Sertifikasi, validasi, dan panduan keamanan produk untuk iOS

Artikel ini berisi referensi untuk sertifikasi produk utama, validasi kriptografi, dan panduan keamanan untuk platform iOS. Hubungi kami di security-certifications@apple.com jika Anda memiliki pertanyaan.

Validasi modul kriptografi

Semua Sertifikasi Validasi Kepatuhan Apple FIPS 140-2 ada di halaman vendor CMVP. Apple terlibat secara aktif dalam validasi modul CoreCrypto dan CoreCrypto Kernel untuk setiap rilis utama iOS. Validasi hanya dapat dilakukan terhadap versi rilis modul akhir dan diserahkan secara resmi setelah rilis publik OS. CMVP sekarang mengelola status validasi modul kriptogarafi dalam dua daftar terpisah, tergantung pada statusnya saat ini. Modul dimulai dari Penerapan dalam Daftar Uji, lalu dilanjutkan ke Modul dalam Daftar Proses.

iOS 12

Apple terlibat secara aktif dalam validasi modul CoreCrypto v9.0 yang digunakan di iOS 12 yang akan hadir tahun ini.

Versi sebelumnya

Versi iOS sebelumnya ini memiliki validasi modul kriptografi dan kini diarsipkan:

  • iOS 8
  • iOS 7

Panduan konfigurasi keamanan

Organisasi yang berfokus pada keamanan memberikan panduan yang tegas dan teliti mengenai cara mengonfigurasi berbagai platform untuk penggunaan yang diterima. Panduan Konfigurasi Keamanan memberikan gambaran umum mengenai fitur di macOS dan iOS yang dapat digunakan untuk meningkatkan perlindungan, hal ini disebut "memperkuat perangkat". Pemerintah di seluruh dunia telah bekerja sama dengan Apple dan mengembangkan panduan yang dirancang untuk memberikan petunjuk dan rekomendasi untuk memelihara lingkungan yang lebih aman. 

Untuk menggunakan panduan tersebut, sebaiknya Anda merupakan pengguna berpengalaman atau administrator sistem, mengetahui antarmuka pengguna, dan memiliki pengetahuan kerja mengenai alat pengelola untuk platform target tersebut. Akan bermanfaat jika Anda mengetahui konsep jaringan dasar. Beberapa petunjuk tertentu di dalam panduan sangat rumit dan penyimpangan dapat menyebabkan dampak negatif atau pengurangan perlindungan. Lakukan tes secara menyeluruh terhadap semua perubahan yang Anda lakukan pada pengaturan perangkat sebelum menggunakannya.

Pelajari lebih lanjut dalam Panduan Keamanan iOS (PDF).

Sertifikasi keamanan

Daftar sertifikasi Apple yang dikenal secara luas, aktif, dan lengkap.

Sertifikasi ISO 27001 dan 27018

Apple telah menerima sertifikasi ISO 27001 dan ISO 27018 untuk Sistem Manajemen Keamanan Informasi bagi infrastruktur, pengembangan, dan operasi yang mendukung produk serta layanan berikut: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, ID Apple Terkelola, Siri dan Schoolwork, sesuai Pernyataan Daya Terap v2.1 tertanggal 11/07/2017. Kepatuhan Apple terhadap standar ISO telah disertifikasi oleh Lembaga Standardisasi Inggris. Situs web BSI memiliki sertifikat kepatuhan untuk ISO 27001 dan ISO 27018.

Sertifikasi Common Criteria

Tujuannya, seperti yang dinyatakan oleh komunitas Common Criteria adalah agar serangkaian standar keamanan yang disetujui secara global dapat memberikan evaluasi yang jelas dan tepercaya mengenai kemampuan keamanan berbagai produk Teknologi Informasi. Dengan menyediakan penilaian kemampuan produk secara independen untuk memenuhi standar keamanan, Sertifikasi Common Criteria memberikan kepercayaan lebih bagi pelanggan dalam hal keamanan dari produk Teknologi Informasi dan mengarah pada keputusan yang lebih berdasar.

Melalui CCRA (Pengelolaan Pengakuan Common Criteria), negara anggota telah menyetujui untuk mengakui sertifikasi produk Teknologi Informasi tersebut dengan tingkat kepercayaan yang sama. Keanggotaan bersama dengan dalam dan luasnya Profil Perlindungan akan terus bertambah setiap tahun untuk menjawab teknologi yang terus berkembang. Persetujuan ini mengizinkan pengembang produk untuk mengejar sertifikasi tunggal dalam salah satu Skema Pengesahan.

Profil Perlindungan (PP) sebelumnya telah diarsipkan dan mulai digantikan dengan perkembangan Profil Perlindungan tertarget yang berfokus pada lingkungan dan solusi spesifik. Dalam usaha yang dilakukan bersama untuk memastikan pengakuan bersama yang berkelanjutan di seluruh anggota CCRA, International Technical Community (iTC) terus mendorong semua perkembangan PP di masa mendatang serta pembaruannya kepada Collaborative Protection Profiles (cPP) yang dikembangkan dari awal dengan keterlibatan dari berbagai skema.

Apple mulai mengejar sertifikasi di dalam penstrukturan ulang Common Criteria baru ini dengan PP yang dipilih sejak awal 2015. Sertifikasi Apple yang dikenal secara luas, aktif, dan lengkap tercantum di bawah ini. 

iOS 11

 

Profil Perlindungan

VID

Penyelesaian

Perangkat Seluler

PP_MD_v3.1

10851

30.03.2018

MDM Agent

EP_MDM_Agent_v3.0

10851

30.03.2018

WLAN Agent

PP_WLAN_CLI_EP_v1.0

10851

30.03.2018

Klien VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

10.05.2018

Perangkat Lunak Aplikasi (Kontak)

PP_APP_v1.2

10915

ETA: 08.2018

Browser (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA: 08.2018

Versi sebelumnya

Versi iOS sebelumnya telah memiliki sertifikasi yang sekarang diarsipkan:

  • iOS 10
  • iOS 9

Pembaruan versi utama yang diterbitkan hingga Profil Perlindungan oleh komunitas Common Criteria secara umum diharapkan dapat mengikuti ritme 12-18 bulan dengan tambahan atau Security Functional Requirements (SFR) yang diperbarui.

Dalam Portal Common Criteria, Anda dapat menemukan daftar lengkap Profil Perlindungan (PPs), Profil Perlindungan Kolaboratif (cPPs) beserta tanggal berlakunya. Anda juga dapat menemukannya di bagian Skema pilihan seperti National Information Assurance Partnership (NIAP) yang merupakan skema AS.

Disetujui untuk penggunaan pemerintah

Informasi dari negara tertentu yang memiliki perangkat yang disetujui untuk penggunaan pemerintah.

Pemerintah Australia


Seperti dirangkum dari halaman EPL (Daftar Produk Terevaluasi):

Australian Signals Directorate (ASD) mengelola Daftar Produk Terevaluasi (EPL) dari produk keamanan ICT yang dievaluasi oleh ASD untuk penggunaan badan pemerintah Australia dan Selandia Baru.

  • Produk di EPL disertifikasi untuk keperluan khusus.
  • Produk di EPL dapat digunakan untuk membangun sistem dan jaringan aman seperti yang dijelaskan dalam ISM (Information Security manual) Pemerintah Australia.
  • Produk telah disertifikasi berdasarkan ISO 15408 Common Criteria (CC) yang diakui secara internasional. Portal CC mencantumkan produk lain dengan sertifikasi yang saling diakui yang juga dapat digunakan.
  • Kantor sertifikasi ASD, Australasian Certification Authority, mengawasi AISEP (Australasian Information Security Evaluation Program) yang akan menjalankan pengujian produk dengan fasilitas evaluasi komersial berlisensi.
  • EPL juga mencantumkan Evaluasi Kriptografi ASD.

Produk: iOS 9
Jenis produk: Produk Seluler
Status Produk: Selesai
Tingkat Jaminan: Dinilai oleh ASD
Versi: 9.3.5 atau lebih tinggi
Panduan: PDF

Pemerintah Inggris


Seperti yang dirangkum dari halaman Jaminan Produk Komersial - produk di tingkat dasar NCSC:

CPA mengevaluasi produk komersial yang sudah jadi dan pengembangnya menurut standar dan pengembangan keamanan yang diterbitkan. Produk keamanan yang berhasil dinilai diberi sertifikasi Tingkat Dasar. Hal ini berarti produk tersebut telah terbukti mendemonstrasikan praktik keamanan komersial yang baik dan cocok untuk lingkungan dengan ancaman yang lebih rendah.

  • Sertifikasi CPA berlaku untuk 2 tahun dan memungkinkan produk diperbarui selama masa sertifikasi karena kerentanan dan pembaruan diperlukan. 
  • Sertifikasi CPA diterima oleh katalog NATO dan diakui sebagai salah satu evaluasi yang diperlukan untuk katalog UE.
  • Tingkat Dasar dijelaskan lebih lanjut oleh NCSC.

Pemerintah AS


Seperti yang dinyatakan di halaman Commercial Solutions for Classified:

Pelanggan Pemerintah AS terus-menerus meminta penggunaan mendesak atas teknologi perangkat lunak dan perangkat keras komersial paling modern di pasaran di dalam National Security Systems (NSS) untuk dapat mencapai sasaran misi. Akibatnya, Information Assurance Directorate (IAD) milik National Security Agency/Central Security Service's (NSA/CSS) mengembangkan cara baru untuk memanfaatkan teknologi yang berkembang guna memberikan solusi IA yang lebih tepat waktu dalam memenuhi kebutuhan pelanggan yang berkembang dengan cepat.

Program NSA/CSS, Commercial Solutions for Classified (CSfC), telah didirikan untuk mengaktifkan produk komersial agar dapat digunakan dalam solusi berlapis untuk melindungi data NSS rahasia. Cara ini akan memberikan kemampuan untuk berkomunikasi dengan aman berdasarkan standar komersial dalam solusi yang dapat diterapkan dalam hitungan bulan, bukan tahun.

Sejumlah lingkungan rahasia yang semakin bertambah ingin menerapkan solusi Apple, namun tertahan karena alasan sertifikasi produk. Dengan Apple yang mengejar Sertifikasi Common Criteria menurut Profil Perlindungan yang disebutkan di atas telah memungkinkan produk Apple dicantumkan dan tersedia di Daftar Komponen CSfC.

Setelah Sertifikasi Common Criteria tambahan untuk produk Apple dimulai menurut setiap profil perlindungan terkait, komponen Apple terkait akan diserahkan untuk diterima di Daftar Komponen CSfC dan ditambahkan ke data di bawah ini.

Daftar Komponen CSfC

Produk Apple berikut memenuhi syarat untuk digunakan dalam solusi CSfC:

Menambahkan produk Apple ke Daftar Produk Anda

Sejumlah lingkungan pemerintah yang semakin bertambah telah meminta agar produk Apple diajukan ke program mereka, serupa dengan CPA, EPL, dan CSfC. Jika Anda merupakan badan sah dari program solusi pemerintah dan tertarik untuk mendapatkan produk Apple di Daftar Produk yang setara, hubungi kami di security-certifications@apple.com.

Sistem operasi lainnya

Pelajari lebih lanjut mengenai keamanan, validasi, dan panduan produk untuk:

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: