Évaluation EAL 2 du produit PGP Universal Server with Gateway
Transcription
Évaluation EAL 2 du produit PGP Universal Server with Gateway
Rapport de certification Évaluation EAL 2 du produit PGP Universal Server with Gateway and Key Management v2.9 sur Fedora Core 6 Préparé par : Le Centre de la sécurité des télécommunications Canada, à titre d’organisme de certification dans le cadre du Schéma canadien d’évaluation et de certification selon les Critères communs © Gouvernement du Canada, Centre de la sécurité des télécommunications Canada, 2008 N° du document : Version : Date : Pagination : 383-4-94 1.0 21 novembre 2008 1 à 12 SCCC – Rapport de certification PGP Corporation® PGP Universal Server AVERTISSEMENT Le produit de TI (technologies de l’information) décrit dans le présent rapport et indiqué sur le certificat afférent a été évalué selon la Méthodologie d’évaluation commune des produits de sécurité des TI, version 3.1, révision 2, afin d’en évaluer la conformité aux Critères communs pour l’évaluation de la sécurité des technologies de l’information, version 3.1, révision 2, par un centre d’évaluation approuvé, établi dans le cadre du Schéma canadien d’évaluation et de certification selon les Critères communs (SCCC). Ce rapport et le certificat afférent valent uniquement pour la version et la diffusion du produit précisées dans la configuration qui a été évaluée. L’évaluation a été effectuée conformément aux dispositions du SCCC, et les conclusions formulées dans le rapport technique d’évaluation correspondent aux éléments présentés en preuve. Le présent rapport et le certificat afférent ne constituent pas une homologation du produit de TI par le Centre de la sécurité des télécommunications Canada (CSTC) ou par toute autre organisation qui reconnaît ou entérine ce rapport et le certificat afférent, et ne signifie pas, ni implicitement ni explicitement, que le produit de TI est garanti par le CSTC ou par toute autre organisation qui reconnaît ou entérine ce rapport et le certificat afférent. Version 1.0 i 21 novembre 2008 SCCC – Rapport de certification PGP Corporation® PGP Universal Server AVANT-PROPOS Le Schéma canadien d’évaluation et de certification selon les Critères communs (SCCC) offre un service d’évaluation par une tierce partie en vue de déterminer la fiabilité des produits de sécurité des TI. Les évaluations sont réalisées par un centre d’évaluation selon les Critères communs (CECC) sous la direction de l’organisme de certification du SCCC, ce dernier étant géré par le Centre de la sécurité des télécommunications. Un CECC est un laboratoire commercial qui a été approuvé par l’organisme de certification du SCCC en vue d’effectuer des évaluations selon les Critères communs. Une des exigences principales, à cette fin, est l’obtention de l’accréditation selon les prescriptions du Guide ISO 17025, Prescriptions générales concernant la compétence des laboratoires d’étalonnage et d’essais. L’accréditation est obtenue dans le cadre du Programme d’accréditation des laboratoires Canada (PALCAN), régi par le Conseil canadien des normes. Le CECC qui a effectué cette évaluation est DOMUS IT Security Laboratory situé à Ottawa, en Ontario. En décernant un certificat Critères communs, l’organisme de certification affirme que le produit est conforme aux exigences de sécurité précisées dans la cible de sécurité connexe. Une cible de sécurité est un document qui comporte des spécifications requises, définit les activités d’évaluation et en établit la portée. L’utilisateur d’un produit de TI certifié devrait examiner la cible de sécurité, en plus du rapport de certification, pour comprendre les hypothèses formulées dans le cadre de l’évaluation, l’environnement d’utilisation prévu pour le produit, ses exigences de sécurité et le niveau de fiabilité (qui correspond au niveau d’assurance de l’évaluation) auquel le produit satisfait aux exigences de sécurité. Le présent rapport de certification accompagne le certificat d’évaluation du produit daté du 21 novembre 2008, ainsi que la cible de sécurité indiquée à la section 4 du rapport. Le rapport de certification, le certificat d’évaluation du produit et la cible de sécurité sont publiés dans la liste des produits certifiés au Canada aux adresses suivantes : http://www.csecst.gc.ca/services/common-criteria/trusted-products-f.html et http://www.commoncriteria.es Le présent rapport de certification fait référence aux marques de commerce et aux marques de commerce déposées suivantes : • PGP est une marque de commerce déposée et le logo PGP est une marque de commerce de PGP Corporation. • Dell et Poweredge sont des marques de commerce de Dell Inc. • IBM, BladeCenter et System x sont des marques de commerce de International Business Machines Corporation aux États-Unis et (ou) dans certains autres pays. • HP et HP ProLiant sont des marques de commerce de Hewlett-Packard Company. • Sun Fire est une marque de commerce, une marque de commerce déposée ou une marque de service de Sun Microsystems, Inc. aux États-Unis et (ou) dans certains autres pays. Version 1.0 ii 21 novembre 2008 SCCC – Rapport de certification PGP Corporation® PGP Universal Server • VMware est une marque de commerce déposée ou une marque de commerce (les « marques ») de VMware, Inc. aux États-Unis et (ou) ailleurs. • Fedora est une marque de commerce de Red Hat, Inc. • NEC est une marque de commerce et (ou) une marque de commerce déposée de NEC Corporation aux États-Unis et (ou) dans certains autres pays. Toute reproduction du présent rapport est autorisée pourvu qu’il soit reproduit dans sa totalité. Version 1.0 iii 21 novembre 2008 SCCC – Rapport de certification PGP Corporation® PGP Universal Server TABLE DES MATIÈRES AVERTISSEMENT....................................................................................................................... i AVANT-PROPOS......................................................................................................................... ii Sommaire ....................................................................................................................................... 1 1 Définition de la cible d’évaluation....................................................................................... 2 2 Description de la TOE .......................................................................................................... 2 3 Fonctionnalités de sécurité évaluées.................................................................................... 2 4 Cible de sécurité .................................................................................................................... 3 5 Conformité aux Critères communs ..................................................................................... 3 6 Politique de sécurité.............................................................................................................. 3 7 Hypothèses et clarification de la portée .............................................................................. 3 7.1 7.2 7.3 HYPOTHÈSES ET CLARIFICATION DE LA PORTÉE ......................................................... 4 HYPOTHÈSES LIÉES À L’ENVIRONNEMENT .................................................................. 4 CLARIFICATION DE LA PORTÉE ................................................................................... 4 8 Information sur l’architecture............................................................................................. 5 9 Configuration évaluée........................................................................................................... 5 10 Documentation ...................................................................................................................... 6 11 Activités d’analyse et d’évaluation...................................................................................... 6 12 Essais des produits STI......................................................................................................... 7 12.1 12.2 12.3 12.4 12.5 ÉVALUATION DES TESTS RÉALISÉS PAR LE DÉVELOPPEUR .......................................... 7 TESTS FONCTIONNELS INDÉPENDANTS ....................................................................... 7 TEST DE PÉNÉTRATION INDÉPENDANT ........................................................................ 8 EXÉCUTION DES TESTS ............................................................................................... 8 RÉSULTATS DES TESTS ............................................................................................... 8 13 Résultats de l’évaluation ...................................................................................................... 8 14 Commentaires, observations et recommandations de l’évaluateur ................................. 9 15 Acronymes, abréviations et sigles........................................................................................ 9 16 Références.............................................................................................................................. 9 Version 1.0 iv 21 novembre 2008 SCCC – Rapport de certification Version 1.0 PGP Corporation® PGP Universal Server v 21 novembre 2008 SCCC – Rapport de certification PGP Corporation® PGP Universal Server Sommaire Le produit PGP Universal Server with Gateway and Key Management v2.9 sur Fedora Core 6 (désigné ci-après sous le nom de PGP Universal Server), de PGP Corporation®, est la cible d’évaluation (TOE) de la présente évaluation EAL 2. Le PGP Universal Server est une application logicielle propriétaire conçue pour agir comme serveur mandataire de courriel. L’objet de l’application est d’offrir des services de chiffrement et de signature pour les messages entrant dans un réseau local et sortant de ce dernier. Le PGP Universal Server chiffre ou déchiffre les messages de manière transparente au moyen de la clé publique de l’utilisateur. Si l’utilisateur ne possède pas de biclé PGP, le PGP Universal Server en génère une automatiquement. Le PGP Universal Server gère une liste de clés publiques à l’intention des utilisateurs internes et accorde à la fois aux utilisateurs internes et externes l’accès à une liste de clés publiques pour les utilisateurs internes. DOMUS IT Security Laboratory est le CECC qui a réalisé cette évaluation. L’évaluation a pris fin le 20 octobre 2008 et a été menée selon les règles prescrites par le Schéma canadien d’évaluation et de certification selon les Critères communs (SCCC). La portée de l'évaluation est définie dans la cible de sécurité, laquelle décrit les hypothèses formulées dans le cadre de l'évaluation, l'environnement projeté du produit PGP Universal Server, les exigences de sécurité des TI qu'il doit remplir et le niveau de fiabilité (niveau d’assurance de l’évaluation) pour lequel il est affirmé que le produit satisfait aux exigences de sécurité des TI. On recommande aux utilisateurs du produit de s’assurer que leur environnement d’exploitation est conforme à celui défini dans la cible de sécurité, et de tenir compte des observations et des recommandations énoncées dans le présent rapport de certification. Les résultats documentés dans le rapport technique d’évaluation (RTE)1 du produit indiquent que celui-ci répond aux exigences d’assurance EAL 2 pour les fonctionnalités de sécurité qui ont été évaluées. Cette évaluation a été réalisée selon la Méthodologie commune pour la sécurité des technologies de l’information, version 3.1, révision 2 (avec les interprétations finales applicables), afin d’en déterminer la conformité aux Critères communs pour l’évaluation de la sécurité des technologies de l’information, version 3.1, révision 2. Le Centre de la sécurité des télécommunications Canada, à titre d'organisme de certification selon le SCCC, affirme que l'évaluation du produit PGP Universal Server satisfait à toutes les conditions de l'Arrangement relatif à la reconnaissance des certificats liés aux Critères communs et que le produit figurera sur la liste des produits certifiés (LPC) dans le cadre du SCCC et sur le portail des Critères communs (site Web officiel du programme des Critères communs). 1 Le rapport technique d’évaluation est un document interne du SCCC qui contient de l’information exclusive au propriétaire et (ou) à l’évaluateur, et qui n’est pas rendu public. Version 1.0 1 21 novembre 2008 SCCC – Rapport de certification 1 PGP Corporation® PGP Universal Server Définition de la cible d’évaluation La cible d’évaluation (TOE) pour la présente évaluation EAL 2 est le produit PGP Universal Server with Gateway and Key Management v2.9 sur Fedora Core 6 (ci-après appelé PGP Universal Server), de PGP Corporation®. 2 Description de la TOE Le PGP Universal Server est une application logicielle propriétaire conçue pour agir comme serveur mandataire de courriel. L’objectif de l’application est d’offrir des services de chiffrement et de signature pour les messages entrant dans un réseau local et sortant de ce dernier. Le PGP Universal Server chiffre ou déchiffre les messages de manière transparente au moyen de la clé publique de l’utilisateur. Si l’utilisateur ne possède pas de biclé PGP, le PGP Universal Server en génère une automatiquement. Le PGP Universal Server gère une liste de clés publiques à l’intention des utilisateurs internes et accorde à la fois aux utilisateurs internes et externes l’accès à une liste de clés publiques pour les utilisateurs internes. 3 Fonctionnalités de sécurité évaluées La liste complète des fonctionnalités de sécurité évaluées pour le produit PGP Universal Server figure à la section 6 de la cible de sécurité (ST). Le module cryptographique ci-dessous a été évalué par rapport à la norme FIPS 140-2 : Module cryptographique PGP Software Developer's Kit (SDK) Cryptographic Module v3.11.0 No de certificat 1049 Les responsables ont évalué la bonne mise en œuvre dans le produit PGP Universal Server des algorithmes cryptographiques suivants, approuvés par le gouvernement du Canada : Algorithme cryptographique Triple-DES (3DES) Advanced Encryption Standard (AES) Rivest Shamir Adleman (RSA) Secure Hash Algorithm (SHA-1) Keyed-Hash Message Authentication Code (HMAC) Digital Signature Algorithm (DSA) ANSI x9.31 RNG Version 1.0 Norme FIPS 46-3 FIPS 197 ANSI x9.31 FIPS 180-2 FIPS 198 No de certificat 471 453 172 516 216 FIPS 186-2 ANSI x9.31 183 238 2 21 novembre 2008 SCCC – Rapport de certification 4 PGP Corporation® PGP Universal Server Cible de sécurité La cible de sécurité (ST) associée au présent rapport de certification (RC) est définie comme suit : Cible de sécurité de PGP Corporation® Universal Server with Gateway and Key Management v2.9 sur Fedora Core 6 Version : 0.6 Date : 20 octobre 2008 Titre: 5 Conformité aux Critères communs Cette évaluation a été réalisée selon la Méthodologie commune pour la sécurité des technologies de l’information, version 3.1, révision 2 (avec les interprétations finales applicables), afin d’en déterminer la conformité aux Critères communs pour l’évaluation de la sécurité des technologies de l’information, version 3.1, révision 2. Le produit PGP Universal Server est : a. conforme à la partie 2 des Critères communs, avec les exigences de sécurité fonctionnelles basées uniquement sur les composants fonctionnels de la partie 2; b. conforme à la partie 3 des Critères communs, avec les exigences de sécurité d’assurance basées uniquement sur les composants d’assurance de la partie 3; et c. conforme au niveau EAL 2 des Critères communs, contenant toutes les exigences de sécurité d'assurance du niveau EAL 2. 6 Politique de sécurité Le produit PGP Universal Server applique une politique de contrôle d’accès axée sur les rôles pour contrôler l’accès des utilisateurs au système, ainsi qu'une politique de contrôle de flux d'information pour contrôler les données qui entrent dans le système; vous trouverez des détails sur ces politiques de sécurité à la section 6 de la ST. En plus, le produit applique des politiques d'audit de sécurité, de soutien cryptographique, de protection des données de l'utilisateur, d'identification et d'authentification, de gestion de la sécurité, de protection de la TSF et d’accès à la TOE. Vous trouverez davantage de détails sur les politiques de sécurité à la section 6 de la ST. 7 Hypothèses et clarification de la portée Les utilisateurs du produit PGP Universal Server devraient tenir compte des hypothèses formulées au sujet de son utilisation et des paramètres environnementaux requis pour l’installation du produit et son environnement opérationnel. Cela permettra d’utiliser le produit de manière adéquate et sûre. Version 1.0 3 21 novembre 2008 SCCC – Rapport de certification 7.1 PGP Corporation® PGP Universal Server Hypothèses et clarification de la portée Les hypothèses sur l'utilisation sûre ci-dessous figurent dans la ST : • La TOE est installée et configurée dans le matériel approprié, conformément aux guides d’installation pertinents. • Un ou plusieurs administrateurs sont assignés à la gestion de la TOE et de l'information de sécurité qu'elle contient. • Les utilisateurs qui gèrent la TOE ne sont pas hostiles, ont reçu la formation appropriée et respectent toutes les instructions. • La TOE et le matériel dans lequel elle fonctionne sont accessibles physiquement aux seuls administrateurs autorisés. 7.2 Hypothèses liées à l’environnement Les hypothèses liées à l’environnement ci-dessous figurent dans la ST : • L’environnement de la TOE fournit la connectivité de réseau nécessaire pour permettre à la TOE d’offrir les fonctions de serveur mandataire de courriel sécurisé. • Tous les ports requis pour assurer le bon fonctionnement de la TOE sont ouverts au niveau du coupe-feu. • L’information de DNS reçue par la TOE est fiable. • Les courriels ne peuvent circuler entre les réseaux internes et externes sans transiter par la TOE. • La TOE doit être protégée contre toute interférence et tout trafiquage externes. 7.3 Clarification de la portée Le produit PGP Universal Server a été conçu pour une utilisation dans un environnement d’entreprise structuré, où il est normalement interdit d’installer des programmes dans les machines ou de modifier les paramètres de système. Les administrateurs définissent les politiques qui contrôlent ce que l’on permet ou interdit aux utilisateurs. La protection contre les attaques, tels les détournements de session2 n’est pas incluse dans l’utilisation prévue du produit et doit être assurée par d’autres mécanismes de sécurité tels les coupe-feu et les systèmes de détection d'intrusion. 2 Le détournement de session désigne l’exploitation d’une session d’ordinateur valide. Version 1.0 4 21 novembre 2008 SCCC – Rapport de certification 8 PGP Corporation® PGP Universal Server Information sur l’architecture Le produit PGP Universal Server est une application logicielle propriétaire conçue pour agir comme serveur mandataire de courriel et passerelle de chiffrement. Il inclut les soussystèmes suivants : • • • • • • Proxy Subsystem : applique au trafic de courrier électronique un ensemble de règles mandataires créées par l’administrateur et traite les demandes de clés d’utilisateur; Database, Preferences and Translation Subsystem : gère les données du produit; Web Subsystem : fournit les interfaces Web utilisées pour gérer le produit; Authentication and Ignition Subsystem : authentifie les utilisateurs et exécute le processus de démarrage lorsque le produit est configuré pour fonctionner avec une clé de contact; Audit and Operating System Subsystem : transmet les demandes entre le produit et le système d’exploitation Fedora sous-jacent; et Cryptography Subsystem : exécute les opérations cryptographiques du produit. Les détails de l’architecture de système sont exclusifs au développeur et ne sont pas inclus dans le présent rapport. 9 Configuration évaluée La configuration évaluée comprend le produit PGP Universal Server with Gateway and Key Management v2.9 sur Fedora Core 6 installé sur les plateformes matérielles suivantes : • Dell PowerEdge740 • Dell PowerEdge 860 • Dell PowerEdge 1950 • Dell PowerEdge 2950 • IBM System x346 • IBM System x3650 • IBM BladeCenter HS20 Type 7981 • Sunfire 4100 • HP Proliant BL25P • NEC Express5800 120Ri-2 • VMWare ESX + VMtools 3.0.1 • HP Proliant DL 385 G2 avec P400 RAID • HP Proliant DL385 avec P600 RAID • HP Proliant DL385 avec P800 RAID Version 1.0 5 21 novembre 2008 SCCC – Rapport de certification PGP Corporation® PGP Universal Server 10 Documentation Les documents que le produit PGP Universal Server fournit à l’utilisateur sont les suivants : a. PGP Universal Server 2.9 Common Criteria Supplemental v1.2; b. PGP Universal Server Administrator's Guide. PGP Universal Server, version 2.9.0. Publié en juillet 2008; et c. PGP Universal Server Upgrade Guide. PGP Universal Server, version 2.9.0. Publié en juillet 2008. 11 Activités d’analyse et d’évaluation Les activités d'analyse et d'évaluation ont consisté en une évaluation structurée du produit PGP Universal Server, notamment des éléments suivants : Développement : Les évaluateurs ont analysé les spécifications fonctionnelles et la documentation de conception du produit et ont déterminé qu'ils instancient complètement et exactement les exigences fonctionnelles de sécurité. Ils ont analysé la description de l’architecture de sécurité et déterminé que le processus d’initialisation est sécurisé, que les fonctions de sécurité sont protégées contre le trafiquage et les contournements et que les domaines de sécurité sont protégés. Guides : Les évaluateurs ont examiné les guides d’utilisation préparatoires et opérationnels du produit et ont déterminé qu’ils décrivent suffisamment en détail et sans ambiguïté la façon de transformer de manière sûre le produit en configuration évaluée et la manière de l’utiliser et de l’administrer. Ils ont examiné et testé les guides d’utilisation préparatoires et opérationnels et ont déterminé qu'ils sont complets et suffisamment détaillés pour assurer une configuration sûre. Support au cycle de vie : Les évaluateurs ont analysé le système de gestion de configuration du produit et la documentation connexe. Ils ont constaté que les éléments de configuration du produit y sont clairement indiqués. Le système de gestion de configuration du développeur a été observé à l'occasion d'une visite sur place; il a été jugé évolué et bien développé. Estimation des vulnérabilités : Les évaluateurs ont effectué une analyse de vulnérabilité indépendante du produit. De plus, les évaluateurs ont effectué une recherche dans les bases de données des vulnérabilités disponibles dans le domaine public pour identifier les vulnérabilités potentielles du produit. Ils ont relevé des vulnérabilités qui pouvaient faire l’objet de tests dans l’environnement opérationnel du PGP Universal Server. Toutes ces activités d’évaluation ont obtenu la cote RÉUSSITE. Version 1.0 6 21 novembre 2008 SCCC – Rapport de certification PGP Corporation® PGP Universal Server 12 Essais des produits STI Les essais au niveau EAL 2 comportent les trois étapes suivantes : évaluation des tests faits par le développeur, exécution de tests fonctionnels indépendants, exécution de tests de pénétration. 12.1 Évaluation des tests réalisés par le développeur Les évaluateurs ont vérifié que le développeur avait satisfait à ses responsabilités en matière de tests en examinant les preuves connexes ainsi que les résultats consignés dans le RTE3. Les évaluateurs ont examiné l’analyse de la couverture des tests réalisés par le développeur et ont jugé qu’elle était complète et exacte. La correspondance entre la spécification fonctionnelle et les tests indiqués dans la documentation des tests du développeur est complète. 12.2 Tests fonctionnels indépendants Pendant l’évaluation, les évaluateurs ont élaboré des tests fonctionnels afin d’étayer les tests du développeur en examinant la documentation de conception et les guides, en examinant la documentation des tests du développeur, en répétant un sous-ensemble des procédures de test du développeur et en créant des scénarios de test allant au-delà des tests réalisés par le développeur. Tous les tests ont été planifiés et documentés de manière suffisamment détaillée pour permettre la reproductibilité des procédures d’essai et des résultats. Cette approche de couverture des tests a permis d’obtenir la liste ci-dessous des objectifs de test de DOMUS IT Security Laboratory : • Réexécution des tests de développeur : Le but de cet objectif de test est de répéter les tests de développeur; • Vérification : Le but de cet objectif de test est de s’assurer que les exigences en matière de journalisation des événements et des accès sont satisfaites; • Soutien cryptographique : Le but de cet objectif de test est de s’assurer de l’application appropriée de toutes les fonctions de chiffrement; • Identification et authentification : Le but de cet objectif de test est de s’assurer que l’accès aux capacités de gestion est réservé aux administrateurs autorisés; 3 Le rapport technique d’évaluation est un document interne du SCCC qui contient de l’information exclusive au propriétaire et (ou) à l’évaluateur, et qui n’est pas rendu public. Version 1.0 7 21 novembre 2008 SCCC – Rapport de certification PGP Corporation® PGP Universal Server • Protection des données des utilisateurs : Le but de cet objectif de test est de s’assurer de l’application de la politique de contrôle d’accès axée sur les rôles; • Gestion de la sécurité : Le but de cet objectif de test est de s’assurer que les administrateurs autorisés sont en mesure de gérer et de configurer le produit; et • Accès à la TOE : Le but de cet objectif de test est de s’assurer que le produit termine la session d'utilisateur après une période de 15 minutes d'inactivité. 12.3 Test de pénétration indépendant Après l’examen indépendant des bases de données sur les vulnérabilités du domaine public et de tous les résultats de l’évaluation, les évaluateurs ont effectué des tests indépendants de pénétration. Les tests de pénétration visaient principalement : • • • le balayage de port; la surveillance du trafic de réseau; et le déni de service. Les tests de pénétration indépendants n’ont permis de découvrir aucune vulnérabilité exploitable dans l’environnement d’exploitation prévu. 12.4 Exécution des tests Le produit PGP Universal Server a fait l'objet d'une série complète de tests fonctionnels et de pénétration indépendants formellement documentés. Les tests ont eu lieu dans les installations EEPSTI (Évaluation et essais des produits de sécurité des technologies de l’information) de la société DOMUS IT Security Laboratory. L’organisme de certification du SCCC a assisté à une partie des tests indépendants. Les activités détaillées de test, y compris les configurations, les procédures, les scénarios de test, les résultats prévus et les résultats observés sont documentés dans un document de résultats de test distinct. 12.5 Résultats des tests Les tests réalisés par le développeur et les tests fonctionnels indépendants ont produit les résultats prévus, ce qui donne l'assurance que le produit PGP Universal Server se comporte de la manière spécifiée dans la ST et dans les spécifications fonctionnelles. 13 Résultats de l’évaluation Cette évaluation a constitué la base du niveau d’assurance EAL 2+. Toutes les activités d’évaluation ont obtenu la cote RÉUSSITE. Ces résultats sont corroborés par les preuves contenues dans le RTE. Version 1.0 8 21 novembre 2008 SCCC – Rapport de certification PGP Corporation® PGP Universal Server 14 Commentaires, observations et recommandations de l’évaluateur Lors du déploiement du produit, on recommande aux utilisateurs d'examiner les aspects (définis à la section 3 de la ST) liés à la sécurité de l’environnement prévu. 15 Acronymes, abréviations et sigles Acronyme, abréviation et sigle Description ANSI CECC CM DNS EAL EEPSTI American National Standards Institute Centre d’évaluation selon les Critères communs Gestion de la configuration Domain Name System Niveau d'assurance de l'évaluation Évaluation et essais de produits de sécurité des technologies de l'information Liste des produits certifiés Programme d'accréditation des laboratoires Canada Générateur de nombres aléatoires Rapport technique d'évaluation Schéma canadien d'évaluation et de certification selon les Critères communs Cible de sécurité Technologie de l’information Cible d'évaluation Fonctionnalité de sécurité de la TOE LPC PALCAN RNG RTE SCCC ST TI TOE TSF 16 Références Voici tous les documents de référence utilisés pour la compilation du présent rapport : a. SCCC, Publication n° 4, Contrôle technique, version 1.0. b. Critères communs pour l'évaluation de la sécurité des technologies de l'information, version 3.1, révision 2, septembre 2007. c. Méthodologie d'évaluation commune pour la sécurité des technologies de l'information, CEM, version 3.1, révision 2, septembre 2007. d. Cible de sécurité v0.6, PGP Corporation® Universal Server with Gateway and Key Management v2.9 sur Fedora Core 6, 20 octobre 2008. e. Rapport technique d’évaluation, version 1.4, PGP Corporation® Universal Server Gateway and Key Management v2.9 sur Fedora Core 6, EAL 2, 20 octobre 2008. Version 1.0 9 21 novembre 2008