Certificación Common Criteria de TrustME™, una Memoria Segura desarrollada por Winbond

04/04/2016
    Winbond ha desarrollado un nuevo tipo de memoria flash segura para dispositivos móviles, TrustME™.
    Cliente y Producto
    Winbond es una compañía dedicada al diseño, fabricación y venta de chips de memoria (IC memories), ofreciendo productos de memoria de alta calidad para sus clientes globales. Winbond ha desarrollado un nuevo tipo de memoria flash segura para dispositivos móviles, TrustME™
    TrustME™ es una memora flash segura dedicada a la protección de información no-volátil en términos de confidencialidad e integridad. Es una solución que funciona de manera autónoma que puede complementar las dos principales opciones existentes para garantizar la seguridad de las aplicaciones móviles, elSecure Element (SE) y el Trusted Execution Envionrment (TEE).
     
    Actuando como una memoria externa del SE, TrustME™ aporta más velocidad de transferencia de datos y capacidad de almacenaje (4Mb) a las aplicaciones móviles que necesitan un nivel de seguridad más alto, como las aplicaciones de pago.
     
    Como parte de la implementación de un TEE, TrustME™ permite resolver el problema del almacenamiento seguro de los datos clave para aplicaciones móviles en ámbitos como la identificación corporativa, los contenidos Premium, la automoción o el Internet de las Cosas .
     

    Reto

    Winbond quería ser la primera compañía en llevar al mercado una memoria flash con un certificado Common Criteria1 de un nivel de evaluación de seguridad (EAL) comparable al de los chips seguros utilizados en las tarjetas de crédito o en las tarjetas SIM. Para ello, Winbond necesitaba un laboratorio de seguridad que reuniera los siguientes requisitos:
     
    • Experiencia demostrada en evaluaciones Common Criteria con altos niveles de seguridad (EAL)
       
    • El conocimiento técnico necesario para superar las dificultades técnicas derivadas de evaluar un nuevo tipo de producto sin un proceso de evaluación pre-existente (AVA y PenTest)
       
    • A capacidad para acelerar el proceso de evaluación manteniendo altos estándares de calidad.
       
    Solución

    Winbond confió en Applus+ Laboratories para llevar a cabo una evaluación de seguridad Common Criteria EAL 5+ de TrustME™. Como laboratorio, Applus+ está acreditado por el Centro Criptográfico Nacional (España) para realizar evaluaciones Common Criteria (hasta nivel EAL 5+) con reconocimiento SOGIS. Applus+ Laboratories es también miembro activo de JHAS, el grupo de trabajo que discute los nuevos posibles ataques a smart cards y productos similares.
     
    Gracias a la experiencia de Applus+ Laboratories  en evaluaciones de seguridad de productos con tecnologías similares como los chips seguros, Applus+ fue capaz de superar los principales retos técnicos del proyecto:
     
    • Entender la arquitectura de la seguridad de un nuevo producto, analizar sus vulnerabilidades y desarrollar un plan de ensayos de ataque.
       
    • Desarrollar un nuevo entorno de ensayo para realizar los ensayos funcionales y el plan de ensayos de penetración previstos. Para ello, Applus+ validó y adaptó el entorno de ensayo utilizado por Winbond para el desarrollo del producto y diseñó herramientas de ensayo y scripts adicionales para poder llevar a cabo los nuevos ataques previstos. 
       
    Applus+ Laboratories llevó a cabo la evaluación de seguridad de esta nueva memoria flash segura en sólo 6 meses, cuando los procesos de evaluación ofrecidos en el mercado por productos con un perfil de protección ya existente suelen ser de un año. Entre los factores clave para poder acelerar el proceso de evaluación destacan:  

    • La coordinación y el compromiso de las tres partes implicadas: El desarrollador (Winbond), el laboratorio (Applus+) y la entidad de certificación (CCN).
       
    • Applus+ destinó a este proyecto un equipo multidisciplinario liderado por un project managerpara dirigir y acelerar el análisis de vulnerabilidades y la campaña de PenTest: crypto, hardware, etc.
       
    • Applus+ identificó las fases no esenciales de la evaluación que podían provocar retrasos y realizó acciones preliminares para identificar posibles riesgos y dar tiempo a Winbond a aplicar acciones correctivas previas a la evaluación:


      • Revisión preliminar de la documentación para asegurar que se cumplían los requisitos de EAL 5+ con el objetivo de evitar problemas documentales, especialmente  en las partes más críticas (ADV, ATE and ALC). 
         
      • Auditorías previas en todos los lugares de fabricación para asegurar que se cumplían los Minimum Site Security Requirements (MSSR) antes de la auditoría final con la entidad de certificación.
         
    Rachel Menda-Shabat (Winbond)

    “Applus+ ha sido capaz de realizar de forma satisfactoria una evaluación de seguridad estricta y con altos niveles de calidad, cumpliendo con el ambicioso calendario propuesto en el kick-off del proyecto. Un focal pont de Applus+ ha liderado la coordinación de las partes implicadas para acordar el enfoque de la evaluación y resolver posibles inconsistencias tan pronto como eran detectadas.
    Recibimos los resultados de forma inmediata y tuvimos feedback constante en cada fase del proyecto, reduciendo iteraciones innecesarias y acortando los tiempos de respuesta que habitualmente causan retrasos en las evaluaciones de seguridad.” 
     
    --------------------------
    1 Common Criteria (CC) es un estándar de seguridad robusto, versátil,  reconocido internacionalmente y aplicable a todo tipo de productos IT. La Certificación Common Criteria se basa en siete niveles de evaluación para determinar el grado de seguridad del producto. 
     

    Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta la Política de Cookies

    Panel de configuración de cookies