Security Target (ST) för The Secure Channel (server)

Transkript

1 Security Target (ST) för The Secure Channel (server) Dokument: Security Target (ST) för The Secure Channel (server) 1

2 Innehållsförteckning 1 Introduktion (ASE_INT) ST Referens Klassificering TOE Referens Översikt av TOE Definitioner Beskrivning av TOE Funktionalitet för TOE Säkerhetsegenskaper för TOE Mer egenskaper för TOE Arkitektur av TOE Omfattning av TOE Säkerhetspåstående (ASE_CCL) Säkerhetsproblem (ASE_SPD) Tillgångar Hotande personer Hot Organisational security policies Antaganden Säkerhetsmål (ASE_OBJ) Säkerhetsmål för TOE Säkerhetsmål för den omgivnade miljön Rimlighetsbedömning av säkerhetsmål Defionition av utökade komponenter (ASE_ECD) Säkerhetskrav (ASE_REQ) Säkerhetskrav Evalueringskrav Rimlighetsbedömning av säkerhetskrav Sammanfattande specifikation av TOE (ASE_TSS)...22 Dokument: Security Target (ST) för The Secure Channel (server) 2

3 1 Introduktion (ASE_INT) Det här stycket innehåller en inledande beskrivning av servern. Eftersom servern bygger vidare på klientens funktionalitet är det rekommenderat att först läsa klientens ST för att enklare förstå detta dokument. 1.1 ST Referens Tabell 1: ST Referens Titel: Security Target (ST) för The Secure Channel (server) Systemdel: Server Dokumentversion: v0.1 Datum: Klassificering: Offentligt dokument Författare: Mattias Lennartsson (256bit Security AB) Dokumenthistorik: Tabell 2: Dokumenthistorik Datum Namn Version Organisation Uppdatering Mattias Lennartsson v bit Security AB Första versionen av dokumentet. 1.2 Klassificering Detta dokument har klassats som ett offentligt dokument (Klass A). Det finns inga begränsningar för hur dokumentet får spridas. 1.3 TOE Referens The Secure Channel Server (server_app) v1.2 ConfigApp (confing_app) v1.1 KeyManager (keymanager.exe) v1.2 Dokument: Security Target (ST) för The Secure Channel (server) 3

4 1.4 Översikt av TOE Servern är en mjukvara som kör som en daemon på ett datorsystem. Serverprogrammet blockerar en port för andra program och lyssnar efter inkommande anrop till den porten via TCP. När ett inkommande anrop inkommer på porten behandlas anropet och ett svar skickas tillbaka till klienten. All information som servern lagrar skrivs till en arbetsmapp där informationen sparas som filer i filsystemet. Datorsystem TOE Arbetsmapp Server daemon Brandvägg Internet Serverns två huvudfunktioner är: att unikt numrera användarnas publika krypteringsnycklar (med ett UserID) och sedan säkert distribuera dessa mellan användare av systemet, att leverera krypterade meddelanden mellan användare. Servern har även ytterligare funktioner för att exempelvis dölja kommunikationsmönster mellan användare. 1.5 Definitioner Tabell 3: Definitioner Begrepp Användare Arbetsmapp Betydelse En person som använder TSC-systemet. Den plats där servern lagrar all information den hanterar som filer i filsystemet. ASC Användarens anti-spam kod, vanligtvis ett fyrsiffrigt tal ( ). Certifieringsnyckel Daemon En asymmetrisk signeringsnyckel (RSA) som används för att signera publika nycklar som laddas ned från servern för att bekräfta att de är de autentiska nycklarna som lagras på servern för en användare. Motsvarande publika verifieringsnyckeln följer med installationsprogrammet för klienten lagras i klientens databas. Ett program som ligger och kör i bakgrunden av operativsystemet och inte Dokument: Security Target (ST) för The Secure Channel (server) 4

5 MITM Mottagaradress Revokering Servernyckeln TCP Transportnyckel UserID har något användargränssnitt. En man-in-the-middle (MITM) attack är en kraftfull attack mot ett kryptosystem som går ut på att sätta sig mellan sändare och mottagare och på så vis kunna läsa, ändra och felaktigt autentisera (signera) meddelanden. För att undvika denna attack måste krypteringsnycklar kunna distribueras säkert mellan sändare och mottagare utan att nycklarna kan bytas ut av någon obehörig. Säkert utbyte av krypteringsnycklar är serverns huvudsakliga funktion som är tänkt att motverka dessa attacker. Adressen till en användare av systemet som består av två värden, UserID samt ASC-koden separerade med ett mellanslag. Exempelvis: Radering (i praktiken inaktivering) av ett konto som lagras på servern. Efter revokering kan ett konto varken ta emot meddelanden eller skicka meddelanden. Ett asymmetriskt nyckelpar (RSA) som används för att kryptera och autentisera information som skickas mellan klient och server. Den publika nyckeln som används för kryptering följer med installationsprogrammet för klienten och lagras i klientens databas. Ett protokoll på Internet som används för att skapa anslutningar mellan datorer. En tillfällig transportnyckel som genereras av klienten och skickas krypterad till mottagaren under ett anrop. Nyckeln delas därmed av klient och server under anropet. Krypteringen av transportnyckeln sker med servernyckeln. Ett unikt nummer (32bit) för en specifik användare. Numret återanvänds ej av systemet. Dokument: Security Target (ST) för The Secure Channel (server) 5

6 1.6 Beskrivning av TOE Det här kapitlet innehåller en mer genomgående beskrivning av servern Funktionalitet av TOE Servern hanterar inkommande anrop till servern och svarar på dessa: Nytt konto: När en användare skapar ett konto så laddar klienten upp den publika nyckeln till servern. Servern tilldelar då användaren ett nytt unikt id-värde (UserID), lagrar den publika nyckeln, beräknar och returnerar en digital signatur över krypteringsnyckeln tillsammans med UserID. Signaturen intygar att krypteringsnyckeln har lagrats för detta UserID. Det gör att klienten kan verifiera att det angivna UserID har tilldelats av servern och ingen annan, samt att korrekt nyckel laddades upp. Samtidigt tilldelas användaren en meddelandekorg på servern. De filer som behövs för att lagra kontot på servern skrivs till serverns arbetsmapp. Nyckelnedladdning: En användare kan när som helst begära att få ladda ned en annan användares nyckel genom att skicka en förfrågan om detta och ett UserID till servern. Servern svarar så med krypteringsnyckeln och en digital signatur som intygar att det är den krypteringsnyckeln som är lagrad för detta UserID. Meddelandesändning: Ett krypterat meddelande skickas till servern tillsammans med en lista av mottagare, servern placerar då meddelandet i de inkorgar som anges av mottagarna i listan. Meddelandenedladdning: Användaren begär att få de meddelanden som lagras på servern nedladdade, servern svarar då med de meddelanden som ligger i inkorgen, om det finns sådana, och när klienten sedan bekräftat att meddelanden har tagits emot så raderas alla meddelanden från inkorgen på servern. Revokering: En användare kan när som helst begära att få sitt konto raderat på servern. Informationen om kontot inaktiveras först, för att senare raderas helt. Efter radering återanvänds aldrig ett UserID utan är då förbrukat. Ett inaktivt konto kan varken används för att ta emot eller skicka meddelanden. Ett inaktivt konto kan inte återaktiveras av användaren själv Säkerhetsegenskaper av TOE Serverns funktioner understödjs av en del säkerhetsfunktioner som tillsammans garanterar att kommunikationen med servern sker säkert. Systemets vitala funktionerna som kryptering och autentisering av meddelanden mellan användare är oberoende av dessa funktioner utan utförs i klienten. Alla anrop som skickas till servern signeras av klienten med användarens privata krypteringsnyckel, detta är för att verifiera att det inte är någon annan som gjort anropet (servern kan verifiera signaturerna eftersom den lagrar alla publika nycklar). Detta Dokument: Security Target (ST) för The Secure Channel (server) 6

7 understödjer att det inte går att ladda ned meddelanden för en annan användare (även om dessa ändå skulle vara krypterade), att det inte går att skicka meddelanden via någon annans konto (även om då meddelandets signatur skulle bli fel), samt att revokering enbart kan utföras av det egna kontot. Ett anrop att skapa ett nytt konto kan naturligtvis inte signeras utan verifieras istället från en aktiveringskod. All information som kan identifiera vem man kommunicerar med krypteras, exempelvis: meddelanden under sändning, meddelanden under nerladdning, nedladdade krypteringsnycklar. Detta sker med en gemensam tillfällig krypteringsnyckel (transportnyckeln) som sätts upp mellan klient och server vid varje anrop till servern. Resterade information som skickas via anslutningen efter den initiala förfrågan autentisera via en autentiseringskod (MAC) med transportnyckeln så att informationen inte kan ändras. Detta gör att det inte går att modifiera serverns svar eller sätta upp en falsk server (även om den i så fall ändå inte skulle kunna certifiera krypteringsnycklar). Servern har ytterligare säkerhetsfunktioner för att skydda servern mot replay och side channel attacker: ReplayFilter och AmountFilter. Serverns viktigaste uppgift är att unikt numrera användarnas publika krypteringsnycklar och sedan certifiera dessa med certifieringsnyckeln. Om denna uppgift störs genom att publika nycklar byts ut kan det påverka kryptering och signering av meddelanden mellan användare Mer egenskaper av TOE Det här stycket beskriver ett par ytterligare funktioner som servern har men som inte anses säkerhetsrelaterade. Anti-spam kod: Servern lagrar även en anti-spam kod (ASC) för användaren som laddas upp av klienten när kontot skapas. Koden behövs sedan för att kunna skicka meddelanden till en mottagare eller ladda ned krypteringsnycklar. Koden gör att man inte kan skicka meddelanden till okända användare och förebygger på så vis att skräppost skickas via servern. ASC är det som tillsammans med användarens UserID utgör en användes mottagaradress i systemet. För att kunna skicka meddelanden till en användare eller ladda ned publika nycklar måste man därför ha tillgång till en användares aktuella mottagaradress. Det går även att byta ASC om det visar sig att man trotts allt börjar få skräppost skickat till kontot, användaren får då fyra nya sista siffror i mottagaradressen. Användarinformation: När ett konto skapas så laddas även användarinformation om användaren upp på servern. Användaren fyller själv i information som består av: förnamn, efternamn, organisation, stad, land och en valfri presentation. Användarinformationen skickas sedan tillsammans med krypteringsnycklar till andra användare. Användarinformationen är till för att minska risken att användare förväxlas med varandra av misstag samt göra systemet enklare att använda. Dokument: Security Target (ST) för The Secure Channel (server) 7

8 1.6.4 Arkitektur av TOE Systemet består av 3 delsystem som tillhör servern och ytterligare 2 delsystem som är gemensam kod med klienten. Server: Server Serverns grundprogram (server daemon). ServerSystem Ett system som erbjuder serverns grundprogram de funktioner som behövs. ServerDB Serverns databas som hantera och skriver information till disk som filer i mappen server_files (serverns arbetsmapp). Gemensamma med servern: SocketBox Det delsystem som hanterar kommunikationen mot internet. Krypto Det delsystem som hanterar alla kryptorelaterade funktioner. Användare TOE TSC_wd Klient Server server_files ClientDB MailSystem ServerSystem ServerDB SocketBox Krypto Internet Dokument: Security Target (ST) för The Secure Channel (server) 8

9 1.6.5 Omfattning av TOE TOE består av fyra delar: server_app, serverprogrammet. config_app, ett program som används för att skapa binära konfigureringsfiler som servern behöver ha i sin arbetsmapp. KeyManager, ett program som används för att generera de krypteringsnycklar som behövs av servern. server_files, mappen där serverns databas lagras. I TOE ingår inte operativsystemet eller de komponenter som tillhör operativsystemet. Dokument: Security Target (ST) för The Secure Channel (server) 9

10 2 Säkerhetspåstående (ASE_CCL) Detta stycke ingår inte i denna versionen av dokumentet. Dokument: Security Target (ST) för The Secure Channel (server) 10

11 3 Säkerhetsproblem (ASE_SPD) Det här stycket innehåller en definition av det säkerhetsproblem som systemet ska vara en lösning på. 3.1 Tillgångar Servern hanterar fyra olika typer av tillgångar som har ett skyddsvärde: Tabell 4: Tillgångar ID SA.UserKeys SA.CertificationKey SA.ServerKeys SA.TrafficPatterns Beskrivning Användarnas publika nycklar som inte får bytas ut mot andra nycklar. Den privata nyckeln som används för att certifiera användarnas publika krypteringsnycklar vid uppladdning och innan nedladdning. De privata nycklarna som används för att dekryptera transportnyckeln som skickas till servern och verifierar för klienten att det är den korrekta servern som svarar på ett anrop. Trafikdata som beskriver vilka användare som kommunicerar med varandra. 3.2 Hotande personer Målet för en hotande person kan vara att byta ut någon av de publika nycklarna som lagras på servern (SA.UserKeys) och sätta upp en MITM-attack mot en användare, eller få tillgång till den privata certifieringsnyckeln (SA.CertificationKey) och på så vis byta ut nycklar under överföringen så att en MITM-attack kan utföras mot en användare. Målet för en hotande person kan också vara att komma över information som avslöjar vem som kommunicerar med vem (SA.TrafficPatterns), eller komma över någon av de privata servernycklarna (SA.ServerKeys) som lagras på servern och därmed sätta upp en falsk server som kan avlyssna kommunikationsmönster. Följande personer anses hota servern: Tabell 5: Hotande personer ID TA.Hackers TA.Admins Beskrivning Utomstående hacker som inte tillhör organisationen som administrerar servern. Systemadministratörer av den miljö där servern är placerad, dvs utomstående från organisationen som administrerar servern. Dokument: Security Target (ST) för The Secure Channel (server) 11

12 3.3 Hot Det har identifierats åtta olika hot som riktas mot systemet: Tabell 6: Hot ID Beskrivning Tillgångar Hotande person T.Mitm T.Evesdropping T.Tampering T.Replay T.SideChannel T.Theft T.Hacking T.Access En användares publika nyckel byts ut på servern eller under överföring till/från servern för att på så vis kunna utföra en MITMattack mot användaren. Avlyssning av trafiken mellan klient och server för att på så vis avslöja trafikmönster. Aktiv påverkan av trafik mellan klient och server för att på så vis störa kommunikationen mellan klient och server. Replay Attacks som riktas mot servern för att störa kommunikationen mellan klient och server. Side Channel Attacks mot servern, mest aktuellt är Timing Attacks. Stöld av datorsystemet eller hårddiskar. Tillgång till datorsystemet via en mjukvarusvaghet i operativsystem eller annan mjukvara. Stöld eller manipulering av viktig information på servern via fysisk tillgång. SA.UserKeys SA.TrafficPatterns Samtliga Samtliga SA.ServerKeys SA.CertificationKey, SA.ServerKeys, SA.TrafficPatterns Samtliga Samtliga TA.Hackers, TA.Admins TA.Hackers, TA.Admins TA.Hackers TA.Hackers TA.Hackers TA.Admins TA.Hackers TA.Admins Dokument: Security Target (ST) för The Secure Channel (server) 12

13 3.4 Organisational security policies Följande OSP:er har identifierats: Tabell 7: OSP:er ID P.Encryption P.Certification Beskrivning Krypteringen måste följa de standarder som är krav för KSU. Användarnas publika nycklar ska signeras så att klienten kan verifiera att det är korrekt nycklar som har laddats ned. 3.5 Antaganden Dessa antaganden har gjorts för att systemet ska vara säkert: Tabell 8: Antaganden ID A.Access A.System Beskrivning Ingen obehörig har fysisk tillgång till det datorsystem där servern kör. Inga andra program eller tjänster med anslutning till Internet kör på servern som kan utnyttjas för att få tillgång till serverns datorsystem. Detta förebyggs genom att begränsa inkommande trafik till enbart den port där serverprogrammet lyssnar (med brandvägg). Dokument: Security Target (ST) för The Secure Channel (server) 13

14 4 Säkerhetsmål (ASE_OBJ) Det här stycket innehåller de säkerhetsmål som systemet behöver uppnå för att klara av att hantera det säkerhetsproblem som definierades i föregående stycke. 4.1 Säkerhetsmål för TOE Följande säkerhetsmål behöver uppfyllas av TOE: Tabell 9: Säkerhetsmål för TOE ID O.Certification O.TransportEncryption O.DataAuthentication O.ReplayFilter O.AmountFilter O.Delay O.Erase O.Encryption Beskrivning Användares publika krypteringsnycklar ska certifieras med certifieringsnyckeln (SA.CertificationKey) vid uppladdning och innan nerladdning, detta gör att klienten kan verifiera att det är korrekt krypteringsnyckel som har laddats upp eller ned. Viktig informationen som skickas mellan klient och server ska krypteras för att dölja kommunikationsmönster (SA.TrafficPatterns) för utomstående. Dekryptering av information som skickas till servern sker med en av servernycklarna (A.ServerKeys). Information som följer en förfrågan till servern ska autentisera med en autentiseringskod (MAC), för att förhindra att kommunikationen mellan klient och server störs. Ett filter som ska filtrera bort återsändningar av förfrågningar till servern för att undvika att kommunikationen mellan klient och server störs. Antalet "dekrypteringar" ska begränsas för varje användare till ett fast antal under en fast tidsenhet. Om en användare överskrider sin budget av antalet dekrypteringar så filtreras förfrågan bort innan servern hanterar den. Detta motverkar timing attacks mot servern. Det försvårar även överbelastningsattacker. Fördröjning av serversvar efter dekryptering av information för att förhindra timing av serversvaret. Fördröjningen ska görs med en tid som är oberoende av dekrypteringstiden. Radering av krypteringsnycklar som inte längre ska lagras på servern ska göras med överskrivning. Krypteringen ska göras med de standarder som krävs för KSU. O.TransportEncryption - Skyddar även mot att krypterade meddelanden skickas över Internet. Detta skyddar om en användares privata krypteringsnyckel läcker, eftersom en angripare som lyssnat på trafiken inte kan använda denna för att dekrypterade tidigare skickade meddelanden. För detta krävs därmed även den privata nyckeln som ligger lagrad på servern (eller är förstörd om den inte längre används). Dokument: Security Target (ST) för The Secure Channel (server) 14

15 4.2 Säkerhetsmål för den omgivnade miljön Följande säkerhetsmål behöver uppfyllas av den omgivande miljön: Tabell 10: Säkerhetsmål för miljön ID OE.CertKeyUpdate OE.ServerKeyUpdate OE.KeyGen OE.Access OE.System Beskrivning Certifieringsnyckeln på servern ska bytas med jämna mellanrum. Varje ny distribution av klienten ska innehålla en ny publik servernyckel för kryptering. Privata servernycklar och certifieringsnycklar ska genereras och hanteras (dvs utanför servern) på ett passande vis så att obehöriga inte kommer över dessa nycklar. Det datorsystem där servern kör ska skyddas så att inga obehöriga kan få tillgång till det, exempelvis via inlåsning av datorsystemet. Trafiken ska begränsas med brandvägg till den port där servern lyssnar. Dokument: Security Target (ST) för The Secure Channel (server) 15

16 4.3 Rimlighetsbedömning av säkerhetsmål I det här stycket kontrolleras att tidigare säkerhetsmål verkligen löser det säkerhetsproblemet som beskrevs tidigare. Utvärdering av säkerhetsproblemet: Tabell 11: Hot mot säkerhetsmål Hot T.Mitm T.Evesdropping T.Tampering T.Replay T.SideChannel T.Theft T.Hacking T.Access Säkerhetsmål O.Certification, OE.KeyGen, OE.CertKeyUpdate, OE.Access, OE.System, O.DataAuthentication O.TransportEncryption, OE.ServerKeyUpdate, OE.KeyGen O.DataAuthentication O.ReplayFilter O.AmountFilter, O.Delay, OE.ServerKeyUpdate OE.Access, O.Erase OE.System OE.Access Tabell 12: OSP:er mot Security objectives OSP:er Säkerhetsmål P.Encryption O.Encryption P.Certification O.Certification Tabell 13: Antaganden mot säkerhetsmål Antagande Säkerhetsmål A.Access OE.Access A.System OE.System Dokument: Security Target (ST) för The Secure Channel (server) 16

17 Utvärdering av säkerhetsmål: Tabell 14: Utvärdering av säkerhetsmål för TOE Säkerhetsmål Hot OSP:er Antaganden O.TransportEncryption T.Evesdropping O.DataAuthentication T.Tampering, T.Mitm O.Certification T.Mitm P.Certification O.AmountFilter T.SideChannel O.Delay T.SideChannel O.ReplayFilter T.Replay O.Erase T.Theft O.Encryption P.Encryption Tabell 15: Utvärdering av säkerhetsmål för miljön Säkerhetsmål Hot OSP:er Antaganden OE.CertKeyUpdate OE.ServerKeyUpdate OE.KeyGen T.Mitm T.Evesdropping, T.SideChannel T.Evesdropping, T.Mitm OE.Access T.Mitm, T.Theft A.Access OE.System T.Mitm A.System Dokument: Security Target (ST) för The Secure Channel (server) 17

18 5 Definition av utökade komponenter (ASE_ECD) Detta stycke ingår inte i en förenklad ST. Dokument: Security Target (ST) för The Secure Channel (server) 18

19 6 Säkerhetskrav (ASE_REQ) Det här stycket beskriver säkerhetsfunktionerna för systemet. Till skillnad från en riktig ST så beskriver denna förenklade ST enbart säkerhetsfunktioner och inte formellt definierade säkerhetskrav. Säkerhetsfunktionerna för systemet som är beskrivna i detta stycke finns ytterligare beskrivna i det interna dokumentet säkerhetsfunktioner. 6.1 Säkerhetskrav Dessa säkerhetsfunktioner används av systemet: Tabell 16: Säkerhetsfunktioner ID Beskrivning Säkerhetsmål Metod SAK_SIL_CRT SAK_SYL_KRY Användarnas publika krypteringsnycklar signeras av certifieringsnyckeln. En unik sessionsnyckel (transportnyckel) genereras. Sessionsnyckeln krypteras av klienten med den publika servernyckeln och överföras till servern. Sessionsnyckeln används för att kryptera och autentisera trafiken. Det ska inte gå att ändra eller byta ut krypteringsnycklar under överföring mot andra nycklar som inte har certifierats av servern. Sessionsnyckeln ska inte gå att särskilja från rena slumptal. Det ska inte gå att läsa krypterad information som skickas mellan klient och server. Det ska inte gå att ändra efterföljande 1 information som skickas efter anropet till servern. Digitala signaturer med RSA och SHA-256 (FIPS 180-2). Generering av sessionsnyckel sker i klienten med Bellatrix RNG och krypteras med RSA. Kryptering med blockchiffer AES- 256 CBC (FIPS 197) och autentisering med autentiseringskod HMAC-SHA256 (FIPS 198). SAK_SSR_FLT Anrop som är opassade filtreras bort innan de når servern. Består av filtren ReplayFilter och AmountFilter. Anrop som är återsändna till servern ska avvisas innan hantering. Antalet dekrytperingar ska också begränsas för varje användare och tidsperiod, när den gränsen är nådd så ska resterade anrop från användaren avvisas. Filter som har implementerats i serverns mjukvara. 1 Själva anropet skyddas med digital signatur enligt SAK_SYL_SIG av klienten. Denna säkerhetsfunktion ingår i klientens ST. Dokument: Security Target (ST) för The Secure Channel (server) 19

20 SAK_SSR_DLY En fördröjning görs efter dekryptering av transportnyckeln. Det ska inte gå att beräkna tiden för dekryptering för att på så vis få information om servernyckeln. Fördröjning som har implementerats i serverns mjukvara. SAK_SSR_RAD Information som raderas från servern raderas med överskrivning. Det ska inte gå att återskapa information från rester i filsystemet. Överskrivning med slumptal från svag PRNG. Dokument: Security Target (ST) för The Secure Channel (server) 20

21 6.2 Evalueringskrav Detta stycke finns inte i denna versionen av dokumentet. 6.3 Rimlighetsbedömning av säkerhetskrav Detta stycke innehåller en utvärdering av säkerhetsmål mot säkerhetsfunktioner. Tabell 17: Säkerhetsmål mot säkerhetsfunktioner Säkerhetsmål Säkerhetsfunktion O.Certification SAK_SIL_CRT O.TransportEncryption SAK_SYL_KRY O.DataAuthentication SAK_SYL_KRY O.ReplayFilter SAK_SSR_FLT O.AmountFilter SAK_SSR_FLT O.Delay SAK_SSR_DLY O.Erase SAK_SSR_RAD Dokument: Security Target (ST) för The Secure Channel (server) 21

22 7 Sammanfattande specifikation av TOE (ASE_TSS) Detta stycke ingår inte i denna versionen av dokumentet. Dokument: Security Target (ST) för The Secure Channel (server) 22