Sertifikasi keamanan produk, validasi, dan panduan untuk SEP: Secure Key Store

Artikel ini berisi referensi sertifikasi produk utama, validasi kriptografi, dan panduan keamanan untuk SEP (Secure Enclave Processor): Secure Key Store. Hubungi kami di security-certifications@apple.com jika Anda memiliki pertanyaan.

Secure Enclave Processor

Secure Enclave merupakan prosesor cadangan yang dibuat dalam sistem pada chip (SoC). Prosesor ini menggunakan memori terenkripsi dan mencakup generator nomor acak perangkat keras. Secure Enclave menyediakan semua operasi kriptografi untuk manajemen kunci Perlindungan Data dan menjaga integritas Perlindungan Data meskipun kernel telah diretas. Komunikasi antara Secure Enclave dan prosesor aplikasi terisolasi pada kotak surat berbasis interupsi dan buffer data memori bersama.

Secure Enclave terdiri atas ROM Boot Secure Enclave khusus. Sama seperti ROM Boot prosesor aplikasi, ROM Boot Secure Enclave adalah kode tetap yang menghasilkan akar kepercayaan perangkat keras terhadap Secure Enclave.

Secure Enclave menjalankan Secure Enclave OS berdasarkan versi mikrokernel L4 yang disesuaikan Apple. Secure Enclave OS ini ditetapkan oleh Apple, diverifikasi oleh ROM Boot Secure Enclave, lalu diperbarui melalui proses pembaruan perangkat lunak khusus.

Beberapa contoh layanan internal yang memanfaatkan Secure Key Store yang dilindungi perangkat keras:

  • Membuka kunci perangkat atau akun (sandi & biometrik)
  • Enkripsi Perangkat Keras/Perlindungan Data/FileVault (Data Tidak Aktif)
  • Secure Boot (Kepercayaan serta Integritas Firmware dan OS)
  • Kontrol kamera perangkat keras (FaceTime)

Validasi modul kriptografi

Semua Sertifikasi Validasi Kepatuhan Apple FIPS 140-2 ada di halaman vendor CMVP. Apple terlibat aktif dalam validasi modul CoreCrypto dan CoreCrypto Kernel untuk setiap rilis utama macOS. Validasi hanya dapat dilakukan terhadap versi rilis modul akhir dan diserahkan secara resmi setelah rilis publik OS. CMVP sekarang mengelola status validasi modul kriptografi dalam dua daftar terpisah, tergantung pada statusnya saat ini. Modul dimulai dari Penerapan dalam Daftar Uji, lalu dilanjutkan ke Modul dalam Daftar Proses.

Modul Kriptografi Perangkat Keras — Modul Kriptografi Secure Key Store SEP Apple — disematkan dalam System-On-Chip Apple A untuk iPhone/iPad, S untuk Apple Watch Series, dan T untuk Chip Keamanan T yang ditemukan di sistem Mac mulai dari iMac Pro yang diperkenalkan tahun 2017.

FIPS 140-2 Tingkat 1 (iOS 11, tvOS 11, watchOS 4, dan Firmware T2 - macOS High Sierra 10.13)

Disinkronisasi dengan validasi modul kriptografi perangkat lunak menggunakan sistem operasi yang dirilis tahun 2017: iOS 11, tvOS 11, watchOS 4, dan macOS Sierra 10.13. Modul kriptografi perangkat keras yang diidentifikasi sebagai Modul Kriptografi Secure Key Store SEP Apple v1.0 yang awalnya divalidasi menurut persyaratan FIPS 140-2 Tingkat 1.

FIPS 140-2 Tingkat 2 (iOS 12, tvOS 12, watchOS 5, dan Firmware T2 - macOS Mojave 10.14)

Apple juga telah memvalidasi modul perangkat keras menurut persyaratan FIPS 140-2 Tingkat 2 dan memperbarui pengidentifikasi versi modul ke v9.0 agar tetap tersinkronisasi dengan validasi modul perangkat lunak yang sesuai.  

Modul Kriptografi Secure Key Store SEP Apple v9.0 telah divalidasi menurut persyaratan FIPS 140-2 Tingkat 2 dengan sistem operasi yang dirilis tahun 2018: iOS 12, tvOS 12, watchOS 5, dan Firmware T2 yang dibundel dengan macOS Mojave 10.14.

FIPS 140-2 Tingkat 3

Apple akan mengejar FIPS 140-2 Tingkat 3 untuk modul kriptografi secure key store yang digunakan oleh rilis dan perangkat sistem operasi mendatang. Sebagaimana telah disebutkan sebelumnya, modul akan memulai masa validasinya dalam Daftar Uji Coba Berdasarkan Penerapan, lalu diproses ke Modul dalam Daftar Proses sebelum akhirnya muncul di Daftar Modul tervalidasi. Periksa kembali pembaruan.

Sertifikasi keamanan

Daftar sertifikasi Apple yang dikenal secara luas, aktif, dan lengkap.

Sertifikasi Common Criteria

Tujuannya, sebagaimana dinyatakan oleh komunitas Common Criteria, adalah agar serangkaian standar keamanan yang disetujui secara global dapat memberikan evaluasi yang jelas dan tepercaya mengenai kemampuan keamanan berbagai produk Teknologi Informasi. Dengan menyediakan penilaian kemampuan produk secara independen untuk memenuhi standar keamanan, Sertifikasi Common Criteria memberikan kepercayaan lebih bagi pelanggan dalam hal keamanan dari produk Teknologi Informasi dan mengarah pada keputusan yang lebih berdasar.

Melalui CCRA (Pengelolaan Pengakuan Common Criteria), negara dan kawasan anggota telah setuju untuk mengakui sertifikasi produk Teknologi Informasi tersebut dengan tingkat kepercayaan yang sama. Keanggotaan bersama dengan dalam dan luasnya Profil Perlindungan akan terus bertambah setiap tahun untuk menjawab teknologi yang terus berkembang. Persetujuan ini mengizinkan pengembang produk untuk mengejar sertifikasi tunggal dalam salah satu Skema Pengesahan.

PP (Profil Perlindungan) sebelumnya telah diarsipkan dan mulai digantikan dengan perkembangan Profil Perlindungan bertarget yang berfokus pada lingkungan dan solusi spesifik. Dalam upaya yang dilakukan bersama untuk memastikan pengakuan bersama yang berkelanjutan di seluruh anggota CCRA, iTC (International Technical Community) terus mendorong semua perkembangan PP di masa mendatang serta pembaruannya kepada cPP (Collaborative Protection Profiles) yang dikembangkan dari awal dengan keterlibatan dari berbagai skema.

Apple mulai mengejar sertifikasi di dalam penstrukturan ulang Common Criteria baru ini dengan PP yang dipilih sejak awal 2015.

Sistem operasi lainnya

Pelajari lebih lanjut mengenai keamanan, validasi, dan panduan produk untuk:

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: