home *** CD-ROM | disk | FTP | other *** search

---

/ Collection of Hack-Phreak Scene Programs / cleanhpvac.zip / cleanhpvac / COPYOF~7.ZIP / Dark Lavender.txt

Wrap

Text File  |  1997-01-24  |  55KB  |  1,248 lines

---

1.                                                          NCSC-TG-008
2.                                                      Library No. S-228,592
3.  
4.                                    FOREWORD
5.  
6.  
7.  
8.    "A Guide to Understanding Trusted Distribution in Trusted Systems," is the
9. latest in the series of technical guidelines that are being published by the National
10. Computer Security Center. These publications are designed to provide insi ht to the
11. Trusted Computer Systems Evaluation Criteria requirements and guiance for
12. meeting each requirement.
13.  
14.    The specific guidelines in this document provide a set of good practices related to
15. trusted distribution of the hardware, software, and firmware portions, both 
16. originals and updates, of automated data processing systems employed for processing classified and other sensitive information. This technical guideline has been written
17. to help the vendor and evaluator community understand what trusted distribution
18. is, why it is important, and how an effective trusted distribution system may be
19. implemented to meet the requirements of the Trusted Computer Systems Evaluation
20. Criteria.
21.  
22.    As the Director, National Computer Security Center, I invite your
23. recommendations for revision to this technical guideline. We plan to review this
24. document biannually. Please address any proposals for revision through appropriate
25. channels to:
26.  
27.    National Computer Security Center
28.    9800 Savage Road
29.    Fort George G. Meade, MD 20755-6000
30.  
31.    Attention: Chief, Criteria and Guidelines
32.  
33.  
34. Patrick R. Gallagher ,Jr.                               15 December 1988
35. Director
36. National Computer Security Center
37.  
38.  
39.                 i
40.  
41.                                 ACKNOWLEDGMENTS
42.  
43.  
44.       Special recognition is extended to James N. Menendez, National Computer
45. Security Center (NCSC), as project manager and coauthor of this document.
46. Recognition is also extended to Scott Wright, Advanced Information Management
47. (AIM), Inc., as coauthor and researcher of this document.
48.  
49.       Acknowledgment is also given to all those members of the computer security
50. community who contributed their time and expertise by actively participating in
51. the review of this document.
52.  
53.  
54.  
55.                 ii
56.  
57.  
58.                                    CONTENTS
59.  
60. FOREWORD.............................................................................i
61.  
62. ACKNOWLEDGMENTS                                                         ii
63.  
64. 1.  INTRODUCTION                                                        1
65.       1.1 PURPOSE                                                       1
66.       1.2 SCOPE                                                         2
67.       1.3 CONTROL OBJECTIVE                                             2
68.  
69. 2. OVERVIEW OF TRUSTED DISTRIBUTION                                     3
70.       2.1  THREATS                                                      3
71.       2.2  PURPOSE OF TRUSTED DISTRIBUTION                              5
72.       2.3  LIFE-CYCLE ASSURANCE                                         6
73.             2.3.1  Assurance for Different Types of Production          7
74.  
75. 3.  THE TCSEC REQUIREMENTS FOR TRUSTED DISTRIBUTION                     9
76.  
77. 4. IMPLEMENTATION METHODS                                              11
78.       4.1  PROTECTIVE PACKAGING                                        12
79.             4.1.1  Shrink Wrapping                                     13
80.             4.1.2  Active Systems                                      14
81.             4.1.3  Tamper-Resistant Seals                              14
82.       4.2  COURIERS                                                    15
83.       4.3  REGISTERED MAIL                                             16
84.       4.4  MESSAGE AUTHENTICATION CODES                                17
85.       4.5  ENCRYPTION                                                  18
86.       4.6  SITE VALIDATION                                             18
87.             4.6.1  Checksum Programs                                   19
88.             4.6.2  Inventory                                           20
89.             4.6.3  Engineering Inspection                              21
90.  
91.  
92.  
93.  
94.  
95.  
96.                                       iii
97.  
98.  
99.                                CONTENTS (cont'd)
100.  
101. 5. SAMPLE IMPLEMENTATION                                               23
102.     5.1 TRUSTED DISTRIBUTION OF HARDWARE, FIRMWARE, AND
103.         SOFTWARE                                                       23
104.     5.2 TRUSTED DISTRIBUTION OF DOCUMENTATION                          23
105.  
106. 6. SUMMARY OF TRUSTED DISTRIBUTION                                     25
107.  
108. GLOSSARY                                                               27
109.  
110. REFERENCES                                                             31
111.  
112.  
113.  
114.  
115.  
116.  
117.  
118.  
119.  
120.  
121.  
122.  
123.  
124.  
125.  
126.  
127.  
128.  
129.  
130.  
131.  
132.  
133.  
134.  
135.  
136.  
137.  
138.  
139.  
140.  
141.  
142.  
143.                                       iv
144.  
145.  
146. 1.  Introduction
147.  
148.        1.1  Purpose
149.  
150.         The Trusted Computer System Evaluation Criteria (TCSEC) is the metric used for 
151. evaluating the effectiveness of security controls built into Automated Data
152. Processing (ADP) systems.  The TCSEC is divided into four divisions: D, C, B, and A,
153.  ordered in a hierarchical manner with the highest division, A, being reserved for 
154. systems providing the best available level of assurance..  Within  division C through A 
155. are a number of subdivisions known as classes, which are also ordered in a
156. hierarchical manner to represent different levels of security.
157.  
158.        At TCSEC class A1, trusted distribution of the hardware, software, and firmware
159. portions of the Trusted Computing Base (TCB) and their updates shall be provided.  
160. Trusted distribution includes procedures to ensure that all of hte TCB configuration 
161. items, such as the TCB software, firmware, hardware, and updates, distributed to a 
162. customer site arrive exactly as intended by the vendor without any alterations.  
163. Additionally, trusted distribution may include procedures that enable the customer
164. site to determine that what was received at the site was actually sent by the vendor.  
165. The purpose of this guideline is to provide guidance to vendors of trusted systems on 
166. what trusted distribution is, why it is important, and how to select and implement an 
167. effective trusted distribution system to meet the TCSEC requirement.
168.  
169.       Examples in this document are not to be construed as the only implementations 
170. that will satisfy the TCSEC requirement.  The examples are merely suggestions of 
171. appropriate implementations.  The recommendations in this document are also not 
172. to be construed as supplementary requirements to the TCSEC.  The TCSEC is the only
173. metric against which systems are to be evaluated.
174.  
175.        This guideline is part of an ongoing program to provide helpful guidance on 
176. TCSEC issues and the features they address.
177.  
178.  
179.  
180.                                                                         1
181.  
182.  
183.  
184.       1.2  Scope
185.  
186.       An important assurance requirement of TCSEC class Al is that the TCB
187. software, firmware, hardware, and their updates be distributed to a customer site
188. in a trusted manner. This guideline is to be used by vendors of trusted systems in
189. the preparation of procedures, techniques, and equipment to establish trusted
190. distribution between a vendor site and a customer site. This guideline will discuss
191. trusted distribution as it relates to computer systems and products that are
192. intended to meet the Al requirements of the TCSEC.
193.  
194.  
195.  
196.       1.3  Control Objective
197.  
198.       Trusted distribution focuses primarily on the assurance control objective of
199. the TCSEC. The assurance control objective states:
200.  
201.       "Systems that are used to process or handle classified or other sensitive
202.       information must be designed to guarantee correct and accurate
203.       interpretation of the security policy and must not distort the intent of that
204.       policy. Assurance must be provided that correct implementation and
205.       operation of the policy exists throughout the system's life cycle."[7]
206.  
207.       Any alteration to the TCB at any time during the system life cycle could
208. result in a violation of the system security policy. Assurance that the system
209. security policy is correctly implemented and operational throughout the system life
210. cycle is provided by different TCSEC requirements. At TCSEC class Al, trusted
211. distribution, in conjunction with configuration management, provides assurance
212. that the TCB software, firmware, and hardware, both original and updates, are
213. received by a customer site exactly as specified by the vendor's master copy.
214. Trusted distribution also ensures that TCB copies sent from other than legitimate
215. parties are detected.
216.  
217.  
218.  
219.  
220.  
221.  
222.  
223.  
224.                                       2
225.  
226. 2.    OVERVIEW OF TRUSTED DISTRIBUTION
227.  
228.       2.1  Threats
229.  
230.       The different divisions of the Trusted Computer System Evaluation Criteria
231. (TCSEC) were developed to protect against threats that could be directed towards
232. Automated Data Processing (ADP) systems. Each higher class is required to
233. provide additional features and assurances over the next lower class, thus
234. providing increasing levels of trust. At the C level and above, passwords and audit
235. mechanisms provide ways to restrict access to a system and make users
236. accountable for their actions. At the TCSEC B level, the addition of labeling
237. mechanisms control access to data based on clearances of subjects and
238. classifications of objects.
239.  
240.       The class of system needed by a specific site should be determined by the
241. types of threats that are faced by that site. Generally, the class of system is
242. dependent upon the sensitivity level of the data that are being processed by the site
243. and the clearance of the system users. According to the Guideline for Applying the
244. Department of Defense Trusted Computer System Evaluation Criteria in Specific
245. Environments[5], a risk index corresponding to the minimum clearance or
246. authorization of system users and the maximum sensitivity of data processed by
247. the system can be used to determine the minimum evaluation class required by a
248. site.
249.  
250.       The features and assurances in lower class systems protect against the
251. threat that someone will tamper with a system while it is in operation, but it is at
252. TCSEC class Al that the threat of subversion is addressed. Computer subversion is
253. the name generally applied to deliberate, malicious modification of executable code
254. or hardware within a computer system. The subversion can be accomplished at any
255. time during the system's life from the earliest stages of design to the last day of its
256. use. A component can be subverted either to permit later penetration or as an act of
257. sabotage -- to nullify or to degrade the system's capability. Forms of subversion
258. include the trap door, the Trojan horse, and computer viruses. The threat of
259. subversion exists at all classes; however, the benefit of providing assurance
260. features to guard against it in lower class systems may not justify the cost of this
261. type of protection.
262.  
263.                                        3
264.  
265.  
266.       There are basically two threats that trusted distribution protects against.
267. The first is the threat of someone tampering with a system during its movement
268. from a vendor site to a customer site. Throughout this document the term "vendor
269. site" will be used to mean the point from which the TCB hardware, software, and
270. firmware to be distributed are sent. The term "customer site" is the point at which
271. the distributed material is accepted. Specifically, any system component that
272. participates in the enforcement of the security policy of the system is what needs to
273. be protected. For example, someone may break into a delivery truck and insert
274. malicious code into a trusted system before it reaches the customer site. The
275. system or update being delivered, when installed at the site, will contain the
276. harmful code that could cause compromise of the system's security policy. Trusted
277. distribution may include protective packaging methods that protect against
278. changes being made to a system (see Section 4.1 Protective Packaging). Trusted
279. distribution may also include methods of detecting if a system and/or its updates
280. have been accidentally or maliciously altered during or after distribution through
281. validation tests (see Section 4.7 Site Validation).
282.  
283.       The second threat protected against by trusted distribution is that the TCB is
284. a counterfeit; that is the system or update did not come from the vendor site.
285. Trusted distribution includes procedures for the distribution of TCB components,
286. such as requiring the vendor to notify a customer site of an impending delivery. By
287. doing this, trusted distribution protects against the threat of sites receiving
288. systems that were not distributed by the vendor and provides assurance that the
289. vendor was the actual sender of the product or update. Trusted distribution should
290. be able to answer the question, "Was what I received really sent from the vendor or
291. an imposter?" Without trusted distribution, all a penetrator needs to do is package
292. a system or update containing a virus or Trojan horse so that it looks as though it
293. came from an actual vendor. The receiving site, upon seeing the packaging,
294. assumes that the system or update is genuine, unaware that it is really a
295. counterfeit. To prevent this from happening, the vendor and customer sites may
296. establish procedures requiring them to agree on when deliveries will be made and
297. what they will contain.
298.  
299.  
300.  
301.  
302.  
303.  
304.                                        4
305.  
306.       2.2  Purpose of Trusted Distribution
307.  
308.       Hostile attacks may occur on computer systems when they are in use, but it
309. is also possible for computer systems to be attacked even before they are installed
310. at a customer site. The TCSEC requires that assurance mechanisms be in place
311. throughout the life cycle of a system to prevent modifications being made to the
312. TCB which could adversely affect the security policy of a system.  One such
313. assurance requirement for class Al systems is trusted distribution. Trusted
314. distribution maintains the integrity of the current TCB software, firmware, and
315. hardware as well as any updates to these by ensuring that any changes made to the
316. TCB during the distribution process do not go unnoticed.
317.  
318.       "Trap doors can be inserted during the distribution phase. If updates are
319.       sent via insecure communications - either U.S. Mail or insecure
320.       telecommunications, the penetrator can intercept the update and subtly
321.       modify it. The penetrator could also generate his own updates and distribute
322.       them using forged stationery. "[3]
323.  
324.       The main purpose of trusted distribution is to protect a trusted system as it is
325. being distributed, and consequently to provide protection for the information that
326. will be processed on the system. Trusted distribution provides assurance that a
327. trusted system arrives at a customer site with all of its security properties intact
328. and that the system or update that is received at the customer site is the, "same
329. system or update which was produced from the master copy of the system evaluated
330. against the TCSEC."[6]  Any tampering with the TCB software, firmware,
331. hardware, whether originals or updates, from the time they leave the vendor site to
332. the time they arrive at the customer site may permit the security policy of the
333. system to be circumvented.
334.  
335.       Trusted distribution provides protection against tampering and a means of
336. detecting that a system has been altered; it accomplishes this through physical
337. devices (locks), electronic devices (encryption), and procedures (bonding of
338. couriers). It also provides procedures for site validation so that if the protection
339. mechanism[s] should fail, any modification to the TCB software, firmware,
340. hardware, both originals and updates, will not go unnoticed. If sufficient trust can
341. be placed in either the protection methods or the customer site validation, it is
342. possible to use that method exclusively. If not, it may be necessary to apply
343. techniques for both the protection of the shipment and validation.
344.  
345.                                     5
346.  
347.  
348.  
349.       2.3  Life-Cycle Assurance
350.  
351.       Trusted distribution is one link in a chain of assurances provided by trusted
352. systems. It is helpful to take a look at all of the other activities that take place to
353. ensure that the system in operation is the one that the vendor and customer agree
354. upon.
355.  
356.       The following is a summary of the assurances that are needed to ensure that
357. the product delivered to a customer site is operating under a correct
358. implementation of the system's security policy:
359.  
360.       - Assurance that the product evaluated is the one the manufacturer built
361.  
362.       - Assurance that the product built is the one that was sent
363.  
364.       - Assurance that the product sent is the one the customer site received.
365.  
366.       Long before a system is boxed and prepared to be sent to a customer site,
367. assurance needs to be provided that the system is being built as specified. The
368. TCSEC class Al design specification and verification requirements require a
369. formal top-level specification (FTLS) to be maintained that accurately describes the
370. system. The FTLS is shown to be consistent with the TCB interface. Additionally,
371. specification to code mapping provides assurance that the design has been properly
372. implemented.
373.  
374.       Configuration management provides control over the design and
375. development of a system, ensuring that the system is built to specification. The
376. main purpose of configuration management is to ensure that any changes to the
377. system during design, development, or during the system life cycle "take place in
378. an identifiable and controlled environment and that they do not adversely affect
379. the implementation of the security policy of the TCB."[4] More information on
380.  
381.  
382.  
383.                                        6
384.  
385. configuration management can be found in A Guide to Understanding
386. Configuration Management in Trusted Systems (NCSC-TG-006).
387.  
388.       Once the system has been built, security testing shall be performed to ensure
389. that the system works exactly as claimed in the system documentation. The
390. security testing shall demonstrate that the TCB implementation is consistent with
391. the FTLS.
392.  
393.       Trusted distribution provides assurance that the security policy of a system
394. is not violated during distribution of the system. For trusted distribution to be
395. successful, the TCB shall have been under configuration management throughout
396. the development process, ensuring that the integrity of the developer's master copy
397. of the TCB has been maintained. Without configuration management in place
398. during the design and development of a system, the assurance provided by trusted
399. distribution will be suspect. True, it will still protect against any tampering with a
400. system during delivery, but if the system being delivered has already been
401. tampered with during development then the damage has already been done.
402.  
403.       Once the system is in operation at a customer site, assurance shall be
404. provided throughout the system life cycle that the security policy of the system is
405. correctly implemented. Configuration management continues throughout the
406. system life cycle ensuring that any changes to the system take place in a controlled
407. environment. It is said that "a chain is only as strong at its weakest link," and if
408. any of these assurances fails during the system life cycle, the probability that the
409. security policy of the system could be violated increases.
410.  
411.  
412.  
413.       2.3.1 Assurance for Different Types of Production
414.  
415.       Not every distribution is as simple as having the entire computer system
416. designed, developed, and assembled in a vendor's facility and then shipped to a
417. customer site. Most computer systems, particularly large-scale computer systems,
418. comprise several parts which are produced separately and need to be assembled.
419. The distribution process for a trusted system may be as simple as shipping from
420. vendor sites to customer sites, or may be as complex as from vendor to central sites
421. to other sites, or from software development center sites to other sites, etc. If
422.  
423.                                        7
424.  
425. development is done at different sites and then integrated at yet another site, the
426. pieces of the system transferred between these sites during development should be
427. subject to the same trusted distribution requirements as the final TCB product.
428. The item, at the point of transfer to a customer site, should be a true reflection of
429. the vendor's master copy.
430.  
431.       The manner in which the TCB components are handled prior to distribution
432. will have an impact on the trusted distribution process. The following is a
433. recommendation for how a vendor may provide assurance before the components
434. are actually shipped. "There are basically two types of production that companies
435. employ: mass production, and production per request basis. In either case, there
436. will probably be idle time where the system(s) will be waiting for delivery probably
437. in some type of warehouse. Strict accounting procedures and physical controls
438. must be placed on the system(s) both during the delivery to and stay in the
439. warehouse to ensure that no unauthorized modifications are made. For example,
440. controls must exist which log any entry into the warehouse, authorizations for the
441. alteration of any system or range of serial numbers within the warehouse must be
442. properly documented, etc."[6]
443.  
444.       The "trusted warehouse" spoken of in the preceding paragraph is not a
445. TCSEC requirement, but when considering that trusted distribution really extends
446. further than just providing assurance from vendor loading dock to customer site
447. loading dock, it should be considered. The assurance that trusted distribution
448. provides is dependent on a system not being altered before being loaded onto a
449. delivery truck. The control of the system during "idle time" should be performed by
450. configuration management practices, emphasizing the importance of configuration
451. management in trusted distribution.
452.  
453.  
454.  
455.  
456.  
457.  
458.  
459.  
460.  
461.  
462.  
463.  
464.  
465.                                        8
466.  
467. 3.    THE TCSEC REQUIREMENTS FOR TRUSTED DISTRIBUTION
468.  
469.       This section lists the TCSEC requirements for trusted distribution. These
470. requirements have been extracted from the TCSEC and have been listed separately
471. and numbered. How these requirements can be met will be discussed in the
472. following sections of this document. This section is designed to serve as a quick
473. reference for the TCSEC requirements for trusted distribution.
474.  
475.       Trusted distribution is required at TCSEC class Al, and the requirement can
476. be broken down into two parts.
477.  
478.       Requirement 1    - "A trusted ADP system control and distribution facility
479.       shall be provided for maintaining the integrity of the mapping between the
480.       master data describing the current version of the TCB and the on-site master
481.       copy of the code for the current version."[7]
482.  
483.       Requirement 2    - "Procedures (e.g., site security acceptance testing) shall
484.       exist for assuring that the TCB software, firmware, and hardware updates
485.       distributed to a customer are exactly as specified by the master copies."[7]
486.  
487.  
488.  
489.  
490.  
491.                                        9
492.  
493.  
494. *** Page 10 is intentionally left blank
495. 4.    IMPLEMENTATION METHODS
496.  
497.       This section describes various implementation methods that can be used to
498. establish a trusted distribution system and the advantages and disadvantages of
499. each method. When choosing a protective packaging system or a customer site
500. validation process, remember that some devices or techniques provide a higher
501. degree of protection than others. The higher the threat to the distribution system,
502. the greater the need for more stringent measures or multiple levels of trusted
503. distribution methods.  In many situations, multiple methods for trusted
504. distribution should be used, such as a protective packaging system during
505. distribution and site validation upon receipt. This layered approach will counter
506. the insider threat or the threat of collusion where employees themselves alter the
507. contents of a package before it is distributed. Each situation that requires trusted
508. distribution is unique and requires that the system be addressed individually.
509.  
510.       For a National Computer Security Center Al evaluation, a vendor must
511. submit a plan that describes the trusted distribution method(s) for the system
512. under evaluation. This plan should include a description of the procedures to be
513. followed and the mechanisms (type of packaging) to be used for distribution of both
514. initial versions and updates. Any deviation from the trusted distribution plan
515. submitted could jeopardize the evaluation rating.
516.  
517.       There are other requirements in the TCSEC which are related to trusted
518. distribution, namely those concerning configuration management. A vendor
519. should be sure that the system sitting on the loading dock is the system that the
520. vendor thinks it is. At TCSEC class Al, the configuration management system
521. shall include, "a combination of technical, physical, and procedural safeguards" to
522. be "used to protect from unauthorized modification or destruction the master copy
523. or copies of all materials used to generate the TCB."[7] All of the implementation
524. methods that follow are contingent upon prior performance of configuration
525. management, ensuring that the system has not been maliciously altered before
526. being distributed.
527.  
528.  
529.  
530.  
531.  
532.  
533.  
534.                                       11
535.  
536.       A related concern that plays a part in trusted distribution is that
537. communication should be established between the vendor and customer sites for
538. both the initial and updated distribution of the TCB software, firmware, and
539. hardware. The procedures used should include agreement between the vendor and
540. customer sites as to the methods to be used for distribution and the time frame in
541. which the distribution will be made. The sender (the vendor) and receiver (the
542. customer) should be uniquely identified prior to distribution for the trusted
543. distribution system to function successfully. It is essential that this identification
544. be made and that procedures be in place for manufacturers to notify users of
545. pending shipments.  Included in this identification should be the unique
546. identification of every component to be shipped. This identification will allow for
547. the detection of any system configuration changes. Additionally, the customer
548. should have procedures in place that will keep the customer advised of the latest
549. changes from the vendor. At a minimum the customer should enforce a policy that
550. forbids the use of any new TCB software, firmware, or hardware without prior
551. notification from the vendor of the most current change, to include the date each
552. change to the TCBo was sent and the means by which the TCB software, firmware,
553. and hardware was sent.
554.  
555.       Another concern is the reliance on the individuals involved in the design,
556. development, manufacturing, and distribution of the trusted system.  Each
557. individual who is involved in the system prior to and during distribution should be
558. subject to review that would verify his or her trustworthiness and reliability.
559. Particularly for distribution, all individuals who play a significant role in the
560. establishment of the control at the shipping end, or the validation at the receiving
561. end should be worthy of the trust placed in them to perform their roles reliably.
562. Without this step, any process for protection is subject to an insider compromise.
563.  
564.  
565.  
566.       4.1  Protective Packaging
567.  
568.       Protective packaging is a way of wrapping an item so that it cannot be
569. opened and resealed without leaving some obvious indication that the package has
570. been tampered with. Protective packaging can be provided to limit access to the
571. TCB software, firmware, and hardware during shipment and to guarantee their
572. delivery in an unaltered form. Protective packaging ranges from simple shrink
573.  
574.  
575.                                       12
576.  
577. wrapping to complex fiber-optic techniques. The wrapping for shipments should
578. allow the sender and the package contents to remain anonymous. Techniques such
579. as double wrapping the materials to be distributed or an absence of exterior
580. markings when using shrink wrapping could accomplish this. The technique used
581. for packaging the TCB components for distribution shall be documented in the
582. trusted distribution plan.
583.  
584.       Protective packaging not only limits access to the materials being
585. distributed, but also aids in protection against environmental factors, such as dust
586. and water. It is not possible to present every protective packaging technique;
587. however, the examples that follow are provided to present some of the methods that
588. are currently in use.
589.  
590.  
591.  
592.       4.1.1 Shrink Wrapping
593.  
594.       Shrink wrapping is one method of trusted distribution which consists of
595. enclosing the product in a plastic film. This method may be used for TCB
596. hardware, software, or firmware, but since it does involve the use of heat, it should
597. not be used for computer-related equipment that is very sensitive to heat.
598.  
599.       When heat is applied to the plastic film in shrink wrapping, the film
600. contracts, or shrinks, forming a tight seal around the product. If the shrink-
601. wrapped seal is broken, this is an indication that the product being shipped has
602. been tampered with. Not only is shrink wrapping used for the trusted distribution
603. of TCB components, but many industries including the food and drug industry use
604. shrink wrapping to provide consumer protection that products have not been
605. tampered with. Additional special shrink-wrap techniques are available that may
606. increase the reliability of the shrink wrap.
607.  
608.  
609.  
610.  
611.  
612.  
613.  
614.  
615.  
616.  
617.  
618.  
619.                                       13
620.  
621.       The size and construction of the materials to be packaged are important
622. considerations when selecting a shrink-wrapping technique. For example, shrink
623. wrapping products the size of mainframe central processing units (CPUs) or
624. mainframe disk drives is currently not done because of their large size. Techniques
625. will need to be improved to make shrink wrapping a feasible packaging option for
626. these types of products.
627.  
628.  
629.  
630.       4.1.2 Active Systems
631.  
632.       The use of active systems for protective packaging is a viable method for the
633. distribution of TCB software, firmware, and hardware. This method was originally
634. intended to secure personal computers and electronic equipment. Conceptually, an
635. active system could include looping a fiber-optic cable through a latch on the
636. opening of a container and attaching the cable to a control unit via an alarm. An
637. active system provides assurance that a package cannot be entered without
638. triggering the alarm.
639.  
640.       An advantage to the active systems method is that there is a real-time
641. notification of any tampering with the TCB hardware, software, or firmware as
642. they are being delivered. It is very possible that anyone tampering with the
643. product could be caught before having a chance to modify the system. This real-
644. time notification can be circumvented, though, by interfering with the alarm so
645. that the signal will not be picked up. In these cases, the break-in will be detected
646. but not until the delivery truck reaches its destination. True, it will presumably be
647. too late to catch those responsible for the attack, but the detection provided by
648. active systems will prevent an altered component from being used that could result
649. in a security policy compromise.
650.  
651.  
652.  
653.  
654.       4.1.3 Tamper-Resistant Seals
655.  
656.       The use of tamper-resistant seals is another method of protective packaging
657. that may be used to protect the distribution of large TCB software, firmware, and
658. hardware items. One example of a tamper-resistant seal for large items shipped by
659. truck is a special-purpose truck seal. This device generates a random 4-digit
660.  
661.  
662.                                       14
663.  
664. number when installed on a truck door. When the door is opened a new random
665. number is generated. The device is encased in metal and epoxy resin to prevent
666. tampering. By sealing the truck at the vendor facility and sending the number to
667. the customer site by secure means, it is possible for the user to determine whether
668. or not the truck cargo has been opened.
669.  
670.       Other forms of locking devices and seals, such as a high impact security lock
671. or company registered seals, can also be applied before shipment and verified prior
672. to opening. The different sealing devices used provide different degrees of
673. assurance and should be selected based on the needs of the item being distributed.
674.  
675.  
676.  
677.       4.2  Couriers
678.  
679.       The use of a courier service is a possible way to establish the trusted
680. distribution of TCB software, hardware, firmware, both originals and updates.
681. Couriers provide the advantage of constant surveillance of the materials they are
682. transporting. The use of couriers increases the reliability of any delivery system
683. and can easily be used in conjunction with other protective methods such as locking
684. devices and protective packaging.
685.  
686.       There are several commercial firms that can supply bonded services, or
687. manufacturers may use their own internal courier service, if available. Within the
688. military, the Defense Courier Service (DCS), formerly known as the Armed Forces
689. Courier Service (ARFCOS), is an alternative.
690.  
691.       It is possible to transport the most sensitive materials by means of couriers.
692. The TCB products to be distributed should be considered to be as sensitive as the
693. data they are being used to process and should be treated accordingly. Depending
694. upon the sensitivity of the material to be distributed, the vendor and/or customer
695. site may want to establish regulations regarding who may act as a courier, what
696. type of materials they may transport, and where the material may be delivered. A
697. partial list of guidelines for the use of courier service is provided below.
698.  
699.            Persons acting as couriers should be trusted to the level of the
700.       material they are transporting
701.  
702.  
703.                                       15
704.  
705.       -    Material should remain in their personal custody at all times
706.  
707.       -    Vendor as consignor should be responsible for the safety of the
708.       material
709.  
710.       -    Vendor should notify the customer site of the nature of the shipment,
711.       the means of the shipment, number of seals (if used), and the anticipated
712.       time and date of arrival by separate communication at least 24 hours in
713.       advance of the arrival of the shipment in order that the customer site may
714.       take appropriate steps to receive and protect the shipment.
715.  
716.       For the use of a courier service to provide trusted distribution successfully,
717. assurance should exist that the TCB software, firmware, or hardware is not
718. modified while stored in a warehouse before being picked up by the courier.
719. Otherwise, the assurance provided by the courier will have been defeated.
720.  
721.  
722.  
723.       4.3  Registered Mail
724.  
725.       Registered mail can be part of the trusted distribution of TCB hardware,
726. software, and firmware to a customer site without any undetected disclosure or
727. loss.  Although registered mail alone is not sufficient for meeting the TCSEC
728. trusted distribution requirement, it does not preclude it from being a part of the
729. trusted distribution process. The reason that registered mail alone does not satisfy
730. the TCSEC requirement is that although the customer site has to verify its identity
731. before being allowed to receive a package via registered mail, the sender does not
732. have to show any form of identification to mail a package. This can result in the
733. scenario detailed earlier in which someone can duplicate a vendor's wrapping and
734. markings and mail a malicious update or system. Provided that the registered mail
735. is supplemented by other adequate mechanisms to compensate for its shortcomings,
736. such as an unforgeable internal signature to ensure the identity of the sender, it
737. can meet the trusted distribution requirement and provide assurance that what
738. was delivered through the mail actually came from the vendor.
739.  
740.  
741.  
742.  
743.                                       16
744.  
745.       When sending TCB software, firmware, hardware, originals or updates, via
746. registered mail, the products should be considered to be as sensitive as the data
747. they are being used to process and should be treated accordingly. Some procedures
748. to be observed when using registered mail for trusted distribution include:
749.  
750.       -    Material to be transmitted should be enclosed in opaque inner and
751.       outer containers
752.  
753.       -    If the material is in a hard-copy form and is of such size as to permit
754.       the use of envelopes for wrapping, the contents should be protected from
755.       direct contact with the inner container by a cover sheet or by folding inward.
756.  
757.  
758.  
759.       4.4  Message Authentication Codes
760.  
761.       Message Authentication Codes provide an effective means for transmitting
762. segments of TCB software. The banking system is one of the largest users of
763. electronic distribution, and has successfully used Message Authentication Codes
764. for several years. A Message Authentication Code employs an encryption process
765. for a data stream and from this process develops a unique code that is appended to
766. the data stream. It is important to note that only the appended code is actually
767. encrypted, and the message remains in plaintext. The process, repeated by the
768. recipient, must then produce the identical code.
769.  
770.       If the codes are not the same, this is an indication that the code being
771. transmitted has been tampered with. The length of the appended code can vary,
772. but the strength of the process is directly related to the length of the code. As with
773. all encryption-based processes, the management and protection of the key ancinor
774.  
775. algorithm is a critical factor that shall be addressed in the design documentation.
776.  
777.  
778.  
779.  
780.  
781.  
782.  
783.  
784.  
785.  
786.  
787.                                       17
788.  
789.       4.5  Encryption
790.  
791.       Encryption of the entire text is an effective way of protecting data from
792. compromise or modification attacks. Encryption has the advantage not only of
793. preventing undetected changes to the TCB software, but also of preventing viewing
794. of the code for any person without the key. Encryption of TCB software with public
795. or private key techniques is a viable method of trusted distribution, provided that
796. the keys are properly managed, protected, and changed at frequent intervals. In
797. the event that the keys are compromised, it would be possible to alter the TCB
798. software without detection of the alteration.
799.  
800.       As stated before, the success of encryption is dependent upon the protection
801. of the key. For this reason, the key should be subject to some form of trusted
802. distribution, such as courier, to ensure that it is not compromised. Encryption
803. provides a significant increase in the quality of assurance; however, management
804. of the system, for example, key generation and distribution, can become a very
805. complex and time-consuming activity that needs to be well defined in the design
806. documentation.
807.  
808.  
809.  
810.       4.6  Site Validation
811.  
812.       Site validation is validation by the customer site that the TCB hardware,
813. software, and firmware received are exactly as specified in the master copy. Site
814. validation is most commonly performed on the TCB hardware items that are
815. shipped, but TCB software and firmware items should also be subject to some type
816. of validation testing upon receipt. Site validation includes methods for validating
817. that a system has not been tampered with during its movement from vendor site to
818. the customer site. Site validation provides a second layer of assurance for trusted
819. distribution. In the event that any of the TCB components were altered during
820. distribution, site validation procedures should detect the alteration before the
821. system is installed and any compromise of security policy can take place.
822.  
823.  
824.  
825.  
826.  
827.  
828.  
829.                                       18
830.  
831.       4.6.1 Checksum Programs
832.  
833.       Checksum programs provide an acceptable means to detect TCB software
834. and firmware changes during electronic or physical distribution. In this validation
835. method, a group of digits are summed and then checked against a previously
836. computed sum to verify that no digits have been changed since the last summation.
837. Any difference in the two sums would indicate that the piece of software being
838. checked had been modified. The following is taken from the Final Evaluation
839. Report of SCOMP [2] and describes how SCOMP used the checksum method for
840. software distribution.
841.  
842.       "When a site purchases a SCOMP system, a description of the desired
843.       configuration must be sent to Honeywell. A set of configuration files are
844.       then set up and the desired release, with the site specific configuration files,
845.       is generated. A checksum algorithm is then applied to the executable code.
846.       The executable code is sent to the site along with a checksum generation
847.       program. The checksum that was originally generated is then sent to the
848.       site. The site can run the checksum generation program and compare the
849.       result with the checksum delivered through the mail. The two checksums
850.       provide a means whereby the site can ascertain that the system that they
851.       received was the same system that Honeywell sent to them."[2]
852.  
853.       It should be noted that there are ways to improve this approach.  The
854. checksum program should not be distributed with the TCB software. Trusted
855. distribution implementing checksums should consist of sending one package
856. containing the checksum generation program and checksum result and another
857. package containing the TCB software. Both packages should be protected by
858. appropriate means of trusted distribution such as courier or registered mail.
859. Anyone having access to both the checksum generator and the TCB software could
860. retrieve the output from the checksum program through a print command and alter
861. the system so that the change would go unnoticed by saving the original checksum
862. value, modifying the system, and running the checksum program until it matches
863. the original checksum, adding modules to inconsequential areas of the system
864. when necessary. It may take some time to get the checksum of the modified
865. software to equal the original checksum, but with a 16-bit or smaller checksum it
866. may be a practical method for modifying TCB software.
867.  
868.  
869.                                       19
870.  
871.       Additionally, current Al systems should enhance their checksum
872. implementation by using cryptographically protected checksums. Encryption of
873. the checksum and result increases the assurance provided, by preventing anyone
874. from viewing the checksum result. It also provides protection against the scenario
875. described above because no one would be able to view the checksum result without
876. possessing the proper cryptographic key.
877.  
878.       A disadvantage to this implementation is that a checksum program will not
879. limit viewing of the TCB software; it will, however, provide a level of assurance
880. that the transmission has not been altered.
881.  
882.  
883.  
884.  
885.       4.6.2 Inventory
886.  
887.       An inventory is a minimal way of performing customer site validation of
888. TCB hardware. Although this will not meet the TCSEC requirement for trusted
889. distribution, it may provide an acceptable level of assurance for some sites. An
890. inventory is a simple means of inspecting for the presence or absence of a piece of
891. hardware. It consists of an inspection to see if each piece of equipment listed on the
892. inventory arrived at its destination. The assurance provided by an inventory may
893. be increased by inspecting the lower level elements of the TCB hardware. These
894. elements would include such things as circuit boards and chips.
895.  
896.       The disadvantage of conducting a physical inventory is that many different
897. hardware families use some of the same hardware components, and a physical
898. inventory of hardware at each end of the distribution chain will not detect the
899. substitution or change of these similar components in the hardware. It will,
900. however, serve to detect any gross discrepancies between the items sent and
901. received.
902.  
903.       The advantage of performing an inventory is that it provides a quick method
904. of checking that the TCB components sent were the ones requested. The assurance
905. it provides will be minimal, but a simple oversight or error in shipping or the loss of
906. an item may be detected in this manner. A copy of the invoice should always be in a
907.  
908.  
909.  
910.                                       20
911.  
912. sealed envelope and a second copy should be sent by alternate means, such as a
913. courier, so that any invoice tampering can be easily detected.
914.  
915.  
916.  
917.       4.6.3 Engineering Inspection
918.  
919.       An engineering inspection provides a more thorough check than an
920. inventory and may satisfy the TCSEC requirement for trusted distribution of TCB
921. hardware components. It differs from an inventory in that it is a detailed
922. inspection by a qualified technician in a specific area. The technician should be
923. capable of detecting any changes to the inspected equipment that would affect the
924.  
925. TCB. Engineering inspections should be provided for critical parts of the TCB
926. hardware to ensure that the components of the hardware are present and
927. unchanged, such as ensuring, for example, physical location and serial numbered
928. parts, are as specified.
929.  
930.       A disadvantage to an engineering inspection is that it can be very time-
931. consuming and it may not be possible for a technician to inspect all of the TCB
932. hardware components because of the locations and construction of the equipment
933. being inspected. This time element may be offset by a simplified version of this
934. safeguard consisting of a confidential agreement between the vendor and the
935. customer as to which parts of the TCB hardware are to be inspected in detail. This
936. will reduce the amount of effort to a reasonable level and, if the specific components
937. are properly identified, will provide an acceptable level of assurance that no
938. changes have been made.
939.  
940.  
941.  
942.  
943.  
944.                                       21
945.  
946.  
947.  
948.                             ***Page 22 was intentionally left blank
949.  
950.  
951. 5.    SAMPLE IMPLEMENTATION
952.  
953.       5.1  Trusted Distribution of Hardware, Firmware, and Software
954.  
955.       The preceding sections of this document have addressed different methods
956. that may be used for trusted distribution, but none has explicitly stated what will
957. satisfy the TCSEC class Al requirement for trusted distribution. The following
958. paragraphs describe sample methods for meeting the trusted distribution
959. requirements. It should be noted that these are not the only methods that will
960. satisfy the requirement. Through the guidance offered in this document, it is hoped
961. that vendors will be able to investigate other creative methodologies to satisfy the
962. trusted distribution requirement.
963.  
964.       When a system is directed to be transported, an acceptable methodology
965. would be the use of a bonded courier service. The courier would accompany and be
966. responsible for the safety of the system.  Alternate methodologies would be
967. protective packaging (protecting against unauthorized modifications), registered
968. mail, and, specifically on software, the use of encrypted checksums.
969.  
970.       Upon arrival of the system at the purchaser's site, the success of the
971. protective packaging methods provided by the vendor should be validated. It is,
972. however, the vendor's responsibility to provide either the documentation or the
973. manpower to assist the purchaser in determining if the methods used were
974. successful.  Additionally, it is the purchaser's responsibility to provide
975. configuration management for the system throughout the remaining life cycle of
976. the system.
977.  
978.  
979.  
980.       5.2  Trusted Distribution of Documentation
981.  
982.       Trusted distribution shall be provided for the distribution of the TCB
983. hardware, software, and firmware. It can also be said that trusted distribution is
984. required for all of the TCB configuration items as identified in the configuration
985. management plan for a system. When speaking of configuration items, one should
986. include the documentation for the system. Although not required by the TCSEC,
987. the documentation and configuration records for a TCSEC class Al system should
988.  
989.  
990.                                       23
991.  
992. be delivered to the customer site through trusted distribution. In the event that
993. these documents are altered during distribution, it is possible that the system could
994. be configured in a manner that would violate the security policy of the system. For
995. instance, documentation on a TCB mechanism could be altered to allow the
996. mechanism to be used in a harmful way. Trusted distribution of the documentation
997. of the system will ensure that the documentation has not been altered during
998. distribution and accurately describes the system.
999.  
1000.  
1001.  
1002.  
1003.  
1004.  
1005.  
1006.  
1007.  
1008.  
1009.  
1010.  
1011.  
1012.  
1013.  
1014.  
1015.  
1016.  
1017.  
1018.  
1019.  
1020.  
1021.  
1022.  
1023.  
1024.  
1025.  
1026.  
1027.  
1028.  
1029.  
1030.  
1031.  
1032.  
1033.  
1034.  
1035.  
1036.  
1037.  
1038.  
1039.                                       24
1040.  
1041.  
1042. 6.    SUMMARY OF TRUSTED DISTRIBUTION
1043.  
1044.       Trusted distribution is necessary to ensure that the TCB software, firmware,
1045. and hardware developed by a vendor arrive at a customer site exactly as specified
1046. by the master copy that has been evaluated against the TCSEC. Modification of
1047. any TCB software, firmware, or hardware, originals and updates, could result in a
1048. compromise of the system's security policy. Trusted distribution is a part of the life-
1049. cycle assurance required for trusted systems that ensures that the security policy of
1050. a trusted system remains intact throughout the life cycle of the system. Trusted
1051. distribution provides assurance that the TCB components will not be altered
1052. during their distribution from a vendor to a customer site. Generically, this process
1053. of end-to-end control can be broken down into three stages: post-production, transit,
1054. and delivery. Along with configuration management and the other assurance
1055. requirements of the TCSEC, assurance is provided that no violation of a system's
1056. security policy can occur.
1057.  
1058.       Trusted distribution includes methods of protecting the TCB components
1059. during distribution, and in the event of alteration, methods of detecting that the
1060. system has been altered before it is installed and compromise of the security policy
1061. occurs. In the latter case, TCB software containing a virus could be distributed to a
1062. customer site by an imposter with the intentions of compromising the data
1063. processing facilities.
1064.  
1065.       Advances in the ways of attacking a system and an increase in insiders
1066. committing crimes necessitate greater degrees of protection to be provided ADP
1067. systems. Therefore, a successful trusted distribution system should consist of dual
1068. methods of protection and detection and should not rely on any one technique.
1069.  
1070.  
1071.  
1072.  
1073.                                       25
1074.  
1075.  
1076.                                            ***Page 26 was intentionally left blank
1077.  
1078.  
1079.                                    GLOSSARY
1080.  
1081.  
1082. Check Sum
1083.  
1084.       A check in which groups of digits are summed, usually without regard for
1085.       overflow, and that sum checked against a previously computed sum to verify
1086.       that no digits have been changed since the last summation. [9]
1087.  
1088. Configuration Item
1089.  
1090.       The smallest component of hardware, software, firmware, documentation, or
1091.       any of its discrete portions, which is tracked by the configuration
1092.       management system. [4]
1093.  
1094. Configuration Management
1095.  
1096.       The management of security features and assurances through control of
1097.       changes to a system's hardware, software, firmware, and documentation
1098.       throughout the development and operational life of the system. [8]
1099.  
1100. Encryption
1101.  
1102.       The process of transforming data to an unintelligible form in such a way that
1103.       the original data either cannot be obtained (one-way encryption) or cannot be
1104.       obtained without using the inverse decryption process (two-way encryption).
1105.       [8]
1106.  
1107. Fiber-Optic Latches
1108.  
1109.       An active system method available for trusted distribution. In this method,
1110.       a fiber optic cable is looped through a latch on the opening of a container and
1111.       attached to a control unit. The control unit sends a light signal through the
1112.       cable. If the light is interrupted by the cutting or damaging of the cable in
1113.       any way, an alarm is set off. The alarm can be audible or telemetric.
1114.  
1115.  
1116.  
1117.                                       27
1118.  
1119. Formal Top-Level Specification
1120.  
1121.       A top-level specification that is written in a formal mathematical language
1122.       to allow theorems showing the correspondence of the system specification to
1123.       its formal requirements to be hypothesized and formally proven.[7]
1124.  
1125. Message Authentication Code
1126.  
1127.       A cryptographically computed number which is the result of passing a
1128.       message through the authentication algorithm using a specific key. Lengths
1129.       of from 8 to 16 hexadecimal characters can be used.[1]
1130.  
1131. System Life-Cycle
1132.  
1133.       The period of time that a system is in existence, including its design,
1134.       development, implementation, transportation, installation, maintenance,
1135.       and disposal.
1136.  
1137. Trap Door
1138.  
1139.       A hidden software or hardware mechanism that can be triggered to permit
1140.       system protection mechanisms to be circumvented. It is activated in some
1141.       innocent-appearing manner; e.g., special "random" key sequence at a
1142.       terminal. Software developers often introduce trap doors in their code to
1143.       enable them to reenter the system and perform certain functions.[8]
1144.  
1145. Trojan Horse
1146.  
1147.       A computer program with an apparently or actually useful function that
1148.       contains additional (hidden) functions that surreptitiously exploit the
1149.       legitimate authorizations of the invoking process to the detriment of security
1150.       or integrity. [8]
1151.  
1152.  
1153.  
1154.  
1155.  
1156.  
1157.                                       28
1158.  
1159. Trusted Computing Base (TCB)
1160.  
1161. The totality of protection mechanisms within a computer system -- including
1162. hardware, firmware, and software -- the combination of which is responsible
1163. for enforcing the security policy. A TCB consists of one or more components
1164. that together enforce a unified security policy over a product or system. The
1165. ability of a TCB to correctly enforce a security policy depends solely on the
1166. mechanisms within the TCB and on the correct input by system
1167. administrative personnel of parameters (e.g., a user's clearance) related to
1168. the security policy. [7]
1169.  
1170.  
1171.  
1172.  
1173.  
1174.  
1175.  
1176.  
1177.  
1178.  
1179.  
1180.  
1181.  
1182.  
1183.  
1184.  
1185.  
1186.  
1187.  
1188.  
1189.  
1190.  
1191.  
1192.  
1193.  
1194.  
1195.  
1196.  
1197.  
1198.  
1199.  
1200.  
1201.  
1202.  
1203.                                       29
1204.  
1205.                                   REFERENCES
1206.  
1207. 1.    American National Standards Institute, Financial Institution Key
1208. Management (wholesale), X9.9, 1982.
1209.  
1210. 2.    Department of Defense Computer Security Center, "Final Evaluation of
1211. SCOMP, Secure Communications Processor, STOP Release 2.1," CSC-EPL-85-001,
1212. September 23,1985.
1213.  
1214. 3.    Karger, 2LT Paul A. and Schell, Maj. Roger R., Multics Security Evaluation,
1215. Vulnerability Analysis, Electronic System Division, ESD-TR-74-193, June 1974.
1216.  
1217. 4.    National Computer Security Center, A Guide to Understanding
1218. Configuration Management in Trusted Systems, NCSC-TG-006, March 28,1988.
1219.  
1220. 5.    National Computer Security Center, Computer Security Requirements
1221. Guidance for Applying the Department of Defense Trusted Computer System
1222. Evaluation Criteria in Specific Environments, CSC-STD-003-85, 1985.
1223.  
1224. 6.    National Computer Security Center, Criterion Interpretation Discussion
1225. #943, September 1986.
1226.  
1227. 7.    National Computer Security Center, DoD Trusted Computer System
1228. Evaluation Criteria, DoD 5200.28-STD, 1985.
1229.  
1230. 8.    National Computer Security Center, Glossary of Computer Security Terms,
1231. NCSC-TG-004, 1988.
1232.  
1233. 9.    Sippl, Charles J., Computer Dictionary, Howard W. Sams & Co., Inc. Fourth
1234. Edition, 1985.
1235.  
1236.  
1237.  
1238.  
1239.  
1240.  
1241.  
1242.  
1243.  
1244.  
1245.                                       31
1246.  
1247.  
1248.