BSI-DSZ-CC-1076-2020
STARCOS 3.7 ID eAT BAC C1, STARCOS 3.7 ID ePass BAC C1
| Antragsteller / Applicant | Giesecke+Devrient Mobile Security GmbH Prinzregentenstr. 159 |
| Prüfstelle / Evaluation Facility |
SRC Security Research & Consulting GmbH |
| Prüftiefe / Assurance |
EAL4, ALC_DVS.2 |
| Schutzprofil / Protection Profile |
Machine Readable Travel Document with "ICAO Application" Basic Access Control, Version 1.10, 25 March 2009, BSI-CC-PP-0055-2009 |
| Ausstellungsdatum / Certification Date |
18.08.2020 |
| gültig bis / valid until |
17.08.2025 |
Zertifizierungsreport / Certification Report
Sicherheitsvorgaben / Security Target
Zertifikat / Certificate
Der Evaluierungsgegenstand ist das Produkt STARCOS 3.7 ID eAT BAC C1, STARCOS 3.7 ID ePass BAC C1 der Firma Giesecke+Devrient Mobile Security GmbH, welches die Hardware Plattform Infineon Security Controller IFX_CCI_000005h von Infineon Technologies AG verwendet. Bei dem Produkt handelt es sich um eine elektronische Identitätskarte, genauer eine kontaktlose Chipkarte, die gemäß der Technischen Richtlinie BSI TR-03110 und den ICAO Spezifikationen implementiert ist. Der Evaluierungsgegenstand stellt den folgenden Authentisierungsmechanismus bereit:
- Basic Access Control (BAC)
Darüber hinaus erfüllt das Produkt die Anforderungen der Technischen Richtlinie BSI TR-03116-2 als Teil der Qualifikation für die Verwendung in elektronischen ID Karten-Projekten der Bundesrepublik Deutschland.
Anmerkung: Dem Schutzprofil (Protection Profile) BSI-PP-0055-2009 folgend, ist der Sicherheitsmechanismus Basic Access Control (BAC) im Fokus dieser Evaluierung. Die im Produkt enthaltenen Sicherheitsmechanismen Passive Authentication, Password Authenticated Connection Establishment (PACE), Chip Authentication Version 1, 2 und 3 und Terminal Authentication Version 1 und 2 sind Gegenstand des eigenständigen Verfahrens BSI-DSZ-CC-1077-2020. Ferner stellt das Produkt den sogenannten Update-im-Feld Mechanismus bereit, der ebenfalls Gegenstand des vorgenannten Verfahrens BSI-DSZ-CC-1077-2020 ist.
Die Chipkarte enthält mindestens die folgende Applikation, die Gegenstand der vorliegenden Evaluierung ist:
- ePass Applikation
Die folgenden zwei Hauptkonfigurationen des Evaluierungsgegenstandes bestehen, die sich nur im installierten Filesystem bzw. in den installierten Applikationen voneinander unterscheiden:
- Pass (Passport)
- Aufenthaltstitel (Residence Permit)
The Target of Evaluation (TOE) is the product STARCOS 3.7 ID eAT BAC C1, STARCOS 3.7 ID ePass BAC C1 provided by Giesecke+Devrient Mobile Security GmbH, based on the hardware platform Infineon Security Controller IFX_CCI_000005h from Infineon Technologies AG. It is an electronic Identity Card representing a smart card with contactless interface programmed according to the Technical Guideline BSI TR-03110 and the ICAO specifications. The smart card provides the following authentication mechanism:
- Basic Access Control (BAC)
Additionally, the TOE meets the requirements of the Technical Guideline BSI TR-03116-2 as part of the qualification for the use within electronic ID card projects of the Federal Republic of Germany.
Please note that in consistency to the claimed protection profile BSI-PP-0055-2009 the security mechanism Basic Access Control (BAC) is in focus of this evaluation process. The further security mechanisms Passive Authentication, Password Authenticated Connection Establishment (PACE), Chip Authentication version 1, 2 and 3 and Terminal Authentication version 1 and 2 contained in the corresponding product are subject of a separate evaluation process (refer to BSI-DSZ-CC-1077-2020). Furthermore, the product provides the so-called Update-in-Field mechanism that is as well subject of the previously mentioned evaluation process under BSI-DSZ-CC-1077-2020.
The smart card contains at least the following application that is subject of the TOE’s evaluation:
- ePass Application
Two different major configurations of the TOE exist that only differ in the installed file system or applications respectively:
- Passport
- Residence Permit