暗号鍵ストレージ (FCS_STG)

本セクションでは、どのように鍵が保護されるのかを記述する。すべての鍵は最終的にREK によって保護されなければならず (must)、またオプションとして利用者のパスワードによ って保護されてもよい。それぞれの鍵の機密性と完全性は、保護されなければならない (must)。また本セクションでは、アプリケーション及び利用者による利用のためモバイルデ バイスによって提供されるべきセキュアな鍵ストレージサービスについても記述する。こ れらの鍵には、OS内部の鍵と同一のレベルの保護が適用される。

5.2.7.1 セキュアな鍵ストレージ

FCS_STG_EXT.1 拡張：暗号鍵ストレージ

FCS_STG_EXT.1.1 TSFは、非対称プライベート鍵及び [選択：対称鍵、永続的秘密、その 他の鍵なし] に [選択：ハードウェアの、ハードウェア分離された、ソフトウェアベースの] セキュアな鍵ストレージを提供しなければならない (shall)。

適用上の注釈：このセキュアな鍵ストレージが完全にハードウェアで実装されている場合、

ST作成者は「ハードウェア」を選択しなければならない (shall)。鍵ストレージは、、OSが 鍵による操作を要求することしか許されないように、鍵の生のバイトがTSF上のいかなる ソフトウェアにも利用できない場合、完全にハードウェアで実装されているとみなされる。

ハードウェアの鍵ストアは、USB、microSD、及びBluetoothを含む、さまざまなインタフ ェースを通してTSFへ公開され得る。

セキュアな鍵ストレージが、処理とメモリの両方でリッチOSから分離された、別個のプロ セッサ実行環境で実装されている場合、ST作成者は「ハードウェア分離された」を選択し なければならない (shall)。

セキュアな鍵ストレージがFCS_STG_EXT.2 によって要求されるように保護されたソフト ウェアで実装されている場合、ST作成者は「ソフトウェアベースの」を選択しなければな らない (shall)。「ソフトウェアベースの」が選択される場合、ST作成者はFCS_STG_EXT.2 中の「すべてのソフトウェアベースの鍵ストレージ」を選択しなければならない (shall)。

すべての対称鍵及び永続的秘密のためのセキュアな鍵ストレージのサポートは、将来の版 で要求されることになる。

FCS_STG_EXT.1.2 TSF は、[選択：利用者、管理者] 及び [選択：TSF 上で動作中のアプ リケーション、その他のサブジェクトなし] の要求により、鍵／秘密をセキュアな鍵ストレ ージへインポートできなければならない (shall)。

適用上の注釈：ST作成者が利用者のみを選択した場合、ST作成者は FMT_MOF_EXT.1.1 中の機能11もまた選択しなければならない (shall)。

FCS_STG_EXT.1.3 TSF は、[選択：利用者、管理者] の要求により、セキュアな鍵ストレ ージの中の鍵／秘密を破棄できなければならない (shall)。

適用上の注釈：ST作成者が利用者のみを選択した場合、ST作成者は FMT_MOF_EXT.1.1 中の機能12もまた選択しなければならない (shall)。

FCS_STG_EXT.1.4 TSF は、鍵／秘密をインポートしたアプリケーションにのみ、その鍵

／秘密の利用を許可することができなければならない (shall)。例外は、[選択：利用者、管 理者、共通アプリケーション開発者] により明示的に許可された場合のみかもしれない。

適 用 上 の 注 釈 ：ST 作 成 者 が 利 用 者 ま た は 管 理 者 を 選 択 し た 場 合 、ST 作 成 者 は

FMT_SMF_EXT.1.1中の機能34もまた選択しなければならない (must)。ST作成者が利用

者のみを選択した場合、ST作成者はFMT_MOF_EXT.1.1中の機能34もまた選択しなけれ ばならない (shall)。

FCS_STG_EXT.1.5 TSF は、鍵／秘密をインポートしたアプリケーションにのみ、その鍵

／秘密の破棄を要求することを許可しなければならない (shall)。例外は、[選択：利用者、

管理者、共通アプリケーション開発者] により明示的に許可された場合のみかもしれない。

適 用 上 の 注 釈 ：ST 作 成 者 が 利 用 者 ま た は 管 理 者 を 選 択 し た 場 合 、ST 作 成 者 は

FMT_SMF_EXT.1.1中の機能35もまた選択しなければならない (must)。ST作成者が利用

者のみを選択した場合、ST作成者はFMT_MOF_EXT.1.1中の機能35もまた選択しなけれ ばならない (must)。

保証アクティビティ：

このコンポーネントの保証アクティビティには、STのTSSを検査して、要求されるセキュ アな鍵ストレージを TOE が実装していることを判断することが必要とされる。評価者は、

「ハードウェアの」、「ハードウェア分離された」、または「ソフトウェアベースの」の選択 を正当化する鍵ストレージメカニズムの記述がTSSに含まれることを検証しなければなら ない (shall)。

評価者はAGDガイダンスををレビューして、鍵／秘密をインポートまたは破棄するために 必要な手順が記述されていることを判断しなければならない (shall)。また評価者は、セク

ション6.2.1に従って提供されるAPI文書に、これらの要件に記述されるセキュリティ機能

(インポート、利用、及び破棄) が含まれることを検証しなければならない (shall)。API 文

書には、FCS_STG_EXT.1.4を満たすためにアプリケーションへ鍵／秘密へのアクセスを制

限するための方法が含まれなければならない (shall)。

評価者は、各セキュリティ機能の機能をテストしなければならない (shall)。

テスト 1：評価者は、AGD に従ってサポートされるそれぞれの種類の鍵／秘密をインポー トしなければならない (shall)。評価者は、サポートされるそれぞれの種類の鍵／秘密を生 成しインポート機能を呼び出すアプリケーションを書かなければならない (shall)。または、

開発者がそのようなアプリケーションへのアクセスを提供しなければならない (shall)。評 価者は、インポート中に何のエラーも発生しないことを検証しなければならない (shall)。

テスト2：評価者は、インポートされた種類の鍵／秘密を利用するアプリケーションを書か なければならない (shall)。または、開発者がそのようなアプリケーションへのアクセスを 提供しなければならない (shall)。

○ RSAについては、秘密はデータの署名に使用されなければならない (shall)。

○ ECDSAについては、秘密はデータの署名に使用されなければならない (shall)

将来は、これ以外の種類もテストが要求されることになる。

○ 対称アルゴリズムについては、秘密はデータの暗号化に使用されなければならな い (shall)。

○ 永続的秘密については、秘密はインポートされた秘密と比較されなければならな い (shall)。

評価者は、アプリケーションによってインポートされた鍵／秘密及び異なるアプリケーシ ョンのインポートされた鍵／秘密と共にこのテストを繰り返さなければならない (shall)。

評価者は、利用者によって、または異なるアプリケーションによってインポートされた鍵

／秘密の使用をアプリケーションに許可する前に、TOE が承認を必要とすることを検証し なければならない (shall)。

○ 評価者は承認を拒否し、記述されたとおりアプリケーションがその鍵／秘密を使 用できないことを検証しなければならない (shall)。

○ 評価者はこのテストを繰り返し、承認を許可してアプリケーションがその鍵／秘 密を使用できることを検証しなければならない (shall)。

ST作成者が「共通アプリケーション開発者」を選択した場合、このテストは異なる開発者 からのアプリケーションを使用するか、 (API 文書に従って) 適切に共有を承認しないか、

いずれかによって行われる。

テスト 3：評価者は、AGD ガイダンスに従ってサポートされるそれぞれの種類の鍵／秘密 を破棄しなければならない (shall)。評価者は、インポートされた種類の鍵／秘密を破棄す るアプリケーションを書かなければならない (shall)。または、開発者がそのようなアプリ

ケーションへのアクセスを提供しなければならない (shall)。

評価者は、アプリケーションによってインポートされた鍵／秘密及び異なるアプリケーシ ョンのインポートされた鍵／秘密と共にこのテストを繰り返さなければならない (shall)。

評価者は、管理者によって、または異なるアプリケーションによってインポートされた鍵

／秘密の破棄をアプリケーションに許可する前に、TOE が承認を必要とすることを検証し なければならない (shall)。

○ 評価者は承認を拒否し、記述されたとおりアプリケーションがその鍵／秘密を引 き続き使用できることを検証しなければならない (shall)。

○ 評価者はこのテストを繰り返し、承認を許可してアプリケーションがもはやその 鍵／秘密を使用できないことを検証しなければならない (shall)。

ST作成者が「共通アプリケーション開発者」を選択した場合、このテストは異なる開発者 からのアプリケーションを使用するか、 (API 文書に従って) 適切に共有を承認しないか、

いずれかによって行われる。

5.2.7.2 保存された鍵の暗号化

FCS_STG_EXT.2 拡張：暗号化された暗号鍵のストレージ

FCS_STG_EXT.2.1 TSFは、DEK及びKEKならびに [選択：長期高信頼チャネル鍵材料、

すべてのソフトウェアベースの鍵ストレージ、その他の鍵なし] を、以下の KEKによって 保護しなければならない (shall) [選択：

1) 以下によってREKに保護されるもの [選択：

a. REKによる暗号化、

b. REKへチェインするKEKによる暗号化]、

2) 以下によってREK及びパスワードに保護されるもの [選択：

a. REK及びパスワードから導出されたKEKによる暗号化、

b. REKへチェインするKEK及びパスワードから導出されたKEKによる暗号化] ]。

適用上の注釈：FCS_STG_EXT.1.1において「ソフトウェアベースの」が選択される場合、

ST 作成者は「すべてのソフトウェアベースの鍵ストレージ」を選択しなければならない

(must)。FCS_STG_EXT.1.1においてST作成者が「ハードウェアの」または「ハードウェ

ア分離された」を選択する場合、セキュアな鍵ストレージは本要件の対象とはならない。

REKは、本要件の対象とはならない。

REK及びパスワードから導出されたKEKは、本要件を満たすために結合されて結合KEK を形成してもよい (FCS_CKM_EXT.3に記述されるように)。

機微なデータは、REK及びパスワードによって保護される。本体にFDP_DAR_EXT.2が含 まれる場合、この機微なデータには利用者またはエンタープライズデータの一部または全 部が含まれる。ソフトウェアベースの鍵ストレージは、すべて機密性がある (REK 及びパ スワードによって保護される) か、FDP_DAR_EXT.2.1に従って鍵を機密性がある (REK及 びパスワードによって保護される) とマークすることを利用者及びアプリケーションに許 可するか、いずれかでなければならない (shall)。

すべての鍵は最終的にREKによって保護されなければならない (must)。機微なデータは、

パスワードによって保護されなければならない (must) (選択2)。特に、図3にはこれらの 要件に従って保護されたKEKが含まれている。DEK_1は2aを満たし機微なデータに適当

であり、DEK_2は1bを満たし機微なデータに適当ではなく、K_1は1aを満たし機密性の

ある鍵とはみなされず、そしてK_2は2bを満たし機密性のある鍵とみなされる。

長期高信頼チャネル鍵材料には、IPsecやWiFiの事前共有鍵並びにリンク鍵、長期鍵 (LTK)、

コネクション署名解決鍵 (CSRK)、識別情報解決鍵 (IRK)、及び汎用AMPリンク鍵などの

Bluetooth鍵が含まれる。これらの鍵は、ロック状態においても必要とされる可能性がある

ため、パスワードによって保護されてはならない (shall not)。長期高信頼チャネル鍵材料の 暗号化は、2015年の第3四半期以降に評価に入る製品について必須となる。

保証アクティビティ：

評価者は、保存データ用の各 DEK、ソフトウェアベースの鍵ストレージ、長期高信頼チャ ネル鍵、及び DEK、長期高信頼チャネル鍵とソフトウェアベースの鍵ストレージの保護に 関連するKEKについての保護における鍵の階層構造の記述がTSSに含まれていることを決 定 するた めに TSS をレ ビュー しなけ ればなら ない (shall)。こ の記述 には、 実装が

FCS_STG_EXT.2を満たすことを論証するためにTOEによって実装された鍵階層構造を説

明する図が含まれなければならない (must)。その記述には、FCS_RBG_EXT.1によって記 述される機能がDEK (FCS_CKM_EXT.2)を生成するために起動される方法、それぞれの鍵

の鍵長 (FCS_CKM_EXT.2 及び FCS_CKM_EXT.3)、それぞれの KEK が形成される方法

(FCS_STG_EXT.3に従って生成、導出、または結合される(combined))、暗号化された鍵の

それぞれについて完全性の保護方法 (FCS_STG_EXT.3)、そして同一のKEKによって暗号 化される鍵のそれぞれについての IV 生成 (FCS_IV_EXT.1) が示されなければならない (shall)。各タスクのさらなる詳細は、関連する要件に従う。

FCS_STG_EXT.2.2 DEK及びKEKならびに [選択：長期高信頼チャネル鍵材料、すべての ソフトウェアベースの鍵ストレージ、その他の鍵なし] は、 [選択：鍵ラップ (KW) モード、

パディング付きの鍵ラップ (KWP) モード、GCM、CCM、CBC モード] の AES を用いて 暗号化されなければならない (shall)。

適用上の注釈：128 ビットまたは 256 ビットのいずれか (または両方) が許可される。ST 作成者は、デバイスに適切な選択を行う。本要件は、本PPで定義されるKEKにのみ適用 され、その他の規格で特定されるKEKには適用されない。

保証アクティビティ：

評価者は、それぞれの鍵 (DEK、ソフトウェアベースの鍵ストレージ、及びKEK) が、選択 されたモードの一つを用いたセキュリティ強度以上の鍵によって暗号化されることを保証 するためにTSSに鍵階層構造のセクションを検査しなければならない (shall)。

評価者は、それぞれのDEKとソフトウェア保存鍵がFCS_STG_EXT.2に従って暗号化され ることを検証するためにTSS中の鍵階層構造の記述を検査しなければならない (shall)。

5.2.7.3 保存された鍵の完全性

FCS_STG_EXT.3 拡張：暗号化鍵ストレージの完全性

FCS_STG_EXT.3.1 TSFは、任意の暗号化されたDEK及びKEKならびに [選択：長期高信 頼チャネル鍵材料、すべてのソフトウェアベースの鍵ストレージ、その他の鍵なし] の完全 性を以下によって保護しなければならない (shall) [選択：

 FCS_STG_EXT.2に従う暗号化の [選択：GCM、CCM、鍵ラップ、パディング付