Produktsikkerhedscertificeringer, godkendelser og vejledning til iOS

Denne artikel indeholder referencer til vigtige produktcertificeringer, kryptografiske godkendelser og sikkerhedsvejledning til iOS-platforme. Du kan kontakte os på security-certifications@apple.com, hvis du har spørgsmål.

Godkendelse af kryptografimoduler

Alle Apples FIPS 140-2-certifikater for godkendelse af overensstemmelse findes på CMVP-forhandlersiden. Apple engagerer sig aktivt i godkendelsen af CoreCrypto- og CoreCrypto Kernel-moduler til hver større udgivelse af iOS. Godkendelsen kan kun udføres i forhold til en endelig version af moduludgivelsen og sendes formelt ved den offentlige udgivelse af operativsystemet. I øjeblikket vedligeholder CMVP godkendelsesstatus for kryptografimoduler på to separate lister, afhængigt af deres aktuelle status. Modulerne starter på listen Implementation Under Test List og fortsætter derefter på listen Modules in Process List.

iOS 12

Apple engagerer sig aktivt i godkendelsen af CoreCrypto v9.0-moduler, der bruges i iOS 12, som kommer senere i år.

Tidligere versioner

Følgende tidligere iOS-versioner havde godkendelser af kryptografimoduler og er nu arkiveret:

  • iOS 8
  • iOS 7

Retningslinjer for sikkerhedskonfiguration

Organisationer med fokus på sikkerhed giver veldefinerede og grundige retningslinjer for konfiguration af forskellige platforme til accepteret brug. Retningslinjerne for sikkerhedskonfiguration giver et overblik over de funktioner i macOS og iOS, der kan bruges til at forbedre sikkerheden – det mere tekniske ord for dette er at "hærde" enheden. Myndigheder verden over har samarbejdet med Apple og udarbejdet vejledninger, der skal bidrage med instruktioner og anbefalinger til vedligeholdelse af et mere sikkert miljø. 

Du skal være erfaren bruger eller systemadministrator for at bruge disse vejledninger, og du skal have kendskab til brugergrænsefladen og praktisk viden om administrationsværktøjer til målplatformen. Det er en fordel at have kendskab til de grundlæggende principper om netværk. Nogle anvisninger i retningslinjerne er indviklede, og følges de ikke, kan det give uønskede virkninger og medføre lavere sikkerhed. Test omhyggeligt alle ændringer af enhedens indstillinger, inden de implementeres.

Få mere at vide i iOS Security Guide (PDF).

Sikkerhedscertificeringer

En liste over Apples offentligt identificerede, aktive og afsluttede certificeringer.

ISO 27001- og 27018-certificering

Apple er ISO 27001- og ISO 27018-certificeret for sit system til administration af informationssikkerhed for infrastruktur, udvikling og handlinger, der understøtter følgende produkter og tjenester: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, administrerede Apple-id'er, Siri og Skolearbejde i overensstemmelse med Statement of Applicability v2.1 af 11. juli 2017. Apples overholdelse af ISO-standarden er certificeret af British Standards Institution. BSI-webstedet indeholder overensstemmelsescertificeringer til ISO 27001 og ISO 27018.

Common Criteria-certificering

Fællesskabet bag Common Criteria har som mål at skabe en internationalt anerkendt samling sikkerhedsstandarder med henblik på at sikre en klar og pålidelig vurdering af informationsteknologiske produkters sikkerhedsmæssige egenskaber. Common Criteria-certificeringen er en uafhængig vurdering af et produkts evne til at opfylde sikkerhedsstandarder – en sådan vurdering øger kundernes tillid til it-produkternes sikkerhed og giver dem et mere oplyst beslutningsgrundlag.

Medlemslandene har indgået en CCRA-aftale (Common Criteria Recognition Arrangement), hvor de er blevet enige om at anerkende certificeringen af it-produkter med samme grad af tillid. Antallet af medlemmer og dybden og bredden af beskyttelsesbeskrivelserne stiger hvert år, idet der tages højde for ny teknologi. Aftalen gør det muligt for en produktudvikler at opnå en samlet certificering under en hvilken som helst af godkendelsesordningerne.

Tidligere beskyttelsesbeskrivelser (PP) er blevet arkiveret og erstattes i stigende grad af en udvikling af målrettede beskyttelsesbeskrivelser, der fokuserer på konkrete løsninger og miljøer. Som en del af de fælles bestræbelser på at sikre gensidig anerkendelse mellem alle CCRA-medlemmer arbejder International Technical Community (iTC) fortsat på at skubbe al fremtidig udvikling af PP'er og opdateringer over mod fælles beskyttelsesbeskrivelser (cPP'er), som helt fra begyndelsen er udviklet ved at inddrage forskellige ordninger.

I starten af 2015 begyndte Apple at arbejde med certificering ud fra den nye Common Criteria-struktur med udvalgte PP'er. Nedenfor ses en liste over Apples offentligt identificerede, aktive og afsluttede certificeringer. 

iOS 11

 

Beskyttelsesbeskrivelse

VID

Afslutning

Mobilenhed

PP_MD_v3.1

10851

30. marts 2018

MDM-agent

EP_MDM_Agent_v3.0

10851

30. marts 2018

WLAN-agent

PP_WLAN_CLI_EP_v1.0

10851

30. marts 2018

VPN-klient

PP_VPN_IPSEC_CLIENT_V1.4

10876

10. maj 2018

Programsoftware (Kontakter)

PP_APP_v1.2

10915

ETA:2018.08

Browser (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA:2018.08

Tidligere versioner

Tidligere iOS-versioner har haft certificeringer, der nu er arkiveret:

  • iOS 10
  • iOS 9

Udgivelse af store versionsopdateringer af beskyttelsesbeskrivelser fra Common Criteria-sammenslutningen forventes generelt at ske med 12 til 18 måneders mellemrum med yderligere eller opdaterede SFR-krav (Security Functional Requirements).

På Common Criteria-portalen kan du finde en komplet liste over beskyttelsesbeskrivelser (PP'er), Fælles beskyttelsesbeskrivelser (cPP'er) og deres gyldighedsdatoer. Du kan også finde dem under de enkelte ordninger, f.eks. National Information Assurance Partnership (NIAP), som er ordningen i USA.

Godkendt til regeringsbrug

Oplysninger fra udvalgte lande, der har godkendt enheder til regeringsbrug.

Den australske regering


Som opsummeret fra siden EPL – Evaluated Products List:

ASD (Australian Signals Directorate) vedligeholder listen over evaluerede produkter inden for ICT-sikkerhed, der er evalueret af ASD til brug i australske og newzealandske statslige organer.

  • Produkterne på listen er certificerede til specifikke formål.
  • Produkterne kan bruges til at skabe sikre systemer og netværk som beskrevet i den australske regerings Information Security Manual (ISM).
  • Produkterne er certificeret i forhold til Common Criteria (CC) med den internationalt anerkendte ISO 15408. CC Portal indeholder en liste over andre produkter med en certificering, der er tilsvarende anerkendt, og som også kan bruges.
  • ASD's certificeringsbureau, Australasian Certification Authority, fører tilsyn med Australasian Information Security Evaluation Program (AISEP), der administrerer produktafprøvning på autoriserede, kommercielle evalueringsanlæg.
  • EPL fører også en liste over ASDs kryptografiske evalueringer.

Produkt: iOS 9
Produkttype: Mobilprodukter
Produktstatus: Afsluttet
Vurderingsniveau: Vurderet af ASD
Version: 9.3.5 eller nyere
Vejledning: PDF

Den britiske regering


Som opsummeret på NCSCs side Commercial Product Assurance – products at foundation grade:

CPA evaluerer kommercielle produkter på det åbne marked og deres udviklere i forhold til offentliggjorte sikkerheds- og udviklingsstandarder. Et sikkerhedsprodukt, som består vurderingen, bliver tildelt Foundation Grade-certificeringen. Dette betyder, at produktet har udvist god, kommerciel sikkerhedspraksis og egner sig til miljøer med mindre trusler.

  • CPA-certificeringen er gyldig i to år, men produkter kan opdateres i hele denne certificeringstid, hvis de ændres grundet sikkerhedsproblemer eller opdateringer. 
  • CPA-certificeringen er godkendt af NATO-kataloget og anerkendt som en af de nødvendige evalueringer til EU-kataloget.
  • Foundation Grade er yderligere beskrevet af NCSC.

Den amerikanske regering


Som angivet på siden Commercial Solutions for Classified:

Den amerikanske regerings kunder kræver i stigende grad omgående brug af markedets mest moderne kommercielle hardware- og softwareteknologier inden for National Security Systems (NSS) for at opnå bestemte mål. Derfor udvikler IAD (Information Assurance Directorate), der hører under NSA/CSS (National Security Agency/Central Security Service), nye metoder til at udnytte de nye teknologier optimalt med henblik på at levere rettidige IA-løsninger på baggrund af kundernes hurtigt skiftende krav.

CSfC-ordningen (Commercial Solutions for Classified) under NSA/CSS er oprettet for at gøre det muligt at bruge kommercielle produkter i lagdelte løsninger, der beskytter klassificerede NSS-data. Dette gør det muligt at kommunikere sikkert på baggrund af kommercielle standarder i en løsning, der kan rulles ud i løbet af måneder i stedet for år.

Et stadig stigende antal klassificerede miljøer ønsker at installere Apple-løsninger, men er blevet holdt tilbage grundet produktcertificering. Med Apples bestræbelser på at opnå Common Criteria-certificeringer ud fra ovenstående beskyttelsesbeskrivelser er det lykkedes at få optaget og tilgængeliggjort en række Apple-produkter på CSfC-komponentlisten.

Når der er påbegyndt yderligere Common Criteria-certificering af Apple-produkter på baggrund af de enkelte tilknyttede beskyttelsesbeskrivelser, sendes de pågældende Apple-komponenter til godkendelse med henblik på optagelse på CSfC-komponentlisten, hvorefter de føjes til nedenstående.

CSfC-komponentliste

Følgende Apple-produkter kan bruges i en CSfC-løsning:

Tilføjelse af Apple-produkter på din produktliste

Et stadigt stigende antal regeringsmiljøer anmoder om, at Apple-produkter optages i deres ordninger på samme måde som CPA, EPL og CSfC. Hvis du ikke er officiel repræsentant for din regerings løsningsordning, men er interesseret i at få Apple-produkter inkluderet på en tilsvarende produktliste, kan du kontakte os på security-certifications@apple.com.

Andre operativsystemer

Læs mere om produktsikkerhed, godkendelser og vejledning til:

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: