SEP: Secure Key Storen tietoturvasertifikaatit

Tässä artikkelissa on viitteitä Secure Enclave Processor (SEP): Secure Key Storen keskeisiin tuotesertifikaatteihin, salaukseen liittyviin validointeihin sekä suojausohjeisiin.

Tässä mainittujen yleisten sertifikaattien lisäksi on voitu julkaista myös muita sertifikaatteja joidenkin markkinoiden erityisten tietoturvavaatimusten mukaisesti. 

Jos sinulla on kysyttävää, ota meihin yhteyttä osoitteessa security-certifications@apple.com.

Secure Enclave Processor

Secure Enclave Processor on järjestelmäpiirissä (SoC) oleva lisäprosessori. Se käyttää salattua muistia ja sisältää laitteistopohjaisen satunnaislukugeneraattorin. Secure Enclave tarjoaa kaikki kryptografiset toiminnot tietosuojan avainten hallintaan ja ylläpitää tietojen suojauksen luotettavuutta silloinkin, kun ydin on vaarantunut. Viestintä Secure Enclaven ja sovellusprosessorin välillä on eristetty keskeytysohjattuun postilaatikkoon ja jaetun muistin datapuskureihin.

Secure Enclave Processor sisältää erityisen Secure Enclave Boot ROMin. Sovellusprosessorin Boot ROMin tapaan Secure Enclave Boot ROM on muuttumatonta koodia, joka muodostaa laitteiston luottamuksen perustan Secure Enclavea varten.

Secure Enclave Processor käyttää Secure Enclave -käyttöjärjestelmää, joka perustuu Applen L4-mikroytimen muokattuun versioon. Tämä Applen allekirjoittama ja Secure Enclave Boot ROMin vahvistama Secure Enclave -käyttöjärjestelmä päivitetään yksilöllisen ohjelmistopäivitysprosessin avulla.

Esimerkkejä joistakin sisäisistä palveluista, jotka käyttävät laitteiston suojaamaa Secure Key Storea:

  • Laitteen tai tilin lukituksen poisto (Salasana ja biometriset tiedot)
  • Laitteiston salaus / tietojen suojaus / FileVault (Levossa oleva data)
  • Suojattu käynnistys (Laitteiston ja käyttöjärjestelmän luottamus ja eheys)
  • Kameran laitteiston hallinta (FaceTime)

Seuraavista dokumenteista voi olla hyötyä näihin sertifikaatteihin ja validointeihin liittyen:

Tietoja Applen internet-palvelujen julkisista sertifioinneista:

Tietoja Applen appien julkisista sertifioinneista:

Tietoja Applen käyttöjärjestelmien julkisista sertifioinneista:

Tietoja Applen laitteiden ja niihin liittyvien laiteohjelmiston komponenttien julkisista sertifioinneista:

Tietoja Applen laitteiden suojausoppaista:

Salausmoduulien validoinnit

Kaikki Applen FIPS 140-2/-3 -vaatimustenmukaisuusvalidoinnin sertifikaatit ovat CMVP:n sivustossa. Apple osallistuu aktiivisesti CoreCrypto User- ja CoreCrypto Kernel -moduulien validointiin kaikkien käyttöjärjestelmien pääversioiden päivitysten yhteydessä. Validointi voidaan suorittaa vain moduulin lopulliselle julkaisuversiolle, ja se julkaistaan virallisesti käyttöjärjestelmän julkaisun yhteydessä. Tietoja näistä validoinneista löytyy kunkin käyttöjärjestelmän sivulta.

Laitteistosalausmoduuli (Apple SEP Secure Key Store Cryptographic Module) on upotettu Applen järjestelmäpiiriin (SoC): A iPhonessa ja iPadissa, S Apple Watch Seriesissä ja T Mac-järjestelmien T Security -sirua varten vuonna 2017 valmistetusta iMac Prosta alkaen.

Apple aikoo noudattaa FIPS 140-2/-3 -sertifikaatin suojaustason 3 vaatimuksia tulevissa käyttöjärjestelmäversioissa ja laitteissa käytettävissä SEP Secure Key Store -salausmoduuleissa. 

Vuonna 2019 Apple validoi laitteistomoduulin myös FIPS 140-2 -sertifikaatin suojaustason 2 vaatimusten mukaisesti ja päivitti moduuliversion tunnisteeksi 9.0, jotta moduulin tunniste vastaa CoreCrypto User- ja CoreCrypto Kernel -moduulien validointeja. Vuonna 2019: iOS 12, tvOS 12, watchOS 5 ja macOS Mojave 10.14.

Vuonna 2018 synkronoitu ohjelmiston salausmoduulien validoinnilla vuonna 2017 julkaistuissa käyttöjärjestelmissä: iOS 11:ssä, tvOS 11:ssä, watchOS 4:ssä ja macOS Sierra 10.13:ssa. Laitteiston SEP-salausmoduuli, joka tunnistettiin Applen SEP Secure Key Store -salausmoduulin versioksi 1, validoitiin alun perin FIPS 140-2 -sertifikaatin suojaustason 1 vaatimusten mukaisesti.

Kaikki Applen FIPS 140-2/-3 -vaatimustenmukaisuusvalidoinnin sertifikaatit ovat CMVP:n sivustossa. Apple osallistuu aktiivisesti CoreCrypto User- ja CoreCrypto Kernel -moduulien validointiin kaikkien käyttöjärjestelmien pääversioiden päivitysten yhteydessä. Vaatimustenmukaisuusvalidointi voidaan suorittaa vain moduulin lopulliselle julkaisuversiolle, ja se julkaistaan virallisesti käyttöjärjestelmän julkaisun yhteydessä. 

CMVP ylläpitää salausmoduulien validointitietoja neljänä erillisenä luettelona riippuen moduulin senhetkisestä tilasta. Moduulit voivat alkaa Implementation Under Test List -luettelosta ja jatkua Modules in Process List -luetteloon. Kun ne on validoitu, ne ilmestyvät validoitujen salausmoduulien luetteloon, ja viiden vuoden kuluttua ne siirretään ”historialliseen” luetteloon.

Vuonna 2020 CMVP ottaa käyttöön kansainvälisen ISO/IEC 19790 -standardin FIPS 140-3 -sertifikaatin perustana.

Lisätietoja FIPS 140-2/-3 -validoinneista on artikkelissa Apple-alustojen tietoturva.

Vastaava alusta/käyttöjärjestelmä CMVP-sertifikaatin numero Moduulin nimi Moduulin tyyppi SL Validointipäivä Dokumentit
Perehdy testattavina/validoitavina olevien moduulien osalta Implementation Under Test List- ja Modules in Process List -luetteloihin.
iOS 12

tvOS 12

watchOS 5

macOS Mojave 10.14
3523 Apple Secure Key Store Cryptographic Module v9.0
(sepOS)
HW 2 10.9.2019
iOS 11

tvOS 11

watchOS 4

macOS High Sierra 10.13
3223 Apple Secure Key Store Cryptographic Module v1.0
(sepOS)
HW 1 10.7.2019

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: