高信頼アップデート (FPT_TUD)

5.6.6.1 高信頼アップデート：TSFバージョン問い合わせ

FPT_TUD_EXT.1 拡張：高信頼アップデート：TSFバージョン問い合わせ

FPT_TUD_EXT.1.1 TSFは、TOEファームウェア／ソフトウェアの現在のバージョンを問 い合わせる能力を許可利用者へ提供しなければならない (shall)。

FPT_TUD_EXT.1.2 TSFは、デバイスのハードウェアモデルの現在のバージョンを問い合わ せる能力を許可利用者へ提供しなければならない (shall)。

適用上の注釈：デバイスのハードウェアモデルの現在のバージョンは、デバイスを構成す るハードウェアを (製造業者の文書と連携して) 示すために十分な識別子である。

FPT_TUD_EXT.1.3 TSFは、インストールされたモバイルアプリケーションの現在のバージ ョンを問い合わせる能力を許可利用者へ提供しなければならない (shall)。

適用上の注釈：モバイルアプリケーションの現在のバージョンは、インストールされた各 モバイルアプリケーションの名称と公開されたバージョン番号である。

保証アクティビティ：

評価者は、モバイルデバイス、及び管理機能の利用方法を示す任意の支援ソフトウェアか ら構成されるテスト環境を確立しなければはならない (shall)。 これは、開発者からのテス トソフトウェア、開発者からの管理ソフトウェアの参照実装、または他の商用ソフトウェ アであってもよい。 評価者は、提供されたガイダンス文書に従い管理機能を行使するため モバイルデバイスとその他のソフトウェアを設定しなければならない (shall)。

テスト1：提供されたAGDガイダンスを用いて、評価者は、管理者及び利用者が以下を問 い合わせることができることをテストしなければならない (shall)：

 TSF オペレーティングシステム及び個別にアップデート可能なファームウェアの 現在のバージョン

 TSFのハードウェアモデル

 すべてのインストールされたモバイルアプリケーションの現在バージョン

評価者は、ハードウェアモデルの識別子がデバイスを構成するハードウェアを特定するた めに十分であることを保証するため、製造業者の文書をレビューしなければならない (must)。

5.6.6.2 高信頼アップデート検証

FPT_TUD_EXT.2 拡張：高信頼アップデート検証

FPT_TUD_EXT.2.1 TSF は、アプリケーションプロセッサのシステムソフトウェア及び [選択： [割付：その他のプロセッサのシステムソフトウェア]、その他のプロセッサのシス テムソフトウェアなし] へのアップデートを、それらのアップデートのインストール前に、

製造業者によるデジタル署名を用いて、検証しなければならない (shall)。

適用上の注釈：デジタル署名メカニズムは、FCS_COP.1.1(3) に従い実装される。

現時点では、本要件は、アプリケーションプロセッサの外部で動作するソフトウェアへの ソフトウェアアップデートの検証を要求していない。

サポートされるメカニズムを介した、不揮発性ストレージに常駐するソフトウェアへの任 意の変更は、ソフトウェアアップデートとみなされる。つまり、ソフトウェアがデバイス へ届く方法または配付される方法に関わらず、本要件はTSFソフトウェアアップデートに 適用される。 これには、有線インタフェース経由でデバイスへ配付され得るソフトウェア を含むパーティションイメージと同様に無線経由 (OTA) のアップデートも含まれる。

FPT_TUD_EXT.2.2 TSF は、TSF ブート完全性 [選択：鍵、ハッシュ] を [選択：絶対に アップデートしない、検証済みソフトウェアによってのみアップデートする ]ようにしなけ ればならない(shall)。

適用上の注釈： 本要件によるアップデートされた鍵またはハッシュは、FPT_TST_EXT.2 での実行前にソフトウェアを検証するために使用される。 鍵またはハッシュは、アップデ ートにおけるデジタル署名の一部として検証され、また鍵またはハッシュのアップデート を実行するソフトウェアはFPT_TST_EXT.2により検証される。

FPT_TUD_EXT.2.3 TSF は、TSF アップデート用に使用されるデジタル署名検証の鍵が [選択：トラストアンカーデータベースにおける公開鍵に対して検証される、ハードウェア 保護された公開鍵と一致する] ことを検証しなければならない (shall)。

適用上の注釈：ST作成者は、システムソフトウェアのアップデート用署名鍵が制限される

方法を示さなければならず (shall)、また FPT_TUD_EXT.2.3で選択されている場合、この 署名鍵がハードウェアでどのように保護されるかを示さなければならない (shall)。

証明書が使用される場合、証明書は、FIA_X509_EXT.1に従いソフトウェアアップデートの 目的のために検証され、また FIA_X509_EXT.2.1 で選択されるべきである (should)。さら に、FPT_TUD_EXT.2.6がSTに含まれなければならない (must)。

本要件の文脈では、「ハードウェア保護された」は、ソフトウェアに署名するために使用さ れるプライベート鍵が製造業者のプライベート鍵である場合には公開鍵を用いた署名の検 証が成功しないように、暗号技術的な値 (例えば、公開鍵またはハッシュ) がデバイスハー ドウェアにより変更不可能に保存されることを意味する。この値は、不許可暴露に対して 保護される必要はなく、不許可改変に対してのみ保護されればよい。

保証アクティビティ：

評価者は、システムソフトウェアをアップデートするためのTSFソフトウェアアップデー トメカニズムが ST の TSS セクションに記述されていることを検証しなければならない

(shall)。 評価者は、その記述にインストール前のソフトウェアのデジタル署名検証が含ま

れることと、検証が失敗した場合にインストールが失敗することを検証しなければならな い (shall)。評価者は、TSFのアップデートに関わるすべてのソフトウェア及びファームウ ェアが記述されていること、また複数の段階とソフトウェアが示されている場合、各段階 に関与するソフトウェア／ファームウェアが示され、アップデートの署名検証を実行する 段階が識別されていることを検証しなければならない (shall)。

評価者は、デジタル署名が検証される方法と、署名の検証に使用される公開鍵がハードウ ェア保護されたものであるか、またはトラストアンカーデータベースの公開鍵へのチェイ ンに対して検証されるたものかいずれかであることがTSSに記述されていることを検証し なければならない (shall)。 ハードウェア保護が選択された場合、評価者は、ハードウェア 保護の方法が記述され、ST作成者が不許可者により公開鍵が改変されない理由について正 当化していることを検証しなければならない (shall)。

[条件付き] ST作成者が、その他のプロセッサ上で実行中のシステムソフトウェアへのソフ

トウェアアップデートが検証されることを示している場合、評価者は、これらの他のプロ セッサがTSSに列挙されていること、及びその記述が、アプリケーションプロセッサ上で 実行中のソフトウェア用のアップデートメカニズムと異なる場合、これらのプロセッサ用 のソフトウェアアップデートメカニズムを含むことを検証しなければならない (shall)。

[条件付き] ST作成者が、ソフトウェアアップデートのデジタル署名検証用に公開鍵が使用

されることを示している場合、評価者は、アップデートメカニズムが FIA_X509_EXT.1 に 従い証明書の有効性確認を含み、extendedKeyUsageのコード署名目的のチェックを含むこ とを検証しなければならない (shall)。

評価者は、利用可能な各アップデートメカニズムについて以下のテストが実行された証拠 資料を開発者が提供したことを検証しなければならない (shall)：

テスト1：試験者は、デジタル署名のないアップデートのインストールを試行しなければな らず (shall)、またインストールが失敗することを検証しなければならない (shall)。試験者 は、デジタル署名のあるアップデートのインストールを試行しなければならず、またイン ストールが成功することを検証しなければならない (shall)。

テスト2：試験者は、デバイスにより許可されない鍵でアップデートに対してデジタル署名 し、インストールが失敗することを検証しなければならない (shall)。 試験者は、許可され た鍵でアップデートに対してデジタル署名し、インストールが成功することを検証しなけ

ればならない (shall)。

テスト3: [条件付き] 試験者は、無効な証明書を用いてアップデートに対してデジタル署名 しなければならず、アップデートのインストールが失敗することを検証しなければならな い (shall)。 試験者は、コード署名目的を持たない証明書でアップデートに対してデジタル 署名し、アプリケーションのインストールが失敗することを検証しなければならない

(shall)。 試験者は、有効な証明書とコード署名目的を含む証明書を用いてテストを繰り返

し、アプリケーションのインストールが成功することを検証しなければならない (shall)。

テスト4：[条件付き] 試験者は、最初の選択中に列挙された各プロセッサの上で実行される ソフトウェアについてこのテストを繰り返さなければならない (shall)。 試験者は、デジタ ル署名のないアップデートのインストールを試行しなければならず (shall)、そしてインス トールが失敗することを検証しなければならない (shall)。 試験者は、デジタル署名のある アップデートのインストールを試行し、インストールが成功することを検証しなければな らない (shall)。

FPT_TUD_EXT.2.4 TSFは、モバイルアプリケーションソフトウェアをインストール前に デジタル署名メカニズムを用いて検証しなければならない (shall)。

適用上の注釈：本要件は、X.509v3 証明書または証明書の有効性確認を強制はしない。

X.509v3証明書と証明書有効性確認は、FPT_TUD_EXT.2.5において対処される。

保証アクティビティ：

評価者は、モバイルアプリケーションソフトウェアがインストール時に検証される方法に ついてTSS が記述していることを検証しなければならない (shall)。 評価者は、この方法 がデジタル署名を使用していることを保証しなければならない (shall)。

テスト1：評価者は、アプリケーションを書かくか、または開発者がアプリケーションを提 供しなければならない (shall)。 評価者は、デジタル署名を持たないこのアプリケーション のインストールを試行し、インストールが失敗することを検証しなければならない (shall)。

評価者は、デジタル署名されたアプリケーションのインストールを試行し、インストール が成功することを検証しなければならない (shall)。