iOS-tuotteiden tietoturvasertifikaatit, validoinnit ja ohjeita

Tässä artikkelissa on viitteitä iOS-käyttöjärjestelmäversioiden keskeisiin tuotesertifikaatteihin, salaukseen liittyviin validointeihin sekä suojausohjeisiin. Jos sinulla on kysyttävää, ota meihin yhteyttä osoitteessa security-certifications@apple.com.

Salausmoduulien validoinnit

Kaikki Apple FIPS 140-2 -vaatimustenmukaisuusvalidointivarmenteet ovat CMVP:n valmistajasivulla. Apple osallistuu aktiivisesti CoreCrypton ja CoreCrypto Kernel -moduulien validointiin kunkin iOS-versiopäivityksen yhteydessä. Validointi voidaan suorittaa vain moduulin lopulliselle julkaisuversiolle ja se julkaistaan virallisesti OS:n julkaisun yhteydessä. CMVP ylläpitää salausmoduulien validointitietoja nykyään kahtena erillisenä luettelona riippuen moduulin senhetkisestä tilasta. Moduulit alkavat Implementation Under Test List -luettelosta ja jatkuvat Modules in Process List -luetteloon.

iOS 12

Apple osallistuu aktiivisesti myöhemmin tänä vuonna julkaistavassa iOS 12:ssa käytettävien CoreCrypto v9.0 -moduulien validointiin.

iOS 10

Aiemmat versiot

Näillä aiemmilla iOS-versioilla oli salausmoduulien validointeja, jotka on nyt arkistoitu:

  • iOS 8
  • iOS 7

Tietoturvakonfigurointioppaat

Tietoturvaan erikoistuneet organisaatiot tarjoavat tarkasti määritettyä ja tarkistettua opastusta eri alustojen määrittämiseksi hyväksyttyihin käyttötarkoituksiin. Tietoturvakonfigurointioppaissa on yleiskatsaus macOS:n ja iOS:n ominaisuuksista, joilla voi parantaa laitteen suojausta. Eri valtioiden viranomaiset ovat tehneet yhteistyötä Applen kanssa ja kehittäneet oppaita, joissa on ohjeita ja suosituksia turvallisemman käyttöympäristön ylläpitämisestä. 

Oppaiden käyttö edellyttää, että olet kokenut käyttäjä tai järjestelmän ylläpitäjä, tunnet käyttöliittymän ja että sinulla on jonkin verran käytännön tuntemusta kohdekäyttöympäristön hallintatyökaluista. On hyvä tuntea verkkoyhteyksiin liittyvät peruskäsitteet. Jotkin oppaiden ohjeet ovat monimutkaisia, ja poikkeaminen niistä voi johtaa haittavaikutuksiin tai heikentyneeseen suojaan. Testaa kaikki laitteiden asetuksiin tehdyt muutokset huolellisesti ennen käyttöönottoa.

Lue lisää iOS Security Guide -oppaasta (PDF).

Tietoturvasertifikaatit

Luettelo Applen julkisesti tunnistetuista, aktiivisista ja valmiista sertifikaateista.

ISO 27001- ja 27018-sertifikaatit

Applella on ISO 27001- ja ISO 27018 -sertifikaatit infrastruktuurin, kehityksen ja käytön tietoturvan hallintajärjestelmälle, joka tukee seuraavia tuotteita ja palveluita: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, hallitut Apple ID:t, Siri ja Koulutyöt 11. heinäkuuta 2017 päivätyn soveltuvuuslausunnon (versio 2.1) mukaisesti. British Standards Institution standardoi Applen yhdenmukaisuuden ISO-standardien kanssa. BSI:n sivustossa on ISO 27001:n ja ISO 27018:n vaatimustenmukaisuussertifikaatit.

Common Criteria -sertifiointi

Common Criteria -yhteisön tavoitteena on luoda kansainvälisesti hyväksytyt tietoturvastandardit, joiden avulla voidaan selkeästi ja luotettavasti arvioida IT-tuotteiden tietoturvaominaisuuksia. Common Criteria -sertifiointi tarjoaa riippumattoman arvioinnin tuotteen kyvystä täyttää tietoturvastandardit. Näin asiakkaat voivat paremmin luottaa IT-tuotteiden tietoturvaan ja tehdä valistuneempia päätöksiä.

CCRA (Common Criteria Recognition Arrangement) -järjestelyssä jäsenmaat ja -alueet ovat sopineet, että ne tunnustavat IT-tuotteiden sertifioinnin samalla luotettavuustasolla. Jäsenmäärä sekä suojausprofiilien syvyys ja kattavuus kasvavat vuosi vuodelta uusien teknologioiden myötä. Tämän sopimuksen myötä tuotteen kehittäjä voi hakea yhtä sertifiointia minkä tahansa valtuuttavan järjestelmän puitteissa.

Aiemmat suojausprofiilit on arkistoitu, ja niitä on alettu korvata kehittämällä kohdistettuja suojausprofiileita, jotka keskittyvät tiettyihin ratkaisuihin ja ympäristöihin. Jotta CCRA:n jäsenet jatkossakin noudattaisivat vastavuoroisen tunnustamisen periaatetta, iTC (International Technical Community) vie suojausprofiilien kehittämistä ja päivityksiä kohti cPP-profiileja (Collaborative Protection Profiles). Niiden kehitystyössä useat järjestelmät ovat alusta pitäen mukana.

Apple on hakenut tiettyjen suojausprofiilien mukaisia sertifiointeja uuden Common Criteria -järjestelyn puitteissa alkuvuodesta 2015 lähtien. Applen julkiset, aktiiviset ja suoritetut sertifioinnit ovat alla. 

iOS 11

 

Suojausprofiili

VID

Valmistumisajankohta

Mobiililaite

PP_MD_v3.1

10851

30.3.2018

MDM Agent

EP_MDM_Agent_v3.0

10851

30.3.2018

WLAN Agent

PP_WLAN_CLI_EP_v1.0

10851

30.3.2018

VPN Client

PP_VPN_IPSEC_CLIENT_V1.4

10876

10.5.2018

Sovellusohjelmisto (Yhteystiedot)

PP_APP_v1.2

10915

Arvioitu julkaisuajankohta: elokuu 2018

Selain (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

Arvioitu julkaisuajankohta: elokuu 2018

Aiemmat versiot

Aiemmilla iOS-versioilla oli sertifiointeja, jotka on nyt arkistoitu:

  • iOS 10
  • iOS 9

Common Criteria -yhteisö julkaisee suojausprofiilien merkittävät versiopäivitykset yleensä 12–18 kuukauden välein (mukana on uusia tai päivitettyjä toiminnallisia SFR-tietoturvavaatimuksia).

Common Criteria -portaalissa on lueteltu kaikki suojausprofiilit ja cPP-profiilit sekä niiden voimassaoloajat. Voit paikantaa ne myös valitsemastasi mallista, kuten esimerkiksi National Information Assurance Partnership (NIAP), joka on Yhdysvaltojen malli.

Hyväksytty valtionhallinnon käyttöön

Tietoja tietyistä maista ja alueista, jotka ovat hyväksyneet laitteet valtionhallinnon käyttöön.

Australian hallitus


Yhteenveto EPL - Evaluated Products List (arvioitujen tuotteiden luettelo) -sivulta:

Australian Signals Directorate (ASD) ylläpitää arvioitujen tuotteiden luetteloa (EPL). Luettelo sisältää ICT-tietoturvatuotteita, jotka ASD on arvioinut valtionhallinnon käyttöön Australiassa ja Uudessa-Seelannissa.

  • EPL-tuotteet on sertifioitu tiettyjä käyttötarkoituksia varten.
  • EPL-tuotteita voidaan käyttää turvallisten järjestelmien ja verkkojen rakentamiseen Australian hallituksen tietoturvaohjeen (ISM) mukaisesti.
  • Tuotteet on sertifioitu kansainvälisesti tunnustetun ISO 15408 -sertifikaatin Common Criteria (CC) -vaatimusten perusteella. CC-portaalissa näkyy muita tuotteita, joille on myönnetty yhteisesti tunnustettuja sertifikaatteja, joita voidaan myös käyttää.
  • ASD:n sertifiointitoimisto, Australasian Certification Authority, valvoo Australasian Information Security Evaluation Program (AISEP) -ohjelmaa, joka hallinnoi lisensoitujen kaupallisten arviointilaitosten toimesta suoritettua tuotetestausta.
  • EPL pitää luetteloa myös ASD:n salausteknisistä arvioinneista.

Tuote: iOS 9
Tuotetyyppi: Mobiilituotteet
Tuotteen tila: Valmis
Arviointitaso: ASD:n arvioima
Versio: 9.3.5 tai uudempi
Opas: PDF

Ison-Britannian hallitus


Yhteenveto NCSC:n Commercial Product Assurance - products at foundation grade -sivusta:

CPA arvioi kaupallisia valmiina myytäviä tuotteita ja niiden kehittäjiä julkaistuihin tietoturva- ja kehitysnormeihin nähden. Arvioinnin läpäisseille tietoturvatuotteille myönnetään Foundation Grade -sertifikaatti. Tämä tarkoittaa, että tuote on todistetusti hyvien kaupallisten tietoturvakäytäntöjen mukainen ja soveltuva matalampien uhkien ympäristöihin.

  • CPA-sertifiointi on voimassa kaksi vuotta ja se sallii tuotteen päivityksen sertifikaattikaudella haavoittuvuuksien ja päivitysten mukaisesti. 
  • CPA-sertifiointi on hyväksytty NATOn luetteloon ja tunnustettu yhdeksi EU:n luetteloon hyväksyntään vaadituksi arvioinniksi.
  • Foundation Grade on kuvailtu tarkemmin NCSC:n toimesta.

Yhdysvaltain hallitus


Commercial Solutions for Classified -sivun mukaisesti:

Yhdysvaltain julkishallintoa edustavat asiakkaat edellyttävät yhä enenevissä määrin nykyaikaisimpien kaupallisten laitteisto- ja ohjelmistotekniikoiden välitöntä käyttöönottoa NSS-järjestelmissä, jotta toiminnan tavoitteet voidaan saavuttaa. Tämän vuoksi NSA:n/CSS:n (National Security Agency / Central Security Service) Information Assurance Directorate (IAD) kehittää uusia tapoja hyödyntää uusia tekniikoita. Tavoitteena on tarjota tiedonturvaamisratkaisuja asiakkaiden nopeasti kehittyviin vaatimuksiin entistä ajankohtaisemmin.

NSA:n/CSS:n CSfC-ohjelman tarkoituksena on mahdollistaa kaupallisten tuotteiden käyttö kerroksellisissa ratkaisuissa, jotka suojaavat salaiseksi luokiteltuja NSS-tietoja. Näin kaupallisiin standardeihin perustuva suojattu tietoliikenne on mahdollista ratkaisussa, jonka käyttöönotto vie vuosien sijaan vain kuukausia.

Applen ratkaisuja halutaan käyttää yhä useammissa luokitelluissa ympäristöissä, mutta tässä on tapahtunut viivästyksiä tuotesertifiointisyistä. Koska Apple on hankkinut yllä mainittujen suojausprofiilien mukaisia Common Criteria -sertifiointeja, Applen tuotteet on voitu lisätä CSfC-komponenttiluetteloon.

Kun Applen tuotteiden asiaan liittyvien suojausprofiilien mukaiset Common Criteria -lisäsertifioinnit alkavat, vastaavat Applen komponentit lähetetään hyväksyttäväksi CSfC:n komponenttiluetteloon ja lisätään alle.

CSfC-komponenttiluettelo

Seuraavia Apple-tuotteita voidaan käyttää CSfC-ratkaisussa:

Applen tuotteiden lisääminen tuoteluetteloon

Yhä lukuisammat valtionhallinnon ympäristöt ovat pyytäneet, että Applen tuotteita lähetetään niiden CPA:ta, EPL:ää ja CSfC:tä vastaaviin ohjelmiin. Jos edustat valtionhallinnon ratkaisuohjelmaa maassasi ja olet kiinnostunut saamaan Applen tuotteet vastaavaan tuoteluetteloonne, lähetä sähköpostia osoitteeseen security-certifications@apple.com.

Muut käyttöjärjestelmät

Lue lisätietoja tuotteiden suojauksesta, validoinneista ja ohjeista:

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: