Certificaciones de seguridad del producto, validaciones es instrucciones para el procesador Secure Enclave: almacenamiento de la llave de seguridad

Este artículo contiene referencias para las certificaciones de producto clave, validaciones criptográficas e instrucciones de seguridad para el procesador Secure Enclave (SEP): almacenamiento de la llave de seguridad. Ponte en contacto con nosotros en security-certifications@apple.com si tienes alguna pregunta.

Procesador Secure Enclave

Secure Enclave es un coprocesador fabricado dentro del sistema en el chip (SoC). Utiliza memoria cifrada e incluye un generador de números aleatorios de hardware. Secure Enclave proporciona todas las operaciones criptográficas para la administración de claves de protección de datos y mantiene la integridad de la protección de datos incluso si el kernel se ha puesto en peligro. La comunicación entre Secure Enclave y el procesador de aplicaciones se aísla en un buzón controlado por interrupciones y en los búferes de datos de memoria compartida.

Secure Enclave incluye una ROM de arranque específica de Secure Enclave. Al igual que la ROM de arranque del procesador de aplicaciones, la ROM de arranque de Secure Enclave es código inmutable que establece la raíz de confianza del hardware para Secure Enclave.

Secure Enclave utiliza un sistema operativo Secure Enclave basado en una versión personalizada por Apple del microkernel L4. Este SO Secure Enclave está firmado por Apple, verificado por la ROM de arranque de Secure Enclave y actualizado a través de un proceso de actualización de software personalizado.

Este es un ejemplo de servicios integrados que utilizan el almacenamiento de la llave de seguridad protegido por hardware:

  • Desbloqueo del dispositivo o cuenta (contraseña y biométrico)
  • Cifrado de hardware/protección de datos/FileVault (datos en reposo)
  • Arranque seguro (confianza e integridad del firmware y del SO)
  • Control de hardware de la cámara (FaceTime)

Validaciones de módulos criptográficos

Todos los certificados de validación de conformidad con FIPS 140-2 de Apple se encuentran en la página de proveedores del CMVP. Apple participa de forma activa en la validación de los módulos CoreCrypto y Corecrypto Kernel para cada una de las versiones principales de macOS. La validación solo se puede realizar en una versión final de lanzamiento del módulo y solo se puede enviar formalmente en el lanzamiento público de OS. El CMVP ahora mantiene el estado de validación de los módulos criptográficos en dos listas separadas en función de su estado actual. Los módulos empiezan en la lista de implementaciones en prueba y después pasan a la lista de módulos en curso.

El módulo criptográfico de hardware, —Módulo criptográfico de almacenamiento de la llave de seguridad del procesador Secure Enclave de Apple— viene integrado en el Apple System-On-Chip  A para iPhone/iPad,  S para Apple Watch Series y  T para el chip de seguridad  T que se encuentra en los sistemas Mac a partir del iMac Pro presentado en 2017.

FIPS 140-2 nivel 1 (iOS 11, tvOS 11, watchOS 4 y T2 Firmware - macOS High Sierra 10.13)

Sincronizado con la validación de los módulos criptográficos de software con los sistemas operativos presentados en 2017: iOS 11, tvOS 11, watchOS 4 y macOS Sierra 10.13. El módulo criptográfico de hardware identificado como Módulo criptográfico de almacenamiento de la llave de seguridad del procesador Secure Enclave de Apple v1.0 se validó inicialmente de acuerdo con los requisitos de FIPS 140-2 Nivel 1.

FIPS 140-2 Nivel 2 (iOS 12, tvOS 12, watchOS 5 y T2 Firmware - macOS Mojave 10.14)

Apple también ha validado el módulo de hardware de acuerdo con los requisitos de FIPS 140-2 Nivel 2 y ha actualizado el identificador de versión del módulo a v9.0 para que se mantenga sincronizado con las validaciones del módulo de software correspondientes.  

El Módulo criptográfico de almacenamiento de la llave de seguridad del procesador Secure Enclave de Apple se ha validado de acuerdo con los requisitos de FIPS 140-2 Nivel 2 con los sistemas operativos presentados en 2018: iOS 12, tvOS 12, watchOS 5 y el T2 Firmware incluido con macOS Mojave 10.14.

FIPS 140-2 nivel 3

Apple aplicará FIPS 140-2 nivel 3 para el módulo criptográfico de almacén de la llave de seguridad utilizado por futuras versiones y dispositivos operativos del sistema operativo. Como se indicó anteriormente, los módulos comienzan su trayectoria de validación en la lista de implementaciones en prueba y después pasan a la lista de módulos en curso, antes de aparecer finalmente en la lista de módulos validados. Vuelve a buscar actualizaciones.

Certificaciones de seguridad

Lista de certificaciones de Apple completadas, activas e identificadas públicamente.

Certificación Common Criteria

El objetivo, como se indica en la comunidad de Common Criteria, está enfocado a un conjunto de estándares de seguridad aprobado internacionalmente para proporcionar una evaluación clara y fiable de las capacidades de seguridad de los productos que pertenecen a las tecnologías de la información. Al proporcionar una valoración independiente sobre la capacidad de un producto para cumplir los estándares de seguridad, la certificación Common Criteria aporta a los clientes más confianza en la seguridad de los productos tecnológicos y les permite tomar decisiones mejor fundamentadas.

Mediante el acuerdo de reconocimiento de Common Criteria (CCRA), países y regiones miembros han acordado reconocer la certificación de productos que pertenecen a las tecnologías de la información con el mismo nivel de confianza. Al igual que la profundidad y el alcance de los perfiles de protección, los miembros continúan aumentando año a año para hacer frente a la tecnología emergente. Este acuerdo permite que los desarrolladores de productos trabajen para lograr una sola certificación en virtud de cualquiera de los esquemas de autorización.

Los perfiles de protección (PP) antiguos obtenidos se han comenzado a sustituir por perfiles de protección específicos centrados en soluciones y entornos concretos. En un esfuerzo conjunto por garantizar el reconocimiento mutuo continuado de todos los miembros de CCRA, la comunidad técnica internacional (iTC) continúa impulsando todo el desarrollo y las actualizaciones de perfiles de protección futuros hacia los perfiles de protección colaborativos (cPP) que se desarrollan desde el inicio con la aplicación de varios esquemas.

A principios de 2015, Apple comenzó a trabajar para obtener las certificaciones en virtud de esta nueva reestructuración de Common Criteria con perfiles de protección seleccionados.

Otros sistemas operativos

Para obtener más información sobre seguridad del producto, validaciones e instrucciones, consulta:

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: