Sigurnosni certifikati, provjere i upute za SEP: Secure Key Store

Ovaj članak sadrži reference na certifikate, kriptografske provjere i upute za sigurnosne značajke za Secure Enclave Processor (SEP): Secure Key Store. Ako imate pitanja, obratite nam se na adresu security-certifications@apple.com.

Secure Enclave Processor

Secure Enclave je koprocesor napravljen unutar sustava na čipu (SoC). Upotrebljava šifriranu memoriju i sadrži generator nasumičnog broja hardvera. Secure Enclave pruža sve kriptografske radnje za glavno upravljanje zaštitom podataka i održava integritet zaštite podataka čak i u slučaju kompromitiranja kernela. Komunikacija između sigurnosne arhitekture Secure Enclave i procesora aplikacije izolirana je na poštanski sandučić s upravljanjem na prekid i zajedničke međuspremnika podataka memorije.

Secure Enclave ima namjenski Secure Enclave Boot ROM. Slično procesoru za aplikacije Boot ROM, Secure Enclave Boot ROM nepromjenjivi je kod koji uspostavlja hardverski korijen povjerenja za Secure Enclave.

Secure Enclave pokreće operacijski sustav Secure Enclave na temelju verzije L4 mikrokernela prilagođene za Apple. Taj operacijski sustav Secure Enclave potpisuje tvrtka Apple, potvrđuje Secure Enclave Boot ROM, a ažurira se putem personaliziranog postupka ažuriranja softvera.

Primjer ugrađenih usluga koje imaju hardverski zaštićen Secure Key Store:

  • Otključavanje uređaja ili računa (Lozinka i biometrija)
  • Šifriranje hardvera / Zaštita podataka / FileVault (Data-at-Rest)
  • Secure Boot (Povjerenje i integritet firmvera i operacijskog sustava)
  • Hardversko upravljanje kamerom (FaceTime)

Provjere kriptografskih modula

Svi se FIPS -2 certifikati tvrtke Apple za provjeru usklađenosti nalaze na /140-web-stranici dobavljača CMVP-a. Apple aktivno sudjeluje u provjeri jezgrenih kriptografskih modula i jezgrenih kernelskih kriptografskih modula za svako veliko izdanje sustava macOS. Provjeru je moguće izvršiti samo za konačno izdanje modula i službeno ga poslati nakon javne objave operacijskog sustava. CMVP sada održava status provjere kriptografskih modula na dva zasebna popisa ovisno o njihovom trenutačnom statusu. Moduli započinju na popisu testiranja implementacije, a zatim se nastavljaju na popisu modula u okviru procesa.

Hardverski kriptografski modul - kriptografski modul Apple SEP Secure Key Store - dolazi ugrađen u Apple System-On-Chip A za iPhone / iPad, S za Apple Watch Series i T za T Security Chip koji se nalazi u Mac sustavima počevši od iMac Pro uređaja predstavljenog 2017.

FIPS 140-2 Level 1 (iOS 11, tvOS 11, watchOS 4 i T2 Firmware - macOS High Sierra 10.13)

Sinkronizirano s provjerom valjanosti softverskih kriptografskih modula s operacijskim sustavima izdanima 2017.: iOS 11, tvOS 11, watchOS 4 i macOS Sierra 10.13. Za hardverski kriptografski modul identificiran kao kriptografski modul Apple SEP Secure Key Store v1.0 na početku je provjerena valjanost u odnosu na zahtjeve za FIPS 140-2 Level 1.

FIPS 140-2 Level 2 (iOS 12, tvOS 12, watchOS 5 i T2 Firmware - macOS Mojave 10.14)

Apple je također provjerio valjanost hardverskog modula u odnosu na zahtjeve za FIPS 140-2 Level 2 i ažurirao identifikacijsku oznaku verzije modula na v9.0 radi sinkroniziranosti s odgovarajućim provjerama valjanosti softverskog modula.  

Za kriptografski modul Apple SEP Secure Key Store v9.0 provjerena je valjanost u odnosu na zahtjeve za FIPS 140-2 Level 2 s operacijskim sustavima izdanima 2018.: iOS 12, tvOS 12, watchOS 5 i T2 Firmware zajedno s macOS Mojave 10.14.

FIPS 140-2 Level 3

Apple će slijediti FIPS 140-2 Level 3 za kriptografski modul sigurnog spremišta ključeva koji upotrebljavaju buduća izdanja operacijskih sustava i uređaji. Kao što je prethodno navedeno, moduli započinju ciklus provjere valjanosti u popisu testiranja implementacije, a zatim nastavljaju u popisu modula u okviru procesa prije nego što se konačno pojave u popisu modula provjerene valjanosti. Provjeravajte ima li ažuriranja.

Sigurnosni certifikati

Popis javno objavljenih, aktivnih i dovršenih certifikata tvrtke Apple.

Certifikat Common Criteria

Kao što je vidljivo na web-mjestu zajednice Common Criteria, cilj je međunarodno prihvaćenim skupom sigurnosnih normi pružiti jasnu i pouzdanu ocjenu sigurnosnih mogućnosti informatičko-tehnoloških proizvoda. Pružanjem neovisne ocjene mogućnosti proizvoda da zadovolji sigurnosne norme, certifikatom Common Criteria izgrađuje se povjerenje korisnika u sigurnost informatičko-tehnoloških proizvoda i omogućuje im se da donesu informirane odluke.

Ugovorom o priznavanju certifikata Common Criteria (CCRA) države i regije članice odlučile su priznati certificiranje informatičko-tehnoloških proizvoda s istom razinom pouzdanosti. Broj država članica i opseg zaštitnih profila (PP) svake godine nastavljaju rasti s ciljem obuhvaćanja novonastalih tehnologija. Tim se ugovorom razvojnim programerima omogućuje da zatraže jedinstveni certifikat u okviru autorizacijskih shema.

Prethodni su PP-ovi arhivirani i započela je njihova zamjena razvojem ciljanih PP-ova koji su usmjereni na konkretna rješenja i okruženja. Zajedničkim naporima da se osigura nastavak uzajamne prepoznatljivosti u svim zemljama članicama CCRA-e, Međunarodna tehnološka zajednica (iTC) razvoj i promjene PP-ova nastavlja usmjeravati prema zajedničkim zaštitnim profilima (cPP), koji su od samog početka razvijani na temelju nekoliko shema.

Tvrtka Apple, nakon restrukturiranja platforme Common Criteria početkom 2015. godine, pokrenula je postupak za stjecanje novih certifikata za odabrane PP-ove.

Ostali operacijski sustavi

Saznajte više o sigurnosti i provjeri proizvoda te uputama za:

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: