauensanker herangezogen werden. helfen, die Benutzerdaten und den TOE selbst zu schützen, wie von FCS_COP.1/Storage.AES O.NK.Schutz vorgesehen. trägt dazu bei, dass beim TLS-Verbindungsaufbau sichere Zufallszahlen ver- FCS_RNG.1/Hash_DRBG wendet werden.
  • Seite 58 FTP_ITC.1/NK.VPN_TI FTP_ITC.1/NK.VPN_SIS FDP_IFC.1/NK.PF FDP_IFF.1/NK.PF FMT_MSA.3/NK.PF FPT_STM.1/NK FPT_TDC.1/NK.Zert FDP_RIP.1/NK FPT_TST.1/NK FPT_EMS.1/NK FAU_GEN.1/NK.SecLog FAU_GEN.2/NK.SecLog FMT_SMR.1/NK FMT_MTD.1/NK FIA_UID.1/NK.SMR FTP_TRP.1/NK.Admin FMT_SMF.1/NK FMT_MSA.1/NK.PF FMT_MSA.4/NK FCS_COP.1/NK.Hash FCS_COP.1/NK.HMAC FCS_COP.1/NK.Auth FCS_COP.1/NK.ESP FCS_COP.1/NK.IPsec FCS_CKM.1/NK FCS_CKM.2/NK.IKE FCS_CKM.4/NK FTP_ITC.1/NK.TLS FPT_TDC.1/NK.TLS.Zert FCS_CKM.1/NK.TLS FCS_COP.1/NK.TLS.HMAC FCS_COP.1/NK.TLS.AES FCS_COP.1/NK.TLS.Auth FCS_CKM.1/NK.Zert FDP_ITC.2/NK.TLS FDP_ETC.2/NK.TLS FMT_MOF.1/NK.TLS Abbildung der Sicherheitsziele des NK auf Sicherheitsanforderungen...

  • Seite 59: Erklärung Für Erweiterung Der Sicherheitsanforderungen

    FCS_RNG.1/Hash_DRBG FCS_COP.1/Storage.AES FCS_COP.1/Sign Tabelle 6.3.: Abbildung der Sicherheitsziele des NK auf Sicherheitsanforderungen 6.5. Erklärung für Erweiterung der Sicherheitsanforderungen FCS_RNG.1/Hash_DRBG Die Sicherheitsanforderung wurde eingeführt, um die Anforderungen der eben- FCS_RNG.1/Hash_DRBG falls eingeführten Komponente zu präzisieren. Die Erklärung für die Einführung der Familie FCS_RNG.1 in Abschnitt 5.1 gilt auch für das resultierende SFR .

  • Seite 60: Toe Summary Specification

    7. TOE Summary Specification Dieses Kapitel vermittelt einen Überblick über die IT-Sicherheitsfunktionen des TOE, wie sie in der funktionalen Spezifikation beschrieben sind. Abschnitt 7.1 enthält Beschreibungen der allgemeinen technischen Verfahren, die der TOE anwendet, um die Sicherheitsanforderungen zu erfüllen. Ab- schnitt 7.2 zeigt die Beziehungen zwischen der Sicherheitsanforderungen aus Abschnitt 6.2 und den IT-Sicherheitsfunktionen aus Abschnitt 7.1.

  • Seite 61: Dynamischer Paketfilter (Sf.dynamicpacketfilter)

    Um die zentrale Telematikinfrastruktur vor Angriffen zu schützen, ist die Kommunikation über den VPN-Kanal spezifischen Komponenten vorbehalten (durch ). Die einzigen Kom- SF.DynamicPacketFilter ponenten, denen der Datentransfer in die TI gestattet ist, sind der Anwendungskonnektor, Fachdienste, Clientsysteme und Dienste für Namensauflösung (DNS), Zeitabgleich (NTP) und der Download von TSL, CRL und BNetzAVL.
  • Seite 62 Darüber hinaus kann der Administrator auswählen, ob. bzw. wie den Clientsystemen der Zugang zum Internet ermöglicht werden soll. Es stehen drei Möglichkeiten zur Verfügung: SIS Verkehr aus dem LAN wird über VPN SIS ins Internet geleitet ( ANLW_INTERNET_MODUS IAG Verkehr aus dem LAN wird über das Internet Access Gateway ins Internet geleitet. Bedingt, dass der serielle/Gateway Modus aktiv ist ( ANLW_INTERNET_MODUS Keiner Verkehr aus dem LAN wird nicht ins Internet geleitet (...

  • Seite 63: Netzbasierte Sicherheitsfunktionen (Sf.networkservices)

    7.1.3. Netzbasierte Sicherheitsfunktionen (SF.NetworkServices) Die Sicherheitsfunktion stellt dem TOE zuverlässige Zeitstempel zur Verfügung. SF.NetworkServices Eine Referenzzeit wird über den VPN-Kanal von einem vertrauenswürdigen NTP-Server in der Tele- matikinfrastruktur bezogen. Dabei wird NTP in Version 4 verwendet [RFC 5905]. Die Abweichung zwischen der Netzwerkzeit und der lokalen Zeit im TOE darf maximal 1 Stunde betragen.
  • Seite 64 Der sichere Datenspeicher speichert die Konfiguration des TOE in einem verschlüsselten Dateisys- tem. Die Integrität des sicheren Datenspeichers wird sichergestellt, indem für jede Datei des Datei- systems ein SHA-256 Hash berechnet, signiert und separat abgespeichert wird. Für die Signatur wird ein privater Schlüssel der gSMC-K verwendet.

  • Seite 65: Protokollierungsdienst/Nk (Sf.audit/Nk)

    Der TOE nutzt zusätzlich Code aus dem linux-hardened Project, um das System weiter zu härten (Verfeinerung von ADV_ARC.1 Der TOE stellt sicher, dass der sichere Datenspeicher automatisch verschlüsselt wird (vgl. SF.Crypto- ). Zusätzlich prüft der TOE permanent die Zeitabweichung von maximal 1 Stunde graphicServices/NK zur Netzwerkzeit (vgl.

  • Seite 66: Kryptografische Dienste/Nk (Sf.cryptographicservices/Nk)

    Es ist zu beachten, dass die Web-Anwendung in der Umgebung des Konnektors ausgeführt wird. Die Sicherheitsleistungen werden von der Schnittstelle erbracht, die den Authen- LS.LAN.HTTP_MGMT tisierungsstatus des Administrators prüft. Der TOE informiert den Administrator über kritische Betriebszustände über das Display an der Gehäusefront des Konnektors ( PS.DISPLAY Umgesetzte SFR...

  • Seite 67: Hmac Generierung

    Hash-Algorithmen Die Funktion bietet Implementierungen für die Hash-Algorithmen SHA-1, SHA-256 und SHA-512. Im Kontext von TLS implementiert der TOE außerdem SHA-384 für bestimmte Cipher Suites. Umgesetzte SFR FCS_COP.1/NK.Hash FCS_CKM.1/NK.TLS HMAC Generierung Die Funktion bietet darüber hinaus Algorithmen für die HMAC-Generierung, wobei die genannten Hash-Algorithmen zum Tragen kommen: HMAC-SHA-1(-96), HMAC-SHA-256(-128).
  • Seite 68 AES / Sicherer Datenspeicher Der TOE legt seine Logdateien und den sicheren Datenspeicher im persistenten Speicher ab. Sowohl die Logdateien als auch der sichere Datenspeicher liegen auf Dateisystemen, die mit AES im CBC Modus und 256 Bit langen Schlüsseln verschlüsselt sind. Um unvorhersagbare Initialisierungsvektoren für CBC zu erlangen, wird das Encrypted Salt-Sector IV (ESSIV) Verfahren verwendet.

  • Seite 69: Verhältnis Von Sfr Zu Sf

    7.2. Verhältnis von SFR zu SF Tabelle 7.1 zeigt, in welchem Verhältnis die im Abschnitt 6.2 definierten Sicherheitsanforderungen zu den in Abschnitt 7.1 beschriebenen Sicherheitsfunktionen des TOE stehen. FAU_GEN.1/NK.SecLog FAU_GEN.2/NK.SecLog FCS_CKM.1/NK.TLS FCS_CKM.1/NK.Zert FCS_CKM.1/NK FCS_CKM.2/NK.IKE FCS_CKM.4/NK FCS_COP.1/NK.Auth FCS_COP.1/NK.ESP FCS_COP.1/NK.Hash FCS_COP.1/NK.HMAC FCS_COP.1/NK.IPsec FCS_COP.1/NK.TLS.AES FCS_COP.1/NK.TLS.Auth FCS_COP.1/NK.TLS.HMAC...
  • Seite 70 FPT_TDC.1/NK.TLS.Zert FPT_TDC.1/NK.Zert FPT_TST.1/NK FTP_ITC.1/NK.TLS FTP_ITC.1/NK.VPN_SIS FTP_ITC.1/NK.VPN_TI FTP_TRP.1/NK.Admin Tabelle 7.1.: Abbildung der SFR des NK auf Sicherheitsfunktionalität...

  • Seite 71: Erklärung Der Tabellarischen Darstellung

    A. Erklärung der tabellarischen Darstellung Tabelle A.1 zeigt die in den Tabellen dieses Dokuments verwendeten Symbole. Diese kommen in allen Tabellen zum Einsatz, in denen Entitäten der Common Criteria aufeinander abgebildet werden. Symbol Beschreibung Vom Schutzprofil vorgesehene Beziehung / vorgesehenes SFR –...

  • Seite 72: Tls Verbindungen

    B. TLS Verbindungen Für die TLS-Verbindungen werden die im Schutzprofil und der gematik-Spezifikation [gem- Spec_Krypt, Abschnitt 3.3.2] genannten Cipher Suiten verwendet. Der TOE beherrscht genau diese Cipher Suiten und keine darüber hinaus. Tabelle B.1 listet diese Cipher Suiten auf. Tabelle B.2 zeigt die elliptischen Kurven, die beim ECDHE Schlüsselaustausch zur Anwendung kommen.
  • Seite 73 Spalte Beschreibung Symbolischer Name der Verbindung Schnittstelle Logische Schnittstelle, deren Kommunikation abge- sichert wird. Rolle Beschreibt, ob der Konnektor in dieser Verbindung Client oder Server ist. Peer Beschreibung des Partners in der TLS-Verbindung Protokoll Anwendungsprotokoll, das für die Verbindung ge- nutzt wird.
  • Seite 74 Schnittstelle (Proto- Rolle Peer Port Identität des TOE Identität des Peer Authentifizierung des Subsystem::Modul koll) Peer durch Server Browser 9443 gSMC-K#2: Benutzername/Pass- Benutzerverwaltung TLS.1 LS.LAN.HTTP_MGMT Facade::Jetty-Configu- wort im TOE ration EF.C.AK.AUT.R2048 server_truststore.jks Server Clientsystem gSMC-K#2: X.509 Zertifikate TLS.2 LS.LAN.SOAP Facade::Jetty-Configu- ration EF.C.AK.AUT.R2048 Server...

  • Seite 75: Schutzprofile Und Technische Richtlinien

    . de / DE / Publikationen / TechnischeRichtlinien / tr03116/index_htm.html. Herstellerdokumente [KoCo AGD_ADM-Erg] KoCo Connector GmbH. Ergänzungen zum Administratorhand- buch KoCoBox MED+ Version 2.x. Common Criteria Komponen- te AGD_ADM. Version 1.1.1. Vorgelegt im Verfahren BSI-DSC- CC-1068 zu BSI-CC-PP-0098. 2020.
  • Seite 76 CoBox MED+. Dokumentation. Version 2.22. Vorgelegt im Ver- fahren BSI-DSC-CC-1068 zu BSI-CC-PP-0098. 2020. [KoCo AGD_Kon-Sec] KoCo Connector GmbH. KoCoBox MED+ OPB 2.1 Konnektor. Konnektor Security Guidance Fachmodule NFDM und AMTS. Pro- grammierrichtlinien für die Entwickler von Fachmodulen. Vor- gelegt im Verfahren BSI-DSC-CC-1068 zu BSI-CC-PP-0098.
  • Seite 77 [gemKPT_Arch] gematik GmbH. Konzept. Architektur der TI-Plattform. Versi- on 2.5.0. Revision 58160., 26. Okt. 2018. [gemProdT_Kon_PTV3_3.6.0-2] gematik GmbH. Produkttypsteckbrief Konnektor. Prüfvorschrift. Produkttyp Version PTV3 3.6.0-2. Version 1.0.0. Revisi- on 61976., 4. März 2020. [gemSpec_Kon_TBAuth] gematik GmbH. Spezifikation Konnektor. Basisdienst Tokenbasier- te Authentisierung.
  • Seite 78 [FIPS PUB 186-2] National Institute of Standards und Technology. Digital Signa- ture Standard (DSS). Federal Information Processing Standards Publication. Information Technology Laboratory, Juli 2013. url: http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS. 186-4.pdf. [FIPS PUB 197] National Institute of Standards und Technology. Advanced En- cryption Standard (AES). Federal Information Processing Stan- dards Publication.
  • Seite 79 [RFC 4035] R. Arends u. a. Protocol Modifications for the DNS Security Exten- sions. RFC 4035 (Proposed Standard). RFC. Updated by RFCs 4470, 6014, 6840. Fremont, CA, USA: RFC Editor, März 2005. doı: 10 . 17487 / RFC4035. url: https : / / www . rfc - editor . org/rfc/rfc4035.txt.
  • Seite 80 [RFC 7027] J. Merkle und M. Lochter. Elliptic Curve Cryptography (ECC) Brainpool Curves for Transport Layer Security (TLS). RFC 7027 (Informational). RFC. Fremont, CA, USA: RFC Editor, Okt. 2013. doı: 10 . 17487 / RFC7027. url: https : / / www . rfc - editor.org/rfc/rfc7027.txt.
  • Seite 81 Verzeichnis der ST-Anwendungshinweise ........FDP_IFF.1.2/NK.PF .
  • Seite 82 Index der SFR ....43, 65 ....51, 68 FAU_GEN.1/NK.SecLog FDP_ITC.2/NK.TLS .

Inhaltsverzeichnis