Évaluation EAL 2 du produit PGP Universal Server with Gateway

Rapport de certification
Évaluation EAL 2 du produit PGP Universal Server with
Gateway and Key Management v2.9 sur Fedora Core 6
Préparé par :
Le Centre de la sécurité des télécommunications Canada,
à titre d’organisme de certification dans le cadre
du Schéma canadien d’évaluation et de certification
selon les Critères communs
© Gouvernement du Canada, Centre de la sécurité des télécommunications Canada, 2008
N° du document :
Version :
Date :
Pagination :
383-4-94
1.0
21 novembre 2008
1 à 12
SCCC – Rapport de certification
PGP Corporation®
PGP Universal Server
AVERTISSEMENT
Le produit de TI (technologies de l’information) décrit dans le présent rapport et indiqué sur
le certificat afférent a été évalué selon la Méthodologie d’évaluation commune des produits
de sécurité des TI, version 3.1, révision 2, afin d’en évaluer la conformité aux Critères
communs pour l’évaluation de la sécurité des technologies de l’information, version 3.1,
révision 2, par un centre d’évaluation approuvé, établi dans le cadre du Schéma canadien
d’évaluation et de certification selon les Critères communs (SCCC). Ce rapport et le
certificat afférent valent uniquement pour la version et la diffusion du produit précisées dans
la configuration qui a été évaluée. L’évaluation a été effectuée conformément aux
dispositions du SCCC, et les conclusions formulées dans le rapport technique d’évaluation
correspondent aux éléments présentés en preuve. Le présent rapport et le certificat afférent
ne constituent pas une homologation du produit de TI par le Centre de la sécurité des
télécommunications Canada (CSTC) ou par toute autre organisation qui reconnaît ou entérine
ce rapport et le certificat afférent, et ne signifie pas, ni implicitement ni explicitement, que le
produit de TI est garanti par le CSTC ou par toute autre organisation qui reconnaît ou
entérine ce rapport et le certificat afférent.
Version 1.0
i
21 novembre 2008
SCCC – Rapport de certification
PGP Corporation®
PGP Universal Server
AVANT-PROPOS
Le Schéma canadien d’évaluation et de certification selon les Critères communs (SCCC)
offre un service d’évaluation par une tierce partie en vue de déterminer la fiabilité des
produits de sécurité des TI. Les évaluations sont réalisées par un centre d’évaluation selon
les Critères communs (CECC) sous la direction de l’organisme de certification du SCCC, ce
dernier étant géré par le Centre de la sécurité des télécommunications.
Un CECC est un laboratoire commercial qui a été approuvé par l’organisme de certification
du SCCC en vue d’effectuer des évaluations selon les Critères communs. Une des exigences
principales, à cette fin, est l’obtention de l’accréditation selon les prescriptions du
Guide ISO 17025, Prescriptions générales concernant la compétence des laboratoires
d’étalonnage et d’essais. L’accréditation est obtenue dans le cadre du Programme
d’accréditation des laboratoires Canada (PALCAN), régi par le Conseil canadien des normes.
Le CECC qui a effectué cette évaluation est DOMUS IT Security Laboratory situé à Ottawa,
en Ontario.
En décernant un certificat Critères communs, l’organisme de certification affirme que le
produit est conforme aux exigences de sécurité précisées dans la cible de sécurité connexe.
Une cible de sécurité est un document qui comporte des spécifications requises, définit les
activités d’évaluation et en établit la portée. L’utilisateur d’un produit de TI certifié devrait
examiner la cible de sécurité, en plus du rapport de certification, pour comprendre les
hypothèses formulées dans le cadre de l’évaluation, l’environnement d’utilisation prévu pour
le produit, ses exigences de sécurité et le niveau de fiabilité (qui correspond au niveau
d’assurance de l’évaluation) auquel le produit satisfait aux exigences de sécurité.
Le présent rapport de certification accompagne le certificat d’évaluation du produit daté du
21 novembre 2008, ainsi que la cible de sécurité indiquée à la section 4 du rapport.
Le rapport de certification, le certificat d’évaluation du produit et la cible de sécurité sont
publiés dans la liste des produits certifiés au Canada aux adresses suivantes : http://www.csecst.gc.ca/services/common-criteria/trusted-products-f.html et http://www.commoncriteria.es
Le présent rapport de certification fait référence aux marques de commerce et aux marques
de commerce déposées suivantes :
• PGP est une marque de commerce déposée et le logo PGP est une marque de commerce
de PGP Corporation.
• Dell et Poweredge sont des marques de commerce de Dell Inc.
• IBM, BladeCenter et System x sont des marques de commerce de International Business
Machines Corporation aux États-Unis et (ou) dans certains autres pays.
• HP et HP ProLiant sont des marques de commerce de Hewlett-Packard Company.
• Sun Fire est une marque de commerce, une marque de commerce déposée ou une marque
de service de Sun Microsystems, Inc. aux États-Unis et (ou) dans certains autres pays.
Version 1.0
ii
21 novembre 2008
SCCC – Rapport de certification
PGP Corporation®
PGP Universal Server
• VMware est une marque de commerce déposée ou une marque de commerce (les
« marques ») de VMware, Inc. aux États-Unis et (ou) ailleurs.
• Fedora est une marque de commerce de Red Hat, Inc.
• NEC est une marque de commerce et (ou) une marque de commerce déposée de NEC
Corporation aux États-Unis et (ou) dans certains autres pays.
Toute reproduction du présent rapport est autorisée pourvu qu’il soit reproduit dans sa
totalité.
Version 1.0
iii
21 novembre 2008
SCCC – Rapport de certification
PGP Corporation®
PGP Universal Server
TABLE DES MATIÈRES
AVERTISSEMENT....................................................................................................................... i
AVANT-PROPOS......................................................................................................................... ii
Sommaire ....................................................................................................................................... 1
1
Définition de la cible d’évaluation....................................................................................... 2
2
Description de la TOE .......................................................................................................... 2
3
Fonctionnalités de sécurité évaluées.................................................................................... 2
4
Cible de sécurité .................................................................................................................... 3
5
Conformité aux Critères communs ..................................................................................... 3
6
Politique de sécurité.............................................................................................................. 3
7
Hypothèses et clarification de la portée .............................................................................. 3
7.1
7.2
7.3
HYPOTHÈSES ET CLARIFICATION DE LA PORTÉE ......................................................... 4
HYPOTHÈSES LIÉES À L’ENVIRONNEMENT .................................................................. 4
CLARIFICATION DE LA PORTÉE ................................................................................... 4
8
Information sur l’architecture............................................................................................. 5
9
Configuration évaluée........................................................................................................... 5
10
Documentation ...................................................................................................................... 6
11
Activités d’analyse et d’évaluation...................................................................................... 6
12
Essais des produits STI......................................................................................................... 7
12.1
12.2
12.3
12.4
12.5
ÉVALUATION DES TESTS RÉALISÉS PAR LE DÉVELOPPEUR .......................................... 7
TESTS FONCTIONNELS INDÉPENDANTS ....................................................................... 7
TEST DE PÉNÉTRATION INDÉPENDANT ........................................................................ 8
EXÉCUTION DES TESTS ............................................................................................... 8
RÉSULTATS DES TESTS ............................................................................................... 8
13
Résultats de l’évaluation ...................................................................................................... 8
14
Commentaires, observations et recommandations de l’évaluateur ................................. 9
15
Acronymes, abréviations et sigles........................................................................................ 9
16
Références.............................................................................................................................. 9
Version 1.0
iv
21 novembre 2008
SCCC – Rapport de certification
Version 1.0
PGP Corporation®
PGP Universal Server
v
21 novembre 2008
SCCC – Rapport de certification
PGP Corporation®
PGP Universal Server
Sommaire
Le produit PGP Universal Server with Gateway and Key Management v2.9 sur Fedora Core 6
(désigné ci-après sous le nom de PGP Universal Server), de PGP Corporation®, est la cible
d’évaluation (TOE) de la présente évaluation EAL 2.
Le PGP Universal Server est une application logicielle propriétaire conçue pour agir comme serveur
mandataire de courriel. L’objet de l’application est d’offrir des services de chiffrement et de
signature pour les messages entrant dans un réseau local et sortant de ce dernier. Le PGP Universal
Server chiffre ou déchiffre les messages de manière transparente au moyen de la clé publique de
l’utilisateur. Si l’utilisateur ne possède pas de biclé PGP, le PGP Universal Server en génère une
automatiquement. Le PGP Universal Server gère une liste de clés publiques à l’intention des
utilisateurs internes et accorde à la fois aux utilisateurs internes et externes l’accès à une liste de clés
publiques pour les utilisateurs internes.
DOMUS IT Security Laboratory est le CECC qui a réalisé cette évaluation. L’évaluation a pris fin le
20 octobre 2008 et a été menée selon les règles prescrites par le Schéma canadien d’évaluation et de
certification selon les Critères communs (SCCC).
La portée de l'évaluation est définie dans la cible de sécurité, laquelle décrit les hypothèses formulées
dans le cadre de l'évaluation, l'environnement projeté du produit PGP Universal Server, les exigences
de sécurité des TI qu'il doit remplir et le niveau de fiabilité (niveau d’assurance de l’évaluation) pour
lequel il est affirmé que le produit satisfait aux exigences de sécurité des TI. On recommande aux
utilisateurs du produit de s’assurer que leur environnement d’exploitation est conforme à celui défini
dans la cible de sécurité, et de tenir compte des observations et des recommandations énoncées dans
le présent rapport de certification.
Les résultats documentés dans le rapport technique d’évaluation (RTE)1 du produit indiquent que
celui-ci répond aux exigences d’assurance EAL 2 pour les fonctionnalités de sécurité qui ont été
évaluées. Cette évaluation a été réalisée selon la Méthodologie commune pour la sécurité des
technologies de l’information, version 3.1, révision 2 (avec les interprétations finales applicables),
afin d’en déterminer la conformité aux Critères communs pour l’évaluation de la sécurité des
technologies de l’information, version 3.1, révision 2.
Le Centre de la sécurité des télécommunications Canada, à titre d'organisme de certification selon le
SCCC, affirme que l'évaluation du produit PGP Universal Server satisfait à toutes les conditions de
l'Arrangement relatif à la reconnaissance des certificats liés aux Critères communs et que le produit
figurera sur la liste des produits certifiés (LPC) dans le cadre du SCCC et sur le portail des Critères
communs (site Web officiel du programme des Critères communs).
1
Le rapport technique d’évaluation est un document interne du SCCC qui contient de l’information exclusive
au propriétaire et (ou) à l’évaluateur, et qui n’est pas rendu public.
Version 1.0
1
21 novembre 2008
SCCC – Rapport de certification
1
PGP Corporation®
PGP Universal Server
Définition de la cible d’évaluation
La cible d’évaluation (TOE) pour la présente évaluation EAL 2 est le produit PGP Universal
Server with Gateway and Key Management v2.9 sur Fedora Core 6 (ci-après appelé PGP
Universal Server), de PGP Corporation®.
2
Description de la TOE
Le PGP Universal Server est une application logicielle propriétaire conçue pour agir comme
serveur mandataire de courriel. L’objectif de l’application est d’offrir des services de
chiffrement et de signature pour les messages entrant dans un réseau local et sortant de ce
dernier. Le PGP Universal Server chiffre ou déchiffre les messages de manière transparente
au moyen de la clé publique de l’utilisateur. Si l’utilisateur ne possède pas de biclé PGP, le
PGP Universal Server en génère une automatiquement. Le PGP Universal Server gère une
liste de clés publiques à l’intention des utilisateurs internes et accorde à la fois aux
utilisateurs internes et externes l’accès à une liste de clés publiques pour les utilisateurs
internes.
3
Fonctionnalités de sécurité évaluées
La liste complète des fonctionnalités de sécurité évaluées pour le produit PGP Universal
Server figure à la section 6 de la cible de sécurité (ST).
Le module cryptographique ci-dessous a été évalué par rapport à la norme FIPS 140-2 :
Module cryptographique
PGP Software Developer's Kit (SDK) Cryptographic
Module v3.11.0
No de certificat
1049
Les responsables ont évalué la bonne mise en œuvre dans le produit PGP Universal Server
des algorithmes cryptographiques suivants, approuvés par le gouvernement du Canada :
Algorithme cryptographique
Triple-DES (3DES)
Advanced Encryption Standard (AES)
Rivest Shamir Adleman (RSA)
Secure Hash Algorithm (SHA-1)
Keyed-Hash Message Authentication
Code (HMAC)
Digital Signature Algorithm (DSA)
ANSI x9.31 RNG
Version 1.0
Norme
FIPS 46-3
FIPS 197
ANSI x9.31
FIPS 180-2
FIPS 198
No de certificat
471
453
172
516
216
FIPS 186-2
ANSI x9.31
183
238
2
21 novembre 2008
SCCC – Rapport de certification
4
PGP Corporation®
PGP Universal Server
Cible de sécurité
La cible de sécurité (ST) associée au présent rapport de certification (RC) est définie comme
suit :
Cible de sécurité de PGP Corporation® Universal Server with Gateway and Key
Management v2.9 sur Fedora Core 6
Version : 0.6
Date :
20 octobre 2008
Titre:
5
Conformité aux Critères communs
Cette évaluation a été réalisée selon la Méthodologie commune pour la sécurité des
technologies de l’information, version 3.1, révision 2 (avec les interprétations finales
applicables), afin d’en déterminer la conformité aux Critères communs pour l’évaluation de
la sécurité des technologies de l’information, version 3.1, révision 2.
Le produit PGP Universal Server est :
a. conforme à la partie 2 des Critères communs, avec les exigences de sécurité
fonctionnelles basées uniquement sur les composants fonctionnels de la partie 2;
b. conforme à la partie 3 des Critères communs, avec les exigences de sécurité d’assurance
basées uniquement sur les composants d’assurance de la partie 3; et
c. conforme au niveau EAL 2 des Critères communs, contenant toutes les exigences de
sécurité d'assurance du niveau EAL 2.
6
Politique de sécurité
Le produit PGP Universal Server applique une politique de contrôle d’accès axée sur les
rôles pour contrôler l’accès des utilisateurs au système, ainsi qu'une politique de contrôle de
flux d'information pour contrôler les données qui entrent dans le système; vous trouverez des
détails sur ces politiques de sécurité à la section 6 de la ST.
En plus, le produit applique des politiques d'audit de sécurité, de soutien cryptographique, de
protection des données de l'utilisateur, d'identification et d'authentification, de gestion de la
sécurité, de protection de la TSF et d’accès à la TOE. Vous trouverez davantage de détails
sur les politiques de sécurité à la section 6 de la ST.
7
Hypothèses et clarification de la portée
Les utilisateurs du produit PGP Universal Server devraient tenir compte des hypothèses
formulées au sujet de son utilisation et des paramètres environnementaux requis pour
l’installation du produit et son environnement opérationnel. Cela permettra d’utiliser le
produit de manière adéquate et sûre.
Version 1.0
3
21 novembre 2008
SCCC – Rapport de certification
7.1
PGP Corporation®
PGP Universal Server
Hypothèses et clarification de la portée
Les hypothèses sur l'utilisation sûre ci-dessous figurent dans la ST :
• La TOE est installée et configurée dans le matériel approprié, conformément aux guides
d’installation pertinents.
• Un ou plusieurs administrateurs sont assignés à la gestion de la TOE et de l'information
de sécurité qu'elle contient.
• Les utilisateurs qui gèrent la TOE ne sont pas hostiles, ont reçu la formation appropriée et
respectent toutes les instructions.
• La TOE et le matériel dans lequel elle fonctionne sont accessibles physiquement aux
seuls administrateurs autorisés.
7.2
Hypothèses liées à l’environnement
Les hypothèses liées à l’environnement ci-dessous figurent dans la ST :
• L’environnement de la TOE fournit la connectivité de réseau nécessaire pour permettre à
la TOE d’offrir les fonctions de serveur mandataire de courriel sécurisé.
• Tous les ports requis pour assurer le bon fonctionnement de la TOE sont ouverts au
niveau du coupe-feu.
• L’information de DNS reçue par la TOE est fiable.
• Les courriels ne peuvent circuler entre les réseaux internes et externes sans transiter par la
TOE.
• La TOE doit être protégée contre toute interférence et tout trafiquage externes.
7.3
Clarification de la portée
Le produit PGP Universal Server a été conçu pour une utilisation dans un environnement
d’entreprise structuré, où il est normalement interdit d’installer des programmes dans les
machines ou de modifier les paramètres de système. Les administrateurs définissent les
politiques qui contrôlent ce que l’on permet ou interdit aux utilisateurs.
La protection contre les attaques, tels les détournements de session2 n’est pas incluse dans
l’utilisation prévue du produit et doit être assurée par d’autres mécanismes de sécurité tels les
coupe-feu et les systèmes de détection d'intrusion.
2
Le détournement de session désigne l’exploitation d’une session d’ordinateur valide.
Version 1.0
4
21 novembre 2008
SCCC – Rapport de certification
8
PGP Corporation®
PGP Universal Server
Information sur l’architecture
Le produit PGP Universal Server est une application logicielle propriétaire conçue pour agir
comme serveur mandataire de courriel et passerelle de chiffrement. Il inclut les soussystèmes suivants :
•
•
•
•
•
•
Proxy Subsystem : applique au trafic de courrier électronique un ensemble de règles
mandataires créées par l’administrateur et traite les demandes de clés d’utilisateur;
Database, Preferences and Translation Subsystem : gère les données du produit;
Web Subsystem : fournit les interfaces Web utilisées pour gérer le produit;
Authentication and Ignition Subsystem : authentifie les utilisateurs et exécute le
processus de démarrage lorsque le produit est configuré pour fonctionner avec une clé
de contact;
Audit and Operating System Subsystem : transmet les demandes entre le produit et
le système d’exploitation Fedora sous-jacent; et
Cryptography Subsystem : exécute les opérations cryptographiques du produit.
Les détails de l’architecture de système sont exclusifs au développeur et ne sont pas inclus
dans le présent rapport.
9
Configuration évaluée
La configuration évaluée comprend le produit PGP Universal Server with Gateway and Key
Management v2.9 sur Fedora Core 6 installé sur les plateformes matérielles suivantes :
• Dell PowerEdge740
• Dell PowerEdge 860
• Dell PowerEdge 1950
• Dell PowerEdge 2950
• IBM System x346
• IBM System x3650
• IBM BladeCenter HS20 Type 7981
• Sunfire 4100
• HP Proliant BL25P
• NEC Express5800 120Ri-2
• VMWare ESX + VMtools 3.0.1
• HP Proliant DL 385 G2 avec P400 RAID
• HP Proliant DL385 avec P600 RAID
• HP Proliant DL385 avec P800 RAID
Version 1.0
5
21 novembre 2008
SCCC – Rapport de certification
PGP Corporation®
PGP Universal Server
10 Documentation
Les documents que le produit PGP Universal Server fournit à l’utilisateur sont les suivants :
a. PGP Universal Server 2.9 Common Criteria Supplemental v1.2;
b. PGP Universal Server Administrator's Guide. PGP Universal Server, version 2.9.0.
Publié en juillet 2008; et
c. PGP Universal Server Upgrade Guide. PGP Universal Server, version 2.9.0. Publié en
juillet 2008.
11 Activités d’analyse et d’évaluation
Les activités d'analyse et d'évaluation ont consisté en une évaluation structurée du produit
PGP Universal Server, notamment des éléments suivants :
Développement : Les évaluateurs ont analysé les spécifications fonctionnelles et la
documentation de conception du produit et ont déterminé qu'ils instancient complètement et
exactement les exigences fonctionnelles de sécurité. Ils ont analysé la description de
l’architecture de sécurité et déterminé que le processus d’initialisation est sécurisé, que les
fonctions de sécurité sont protégées contre le trafiquage et les contournements et que les
domaines de sécurité sont protégés.
Guides : Les évaluateurs ont examiné les guides d’utilisation préparatoires et opérationnels
du produit et ont déterminé qu’ils décrivent suffisamment en détail et sans ambiguïté la façon
de transformer de manière sûre le produit en configuration évaluée et la manière de l’utiliser
et de l’administrer. Ils ont examiné et testé les guides d’utilisation préparatoires et
opérationnels et ont déterminé qu'ils sont complets et suffisamment détaillés pour assurer une
configuration sûre.
Support au cycle de vie : Les évaluateurs ont analysé le système de gestion de configuration
du produit et la documentation connexe. Ils ont constaté que les éléments de configuration
du produit y sont clairement indiqués. Le système de gestion de configuration du
développeur a été observé à l'occasion d'une visite sur place; il a été jugé évolué et bien
développé.
Estimation des vulnérabilités : Les évaluateurs ont effectué une analyse de vulnérabilité
indépendante du produit. De plus, les évaluateurs ont effectué une recherche dans les bases
de données des vulnérabilités disponibles dans le domaine public pour identifier les
vulnérabilités potentielles du produit. Ils ont relevé des vulnérabilités qui pouvaient faire
l’objet de tests dans l’environnement opérationnel du PGP Universal Server.
Toutes ces activités d’évaluation ont obtenu la cote RÉUSSITE.
Version 1.0
6
21 novembre 2008
SCCC – Rapport de certification
PGP Corporation®
PGP Universal Server
12 Essais des produits STI
Les essais au niveau EAL 2 comportent les trois étapes suivantes : évaluation des tests faits
par le développeur, exécution de tests fonctionnels indépendants, exécution de tests de
pénétration.
12.1 Évaluation des tests réalisés par le développeur
Les évaluateurs ont vérifié que le développeur avait satisfait à ses responsabilités en matière
de tests en examinant les preuves connexes ainsi que les résultats consignés dans le RTE3.
Les évaluateurs ont examiné l’analyse de la couverture des tests réalisés par le développeur
et ont jugé qu’elle était complète et exacte. La correspondance entre la spécification
fonctionnelle et les tests indiqués dans la documentation des tests du développeur est
complète.
12.2 Tests fonctionnels indépendants
Pendant l’évaluation, les évaluateurs ont élaboré des tests fonctionnels afin d’étayer les tests
du développeur en examinant la documentation de conception et les guides, en examinant la
documentation des tests du développeur, en répétant un sous-ensemble des procédures de test
du développeur et en créant des scénarios de test allant au-delà des tests réalisés par le
développeur.
Tous les tests ont été planifiés et documentés de manière suffisamment détaillée pour
permettre la reproductibilité des procédures d’essai et des résultats. Cette approche de
couverture des tests a permis d’obtenir la liste ci-dessous des objectifs de test de DOMUS IT
Security Laboratory :
•
Réexécution des tests de développeur : Le but de cet objectif de test est de répéter les
tests de développeur;
•
Vérification : Le but de cet objectif de test est de s’assurer que les exigences en
matière de journalisation des événements et des accès sont satisfaites;
•
Soutien cryptographique : Le but de cet objectif de test est de s’assurer de
l’application appropriée de toutes les fonctions de chiffrement;
•
Identification et authentification : Le but de cet objectif de test est de s’assurer que
l’accès aux capacités de gestion est réservé aux administrateurs autorisés;
3
Le rapport technique d’évaluation est un document interne du SCCC qui contient de l’information exclusive
au propriétaire et (ou) à l’évaluateur, et qui n’est pas rendu public.
Version 1.0
7
21 novembre 2008
SCCC – Rapport de certification
PGP Corporation®
PGP Universal Server
•
Protection des données des utilisateurs : Le but de cet objectif de test est de s’assurer
de l’application de la politique de contrôle d’accès axée sur les rôles;
•
Gestion de la sécurité : Le but de cet objectif de test est de s’assurer que les
administrateurs autorisés sont en mesure de gérer et de configurer le produit; et
•
Accès à la TOE : Le but de cet objectif de test est de s’assurer que le produit termine
la session d'utilisateur après une période de 15 minutes d'inactivité.
12.3 Test de pénétration indépendant
Après l’examen indépendant des bases de données sur les vulnérabilités du domaine public et
de tous les résultats de l’évaluation, les évaluateurs ont effectué des tests indépendants de
pénétration. Les tests de pénétration visaient principalement :
•
•
•
le balayage de port;
la surveillance du trafic de réseau; et
le déni de service.
Les tests de pénétration indépendants n’ont permis de découvrir aucune vulnérabilité
exploitable dans l’environnement d’exploitation prévu.
12.4 Exécution des tests
Le produit PGP Universal Server a fait l'objet d'une série complète de tests fonctionnels et de
pénétration indépendants formellement documentés. Les tests ont eu lieu dans les
installations EEPSTI (Évaluation et essais des produits de sécurité des technologies de
l’information) de la société DOMUS IT Security Laboratory. L’organisme de certification
du SCCC a assisté à une partie des tests indépendants. Les activités détaillées de test, y
compris les configurations, les procédures, les scénarios de test, les résultats prévus et les
résultats observés sont documentés dans un document de résultats de test distinct.
12.5 Résultats des tests
Les tests réalisés par le développeur et les tests fonctionnels indépendants ont produit les
résultats prévus, ce qui donne l'assurance que le produit PGP Universal Server se comporte
de la manière spécifiée dans la ST et dans les spécifications fonctionnelles.
13 Résultats de l’évaluation
Cette évaluation a constitué la base du niveau d’assurance EAL 2+. Toutes les activités
d’évaluation ont obtenu la cote RÉUSSITE. Ces résultats sont corroborés par les preuves
contenues dans le RTE.
Version 1.0
8
21 novembre 2008
SCCC – Rapport de certification
PGP Corporation®
PGP Universal Server
14 Commentaires, observations et recommandations de l’évaluateur
Lors du déploiement du produit, on recommande aux utilisateurs d'examiner les aspects
(définis à la section 3 de la ST) liés à la sécurité de l’environnement prévu.
15 Acronymes, abréviations et sigles
Acronyme, abréviation
et sigle
Description
ANSI
CECC
CM
DNS
EAL
EEPSTI
American National Standards Institute
Centre d’évaluation selon les Critères communs
Gestion de la configuration
Domain Name System
Niveau d'assurance de l'évaluation
Évaluation et essais de produits de sécurité des
technologies de l'information
Liste des produits certifiés
Programme d'accréditation des laboratoires Canada
Générateur de nombres aléatoires
Rapport technique d'évaluation
Schéma canadien d'évaluation et de certification selon les
Critères communs
Cible de sécurité
Technologie de l’information
Cible d'évaluation
Fonctionnalité de sécurité de la TOE
LPC
PALCAN
RNG
RTE
SCCC
ST
TI
TOE
TSF
16 Références
Voici tous les documents de référence utilisés pour la compilation du présent rapport :
a.
SCCC, Publication n° 4, Contrôle technique, version 1.0.
b.
Critères communs pour l'évaluation de la sécurité des technologies de l'information,
version 3.1, révision 2, septembre 2007.
c.
Méthodologie d'évaluation commune pour la sécurité des technologies de
l'information, CEM, version 3.1, révision 2, septembre 2007.
d.
Cible de sécurité v0.6, PGP Corporation® Universal Server with Gateway and Key
Management v2.9 sur Fedora Core 6, 20 octobre 2008.
e.
Rapport technique d’évaluation, version 1.4, PGP Corporation® Universal Server
Gateway and Key Management v2.9 sur Fedora Core 6, EAL 2, 20 octobre 2008.
Version 1.0
9
21 novembre 2008