Certificazioni di sicurezza per SEP: Secure Key Store

In questo articolo sono riportati i riferimenti alle principali linee guida di sicurezza, convalide crittografiche e certificazioni del prodotto per il Secure Enclave Processor (SEP): Secure Key Store.

Oltre ai certificati generali elencati qui, potrebbero essere stati emessi altri certificati per dimostrare la conformità ai requisiti di sicurezza specifici per alcuni mercati. 

In caso di domande, contattaci all'indirizzo security-certifications@apple.com.

Secure Enclave Processor

Il Secure Enclave Processor è un coprocessore fabbricato all'interno del sistema a circuito integrato (SoC), che utilizza una memoria codificata e include un generatore hardware di numeri casuali. Il Secure Enclave fornisce tutte le operazioni di crittografia per la gestione delle chiavi di Data Protection e ne mantiene l'integrità anche in caso di compromissione del kernel. La comunicazione tra il Secure Enclave e il processore di applicazioni è isolata in una casella di posta basata su interrupt e buffer di dati di memoria condivisa.

Il Secure Enclave Processor include una ROM di avvio Secure Enclave dedicata. Analogamente alla ROM di avvio del processore applicativo, la ROM di avvio Secure Enclave è un codice non modificabile che definisce la radice di affidabilità hardware per il Secure Enclave.

Il Secure Enclave Processor esegue un apposito sistema operativo basato su una versione personalizzata per Apple del microkernel L4. Il sistema operativo Secure Enclave è firmato da Apple, verificato dalla ROM di avvio Secure Enclave e aggiornato attraverso un processo di aggiornamento software personalizzato.

Esempio di alcuni servizi integrati che utilizzano il Secure Key Store protetto da hardware:

  • Sblocco del dispositivo o dell'account (password e dati biometrici)
  • Codifica hardware/Data Protection/FileVault (data-at-rest)
  • Avvio sicuro (affidabilità e integrità di sistema operativo e firmware)
  • Controllo hardware della fotocamera (FaceTime)

Nel contesto di queste certificazioni e convalide possono risultare utili i seguenti documenti:

Per informazioni sulle certificazioni pubbliche relative ai servizi internet Apple, consulta:

Per informazioni sulle certificazioni pubbliche relative alle applicazioni Apple, consulta:

Per informazioni sulle certificazioni pubbliche relative ai sistemi operativi Apple, consulta:

Per informazioni sulle certificazioni pubbliche relative all'hardware e ai componenti firmware associati, consulta:

Convalide dei moduli crittografici

Tutti i certificati Apple di convalida della conformità FIPS 140-2/-3 sono disponibili sul sito web del CMVP. Apple si impegna attivamente nella convalida dei moduli CoreCrypto User e CoreCrypto Kernel per ogni versione principale dei suoi sistemi operativi. La convalida può essere eseguita solo rispetto alla versione finale del modulo e viene formalmente inviata con la versione pubblica del sistema operativo. Le informazioni su queste convalide sono disponibili nella pagina del sistema operativo.

Il modulo crittografico hardware “Apple SEP Secure Key Store Cryptographic Module” è incorporato nei sistemi integrati Apple (SoC) A per iPhone e iPad, S per Apple Watch Series e T per il chip di sicurezza T presente nei sistemi Mac a partire da iMac Pro introdotto nel 2017.

Apple procederà con la convalida FIPS 140-2/-3 livello di sicurezza 3 per il SEP Secure Key Store Cryptographic Module utilizzato dalle versioni del sistema operativo e dai dispositivi disponibili in futuro. 

Nel 2019 Apple ha convalidato il modulo hardware rispetto ai requisiti FIPS 140-2 livello di sicurezza 2 e aggiornato l'identificatore della versione del modulo 9.0 per sincronizzarsi con le versioni delle corrispondenti convalide dei moduli CoreCrypto User e CoreCrypto Kernel. Nel 2019: iOS 12, tvOS 12, watchOS 5 e macOS Mojave 10.14.

Nel 2018, sincronizzato con la convalida dei moduli di crittografia software con i sistemi operativi rilasciati nel 2017: iOS 11, tvOS 11, watchOS 4 e macOS Sierra 10.13, il modulo crittografico hardware SEP identificato come Apple Secure Key Store Cryptographic Module 1.0 è stato inizialmente convalidato rispetto ai requisiti FIPS 140-2 livello di sicurezza 1.

Tutti i certificati Apple di convalida della conformità FIPS 140-2/-3 sono disponibili sul sito web del CMVP. Apple si impegna attivamente nella convalida dei moduli CoreCrypto User e CoreCrypto Kernel per ogni versione principale di un sistema operativo. La convalida della conformità può essere eseguita solo rispetto alla versione finale del modulo e viene formalmente inviata con la versione pubblica del sistema operativo. 

Il CMVP conserva lo stato di convalida dei moduli crittografici in quattro elenchi separati a seconda dello stato attuale. Inizialmente i moduli possono essere disponibili nell'elenco Implementation Under Test List (Implementazione sottoposta a test), per poi essere trasferiti nell'elenco Modules in Process List (Moduli in corso di elaborazione). Una volta convalidati, compaiono nell'elenco dei moduli crittografici convalidati e dopo cinque anni vengono trasferiti nell'elenco “cronologico”.

Nel 2020 il CMVP adotta lo standard internazionale ISO/IEC 19790 come base per FIPS 140-3.

Per ulteriori informazioni sulle convalide FIPS 140-2/-3, consulta la guida Sicurezza delle piattaforme Apple.

Piattaforma/OS corrispondenti Numero certificato CMVP Nome modulo Tipo modulo SL Data convalida Documenti
Per i moduli attualmente in fase di test/convalida, consulta l'elenco Implementation Under Test List e l'elenco Modules in Process List.
iOS 12

tvOS 12

watchOS 5

macOS Mojave 10.14
3523 Apple Secure Key Store Cryptographic Module 9.0
(sepOS)
HW 2 10-09-2019
iOS 11

tvOS 11

watchOS 4

macOS High Sierra 10.13
3223 Apple Secure Key Store Cryptographic Module 1.0
(sepOS)
HW 1 10-07-2018

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: