logo premier ministre

ANSSI

logo Agence nationale de la sécurité des systèmes d’information

Agence nationale
de la sécurité
des systèmes d’information


Vous êtes ici : Accueil > Produits et prestataires > Produits qualifiés > Carte cryptographique TrustWay PCI S507 et S709

Ressources cryptographiques, Signature électronique et gestion de la preuve

Bull - Carte cryptographique TrustWay PCI S507 et S709

Bull Carte cryptographique TrustWay PCI S507 et S709

présentation générale | caractéristiques de sécurité | caractéristiques techniques

Présentation générale

La carte Bull TrustWay Crypto PCI est une carte cryptographique au format PCI conçue et fabriquée en France par Bull.

Elle constitue un module hardware multi usage qui permet de générer des clés et des signatures numériques pour produire des certificats qualifiés (au sens du décret 2001-272 du 30 mars 2001), mais également de multiples opérations cryptographiques (chiffrement, signature, hachage de données, enveloppement des clés, etc.). Elle assure aussi la sécurité du stockage et de la manipulation des clés grâce à une mémoire sécurisée, qui est effacée en cas de déclenchement de la sécurité.

Elle comporte des mécanismes d'authentification des utilisateurs par carte à puce et de configuration de la politique de sécurité (interdiction des certaines fonctions, sauvegardes des clés, ...).

La carte supporte l'API PKCS#11 à travers les systèmes d'exploitation Linux 2.4 et 2.6 (mono ou multiprocesseur) et Windows XP. Elle s'appuie donc sur des standards du marché facilitant son intégration dans les environnements applicatifs client ou pour des développements spécifiques.

Elle a enfin été conçue pour pouvoir accueillir les évolutions futures des algorithmes (avec par exemple la technologie dite "AES ready") grâce à une mise à jour sécurisée sur le site client.

Caractéristiques de sécurité

La carte cryptographique Bull Trustway Crypto PCI a été certifiée dans ses versions 76675628-220 S507 - RSA4096 (ANSSI-CC-2010/09) et S709 - ECC (ANSSI-CC-2010/10) selon les Critères Communs le 26 Mars 2010, au niveau d'assurance EAL4 augmenté des composants d’assurance suivants : ALC FLR.3 (correction d'anomalies), AVA_VLA.4 (tests de vulnérabilité) , AVA_CCA.1 et ADV_IMP.2 (fourniture de l’ensemble du code).

Les mécanismes cryptographiques ont fait l’objet d’une cotation par l’ANSSI. Ils sont compatibles avec le niveau de résistance visé.

La carte cryptographique Bull Trustway Crypto PCI (versions 76675628-220 S507 et S709) a reçu une qualification au niveau renforcé le 16 avril 2010 [n° 927/ANSSI/SR/RGL].

Elle est également conforme à un profil de protection (PP) certifié par l’ANSSI, relatif aux modules cryptographiques pour les opérations de signature des prestataires de service de certification (qui s’inscrit dans l’application du décret précédemment cité).

Services de sécurité

Les objectifs de sécurité couverts sont les suivants ; la carte doit :

- gérer un fichier d'événements ;
- assurer la confidentialité et l'intégrité des clés durant toute leur durée de vie ;
- exécuter des opérations cryptographiques de manière sécurisée en utilisant des algorithmes et des paramètres conformes aux standards ;
- pouvoir identifier et authentifier les utilisateurs ;
- restreindre l'accès à ses services, en fonction du rôle de l'utilisateur, aux services explicitement assignés à ce rôle ;
- pouvoir exécuter une suite de tests périodiques pour vérifier qu'elle fonctionne correctement et entrer dans un état d'erreur en cas de détection d'erreur ;
- détecter toute tentative d'attaques physiques et entrer dans un état d'erreur en cas de détection d'attaque ;
- supporter la sauvegarde et la restauration des clés en préservant leur confidentialité et leur intégrité ;
- supporter un mécanisme de mise à jour sécurisé de son code embarqué ;
- être initialisée par un mécanise sécurisé basé sur des techniques de secrets partagés entrés par un ou plusieurs administrateurs à travers un chemin de confiance.

Cible de sécurité

La cible de sécurité est la version 3.9 du 8 Mars 2010.

Génération/distribution des clés

La carte supporte les algorithmes suivants :
- AES 256 bits (S507, S709)
- RSA 512 à 4096 bits (S507)
- SHA-2 / HMAC SHA-2 (S507, S709)
- ECC 256 bits (S709)

La génération des clés est conforme à une norme standard et utilise un générateur d'aléas hardware passant les tests Diehard.

Conditions d'emploi

Les hypothèses d'emploi tirées de la cible sont les suivantes :

Configuration

- La carte doit être initialisée et configurée correctement en respectant le guide administrateur ;
- L'application client est supposée avoir le rôle utilisateur et gérer l'identification et l'authentification des utilisateurs individuels.

Exploitation

- L'environnement doit assurer la disponibilité des fichiers d'audit générés et exportés par le produit. Les fichiers d'audit doivent être régulièrement examinés ;
- Les données fournies à la carte par l'application doivent être correctes ;
- L'environnement doit assurer la disponibilité des secrets sauvegardés par la carte (en vue de leur restauration).

Caractéristiques techniques

Performances techniques

Environnements supportés
La carte peut fonctionner dans des environnements Linux 2.4 et 2.6 (mono ou multiprocesseur) et Windows XP.

Performances
Le produit permet :
- 120 Mbits/s en algorithme symétrique et en hachage ;
- Génération, en moyenne, de 4 bi clés RSA 1024 bits par seconde ;
- Génération, en moyenne, d'un bi clé RSA 2048 bits toutes les deux secondes ;
- Stockage sécurisé de 428 bi-clés RSA ;
- 400 signatures par seconde en RSA avec des clés de 1024 bits ;
- 60 signatures par seconde en RSA avec des clés de 2048 bits ;
- 7 signatures par seconde en RSA 4096.

Caractéristiques physiques
Dimensions : H (107 mm), L (320 mm), E (23 mm) ;
Température de fonctionnement : 0 °C à 65 °C ;
Température de stockage : -20 °C à 65 °C ;
Le MTBF du produit est de 100 000 heures ;
Enrobage de sécurité et blindage EMI/RFI ;
Certification CE et UL/CSA.

Raccordement
La carte Bull TrustWay Crypto PCI est conforme aux spécifications PCI 2.2 et utilise un slot PCI long.
La carte possède un connecteur RS232 DB9 intégré pour la liaison d'un lecteur de cartes à microcircuits.
La carte est équipée d'un connecteur pour effacement d'urgence.

API supportés
API PKCS#11 Version 2.1

Informations technico-commerciales

Référence commerciale du produit
Bull TrustWay Crypto PCI

Points de contact
Technique : M. Alain Filée (01 30 80 64 51), alain.filee@bull.net
Commercial : M. Max Tu Ba (01 30 80 72 76), max.tu-ba@bull.net