Bundesamt für Sicherheit in der Informationstechnik

BSI-CC-PP-0067-2010

Operating System Protection Profile (OSPP)

Herausgeber / Issuer

Bundesamt für Sicherheit in der Informationstechnik

Godesberger Allee 185-189
53175 Bonn

Prüfstelle / Evaluation Facility

Tele-Consulting security | networking | training GmbH

Prüftiefe des Produktes / Assurance of the TOE

ALC_FLR.3, EAL4+

Version der CC / CC Version

3.1 R3

Ausstellungsdatum / Certification Date

02.06.2010

Zertifizierungsreport / Certification Report
Schutzprofil / Protection Profile
OSPP - Extended Packages

Das Schutzprofil "Operating System Protection Profile, Version 2.0" dient als Grundlage für die Entwicklung eines Security Targets zur Zertifizierung eines universellen Betriebssystems, das in einer Netzwerkumgebung eingesetzt werden kann. Dieses Schutzprofil ist unterteilt in ein "Basisdokument" und einen Satz von acht optional wählbaren "Extended Packages". Durch diese Struktur kann das Schutzprofil auf verschiedene Einsatzumgebungen und operationelle Anforderungen angewandt werden. Betriebssysteme arbeiten oft in einer Umgebung, die zentralisierte Dienste anbieten, die von einer großen Anzahl von Systemen innerhalb einer Organisation genutzt werden. Von einem modernen Universalbetriebssystem wird erwartet, dass es zentrale Dienste zur Implementierung von Sicherheitsfunktionen z.B. Authentisierungsserver, Verzeichnisdienste, Zertifikatsserver oder Protokollierungsserver nutzt. Da moderne Betriebssysteme Funktionen wie zentrale Sicherheitsdienste implementieren, müssen sie auch als Server für diese Dienste agieren können. Die "Extended Packages" erlauben diese zentrale Sicherheitsdienste abzubilden. Das Zusammenarbeiten mit anderen "trusted" IT-Systemen beschränkt sich nicht auf zentrale Dienste, sondern kann auch durch eine Peer-to-Peer Verbindung verwirklicht werden. Ein Beispiel ist die Authentisierung eines menschlichen Anwenders, der sich mit Hilfe seiner PIN und Smartcard anmeldet. In diesem Beispiel authentisiert sich den Anwender mit seiner PIN gegenüber der Smartcard und die Smartcard authentisiert den Anwender am Betriebssystem, indem sie das Zertifikat des Anwenders vorhält und versichert so dem Betriebssystem, dass sie den privaten Schlüssel mit dem öffentlichen Schlüssel des Zertifikats assoziiert hat. Bei Betriebssystemen, die zu diesem Schutzprofil konform sind, geht man davon aus, dass die Plattform (Hardware, Geräte, Firmware) auf der sie ausgeführt werden, gegen physikalische Angriffe und Manipulationen geschützt sind. Darüber hinaus gilt die Annahme, dass alle Managementaktivitäten durch vertrauenswürdige und geschulte Anwender durchgeführt wird.

This Operating System Protection Profile, Version 2.0 defines the security functionality expected to be provided by a general-purpose operating system capable of operating in a networked environment. Unlike most other Protection Profiles, the Operating System Protection Profile is structured into a "base" part and a set of (optional) "extended packages". This structure was chosen to maximize adaptability for different operational environments and different operational requirements, since general-purpose operating systems may provide a wide range of different functionality.
General-purpose operating systems often operate in environments that provide centralized services that can be used by a large number of systems within an organization. It is expected that a modern general-purpose operating system provides the capability to use centralized services for the implementation of security functionality, for example, authentication servers, directory servers, certification services, or audit log servers. While most modern general-purpose operating systems implement functions such as centralized security services, they may also be able to act as the server for those services. Candidates for an extended package” must have the capability to act as a server for a centralized security service.
Co-operating with another trusted IT system to provide a security service is not restricted to the use of centralized services, but can also be accomplished in a peer-to-peer relationship. An example is a function for the authentication of a human user that is based on a token the user needs to present, for example, a smartcard. In this scenario, the user authenticates to the smart card using his PIN, and the smartcard authenticates the user to the operating system, for example, by presenting the user's certificate and assuring the operating system that it has the private key associated with the public key in the certificate. Operating systems conformant to this Protection Profile are assumed to operate in an environment in which the platform on which they execute (hardware, devices and firmware) is protected from physical attacks and manipulation. In addition, it is assumed that all management activities are performed by knowledgeable and trustworthy users.