Bezpečnostní certifikace, ověření a pokyny pro iOS

Tento článek obsahuje odkazy na klíčové certifikace produktů, kryptografická ověření a bezpečnostní pokyny pro platformy iOS. Pokud máte nějaké dotazy, kontaktujte nás na adrese security-certifications@apple.com.

Ověřování kryptografických modulů

Všechny certifikáty společnosti Apple potvrzující soulad s normou FIPS 140-2 jsou uvedeny na stránce dodavatelů v rámci programu CMVP. Apple se aktivně podílí na ověřování modulů CoreCrypto a CoreCrypto Kernel v každé hlavní verzi iOS. Ověřování se provádí až na finální vydané verzi modulu. Modul se ke schválení předkládá až po veřejném vydání operačního systému. CMVP nyní udržuje stav ověření kryptografických modulů ve dvou oddělených seznamech v závislosti na jejich aktuálním stavu. Moduly začínají v seznamu Implementation Under Test a pak se přesunou do seznamu Modules in Process.

iOS 12

Apple se aktivně účastní ověřování modulů CoreCrypto v9.0 použitých v systému iOS 12, který se připravuje k uvedení později v tomto roce.

Předchozí verze

Tyto starší verze iOS obsahovaly ověřené kryptografické moduly a teď už jsou archivované:

  • iOS 8
  • iOS 7

Příručky ke konfiguraci zabezpečení

Organizace zabývající se zabezpečením nabízejí kvalitně definované a prověřené pokyny ke konfiguraci různých platforem tak, aby vyhovovaly požadavkům na používání. Naše příručky ke konfiguraci zabezpečení uvádějí přehled funkcí macOS a iOS, pomocí kterých můžete své zařízení lépe zabezpečit. Vlády po celém světě ve spolupráci se společností Apple vyvinuly příručky s pokyny a doporučeními, jak zajistit co nejbezpečnější prostředí. 

K používání těchto pokynů byste měli být zkušenými uživateli nebo správci systémů, měli byste dobře znát uživatelské rozhraní a mít praktické zkušenosti s nástroji pro správu cílové platformy. Je taky dobré rozumět základním principům počítačových sítí. Některé pokyny v těchto příručkách jsou složité a jakékoli odchylky od nich můžou mít nežádoucí následky nebo oslabit zabezpečení. Všechny změny provedené v nastavení zařízení důkladně otestujte ještě před nasazením.

Přečtěte si víc v dokumentu iOS Security Guide (PDF).

Bezpečnostní certifikace

Seznam veřejně známých aktivních i skončených certifikací společnosti Apple.

Certifikace ISO 27001 a 27018

Apple je držitelem certifikací ISO 27001 a ISO 27018 pro svůj systém pro správu zabezpečení dat v souvislosti s infrastrukturou, vývojem a provozováním následujících produktů a služeb: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, spravovaná Apple ID, Siri a Schoolwork, a to v souladu s prohlášením o aplikovatelnosti verze 2.1 ze dne 11.07.2017. Potvrzení o tom, že Apple vyhovuje těmto certifikacím ISO, vydala organizace British Standards Institution. Webová stránka BSI obsahuje certifikáty shody se standardy ISO 27001 a ISO 27018.

Certifikace Common Criteria

Podle portálu Common Criteria je cílem mezinárodně schválený soubor bezpečnostních standardů, který umožní jasné a spolehlivé posouzení bezpečnostních vlastností informačních technologií. Certifikace Common Criteria poskytuje nezávislé vyhodnocení toho, nakolik daný produkt vyhovuje bezpečnostním standardům. Zákazníci díky tomu získají větší jistotu ohledně zabezpečení svých IT produktů a můžou se informovaněji rozhodovat.

Prostřednictvím dohody CCRA (Common Criteria Recognition Arrangement) se členské země dohodly, že budou se stejnou mírou jistoty uznávat certifikace produktů z oblasti informačních technologií. Počet členů a zároveň i podrobnost a důslednost bezpečnostních profilů se rok od roku zvyšují, aby pokryly i nově uvedené technologie. Tato dohoda umožňuje vývojářům ucházet se o jednotnou certifikaci v rámci kteréhokoli z tzv. autorizačních schémat.

Dřívější bezpečnostní profily (Protection Profiles, PP) byly archivovány a budou postupně nahrazovány spolu s tím, jak budou vyvíjeny cílené bezpečnostní profily zaměřené na konkrétní řešení a prostředí. V zájmu zajištění vzájemného uznávání certifikací mezi všemi členy CCRA se organizace International Technical Community (iTC) snaží směrovat veškerý budoucí vývoj bezpečnostních profilů a aktualizací k tzv. kolaborativním bezpečnostním profilům (Collaborative Protection Profiles, cPP), které jsou od počátku vyvíjeny se zapojením různých schémat.

Společnost Apple začala v první polovině roku 2015 usilovat u vybraných bezpečnostních profilů (PP) o certifikáty v rámci nové, restrukturalizované certifikace Common Criteria. Níže jsou uvedeny veřejně známé aktivní i skončené certifikace společnosti Apple. 

iOS 11

 

Bezpečnostní profil

VID

Dokončení

Mobilní zařízení

PP_MD_v3.1

10851

2018.03.30

Agent MDM

EP_MDM_Agent_v3.0

10851

2018.03.30

Agent WLAN

PP_WLAN_CLI_EP_v1.0

10851

2018.03.30

Klient VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

2018.05.10

Aplikační software (Kontakty)

PP_APP_v1.2

10915

ETA:2018.08

Prohlížeč (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA:2018.08

Předchozí verze

Předchozí verze iOS měly certifikace, které lze dohledat v archivu:

  • iOS 10
  • iOS 9

Obecně se očekává, že hlavní aktualizace verzí profilů PP publikované komunitou Common Criteria budou následovat v intervalu 12–18 měsíců a spolu s nimi budou zveřejňovány dodatečné nebo aktualizované požadavky SFR (Security Functional Requirements).

Na portálu Common Criteria najdete kompletní seznam bezpečnostních profilů (PP) a kolaborativních bezpečnostních profilů (cPP) spolu s jejich daty platnosti. Profily najdete i pod požadovaným schématem, jako je například NIAP (National Information Assurance Partnership), tedy schéma používané Spojenými státy.

Schváleno pro používání ve státní správě

Informace z vybraných zemí, které mají schválená zařízení pro používání ve státní správě.

Australská vláda


Podle shrnutí na stránce EPL - Evaluated Products List:

Australská agentura ASD (Australian Signals Directorate) spravuje seznam EPL bezpečnostních produktů v oblasti informačních technologií, které vyhodnotila jako vhodné k používání australskými a novozélandskými vládními agenturami.

  • Produkty na seznamu EPL jsou certifikované k určitým účelům.
  • Produkty na seznamu EPL se můžou používat k budování bezpečných systémů a sítí podle pokynů v příručce ISM (Information Security Manual) australské vlády.
  • Produkty jsou certifikovány na základě mezinárodně uznávané normy ISO 15408 Common Criteria (CC). Portál CC uvádí další produkty se vzájemně uznávanou certifikací, které se taky smí používat.
  • Certifikační úřad agentury ASD, Australasian Certification Authority, dohlíží na program AISEP (Australasian Information Security Evaluation Program), který organizuje testování produktů licencovanými komerčními hodnotícími středisky.
  • Seznam EPL obsahuje i kryptografická hodnocení agentury ASD.

Produkt: iOS 9
Typ produktu: Mobilní produkty
Stav produktu: Dokončeno
Úroveň záruky: Vyhodnoceno agenturou ASD
Verze: 9.3.5 nebo novější
Dokument: PDF

Vláda Spojeného království


Podle shrnutí na stránce Commercial Product Assurance - products at foundation grade společnosti NCSC:

CPA vyhodnocuje standardní komerční produkty a jejich vývojáře na základě publikovaných bezpečnostních a vývojových standardů. Úspěšně vyhodnocený bezpečnostní produkt získá certifikaci Foundation Grade. To znamená, že u tohoto produktu bylo prokázáno dostatečné dodržování správných bezpečnostních postupů, a je tak vhodný pro prostředí s nízkou úrovní hrozeb.

  • Certifikace CPA platí 2 roky a během této doby umožňuje aktualizovat produkty v reakci na nové hrozby, nebo když vyjdou nové aktualizace.
  • Certifikace CPA je přijímána katalogem NATO a je uznávána jako jedno z hodnocení nutných pro katalog EU.
  • Certifikaci Foundation Grade dále vysvětluje společnost NCSC.

Vláda USA


Podle informací uvedených na stránce programu Commercial Solutions for Classified:

Zákazníci z řad administrativy Spojených států v zájmu dosažení vytyčených cílů stále častěji požadují okamžitý přístup k nejmodernějším komerčně dostupným hardwarovým a softwarovým technologiím využívajícím systémy NSS (National Security Systems). Odbor IAD (Information Assurance Directorate) Národní bezpečnostní agentury a Centrální bezpečnostní služby (NSA/CSS) proto vyvíjí nové způsoby využití vznikajících technologií, aby bylo možné pohotověji poskytovat IA řešení v reakci na rychle se vyvíjející potřeby zákazníků.

Program Commercial Solutions for Classified (CSfC) agentury NSA/CSS byl zřízen proto, aby mohly být komerční produkty využívány ve vrstvených řešeních sloužících k ochraně utajených dat systémů NSS. Vznikne tím možnost zabezpečené komunikace vycházející z komerčních standardů, a to v rámci řešení, která jde nasadit v horizontu měsíců, nikoli let.

Nasazování řešení společnosti Apple je vyžadováno stále rostoucím počtem odborů podléhajících utajení, ale doposud ho brzdily certifikace. Rozhodnutí společnosti Apple přejít z bezpečnostních profilů PP na certifikaci Common Criteria (viz výše) umožnilo, že produkty Apple můžou být zařazovány na seznam komponentů CSfC.

Jakmile u všech souvisejících bezpečnostních profilů produktů Apple začne proces dodatečné certifikace Common Criteria, budou příslušné komponenty Apple předány k zápisu na seznam komponentů CSfC a budou připsány níže.

Seznam komponent CSfC

Následující produkty Apple vyhovují pro používání v rámci řešení CSfC:

Přidání produktů Apple na seznam produktů

Stále rostoucí počet odborů státní správy vyžaduje, aby byly do jejich programů, které jsou obdobou programů CPA, EPL a CSfC, zařazovány produkty Apple. Pokud jste pověřený zástupce vašeho státního bezpečnostního programu a máte zájem o zapsání produktů Apple na vaši obdobu seznamu produktů, napište nám na adresu security-certifications@apple.com.

Jiné operační systémy

Přečtěte si více o zabezpečení produktu, ověřování a pokynech pro:

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: