BSI-DSZ-CC-0952-V2-2016
STARCOS 3.5 ID GCC C3
| Antragsteller / Applicant | Giesecke & Devrient GmbH seit 1. Juli 2017 Giesecke+Devrient Mobile Security GmbH Prinzregentenstr. 159 |
| Prüfstelle / Evaluation Facility |
SRC Security Research & Consulting GmbH |
| Prüftiefe / Assurance |
EAL4+, ALC_DVS.2, ATE_DPT.2, AVA_VAN.5 |
| Schutzprofil / Protection Profile |
Common Criteria Protection Profile Electronic Identity Card (ID_Card PP), Version 1.03, 15 December 2009, BSI-CC-PP-0061-2009 and in accordance with BSI Technische Richtlinie BSI-TR-03116-2, 2016 |
| Ausstellungsdatum / Certification Date |
16.12.2016 |
| gültig bis / valid until |
15.12.2021 |
BSI-DSZ-CC-0952-V2-2016-MA-01 (23.02.2018)
Maintenancereport / Maintenance Report
Das Produkt selbst blieb unverändert. Die Änderungen beziehen sich auf ein zusätzliches Zwischenlager sowie den Umzug des Entwicklungsstandortes. Für beide Standorte liegt ein aktuelles Standort-Zertifikat vor.
The product itself remained unchanged. The changes are related to an additional storage facility and the relocation of the development site. For both sites valid site certificates are existing.
- BSI-DSZ-CC-0952-V2-2016
Zertifizierungsreport / Certification Report
Sicherheitsvorgaben / Security Target
Inhalt der Re-Evaluierung war die Änderung der verwendeten Hardware Plattform und ein Update von der Embedded Software.
The focus of this re-evaluation was on the change of the underlying hardware platform and an updated version of the embedded software. - BSI-DSZ-CC-0952-2014 (17.11.2014)
Zertifizierungsreport / Certification Report
Sicherheitsvorgaben / Security Target
Der Evaluierungsgegenstand (EVG) besteht aus dem Produkt STARCOS 3.5 ID GCC C2R der Firma Giesecke & Devrient GmbH, welches den Chip M7820 A11 von Infineon Technologies enthält.
Der Evaluationsgegenstand (EVG) ist der "Elektronische Personalausweis (ID_Card)", eine kontaktlose Chipkarte die gemäß der Technischen Richtlinie TR-03110, Version 2.10 implementiert ist und folgende Anwendungen beinhaltet:
- die ePass-Anwendung mit den entsprechenden Daten des Inhabers der ID_Card (inkl. biometrische Daten) als auch den Daten für die Authentikation (inkl. MRZ) wie in der TR-03110, Kap. 3.1.1 spezifiziert. Mit dieser Anwendung kann der TOE als maschinenlesbarer Personalausweis benutzt werden (MRTD);
- the eID-Anwendung, wie in der TR-03110, Kap. 3.1.2 spezifiziert, mit den entsprechenden Daten des Inhabers der ID_Card und den Daten für die Authentikation. Diese Anwendung kann für den Zugang zur Verwaltungsdiensten und kommerziellen Diensten genutzt werden, die Zugriff auf die Daten den Inhabers benötigen, welche im Kontext dieser Applikation gespeichert sind.
- die Signatur-Anwendung, wie in der TR-03110, Kap. 3.1.3 spezifiziert, die Daten enthält für die Generierung der qualifizierten Signatur durch den Inhaber der ID_Card als auch für die Authentikation des Inhabers.
Die Anwendung kann im Umfeld von Verwaltungsdiensten und kommerziellen Diensten genutzt werden, wo fortgeschrittene und qualifizierte elektronische Signaturen des Inhabers der ID_Card benötigt werden. Die Signatur-Anwendung ist optional. Dies bedeutet, dass die Signatur-Anwendung optional auf der ID_Card durch den Herausgeber der ID_Card autorisiert durch einen Zertifizierungsdienst aktiviert werden kann. Die Signatur-Anwendung kann durch den Inhaber der ID_Card auf "operational" oder "nicht operational" gesetzt werden.
Target of evaluation (TOE) is the product STARCOS 3.5 ID GCC C2R on the M7820 A11 Infineon Technologies hardware platform provided by Giesecke & Devrient GmbH..
The TOE is the electronic Identity Card (ID_Card) representing a contactless smart card programmed according to the Technical Guideline TR-03110, Version 2.10 and including the following applications:
- the ePassport Application containing the related user data (incl. biometric data) as well as the data needed for authentication (incl. MRZ) as specified in the TR-03110, chap. 3.1.1. With this application the TOE is intended to be used as a machine readable travel document (MRTD);
- the eID Application as specified in the TR-03110, chap. 3.1.2 including the related user data and the data needed for authentication. This application is intended to be used for accessing official and commercial services, which require access to the user data stored in the context of this application;
- the eSign Application as specified in the TR-03110, chap. 3.1.3 containing data needed for quali-fied electronic signatures on behalf of the ID_Card Holder as well as for user authentication.
This application is intended to be used in the context of official and commercial services, where an advanced or qualified electronic signature of the ID_Card Holder is required. The eSign application is optional: it means that it can optionally be activated on the ID_Card by a Certification Service authorized by the ID_Card Issuer. It can be set to "operational" or "non-operational" by the ID_Card Holder.