Certificazioni di sicurezza del prodotto, convalide e indicazioni per SEP: Secure Key Store

Questo articolo contiene riferimenti per le certificazioni dei prodotti chiave, le convalide crittografiche e le indicazioni di sicurezza per Secure Enclave Processor (SEP): Secure Key Store. In caso di domande, contattaci all'indirizzo security-certifications@apple.com.

Secure Enclave Processor

Secure Enclave è un coprocessore fabbricato all'interno di un sistema a circuito integrato (SoC), che utilizza una memoria crittografata e include un generatore hardware di numeri casuali. Secure Enclave fornisce tutte le operazioni di crittografia per la gestione delle chiavi di Data Protection e ne mantiene l'integrità anche in caso di compromissione del kernel. La comunicazione tra Secure Enclave e il processore applicativo è isolata da una casella di posta basata su interrupt e buffer di dati di memoria condivisa.

Secure Enclave include una ROM di avvio Secure Enclave dedicata. Analogamente alla ROM di avvio del processore applicativo, la ROM di avvio Secure Enclave è un codice non modificabile che definisce la radice di affidabilità hardware per Secure Enclave.

Secure Enclave esegue un apposito sistema operativo basato su una versione personalizzata per Apple del microkernel L4. Il sistema operativo Secure Enclave è firmato da Apple, verificato dalla ROM di avvio di Secure Enclave e aggiornato attraverso un processo di aggiornamento software personalizzato.

Esempio di alcuni servizi incorporati che utilizzano il Secure Key Store protetto da hardware:

  • Sblocco del dispositivo o dell'account (password e dati biometrici)
  • Crittografia hardware/Data Protection/FileVault (data-at-rest)
  • Avvio sicuro (affidabilità e integrità di sistema operativo e firmware)
  • Controllo hardware della fotocamera (FaceTime)

Convalide dei moduli crittografici

Tutti i certificati Apple di convalida della conformità FIPS 140-2 sono disponibili nella pagina dei fornitori CMVP. Apple si impegna attivamente nella convalida dei moduli CoreCrypto e CoreCrypto Kernel per ogni versione principale di macOS. La convalida può essere eseguita solo rispetto alla versione finale del modulo e viene formalmente inviata con la versione pubblica del sistema operativo. CMVP ora conserva lo stato di convalida dei moduli crittografici in due elenchi separati, a seconda dello stato corrente. Inizialmente i moduli sono disponibili nell'elenco Implementation Under Test List (Implementazione sottoposta a test), poi vengono trasferiti nell'elenco Modules in Process List (Moduli in corso di elaborazione).

Il modulo crittografico hardware “Modulo di crittografia Apple SEP Secure Key Store” è incorporato nei sistemi integrati Apple A per iPhone/iPad, S per Apple Watch Series e T per il chip di sicurezza T presente nei sistemi Mac a partire da iMac Pro introdotto nel 2017.

FIPS 140-2 livello 1 (iOS 11, tvOS 11, watchOS 4 e firmware T2 - macOS High Sierra 10.13)

Sincronizzato con la convalida dei moduli di crittografia software con i sistemi operativi rilasciati nel 2017: iOS 11, tvOS 11, watchOS 4 e macOS Sierra 10.13. Il modulo di crittografia hardware identificato come modulo crittografico Apple SEP Secure Key Store 1.0 è stato inizialmente convalidato rispetto ai requisiti FIPS 140-2 livello 1.

FIPS 140-2 livello 2 (iOS 12, tvOS 12, watchOS 5 e firmware T2 - macOS Mojave 10.14)

Apple ha inoltre convalidato il modulo hardware rispetto ai requisiti FIPS 140-2 livello 2 e aggiornato l'identificatore della versione del modulo a 9.0 per mantenere la sincronizzazione con le corrispondenti convalide del modulo software.  

Il modulo di crittografia Apple SEP Secure Key Store 9.0 è stato convalidato rispetto ai requisiti FIPS 140-2 livello 2 con i sistemi operativi rilasciati nel 2018: iOS 12, tvOS 12, watchOS 5 e firmware T2 in bundle con macOS Mojave 10.14.

FIPS 140-2 livello 3

Apple procederà con FIPS 140-2 livello 3 per il modulo crittografico dell'archivio di chiavi sicuro utilizzato da versioni del sistema operativo e dispositivi disponibili in futuro. Come indicato in precedenza, il ciclo di convalida dei moduli inizia nell'elenco di test in corso per implementazione  per poi proseguire con l'elenco moduli in elaborazione e infine concludersi nell'elenco moduli convalidati. Ricontrollo degli aggiornamenti.

Certificazioni di sicurezza

Elenco delle certificazioni ottenute da Apple riconosciute, attive e completate.

Certificazione Common Criteria

L'obiettivo, come dichiarato dalla community Common Criteria, è quello di disporre di una serie di standard di sicurezza approvati a livello internazionale per fornire una valutazione chiara e affidabile delle capacità di sicurezza dei prodotti informatici. Fornendo una valutazione indipendente della capacità di un prodotto di soddisfare gli standard di sicurezza, la certificazione Common Criteria aumenta la fiducia dei clienti nella sicurezza dei prodotti informatici consentendo loro di prendere decisioni più informate.

Il CCRA (Common Criteria Recognition Arrangement) è un accordo di mutuo riconoscimento delle certificazioni dei prodotti informatici sottoscritto in diversi Paesi e aree geografiche. I Paesi aderenti aumentano di anno in anno, così come il livello di dettaglio e ampiezza dei profili di protezione per estendere la protezione alle tecnologie emergenti. Questo accordo consente a uno sviluppatore di prodotti di ottenere un'unica certificazione in base a uno degli Schemi di autorizzazione.

I profili di protezione (PP) precedenti sono stati archiviati ed è iniziata la loro sostituzione con profili di protezione mirati, dedicati a soluzioni e ambienti specifici. Con un impegno concertato al fine di assicurare il continuo riconoscimento reciproco tra tutti i membri CCRA, la comunità tecnica internazionale (iTC) continua a orientare tutti i futuri sviluppi e aggiornamenti verso l'adozione dei profili di protezione collaborativi (cPP), sviluppati sin dal principio sulla base di più schemi.

Apple ha iniziato a certificare i prodotti in base al nuovo orientamento dei Common Criteria per specifici profili di protezione all'inizio del 2015.

Altri sistemi operativi

Scopri di più su linee guida, convalide e certificazioni di sicurezza per:

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: