Certificaciones de seguridad para SEP: almacenamiento de la llave de seguridad

Este artículo contiene referencias para las certificaciones de producto clave, validaciones criptográficas e instrucciones de seguridad para el procesador Secure Enclave (SEP): almacenamiento de la llave de seguridad.

Además de los certificados generales enumerados aquí, es posible que se hayan facilitado otros certificados para demostrar requisitos específicos de seguridad para algunos mercados. 

Ponte en contacto con nosotros en security-certifications@apple.com si tienes alguna pregunta.

Procesador Secure Enclave

El procesador Secure Enclave es un coprocesador fabricado dentro del sistema en el chip (SoC). Utiliza memoria cifrada e incluye un generador de números aleatorios de hardware. Secure Enclave proporciona todas las operaciones criptográficas para la administración de claves de protección de datos y mantiene la integridad de la protección de datos incluso si el kernel se ha puesto en peligro. La comunicación entre Secure Enclave y el procesador de aplicaciones se aísla en un buzón controlado por interrupciones y en los búferes de datos de memoria compartida.

El procesador Secure Enclave incluye una ROM de arranque específica de Secure Enclave. Al igual que la ROM de arranque del procesador de aplicaciones, la ROM de arranque de Secure Enclave es código inmutable que establece la raíz de confianza del hardware para Secure Enclave.

El procesador Secure Enclave utiliza un sistema operativo Secure Enclave basado en una versión personalizada por Apple del microkernel L4. Este SO Secure Enclave está firmado por Apple, verificado por la ROM de arranque de Secure Enclave y actualizado a través de un proceso de actualización de software personalizado.

Este es un ejemplo de servicios integrados que utilizan el almacenamiento de la llave de seguridad protegido por hardware:

  • Desbloqueo del dispositivo o cuenta (contraseña y biométrico)
  • Cifrado de hardware/protección de datos/FileVault (datos en reposo)
  • Arranque seguro (confianza e integridad del firmware y del SO)
  • Control de hardware de la cámara (FaceTime)

Los siguientes documentos pueden ser útiles en el contexto de estas certificaciones y validaciones:

Para obtener información sobre las certificaciones públicas relacionadas con los servicios de internet de Apple, consulta:

Para obtener información sobre las certificaciones públicas relacionadas con las aplicaciones de Apple, consulta:

Para obtener información sobre las certificaciones públicas relacionadas con los sistemas operativos de Apple, consulta:

Para obtener información sobre las certificaciones públicas relacionadas con los componentes de hardware y firmware asociados, consulta:

Validaciones de módulos criptográficos

Todos los certificados de validación de conformidad con FIPS 140-2/-3 de Apple se encuentran en el sitio web del CMVP. Apple participa de forma activa en la validación de los módulos CoreCrypto User y CoreCrypto Kernel para cada una de las versiones principales de un sistema operativo. La validación solo se puede realizar en una versión final de lanzamiento del módulo y solo se puede enviar formalmente en el lanzamiento público de OS. La información sobre estas validaciones se encuentra en la página correspondiente del sistema operativo.

El módulo criptográfico de hardware (módulo criptográfico de almacenamiento de la llave de seguridad del procesador Secure Enclave de Apple) viene integrado en el Apple System-On-Chip (SoC)  A para iPhone y iPad,  S para el Apple Watch Series y  T para el chip de seguridad  T que se encuentra en los sistemas Mac a partir del iMac Pro presentado en 2017.

Apple aplicará FIPS 140-2/-3 nivel de seguridad 3 para el módulo criptográfico de almacenamiento de la llave de seguridad (SEP) utilizado por futuras versiones y dispositivos operativos del sistema operativo. 

En 2019, Apple ha validado el módulo de hardware frente a los requisitos de FIPS 140-2 Nivel de seguridad 2 y actualizó el identificador de la versión del módulo a la versión 9.0 para sincronizar con las versiones de las validaciones correspondientes de los módulos CoreCrypto User y CoreCrypto Kernel. En 2019: iOS 12, tvOS 12, watchOS 5 y macOS Mojave 10.14.

En 2018, sincronizado con la validación de los módulos criptográficos de software con los sistemas operativos presentados en 2017: iOS 11, tvOS 11, watchOS 4 y macOS Sierra 10.13. El módulo criptográfico de hardware SEP identificado como Módulo criptográfico de almacenamiento de la llave de seguridad (SEP) del procesador Secure Enclave de Apple v1.0 se validó inicialmente de acuerdo con los requisitos de FIPS 140-2 Nivel de seguridad 1.

Todos los certificados de validación de conformidad con FIPS 140-2/-3 de Apple se encuentran en el sitio web del CMVP. Apple participa activamente en la validación de los módulos CoreCrypto User y CoreCrypto Kernel para cada versión principal de un sistema operativo. La validación de conformidad solo se puede realizar en una versión final de lanzamiento del módulo y presentar formalmente en el lanzamiento público del sistema operativo. 

El CMVP mantiene el estado de validación de los módulos criptográficos en cuatro listas separadas, en función del estado actual. Los módulos pueden empezar en la lista de implementaciones en prueba y después pasar a la lista de módulos en curso. Una vez validados, aparecen en la lista de módulos criptográficos validados y, transcurridos cinco años, se trasladan a la lista “histórica”.

En 2020, el CMVP adoptó la norma internacional ISO/IEC 19790 como base para FIPS 140-3.

Para obtener más información sobre las validaciones de FIPS 140-2/-3, consulta Seguridad de las plataformas de Apple.

Plataforma/SO correspondiente Número de certificado CMVP Nombre del módulo Tipo de módulo SL Fecha de validación Documentos
Consulta la lista de implementaciones en prueba y la lista de módulos en curso para los módulos que se están probando o validando actualmente.
iOS 12

tvOS 12

watchOS 5

macOS Mojave 10.14
3523 Módulo criptográfico de almacenamiento de la llave de seguridad v9.0 de Apple
(sepOS)
Hardware 2 10-09-2019
iOS 11

tvOS 11

watchOS 4

macOS High Sierra 10.13
3223 Módulo criptográfico de almacenamiento de la llave de seguridad v1.0 de Apple
(sepOS)
Hardware 1 10-07-2018

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: