暗号鍵の破棄

FCS_CKM_EXT.4 拡張：鍵の破棄

FCS_CKM_EXT.4.1 TSFは、以下の特定された暗号鍵破棄方法に従って暗号鍵を破棄しな ければならない (shall)：

 目的の鍵を暗号化するKEKをクリアすることによって、

 以下のルールに従って：

○ 揮発性メモリについては、 [選択：TSFのRBGを用いた疑似ランダムパター ンからなる、ゼロからなる] 単一の直接上書きと、それに引き続く読み出し検 証によって破棄が実行されなければならない (shall)。

○ 不揮発性EEPROMについては、TSFのRBG (FCS_RBG_EXT.1に規定され

るように) を用いた疑似ランダムパターンからなる単一の直接上書きと、それ に引き続く読み出し検証によって破棄が実行されなければならない (shall)。

○ 不揮発性フラッシュメモリについては、 [選択：ゼロからなる単一直接上書き とそれに引き続く読み出し検証によって、ブロック消去とそれに引き続く読 み出し検証によって] 破棄が実行されなければならない (shall)。

○ EEPROMとフラッシュメモリ以外の不揮発性メモリについては、毎回書き込

み前に改変されるランダムパターンで 3 回以上上書きすることによって破棄 が実行されなければならない (shall)。

適用上の注釈：上述のクリアは、平文鍵／暗号クリティカルセキュリティパラメタの各中 間ストレージ領域 (すなわち、メモリバッファなど任意のストレージであって、そのような データの経路中に含まれるもの) に、その鍵／暗号クリティカルセキュリティパラメタが別 の場所へ転送された際、適用される。

平文鍵材料は不揮発性メモリへの書き込みが許されないため (FPT_KST_EXT.1)、第2の選 択は揮発性メモリへ書き込まれる鍵材料にのみ適用される。

FCS_CKM_EXT.4.2 TSFは、すべての平文鍵材料とセキュリティパラメタを、もはや必要 とされなくなった際に破棄しなければならない (shall)。

適用上の注釈：本要件の目的においては、平文鍵材料とは認証データ、パスワード、秘密

／プライベート対称鍵、鍵の導出に使用されたデータなどを指す。鍵破棄手続きは、

FCS_CKM_EXT.4.1に従って行われる。

2015年の第3四半期以降に評価に入る製品については、平文鍵材料はパスワードから導出 された値を意味することになる。

例えばTOEの電源が切られている際、ワイプ機能が行われた際、高信頼チャネルが切断さ れた際、鍵材料がもはや高信頼チャネルのプロトコルによって必要とされなくなった際、

及びロック状態へ移行した際など、平文鍵材料がもはや必要とされない状況は複数存在す る (パスワード認証ファクタから導出された値または FCS_STG_EXT.2 に従ってパスワー ドから導出されたKEKによって保護される鍵材料に関しては、図3を参照のこと)。ロック 状態で受信された機微なデータを保護する鍵 (またはこれらの鍵を導出するために使用さ れる鍵材料) については、「もはや必要なくなった際」には「ロック状態にある間」が含ま れる。

高信頼チャネルには、TLS、HTTPS、DTLS、IPsec VPN、IEEE 802.11、EAP-TLS、Bluetooth

BR/EDR、及び Bluetooth LEが含まれる可能性がある。これらのチャネルの平文鍵材料に

は、マスター秘密、セキュリティアソシエーション (SA)、事前共有鍵 (PSK)、ペアごとの マスター鍵 (PSK)、リンク鍵、及び長期鍵 (LTK) などが含まれる (が、これらには限定さ れない)。

リッチ OS と同一のアプリケーションプロセッサ上の別個の実行環境内で1 つまたは複数 のREKが処理される場合、REK鍵材料は使用直後にRAMからクリアされなければならず (must)、また少なくとも、デバイスがロックされた際にはワイプされなければならない

(must)。REKは、機微なデータを保護する鍵階層構造の一部だからである。

さらに、IEEE 802.11-2012では無線LANクライアントのPMKの寿命を定めていない (IEEE

802.11-2012 Section 11.6.1.3 に記述されている) が、この寿命は制限されるべきであり

(should)、またPMKSAは、同一のPMKが24時間を超えて連続して使われないようにクリ

アされるべきである。したがって、PMKについては、「もはや必要とされなくなった際」は 24時間後である。

保証アクティビティ：

評価者は、平文鍵材料の各種別 (DEK、ソフトウェアベースの鍵ストレージ、KEK、高信頼 チャネル鍵、パスワードなど) が、その生成元 (origin) 及びストレージの場所を含めてTSS に列挙されていることをチェックして保証しなければならない (shall)。

評価者は、鍵材料の各種別がいつクリアされるのか (例えば、システムの電源断の際、ワイ プ機能の際、高信頼チャネルの切断の際、高信頼チャネルのプロトコルによってもはや必 要とされなくなった際、ロック状態への移行の際、及び、場合によっては使用直後、ロッ ク状態にいる間など) TSSに記述されていることをチェックして検証しなければならな い (shall)。

また評価者は、鍵の種別のそれぞれについて、行われる消去処理の種別 (暗号学的消去、ゼ ロで上書き、ランダムパターンで上書き、またはブロック消去) が列挙されていることも検 証しなければならない (shall)。異なる種類のメモリが保護されるべき材料の格納に使用さ れる場合、評価者はデータが格納されるメモリに応じた消去処理 (例えば、「フラッシュメ モリに格納される秘密鍵はゼロで 1 度上書きすることによってクリアされるが、内部永続 的ストレージデバイス上に格納される秘密鍵は書き込みごとに変化するランダムパターン を3度上書きすることによってクリアされる」) がTSSに記述されていることを保証する ためチェックしなければならない (shall)。ブロック消去について、評価者は使用されるブ ロック消去コマンドが列挙されていることも保証しなければならず (shall)、また使用され るコマンドが平文鍵材料の任意のコピー及びフラッシュメモリの使用を最適化するために 作成されるかもしれないコピーにも対応していることを検証しなければならない (shall)。

保証アクティビティの注釈：以下のテストには、工場製品には通常含まれないツールを評 価者へ提供するテストプラットフォームへのアクセスを、開発者が提供することが要求さ れる。

ソフトウェア及びファームウェア鍵クリア状況のそれぞれ (システムの電源断の際、ワイプ 機能の際、高信頼チャネルの切断の際、高信頼チャネルのプロトコルによってもはや必要 とされなくなった際、ロック状態への移行の際、及び、場合によっては使用直後、ロック 状態にいる間を含む) について、評価者は以下のテストを繰り返さなければならない

(shall)。この時点で、ハードウェアに束縛された鍵はテストから明示的に除外されることに

注意されたい。

テスト1：評価者は、TOE及び計測機能を備えたTOEビルドに適切な専用の運用環境と開 発ツール (デバッガ、シミュレータなど) の組み合わせを利用して、鍵 (その鍵に関する通 常の暗号処理中にTOEによって内部的に作成される可能性のある鍵の中間コピーのすべて を含む) が正しくクリアされることをテストしなければならない (shall)。

ソフトウェア中の暗号TOE実装は、デバッガの下でロード及び行使され、そのようなテス トが行われなければならない (shall)。評価者は、TOEによって永続的に暗号化される鍵の 中間コピーを含め、クリア対象となる鍵のそれぞれについて、以下のテストを実行しなけ ればならない (shall)：

1. 計測機能を備えたTOEビルドをデバッガへロードする。

2. クリア対象となるTOE内の鍵の値を記録する。

3. #1の鍵に関する通常の暗号処理をTOEに行わせる。

4. TOEに鍵をクリアさせる。

5. TOEに実行を停止させるが、終了はさせない。

6. TOEに、TOEの全メモリフットプリントをバイナリファイルへダンプさせる。

7. #4 で作成されたバイナリファイルの内容から、#1 の既知の鍵の値のインスタンス

を検索する。

このテストは、ステップ#7で#1の鍵のコピーが見つからなかった場合に成功し、それ以外 の場合に失敗する。

評価者はこのテストを、暗号化された形態で永続するものを含めたすべての鍵に関して行 い、中間コピーがクリアされることを保証しなければならない (shall)。

テスト 2：TOE がファームウェアに実装されておりデバッガを用いることができない制限 された運用環境で動作している場合、評価者は汎用オペレーティングシステム上でTOEの シミュレータを利用しなければならない (shall)。評価者は、シミュレートされたテスト環 境という計測設備を説明し、得られたテスト結果を正当化する根拠を提供しなければなら ない (shall)。