معلومات حول شهادات أمن Apple

عمليات التحقق من صحة خوارزمية التشفير

يعد التحقق من صحة التنفيذ للعديد من خوارزميات التشفير ووظائف الأمان ذات الصلة شرطًا أساسيًا للتحقق من صحة FIPS 140-3 ودعمًا للشهادات الأخرى. وتتم إدارة عملية التحقق بواسطة برنامج التحقق من صحة خوارزمية التشفير (CAVP) في المعهد الوطني للمعايير والتكنولوجيا (NIST). يمكن العثور على شهادات التحقق من صحة عمليات التنفيذ في Apple باستخدام أداة البحث في CAVP. لمزيد من المعلومات، راجع موقع برنامج عمليات التحقق من صحة خوارزمية التشفير (CAVP).

عمليات التحقق من صحة وحدات التشفير: ‎FIPS ‎140‎-‎2/3 ‎(‎ISO‎/‎IEC‎ 19790‎)‎

تم التحقق من صحة وحدات التشفير في Apple مرارًا وتكرارًا بواسطة برنامج التحقق من صحة وحدة التشفير (CMVP) بما يتوافق مع معيار معالجة المعلومات الفيدرالية الأمريكية لوحدات التشفير (FIPS 140-2) بعد كل إصدار رئيسي من أنظمة التشغيل منذ 2012. بعد كل إصدار رئيسي، ترسل Apple الوحدات إلى CMVP للتحقق من صحة التوافق مع المعيار. وتوفر هذه الوحدات، فضلاً عن استخدامها بواسطة أنظمة التشغيل والتطبيقات التابعة لشركة Apple، وظائف تشفير للخدمات المقدمة من Apple وتكون متاحة لتطبيقات الجهات الخارجية لاستخدامها.

تحقق Apple مستوى الأمن الأول كل عام للوحدات المستندة لبرامج "وحدة CoreCrypto لـ Intel" و "وحدة CoreCrypto Kernel لـ Intel" لنظام التشغيل macOS. وبالنسبة لسيليكون Apple، ‏"وحدة Corecrypto لـ ARM" و "وحدة Corecrypto Kernel لـ ARM" متوفر لـ iOS و iPadOS و tvOS و watchOS والبرامج الثابتة في رقاقة Apple T2 الأمنية المضمنة في أجهزة كمبيوتر Mac.

في 2019، حققت Apple المستوى الأمني الثاني من FIPS 140-2 الأول لوحدة تشفير المكونات المادية المدمجة التي تم تحديدها على أنها "مخزن المفاتيح الآمن لوحدة Apple Corecrypto" مما يتيح الاستخدام الحكومي المعتمد في الولايات المتحدة الأمريكية للمفاتيح المُنشأة والمُدارة في Secure Enclave. وتواصل Apple السعي نحو إجراء عمليات التحقّق لوحدة تشفير المكونات المادية مع كل إصدار نظام تشغيل رئيسي متواتر.

تم اعتماد FIPS 140-3 من قِبل وزارة التجارة الأمريكية في 2019. أبرز تغيير في هذا الإصدار من المعايير هو مواصفة معايير ISO/IEC وبالأخص ISO/IEC 19790:2015 ومعيار الاختبار المصاحب ISO/IEC 24759:2017. طرح CMVP برنامج انتقال وأوضح أنه ابتداءً من 2020 سيبدأ التحقق من صحة وحدات التشفير باستخدام FIPS 140-3 كأساس. تهدف وحدات Apple للتشفير إلى تلبية معايير FIPS 140-3 والانتقال إليها في أقرب وقت ممكن.

بالنسبة لوحدات التشفير الموجودة حاليًا في عمليات الاختبار والتحقق من الصحة، يحتفظ CMVP بقائمتين منفصلتين قد تحتويان على معلومات حول عمليات التحقق المقترحة. بالنسبة لوحدات التشفير قيد الاختبار مع مختبر معتمد، قد تسرد قائمة عمليات التنفيذ قيد الاختبار اسم الوحدة. بعد أن ينتهي المختبر من الاختبار ويوصي بالتحقق من الصحة من قِبل CMVP، تظهر وحدات تشفير Apple في قائمة الوحدات قيد المعالجة. ويكتمل حاليًا الاختبار المعملي ويُنتظر التحقق من صحة الاختبار بواسطة CMVP. نظرًا لأن طول عملية التقييم يمكن أن يختلف، انظر إلى قائمتي العملية أعلاه لتحديد الحالة الراهنة لوحدات تشفير Apple بين تاريخ إصدار نظام تشغيل رئيسي وإصدار شهادة التحقق من الصحة بواسطة CMVP.

شهادات المنتج: المعايير العامة (ISO/IEC 15408)

تعد المعايير العامة (ISO/IEC 15408) معيارًا تستخدمه العديد من المؤسسات كأساس لإجراء تقييمات الأمن لمنتجات تقنية المعلومات.

بالنسبة إلى الشهادات التي قد يتم الاعتراف بها بشكل متبادل بموجب اتفاقية الاعتراف بالمعايير العامة الدولية (CCRA)، انظر بوابة المعايير العامة. يمكن أيضًا استخدام مقاييس المعايير العامة خارج CCRA بواسطة مخططات التحقق المحلية والخاصة. في أوروبا، يخضع الاعتراف المتبادل لاتفاقية SOGIS وكذلك CCRA.

الهدف، كما أوضح مجتمع المعايير العامة، هو تأسيس مجموعة من المعايير الأمنية المعتمدة دوليًا لتوفير تقييم واضح وموثوق للقدرات الأمنية لمنتجات تقنية المعلومات. ومن خلال توفير تقييم مستقل لقدرة المنتج على تلبية المعايير الأمنية، تمنح شهادة المعايير العامة للعملاء ثقة أكبر في أمن منتجات تقنية المعلومات وتؤدي إلى اتخاذ قرارات أكثر استنارة.

ومع اتفاقية الاعتراف بالمعايير العامة (CCRA)، اتفقت الدول الأعضاء على الاعتراف بشهادة منتجات تقنية المعلومات بمستوى الثقة ذاته. التقييمات المطلوبة قبل الحصول على الشهادة واسعة النطاق وتشمل:

• ملفات تعريف الحماية (PPs)

• الأهداف الأمنية (STs)

• المتطلبات الوظيفية الأمنية (SFRs)

• متطلبات ضمان الأمن (SAR)

• مستويات ضمان التقييم (EALs)

ملفات تعريف الحماية (PPs)، عبارة عن مستندات تحدد متطلبات الأمن لفئة من أنواع الأجهزة مثل التنقل، وتُستخدم لتوفير إمكانية المقارنة بين تقييمات منتجات تكنولوجيا المعلومات ضمن نفس الفئة. وتستمر عضوية CCRA جنبًا إلى جنب مع قائمة متزايدة من ملفات تعريف الحماية (PPs) المعتمدة في النمو على أساس سنوي. ويسمح هذا الترتيب لمطور المنتج بالمطالبة بشهادة واحدة بموجب أي من أنظمة تفويض الشهادات وطلب الاعتراف بها من قِبل أيٍ من المُوقِّعين المستهلكين للشهادة.

تحدد الأهداف الأمنية (STs) ما سيتم تقييمه عند اعتماد أحد منتجات تكنولوجيا المعلومات. تتم ترجمة الأهداف الأمنية (STs) إلى متطلبات وظيفية أمنية (SFRs) أكثر تحديدًا، تُستخدم لتقييم الأهداف الأمنية (STs) بمزيد من التفصيل.

كما تتضمن المعايير العامة (CC) متطلبات ضمان الأمن. أحد المقاييس الشائعة هو مستوى ضمان التقييم (EAL). تجمع مستويات ضمان التقييم (EALs) معًا مجموعات متطلبات ضمان الأمن (SARs) التي تحدث بشكل متكرر ويمكن تحديدها في ملفات تعريف الحماية (PPs) والأهداف الأمنية (STs) لدعم إمكانية للمقارنة.

تمت أرشفة العديد من ملفات تعريف الحماية (PPs) الأقدم ويتم استبدالها بملفات تعريف الحماية (PPs) المستهدفة، والتي يتم تطويرها للتركيز على حلول وبيئات محددة. وفي إطار الجهود المتضافرة الرامية إلى ضمان استمرار الاعتراف المتبادل بين جميع أعضاء CCRA، تم تأسيس المجتمعات الفنية الدولية (iTCs) لتطوير وصيانة ملفات تعريف الحماية التعاونية (cPPs)، والتي يتم تطويرها منذ البداية بمشاركة من الأنظمة المُوقِّعة على CCRA. وتواصل الجهات المعنية جهودها المبذولة لتطوير ملفات تعريف الحماية (PPs) المستهدفة لمجموعات المستخدمين وترتيبات الاعتراف المتبادلة بخلاف CCRA.

بدأت Apple في السعي للحصول على الشهادات بموجب CCRA المُحدّث مع ملفات تعريف الحماية التعاونية (cPP) المحددة ابتداءً من أوائل عام 2015. منذ ذلك الحين، حصلت Apple على شهادات المعايير العامة لأنظمة iOS و iPadOS و macOS، بالإضافة إلى بعض تطبيقات Apple الرئيسية. كما تم توسيع نطاق التغطية ليشمل ضمان الأمن الذي توفره ملفات تعريف الحماية (PP) الجديدة.

تلعب Apple أيضًا دورًا نشطًا داخل المجتمعات التقنية التي تعمل على تطوير وتحديث ملفات تعريف الحماية (PP) وملفات تعريف الحماية التعاونية (cPP).