EOSオリジナルデータセキュリティシステムセキュリティターゲット

Transcription

1 Version 1.7 Date 2007 年 5 月 17 日 Author キヤノン ( 株 ) カメラ開発センター Copyright (C) , Canon Inc. All rights reserved. i

2 更新履歴 Version 日付 更新内容 /10/16 初版発行 /11/13 未定仕様部分に対応 /11/24 OR (TCE-EOR , TCE-EOR ) に対応 /12/08 内部レビューによる誤記修正 /12/15 内部レビューによる修正 /02/19 OR (TCE-EOR , TCE-EOR ) に対応 /02/23 内部レビューによる修正 /04/09 OR (TCE-EOR , TCE-EOR ) に対応. 内部レビューによる修正 /05/17 TOE 名称変更に対応. Copyright (C) , Canon Inc. All rights reserved. ii

3 目次 1 ST introduction ST reference TOE reference TOE overview TOE description Conformance claims CC conformance claim PP claim, Package claim Security problem definition Threats Organisational security policies Assumptions Security objectives Security objectives for the TOE Security objectives for the operational environment Security objectives rationale Extended components definition Security requirements Security functional requirements Security assurance requirements Security requirements rationale TOE summary specification 画像ファイルの検証機能 画像ファイルの暗号化機能 識別認証機能 PIN 長検査機能 確認接続機能 アクセス制御機能 管理機能 Reference, and Glossary/Abbreviation Reference Glossary/Abbreviation...41 Copyright (C) , Canon Inc. All rights reserved. iii

4 1 ST introduction 本章では, ST 参照, TOE 参照, TOE 概要, および TOE 記述について記述する. 1.1 ST reference 本節では ST の識別情報を記述する. ST タイトル ST バージョン 1.7 ST 発行者 キヤノン ( 株 ) カメラ開発センター ST 発行日 2007 年 5 月 17 日 1.2 TOE reference 本節では TOE の識別情報を記述する. TOE タイトル EOS オリジナルデータセキュリティシステム TOE バージョン 1.0 TOE 開発者 キヤノン ( 株 ) カメラ開発センター なお, 本 TOE は以下に示す EOS デジタルカメラ, 管理者ツール, 閲覧者ツール, および OS カードから構成される. 表 1-1 EOS デジタルカメラの構成要素 識別名称 識別情報 EOS-1D Mark III ハードウェア EOS-1D Mark III EOS-1D Mark III ファームウェア 表 1-2 管理者ツールの構成要素 識別名称 Original Data Security Administrator 1.0 識別情報 Copyright (C) , Canon Inc. All rights reserved. 1

5 表 1-3 閲覧者ツールの構成要素 識別名称 Original Data Security Utility 1.0 識別情報 表 1-4 OS カードの構成要素 識別名称 Original Data Security Card ハードウェア Original Data Security Card アプレット ( アプレット名 : FF ) 識別情報 OSC-128M TOE overview 本 TOE は, EOS-1D Mark III と呼ばれるデジタルカメラ ( 以下, EOS デジタルカメラと示す ), Original Data Security Administrator ( 以下, 管理者ツールと示す ), Original Data Security Utility ( 以下, 閲覧者ツールと示す ), および Original Data Security Card ( 以下, OS カードと示す ) から構成されるシステムである. 本 TOE は, EOS デジタルカメラで撮影された画像ファイルのオリジナル性を検証可能とし, かつ画像ファイルを秘匿するためのシステムであり, それぞれ以下のセキュリティ機能を有する. EOS デジタルカメラは, 撮影画像である画像ファイルのオリジナル性を検証するための オリジナル画像判定用データ ( 以下, 検証データと示す ) を生成する機能, 画像ファイルを暗号化または復号する機能, 画像ファイルの暗号処理に用いる鍵 ( 以下, 画像鍵と示す ) を暗号化または復号する機能, および OS カードを確認し接続する機能等を有する. 閲覧者ツールは, 画像ファイルを復号する機能を有する. 管理者ツール / 閲覧者ツールは, 利用者の識別認証の機能に関して, 認証情報の登録をサポートする機能を有する. OS カードは, 検証データ に基づいて画像ファイルのオリジナル性を検証する機能, 暗号化画像鍵を復号する機能, カード鍵等を暗号化または復号する機能, カード鍵等を管理およびアクセス制御する機能, EOS デジタルカメラを確認し接続する機能, および管理者ツール / 閲覧者ツールの利用者を識別認証する機能を有する. EOS デジタルカメラは単独で利用可能であるが, 管理者ツールおよび閲覧者ツールは Copyright (C) , Canon Inc. All rights reserved. 2

6 PC/AT 互換機上の Windows 2000, Windows XP または Windows Vista を必要とする. OS カードは EOS デジタルカメラに装着して利用するか, または PC/AT 互換機に接続される OS カードリーダライタ ( 以下, カード R/W と示す ) に装着して利用する. これらの詳細は 1.4 節に示す. また, これらと入手形態としての商品名との対応を表 1-5 に示す. 表 1-5 商品との対応リスト 商品名 EOS-1D Mark III 一式 EOS デジタルカメラ用アクセサリー Original Data Security Kit OSK-E3 ( 以下, OSK キットと示す ) EOS デジタルカメラ用アクセサリー Original Data Security Card OSC-128M 主な同梱物 EOS デジタルカメラ管理者ツール閲覧者ツール管理者ツール閲覧者ツール OS カードカード R/W OS カード 1.4 TOE description 本章では, TOE の利用目的 / 方法, TOE の構成として物理的範囲 / 論理的範囲, および TOE の利用者について記述する TOE の利用目的および方法デジタルカメラで撮影された画像は, デジタルであるため, フォトレタッチツールを使用することで容易に加工や修正することができる. また, 各種フラッシュメモリや通信回線等, さまざまな媒体を介して送信することができる. これらの特徴を有するため, デジタルカメラで撮影された画像に対する改ざんや漏洩といった脅威が拡大した. 本システムは, EOS デジタルカメラで撮影された画像ファイルをオリジナル性と機密性の観点で保護するシステムである. つまり, 本システムは, 画像ファイルのオリジナル性と機密性を維持した状態で画像ファイルを利用可能とするシステムであり, 画像ファイルのオリジナル性を検証する機能 および 画像ファイルの機密性を維持する機能 を有する. 前者の オリジナル性を検証する機能 は MAC (Message Authentication Code) によって, 後者の 機密性を維持する機能 は暗号によって実現している. MAC は, MAC 処理用の鍵 ( 以下, MAC 鍵と示す ) を用いて検証データを生成する機能と, MAC 鍵と検証データに基づいて画像ファイルのオリジナル性を検証する機能から構成される. 暗号は, 画像鍵を用いて画像ファイルを暗号化する機能と, 画像鍵を用いて暗号化画像ファイルを復号する機能から構成される. さらに, 本システムは, これらの機能をサポートする機能として, 画像鍵を Copyright (C) , Canon Inc. All rights reserved. 3

7 生成する機能, 画像鍵等をアクセス制御する機能, 画像鍵を暗号化または復号する機能, カード鍵等を暗号化または復号する機能, EOS デジタルカメラと OS カード間で機器を接続する機能, 管理者および閲覧者の識別認証機能等を有する. 次に, 画像の撮影手順および閲覧手順を示す. 本システムの管理者は画像撮影に先立ち, OS カードの初期設定等を行わなければならない. OS カードの初期設定として, OS カードの管理者の ID および PIN, カード鍵の登録を行う. さらに, 閲覧者の ID および PIN, EOS デジタルカメラ ID の登録も行う. なお, 管理者の ID および PIN, 閲覧者の ID および PIN, EOS デジタルカメラ ID, カード鍵を OS カードデータと示す. EOS デジタルカメラ ID を登録することにより OS カードを利用可能な EOS デジタルカメラを登録し, 閲覧者 ID を登録することにより OS カードを利用可能な閲覧者を登録する. 閲覧者, EOS デジタルカメラともに, 一つの OS カードに複数登録できる. カード鍵は, OS カード内で生成されて, 登録される. なお, MAC 鍵は EOS デジタルカメラと OS カードにあらかじめ保持されている. EOS デジタルカメラと OS カードを有する撮影者は, OS カードを EOS デジタルカメラに装着する. OS カードを EOS デジタルカメラに装着すると, それぞれの機器が相互に確認し, 接続する. EOS デジタルカメラは OS カードであることを確認し, OS カードは当該 EOS デジタルカメラ ID が登録されていることを確認する. いずれか一方の確認に失敗した場合, EOS デジタルカメラは表示部にメッセージを表示する. 相互に確認すると OS カードからカード鍵を受け取る. さらに オリジナル画像判定用データを付加する という EOS デジタルカメラの設定で撮影すると, EOS デジタルカメラは, 内部で画像鍵を生成し, MAC 鍵を用いて画像ファイルの検証データを生成し, 画像鍵で画像ファイルを暗号化して暗号化画像ファイルを生成し, ならびにカード鍵で画像鍵を暗号化して暗号化画像鍵を生成し, 検証データ / 暗号化画像ファイル / 暗号化画像鍵から構成される検証データ付き暗号化画像ファイルを生成する. 画像ファイルの暗号化の詳細は後述する. 検証データ付き暗号化画像ファイルは, EOS デジタルカメラに設定された所定の媒体に記録される. EOS デジタルカメラは各種フラッシュメモリや通信回線をサポートしているため, 媒体は特定の媒体に限定されない. 検証データ付き暗号化画像ファイルを EOS デジタルカメラに装着しているフラッシュメモリに保存したり, USB (Universal Serial Bus) I/F 等接続している PC に保存したり, 無線 LAN で遠隔地の PC に保存することができる. なお, 検証データの付加 および 暗号化 の対象となる画像ファイルは, EOS デジタルカメラで撮影した全ての画像ファイルではなく, 撮影者が意図した画像ファイルだけである. 検証データの付加 は, オリジナル画像判定用データの付加 と示された EOS デジタルカメラのメニューにより する / しない を設定することができる. 一方, 画像ファイルを暗号化する は, OS カードを EOS デジタルカメラに装着し, EOS デジタルカメラと OS カード間で相互に確認した場合に, 自動的に実施される. つまり, 画像ファイルを暗号化する は EOS デジタル Copyright (C) , Canon Inc. All rights reserved. 4

8 カメラのメニューから設定する必要はない. また EOS デジタルカメラは一部種別の媒体に記録された暗号化画像ファイルを復号し, EOS デジタルカメラの表示部に表示することができる. ただし, EOS デジタルカメラは復号した画像ファイルを EOS デジタルカメラ外に出力する機能を有さない. PC および OS カードを有する閲覧者は, カード R/W を介して OS カードと PC を接続する. 閲覧者ツールを用いて検証データ付き暗号化画像ファイルの閲覧を試みると, OS カードは ID と PIN により閲覧者を識別認証する. 識別認証に成功した場合, PC および OS カードは, カード鍵で暗号化画像鍵を復号し, 画像鍵で暗号化画像ファイルを復号し, ならびに MAC 鍵および検証データに基づいて画像ファイルのオリジナル性を検証する. 以上の手順により, 画像ファイルのオリジナル性および機密性を維持することができる. なお, オリジナル性および機密性を同時に実施する手順を説明したが, 常に同時に実施する必要はない. 撮影者が EOS デジタルカメラのメニューで設定すること, および OS カードの EOS デジタルカメラへの着脱により, オリジナル性または機密性のどちらか一方だけを実施することもできる. なお, 画像ファイルのオリジナル性は撮影者や閲覧者と無関係の事象であるため, オリジナル性だけを検証したい場合, つまり検証データ付き画像ファイルのオリジナル性を検証する場合, 閲覧者の識別認証を必要としない. 管理者は, OS カードの管理者 ID/PIN およびカード鍵の初期設定, 閲覧者 ID/PIN の追加および削除, 管理者 PIN および閲覧者 PIN の変更, EOS デジタルカメラ ID の登録および削除をすることができる. 閲覧者, EOS デジタルカメラともに一つの OS カードに複数登録することができる. さらに, 管理者は, OS カードの初期化, バックアップおよびリストアすることができる. バックアップによって OS カードの破損に備えることができ, 物理的に異なる OS カードにリストアすることによって複製を実現できる. 複製した OS カード, つまり同じ OS カードデータを有する OS カードを, 撮影者と閲覧者間であらかじめ共有することによって, リアルタイムでの暗号化画像ファイルの転送と閲覧を実現することができる. 閲覧者は, 画像ファイルの閲覧のほかに, 自身の PIN を変更することができる TOE の構成 TOE の物理的範囲図 1-1 に本システムの全体像を示す. なお, 色で示した範囲が TOE の物理的な範囲である. Copyright (C) , Canon Inc. All rights reserved. 5

9 OS カード デジタルカメラ TOE 管理者ツール 閲覧者ツール TOE OS カード TOE OS カード R/W 各種媒体 PC USB 接続 図 1-1EOS デジタルカメラシステムの全体像 図 1-1 に示すように, 本システム全体は EOS デジタルカメラ, 管理者ツール, 閲覧者ツール, OS (Operating System), PC, OS カード, およびカード R/W から構成され, TOE は EOS デジタルカメラ, 管理者ツール, 閲覧者ツールおよび OS カードから構成される. 図 1-1 に複数の OS カードを示したが, 物理的に異なる OS カードでもよいし, 同一の OS カードでもよい. なお, 管理者ツール, 閲覧者ツール, OS カード, およびカード R/W は, OSK キットにより入手可能である. 以下に各要素について説明する. EOS デジタルカメラ TOE であって, 画像を撮影し, 画像ファイルを生成する装置. 表 1-6 に EOS デジタルカメラのハードウェアおよびソフトウェアの構成要素の詳細を示す. 本要素は, 物理的な外部 I/F として, シャッターボタン / 操作ボタン / ダイヤル / リモコン端子 / シンクロ端子 ( ストロボ用 ) 等の操作部, 液晶モニタ / 表示パネル等の表示部, CF (Compact Flash) カード /SD (Secure Digital) カード等の外部メディア接続部, および USB I/F 等の外部装置接続部を有する. なお, EOS-1D Mark III ファームウェアはキヤノンホームページ1から入手可能である. 表 1-6 EOS デジタルカメラの構成要素 識別名称 識別情報 EOS-1D Mark III ハードウェア EOS-1D Mark III EOS-1D Mark III ファームウェア 管理者ツール 1 Copyright (C) , Canon Inc. All rights reserved. 6

10 TOE であって, OS カードの管理に利用するアプリケーション. 表 1-7 に管理者ツールのソフトウェア構成要素の詳細を示す. 本要素は, 物理的な外部 I/F として, GUI (Graphical User I/F) を有する. 表 1-7 管理者ツールの構成要素 識別名称 Original Data Security Administrator 1.0 識別情報 閲覧者ツール TOE であって, 画像ファイルを利用するアプリケーション. 表 1-8 に閲覧者ツールのソフトウェア構成要素の詳細を示す. 本要素は, 物理的な外部 I/F として, GUI (Graphical User I/F) を有する. 表 1-8 閲覧者ツールの構成要素 識別名称 Original Data Security Utility 1.0 識別情報 OS カード TOE であって, スマートカードの機能を付加したフラッシュメモリ. 表 1-9 に OS カードのハードウェアおよびソフトウェアの構成要素の詳細を示す. 本要素は, 物理的な外部 I/F として, 外部メディア接続部を有する. OS カードは, カード毎に異なる固有情報 ( 以下, OSCID と示す ) を有する. 表 1-9 OS カードの構成要素 識別名称 Original Data Security Card ハードウェア Original Data Security Card アプレット ( アプレット名 : FF ) 識別情報 OSC-128M PC 管理者ツールおよび閲覧者ツールが稼動する PC/AT 互換機. 本要素は, 物理的な外部 I/F として, キーボード / マウス / ディスプレイ等のヒューマン I/F 部, および USB 等の周辺機器 I/F 部を有する. OS 管理者ツールおよび閲覧者ツールが稼動する PC 上の基本ソフトウェア. TOE として利 Copyright (C) , Canon Inc. All rights reserved. 7

11 用可能な OS は表 1-10 に示すいずれかである. 本要素は, 物理的な外部 I/F として, GUI を有する. 表 1-10 利用可能な OS の一覧 OS 名称 Microsoft Windows 2000 Professional Service Pack 4 Microsoft Windows XP Professional Service Pack 2 (32bit システム ) Microsoft Windows XP Home Edition Service Pack 2 (32bit システム ) Microsoft Windows Vista (32bit システム ) 2 カード R/W OS カードをリード / ライトする装置であって, USB で PC に接続される. 本要素は, 物理的な外部 I/F として, USB 等の周辺機器 I/F 部, および外部メディア接続部を有する. なお, OS カードは, スマートカードの機能が付加されたフラッシュメモリであり, 物理的な耐タンパ性を有する. また, EOS デジタルカメラは専用のハードウェアであって, その仕様は非公開である TOE の論理的範囲図 1-2 に本システムの機能の全体像を示す. なお, 太枠で囲んだ機能が TOE の機能であり, 色で示した機能が TOE のセキュリティ機能である. 2 Starter Edition を除く Copyright (C) , Canon Inc. All rights reserved. 8

12 証デ機能OS 機能検生成機 デジタルカメラ内の機能 生成機能暗復号機能号化機能OS カード内の機能 暗号化機能画像鍵 号機能検証デ情報管理機能ータ識能確認接続機能 検証機ータ能確認接続別認証機能管理者ツール内の機能 UI 機能 PIN 長検査機能 PC 内の機能閲覧者ツール内の機能復UI 機能 PIN 長検査機能 復号機能 デジタルカメラ機能 OS 機能 各種媒体 図 1-2EOS デジタルカメラシステムの機能の構成図 以下に, 物理的構成範囲ごとに, 各機能について説明する. <EOS デジタルカメラ > EOS デジタルカメラ機能操作部 /PC 接続部からの入力に基づいて, EOS デジタルカメラ各部を制御することにより, 画像を撮影し, 画像ファイルを生成し, 表示部 / 外部メディア接続部 /PC 接続部に画像ファイルを出力する機能. なお, 一部の種別の媒体から入力した画像ファイルまたは暗号化画像ファイルを, 必要に応じて復号し, 表示部に表示することができる. ただし, 媒体から入力した画像ファイルまたは暗号化画像ファイルを表示以外の用途に利用することはできない. 確認接続機能 OS カードを確認し, 接続する機能. 暗号化機能画像ファイルまたは画像鍵を暗号化する機能. 画像鍵生成機能画像鍵を生成する機能. 復号機能暗号化画像ファイルまたは暗号化画像鍵を復号する機能. 検証データ生成機能 MAC 鍵を用いて画像ファイルのオリジナル性を検証するための検証データを生成す Copyright (C) , Canon Inc. All rights reserved. 9

13 る機能. <PC> OS 機能 TOE を動作させるための基本ソフトウェア. < 管理者ツール > PIN 長検査機能 OS カードの利用者情報の登録時に, 登録したい PIN 桁数が 8 桁から 15 桁であることを検査する機能. < 閲覧者ツール > 復号機能暗号化画像ファイルを復号する機能. PIN 長検査機能自身の PIN を変更する時に, 登録したい PIN 桁数が 8 桁から 15 桁であることを検査する機能. <OS カード > OS 機能 TOE を動作させるための基本ソフトウェア. 識別認証機能 PIN 認証で管理者または閲覧者を識別および認証する機能. また, 管理者の ID および PIN, 閲覧者の ID および PIN を管理する機能. 確認接続機能登録された EOS デジタルカメラであることを確認し, 接続する機能. 情報管理機能カード鍵を生成し, カード鍵を管理する機能, および OSカードデータを管理する機能. さらに, 利用者に対してカード鍵等, OS カードデータへのアクセス制御を行う機能. アクセス制御を実現するため, カード鍵等を利用可能な EOS デジタルカメラの ID および閲覧者 ID を維持管理する. 管理者だけがこれらのアクセス制御に関する情報を設定可能である. 暗号化機能カード鍵または OS カードデータを暗号化し, 暗号化 OS カードデータを生成する機能. なお, OS カードデータの暗号化鍵は, 外部から入力されるシード情報に基づき生成される. Copyright (C) , Canon Inc. All rights reserved. 10

14 復号機能暗号化 OS カードデータを復号する機能. 検証データ検証機能 MAC 鍵および検証データに基づいて画像ファイルのオリジナル性を検証する機能. なお, OS カードの有する耐タンパ機能等のスマートカードの機能は, 本 TOE のセキュリティ機能ではない. 次に, 画像ファイルの処理手順を図 1-3 に示し, 図 1-3 で用いた記号の説明を表 1-11 に示す. なお, 図 1-3 は, 画像ファイルの処理手順を説明するため, 画像ファイルの処理に直接かかわる暗号化機能, 復号機能, 検証データ生成機能, および検証データ検証機能だけを示した. OS カード内の機能 検証データ検証 OS カード内の機能 V 検証データ検証 Kx 画像鍵復号 E(Ki) Kx 画像鍵復号 Kx 画像鍵生成 I Ki 画像暗号化 検証データ生成 画像鍵暗号化 E(I) V E(Ki) I E(I) Ki 画像復号 R I デジタルカメラ内の機能 PC 内の機能 図 1-3 画像ファイルの処理手順 表 1-11 記号の説明 記号 説明 Ki 画像鍵. 画像ファイルの暗号化または復号に用いる鍵. Kx カード鍵. OS カードに保持され, 画像鍵の暗号化 / 復号に用いる鍵. I 画像ファイル. Copyright (C) , Canon Inc. All rights reserved. 11

15 記号 説明 V 検証データ. R 検証結果. 検証データに基づいた画像ファイルのオリジナル性の検証結果. E(Ki) 暗号化画像鍵. E(I) 暗号化画像ファイル. I' 検証データ付暗号化画像ファイル. E(I) と E(Ki) と V からなる. 図 1-3 に示すように, 本システムは, 画像鍵で画像ファイルを暗号化し, カード鍵で画像鍵を暗号化する, 階層的な暗号方式を用いる. カード鍵は, 管理者による OS カードの初期設定時に生成される. 一方, 画像鍵は画像ファイルの生成毎に, つまり撮影毎に EOS デジタルカメラ内部で自動的に生成される. OS カードは, EOS デジタルカメラを確認し, 接続し, 機密性を維持した状態でカード鍵を EOS デジタルカメラへ出力する. 一方, 暗号化画像ファイルの復号時には, カード鍵を OS カードから PC へ出力しない. なお, 図 1-3 には図示していないが, MAC 鍵は, EOS デジタルカメラ毎に異なっており, あらかじめ EOS デジタルカメラと OS カードに記録されている. カード鍵等 OS カードデータは, OS カード内の暗号化機能により暗号化することで, バックアップデータとして PC へ出力する TOE の利用者 本システムの利用者は以下のとおりである. 撮影者 閲覧者 管理者 EOS デジタルカメラおよび OS カードを用いて, 画像ファイルを生成するエンティティ. 閲覧者ツールおよび OS カードを用いて, 画像ファイルを閲覧するエンティティ. また, 自身の PIN を変更可能なエンティティ. 閲覧者の役割に加えて, 管理者ツールおよび OS カードを用いて, OS カードデータを初期化したり, バックアップしたり, リストアしたりするエンティティ. また, OS カードにアクセス可能な EOS デジタルカメラ ID, 管理者の ID および PIN, 閲覧者の ID および PIN を管理するエンティティ. なお, 撮影者と管理者とが同一である場合, 閲覧者と管理者とが同一である場合, または撮影者と閲覧者と管理者とが同一である場合が想定できる. Copyright (C) , Canon Inc. All rights reserved. 12

16 2 Conformance claims 2.1 CC conformance claim 本 ST および TOE の CC 適合主張は, 以下のとおりである. ST と TOE が適合を主張する CC のバージョン : [CC] Common Criteria for Information Technology Security Evaluation Part 1: Introduction and general model, September 2006, Ver.3.1 Revision 1, CCMB Common Criteria for Information Technology Security Evaluation Part 2: Security functional components, September 2006, Ver.3.1 Revision 1, CCMB Common Criteria for Information Technology Security Evaluation Part 3: Security assurance components, September 2006, Ver.3.1 Revision 1, CCMB CC パート 2 に対する ST の適合 : CC Part 2 conformant CC パート 3 に対する ST の適合 : CC Part 3 conformant なお, 本 ST 作成の参考情報として, 以下を参照した. [CEM] Common Methodology for Information Technology Security Evaluation Evaluation methodology, September 2006, Ver.3.1 Revision 1, CCMB PP claim, Package claim 本 ST および TOE の PP claim, および Package claim は, 以下のとおりである. PP claim : 本 ST が適合している PP はない Package claim : EAL2 Conformant Copyright (C) , Canon Inc. All rights reserved. 13

17 3 Security problem definition 本章では, セキュリティ課題を定義する. 3.1 Threats T.MODIFY_IMAGE 高度な専門知識を持たない, 悪意のある第三者が, 任意の IT 機器を用いて, EOS デジタルカメラと閲覧者ツール間の媒体上で, 当該 EOS デジタルカメラで撮影した画像ファイルを改ざんするかもしれない T.DISCLOSE_IMAGE 高度な専門知識を持たない, 悪意のある第三者が, 任意の IT 機器を用いて, EOS デジタルカメラと閲覧者ツール間の媒体上で, 当該 EOS デジタルカメラで撮影した画像ファイルを暴露するかもしれない T. DISCLOSE_OSC 高度な専門知識を持たない, 悪意のある第三者が, PC を用いて OS カードにアクセスし, OS カードに保持されているカード鍵を入手するかもしれない. これにより, 任意の暗号化画像ファイルを復号するかもしれない T.ILLEGAL_ACCESS 高度な専門知識を持たない, 悪意のある閲覧者が, 閲覧者ツール, 管理者ツールまたはそれらの組み合わせで OS カードへアクセスし, OS カードデータを改変したりするかもしれない. これにより, 任意の利用者が暗号化画像ファイルを復号できるようになるかもしれない T.BACKUP 高度な専門知識を持たない, 悪意のある第三者が, OS カードのバックアップデータから OS カードデータを入手し, 画像ファイルを暴露または改ざんするかもしれない. 3.2 Organisational security policies 本 ST は組織のセキュリティ方針を想定しない. 3.3 Assumptions A.PHOTOGRAPHER 撮影者は, 利用する OS カードが, 第三者によって, 別の OS カードにすり替えられないよ Copyright (C) , Canon Inc. All rights reserved. 14

18 うに管理する A.VIEWER 閲覧者は, OS カードを利用するための PIN が他人に漏洩しないように管理する. また, 閲覧者は, 第三者が推定困難な PIN を選び, 設定する A.MANAGER 管理者は, 課せられた役割として, OS カードにアクセス可能な EOS デジタルカメラ, および閲覧者を適切に登録する. また, 管理者は, 第三者が推定困難な PIN を選び, 設定する A.PLATFORM 管理者が管理者ツールをインストールして利用する PC および OS は, 信頼できない第三者が不正に利用できないように管理される. 閲覧者が閲覧者ツールをインストールして利用する PC および OS は, 信頼できない第三者が不正に利用できないように管理される. また, これらの OS は適切に管理され, 管理者ツールまたは閲覧者ツールの動作を監視または干渉する悪意のあるアプリケーションはインストールされない A.PERIPHERAL 閲覧者が閲覧者ツールをインストールして利用する PC に接続されるカード R/W は, 信頼できない第三者が改ざんできないように管理される. また, 当該カード R/W と PC は, その間で盗聴されることがないように接続される. Copyright (C) , Canon Inc. All rights reserved. 15

19 4 Security objectives 本章では, セキュリティ対策方針について記述する. 4.1 Security objectives for the TOE O.VERIFY_IMAGE TOE は, 当該 EOS デジタルカメラで撮影した画像ファイルの生成時に, 撮影した画像ファイルのオリジナル性を検証可能とする検証データを生成し, 検証データ付き画像ファイルを媒体に記録する. TOE は, 画像ファイルの閲覧時に検証データに基づいて画像ファイルのオリジナル性を検証する O.ENC_IMAGE TOE は, 当該 EOS デジタルカメラで撮影した画像ファイルの生成時に, 所定の OS カードに保持している情報を間接的に利用して画像ファイルを暗号化し, 暗号化画像ファイルを媒体に記録する. TOE は, 画像ファイルの閲覧時に, OS カードに保持している情報を間接的に利用して暗号化画像ファイルを復号する. さらに TOE は, 画像ファイルの暗号化および復号に用いる鍵の機密性を維持する O.I&A TOE は, OS カードに保持されているカード鍵にアクセスする前に, 利用者を識別認証する O.ACCESS_CONTROL TOE は, PC 上の閲覧者ツールまたは管理者ツールを用いた OS カードの利用時に, 利用者に対してアクセス制御を行う O.ENC_OSC TOE は, OS カードデータのバックアップ時にバックアップデータを暗号化し, OS カードデータのリストア時に暗号化バックアップデータを復号する. 4.2 Security objectives for the operational environment OE.PHOTOGRAPHER 撮影者は, 利用する OS カードが, 第三者によって, 別の OS カードにすり替えられないように管理しなければならない OE.VIEWER 閲覧者は, OS カードを利用するための PIN が他人に漏洩しないように管理しなければなら Copyright (C) , Canon Inc. All rights reserved. 16

20 ない. また, 閲覧者は, 第三者が推定困難な PIN を選び, 設定しなければならない OE.MANAGER 管理者の役割を決定するエンティティは, 許可された行為だけ忠実に遂行する人材を管理者に任命しなければならない. また, 第三者が推定困難な PIN を選択する管理者を任命しなければならない OE.PLATFORM 管理者が管理者ツールをインストールして利用する PC および OS は, 信頼できない第三者が不正に利用できないように管理されなければならない. 閲覧者が閲覧者ツールをインストールして利用する PC および OS は, 信頼できない第三者が不正に利用できないように管理されなければならない. また, これらの OS は適切に管理され, 管理者ツールまたは閲覧者ツールの動作を監視または干渉する悪意のあるアプリケーションはインストールされないように管理されなければならない OE.PERIPHERAL 閲覧者が閲覧者ツールをインストールして利用する PC に接続されるカード R/W は, 信頼できない第三者が改ざんできないように管理されなければならない. また, 当該カード R/W と PC は, その間で盗聴されることがないように接続されるように管理されなければならない. 4.3 Security objectives rationale セキュリティ対策方針と脅威 / 組織のセキュリティ方針 / 前提条件で定義されたセキュリティ課題定義の対応関係を必要性および十分性の観点で示す セキュリティ対策方針の必要性表 4-1 は, 脅威 / 組織のセキュリティ方針 / 前提条件で定義されたセキュリティ課題定義とセキュリティ対策方針をマッピングしたものである. これにより, 各セキュリティ対策方針が少なくとも 1 つの脅威, 組織のセキュリティ方針, または前提条件に対応していることが分かる. Copyright (C) , Canon Inc. All rights reserved. 17

21 表 4-1 セキュリティ対策方針と脅威, 組織のセキュリティ方針, 前提条件の対応 T.MODIFY_IMAGE T.DISCLOSE_IMAGE T.DISCLOSE_OSC T.ILLEGAL_ACCESS T.BACKUP A.PHOTOGRAPHER A.VIEWER A.MANAGER A.PLATFORM A.PERIPHERAL O.VERIFY_IMAGE O.ENC_IMAGE O.I&A O.ACCESS_CONTROL O.ENC_OSC OE.PHOTOGRAPHER OE.VIEWER OE.MANAGER OE.PLATFORM OE.PERIPHERAL セキュリティ対策方針の十分性 本節では, セキュリティ対策方針がセキュリティ課題定義を満たすのに十分である根拠を示す. T.MODIFY_IMAGE は, O.VERIFY_IMAGE によって対抗される. なぜなら, O.VERIFY_IMAGE は, EOS デジタルカメラで撮影した画像ファイルの生成時に, 画像ファイルのオリジナル性を検証可能とする検証データ付き画像ファイルの生成を可能にし, さらに検証データ付き画像ファイルの閲覧時に, 検証データに基づいた画像ファイルのオリジナル性検証を可能にする. これらより, EOS デジタルカメラで撮影した画像ファイルの改ざんを検出することが可能になり, 当該脅威を抑止することができる. したがって, O.VERIFY_IMAGE は T.MODIFY_IMAGE を満たしている. T.DISCLOSE_IMAGE は, O.ENC_IMAGE によって対抗される. なぜなら, O.ENC_IMAGE は, EOS デジタルカメラで撮影した画像ファイルの生成時に, 画像ファイルを暗号化し, さらに暗号化画像ファイルの閲覧時に当該画像ファイルを復号する. これらより, EOS デジタルカメラで撮影した画像ファイルの機密性を維持することが可能にな Copyright (C) , Canon Inc. All rights reserved. 18

22 り, 当該脅威を防止することができる. したがって, O.ENC_IMAGE T.DISCLOSE_IMAGE を満たしている. は T.DISCLOSE_OSC は, O.I&A によって対抗される. なぜなら, O.I&A は, OS カードに保持されているカード鍵にアクセスする前に利用者を識別認証する. これにより, 第三者が PC を用いて OS カードへ不正にアクセスすることを防止し, 当該脅威を防止することができる. したがって, O.I&A は T.DISCLOSE_OSC を満たしている. T.ILLEGAL_ACCESS は, O.ACCESS_CONTROL によって対抗される. なぜなら, O.ACCESS_CONTROL は, PC 上の閲覧者ツールまたは管理者ツールを用いた OS カードの利用者に対してアクセス制御を行う. これにより, 閲覧者の権限外の処理を防止し, 当該脅威を防止することができる. したがって, O.ACCESS_CONTROL は T.ILLEGAL_ACCESS を満たしている. T.BACKUP は, O.ENC_OSC によって対抗される. なぜなら, O.ENC_OSC は, バックアップ時にバックアップデータを暗号化し, リストア時に暗号化バックアップデータを復号する. これにより, バックアップデータの機密性を維持することが可能になり, 当該脅威を防止することができる. したがって, O.ENC_OSC は T.BACKUP を満たしている. A.PHOTOGRAPHER は, OE.PHOTOGRAPHER によって対抗されることは自明である. なぜなら, OE.PHOTOGRAPHER は A.PHOTOGRAPHER の文章を概ね再掲しているからである. したがって, OE.PHOTOGRAPHER は A.PHOTOGRAPHER を満たしている. A.VIEWER は, OE.VIEWER によって対抗されることは自明である. なぜなら, OE.VIEWER は A.VIEWER の文章を概ね再掲しているからである. したがって, OE.VIEWER は A.VIEWER を満たしている. A.MANAGER は, OE.MANAGER によって対抗される. OE.MANAGER によって, 許可された行為だけ忠実に遂行する人材を管理者に任命することによって, 管理者が課せられた役割として許可された行為だけを行い, 悪意のある行為を行わないことを保証している. したがって, OE.MANAGER は A.MANAGER を満たしている. A.PLATFORM は, OE.PLATFORM によって対抗されることは自明である. なぜなら, OE.PLATFORM は A.PLATFORM の文章を概ね再掲しているからである. したがって, OE.PLATFORM は A.PLATFORM を満たしている. Copyright (C) , Canon Inc. All rights reserved. 19

23 A.PERIPHERAL は, OE.PERIPHERAL によって対抗されることは自明である. なぜなら, OE.PERIPHERAL は A.PERIPHERAL の文章を概ね再掲しているからである. したがって, OE.PERIPHERAL は A.PERIPHERAL を満たしている. Copyright (C) , Canon Inc. All rights reserved. 20

24 5 Extended components definition 本章では, 拡張コンポーネント定義について記述する. 本 ST は拡張コンポーネントを定義しない. Copyright (C) , Canon Inc. All rights reserved. 21

25 6 Security requirements 本章では, セキュリティ要件を記述する. 6.1 Security functional requirements 本章では, セキュリティ機能要件について記述する. なお, 全てのセキュリティ機能要件は, CC Part 2 に規定のセキュリティ機能要件である FCS_COP.1a Cryptographic operation (MAC) Hierarchical to: No other components. Dependencies: [FDP_ITC.1 Import of user data without security attributes, or FDP_ITC.2 Import of user data with security attributes, or FCS_CKM.1 Cryptographic key generation] FCS_CKM.4 Cryptographic key destruction FMT_MSA.2 Secure security attributes FCS_COP.1.1 The TSF shall perform [assignment: the generation and the verification of the verification data for the image file] in accordance with a specified cryptographic algorithm [assignment: The Keyed-Hash Message Authentication Code] and cryptographic key sizes [assignment: fixed value beyond 128 bits] that meet the following: [assignment: FIPS PUB 198] FCS_CKM.1b Cryptographic key generation (Image Encryption) Hierarchical to: No other components. Dependencies: [FCS_CKM.2 Cryptographic key distribution, or FCS_COP.1 Cryptographic operation] FCS_CKM.4 Cryptographic key destruction FMT_MSA.2 Secure security attributes FCS_CKM.1.1 The TSF shall generate cryptographic keys (Image Key) in accordance with a specified cryptographic key generation algorithm [assignment: PRNG based on SHA-1 for general purpose in FIPS (+ change notice 1) Appendix 3.1] and specified cryptographic key sizes [assignment: 128 bits] that meet the following: [assignment: FIPS PUB 186-2]. Copyright (C) , Canon Inc. All rights reserved. 22

26 6.1.3 FCS_CKM.4b Cryptographic key destruction (Image Encryption) Hierarchical to: No other components. Dependencies: [FDP_ITC.1 Import of user data without security attributes, or FDP_ITC.2 Import of user data with security attributes, or FCS_CKM.1 Cryptographic key generation] FMT_MSA.2 Secure security attributes FCS_CKM.4.1 The TSF shall destroy cryptographic keys (Image Key) in accordance with a specified cryptographic key destruction method [assignment: Zeroization] that meets the following: [assignment: none] FCS_COP.1b Cryptographic operation (Image Encryption) Hierarchical to: No other components. Dependencies: [FDP_ITC.1 Import of user data without security attributes, or FDP_ITC.2 Import of user data with security attributes, or FCS_CKM.1 Cryptographic key generation] FCS_CKM.4 Cryptographic key destruction FMT_MSA.2 Secure security attributes FCS_COP.1.1 The TSF shall perform [assignment: the encryption and the decryption of the image file] in accordance with a specified cryptographic algorithm [assignment: AES] and cryptographic key sizes [assignment: 128 bits] that meet the following: [assignment: FIPS PUB 197] FCS_CKM.1c Cryptographic key generation (Image Key Encryption) Hierarchical to: No other components. Dependencies: [FCS_CKM.2 Cryptographic key distribution, or FCS_COP.1 Cryptographic operation] FCS_CKM.4 Cryptographic key destruction FMT_MSA.2 Secure security attributes FCS_CKM.1.1 The TSF shall generate cryptographic keys (Card Key) in accordance with a specified cryptographic key generation algorithm [assignment: PRNG based on ANSI X9.31] and specified cryptographic key sizes [assignment: 128 bits] that meet the following: [assignment: ANSI X9.31] FCS_CKM.4c Cryptographic key destruction (Image Key Copyright (C) , Canon Inc. All rights reserved. 23

27 Encryption) Hierarchical to: No other components. Dependencies: [FDP_ITC.1 Import of user data without security attributes, or FDP_ITC.2 Import of user data with security attributes, or FCS_CKM.1 Cryptographic key generation] FMT_MSA.2 Secure security attributes FCS_CKM.4.1 The TSF shall destroy cryptographic keys (Card Key) in accordance with a specified cryptographic key destruction method [assignment: Zeroization] that meets the following: [assignment: none] FCS_COP.1c Cryptographic operation (Image Key Encryption) Hierarchical to: No other components. Dependencies: [FDP_ITC.1 Import of user data without security attributes, or FDP_ITC.2 Import of user data with security attributes, or FCS_CKM.1 Cryptographic key generation] FCS_CKM.4 Cryptographic key destruction FMT_MSA.2 Secure security attributes FCS_COP.1.1 The TSF shall perform [assignment: the encryption or the decryption of the Image Key] in accordance with a specified cryptographic algorithm [assignment: Triple DES] and cryptographic key sizes [assignment: 168 bits (3 keys)] that meet the following: [assignment: NIST SP800-67] FCS_COP.1d Cryptographic operation (OS Card data) Hierarchical to: No other components. Dependencies: [FDP_ITC.1 Import of user data without security attributes, or FDP_ITC.2 Import of user data with security attributes, or FCS_CKM.1 Cryptographic key generation] FCS_CKM.4 Cryptographic key destruction FMT_MSA.2 Secure security attributes FCS_COP.1.1 The TSF shall perform [assignment: the encryption and the decryption of the OS Card data] in accordance with a specified cryptographic algorithm [assignment: Triple DES] and cryptographic key sizes [assignment: 168 bits (3 keys)] that meet the following: [assignment: NIST SP800-67]. Copyright (C) , Canon Inc. All rights reserved. 24

28 6.1.9 FDP_ACC.1 Subset access control Hierarchical to: No other components. Dependencies: FDP_ACF.1 Security attribute based access control FDP_ACC.1.1 The TSF shall enforce the [assignment: EOS Digital Camera System Access Control Policy] on [assignment: Subject : App process corresponding to the PC tool Object : Image file (I), OS Card data (C), Seed of the OS Card data encryption key (S) Operation : Encrypt (Enc), Decrypt (Dec), Generate (Gen) the verification data of the object, Verify (Ver) the object based on the verification data, Export (Exp), Import (Imp)] FDP_ACF.1 Security attribute based access control Hierarchical to: No other components. Dependencies: FDP_ACC.1 Subset access control FMT_MSA.3 Static attribute initialisation FDP_ACF.1.1 The TSF shall enforce the [assignment: EOS Digital Camera System Access Control Policy] to objects based on the following: [assignment: subjects, objects, and security attributes shown in 表 6-1, 表 6-2, and 表 6-3]. FDP_ACF.1.2 The TSF shall enforce the following rules to determine if an operation among controlled subjects and controlled objects is allowed: [assignment: rules shown in 表 6-1, 表 6-2, and 表 6-3]. FDP_ACF.1.3 The TSF shall explicitly authorise access of subjects to objects based on the following additional rules: [assignment: The App process can verify (Ver) the image file (I) based on the verification data]. FDP_ACF.1.4 The TSF shall explicitly deny access of subjects to objects based on the [assignment: The App process with any ID can not encrypt (Enc) the image file (I). The App process with any ID can not generate (Gen) the verification data of the image file (I)]. Copyright (C) , Canon Inc. All rights reserved. 25

29 表 6-1 EOS Digital Camera System Access Control List 1 Object Condition Subject Sec. Attributes I App process Viewer ID If Viewer ID is enrolled. Dec App process Administrator ID If Administrator ID is enrolled. Dec 表 6-2 EOS Digital Camera System Access Control List 2 Object Condition Subject Sec. Attributes C App process Administrator ID If Administrator ID is enrolled. Exp/Imp 表 6-3 EOS Digital Camera System Access Control List 3 Object Condition Subject Sec. Attributes S App process Administrator ID If Administrator ID is enrolled. Imp FDP_ETC.1 Export of user data without security attributes Hierarchical to: No other components. Dependencies: [FDP_ACC.1 Subset access control, or FDP_IFC.1 Subset information flow control] FDP_ETC.1.1 The TSF shall enforce the [assignment: EOS Digital Camera System Access Control Policy] when exporting user data, controlled under the SFP(s), outside of the TOE. FDP_ETC.1.2 The TSF shall export the user data without the user data's associated security attributes FDP_ITC.1 Import of user data without security attributes Hierarchical to: No other components. Dependencies: [FDP_ACC.1 Subset access control, or FDP_IFC.1 Subset information flow control] FMT_MSA.3 Static attribute initialisation FDP_ITC.1.1 The TSF shall enforce the [assignment: EOS Digital Camera System Access Control Policy] when importing user data, controlled under the Copyright (C) , Canon Inc. All rights reserved. 26

30 FDP_ITC.1.2 FDP_ITC.1.3 SFP, from outside of the TOE. The TSF shall ignore any security attributes associated with the user data when imported from outside the TOE. The TSF shall enforce the following rules when importing user data controlled under the SFP from outside the TOE: [assignment: none] FIA_AFL.1 Authentication failure handling Hierarchical to: No other components. Dependencies: FIA_UAU.1 Timing of authentication FIA_AFL.1.1 The TSF shall detect when [selection: [assignment: 3]] unsuccessful authentication attempts occur related to [assignment: the each authentication of the administrator and the viewer]. FIA_AFL.1.2 When the defined number of unsuccessful authentication attempts has been met or surpassed, the TSF shall [assignment: return the authentication result after waiting 5 seconds in the next authentication attempt]. Note : When the user is authenticated successfully, the TSF shall clear the unsuccessful authentication counter for the user FIA_ATD.1 User attribute definition Hierarchical to: No other components. Dependencies: No dependencies. FIA_ATD.1.1 The TSF shall maintain the following list of security attributes belonging to individual users: [assignment: Administrator ID, Viewer ID] FIA_SOS.1 Verification of secrets Hierarchical to: No other components. Dependencies: No dependencies. FIA_SOS.1.1 The TSF shall provide a mechanism to verify that secrets meet [assignment: the Authentication Metric defined below]. Authentication Metric (1) The length of it between 8 characters and 15 characters. Copyright (C) , Canon Inc. All rights reserved. 27

31 FIA_UAU.1 Timing of authentication Hierarchical to: No other components. Dependencies: FIA_UID.1 Timing of identification FIA_UAU.1.1 The TSF shall allow [assignment: the actions defined in 表 6-4] on behalf of the user to be performed before the user is authenticated. FIA_UAU.1.2 The TSF shall require each user to be successfully authenticated before allowing any other TSF-mediated actions on behalf of that user. 表 6-4 List of TSF mediated actions #1 TSF mediated actions To get the OSCID of the OS card To get the version information of the OS card To generate the verification data of the image file To verify the image file based on the verification data FIA_UID.1 Timing of identification Hierarchical to: No other components. Dependencies: No dependencies. FIA_UID.1.1 The TSF shall allow [assignment: the actions defined in 表 6-5] on behalf of the user to be performed before the user is identified. FIA_UID.1.2 The TSF shall require each user to be successfully identified before allowing any other TSF-mediated actions on behalf of that user. 表 6-5 List of TSF mediated actions #2 TSF mediated actions To get the OSCID of the OS card To get the version information of the OS card To generate the verification data of the image file To verify the image file based on the verification data FIA_USB.1 User-subject binding Hierarchical to: No other components. Dependencies: FIA_ATD.1 User attribute definition FIA_USB.1.1 The TSF shall associate the following user security attributes with subjects acting on the behalf of that user: [assignment: Administrator ID, Viewer ID]. Copyright (C) , Canon Inc. All rights reserved. 28

32 FIA_USB.1.2 FIA_USB.1.3 The TSF shall enforce the following rules on the initial association of user security attributes with subjects acting on the behalf of users: [assignment: none]. The TSF shall enforce the following rules governing changes to the user security attributes associated with subjects acting on the behalf of users: [assignment: none] FMT_MTD.1 Management of TSF data Hierarchical to: No other components. Dependencies: FMT_SMR.1 Security roles FMT_SMF.1 Specification of Management Functions FMT_MTD.1.1 The TSF shall restrict the ability to [selection: modify, delete, [assignment: run initial-setting, initialize, add]] the [assignment: Administrator ID, Administrator PIN, Viewer ID, Viewer PIN, Card Key, EOS Digital Camera ID] to [assignment: the administrator] FMT_SMF.1 Specification of Management Functions Hierarchical to: No other components. Dependencies: No dependencies. FMT_SMF.1.1 The TSF shall be capable of performing the following management functions: [assignment: management items of column in 表 6-6]. 表 6-6 List of the management functions management items of the TOE To add Viewer ID/PIN, and EOS Digital Camera ID To delete Viewer ID/PIN, and EOS Digital Camera ID To modify Administrator PIN, Viewer PIN, and EOS Digital Camera ID To run initial-setting of Administrator ID/PIN and Card Key To initialize Administrator ID/PIN, Viewer ID/PIN, Card Key, and EOS Digital Camera ID FMT_SMR.1 Security roles Hierarchical to: No other components. Dependencies: FIA_UID.1 Timing of identification FMT_SMR.1.1 The TSF shall maintain the roles [assignment: the administrator]. FMT_SMR.1.2 The TSF shall be able to associate users with roles. Copyright (C) , Canon Inc. All rights reserved. 29

33 FPT_ITT.1 Basic internal TSF data transfer protection Hierarchical to: No other components. Dependencies: No dependencies. FPT_ITT.1.1 The TSF shall protect TSF data from [selection: disclosure] when it is transmitted between separate parts of the TOE (the digital camera and the OS card). 6.2 Security assurance requirements 本章では, TOE セキュリティ保証要件について記述する. 本 TOE の評価保証レベルは EAL2 である. 本 TOE のセキュリティ保証要件を表 6-7 に示す. なお, 全てのセキュリティ保証要件は, CC Part 3 に規定のセキュリティ保証要件である. 表 6-7 TOE セキュリティ保証要件コンポーネントの一覧 保証クラス 保証要件コンポーネント Development ADV_ARC.1 Security architecture description ADV_FSP.2 Security-enforcing functional specification ADV_TDS.1 Basic design Guidance documents AGD_OPE.1 Operational user guidance AGD_PRE.1 Preparative procedures Life-cycle support ALC_CMC.2 Use of a CM system ALC_CMS.2 Parts of the TOE CM coverage ALC_DEL.1 Delivery procedures Security Target evaluation ASE_CCL.1 Conformance claims ASE_ECD.1 Extended components definition ASE_INT.1 ST introduction ASE_OBJ.2 Security objectives ASE_REQ.2 Derived security requirements ASE_SPD.1 Security problem definition ASE_TSS.1 TOE summary specification Tests ATE_COV.1 Evidence of coverage ATE_FUN.1 Functional testing ATE_IND.2 Independent testing - sample Vulnerability assessment AVA_VAN.2 Vulnerability analysis Copyright (C) , Canon Inc. All rights reserved. 30

34 6.3 Security requirements rationale セキュリティ機能要件による TOE セキュリティ対策方針の充足 セキュリティ機能要件と TOE セキュリティ対策方針の対応関係を必要性および十分性の観点で示す セキュリティ機能要件の必要性表 6-8 は, TOE セキュリティ対策方針とセキュリティ機能要件をマッピングしたものである. これにより, 各セキュリティ機能要件が少なくとも 1 つの TOE セキュリティ対策方針に対抗していることを示している. 表 6-8 セキュリティ機能要件と TOE セキュリティ対策方針の対応 O.VERIFY_IMAGE O.ENC_IMAGE O.I&A O.ACCESS_CONTROL O.ENC_OSC FCS_COP.1a FCS_CKM.1b FCS_CKM.4b FCS_COP.1b FCS_CKM.1c FCS_CKM.4c FCS_COP.1c FCS_COP.1d FDP_ACC.1 FDP_ACF.1 FDP_ETC.1 FDP_ITC.1 FIA_AFL.1 FIA_ATD.1 FIA_SOS.1 FIA_UAU.1 Copyright (C) , Canon Inc. All rights reserved. 31

35 O.VERIFY_IMAGE O.ENC_IMAGE O.I&A O.ACCESS_CONTROL O.ENC_OSC FIA_UID.1 FIA_USB.1 FMT_MTD.1 FMT_SMF.1 FMT_SMR.1 FPT_ITT セキュリティ機能要件の十分性本章では, セキュリティ機能要件が TOE セキュリティ対策方針を満たすのに十分である根拠を示す. O.VERIFY_IMAGE は, FCS_COP.1a によって対抗される. FCS_COP.1a によって, TSF は検証データである Keyed-Hash Message Authentication Code を生成し, かつ検証データに基づいて画像ファイルのオリジナル性を検証可能とする. したがって, FCS_COP.1a は O.VERIFY_IMAGE を満たしている. O.ENC_IMAGE は, FCS_CKM.1b, FCS_CKM.4b, FCS_COP.1b, FCS_CKM.1c, FCS_CKM.4c, FCS_COP.1c, FMT_MTD.1, FMT_SMF.1, FMT_SMR.1 および FPT_ITT.1 によって対抗される. FCS_CKM.1b, FCS_CKM.4b, FCS_COP.1b によって, TSF は PRNG based on SHA-1 for general purpose in FIPS (+ change notice 1) Appendix 3.1 に基づいた画像鍵の生成, 暗号アルゴリズム AES による画像ファイルの暗号化/ 復号, ゼロ化による画像鍵の破棄を実現している. FCS_CKM.1c, FCS_CKM.4c, FCS_COP.1c によって, TSF は PRNG based on ANSI X9.31 に基づいたカード鍵の生成, ゼロ化によるカード鍵の破棄を実現している. FMT_MTD.1, FMT_SMF.1, FMT_SMR.1 によって, 管理者によるカード鍵の管理を実現している. さらに, 機密性を維持した状態で OS カードに保持しているカード鍵を EOS デジタルカメラへ転送するために, TSF は FPT_ITT.1 によって, TOE 間である OS カードと所定の EOS デジタルカメラ間において, 機密性を維持したカード鍵の転送を実現している. なお, 所定の EOS デジタルカメラであることを特定するために, FMT_MTD.1, Copyright (C) , Canon Inc. All rights reserved. 32

36 FMT_SMF.1, FMT_SMR.1 によって, 管理者による EOS デジタルカメラ ID の管理を実現している. したがって, FCS_CKM.1b, FCS_CKM.4b, FCS_COP.1b, FCS_CKM.1c, FCS_CKM.4c, FCS_COP.1c, FMT_MTD.1, FMT_SMF.1, FMT_SMR.1 および FPT_ITT.1 は O.ENC_IMAGE を満たしている. O.I&A は, FIA_AFL.1, FIA_ATD.1, FIA_SOS.1, FIA_UAU.1, FIA_UID.1, FIA_USB.1, FMT_MTD.1, FMT_SMF.1 および FMT_SMR.1 によって対抗される. FIA_UAU.1 および FIA_UID.1 によって, TSF は管理者, および閲覧者の識別認証を実現している. また, 識別認証のサポートとして, TSF は, FIA_AFL.1 によって識別認証失敗時の動作を規定し, FIA_ATD.1 および FIA_USB.1 によって識別認証成功時の利用者のサブジェクトへのバインドおよび利用者属性を定義し, FIA_SOS.1 によって認証情報の品質を規定している. さらに FMT_MTD.1, FMT_SMF.1 および FMT_SMR.1 によって, TSF は管理者による認証情報の管理を実現している. したがって, FIA_AFL.1, FIA_ATD.1, FIA_SOS.1, FIA_UAU.1, FIA_UID.1, FIA_USB.1, FMT_SMF.1 および FMT_SMR.1 は O.I&A を満たしている. O.ACCESS_CONTROL は, FDP_ACC.1, FDP_ACF.1, FDP_ETC.1, および FDP_ITC.1 によって対抗される. FDP_ACC.1, FDP_ACF.1 によって, TSF は, 画像ファイル, OS カードデータおよび OS カードデータの暗号化鍵のシードに関するアクセス制御を実現している. FDP_ETC.1, FDP_ITC.1 によって, TSF は, OS カードデータのエクスポート, およびインポートに関するアクセス制御を実現している. さらに FDP_ITC.1 によって, TSF は, OS カードデータの暗号化鍵のシードのインポートに関するアクセス制御を実現している. したがって, FDP_ACC.1, FDP_ACF.1, FDP_ETC.1, FDP_ITC.1, および FDP_ITT.1 は O.ACCESS_CONTROL を満たしている. O.ENC_OSC は, FCS_COP.1d, FDP_ETC.1, および FDP_ITC.1 によって対抗される. FCS_COP.1d および FDP_ETC.1 によって, TSF は, 暗号アルゴリズム Triple DES により OS カードデータを暗号化し, バックアップデータとしてエクスポートする. 逆に, TSF は暗号化 OS カードデータをインポートし, 暗号アルゴリズム Triple DES により復号する. さらに, FDP_ITC.1 によって, 当該暗号化鍵のシードを入力する. したがって, FCS_COP.1d, FDP_ETC.1 および FDP_ITC.1 は O.ENC_OSC を満たしている. Copyright (C) , Canon Inc. All rights reserved. 33

37 6.3.2 依存性の根拠 TOE のセキュリティ機能要件の依存性を表 6-9 に示す. 列 SFR に本 ST で選択している TOE セキュリティ機能要件の識別子を示し, 列 CC 規定の依存性 に CC で規定している依存性を示し, 列 ST の依存性 に ST で満たしている依存性を示す. なお, 表中の - は CC パート 2 に依存コンポーネントが示されていないこと, または ST で依存コンポーネントが選択していないことを示す. 表 6-9 TOE セキュリティ機能要件の依存性 SFR CC 規定の依存性 ST の依存性 FCS_COP.1a [FDP_ITC.1, FDP_ITC.2, FCS_CKM.1], FCS_CKM.4, FMT_MSA.2 - FCS_CKM.1b [FCS_CKM.2, FCS_COP.1], FCS_COP.1b, FCS_CKM.4, FMT_MSA.2 FCS_CKM.4b FCS_CKM.4b [FDP_ITC.1, FDP_ITC.2, FCS_CKM.1], FCS_CKM.1b FMT_MSA.2 FCS_COP.1b [FDP_ITC.1, FDP_ITC.2, FCS_CKM.1], FCS_CKM.4, FMT_MSA.2 FCS_CKM.1b, FCS_CKM.4b FCS_CKM.1c [FCS_CKM.2, FCS_COP.1], FCS_COP.1c, FCS_CKM.4, FMT_MSA.2 FCS_CKM.4c FCS_CKM.4c [FDP_ITC.1, FDP_ITC.2, FCS_CKM.1], FCS_CKM.1c FMT_MSA.2 FCS_COP.1c [FDP_ITC.1, FDP_ITC.2, FCS_CKM.1], FCS_CKM.4, FMT_MSA.2 FCS_CKM.1c, FCS_CKM.4c FCS_COP.1d [FDP_ITC.1, FDP_ITC.2, FCS_CKM.1], FDP_ITC.1 FCS_CKM.4, FMT_MSA.2 FDP_ACC.1 FDP_ACF.1 FDP_ACF.1 FDP_ACF.1 FDP_ACC.1, FMT_MSA.3 FDP_ACC.1 FDP_ETC.1 [FDP_ACC.1, FDP_IFC.1] FDP_ACC.1 FDP_ITC.1 [FDP_ACC.1, FDP_IFC.1], FMT_MSA.3 FDP_ACC.1 FIA_AFL.1 FIA_UAU.1 FIA_UAU.1 FIA_ATD FIA_SOS FIA_UAU.1 FIA_UID.1 FIA_UID.1 FIA_UID FIA_USB.1 FIA_ATD.1 FIA_ATD.1 Copyright (C) , Canon Inc. All rights reserved. 34

38 SFR CC 規定の依存性 ST の依存性 FMT_MTD.1 FMT_SMR.1, FMT_SMF.1 FMT_SMR.1, FMT_SMF.1 FMT_SMF FMT_SMR.1 FIA_UID.1 FIA_UID.1 FPT_ITT なお, TOE セキュリティ保証要件の依存性は, 保証パッケージ EAL2 を過不足なく選択しているため, 満たされている. したがって, TOE セキュリティ要件は, 後述する例外を除き, 必要な依存性を満たしている. 依存性を満たしていない根拠を以下に記述する. FCS_COP.1a は, いかなる依存性も満たしていない. 本 TOE では, 耐タンパな特性を有する OS カードおよび EOS デジタルカメラにあらかじめ保持している鍵を用いるため鍵の生成 / 入力に関する要件 (FDP_ITC.1/FDP_ITC.2/FCS_CKM.1) は不要である. OS カードおよび EOS デジタルカメラは耐タンパな特性を有するため暗号鍵を不正に読み出すという脅威は想定しない. そのため鍵の破棄に関する要件 (FCS_CKM.4) は不要である. さらに, 本 TOE では, 鍵に関するセキュリティ属性を持たない. よって, セキュリティ属性に関する要件 (FMT_MSA.2) は不要である. したがって, 本 ST において, FCS_COP.1a の依存性は必要ない. FCS_CKM.1b, FCS_CKM.4b, FCS_COP.1b, FCS_CKM.1c, FCS_CKM.4c およびは FCS_COP.1c は, FMT_MSA.2 への依存性を満たしていない. 本 TOE では, 鍵に関するセキュリティ属性を持たない. したがって, 本 ST において, FMT_MSA.2 への依存性は必要ない. FCS_COP.1d は, FCS_CKM.4 および FMT_MSA.2 への依存性を満たしていない. OS カードおよび EOS デジタルカメラは耐タンパな特性を有するため暗号鍵を不正に読み出すという脅威は想定しない. そのため鍵の破棄に関する要件 (FCS_CKM.4) は不要である. さらに, 本 TOE では, 鍵に関するセキュリティ属性を持たない. よって, セキュリティ属性に関する要件 (FMT_MSA.2) は不要である. したがって, 本 ST において, FCS_CKM.4 および FMT_MSA.2 への依存性は必要ない. FDP_ACF.1 および FDP_ITC.1 は, FMT_MSA.3 への依存性を満たしていない. 本 TOE は, アクセス制御におけるオブジェクトに関するセキュリティ属性を持たない. よって, オブジェクトのセキュリティ属性に関する要件 (FMT_MSA.3) は不要である. したがって, 本 ST において, FMT_MSA.3 への依存性は必要ない. Copyright (C) , Canon Inc. All rights reserved. 35

39 6.3.3 TOE 保証要件の妥当性本 TOE は, 商用または個人で利用されることを想定している. また, 本 TOE は, 画像ファイルのオリジナル性または機密性を対象としており, 経済的価値のある情報を直接取り扱わない. 上記の背景から, 本 TOE は, 3 章に示したように, 高度な専門知識を持たない低レベルな攻撃者を想定している. 当該低レベルな攻撃者の想定と, コスト的または時間的な投資の観点から EAL2 が妥当である. Copyright (C) , Canon Inc. All rights reserved. 36

40 7 TOE summary specification 本章では, TOE をセキュリティ機能に分類し, 分類したセキュリティ機能ごとに記述する. 7.1 画像ファイルの検証機能 本 TOE は, 検証データを生成する機能, および検証データに基づき画像ファイルのオリジナル性を検証する機能を有する. 検証データを生成する機能 は, FIPS PUB 198 に準拠し, 128 ビット以上の固定値の鍵長 を用いて The Keyed-Hash Message Authentication Code で構成される. なお, 検証データに基づき画像ファイルのオリジナル性を検証する機能 も 検証データを生成する機能 と同様に検証データを生成し, 生成した検証データと画像ファイルに付加された検証データを比較することで検証を行う. (FCS_COP.1a に対応 ) なお, 画像ファイルのオリジナル性は管理者や閲覧者とは独立の事象であるため, 管理者や閲覧者の識別認証を実施しなくても, 本機能を利用することができる. (FIA_UAU.1 および FIA_UID.1 に対応 ) 7.2 画像ファイルの暗号化機能 本 TOE は, 画像ファイルの暗号化機能を有する. 画像ファイルの暗号化機能は, 主に図 1-3 で示した 画像暗号化 / 復号 および 画像鍵暗号化 / 復号 で構成される. 画像暗号化 / 復号 はさらに以下の要素で構成される. FIPS PUB 197 に準拠した 128 ビットの鍵長 の AES 暗号化/ 復号機能 (FCS_COP.1b に対応 ). FIPS PUB に準拠した PRNG based on SHA-1 for general purpose in FIPS (+ change notice 1) Appendix 3.1 による鍵生成機能 (FCS_CKM.1b に対応 ). ゼロ化による鍵破棄機能 (FCS_CKM.4b に対応 ). また, 画像鍵暗号化/ 復号 は以下の要素で構成される. NIST SP に準拠した 168 ビットの鍵長 の Triple DES 暗号化/ 復号機能 (FCS_COP.1c に対応 ). ANSI X9.31 に準拠した PRNG based on ANSI X9.31 による鍵生成機能 (FCS_CKM.1c に対応 ). ゼロ化による鍵破棄機能 (FCS_CKM.4c に対応 ). Copyright (C) , Canon Inc. All rights reserved. 37

41 7.3 識別認証機能 本 TOE は, OS カードが利用者を識別認証する機能を有する. 識別情報と PIN により管理者, または閲覧者を識別認証する. なお, 本 TOE は, 利用者の識別認証なしに, 以下の処理を行うことができる. (FIA_ATD.1, FIA_UAU.1, FIA_UID.1 および FIA_USB.1 に対応 ) OS カードの OSCID を得る. OS カードのバージョン情報を得る. 画像ファイルの検証データを生成する. 検証データに基づいて画像ファイルを検証する. 識別認証機能は, 管理者または個々の閲覧者の認証において 3 回認証に失敗した場合, 次の認証試行において 5 秒の待ち 後に認証結果を返す. 識別認証に成功した場合, 識別認証機能は利用者のサブジェクトへのバインドおよび利用者属性を定義する. また, 識別認証に成功した場合, 対応する利用者の認証失敗回数をクリアする. (FIA_AFL.1 に対応 ) 7.4 PIN 長検査機能 本 TOE は, PIN の登録に関して, 8 文字以上 15 文字以下であることを満たしているかを検証する. (FIA_SOS.1 に対応 ) 7.5 確認接続機能 本 TOE である EOS デジタルカメラは, OS カードを確認し, 接続する. また, TOE である OS カードは, 所定の EOS デジタルカメラであることを確認し, 接続する. それぞれがお互いに確認し, 接続した後, OS カードに保持しているカード鍵を, 機密性を維持した状態で EOS デジタルカメラへ転送する機能を有する (FPT_ITT.1 に対応 ). 7.6 アクセス制御機能 本 TOE は, OS カードが利用者のアクセスを制御する機能を有する. アクセス制御機能は, 画像ファイル (I), OS カードデータ (C) および OS カードデータの暗号化鍵のシード情報 (S) に対して, 以下のアクセスルールを適応する (FDP_ACC.1, FDP_ACF.1, FDP_ETC.1 および FDP_ITC.1 に対応 ). Copyright (C) , Canon Inc. All rights reserved. 38

42 表 7-1 EOS Digital Camera System Access Control List 1 Object Condition Subject Sec. Attributes I App process Viewer ID If Viewer ID is enrolled. Dec App process Administrator ID If Administrator ID is enrolled. Dec 表 7-2 EOS Digital Camera System Access Control List 2 Object Condition Subject Sec. Attributes C App process Administrator ID If Administrator ID is enrolled. Exp/Imp 表 7-3 EOS Digital Camera System Access Control List 3 Object Condition Subject Sec. Attributes S App process Administrator ID If Administrator ID is enrolled. Imp 以下に表中の記号の意味を示す. Dec : 復号. Exp : エクスポート. Imp : インポート. なお, アプリケーションプロセスは, OS カードを有する場合には常に, 検証データに基づいて画像ファイルを検証することができる. また, 如何なるセキュリティ属性を有する場合も, アプリケーションプロセスは, 画像ファイルの暗号化, および画像ファイルの検証データの生成を行うことはできない (FDP_ACF.1 に対応 ). OS カードデータの暗号化 / 復号 は, NIST SP に準拠し, 168 ビットの鍵長 を用いて Triple DES (FCS_COP.1d に対応 ) で構成される. なお, 当該暗号化鍵は, 外部から入力された情報をシードとして生成される (FDP_ITC.1 に対応 ). 7.7 管理機能 管理者は, 管理機能として以下の操作を実行することができる. (FMT_MTD.1, Copyright (C) , Canon Inc. All rights reserved. 39

43 FMT_SMF.1 および FMT_SMR.1 に対応 ). 閲覧者の ID および PIN をセットで追加, および消去すること. 管理者 PIN および閲覧者 PIN を変更すること. 管理者 ID および PIN, カード鍵を初期設定すること. 管理者 ID および PIN, 閲覧者 ID および PIN, カード鍵をセットで初期化すること. OS カードが EOS デジタルカメラを特定可能とするために, EOS デジタルカメラ ID を追加, 消去, 変更, および初期化すること. Copyright (C) , Canon Inc. All rights reserved. 40

44 8 Reference, and Glossary/Abbreviation 8.1 Reference 本節では本 ST を作成するにあたり参考にした資料を示す. [CC] Common Criteria for Information Technology Security Evaluation Part 1: Introduction and general model, September 2006, Ver.3.1 Revision 1, CCMB Common Criteria for Information Technology Security Evaluation Part 2: Security functional components, September 2006, Ver.3.1 Revision 1, CCMB Common Criteria for Information Technology Security Evaluation Part 3: Security assurance components, September 2006, Ver.3.1 Revision 1, CCMB [CEM] Common Methodology for Information Technology Security Evaluation Evaluation methodology, September 2006, Ver.3.1 Revision 1, CCMB Glossary/Abbreviation 本節では本 ST で使用した略語および用語を示す. AES (Advanced Encryption Standard) : AES と呼ばれる暗号アルゴリズム ANSI (American National Standard Institute) : 米国規格協会 CF (Compact Flash) : コンパクトフラッシュと呼ばれるメモリカードの一種 DES (Data Encryption Standard) : DES と呼ばれる暗号アルゴリズム FIPS (The Federal Information Processing Standards) : 商務省連邦情報処理規格 MAC (Message Authentication Code) : メッセージ認証コード NIST (National Institute of Standards and Technology) : 米国商務省標準技術局 OS Card (Original Data Security Card) : スマートカード機能を有するメモリカード PIN (Personal Identification Number) : 暗証番号 PRNG (Pseudo-Random Number Generator) : 擬似乱数生成 SD (Secure Digital) : エスディーと呼ばれるメモリカードの一種 SHA (Secure Hash Algorithm) : SHA と呼ばれるハッシュ関数 USB (Universal Serial Bus) : 周辺機器と PC を接続するインタフェース規格の一つ Copyright (C) , Canon Inc. All rights reserved. 41