Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

BSI-DSZ-CC-1077-V2-2024

STARCOS 3.7 ID ePA C2, STARCOS 3.7 ID eAT C2, STARCOS 3.7 ID ePass C2

Antragsteller / Applicant

Giesecke+Devrient ePayments GmbH

Prinzregentenstr. 161
81677 München

Prüfstelle / Evaluation Facility

SRC Security Research & Consulting GmbH

Prüftiefe / Assurance

EAL4+, ALC_DVS.2, ATE_DPT.2, AVA_VAN.5

Schutzprofil / Protection Profile

Machine-Readable Electronic Documents based on BSI TR-03110 for Official Use (MR.ED-PP), Version 2.0.3, 18 July 2016, BSI-CC-PP-0087-V2-2016-MA-01,
Common Criteria PP Configuration Machine Readable Electronic Documents - Optionales Nachladen (Optional Post-Emission Updates) [MR.ED-ON-PP], Version 0.9.2, 18 August 2016, BSI-CC-PP-0090-2016

Ausstellungsdatum / Certification Date

12.06.2024

gültig bis / valid until

11.06.2029

  • BSI-DSZ-CC-1077-V2-2024 (Ausstellungsdatum / Certification Date 12.06.2024, gültig bis / valid until 11.06.2029)
    Certificate of Conformity to Regulation (EU) No. 910/2014 (eIDAS) based on BSI-DSZ-CC-1077-V2-2024
    Zertifizierungsreport / Certification Report
    Sicherheitsvorgaben / Security Target
    Zertifikat / Certificate

    Beim Evaluierungsgegenstand (EVG) handelt es sich um das Produkt STARCOS 3.7 ID ePA C2, STARCOS 3.7 ID eAT C2, STARCOS 3.7 ID ePass C2 mit einer im Vergleich zum Vorgängerprodukt im Verfahren BSI-DSZ-CC-1077 optimierten Funktion zur Testpersonalisierung. Schwerpunkt der Re-Zertifizierung liegt auf dem geänderten Funktionsumfang des EVG, der Aktualisierung des unterliegenden HW-Zertifikats und eingebundener Site Certificates für Entwicklungs- und Produktionsstandorte sowie der Aktualisierung der Schwachstellenanalyse inklusive Penetration Testing zur (Krypto)-Implementierung.
    The Target of Evaluation (TOE) is the product STARCOS 3.7 ID ePA C2, STARCOS 3.7 ID eAT C2, STARCOS 3.7 ID ePass C2 that provides in comparison to the predecessor product in certification procedure BSI-DSZ-CC-1077 an optimized function for test personalization. Focus of the re-certification lies on the changed TOE functionality, the update of the underlying HW certificate and integrated site certificates for development and production sites as well as on the update of the vulnerability analysis including penetration testing for the (crypto-) implementation.

  • BSI-DSZ-CC-1077-2020-RA-02 (Ausstellungsdatum / Certification Date 09.08.2023)
    Neubewertung der Widerstandsfähigkeit / Re-Assessment
    Zweites Re-Assessment zur Aktualisierung der Schwachstellenanalyse und -Bewertung zum Zertifizierungsverfahren 1077.
    Second Re-Assessment for update of the vulnerability analysis and valuation related to the certification procedure 1077.
  • BSI-DSZ-CC-1077-2020-RA-01 (Ausstellungsdatum / Certification Date 09.02.2022)
    Neubewertung der Widerstandsfähigkeit / Re-Assessment
    Re-Assessment zur Aktualisierung der Schwachstellenanalyse und -Bewertung zum Zertifizierungsverfahren 1077.
    Re-Assessment for update of the vulnerability analysis and valuation related to the certification procedure 1077.
  • BSI-DSZ-CC-1077-2020 (Ausstellungsdatum / Certification Date 05.08.2020, gültig bis / valid until 04.08.2025)
    Zertifizierungsreport / Certification Report
    Sicherheitsvorgaben / Security Target
    Zertifikat / Certificate

Der Evaluierungsgegenstand ist das Produkt STARCOS 3.7 ID ePA C1, STARCOS 3.7 ID eAT C1, STARCOS 3.7 ID ePass C1 der Firma Giesecke+Devrient Mobile Security GmbH, welches die Hardware Plattform Infineon Security Controller IFX_CCI_000005h von Infineon Technologies AG verwendet. Bei dem Produkt handelt es sich um eine elektronische Identitätskarte, genauer eine kontaktlose Chipkarte, die gemäß der Technischen Richtlinie BSI TR-03110 und den ICAO Spezifikationen implementiert ist. Der Evaluierungsgegenstand stellt die folgenden Authentisierungsmechanismen bereit:

  • Passive Authentication
  • Password Authenticated Connection Establishment (PACE)
  • Chip Authentication Version 1, 2 und 3
  • Terminal Authentication Version 1 und 2

Darüber hinaus erfüllt das Produkt die Anforderungen der Technischen Richtlinie BSI TR-03116-2 als Teil der Qualifikation für die Verwendung in elektronischen ID Karten-Projekten der Bundesrepublik Deutschland.

Anmerkung: Dem Schutzprofil (Protection Profile) BSI-CC-PP-0087-V2-2016-MA-01 folgend, sind die Sicherheitsmechanismen Password Authenticated Connection Establishment (PACE) und Extended Access Control (EAC) im Fokus dieser Evaluierung. Der im Produkt enthaltene Sicherheitsmechanismus Basic Access Control (BAC) ist Gegenstand des eigenständigen Verfahrens BSI-DSZ-CC-1076-2020.

Die Chipkarte enthält mindestens eine der folgenden Applikationen, die sämtlich Gegenstand der vorliegenden Evaluierung sind:

  • ePass Applikation
  • eID Applikation
  • eSign Applikation

Die folgenden drei Hauptkonfigurationen des Evaluierungsgegenstandes bestehen, die sich nur im installierten Filesystem bzw. in den installierten Applikationen voneinander unterscheiden:

  • Elektronisches Dokument (Electronic Document)
  • Aufenthaltstitel (Residence Permit)
  • Pass (Passport)

Ferner stellt der Evaluierungsgegenstand den sogenannten Update-im-Feld Mechanismus bereit. Dieser sichere Update-Mechanismus ermöglicht die Installation von signierten Updates von Teilen des Betriebssystems des Evaluierungsgegenstandes durch autorisierte Stellen in der Nutzungsphase. Hierbei ist nur der Update-im-Feld Mechanismus selbst Gegenstand der vorliegenden Evaluierung, nicht aber die zu ladenden Update-Pakete.

Wie im Zertifizierungsreport in Kapitel 12 angegeben, umfasst das Zertifikat die Verwendung als QSigCD nach Artikel 30 der Verordnung (EU) No 910/2014.

The Target of Evaluation (TOE) is the product STARCOS 3.7 ID ePA C1, STARCOS 3.7 ID eAT C1, STARCOS 3.7 ID ePass C1 provided by Giesecke+Devrient Mobile Security GmbH, based on the hardware platform Infineon Security Controller IFX_CCI_000005h from Infineon Technologies AG. It is an electronic Identity Card representing a smart card with contactless interface programmed according to the Technical Guideline BSI TR-03110 and the ICAO specifications. The smart card provides the following authentication mechanisms: Passive Authentication, Password Authenticated Connection Establishment (PACE), Chip Authentication version 1, 2 and 3, Terminal Authentication version 1 and 2. Additionally, the TOE meets the requirements of the Technical Guideline BSI TR-03116-2 as part of the qualification for the use within electronic ID card projects of the Federal Republic of Germany.

Please note that in consistency to the claimed protection profile BSI-CC-PP-0087-V2-2016-MA-01 the security mechanisms Password Authenticated Connection Establishment (PACE) and Extended Access Control (EAC) are in focus of this evaluation process. The further security mechanism Basic Access Control (BAC) contained in the corresponding product is subject of a separate evaluation process (refer to BSI-DSZ-CC-1076-2020).

The smart card contains at least one of the following applications that are all subject of the TOE’s evaluation:

  • ePass Application
  • eID Application
  • eSign Application


Three different major configurations of the TOE exist that only differ in the installed file system or applications respectively:

  • Electronic Document
  • Residence Permit
  • Passport


Furthermore, the TOE provides the so-called Update-in-Field mechanism. This secure update mechanism allows to install code-signed updates of the TOE Embedded Software (operating system part) by authorized staff during operational use. The TOE’s evaluation only covers the Update-in-Field mechanism itself, but does not cover any update packages.

As stated in the certification report in chapter 12, the certificate comprises the usage as QSigCD according to article 30 of the Regulation (EU) No 910/2014.