WWW.DISSERTATION.XLIBX.INFO
FREE ELECTRONIC LIBRARY - Dissertations, online materials
 
<< HOME
CONTACTS



Pages:   || 2 | 3 |

«REF: 2009-30-INF-515 v1 Creado: CERT2 Difusión: Expediente Revisado: TECNICO Fecha: 18.08.2010 Aprobado: JEFEAREA INFORME DE CERTIFICACIÓN ...»

-- [ Page 1 ] --

MINISTERIO DE DEFENSA

CENTRO NACIONAL DE INTELIGENCIA

CENTRO CRIPTOLÓGICO NACIONAL

ORGANISMO DE CERTIFICACIÓN

REF: 2009-30-INF-515 v1 Creado: CERT2

Difusión: Expediente Revisado: TECNICO Fecha: 18.08.2010 Aprobado: JEFEAREA

INFORME DE CERTIFICACIÓN

Expediente: 2009-30 Datos del solicitante: EIN 26-3272415 - Authenware Corp.

Referencias:

EXT-942 Solicitud de Certificación Authentest v2.2.1.

EXT-995 AUT-ETR, Informe Técnico de Evaluación Authentest Server, 24-05-2010, Versión 2.0, EPOCHE & ESPRI.

CCRA Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security, mayo 2000.

SOGIS European Mutual Recognition Agreement of IT Security Evaluation Certificates version 3.0, Jan 2010.

Informe de certificación del producto Authentest Server v1.2.6, según la solicitud de referencia [EXT-942], de fecha 09/12/2009, y evaluado por el laboratorio EPOCHE & ESPRI, conforme se detalla en el correspondiente informe de evaluación indicado en [EXT-995] de acuerdo a [CCRA] y [SOGIS], recibido el pasado 24/05/2010.

Página 1 de 18 Avenida del Padre Huidobro s/n Fax: + 34 91 372 58 08 Email: organismo.certificacion@cni.es

MINISTERIO DE DEFENSA

CENTRO NACIONAL DE INTELIGENCIA

CENTRO CRIPTOLÓGICO NACIONAL

ORGANISMO DE CERTIFICACIÓN

INDICE

RESUMEN

RESUMEN DEL TOE

REQUISITOS DE GARANTÍA DE SEGURIDAD

REQUISITOS FUNCIONALES DE SEGURIDAD

IDENTIFICACIÓN

POLÍTICA DE SEGURIDAD

HIPÓTESIS Y ENTORNO DE USO

ACLARACIONES SOBRE AMENAZAS NO CUBIERTAS

FUNCIONALIDAD DEL ENTORNO

ARQUITECTURA

DOCUMENTOS

PRUEBAS DEL PRODUCTO

CONFIGURACIÓN EVALUADA

RESULTADOS DE LA EVALUACIÓN

RECOMENDACIONES Y COMENTARIOS DE LOS EVALUADORES

RECOMENDACIONES DEL CERTIFICADOR

GLOSARIO DE TÉRMINOS

BIBLIOGRAFÍA

DECLARACIÓN DE SEGURIDAD

–  –  –

Resumen Este documento constituye el Informe de Certificación para el expediente de la certificación del producto Authentest Server v1.2.6.

El TOE certificado es un conjunto de funcionalidades y subsistemas que provee el producto Authentest para proteger al servicio de verificación biométrica de ataques que impidan su normalfuncionamiento.

En general el producto Authentest provee un servicio de verificación de identidad mediante biometría comportamental basada en el ritmo de tecleo de los usuarios que operan a través de aplicaciones externas al TOE. Si bien su principal aplicación es la autenticación mediante nombre de usuario y contraseña, Authentest está preparado para trabajar con cualquier dato o campo que se desee validar biométricamente. Por ejemplo, frases de paso, el nombre de usuario, etc.

Fabricante: Authenware Corp.

Patrocinador: Authenware Corp.

Organismo de Certificación: Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI).

Laboratorio de Evaluación: EPOCHE & ESPRI.

Perfil de Protección: ninguno.

Nivel de Evaluación: EAL2+ ALC_FLR.1 Fecha de término de la evaluación: 24-05-2010.

Todos los componentes de garantía requeridos por el nivel de evaluación EAL2+ (aumentado con ALC_FLR.1) presentan el veredicto de “PASA”. Por consiguiente, el laboratorio EPOCHE & ESPRI asigna el VEREDICTO de “PASA” a toda la evaluación por satisfacer todas las acciones del evaluador a nivel EAL2, definidas por los Criterios Comunes v3.1 [CC-P3] y la Metodología de Evaluación v3.1 [CEM].

A la vista de las pruebas obtenidas durante la instrucción de la solicitud de certificación del producto Authentest Server v1.2.6, se propone la resolución estimatoria de la misma.

–  –  –

Resumen del TOE El TOE es un conjunto de funcionalidades y subsistemas que provee Authentest para proteger al servicio de verificación biométrica de ataques que impidan su normal funcionamiento.

Las funcionalidades del TOE incluyen:

· la capacidad de repeler los ataques de denegación de servicio y de repetición ilegítima de ingresos ya recibidos (ataques de repetición o replay attacks) · la capacidad de controlar el acceso al servicio web de verificación biométrica desde software externo que se conecte con el certificado digital adecuado.

· la capacidad de importar los certificados digitales que serán tomados como válidos en el momento de acceso.

· la capacidad de cifrar los patrones biométricos mediante la utilización del algoritmo AES con el fin de preservar su confidencialidad.

· la capacidad de generar registros de auditoría sobre las operaciones críticas del producto.

· la capacidad de consultar los registros de auditoría para su adecuado análisis.

· la capacidad de almacenar afuera del TOE tanto la base de datos de patrones biométricos de comportamiento e ingreso como los registros de auditoría, permitiendo así al cliente aplicar su infraestructura y políticas de seguridad y auditoría vigentes.





Requisitos de garantía de seguridad El producto se evaluó con todas las evidencias necesarias para la satisfacción del nivel de evaluación EAL2, más las requeridas para el componente adicional ALC_FLR.1, según la parte 3 de CC v3.1 r3.

Requisitos funcionales de seguridad

–  –  –

La funcionalidad de seguridad del producto se limita a satisfacer los requisitos

funcionales, según la parte 2 de CC v3.1 r3, siguientes:

• FAU_GEN.1 AUDIT DATA GENERATION

• FAU_SAR.1_WEB-SERVICES AUDIT REVIEW

• FAU_SAR.1_ADMIN AUDIT REVIEW

• FAU_SAR.1_SSH AUDIT REVIEW

• FAU_SAR.3 SELECTABLE AUDIT REVIEW

• FDP_ACC.2_WEB-SERVICES COMPLETE ACCESS CONTROL

• FDP_ACC.2_PORTAL_ADMINISTRACION COMPLETE ACCESS CONTROL

• FDP_ACF.1_WEB-SERVICES SECURITY ATTRIBUTE BASED ACCESS

CONTROL

• FDP_ACF.1_PORTAL_ADMINISTRACION SECURITY ATTRIBUTE BASED

ACCESS CONTROL

• FMT_MSA.1_PORTAL_ADMINISTRACION MANAGEMENT OF SECURITY

ATTRIBUTES

• FMT_MSA.1_WEB-SERVICES MANAGEMENT OF SECURITY ATTRIBUTES

• FMT_MSA.3_PORTAL_ADMINISTRACION STATIC ATTRIBUTE

INITIALIZATION

• FMT_MSA.3_WEB-SERVICES STATIC ATTRIBUTE INITIALIZATION

• FMT_SMR.1 SECURITY ROLES

• FMT_SMF.1 SPECIFICATION OF MANAGEMENT FUNCTIONS

• FIA_UAU.2_ WEB-SERVICES USER AUTHENTICATION BEFORE ANY ACTION

• FIA_UAU.1_PORTAL_ADMINISTRACION TIMING OF AUTHENTICATION

• FIA_UID.2_WEB-SERVICES USER IDENTIFICATION BEFORE ANY ACTION

• FIA_UID.1_PORTAL_ADMINISTRACION TIMING OF IDENTIFICATION

• FPT_ITC.1 INTER-TSF CONFIDENTIALITY DURING TRANSMISSION

• FTP_ITC.1 INTER-TSF TRUSTED CHANNEL

• FPT_RPL.1 REPLAY DETECTION

• FCS_CKM.1 CRYPTOGRAPHIC KEY GENERATION

• FDP_ITC.1_IMPORTACION_CERTIFICADOS IMPORT OF USER DATA

WITHOUT SECURITY ATTRIBUTES

• FDP_ITC.1 CIFRADO_PATRONES_BIOMETRICOS IMPORT OF USER

DATA WITHOUT SECURITY ATTRIBUTES

• FCS_COP.1_AES _CIFRADO_SISTEMA_FICHEROS CRYPTOGRAPHIC OPERATION

• FCS_COP.1_AES _CIFRADO_PATRONES_BIOMETRICOS

CRYPTOGRAPHIC OPERATION

• FCS_COP.1_RSA CRYPTOGRAPHIC OPERATION

–  –  –

• FPT_TST.1 TSF TESTING

• FTA_TAB.1_PORTAL_ADMINISTRACION DEFAULT TOE ACCESS BANNERS

• FRU_RSA.1 MAXIMUM QUOTAS Identificación Producto: Authentest Server v1.2.6.

Declaración de Seguridad: A_clt_01_v06_Declaración de seguridad, numero de versión 06, 10/05/2010.

Perfil de Protección: ninguno.

Nivel de Evaluación: CC v3.1 r3 EAL2+ (ALC_FLR.1).

Política de seguridad El uso del producto Authentest Server v1.2.6, debe implementar una serie de políticas organizativas, que aseguran el cumplimiento de diferentes estándares y exigencias de seguridad.

El detalle de las políticas como dispositivo de firma se encuentra en la declaración de seguridad. En síntesis, se establece la necesidad de implementar políticas

organizativas relativas a:

P1. El entorno de uso del TOE garantizara la existencia de los siguientes roles y

capacidades:

Administrador de consola: puede realizar la activación del producto y su configuración básica.

Usuario Authentest: puede realizar la configuración de los parámetros del entorno de red, arrancar o detener el servicio JBoss, configurar el URL del web-service, configurar la distribución de teclado del sistema operativo del TOE, cambiar su propia password, cambiar las reglas de firewall y administrar los certificados digitales utilizados por el web-service.

–  –  –

Aplicación web-service remota: invoca la funcionalidad de autenticación basada en el comportamiento humano a través de los métodos del servicio web ofrecidos por el TOE así como el resto de los métodos que permiten la gestión de los usuarios de las aplicaciones remotas y sus respectivos patrones biométricos. Puede ser cualquier entidad externa, como un servidor de aplicaciones o un proxy, que en todo caso se autentica por certificado e invoca los servicios web.

Roles para el portal web:

Administrador de grupo: cuenta con los privilegios necesarios para administrar usuarios y aplicaciones que pertenezcan al grupo de aplicaciones que administra.

Administrador de portal: este usuario es el que cuenta con los privilegios para crear grupos de aplicaciones, usuarios administradores de grupo, otros usuarios administradores de portal, lectura de toda la actividad, ver registros de auditoría del portal, cambiar el nivel de seguridad de Authentest Server, aplicaciones y usuarios, y activar o desactivar el modo de funcionamiento silencioso.

P2. El TOE generará trazas de auditoría de actividad del servicio de autenticación y relativas a la funcionalidad del TOE, para la integración en los sistemas de gestión del usuario con el TOE.

P3. El TOE identificará su versión y la condición de producto certificado en la consola y página principal del portal web, así como advertirá de las responsabilidades sobre el uso del producto utilizado o configurado de manera insegura.

Hipótesis y entorno de uso Las siguientes hipótesis restringen las condiciones sobre las cuales se garantizan las propiedades y funcionalidades de seguridad indicadas en la declaración de seguridad. Estas mismas hipótesis se han aplicado durante la evaluación en la determinación de la condición de explotables de las vulnerabilidades identificadas.

Para garantizar el uso seguro del TOE, se parte de las siguientes hipótesis para su entorno de operación. En caso de que no pudieran asumirse, no sería posible garantizar el funcionamiento seguro del TOE.

H1. Como todos los métodos biométrico comportamentales (Por ej.: reconocimiento de la voz o la firma) la fiabilidad del algoritmo, en lo que a falsos negativos o

–  –  –

rechazos erróneos se refiere, depende fuertemente de la colaboración del usuario de la aplicación remota, que deberá seguir las siguientes recomendaciones equivalentes a cuando se va a firmar un cheque y se quiere evitar el rechazo del

banco por no reconocer la firma como legitima:

Tipear naturalmente, evitando forzar una velocidad mayor o menor a la habitual durante el entrenamiento del patrón biométrico y en los sucesivos ingresos.

En el momento de ingresar los datos observados biométricamente evitar realizar otra actividad que pueda alterar la naturalidad del ritmo habitual (hablar por teléfono, tipear con una sola mano, etc.) Utilizar palabras que resulten naturales y reconocidas que impliquen un tipeo natural.

En caso de utilizar números tener presente que el patrón biométrico de tipeo varía si se utiliza una vez el teclado numérico y otra vez los números arriba de las letras.

Siempre que sea posible, utilizar la misma máquina y entorno. Mismo teclado, sistema operativo, navegador (en caso de aplicaciones Web), etc.

H2. La generación y distribución de los certificados y claves para el servidor de aplicaciones se realiza mediante una tercera entidad externa de confianza, con el nivel de seguridad acorde a cada instalación en particular.

H3. Los servidores de aplicación remotos que consumen los servicios de Authentest son responsables de garantizar la confidencialidad e integridad de los certificados con los que se realiza la autenticación.

H4. La fiabilidad en el uso e integración de los servicios de Authentest en los servidores de aplicaciones remotos dependen de la seguridad y buenas prácticas de dichas entidades externas. Por lo anterior se considera como confiables a los servidores de aplicación remotos.

H5. El acceso físico al servidor está restringido a los administradores de Authentest, usuario administrador de consola y usuario Authentest, que son considerados como usuarios confiables en todas sus operaciones. Así también los usuarios administradores de Authentest, usuario administrador del portal y usuario administrador de grupo, que ingresan a través del portal de administración, son considerados como usuarios confiables en todas sus operaciones.

–  –  –

H6. La fiabilidad en el uso de Authentest depende de la seguridad y buenas prácticas implementadas en el sistema de gestión de bases de datos externo, en donde se almacenan los patrones de comportamiento biométrico. Por lo anterior se considera que dicho sistema es configurado.



Pages:   || 2 | 3 |


Similar works:

«ADAR’s Coffee Washing Station Financial Model Training Manual Andrew Farnum ADAR Project Kigali, Rwanda November 27, 2002 INTRODUCTION 3 WHY USE AN EXCEL FINANCIAL MODEL? 3 STRUCTURE OF THIS MANUAL 4 ENTERING DATA 6 MAIN INPUTS 7 INVESTMENT COSTS 9 OPERATING INPUTS 10 CHERRY AND GREEN COFFEE PRICES 13 SOURCES AND USES 15 FINANCIAL PROJECTIONS AND ANALYSIS 17 OPERATING COST SUMMARY 17 INCOME STATEMENT 18 BALANCE SHEET 19 CASH FLOW 20 DEBT 21 WORKING CAPITAL 23 DEPRECIATION 24 DISCOUNTED CASH...»

«Nummer 1 _ Online-Materialien aus dem Asienhaus „From the Thames to the Ciliwung“ RWE Thames Water in Jakarta Andreas Harsono Asienhaus Die Meinungen, die in den vom Asienhaus herausgegebenen Veröffentlichungen geäußert werden, geben ausschließlich die Auffassung der Autoren wieder. © August 2004, Asienstiftung, Essen Abdruck und sonstige publizistische Nutzung sind erwünscht. Sie sind jedoch nur unter Angabe des Verfassers und der Quelle gestattet. Asienstiftung für das Asienhaus...»

«PSALM 89 AND THE ANCIENT NEAR EAST by D. Wayne Knife Submitted in partial fulfillment of the requirements for the degree of Doctor of Theology in Grace Theological Seminary May 1973 Digitized by Ted Hildebrandt, Gordon College, MA April, 2007 Accepted by the Faculty of the Grace Theological Seminary in partial fulfillment of the requirements for the degree Doctor of Theology Grade A Examining Committee John J. Davis S. Herbert Bess James L. Boyer PREFACE For many years the study of the Psalms...»

«Pikachu’s Global Adventure Joseph Tobin In the last years of the last millennium, a new consumer phenomenon developed in Japan and swept across the globe. Pokémon, which began life as a piece of software to be played on Nintendo’s Game Boy (a hand-held gaming computer), quickly diversified into a comic book, a television show, a movie, trading cards, stickers, small toys, and ancillary products such as backpacks and T-shirts. Entering into production and licensing agreements with Japanese...»

«Universität der Bundeswehr München Fakultät für Luftund Raumfahrttechnik Institut für Industrielle Informationsprozesse PRODUCT DEVELOPMENT AS DYNAMIC CAPABILITY Dissertation von Markus Blum Ingolstadt, im Juli 2004 What matters is not predicting the future, but being prepared for the future. Perikles, ca. 500–429BC Table of Contents 1 INTRODUCTION 1.1 Motivation and Objectives 1.2 Research Question 1.3 Expected Results 1.4 Research Methodology 1.5 Contribution to Theory and Practice 1.6...»

«RESEARCHED, COMPILED, ANALYZED, PREPARED AND OWNED IN ITS ENTIRETY, SOLELY BY MYSELF: DR. J.D.BEDSOLE,ASME,BSBA,BSVE,MSEA,PhD,And ScD. NOT FOR SALE Copies Furnished To You By Me, Are Free Of Charge Please read the following copyright Note. © COPYRIGHT 1996,1997,1998,1999, 2000, 2001, 2002, 2003,2004,2005,2006, 2007, 2008, 2009, 2010, 2011, 2012 and 2013. JD Bedsole. All Rights Reserved. Copying this booklet is free for your own use, but copying it, or any part of it for sale, or incorporation...»

«Journal of Experiential Education • 2008, Volume 31, No. 2 pp. 111–135 Are Challenge (Ropes) Courses an Effective Tool? A Meta-Analysis H. Lee Gillis and Elizabeth Speelman This study reports the results of a meta-analysis of 44 studies that examined the impacts of participation in challenge (ropes) course activities. Overall, a medium standardized mean difference effect size was found (d = 0.43). Effect sizes were calculated for various study characteristics, including demographics and...»

«ERDC SR-10-2 Water Resources Infrastructure Literature Review – Vegetation on Levees Maureen K. Corcoran, Donald H. Gray, David S. Biedenharn, December 2010 Charlie D. Little, James R. Leech, Freddie Pinkard, Pamela Bailey, and Landris T. Lee Engineer Research and Development Center Approved for public release; distribution is unlimited. Water Resources Infrastructure ERDC SR-10-2 December 2010 Literature Review – Vegetation on Levees Maureen K. Corcoran and Landris T. Lee Geotechnical and...»

«2015 Annual Report RenaissanceRe Holdings Ltd. Contents Financial Highlights 1 Letter to Shareholders 2 Message from the Chair 6 Comments on Regulation G 7 Form 10-K 9 Office Locations Last Page Executive Committee Last Page Board of Directors, Inside Financial and Investor Information Back Cover Financial Highlights Financial Highlights for RenaissanceRe Holdings Ltd. and Subsidiaries 2015 2014 2013 (In thousands of United States dollars, except per share amounts and percentages) Gross...»

«Urban flood forecasting using high resolution radar data UNESCO-IHE Institute for Water Education Urban flood forecasting using high resolution radar Application to the urban drainage network of the city of Amersfoort in the Netherlands, using a web-based information system Master of Science Thesis By AKLILU DINKNEH TEKLESADIK Supervisors Dr.Z. Vojinovic (UNESCO-IHE) Dr.A.H. Lobbrecht (UNESCO-IHE) Ir.S. J. van Andel (UNESCO-IHE) Examination committee Chairman Prof.Dr. R.K. Price (UNESCO-IHE) Dr...»

«Caring for someone with dementia February 2013 An introduction This information has been designed to help you as a carer of someone with dementia. It has information about dementia, your caring role and gives you useful details about the local and national support and services that are there to support you and the person you care for. It has been organised into different sections based upon a range of subjects. It does not contain everything there is to know, but does contain the details of...»

«VISUAL SEMIOTICS: HOW STILL IMAGES MEAN? INTERPRETING STILL IMAGES BY USING SEMIOTIC APPROACHES ALEV FATOŞ PARSA aparsa@iletisim.ege.edu.tr Ege University (Turkey) Abstract Today people live in a visually intensive society and a world of spectacular and exciting images. They are bombarded with an orderly and continuously stream of visual stimulation from all manner of media every day. They see mediated images more often than they read words. Images sell everything. This paper offers an...»





 
<<  HOME   |    CONTACTS
2016 www.dissertation.xlibx.info - Dissertations, online materials

Materials of this site are available for review, all rights belong to their respective owners.
If you do not agree with the fact that your material is placed on this site, please, email us, we will within 1-2 business days delete him.