Navigation und Service

BSI-DSZ-CC-0862-V2-2021

POLYAS CORE Version 2.5.0

Antragsteller / Applicant

POLYAS GmbH

Marie-Calm-Straße 1-5
34131 Kassel

Prüfstelle / Evaluation Facility

Deutsches Forschungszentrum für Künstliche Intelligenz GmbH

Prüftiefe / Assurance

EAL2, ALC_LCD.1, ALC_DVS.1, ALC_CMS.3, ALC_CMC.3

Schutzprofil / Protection Profile

Common Criteria Schutzprofil für Basissatz von Sicherheitsanforderungen an Online-Wahlprodukte, Version 1.0, 18. April 2008, BSI-CC-PP-0037-2008

Ausstellungsdatum / Certification Date

25.06.2021

gültig bis / valid until

24.06.2026

  • BSI-DSZ-CC-0862-V2-2021-MA-02 (Ausstellungsdatum / Certification Date 11.03.2022)

    Maintenancereport / Maintenance Report

    Sicherheitsvorgaben / Security Target

    Die Laufzeitumgebung des EVG POLYAS CORE, Version 2.5.4 wurde zur Behebung einer Sicherheitslücke in dem Paket apache log4j geändert. Die Implementierung der zertifizierten Sicherheitsleistungen des EVG ist unverändert. Die Konfigurationsmanagement-Prozeduren erfordern eine Änderung der Produktversion von Version 2.5.3 zu Version 2.5.4.

    The runtime environment of the TOE POLYAS CORE, Version 2.5.4 was changed to fix a vulnerability in the SW package apache log4j. The implementation of the certified TOE security functionality is unchanged. Configuration management procedures require a change of the product version from version 2.5.3 to version 2.5.4.

  • BSI-DSZ-CC-0862-V2-2021-MA-01 (Ausstellungsdatum / Certification Date 24.11.2021)

    Maintenancereport / Maintenance Report

    Sicherheitsvorgaben / Security Target

    Der geänderte EVG ist das Online-Wahlprodukt POLYAS CORE 2.5.3.
    Bei den Änderungen des zertifizierten Produkts handelt es sich um kleinere, nicht-sicherheitsrelevante Anpassungen in der Implementierung zur Vermeidung von Abbrüchen bei größeren Wahlen.

    The maintained TOE is the online voting product POLYAS CORE 2.5.3.
    The change to the certified product is at the level of a minor, non-security relevant adaption in the implementation representation to avoid abortions in larger elections.

  • BSI-DSZ-CC-0862-V2-2021 (Ausstellungsdatum / Certification Date 25.06.2021, gültig bis / valid until 24.06.2026)
    Zertifizierungsreport / Certification Report

    Sicherheitsvorgaben / Security Target

    Zertifikat / Certificate

    Der Evaluierungsgegenstand (EVG) POLYAS CORE 2.5.0 ist ein Produkt zur Durchführung von Online-Wahlen (kurz: Online-Wahlprodukt). Entsprechend den Sicherheitsanforderungen ist POLYAS CORE 2.5.0 geeignet, Vereinswahlen, Gremienwahlen – etwa in den Hochschulen, im Bildungs- und Forschungsbereich – und insbesondere nicht-politische Wahlen mit geringem Angriffspotential sicher auszuführen. Die Funktions- und Sicherheitsmerkmale des EVG beziehen sich nur auf die Phase Wahldurchführung inkl. der Stimmauszählung, nicht aber auf die Wahlvorbereitung (wie beispielsweise die Erstellung der Wahlberechtigungsliste) und die Archivierung der Wahldurchführungs- und Ergebnisdaten. Ein clientseitiger EVG auf dem Endgerät existiert damit nicht und der komplette Funktionsumfang wird vom serverseitigen EVG zur Verfügung gestellt.
    Diese Re-Zertifizierung wurde durchgeführt, weil die Gültigkeit des vorherigen Zertifikats abgelaufen war und um geringfügige Änderungen am Produkt in die Zertifizierung aufzunehmen.

    The Target of Evaluation (TOE) POLYAS CORE 2.5.0 is a product for conducting online elections (in short: online voting product). Corresponding to the security requirements, POLYAS CORE 2.5.0 is a is sufficient to securely implement elections in associations, for boards and bodies such as at universities, within the scope of education and research, and in particular other non-political elections with low attack potential. The functional and security features of the TOE relate only to the polling phase incl. tallying, but not to the election preparation (such as drawing up the electoral register, for example) or to the archiving of the polling and result data. A client-sided TOE at the endpoint device does not exist, and the complete range of functions is provided by the server-sided TOE.
    This re-certification was conducted, because the validity of the previous certificate expired and to include minor product changes in the certified scope.

  • BSI-DSZ-CC-0862-2016 (Ausstellungsdatum / Certification Date 10.03.2016, gültig bis / valid until 09.03.2021)

    Zertifizierungsreport / Certification Report

    Sicherheitsvorgaben / Security Target

Der Evaluierungsgegenstand (EVG) ist das Produkt zur Durchführung von Online-Wahlen (kurz: Online-Wahlprodukt) POLYAS CORE Version 2.2.3. Entsprechend den Sicherheitsanforderungen des zugrunde liegenden Schutzprofil BSI-CC-PP-0037 ist POLYAS CORE V2.2.3 geeignet, Vereinswahlen, Gremienwahlen – etwa in den Hochschulen, im Bildungs- und Forschungsbereich – und insbesondere nicht-politische Wahlen mit geringem Angriffspotential sicher auszuführen. Die Funktions- und Sicherheitsmerkmale des EVG beziehen sich nur auf die Phase Wahldurchführung inkl. der Stimmauszählung, nicht aber auf die Wahlvor­bereitung (wie beispielsweise die Erstellung der Wahl­berechtigungsliste) und die Archivierung der Wahl­durchführungs- und Ergebnisdaten. Ein clientseitiger EVG auf dem Endgerät exis­tiert nicht. Der komplette Funktionsumfang wird vom serverseitigen EVG zur Verfügung gestellt.

The Target of Evaluation (TOE) is the product for conducting online elections (in short: online voting product) POLYAS CORE Version 2.2.3. Corresponding to the security requirements from the claimed Protection Profile BSI-CC-PP-0037, POLYAS CORE V2.2.3 is sufficient to securely implement elections in associations, for boards and bodies such as at universities, within the scope of education and research, and in particular other non-political elections with low attack potential. The functional and security features of the TOE relate only to the polling phase incl. tallying, but not to the election preparation (such as drawing up the electoral register, for example) or to the archiving of the polling and result data. A client-sided TOE at the endpoint device does not exist. The complete range of functions is provided by the server-sided TOE.