Common criteria PP e-KTP Angga
26
Common Criteria Protection Profile Smart Card e-KTP
Transcript of Common criteria PP e-KTP Angga
Common Criteria Protection Profile
Smart Card e-KTP
1. PP Introduction
Bagian ini menyediakan manajemen dokumen dan informasi gambaran umum yang
diperlukan untuk registrasi Protection Profile ini dan memungkinkan pengguna potensial dari
PP untuk menentukan, apakah PP ini menarik minatnya.
1.1 PP reference Title: Protection Profile ‘electronic – Kartu Tanda Penduduk (PP e-KTP)’
Sponsor: -
Editor : Angga Pradana
CC Version: 3.1 (Revision 4)
Assurance Level: Minimum assurance level for this PP is EAL4.
General Status: Draft : v 1.0 April 2014
Registration: -
Keywords: e-KTP, smart card
1.2 TOE Overview
1.2.1 TOE Definition
TOE dalam PP ini adalah sejenis kartu identitas (ID Card) berupa contactless smart card yang
memiliki aplikasi :
• e-KTP : berisikan biodata (termasuk biometrik) dan data yang diperlukan untuk
autentikasi (digital signature). Aplikasi ini dimaksudkan untuk digunakan sebagai
akses pelayanan publik yang membutuhkan akses ke user data yang tersimpan dalam
aplikasi tersebut.
• E-Voting : berisi rekaman data pemilihan umum (pemilu)
• E-certificate : berisi ECC public certificate dan ECC private key
Sekurang-kurangnya TOE terdiri dari :
i) rangkaian dari contactless chip termasuk semua IC (processing unit, security
components, I/O ports contactless dam volatile and non-volatile memories) beserta
dedicated software yang telah diaktifkan untuk operational phase dari TOE,
ii) IC embedded Software (operating system),
iii) aplikasi e-KTP, e-voting, dan e-certificate,
iv) data dari user dan data TSF
v) operasi yang benar dari TOE
1.2.2 TOE Lifecycle
Sebelum TOE diserahkan kepada pemegang TOE (operational phase), ada beberapa siklus
yang dilalui oleh e-KTP tersebut yaitu tahap pengumpulan data oleh kemendagri, proses
manufacture smart card (hardware dan software), dan proses personalisasi.
Pengumpulan data personalisasi
Proses ini dimulai dari proses perekaman data penduduk di kecamatan. Data yang direkam
meliputi data demografi dan data biometrik yang meliputi minitae dari sidik jari, iris mata,
foto wajah ditambah dengan tanda tangan digital. Data penduduk yang telah direkam
disimpan di database kecamatan untuk selanjutnya dikirimkan ke Data Center Ditjen
Dukcapil. Data yang telah masuk di Data Centre akan dicek ketunggalannya menggunakan
sistem manual dan otomatis. Pengecekan secara manual dilakukan oleh ajudikator.
Sedangkan untuk pengecekan secara otomatis menggunakan AFIS (Automated Fingerprint
Identification System). Proses ajudikasi ini menggunakan identifikasi 1:N. Ajudikator akan
memutuskan ketunggalan dari data rekaman tersebut. Apabila data memang tunggal, maka
data rekaman tersebut akan disimpan di Database Kependudukan Nasional. Bila data yang
direkam ternyata sudah pernah ada sebelumnya (tidak tunggal), maka pemohon pembuatan e-
KTP diminta untuk merekam data ulang. Alternatif lain apabila data sidik jari tidak
memenuhi unsur ketunggalan adalah dengan menggunakan data iris mata.
Card Manufacture
Fase pertama dari life cycle suatu smart card dibagi ke dalam dua bagian utama. Bagian
pertama yaitu menghasilkan operating system dari smart card dan yang kedua adalah proses
pabrikan semikonduktor untuk memproduksi mikrokontroler.
Dalam proses desain chip, langkah pertama setelah menetapkan spesifikasi fungsional adalah
menghasilkan arsitektur chip secara umum dengan diagram blok dari rangaian/sirkuit dan
layout dari mikrokontroler yang akan dibuat. Setelah itu diagram blok tersebut
disempurnakan langkah demi langkah ke dalam logic blocks, gate level function, transistor
hingga akhirnya diperoleh struktur geometris dari exposure mask. Setiap langkah tersebut
harus diikuti dengan proses simulasi sirkuit dan pengujian yang ekstensif.
Operating system dan aplikasi dari smart card disimpan ke dalam ROM dari mikrokontroler.
Setelah disainer software selesai membuat program untuk smart card lalu program ini
diserahkan kepada pabrikan semikonduktor untuk menghasilkan exposure mask khusus untuk
ROM dari mikrokontroler. Setelah mask dari ROM dan mikrokontroler ini dibuat, maka
pabrikan semikonduktor menghasilkan chip dalam bentuk wafer. Chip-chip yang berada
dalam satu wafer ini diuji satu per satu fungsionalitasnya. Chip yang gagal dalam tes tersebut
akan diberi tanda. Tahap berikutnya adalah memotong wafer tersebut menjadi chip-chip yang
tunggal. Setelah chip tersebut dipotong dari wafer, langkah selanjutnya adalah menempelkan
chip ke modul. Lalu chip direkatkan ke dalam modul dan dibuat sambungan listrik ke
permukaan kontak dari modul. Sebelum modul ini dienkapsulasi ke dalam card body, modul-
modul tersebut harus dites fungsionalitasnya sekali lagi. Modul-modul yang lulus pengujian
ini selanjutnya dikirim ke biro pencetakan blangko e-KTP.
Personalisasi
Biro personalisasi menerima modul smart card yang telah berisi aplikasi e-KTP. Selain itu
biro personalisasi juga menerima data personalisasi yang terenkripsi dari Data Centre. Server
menggenerate master key menggunakan HSM (Hardware Security Module). Sebelum
terminal menulis biodata dan biometrik ke dalam e-KTP, antara terminal dengan smart card
harus melakukan mutual authentication. Proses berikutnya adalah inisialisasi. Selama proses
inisialisasi, security modul membuat kunci turunan yang diperoleh dari Master Key e-KTP
yang dikombinasikan dengan nomor unik dari chip e-KTP. Terdapat empat kunci yang
diturunkan dari proses tersebut yaitu kunci untuk mutual authentication, kunci untuk
transmisi RF, kunci untuk enkripsi sidik jari dan tanda tangan (chiper key), kunci master
digital signature.
Operational Phase
Fase dimana e-KTP telah dipegang oleh card holder. Untuk bisa memperoleh e-KTP, pemilik
e-KTP harus mengambilnya sendiri di kantor Kecamatan (tidak bisa diwakilkan) dan untuk
membuktikan bahwa e-KTP memang diambil oleh pemegang e-KTP yang sah, harus
dilakukan verifikasi sidik jari.
2. Comformance Claim
2.1 CC Conformance Claims
PP ini dikembangkan menggunakan Common Criteria Versi 3.1 revisi 4.
2.2 PP Claim
PP ini tidak mengklaim kesesuaian dengan PP yang lain.
2.3 Conformance Rationale
-
2.4 Conformace Statement
PP ini mensyaratkan kesesuaian yang ketat dari setiap PP atau ST yang mengkalim bersesuaian
dengan PP ini.
3. Security Problem Definition
3.1 Assets
No Aset Definisi sifat kemanan yang dipertahankan
1 data user yang tersimpan dalam TOE
data-data user yang tersimpan dalam masing-masing aplikasi e-KTP (e-KTP, e-voting, e-Certificate) dimana data-data ini: (i) boleh dibaca atau ditulis hanya oleh terminal yang telah ter-autentikasi (ii) hanya boleh digunakan oleh pemegang e-KTP yang telah ter-autentikasi
Kerahasiaan Keutuhan Keaslian
2 data user yang ditransfer dari TOE ke service provider yang terhubung
semua data yang ditransfer untuk semua aplikasi e-KTPantara TOE dan terminal yang ter-autentikasi. Dalam hal ini data user dapat diterima atau dikirim (exchange).
Kerahasiaan Keutuhan Keaslian
3 data tracing e-KTP informasi teknis tentang lokasi sekarang atau sebelumnya dari e-KTP
Ketidak-tersediaan
4 ketersediaan akses ke data dan fungsi dari TOE hanya kepada subjek yang berwenang
data TSF dan fungsi sekuriti hanya boleh diakses secara terbatas oleh subjek yang berwenang
ketersediaan
5 keaslian dari TOE TOE harus bersifat otentik sehingga fungsi sekuriti yang diklaim dapat bekerja dengan tepat
ketersediaan
6 kunci kriptografi rahasia yang tersimpan dalam TOE
material kriptografi rahasia yang digunakan oleh TOE untuk menjalankan fungsi sekuritinya
kerahasiaan keutuhan
7 data autentikasi rahasia dari pemegang e-KTP
informasi autentikasi rahasia dari pemegang e-KTP yang digunakan untuk verifikasi dari proses autentikasi e-KTP (contoh : verifikasi sidik jari)
kerahasiaan keutuhan
Dalam dokumen PP ini akan mempertimbangkan beberapa subjek berikut:
No Subjek Definisi
1 Pemegang e-KTP Orang yang memiliki e-KTP dimana e-KTP yang telah diterbitkan oleh Penerbit e-KTP tersebut telah dipersonalisasi dengan data dirinya
2 Terminal Terminal adalah suatu sistem teknis yang berkomunikasi dengan TOE melalui antarmuka contactless.
3 Service Provider Organisasi resmi atau komersial yang menyediakan layanan yang bisa digunakan oleh pemegang e-KTP. Service Provider menggunakan terminal yang sah.
4 Biro Personalisasi Suatu organisasi yang bertindak atas nama Penerbit e-KTP untuk mempersonalisasi e-KTP yang meliputi aktivitas : (i) memasukkan identitas biografi dari pemegang e-KTP
ke dalam kartu e-KTP, (ii) memasukkan dan mendaftarkan data biometrik dari pemegang e-KTP (iii) menuliskan subset dari data-data tersebut pada bagian fisik dari e-KTP (optical personalisation) (iv) menuliskan data inisialisasi TSF
5 Pabrikan Istilah umum untuk pabrikan yang memproduksi IC dan menyelesaikan proses dari IC menjadi smart card. Dalam hal ini TOE tidak membedakan antara pabrikan IC atau pabrikan smart card.
6 Chip Designer Adalah orang yang mendisain IC (beserta firmwarenya) dan juga orang yang mendisain smart card embedded software (beserta aplikasinya).
7 Petugas Kecamatan Orang yang berwenang untuk mengambil atau merekam data orang yang akan membuat e-KTP
8 Distributor Orang yang bertanggung jawab atas pengiriman TOE antar tahapan proses pembuatan e-KTP mulai dari chip design hingga e-KTP diserahkan ke pemegang e-KTP.
9 Ajudikator Petugas yang mengecek dan memutuskan ketunggalan data rekaman penduduk yang dikirim dari kecamatan
10 Penyerang (attacker) Orang yang mencoba untuk merusak sistem keamanan yang didefinisikan dalam PP ini, secara khusus mencoba untuk mengubah sifat yang ingin dipertahankan pada aset.
3.2 Threats
3.2.1 Threat pada operational phase
• T. Skimming : attacker memalsukan terminal sehingga dapat mengakses user data yang ada
didalam e-KTP ataupun yang ditransfer melalui contactless interface
• T.Eavesdropping : Attacker menangkap komunikasi antara e-KTP dengan reader yang sah
untuk mendapatkan user data yang ditransfer dari TOE melalui contactless interface
• T.Information_Leakage : Attacker bisa saja mengeksploitasi kebocoran informasi dari TOE
selama penggunaan e-KTP untuk mendapatkan user data/TSF data. Kebocoran ini terjadi
pada saat e-KTP dioperasikan secara normal. Contoh kebocoran informasi adalah dari
emanasi atau dari konsumsi daya (teknik simple power analysis).
• T. Physical_Tamper : Attacker bisa saja melakukan physical probing pada e-KTP untuk
- membongkar data TSF,
- membongkar/merekonstruksi Embedded Software dari TOE
Selain itu attacker juga mungkin saja memodifikasi e-KTP secara fisik untuk mengubah
- fungsi sekuritinya (baik hardware maupun software)
- data user dan TSF yang tersimpan dalam e-KTP
Physical tampering bisa saja memfokuskan secara langsung pada upaya pembocoran atau
manipulasi data user (misal data referensi biometrik pada finger print) atau pada data TSF
(miisal authentication key dari e-KTP). Atau secara tidak langsung menyiapkan suatu kondisi
tertentu pada TOE yang kemudian diikuti dengan suatu metode serangan untuk
memodifikasi fitur sekuritinya . Physical tampering membutuhkan interaksi langsung dengan
bagian internal dari e-KTP. Teknik yang umum digunakan adalah IC failure analysis dan IC
reverse engineering dengan menggunakan mikroskop elektron atau dengan mengguunakan
micro probing. Namun sebelumnya, mekanisme sekuriti pada hardware nya dan
karakteristik dari layout nya harus diidentifikasi terlebih dahulu. Menentukan disain
software juga termasuk dalam ancaman ini. Modifikasi yang dihasilkan bisa berupa non
aktifnya fungsi sekuriti.
• T.Card_Tracing : Attacker mencoba mengumpulkan tracing data melalui contactless
communication interface untuk melacak pergerakan dari e-KTP yang dibawa oleh card
holder.
• T.Malfunction : Attacker bisa saja menyebabkan malfungsi pada bagian hardware atau
software dengan menerapkan enviromental stress atau mengoperasikan e-KTP diluar kondisi
normal untuk me-non aktif-kan atau memodifikasi fitur keamanan pada hardware atau
software. Contoh serangan ini adalah dengan menerapkan over clock dan over current
terhadap e-KTP sehingga smart card tersebut tidak beroperasi sebagimana mestinya. Contoh
lain dari serangan ini adalah dengan menggunakan power interruption.
• T.Card_Counterfeit : attacker menghasilkan salinan e-KTP yang tidak sah dengan cara
menyalin sebagian atau seluruh data e-KTP asli ke chip yang palsu untuk meniru e-KTP yang
asli.
• T.Forgery : Attacker mengubah user data dan/atau TSF data pada e-KTP baik itu yang
tersimpan di dalam e-KTP ataupun data yang sedang dikomunikasikan antara e-KTP dengan
terminal untuk mengelabui terminal sehingga referensi data yang telah dirubah (misalkan
biometrik) dianggap sebagai data yang otentik oleh terminal.
3.2.2 Threat pada fase card manufacture
• T.Disclosure : membocorkan informasi sensitif seperti spesifikasi IC, disain dan teknologi IC,
operating system dan application data (data protection systems, memory partitioning,
cryptographic programs) pada smart card.
• T.Abuse Function : Attacker bisa saja melakukan modifikasi TOE baik itu secara hardware
maupun software khususnya pada sistem keamanannya sehingga mengurangi bahkan
menghilangkan TOE security function. Threat ini juga mencakup implementasi dari
penggunaan Trojan, trapdoor, memasukkan virus atau unauthorized program ke dalam
smart card.
3.2.3 Threat pada fase personalisasi
• T.Unauthorized_Acces : attacker bisa saja memperoleh akses ke TOE dan melakukan operasi
yang tidak diijinkan pada sampel modul smart card dan data personalisasi. Contohnya,
atacker bisa saja menggunakan unauthorized command ke smart card selama proses
personalisasi untuk mendapatkan akses yang tidak diijinkan pada smart card.
• T.Card_Cloning : Pada fase personalisasi, attacker bisa saja melakukan personalisasi data
seseorang sebanyak dua kali pada modul smart card sehingga attacker bisa memiliki salinan
kartu e-KTP seseorang yang asli.
• T.Manipulation : attacker mampu memanipulasi data seperti data user, TSF, ataupun kode
yang tersimpan dalam TOE. Serangan ini sangat rentan terjadi pada fase personalisasi karena
pada fase ini, modul smart card masih berada dalam mode yang memperbolehkan operasi
write.
• T.Impersonation Attack : Attacker menyamar sebagai petugas kecamatan untuk mengambil
data dari calon pemegang e-KTP.
3.3 Organizational Security Policy
P.Pre-Operational
1. Penerbit e-KTP menerbitkan e-KTP dan menyetujui untuk menggunakan reader yang
mematuhi hukum dan peraturan yang berlaku
2. Penerbit e-KTP menggaransi kebenaran dari user data dan TSF data tersimpan secara
permanen dalam TOE
3. Penerbit e-KTP hanya menggunakan komponen teknis (IC) yang bisa ditelusuri
(traceability) pada proses fabrikasinya dan mau mengeluarkan life cycle dari produk IC
nya tersebut sebelum diserahkan ke pemegang e-KTP
4. Apabila penerbit e-KTP mengunakan jasa biro personalisasi untuk mempersonalisasi e-
KTP, maka penerbit e-KTP harus meyakinkan bahwa biro personalisasi tersebut bekerja
sesuai dengan peraturan (policy) penerbit e-KTP.
P.Terminal
1. Sebelum reader membaca data dari e-KTP, maka reader dan e-KTP harus melakukan
mutual authentication (Challenge–response authentication) sehingga komunikasi antara
TOE dengan terminal hanya dilakukan pada secure communication.
2. Terminal yang bisa melakukan transaksi tulis data hanya terminal yang dimiliki oleh biro
personalisasi.
P.Agen Personalisasi
Agen personalisasi harus mengeluarkan e-KTP dengan cara yang aman yaitu dengan
mengkonfirmasi bahwa isi data tidak berubah hingga dikirim ke fase operational use dan
memverifikasi bahwa data yang ada di dalam chip e-KTP beroperasi secara normal setelah
diterbitkan. Agen personalisasi harus mematikan fungsi writing sebelum TOE dikirim ke fase
operational use.
3.4 Assumptions
A.Safe_Carrier
Ada jaminan keamanan terhadap TOE selama proses pengiriman antar proses mulai dari chip
design hingga e-KTP diterima.
A.Correct_Operation
TOE yang telah berada dalam operational phase dapat berfungsi dengan benar termasuk
fungsi dari sekuritinya.
A.Prevent_Double_ID
Sistem ajudikator dapat bekerja dengan baik (baik itu manual maupun otomatis) sehingga
tidak terjadi identitas ganda. Tiap satu orang hanya bisa memegang dan memiliki satu e-KTP.
A.Safe_Computer
Perangkat komputer yang digunakan sebagai perekam dan penyimpan data penduduk
adalah komputer yang aman (tidak mengandung software atau hardware yang berbahaya)
dan diletakkan di ruangan yang aman dan hanya boleh diakses oleh petugas yang
berwenang.
A.Good_Officer
Diasumsikan bahwa petugas di kecematan tidak memiliki niat jahat untuk melakukan
manipulasi dan pembocorkan terhadap data penduduk yang telah direkam.
4. Security Objectives
Bab ini menjelaskan security objectives untuk TOE dan security objectives untuk TOE environment.
4.1 Security Objectives untuk TOE
OT.Data Integrity Integrity of Data
TOE harus meyakinkan integitas dari data user dan data TSF yang tersimpan di dalamnya dengan
melindungi data ini terhadap modifikasi yang tidak diizinkan (manipulasi secara fisik).
TOE harus menjamin integritas data user dan data TSF selama proses pertukaran data antara TOE
dengan Service Provider yang terhubung setelah proses mutual authentication sukses dilakukan.
OT.Data Authenticity Authenticity of Data
TOE harus menyakinkan keaslian (otentik) dari Data User dan data TSF yang tersimpan di dalamnya
dengan memperbolehkan proses verifikasi keasliannya oleh terminal yang sah.
TOE juga harus menyakinkan keaslian (otentik) dari Data User dan data TSF selama proses
pertukaran file antara TOE dengan Service Provider yang terhubung. Hal ini bisa dilakukan dengan
cara melakukan verifikasi pada sisi terminal (penerimaan oleh terminal) dan pada TOE itu sendiri
(penerimaan oleh TOE)
OT.Data Confidentiality Confidentiality of Data
TOE harus menyakinkan kerahasiaan (confidentiality) dari data user dan data TSF dengan cara
memberikan akses read only kepada terminal yang sah.
TOE harus menyakinkan kerahasiaan selama proses pertukaran file antara TOE dengan terminal
setelah proses mutual authentication sukses dilakukan.
OT.Chip_Authentication ID_Card Authenticity
TOE harus memperbolehkan terminal yang terhubung untuk memverifikasi keaslian dari e-KTP
sebagai satu divais secara keseluruhan yang memang benar-benar diterbitkan oleh Kemendagri
sebagai ID card issuer nya. OT. Chip_Authentication memiliki mekanisme autentikasi sehingga e-KTP
harus menggunakan data unik rahasianya (misal Chip Authentication Private Key yang merupakan
derived key) agar e-KTP tersebut dapat diverifikasi sebagai e-KTP yang asli. Sementara itu terminal
harus memiliki referensi data (misal : sertifikat dari Chip Authentication Public Key) untuk
mencocokkan apakah data unik yang digunakan oleh e-KTP tersebut memang valid.
OT.Protection_Abuse-Function Perlindungan terhadap penyalahgunaan fungsi
TOE harus bisa mencegah tindakan penyalahgunaan fungsi selama operational phase seperti :
memanipulasi atau membuka Data User yang tersimpan dalam TOE, memanipulasi atau membuka
data TSF yang tersimpan dalam TOE, memanipulasi (mem-bypass, mematikan, atau memodifikasi)
fungsi sekuriti software atau hardware dari TOE.
OT.Protection_Information_Leakage Pelindungan terhadap Kebocoran Informasi
TOE harus memiliki perlindungan terhadap kebocoran informasi rahasia (Data user dan/ data TSF)
yang tersimpan atau sedang diproses oleh e-KTP. Berikut ini contoh-contoh serangan yang
memanfaatkan kebocoran informasi yang harus ditanggulangi oleh TOE :
- dari pengukuran dan analisa terhadap amplitudo sinyal atau waktu eksekusi dari suatu event
yang berasal dari parameter : medan elektromagnetik, konsumsi daya, kecepatan
clock/waktu ekesekusi, atau line I/O
- memaksa TOE agar berfungsi tidak benar
- manipulasi pada fisik TOE
Contoh-contoh serangan tersebut bersinggungan dengan masalah pemrosesan sinyal yang kompleks
baik itu terjadi pada saat TOE berfungsi secara normal maupun pada kondisi yang dipaksakan oleh
penyerang.
OT.Protection_Physical_Tamper Perlindungan terhadap sabotase secara fisik
TOE harus menyediakan perlindungan terhadap kerahasiaan dan integritas dari data User, data TSF,
dan Software dari smart card e-KTP dari sabotase secara fisik seperti :
- physical probing pada permukaan chip (dengan menggunakan alat ukur tegangan dan arus)
- IC failure analysis
- manipulasi hardware dan fungsi sekuritinya,
- manipulasi kontrol terhadap isi memory (data user, data TSF)
- reverse engineering untuk memahami disain dan fungsi dari chip e-KTP
OT.Protection_Malfunction Perlindungan terhadap kegagalan fungsi
TOE harus memastikan bahwa ia dapat beroperasi dengan benar. TOE harus bisa mencegah operasi
yang terjadi diluar kondisi normal dimana pada kondisi tersebut keandalan dan keamanan
operasinya belum dibuktikan atau belum diuji. Ini digunakan untuk mencegah kegagalan fungsi pada
TOE. Kondisi lingkungan yang bisa mempengaruhi kinerja dari smart card tersebut antara lain :
external energy (medan elektromagnetik), tegangan, frekuensi clock, dan temperatur.
OT.ID_Card Tracing Tracing ID_Card
TOE harus mencegah usaha pengumpulan TOE tracing data yang dilakukan dengan memperhatikan
komunikasi via contactless interface. Seluruh data residu harus segera dihilangkan.
OT.Identification Identifikasi TOE
TOE harus menyediakan sarana penyimpanan data inisialisasi dan pre-personalisasi ke dalam
memori non-volatile nya. Data inisialisasi harus berisikan kode identifikasi yang unik dari IC mulai
dari proses manufacturing hingga e-KTP berada dalam operational phase (misal kode UID dari e-
KTP).
OT.Personalisation Personalisasi e-KTP
TOE harus memastikan bahwa data user dan data TSF tersimpan secara permanen dalam TOE dan
hanya bisa ditulis oleh Biro Personalisasi yang diizinkan. Setelah e-KTP dipersonalisasi, biro
personalisasi harus mematikan fungsi write pada chip e-KTP.
4.2 Security Objectives untuk Lingkungan Operasional
OE.Legislative Compliance
Penerbit e-KTP harus menerbitkan e-KTP dan menyetujui penggunaan terminal yang memenuhi
semua regulasi dan aturan hukum yang berlaku.
OE.Personalisation Personalisasi e-KTP
Penerbit e-KTP harus memastikan bahwa biro personalisasi melakukan :
memasukkan identitas pemegang e-KTP yang benar
memasukkan data biometrik
menuliskan subset dari data-data tersebut pada fisik e-KTP
menulis data TSF
OE.Chip Manufacture Regulasi aturan disain chip e-KTP
Dalam proses desain chip e-KTP, baik itu Software maupun hardware, menggunakan prinsip
distributed knowledge. Atau dengan kata lain, suatu bagian project harus dikerjakan sekurang-
kurangnya dua orang. Sehingga tidak ada istilah “a person know everything” dalam mendesain chip
e-KTP.
OE.Personnel Regulasi untuk petugas
Personil atau petugas administrasi atau posisi-posisi lain yang memiliki kewenangan khusus harus
dipilih secara hati-hati berdasarkan kepercayaan dan harus dilatih untuk meningkatkan
kehandalannya.
OE.Single_ID Identitas Tunggal
Petugas ajudikator harus bekerja dengan benar, apabila terdapat identitas ganda (yang bisa
dideteksi dari sidik jarinya), maka pemiliki biodata yang bersangkutan harus melakukan pengambilan
data kembali di kecamatan. Selain itu pengambilan e-KTP di kecamatan harus dilakukan oleh pemilik
sah dari e-KTP yang bersangkutan dengan cara melakukan verifikasi sidik jari 1:1.
OE.Test_Function Pengujian fungsi smart card
Selama proses manufacture, setiap tahap fabrikasi dari TOE mulai dari chip design hingga ke tahap
personalisasi (telah menjadi modul smart card) harus dilakukan proses pengujian fungsi.
OE. Terminal Terminal operational
Service Provider yang berpartisipasi dalam sistem PKI dari e-KTP ini harus mengoperasikan
terminalnya dengan :
Melakukan mutual authentication pada saat memulai pertukaran data antara TOE dengan
terminal
Terminal harus bisa menyimpan secara aman aset-aset yang diperlukan untuk proses mutual
authentication (seperti Master e-KTP key dan UID dari e-KTP)
Terminal beserta lingkungannya harus bisa menyakinkan kerahasiaan dan integritas
terhadap data yang sedang dipegangnya
Tidak boleh ada aset yang dikirim antara TOE dengan terminal sebelum mutual
authentication selesai dilakukan
4.3 Security Objectives Rationale
Tabel berikut ini menunjukkan overview untuk cakupan dari security objectives (TOE dan
lingkungannya). Tabel tersebut menunjukkan bahwa semua threat dan OSP ditanggulangi oleh
security objective.
O
T. Id
enti
fica
tio
n
OT.
Per
son
alis
atio
n
OT.
Dat
a In
tegr
ity
OT.
Dat
a_ A
uth
enti
city
OT.
Dat
a C
on
fid
enti
alit
y
OT.
ID_C
ard
_Tra
cin
g
OT.
Ch
ip_A
uth
OT.
Pro
t_A
bu
se-F
un
c
OT.
Pro
t_In
f_Le
akag
e
OT.
Pro
t_P
hys
-Tam
per
OT.
Pro
t_M
alfu
nct
ion
OE.
Leg
isla
tive
Co
mp
lian
ce
OE.
Ter
min
al
OE.
Ch
ip M
anu
fact
ure
OE.
Per
son
alis
atio
n
OE.
Ch
ip M
anu
fact
ure
OE.
Per
son
nel
OE.
Sin
gle_
ID
OE.
Tes
t_Fu
nct
ion
T.Skimming x x x x
T.Eavesdropping x
T.Card_Tracing x
T.Forgery x x x x x x
T.Card_Counterfeit x x x x
T.Abuse_Function x
T.Information_Leakage x
T.Phys_Tamper x
T.Malfunction x x
T.Unauthorized_Acces x x
T.Card_Cloning x x x
T.Manipulation x x
P. Pre Operational x x x x
P. Terminal x
P. Agen Personalisasi x
A.Safe_Carrier x
A.Correct_Operation x
A. Prevent_Double_ID x
A.Good_Officer x
T.Eavesdropping adalah serangan berupa mendengarkan komunikasi anatara TOE dengan terminal
untuk mendapatkan user data yang sedang ditransfer. Threat ini diatasi oleh security objective
OT.Data_Confidentiality yaitu dengan menggunakan mutual authentication. Proses mutual
authentication yang berhasil akan menghasilkan session key yang digunakan untuk sesi komunikasi
antara e-KTP dengan terminal.
T.Skimming adalah ancaman berupa mengkases user data (yang tersimpan dalam TOE atau
ditransfer antara TOE dengan terminal) melalui contactless interface dari TOE. Ancaman ini diatasi
dengan security objectives OT.Data_Integrity, OT.Data_Authenticity dan OT.Data_Confidentiality
melalui mutual authentication yang harus dilaksanakan antara TOE dengan terminal. Selain itu
OE.Terminal juga mensyaratkan proses mutual authentication harus sukses dilakukan antara TOE
dengan terminal sebelum terminal dapat mengkases user data pada TOE.
T.Card_Tracing adalah model serangan berupa pengumpulan data TOE dengan melakukan
komunikasi atau mendengarkan komunikasi melalui interface contactless dari TOE. Threat ini secara
langsung diatasi oleh OT.ID_Card_Tracing yang mengharuskan menghapus semua data residu dan
mencegah usaha pengumpulan TOE data tracing.
T.Forgery adalah ancaman berupa tindakan untuk mengubah data user dan/atau data TSF yang
tersimpan dalam TOE maupun yang sedang ditransfer antara terminal dengan TOE. Ancaman ini
diatasi oleh OT.Personalisation dimana kendali keamanan ini membatasi akses menulis ke e-KTP dan
hanya memperbolehkan agen personalisasi yang terpercaya untuk melakukan penulisan atau
modifikasi terhadap data user dan TSF. Selain itu TOE juga akan mempertahankan keaslian
(integritas) data user dan TSF seperti yang dinyatkan oleh OT.Integrity dan OT.Data_Authenticity.
Sasaran kemanan OT. Prot_Phys-Tamper dan OT. Prot_Abuse-Func juga membantu melindungi
keaslian dari data user dan TSF yang tersimpan dalam TOE.
T.Card_Counterfeit adalah ancaman berupa menyalin atau memproduksi ulang e-KTp yang asli
secara tidak sah. Ancaman ini diatasi dengan bukti keaslian chip e-KTP yang dinyatakan oleh
OT.Chip_Auth_Proof menggunakan sepasang kunci chip authentication yang dibangkitkan selama
proses personalsiasi e-KTP. Ancaman ini juga dimentahkan oleh OE.Terminal dimana Service
Provider yang menggunakan terminal reader e-KTP harus melakukan protokol mutual authentication
untuk memverifikasi keaslian (authenticity) dari e-KTP.
T.Information_Leakage, T.Phys-Tamper, dan T.Malfunction adalah jenis-jenis serangan langsung
terhadap IC dari smart card dengan potensi ancaman yang tinggi. Perlindungan TOE terhadap
serangan-serangan ini diatasi secara langsung masing-masing oleh security objective OT.
Prot_Inf_Leakage, OT. Prot_Phys-Tamper, OT. Prot_Malfunction.
T.Abuse-Funct adalah serangan berupa penyalahgunaan fungsional dari TOE untuk memanipulasi
atau membocorkan data user dan TSF yang tersimpan dalam e-KTP dengan cara menghilangkan atau
mem-bypass soft-code dari fungsi keamanannya (malware, trojan). Security objective
OT.Prot_Abuse-Func menyakinkan bahwa fungsi-fungsi tersebut telah dimatikan saat fase
operasional (hanya digunakan selama fase development).
5. Extended Component Definition
Protection profile ini menggunakan beberapa komponen tambahan yang tidak tercantum dalam dokumen Common Criteria bagian 2.
5.1 Definition of the Family FCS_RNG Untuk mendefinisikan IT security functional requirements (SFR) dari TOE, family FCS_RNG
ditambahkan kedalam kelas FCS (Functional Cryptographic Support) dan didefinisikan di sini. Family
ini mendeskripsikan functional requirements untuk fungsi random number generation yang
digunakan untuk fungsi kriptografi. Penggunaan komponen FCS_RNG.1 tidak hanya sebatas
membangkitkan kunci kriptografi seperti pada komponen FCS_CKM.1.
Family ‘Random Number Generator (FCS_RNG)’ dispesifikasikan sebagai berikut:
FCS_RNG Random Number Generator Family Behaviour Family ini mendefinisikan quality requirements untuk membangkitkan random number yang ditujukan untuk penggunaan fungsi kriptografi. Component Levelling:
FCS_RNG.1 Membangkitkan random number untuk berbagai keperluan kriptografi dengan [assignment : metode atau algoritma].
FCS_RNG.1 Random Number Generator
Hierarchical to: Tidak ada komponen lainnya Dependencies : Tidak ada ketergantungan dengan komponen lainnya FCS_RNG.1.1 TSF harus menyediakan mekanisme untuk membangkitkan random
numbers dengan menggunakan [assignment : algoritma atau metode tertentu].
5.2 Definition of the Family FPT_EMSEC Family FPT_EMSEC (TOE Emanation Security) ditambahkan ke dalam kelas FPT (Protection of TSF) dan didefinisikan di sini untuk mendeskripsikan IT security functional requirements dari TOE. TOE harus bisa mencegah serangan terhadap data rahasia yang tersimpan di dalam atau digunakan oleh TOE dimana serangan didasarkan pada fenomena fisik yang dapat diobservasi dari luar TOE. Contoh serangan ini adalah radiasi elektromagnetik, simple power analysis (SPA), differential power analysis (DPA), timing attacks, dan lain-lainnya. Family ini mendeskripsikan functional requirements untuk membatasi emanasi yang tidak ditangani secara langsung dalam komponen lainnya yang ada di dalam dokumen CC bagian 2. Family ‘TOE Emanation (FPT_EMSEC)’ dispesifikasikan sebagai berikut:
FPT_EMSEC TOE Emanation Family Behaviour Family ini mendefinisikan keperluan yang dibutuhkan untuk mengatasi emanasi.
FCS_RNG Random Number Generator 1
Component Levelling:
FPT_EMSEC.1 Emanasi TOE Hierarchical to: Tidak ada komponen lainnya Dependencies : Tidak ada ketergantungan dengan komponen lainnya FPT_EMSEC.1.1 TOE tidak boleh memancarkan [assignment : jenis-jenis emisi] secara
berlebihan [assignment : batas spesifikasi] yang memungkinkan bisa mengakses ke [assignment : daftar jenis-jenis dari data TSF] dan [assignment: daftar jenis-jenis data user]
5.3 Definition of the Family FMT_LIM Family FMT_LIM mendeskripsikan functional requirements untuk fitur pengujian pada TOE. Functional requirement yang baru ini dimasukkan ke dalam kelas FMT karena kelas ini tidak manangani manajemen fungsi dari TSF. Contoh dari mekanisme teknis yang digunakan pada TOE menunjukkan bahwa tidak ada kelas lain yang tepat untuk menangani isu spesifik yang berkaitan dengan pencegahan terhadap model serangan ‘abuse function’ dengan membatasi kemampuan dan ketersediaan dari fungsi tersebut. Family ‘Random Number Generator (FCS_RNG)’ dispesifikasikan sebagai berikut: FMT_LIM Limited Capabilities and availability Family Behaviour Family ini mendefinisikan keperluan yang digunakan untuk membatasi kemampuan dan ketersediaan fungsi. Component Levelling:
FMT_LIM.1 Limited capabilities mensyaratkan bahwa TSF dibangun untuk
menyediakan hanya kemampuan yang diperlukan untuk tujuan yang benar. FMT_LIM.2 Limited availability mensyaratkan bahwa TSF membatasi penggunaan
fungsi. Hal ini dapat dicapai, misalnya, dengan menghapus atau menonaktifkan fungsi dalam fase tertentu pada life cycle TOE.
FMT_LIM.1 Limited Capabilities Hierarchical to: Tidak ada komponen lainnya Dependencies : Tidak ada ketergantungan dengan komponen lainnya FMT_LIM.1.1 TSF harus didisain sedemikian rupa untuk membatasi kemampuan mereka
dengan menerapkan aturan-aturan sebagai berikut [assignment : limited capability and availability policy]
FMT_LIM.2 Limited Availability
FPT_EMSEC TOE emanation 1
FMT_LIM Limited capabilities and availability
1
2
Hierarchical to: Tidak ada komponen lainnya Dependencies : Tidak ada ketergantungan dengan komponen lainnya FMT_LIM.2.1 TSF harus didisain sedemikian rupa untuk membatasi ketersediaan mereka
dengan menerapkan aturan-aturan sebagai berikut [assignment : limited capability and availability policy]
6. Security Requirements
Bagian PP ini mendefinisikan security requirements secara detail yang harus dipenuhi oleh TOE.
Pernyataan dari TOE security requirements harus mendefinisikan security requirement functional
dan assurance yang perlu dipenuhi oleh TOE agar cocok dengan security objectives untuk TOE.
6.1 Security Functional Requirements
6.1.1 Class FCS Cryptographic Support
6.1.1.1 Cryptographic key generation (FCS_CKM.1)
Cryptographic key generation for RF transmission (FCS_CKM.1/RF Transmission) FCS_CKM.1/ RF Transmission The TSF shall generate cryptographic keys in accordance with
a specified cryptographic key generation algorithm [selection: RSA or Diffie Hellman] and specified cryptographic key sizes [112 bit] that meet the following: [MRTD ICAO standard].
Catatan : TOE menghasilkan shared secret value dengan terminal yang digunakan untuk menurunkan session key dari triple DES untuk enkripsi pesan yang dipertukarkan antara TOE dengan terminal. Crytographic key destruction - Session keys (FCS_CKM.4) FCS_CKM.4 The TSF shall destroy cryptographic keys in accordance with
a specified cryptographic key destruction method [assignment: cryptographic key destruction method] that meets the following: [assignment: list of standards].
Catatan : TOE harus menghancurkan session key untuk enkripsi data (i) setelah mendeteksi suatu error saat verifikasi MAC, (ii) setelah sukses menjalankan Chip Authentication Protocol. TOE harus mengosongkan area memory yang menyimpan session keys sebelum memulai sesi komunikasi yang baru dengan terminal.
6.1.1.2 Cryptographic operation (FCS_COP.1)
Crytographic operation - hash function (FCS_COP.1/SHA)
FCS_COP.1/Hash The TSF shall perform [hashing] in accordance with a specified cryptographic algorithm [assignment: cryptographic algorithm] and cryptographic key sizes [none] that meet the following: [assignment: list of standards].
Crytographic operation - encryption/decription Triple DES (FCS_COP.1/Triple DES)
FCS_COP.1/Triple DES The TSF shall perform [secure messaging – encription and decription] in accordance with a specified cryptographic algorithm [Triple DES] and cryptographic key sizes [112 bit] that meet the following: [assignment: list of standards].
Crytographic operation - two way authentication (FCS_COP.1/Mutual_Auth)
FCS_COP.1/Mutual_Auth: The TSF shall perform [two way authentication] in accordance with a specified cryptographic algorithm [Triple DES] and cryptographic key sizes [168 bit] that meet the following: [assignment: list of standards].
6.1.1.3 Random Number Generator (FCS_RNG.1)
FCS_RNG.1.1 TSF harus menyediakan mekanisme untuk membangkitkan random numbers dengan menggunakan [assignment : algoritma atau metode tertentu].
6.1.2 Class FIA: Identification and Authentication 6.1.2.1 Authentication Failure Handling (FIA_AFL.1) FIA_AFL.1.1 The TSF shall detect when [assignment: positive integer number]
unsuccessful authentication attempts occur related to [assignment: list of authentication evets].
positive integer number:
three list of authentication events:
biometric verification FIA_AFL.1.2 When the defined number of unsuccessful authentication attempts has been
met, the TSF shall [assignment: list of actions].
list of actions:
cancel the operation
display a message
suspend the e-KTP
6.1.2.2 Timing of Authentication (FIA_UAU.1)
FIA_UAU.1.1 The TSF shall allow [assignment: list of TSF mediated actions] on behalf of the user to be performed before the user is authenticated. list of TSF mediated actions:
two way authenticaiton and secure communcation with terminal
6.1.2.3 Unforgeable Authentication (FIA_UAU.3) FIA_UAU.3.1 The TSF shall prevent use of authentication data that has been forged by any
user of the TSF. FIA_UAU.3.2 The TSF shall prevent use of authentication data that has been copied from
any other user of the TSF.
6.1.2.4 Re-Authenticating (FIA_UAU.6) FIA_UAU.6.1 The TSF shall re-authenticate the user under the conditions [assignment: list
of conditions under which re-authentication is required]. list of conditions under which re-authentication is required:
each aplication operation
6.1.2.5 Protected Authentication Feedback (FIA_UAU.7) FIA_UAU.7.1 The TSF shall provide only [assignment: list of feedback] to the user while the
authentication is in progress.
list of feedback:
result of the authentication
reason of failure if it fails
6.1.3 Class FPT: Protection of the TSF
6.1.3.1 Inter-TSF Confidentiality During Transmission (FPT_ITC.1) FPT_ITC.1.1 The TSF shall protect all TSF data transmitted from the TSF to another
trusted IT product from unauthorised disclosure during transmission.
6.1.3.2 TOE Emanation (FPT_EMSEC) FPT_EMSEC.1.1 TOE tidak boleh memancarkan [assignment : jenis-jenis emisi] secara
berlebihan [assignment : batas spesifikasi] yang memungkinkan bisa mengakses ke [assignment : daftar jenis-jenis dari data TSF] dan [assignment: daftar jenis-jenis data user]
jenis-jenis data TSF :
chip authentication private key
data biometrik user yang digunakan untuk memverifikasi pemegang e-KTP
[assignment : jenis-jenis data TSF lainnya]
jenis-jenis data user :
data biometrik
[assignment : jenis-jenis data TSF lainnya]
6.1.3.3 Failure with preservation of secure state (FPT_FLS.1) FPT_FLS.1.1 The TSF shall preserve a secure state when the following types of failures
occur : [assignment: list of type of failure in the TSF]. list of types of failure in the TSF :
ditempatkan pada suatu kondisi yang menyebabkan TOE menjadi tidak berfungsi dengan benar (malfunction)
kegagalan fungsi yang dideteksi oleh FPT_TST.1
[assignment: jenis-jenis kegagalan fungsi pada TSF yang lain]
6.1.3.4 TSF Testing (FPT_TST.1) FPT_TST.1.1 The TSF shall run a suite of self tests [selection: during initial start-up,
periodically during normal operation, at the request of the authorised user, at the conditions[assignment: conditions under which self test should occur]] to demonstrate the correct operation of [selection: [assignment: parts of TSF], the TSF].
FPT_TST.1.2 The TSF shall provide authorised users with the capability to verify the
integrity of [selection: [assignment: parts of TSF], TSF data]. FPT_TST.1.3 The TSF shall provide authorised users with the capability to verify the
integrity of stored TSF executable code.
6.1.3.5 Resistance to physical attack (FPT_PHP.3) FPT_PHP.3.1 The TSF shall resist [assignment: physical tampering scenarios] to the
[assignment: list of TSF devices/elements] by responding automatically such that the SFRs are always enforced.
list of physical tampering scenarios :
physical manipulation
physical probing
6.1.4 Class FDP User Data Protection
6.1.4.1 Subset acces control – Terminal Acces (FDP_ACC.1) FDP_ACC.1.1 The TSF shall enforce the [Terminal access control SFP] on [terminal dalam
melakukan fungsi tulis, baca, modifikasi, dan menggunakan akses terhadap user data yang tersimpan dalam e-KTP].
6.1.4.2 Security attribute based access control (FDP_ACF.1) FDP_ACF.1.1 The TSF shall enforce the [Terminal access control SFP] to objects based on
the following: [assignment: list of subjects and objects controlled under the indicated SFP, and for each, the SFP-relevant security attributes, or named groups of SFP-relevant security attributes].
subject : terminal object : user data yang tersimpan dalam TOE security attributes : - authentication status dari terminal - terminal authorisation level FDP_ACF.1.2 The TSF shall enforce the following rules to determine if an operation among
controlled subjects and controlled objects is allowed: [assignment: rules governing access among controlled subjects and controlled objects using controlled operations on controlled objects].
Terminal personalisasi yang berhasil ter-autentifikasi bisa melakukan fungsi baca, tulis, dan modifikasi user data dalam e-KTP serta dapat menurunkan kunci : e-KTP Key, Session Key, Chiper Key, Master Digital Siganture Key.
Terminal (reader) yang berhasil ter-autentifikasi hanya bisa melakukan fungsi baca terhadap data user (biodata dan biometrik)
FDP_ACF.1.3 The TSF shall explicitly authorise access of subjects to objects based on the
following additional rules: [tidak ada]. FDP_ACF.1.4 The TSF shall explicitly deny access of subjects to objects based on the
[assignment: rules, based on security attributes, that explicitly deny access of subjects to objects].
Setiap terminal yang gagal ter-autentifikasi tidak diperbolehkan untuk melakukan fungsi baca, tulis, modifikasi terhadap data user yang tersimpan dalam e-KTP.
Tidak ada seorangpun yang diperbolehkan untuk membaca “kunci kriptografi rahasia” yang ada di dalam e-KTP.
Tidak ada seorangpun yang diperbolehkan untuk membaca “data autentifikasi rahasia dari pemegang e-KTP” yang tersimpan dalam e-KTP (data sidik jari).
6.1.4.3 Subset residual information protection (FDP_RIP.1)
FDP_RIP.1.1 The TSF shall ensure that any previous information content of a resource is
made unavailable upon the [selection: allocation of the resource to, deallocation of the resource from] the following objects: [assignment: list of objects].
list of object :
chip authentication private key
secret e-KTP holder authentication data
session key
[assignment : objek-objek lainnya]
6.2 Security Assurance Requirements Assurance requirements untuk evaluasi TOE, pengembangannya dan lingkungan operasionalnya ditetapkan menggunakan paket EAL4, dimana komponen penyusunnya dicantumkan dalam tabel berikut ini.
Assurance Class Assurance components
ADV: Developmen ADV_ARC.1 Security architecture description
ADV_FSP.4 Complete functional specification
ADV_IMP.1 Implementation representation of
the TSF
ADV_TDS.3 Basic modular design
AGD: Guidance documents AGD_OPE.1 Operational user guidance
AGD_PRE.1 Preparative procedures
ALC: Life-cycle support ALC_CMC.4 Production support, acceptance
procedures and automation
ALC_CMS.4 Problem tracking CM coverage
ALC_DEL.1 Delivery procedures
ALC_DVS.1 Identification of security
measures
ALC_LCD.1 Developer defined life-cycle
model
ALC_TAT.1 Well-defined development tools
ASE: Security Target evaluation ASE_CCL.1 Conformance claims
ASE_ECD.1 Extended components definition
ASE_INT.1 ST introduction
ASE_OBJ.2 Security objectives
ASE_REQ.2 Derived security requirements
ASE_SPD.1 Security problem definition
ASE_TSS.1 TOE summary specification
ATE: Tests ATE_COV.2 Analysis of coverage
ATE_DPT.1 Testing: basic design
ATE_FUN.1 Functional testing
ATE_IND.2 Independent testing - sample
AVA: Vulnerability assessment AVA_VAN.3 Focused vulnerability analysis
6.3 Security Requirements Rationale
OT.
Iden
tifi
cati
on
OT.
Per
son
alis
atio
n
OT.
Dat
a In
tegr
ity
OT.
Dat
a_ A
uth
enti
city
OT.
Dat
a C
on
fid
enti
alit
y
OT.
ID_C
ard
_Tra
cin
g
OT.
Ch
ip_A
uth
OT.
Pro
t_A
bu
se-F
un
c
OT.
Pro
t_In
f_Le
akag
e
OT.
Pro
t_P
hys
-Tam
per
OT.
Pro
t_M
alfu
nct
ion
FCS_CKM.1/ RF Transmission x x x
FCS_CKM.4 x x
FCS_COP.1/SHA x x x
FCS_COP.1/Triple DES x x x x
FCS_COP.1/Mutual_Auth x x x x x
FCS_RNG.1 x
FIA_AFL.1 x x x
FIA_UAU.1 x x x
FIA_UAU.3 x x
FIA_UAU.6 x x x
FIA_UAU.7 x
FPT_ITC.1 x x
FPT_EMSEC.1 x
FPT_FLS.1 x
FPT_TST.1 x
FPT_PHP.3 x x x x
FDP_ACC.1 x x x
FDP_ACF.1 x x x
FDP_RIP.1 x
FMT_LIM.1 x
FMT_LIM.2 x
Security objective OT.Data Integrity bertujuan agar TOE selalu memastikan integritas dari data user
dan data TSF baik itu yang tersimpan dalam e-KTP atau yang sedang dikomunikasikan antara TOE
dengan terminal, setelah proses mutual authentication berhasil. FPT_PHP.3 mendukung OT.Data
Integrity karena dapat mencegah terhadap aksi physical manipulation and unathorised modifying
terhadap data user dan TSF yang tersimpan dalam TOE. Selain itu, pencegahan modifikasi terhadap
data dalam e-KTP juga didukung oleh FDP_ACC.1 dan FDP_ACF.1 karena SFR ini mengharuskan
terminal harus melewati proses autentifikasi untuk mencapai level authorisation tertentu untuk
dapat melakukan fungsi write terhadap e-KTP. FCS_COP.1/Hash juga mendukung OT.Data Integrity
untuk mengecek integritas dari data yang dikirim dari e-KTP ke terminal. Sedangkan SFR FCS_RNG
merupakan pendukung untuk operasi kriptografi yang dibutuhkan.
