Beveiligingscertificeringen voor SEP: Secure Key Store

Dit artikel bevat referenties voor de certificering van de belangrijkste producten, cryptografische validaties en beveiligingsrichtlijnen voor de Secure Enclave Processor (SEP): Secure Key Store.

Naast de hier vermelde algemene certificaten zijn mogelijk ook andere certificaten afgegeven met het oog op specifieke beveiligingseisen in bepaalde landen. 

Neem bij vragen contact met ons op via security-certifications@apple.com.

Secure Enclave Processor

De Secure Enclave Processor is een coprocessor die is ingebouwd in the SoC-architectuur (System-on-Chip). De coprocessor maakt gebruik van versleuteld geheugen en is voorzien van een hardware-gebaseerde generator van willekeurige getallen. De Secure Enclave biedt alle cryptografische bewerkingen voor het sleutelbeheer ten behoeve van gegevensbeveiliging en houdt de integriteit van de gegevensbeveiliging in stand, zelfs als de kernel besmet is geraakt. Communicatie tussen de Secure Enclave en de applicatieprocessor is geïsoleerd binnen een interrupt-gestuurde postbus en gegevensbuffers voor gedeeld geheugen.

De Secure Enclave Processor is uitgerust met een speciale Secure Enclave Boot ROM. Vergelijkbaar met de Boot ROM van de applicatieprocessor, voert de Secure Enclave Boot ROM niet-muteerbare code uit waarmee het vertrouwen tot stand wordt gebracht in de hardware-root voor de Secure Enclave.

De Secure Enclave Processor voert een Secure Enclave-besturingssysteem uit dat is gebaseerd op een door Apple aangepaste versie van de L4-microkernel. Dit Secure Enclave-besturingssysteem is ondertekend door Apple, wordt geverifieerd door de Secure Enclave Boot ROM en bijgewerkt via een gepersonaliseerd updateproces.

Enkele voorbeelden van de ingebouwde voorzieningen die gebruikmaken van de hardware-beveiligde Secure Key Store:

  • Ontgrendelen van apparaat of account (wachtwoord en biometrische gegevens)
  • Hardware-encryptie / Gegevensbeveiliging / FileVault (gegevens op het device)
  • Veilig opstarten (vertrouwen en integriteit van firmware en besturingssysteem)
  • Hardware-gestuurde camera (FaceTime)

De volgende documenten kunnen nuttig zijn in verband met deze certificeringen en validaties:

Voor informatie over openbare certificeringen met betrekking tot internetvoorzieningen van Apple, zie:

Voor informatie over openbare certificeringen met betrekking tot Apple programma's, zie:

Voor informatie over openbare certificeringen met betrekking tot besturingssystemen van Apple, zie:

Voor informatie over openbare certificeringen met betrekking tot hardware- en bijbehorende firmwareonderdelen, zie:

Validatie van cryptografische modules

Alle Apple FIPS 140-2/-3 Conformance Validation Certificates staan op de CMVP-website. Apple houdt zich actief bezig met de validatie van de modules CoreCrypto User en CoreCrypto Kernel voor elke belangrijke release van de besturingssystemen. Validatie kan alleen worden uitgevoerd op een definitieve releaseversie van de module en kan alleen formeel worden ingediend na de openbare release van het OS. Informatie over deze validaties vindt u op de pagina van het relevante besturingssysteem.

De cryptografische hardwaremodule – Apple SEP Secure Key Store cryptografische module – wordt standaard meegeleverd in de Apple System-on-Chip (SoC) A voor iPhone en iPad, S voor de Apple Watch Series en T voor de T Security-chip in Mac-systemen, met ingang van iMac Pro-modellen geïntroduceerd in 2017.

Apple streeft ernaar om te voldoen aan FIPS 140-2/-3 Beveiligingsniveau 3 voor de Secure Key Store cryptografische module die in toekomstige releases van besturingssystemen en apparaten wordt gebruikt. 

In 2019 heeft Apple de hardwaremodule gevalideerd aan de hand van de vereisten van FIPS 140-2 Beveiligingsniveau 2 en de moduleversie-ID bijgewerkt naar v9.0, om deze te synchroniseren met de versies van de overeenkomstige gevalideerde CoreCrypto User- en CoreCrypto Kernel-modules. In 2019: iOS 12, tvOS 12, watchOS 5 en macOS Mojave 10.14.

In 2018, gesynchroniseerd met de validatie van de cryptografische softwaremodules in de besturingssystemen uitgebracht in 2017: iOS 11, tvOS 11, watchOS 4 en macOS Sierra 10.13. De cryptografische SEP-hardwaremodule, aangeduid als de Apple SEP Secure Key Store cryptografische module v1.0, werd aanvankelijk gevalideerd aan de hand van de vereisten van FIPS 140-2 Beveiligingsniveau 1.

Alle Apple FIPS 140-2/-3 Conformance Validation Certificates staan op de CMVP-website. Apple houdt zich actief bezig met de validatie van de modules CoreCrypto User en CoreCrypto Kernel voor elke belangrijke release van een besturingssysteem. Validatie van de conformiteit kan alleen worden uitgevoerd op een definitieve releaseversie van de module en kan alleen formeel worden ingediend na de openbare release van het OS. 

De CMVP houdt de validatiestatus van cryptografische modules bij in vier afzonderlijke lijsten, afhankelijk van hun huidige status. De modules komen in eerste instantie mogelijk in de Implementation Under Test List en komen vervolgens in de Modules in Process List. Nadat ze zijn gevalideerd, komen ze in de Validated Cryptographic Modules List. Na vijf jaar verhuizen ze naar de 'historische' lijst.

In 2020 heeft de CMVP de internationale norm ISO/IEC 19790 aangenomen als basis voor FIPS 140-3.

Zie Apple Platform Security voor meer informatie over FIPS 140-2/-3-validaties.

Overeenkomstig platform/besturingssysteem CMVP-certificaatnummer Modulenaam Moduletype SL Validatiedatum Documenten
Raadpleeg de Implementation Under Test List en de Modules in Process List voor modules die op dit moment worden getest/gevalideerd.
iOS 12

tvOS 12

watchOS 5

macOS Mojave 10.14
3523 Apple Secure Key Store Cryptographic Module v9.0
(sepOS)
HW 2 10-09-2019
iOS 11

tvOS 11

watchOS 4

macOS High Sierra 10.13
3223 Apple Secure Key Store Cryptographic Module v1.0
(sepOS)
HW 1 10-07-2018

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: