Certifikace zabezpečení pro bezpečné úložiště klíčů SEP

Tento článek obsahuje odkazy na klíčové certifikace produktů, kryptografická ověření a pokyny pro zabezpečení týkající se procesoru Secure Enclave (SEP): bezpečného úložiště klíčů.

Kromě obecných certifikátů, které jsou tady uvedeny, můžou být vydány další certifikáty za účelem plnění specifických bezpečnostních požadavků pro některé trhy. 

Pokud máte nějaké dotazy, kontaktujte nás na adrese security-certifications@apple.com.

Procesor Secure Enclave

Secure Enclave je koprocesor, který je součástí systému na čipu (SoC). Používá šifrovanou paměť a zahrnuje hardwarový generátor náhodných čísel. Secure Enclave zajišťuje všechny kryptografické operace pro správu klíčů funkce Ochrana dat a udržuje integritu ochrany dat i v případě prolomení jádra. Komunikace mezi procesorem Secure Enclave a aplikačním procesorem je izolována na schránku řízenou přerušením a na sdílenou vyrovnávací paměť.

Procesor Secure Enclave obsahuje specializovanou spouštěcí paměť ROM (Secure Enclave Boot ROM). Podobně jako spouštěcí paměť ROM aplikačního procesoru obsahuje spouštěcí paměť ROM neměnný kód, který zakládá hardwarový zdroj důvěryhodnosti pro Secure Enclave.

Procesor Secure Enclave využívá operační systém Secure Enclave OS, založený na mikrojádru L4 ve verzi přizpůsobené společností Apple. Secure Enclave OS je podepsaný společností Apple, ověřený spouštěcí pamětí ROM Secure Enclave a aktualizovaný pomocí personalizovaného procesu aktualizace softwaru.

Příklady některých vestavěných služeb, které využívají hardwarem chráněné bezpečné úložiště klíčů:

  • Odemčení zařízení nebo účtu (heslem i biometricky)
  • Hardwarové šifrování / Ochrana dat / FileVault (uložená data)
  • Bezpečné spouštění (důvěryhodnost a integrita firmwaru a OS)
  • Hardwarové ovládání kamery (FaceTime)

V souvislosti s těmito certifikacemi a validacemi můžou být užitečné následující dokumenty:

Informace o veřejných certifikacích souvisejících s internetovými službami Apple najdete v článku:

Informace o veřejných certifikacích vztahujících se k aplikacím Apple najdete v článku:

Informace o veřejných certifikacích souvisejících s operačními systémy Apple najdete v článku:

Informace o veřejných certifikacích souvisejících s hardwarovými a souvisejícími firmwarovými komponentami najdete v článku:

Ověřování kryptografických modulů

Všechny certifikáty ověřování shody Apple FIPS 140-2/-3 jsou na webu CMVP. Apple se aktivně podílí na ověřování modulů CoreCrypto a CoreCrypto Kernel v každé hlavní verzi operačního systému. Ověřování se provádí až na finální vydané verzi modulu. Modul se ke schválení předkládá až po veřejném vydání operačního systému. Informace o těchto ověřováních najdete na stránce odpovídajícího operačního systému.

Hardwarový kryptografický modul – kryptografický modul Apple SEP: bezpečné úložiště klíčů – je součástí systému na čipu Apple (SoC) A pro iPhone a iPad, S pro Apple Watch Series a T pro bezpečnostní čip T obsažený v počítačích Mac od iMacu Pro z roku 2017.

Apple bude pro budoucí kryptografické moduly bezpečného úložiště klíčů ve svých operačních systémech a zařízeních usilovat o certifikaci FIPS 140-2/-3 úrovně zabezpečení 3

V roce 2019 Apple ověřil hardwarový modul podle normy FIPS 140-2 úrovně zabezpečení 2 a aktualizoval identifikátor verze modulu na v9.0 za účelem synchronizace s verzemi odpovídajících ověření modulů jádra CoreCrypto User a CoreCrypto Kernel. V roce 2019: iOS 12, tvOS 12, watchOS 5 a macOS Mojave 10.14.

V roce 2018, synchronizováno s ověřováním softwarových kryptografických modulů s operačními systémy uvedenými v roce 2017: iOS 11, tvOS 11, watchOS 4 a macOS Sierra 10.13. Hardwarový kryptografický modul označovaný jako Apple SEP Secure Key Store Cryptographic Module v1.0 byl původně ověřen podle normy FIPS 140-2 úrovně zabezpečení 1.

Všechny certifikáty ověřování shody Apple FIPS 140-2/-3 jsou na webu CMVP. Apple se aktivně podílí na ověřování modulů CoreCrypto User a CoreCrypto Kernel v každé hlavní verzi operačního systému. Ověřování shody se provádí až na finální vydané verzi modulu. Modul se ke schválení předkládá až po veřejném vydání operačního systému. 

CMVP udržuje stav validace kryptografických modulů ve čtyřech samostatných seznamech v závislosti na jejich aktuálním stavu. Moduly můžou začínat v seznamu implementací s probíhajícím testováním, pak se přesunou do seznamu zpracovávaných modulů. Po validaci se objeví v seznamu ověřených kryptografických modulů a po pěti letech jsou přesunuty do seznamu „historické“.

V roce 2020 přijal CMVP mezinárodní standard ISO/IEC 19790 jako základ pro FIPS 140-3.

Více informací o ověřování FIPS 140-2/-3 najdete na stránce Zabezpečení platforem Apple.

Odpovídající platforma/OS Číslo certifikátu CMVP Název modulu Typ modulu SL Datum ověření Dokumenty
Projděte si prosím seznam implementací s probíhajícím testovánímseznam zpracovávaných modulů, kde najdete aktuálně testované nebo zpracovávané moduly.
iOS 12

tvOS 12

watchOS 5

macOS Mojave 10.14
3523 Kryptografický modul Apple Secure Key Store v9.0
(sepOS)
HW 2 10. 9. 2019
iOS 11

tvOS 11

watchOS 4

macOS High Sierra 10.13
3223 Kryptografický modul Apple Secure Key Store v1.0
(sepOS)
HW 1 2018-07-10

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: