Termékbiztonsági tanúsítványok, hitelesítések és útmutatók az iOS rendszerhez

Ez a cikk az iOS platformokra vonatkozó terméktanúsítványokra, kriptográfiai hitelesítésekre és biztonsági irányelvekre mutató hivatkozásokat tartalmazza. Esetleges kérdéseit a security-certifications@apple.com e-mail-címre várjuk.

A titkosítási modulok hitelesítése

Az Apple összes, FIPS 140-2 szerinti megfelelőségi tanúsítványa megtalálható a CMVP gyártói oldalán. Az Apple aktívan részt vesz a CoreCrypto és a CoreCrypto Kernel modul hitelesítésében az iOS főbb kiadásai esetén. A hitelesítés kizárólag a végleges modulverziókkal végezhető el, és hivatalosan az operációs rendszer nyilvános közzététele után adható le. A CMVP mostantól az aktuális állapotuktól függően két külön listán vezeti a kriptográfiai modulok hitelesítési állapotát. A modulok az Implementation Under Test (modul tesztelés alatt) listán kezdenek, majd átkerülnek a Modules in Process (aktív modulok) listára.

iOS 12

Az Apple aktívan részt vesz az idén megjelenő iOS 12 rendszerben használt, 9.0-s verziójú CoreCrypto modulok hitelesítésében.

Korábbi verziók

Az iOS alább felsorolt korábbi verziói rendelkeztek kriptográfiaimodul-hitelesítéssel, és már archiválva vannak:

  • iOS 8
  • iOS 7

Biztonsági konfigurációkkal kapcsolatos útmutatók

A biztonságot fontos tényezőnek tartó szervezetek világosan fogalmazó és alaposan ellenőrzött útmutatókban rögzítik, hogy miként konfigurálhatók a különböző platformok a megfelelő használathoz. A biztonsági konfigurációkkal kapcsolatos útmutatók áttekintést adnak a macOS és az iOS azon szolgáltatásairól, amelyekkel növelhető a védelmi szint. Ezt „a készülék megerősítésének” is hívják. A világon több kormányzat fejlesztett ki az Apple-lel együttműködésben olyan útmutatókat, amelyek a még biztonságosabb környezet fenntartására vonatkozó instrukciókat és javaslatokat tartalmaznak. 

Az útmutatók tapasztalt felhasználóknak, illetve rendszergazdáknak szólnak, akik jól ismerik a felhasználói felületet, valamint bizonyos szinten értenek az adott platform kezelőeszközeihez. Az alapvető hálózatkezelési konfigurációk ismerete előnyt jelent. Az útmutatók egyes utasításai összetettek, és a tőlük való kismértékű eltérés is negatív következményekkel járhat, illetve csökkentheti a védelmi szintet. A telepítés előtt alaposan ellenőrizze a készülék beállításain végrehajtott valamennyi módosítást.

További információkat a Biztonsági útmutató az iOS rendszerhez (PDF) dokumentumban talál.

Németország (BSI)
Konfigurációs ajánlás


UK (NCSC)
EUD Security Guidance: iOS 11 (végfelhasználói eszközök biztonsági útmutatója az iOS 11-hez)


Egyesült Államok (DISA, NIST, NSA)
Apple iOS 10 ISCG
SCAP-on-Apple
CIS: Center for Internet Security

Ausztrália (ASD)
iOS Hardening Guidance (útmutató az iOS megerősítéséhez)
iOS Hardening Guide (útmutató az iOS megerősítéséhez) (PDF)
iOS Hardening Guide (útmutató az iOS megerősítéséhez) (iBook)


Új-Zéland (GCSB)
iOS Hardening Guidance (útmutató az iOS megerősítéséhez)
iOS Hardening Guide (útmutató az iOS megerősítéséhez) (PDF)
iOS Hardening Guide (útmutató az iOS megerősítéséhez) (iBook)

 

Biztonsági tanúsítványok

Az Apple nyilvánosan elérhető, aktív és teljesített tanúsítványai.

ISO 27001 és 27018 szerinti tanúsítás

Az Apple megkapta az ISO 27001 és ISO 27018 szerinti tanúsítványokat az Information Security Management System (információbiztonság-kezelési rendszer) területén, a következő termékek és szolgáltatások esetén alkalmazott infrastruktúra, fejlesztés és eljárások elismeréseként: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, Felügyelt Apple ID azonosítók, Siri és Iskolai munka; a Statement of Applicability (Alkalmazhatósági nyilatkozat) 2.1-es verziójával (2017. 07. 11.) összhangban. Az Apple ISO-szabványok szerinti megfelelőségét a British Standards Institution tanúsította. A BSI webhelyén találhatók megfelelőségi tanúsítványok az ISO 27001 és az ISO 27018 szabványokhoz.

A Common Criteria tanúsítása

Common Criteria közösség által meghatározott cél egy nemzetközileg jóváhagyott biztonsági szabványcsomag kidolgozása, amelynek segítségével átlátható és megbízható módon kiértékelhetők az informatikai termékek biztonsági funkciói. Mivel független értékelés keretében állapítják meg, hogy a termékek megfelelnek-e a biztonsági szabványoknak, a Common Criteria tanúsítása révén az ügyfelek nagyobb bizalmat tanúsítanak az informatikai termékek biztonsága iránt, és megalapozottabb döntéseket hozhatnak.

A Common Criteria elismerési megegyezése (Common Criteria Recognition Arrangement – CCRA) alapján a tagországok és -régiók megegyeztek abban, hogy azonos bizalmi szint mellett ismerik el az informatikai termékek tanúsítványát. A taglétszám évről évre nő, a Védelmi profilok pedig egyre mélyrehatóbbak, és egyre több területre kiterjednek, így reagálva az újonnan megjelenő technológiákra. A megállapodás lehetővé teszi a termékfejlesztőknek, hogy egyetlen tanúsítási rendszert kövessenek bármelyik Jóváhagyási ügyrend keretében.

A korábbi Védelmi profilokat (Protection Profiles – PP) archiválták, és célzott Védelmi profilok kidolgozásával kezdték meg a lecserélésüket, amelyek bizonyos megoldásokra és környezetekre helyezik a hangsúlyt. Az arra irányuló közös erőfeszítés részeként, hogy valamennyi CCRA-tag töretlenül biztosítsa a támogatását, az International Technical Community (iTC) továbbra is arra törekszik, hogy az összes jövőbeli PP-fejlesztést és frissítést a Kollaboratív védelmi profilok (Collaborative Protection Profiles – cPP) irányába mozdítsa el, amelyeken a kezdetektől fogva több program bevonásával dolgoznak.

Az Apple 2015 elején kezdte meg néhány PP-vel az új Common Criteria-rendszer szerinti tanúsítást. Alább olvashatók az Apple nyilvánosan elérhető, aktív és teljesített tanúsítványai. 

iOS 11

 

Védelmi profil

VID

Teljesítés

Mobilkészülék

PP_MD_v3.1

10851

2018. 03. 30.

MDM-ügynök

EP_MDM_Agent_v3.0

10851

2018. 03. 30.

WLAN-ügynök

PP_WLAN_CLI_EP_v1.0

10851

2018. 03. 30.

VPN-kliens

PP_VPN_IPSEC_CLIENT_V1.4

10876

2018. 05. 10.

Alkalmazásszoftver (Kontaktok)

PP_APP_v1.2

10915

ETA: 2018. 08.

Böngésző (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA: 2018. 08.

Korábbi verziók

A korábbi iOS-verziók olyan tanúsítványokkal rendelkeztek, amelyek most már archiváltak:

  • iOS 10
  • iOS 9

A Védelmi profilok Common Criteria közösség által kiadott nagyobb verziófrissítéseit általában 12–18 hónapos időszak követi, amelynek során további vagy frissített biztonsági funkcionális követelmények (Security Functional Requirements – SFR) kerülnek meghatározásra.

A Common Criteria portálján megtalálható a Védelmi profilok (PP-k) és a Kollaboratív védelmi profilok (cPP-k) teljes listája, valamint a profilok érvényességi dátuma is. A tetszőlegesen kiválasztott program leírásában is megtalálja őket; például az egyesült államokbeli program a National Information Assurance Partnership (NIAP).

Jóváhagyva kormányzat általi felhasználásra

Információk néhány olyan országból és régióból, amelyek jóváhagyták a készülékek kormányzat általi felhasználását.

Ausztrália kormánya


Összefoglalás az EPL - Evaluated Products List (Kiértékelt termékek listája) oldalról:

Az Australian Signals Directorate (ASD; Ausztrál Jeligazgatóság) fenntart egy Evaluated Products List (EPL; Kiértékelt termékek listája) nevű listát az ICT biztonsági termékekről. A listán azok a termékek találhatók, amelyeket az ASD alkalmasnak talált az ausztrál és új-zélandi kormányzati hivatalok általi használatra.

  • Az EPL listán lévő termékek tanúsítása meghatározott felhasználási célok szerint történik.
  • Az EPL listán lévő termékek biztonságos rendszerek és hálózatok kiépítésére használhatók az Australian Government Information Security Manual (ISM) (Az ausztrál kormány információbiztonsági kézikönyve) által ismertetett módon.
  • A termékek tanúsítása a nemzetközileg elismert ISO 15408 Common Criteria (CC) szerint megy végbe. A CC-portál egyéb, kölcsönösen elfogadott tanúsítással rendelkező termékeket is felsorol, amelyek szintén használhatók.
  • Az ASD tanúsítási irodája, az Australasian Certification Authority (Ausztrál-ázsiai Tanúsítási Hivatal) felügyelete alatt áll az Australasian Information Security Evaluation Program (AISEP) (Ausztrál-ázsiai Információbiztonsági Értékelési Program), amely a jóváhagyott kereskedelmi kiértékelési létesítmények által végzett termékteszteléseket irányítja.
  • Az EPL tartalmazza az ASD Kriptográfiai kiértékeléseit is.

Termék: iOS 9
Terméktípus: Mobiltermékek
Termékállapot: Teljesítve
Biztosíték szintje: Az ASD értékelte
Verzió: 9.3.5 és újabb
Útmutató: PDF

Az Egyesült Királyság kormánya


Az NCSC Commercial Product Assurance - products at foundation grade oldalának összefoglalása:

A CPA megvizsgálja, hogy a kereskedelemben kapható termékek és a termékfejlesztők megfelelnek-e a közzétett biztonsági és fejlesztési elvárásoknak. Az a termék, amely sikeresen megfelelt a vizsgálaton, megkapja a Foundation Grade tanúsítványt. Ez azt jelenti, hogy az adott termékről bebizonyosodott, hogy megfelelő kereskedelmi biztonsági eljárásokat alkalmaz, és hogy alkalmas a kisebb szintű fenyegetettségnek kitett környezetekben történő használatra.

  • A CPA-tanúsítvány 2 évig érvényes, és lehetővé teszi a termékek frissítését a tanúsítvány érvényességi ideje alatt, ha szükség van a biztonsági rések kiküszöbölésére és a frissítésekre. 
  • A CPA-tanúsítványt elfogadja a NATO-katalógus is, és az egyik olyan kiértékelésnek tartják, amely szükséges az EU-katalógushoz.
  • A Foundation Grade fogalmát az NCSC ismerteti bővebben.

Az Egyesült Államok kormánya


A Commercial Solutions for Classified oldalon a következők olvashatók:

Az egyesült államokbeli kormányzati ügyfelek körében egyre nagyobb fokú igény jelentkezik a piacon jelenlévő legmodernebb kereskedelmi hardver- és szoftvertechnológiák nemzetbiztonsági rendszerekben (NSS) való azonnali használatbavételére az átfogó célkitűzések megvalósítása céljából. Ezért a National Security Agency/Central Security Service (NSA/CSS) által működtetett Information Assurance Directorate (IAD) új módszereket dolgoz ki az újonnan megjelenő technológiák hatékony felhasználására, hogy ezáltal hamarabb tudjon olyan információbiztonsági megoldásokat biztosítani, amelyek megfelelnek az ügyfelek gyorsan változó követelményeinek.

Az NSA/CSS Commercial Solutions for Classified (CSfC) nevű programja azért jött létre, hogy a kereskedelmi termékek felhasználhatók legyenek az NSS bizalmas adatainak védelmét szolgáló, rétegesen kialakított megoldásokban. Ezáltal lehetőség nyílik majd a biztonságos kommunikációra a kereskedelmi szabványok alapján egy olyan megoldás keretében, amely évek helyett hónapok leforgása alatt is megvalósítható.

Egyre több olyan bizalmas jellegű környezet van, ahol felmerült az igény az Apple megoldásainak telepítésére, viszont ennek gátat szab a termékek tanúsítási folyamata. Mivel az Apple a Common Criteria tanúsítását használja a fenti Védelmi profilokhoz, az Apple termékei bekerültek a CSfC komponenseket tartalmazó listájába.

Amint megkezdődött a további Apple-termékek Common Criteria szerinti tanúsítása a kapcsolódó védelmi profilokkal, megtörténik az arra irányuló kérvény leadása, hogy a megfelelő Apple-komponensek bekerülhessenek a CSfC komponenseket tartalmazó listájába, és felvesszük őket az alábbi táblázatba.

CSfC-komponenseket tartalmazó lista

A következő Apple-termékek használhatók egy CSfC-megoldásban:

Apple-termékek hozzáadása a terméklistához

Egyre több kormányzati körben kérték, hogy az Apple-termékek felvételre kerüljenek az ő CPA, EPL és CSfC programokhoz hasonló programjaikban. Ha Ön a kormányzati megoldásokat alkalmazó program hivatalos képviselője, és fel szeretné venni az Apple termékeit a saját terméklistájára, lépjen kapcsolatba velünk a következő címen: security-certifications@apple.com.

Egyéb operációs rendszerek

További információk a termékbiztonsággal, a hitelesítéssel és az útmutatókkal kapcsolatban a következőkre vonatkozóan:

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: