אישורי אבטחה עבור SEP‏: Secure Key Store

מאמר זה מכיל הפניות לאישורי מוצרים, אימותי הצפנה ומשאבי הדרכה חשובים בנושא אבטחה עבור Secure Enclave Processor‏ (SEP)‏: Secure Key Store.

בנוסף לאישורים הכלליים המפורטים כאן, יתכן שהונפקו אישורים אחרים שעונים על דרישות אבטחה ספציפיות בשווקים מסוימים. 

אם יש לכם שאלות, פנו אלינו לכתובת security-certifications@apple.com.

מעבד Secure Enclave

Secure Enclave הוא מעבד עזר שנוצר בתוך המערכת על שבב (SoC). הוא משתמש בזיכרון מוצפן וכולל חומרה של מחולל מספרים אקראיים. Secure Enclave מספק את כל פעולות ההצפנה עבור ניהול מפתחות 'הגנה על נתונים' ושומר על שלמות ה'הגנה על נתונים', גם אם הליבה נחשפה לסכנה. התקשורת בין Secure Enclave לבין מעבד האפליקציות מבודדת לתיבת דואר מונחית פסיקות ולמאגרי נתונים של זיכרון משותף.

Secure Enclave כולל ROM ייעודי לאתחול ה-Secure Enclave. בדומה ל-ROM האתחול של מעבד האפליקציות, ROM האתחול של Secure Enclave הוא קוד בלתי ניתן לשינוי, הקובע את בסיס האמון של החומרה עבור Secure Enclave.

Secure Enclave פועל באמצעות מערכת הפעלה של Secure Enclave המבוססת על גרסה של המיקרו-ליבה L4 המותאמת ל-Apple. מערכת הפעלה זו של Secure Enclave חתומה על ידי Apple, מאומתת באמצעות ROM האתחול של Secure Enclave, ומתעדכנת דרך תהליך מותאם אישית של עדכון תוכנה.

דוגמה למספר שירותים מובנים המשתמשים ב-Secure Key Store המוגן באמצעות חומרה:

  • פתיחת נעילה של מכשיר או חשבון (סיסמה ומידע ביומטרי)
  • הצפנת חומרה / הגנה על נתונים / FileVault (נתונים במנוחה)
  • אתחול מאובטח (אמון ושלמות קושחה ומערכת הפעלה)
  • שליטה במצלמה באמצעות חומרה (FaceTime)‏

המסמכים הבאים יכולים להיות שימושיים בהקשר של אישורים ואימותים אלה:

למידע על אישורים ציבוריים הקשורים לשירותי האינטרנט של Apple, ראו:

למידע על אישורים ציבוריים הקשורים לאפליקציות של Apple, ראו:

למידע על אישורים ציבוריים הקשורים למערכות ההפעלה של Apple, ראו:

למידע על אישורים ציבוריים הקשורים לרכיבי חומרה וקושחה קשורה, ראו:

אימותים של מודולי הצפנה

כל אישורי אימות התאימות של Apple ל-FIPS 140-2/-3 נמצאים באתר CMVP. ל-Apple יש מעורבות ישירה באימות של המודולים CoreCrypto User ו-CoreCrypto Kernel בכל גרסה עיקרית של מערכת הפעלה. ניתן לבצע את האימות רק עבור הגרסה הסופית של המודול, וניתן להגיש אותו באופן רשמי רק עם הגרסה הציבורית של מערכת ההפעלה. מידע על אימותים אלה נמצא בדף של מערכת ההפעלה הרלוונטית.

מודול ההצפנה של החומרה – מודול ההצפנה Apple SEP Secure Key Store – מגיע כשהוא מוטבע במערכת על שבב של Apple‏ A עבור iPhone‏ / iPad,‏ S עבור Apple Watch Series ו-T עבור שבב האבטחה T שנמצא במערכות Mac החל מ-iMac Pro, שהוצג ב-2017.

Apple תפעל לפי תקן FIPS 140-2/-3 רמת אבטחה 3 עבור מודול ההצפנה Secure Key Store שישמש במהדורות עתידיות של מערכות הפעלה ומכשירים. 

בשנת 2019, Apple אימתה את מודול החומרה בהתאם לדרישות תקן FIPS 140-2 רמת אבטחה 2 ועדכנה את מזהה גרסת המודול לגרסה 9.0 כדי לשמור על סנכרון עם הגרסאות התואמות של אימותי המודולים CoreCrypto User ו-CoreCrypto Kernel. בשנת 2019: iOS 12, ‏tvOS 12, ‏watchOS 5, ו-‏macOS Mojave 10.14.

בשנת 2018, בוצע סנכרון עם האימות של מודולי ההצפנה של תוכנה עם מערכות ההפעלה שהושקו ב-2017: iOS 11,‏ tvOS 11,‏ watchOS 4 ו-macOS Sierra 10.13. מודול ההצפנה של החומרה שזוהה כמודול ההצפנה Apple SEP Secure Key Store גרסה 1.0 אומת תחילה בהתאם לדרישות של תקן FIPS 140-2 רמת אבטחה 1.

כל אישורי אימות התאימות של Apple ל-FIPS 140-2/-3 נמצאים באתר CMVP. ל-Apple יש מעורבות ישירה באימות של המודולים CoreCrypto User ו-CoreCrypto Kernel בכל גרסה עיקרית של מערכת הפעלה. ניתן לבצע אימות תאימות רק עבור הגרסה הסופית של המודול, וניתן להגיש אותו באופן רשמי רק עם הגרסה הציבורית של מערכת ההפעלה. 

מצבי האימות של מודולי ההצפנה מנוהלים כיום בתוכנית CMVP בארבע רשימות נפרדות, בהתאם למצב הנוכחי של כל מודול. המודולים מתחילים את מחזור חיי האימות שלהם ברשימה Implementation Under Test ולאחר מכן ממשיכים לרשימה Modules in Process. לאחר האימות הם יופיעו ברשימה של מודולי הצפנה מאומתים, ואחרי חמש שנים יועברו לרשימה 'היסטורי'.

בשנת 2020, התקן הבינלאומי ISO/IEC 19790 אומץ על ידי CMVP כבסיס ל-FIPS 140-3‏.

למידע נוסף על אימות FIPS 140-2/-3, ראו אבטחת הפלטפורמות של Apple.

פלטפורמה/מערכת הפעלה תואמת מספר אישור CMVP שם המודול סוג המודול SL תאריך אימות מסמכים
עיינו ברשימה Implementation Under Test וברשימה Modules in Process כדי לדעת אילו מודולים נמצאים כעת בבדיקה/אימות.
iOS 12

tvOS 12

watchOS 5

macOS Mojave 10.14
3523 מודול ההצפנה של Apple Secure Key Store גרסה 9.0
(sepOS)
HW 2 10/09/2019
iOS 11

tvOS 11

watchOS 4

macOS High Sierra 10.13
3223 מודול ההצפנה של Apple Secure Key Store גרסה 1.0
(sepOS)
HW 1 10/07/2018

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: