Certificaciones, validaciones y pautas de seguridad de productos para SEP: almacenamiento seguro

En este artículo, se incluyen referencias de certificaciones, validaciones criptográficas y pautas de seguridad de productos clave para el procesador Secure Enclave (SEP): almacenamiento seguro. Si tienes alguna pregunta, comunícate con nosotros enviando un correo electrónico a security-certifications@apple.com.

Procesador Secure Enclave

Secure Enclave es un coprocesador fabricado en el sistema en chip (SoC). Usa memoria cifrada e incluye un generador de números aleatorios de hardware. Secure Enclave proporciona todas las operaciones criptográficas para la administración de claves de protección de datos y mantiene la integridad de la protección de datos, incluso si el kernel está en riesgo. La comunicación entre Secure Enclave y el procesador de la app se aísla en un buzón controlado por interrupciones y en los búferes de datos de memoria compartida.

Secure Enclave incluye una ROM de arranque específica de Secure Enclave. Al igual que la ROM de arranque del procesador de la app, la ROM de arranque de Secure Enclave es un código inmutable que establece la raíz de confianza del hardware para Secure Enclave.

Secure Enclave usa un sistema operativo de Secure Enclave basado en una versión personalizada por Apple del microkernel L4. Este sistema operativo de Secure Enclave está firmado por Apple, verificado por la ROM de arranque de Secure Enclave y actualizado a través de un proceso de actualización de software personalizado.

Este es un ejemplo de servicios integrados que usan el almacenamiento seguro y protegido por hardware:

  • Desbloqueo del dispositivo o la cuenta (contraseña y biométrico)
  • Cifrado de hardware/protección de datos/FileVault (datos almacenados)
  • Arranque seguro (confianza e integridad del firmware y el sistema operativo)
  • Control de hardware de la cámara (FaceTime)

Validaciones de módulos criptográficos

Todos los certificados de validación de conformidad con los estándares FIPS 140-2 de Apple se encuentran en la página de proveedores de CMVP. Apple se compromete activamente con la validación de los módulos CoreCrypto y CoreCrypto Kernel para todas las versiones principales de macOS. La validación solo puede realizarse con la versión final del módulo y puede presentarse formalmente en el momento del lanzamiento al público del sistema operativo. Actualmente, el CMVP mantiene el estado de validación de módulos criptográficos en dos listas separadas según su estado actual. Los módulos comienzan en lalista de implementaciones en prueba y, luego, continúan con la lista de módulos en proceso.

El módulo criptográfico de hardware (módulo criptográfico de almacenamiento seguro del procesador Secure Enclave [SEP] de Apple) viene integrado en el sistema en chip de Apple A para iPhone/iPad, S para Apple Watch Series y T para el chip de seguridad T de los sistemas Mac a partir de iMac Pro de 2017.

FIPS 140-2 Nivel 1 (iOS 11, tvOS 11, watchOS 4 y firmware T2 - macOS High Sierra 10.13)

Sincronizado con la validación de los módulos criptográficos de software con los sistemas operativos de 2017: iOS 11, tvOS 11, watchOS 4 y macOS Sierra 10.13. El módulo criptográfico de hardware identificado como Módulo criptográfico de almacenamiento seguro del procesador Secure Enclave (SEP) v1.0 de Apple se validó inicialmente de acuerdo con los requisitos de FIPS 140-2 Nivel 1.

FIPS 140-2 Nivel 2 (iOS 12, tvOS 12, watchOS 5 y firmware T2 - macOS Mojave 10.14)

Apple también validó el módulo de hardware de acuerdo con los requisitos de FIPS 140-2 Nivel 2 y actualizó el identificador de versión del módulo a v9.0 para que se mantenga sincronizado con las validaciones del módulo de software correspondientes.  

El Módulo criptográfico de almacenamiento seguro del procesador Secure Enclave (SEP) v9.0 de Apple se validó de acuerdo con los requisitos de FIPS 140-2 Nivel 2 con los sistemas operativos de 2018: iOS 12, tvOS 12, watchOS 5 y firmware T2 que viene con macOS Mojave 10.14.

FIPS 140-2 nivel 3

Apple aplicará FIPS 140-2 Nivel 3 para el módulo criptográfico de almacenamiento seguro que usarán futuras versiones del sistema operativo y dispositivos. Como se indicó anteriormente, los módulos comienzan el proceso de validación en la lista de implementaciones en prueba y, luego, continúan con la lista de módulos en proceso, antes de aparecer finalmente en la lista de módulos validados. Vuelve a consultar las actualizaciones disponibles.

Certificaciones de seguridad

Una lista de certificaciones de Apple completas, activas e identificadas públicamente.

Certificación Common Criteria

El objetivo, como se indica en la comunidad de Common Criteria, es que un conjunto de estándares de seguridad aprobados a nivel internacional brinde una evaluación precisa y confiable de las capacidades de seguridad de los productos de las tecnologías de la información. Al proporcionar una valoración independiente sobre la capacidad de un producto para cumplir con los estándares de seguridad, la certificación Common Criteria aporta a los clientes más confianza con respecto a la seguridad de los productos de tecnología de la información y los ayuda a tomar decisiones con más criterio.

Mediante el acuerdo de reconocimiento Common Criteria (CCRA, Common Criteria Recognition Arrangement), los países y las regiones miembros aceptaron reconocer la certificación de los productos de tecnología de la información con el mismo nivel de confianza. La membresía, junto con la profundidad y la amplitud de los perfiles de protección, continúa creciendo anualmente para afrontar la tecnología emergente. Mediante este acuerdo se permite que el programador de un producto busque una sola certificación de acuerdo con cualquier esquema de autorización.

Los perfiles de protección (PP) anteriores se archivaron y comenzaron a reemplazarse por el desarrollo de PP específicos destinados a soluciones y entornos determinados. En un esfuerzo conjunto para asegurar el reconocimiento mutuo y continuo entre todos los miembros del CCRA, la Comunidad Técnica Internacional (iTC) continúa impulsando el desarrollo y las actualizaciones de los PP futuros hacia los perfiles de protección colaborativos (cPP), en cuyo desarrollo intervienen varios esquemas desde el primer momento.

Apple comenzó a buscar certificaciones de acuerdo con esta modificación del nuevo estándar Common Criteria con PP selectos a principios de 2015.

Otros sistemas operativos

Obtén más información sobre seguridad de los productos, validaciones y pautas para lo siguiente:

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: