Beveiligingscertificering van producten, validaties en richtlijnen voor iOS

Apple neemt actief deel aan de validatie van de CoreCrypto v9.0-modules die worden gebruikt in iOS 12, dat later dit jaar verkrijgbaar is.

• Apple cryptografische modules met FIPS-validatie v8.0
• Apparaten die compatibel zijn met iOS
• Crypto Officer Role Guide for FIPS 140-2 Compliance for ARM (pdf)
• #3148: CoreCrypto Modulecertificaat en beveiligingsbeleid
• #3147: CoreCrypto Kernel Modulecertificaat en beveiligingsbeleid

• v1.0 — #3223: Apple SEP Secure Key Store cryptografische module

• Cryptografische modules met FIPS-validatie v7.0 van Apple voor iOS
• Apparaten die compatibel zijn met iOS
• Crypto Officer Role Guide for FIPS 140-2 Compliance iOS 10 (pdf)
• CoreCrypto #2827: Modulecertificaat en beveiligingsbeleid (pdf)
• CoreCrypto Kernel #2828: Modulecertificaat en beveiligingsbeleid (pdf)

• Cryptografische modules met FIPS-validatie v6.0 van Apple voor iOS 9
• Compatibele apparaten
• Crypto Officer Role Guide for FIPS 140-2 Compliance iOS 9 (pdf)
• CoreCrypto #2594: Modulecertificaat en beveiligingsbeleid (pdf)
• CoreCrypto Kernel #2609: Modulecertificaat en beveiligingsbeleid (pdf)

Deze vorige iOS-versies hadden cryptografische modulevalidaties en zijn nu gearchiveerd:

• iOS 8
• iOS 7

DE (BSI)
Configuratie-aanbeveling

VK (NCSC)
EUD Security Guidance: iOS 11

VS (DISA, NIST, NSA)
Apple iOS 10 ISCG
SCAP-on-Apple
CIS: Center for Internet Security

AU (ASD)
iOS Hardening Guidance
iOS Hardening Guide (pdf)
iOS Hardening Guide (iBook)

NZ (GCSB)
iOS Hardening Guidance
iOS Hardening Guide (pdf)
iOS Hardening Guide (iBook)

 

Apple is ISO 27001- en ISO 27018-gecertificeerd voor het Information Security Management System voor de infrastructuur, ontwikkeling en bewerkingen die deze producten en voorzieningen ondersteunen: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, beheerde Apple ID's, Siri en Schoolwork, in overeenstemming met het Statement of Applicability v2.1, d.d. 11 juli 2017. BSI (British Standards Institution) heeft gecertificeerd dat Apple voldoet aan de ISO-standaarden. Op de website van BSI staan de nalevingscertificaten voor ISO 27001 en ISO 27018.

Het doel, zoals geformuleerd door de Common Criteria-community, is dat een internationaal goedgekeurde reeks beveiligingsnormen een duidelijke en betrouwbare evaluatie van de beveiligingsmogelijkheden van IT-producten biedt. Door de externe beoordeling van de mogelijkheden van een product om aan de veiligheidsnormen te voldoen, geeft een Common Criteria-certificering de klant meer vertrouwen in de veiligheid van een IT-product en heeft deze meer informatie om een beslissing te nemen.

Via een Common Criteria Recognition Arrangement (CCRA) zijn de deelnemende landen overeengekomen de certificering van IT-producten te erkennen met hetzelfde vertrouwen. Het aantal leden en de omvang en reikwijdte van beschermingsprofielen blijven jaarlijks groeien om aan de opkomende technologie te voldoen. Met deze overeenkomst kan een productontwikkelaar een bepaalde certificering nastreven die aan elk machtigingsschema voldoet.

Eerdere beschermingsprofielen zijn gearchiveerd en worden gaandeweg vervangen door de ontwikkeling van doelgerichte beschermingsprofielen die zijn gericht op specifieke oplossingen en omgevingen. In een gezamenlijke inspanning om een wederzijdse herkenning tussen alle CCRA-leden te behouden, blijft de iTC (International Technical Community) alle ontwikkelingen en updates van beschermingsprofielen in de toekomst stimuleren om cPP's (Collaborative Protection Profiles) te verkrijgen die vanaf het begin met meerdere schema's zijn ontwikkeld.

Apple streeft sinds het begin van 2015 naar certificeringen onder deze nieuwe Common Criteria-herstructurering met bepaalde beschermingsprofielen. De certificeringen van Apple die openbaar geïdentificeerd, actief en voltooid zijn, vindt u in de lijst hieronder. 

Zoals in het overzicht op de pagina EPL - Evaluated Products List wordt vermeld:

De Australian Signals Directorate (ASD) houdt de Evaluated Products List (EPL) van ICT-beveiligingsproducten bij die worden geëvalueerd door ASD voor gebruik door overheidsinstellingen in Australië en Nieuw-Zeeland.

• Producten op de EPL zijn gecertificeerd voor bepaalde doeleinden.
• Producten op de EPL worden mogelijk gebruikt om beveiligde systemen en netwerken te ontwikkelen zoals wordt beschreven in de Australian Government Information Security Manual (ISM).
• Producten worden gecertificeerd aan de hand van de internationaal erkende ISO 15408 Common Criteria (CC). Het CC Portal bevat andere producten met gelijkwaardig erkende certificeringen die ook kunnen worden gebruikt.
• Het certificeringskantoor van ASD, de Australasian Certification Authority, controleert het Australasian Information Security Evaluation Program (AISEP) waarmee producttests worden uitgevoerd door gelicentieerde commerciële evaluatiefaciliteiten.
• Op de EPL staan ook de Cryptographic Evaluations van ASD.

Product: iOS 9
Producttype: mobiele producten
Productstatus: voltooid
Verzekeringsniveau: beoordeeld door ASD
Versie: 9.3.5 of hoger
Handleiding: pdf

Zoals in het overzicht op de pagina Commercial Product Assurance van NCSC - producten op basisniveau staat:

CPA evalueert commerciële standaardproducten en de ontwikkelaars van deze producten aan de hand van gepubliceerde beveiligings- en ontwikkelingsstandaarden. Een beveiligingsproduct dat als goed wordt beoordeeld, krijgt het certificaat Foundation Grade. Dit betekent dat het product heeft aangetoond een goede commerciële beveiligingspraktijk te bevatten en dat het geschikt is voor omgevingen met een laag dreigingsniveau.

• CPA-certificering is 2 jaar geldig en producten mogen worden bijgewerkt tijdens de geldigheid van de certificering naarmate kwetsbaarheden ontstaan en updates vereist zijn. 
• CPA-certificering wordt geaccepteerd door de NAVO-catalogus en wordt erkend als een van de benodigde evaluaties voor de EU-catalogus.
• Foundation Grade wordt verder uitgelegd door NCSC.

Zoals staat op de pagina Commercial Solutions for Classified:

Klanten van Amerikaanse overheidsinstellingen vereisen steeds meer dat de meest moderne commerciële hardware- en softwaretechnologie die verkrijgbaar is op de markt, wordt gebruikt in National Security Systems (NSS) om de doelstellingen te verwezenlijken. Daarom is de Information Assurance Directorate (IAD) van de National Security Agency/Central Security Service (NSA/CSS) bezig met de ontwikkeling van nieuwe manieren om opkomende technologie zo te gebruiken dat meer tijdige IA-oplossingen voor snel evoluerende klantvereisten worden geleverd.

Het programma Commercial Solutions for Classified (CSfC) van NSA/CSS is opgesteld zodat commerciële producten kunnen worden gebruikt in gelaagde oplossingen die geclassificeerde NSS-gegevens beschermen. Hierdoor kan veilig worden gecommuniceerd op basis van commerciële standaarden in een oplossing die in maanden, en niet jaren, kan worden ingezet.

Steeds meer geclassificeerde omgevingen willen Apple oplossingen inzetten, maar worden hierin belemmerd door een gebrek aan productcertificeringen. Het streven van Apple naar Common Criteria-certificeringen bij het gebruik van de bovenstaande beschermingsprofielen heeft ervoor gezorgd dat de Apple producten op de CSfC-onderdelenlijst voorkomen en beschikbaar zijn.

Zodra extra Common Criteria-certificeringen van Apple producten zijn begonnen voor elk van de gerelateerde beschermingsprofielen, worden de bijbehorende Apple onderdelen ingediend ter goedkeuring voor vermelding op de CSfC-onderdelenlijst en toevoeging aan de onderstaande tabel.