Produktsikkerhetssertifiseringer, valideringer og veiledning for iOS

Apple er aktivt engasjert i valideringen av CoreCrypto v9.0-moduler brukt i iOS 12, som kommer senere i år.

• Apple FIPS kryptografiske moduler v8.0
• iOS-kompatible enheter
• Rolleveiledning for kryptoansvarlig for FIPS 140-2-samsvar for ARM (PDF)
• #3148: Retningslinjer for sertifikat og sikkerhet for CoreCrypto-modulen
• #3147: CoreCrypto Kernel Module certificate and security policy

• v1.0 – #3223: Apple SEP Secure Key Store Cryptographic Module

• Apple iOS FIPS kryptografiske moduler v7.0
• iOS-kompatible enheter
• Rolleveiledning for kryptoansvarlig for FIPS 140-2-samsvar for iOS 10 (PDF)
• CoreCrypto #2827: Modulsertifikat og sikkerhetspolicy (PDF)
• CoreCrypto Kernel #2828: Modulsertifikat og sikkerhetspolicy (PDF)

• Apple iOS FIPS kryptografiske moduler v6.0
• Samsvarende enheter
• Rolleveiledning for kryptoansvarlig for FIPS 140-2-samsvar for iOS 9 (PDF)
• CoreCrypto #2594: Modulsertifikat og sikkerhetspolicy (PDF)
• CoreCrypto Kernel #2609: Modulsertifikat og sikkerhetspolicy (PDF)

Disse tidligere iOS-versjonene hadde kryptografisk modulvalidering og er nå arkivert:

• iOS 8
• iOS 7

DE (BSI)
Konfigurasjonsanbefaling

Storbritannia (NCSC)
Sikkerhetsveiledning for sluttbrukeres enheter: iOS 11

USA (DISA, NIST, NSA)
Apple iOS 10 ISCG
SCAP-on-Apple
CIS: Center for Internet Security

AU (ASD)
iOS Hardening Guidance (iOS-forsterkningsveiledning)
iOS Hardening Guide (iOS-forsterkningsveiledning) (PDF)
iOS Hardening Guide (iBook) (Veiledning for iOS-herding)

NZ (GCSB)
iOS Hardening Guidance (iOS-forsterkningsveiledning)
iOS Hardening Guide (iOS-forsterkningsveiledning) (PDF)
iOS Hardening Guide (iBook) (Veiledning for iOS-herding)

 

Apple har fått ISO 27001- og ISO 27018-sertifiseringen for administreringssystemet for informasjonssikkerhet for infrastrukturen, utviklingen og operasjonene som støtter disse produktene og tjenestene: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, administrerte Apple-ID-er, Siri og Schoolwork – i henhold til Statement of Applicability v2.1 (anvendelighetskunngjøringen) datert 11. juli 2017. Apples samsvar med ISO-standarden ble sertifisert av British Standards Institution. BSI-nettstedet har sertifikater om samsvar for ISO 27001 og ISO 27018.

Målet, slik det er formulert av Common Criteria-fellesskapet, er et internasjonalt godkjent sett av sikkerhetsstandarder for å få en klar og pålitelig vurdering av sikkerhetsegenskapene til informasjonsteknologiprodukter. Ved å gi en uavhengig vurdering av et produkts evne til å oppfylle sikkerhetsstandarder, gir en Common Criteria-sertifisering kundene større trygghet med hensyn til sikkerheten i informasjonsteknologiprodukter, og fører til mer informerte beslutninger.

Gjennom en CCRA-avtale (Common Criteria Recognition Arrangement) har medlemsland og -regioner blitt enige om å anerkjenne sertifiseringen av informasjonsteknologiprodukter med samme nivå av tiltro. Antall medlemskap fortsetter å vokse hvert år, og det samme gjør dybden og bredden i beskyttelsesprofilene for å ta høyde for nye teknologier. Denne avtalen gjør det mulig for en produktutvikler å ta sikte på én enkelt sertifisering under en av autorisasjonsordningene.

Tidligere beskyttelsesprofiler (Protection Profiles, PP) er arkivert og har begynt å bli erstattet gjennom utvikling av målrettede beskyttelsesprofiler som fokuserer på bestemte løsninger og miljøer. Med en samordnet innsats for å sikre fortsatt gjensidig anerkjennelse på tvers av alle CCRA-medlemmer fortsetter iTC (International Technical Community) arbeidet med å styre all PP-utvikling og -oppdatering i retning av samkjørte profiler (Collaborative Protection Profiles, cPP) som helt fra begynnelsen av er utviklet med involvering fra flere hold.

Apple begynte å søke sertifiseringer i henhold til denne Common Criteria-restruktureringen med utvalgte beskyttelsesprofiler i begynnelsen av 2015. Apples offentlige identifiserte, aktive og fullførte sertifiseringer er oppført nedenfor. 

Som oppsummert på siden for listen over evaluerte produkter (EPL):

ASD (The Australian Signals Directorate) opprettholder den evaluerte produktlisten (EPL) over ICT-sikkerhetsprodukter som er evaluert av ASD for bruk av statlige byråer i Australia og New Zealand.

• Produkter oppført på EPL er sertifisert for bestemte formål.
• Produkter oppført på EPL kan brukes til å bygge sikre systemer og nettverk som beskrevet i de australske myndighetenes Information Security Manual (ISM) (Veiledning for sikkerhetsinformasjon).
• Produkter er sertifisert i henhold den internasjonalt anerkjente til ISO 15408 Common Criteria (CC). CC-portalen har oppført andre produkter med gjensidig anerkjente sertifiseringer som også kan brukes.
• Sertifiseringskontoret for ASD – Australasian Certification Authority – overvåker AISEP (Australasian Information Security Evaluation Program) som administrer produkttesting av lisensierte kommersielle evalueringsanlegg.
• EPL inneholder også ASDs kryptografiske evalueringer.

Produkt: iOS 9
Produkttype: Mobilprodukter
Produktstatus: Fullført
Sikkerhetsnivå: Evaluert av ASD
Versjon: 9.3.5 eller nyere
Veiledning: PDF

Som oppsummert fra NCSC-siden Commercial Product Assurance - products at foundation grade:

CPA evaluerer kommersielle produkter fra andre produsenter og utviklerne deres mot publiserte standarder for sikkerhet og utvikling. Et sikkerhetsprodukt som har bestått evalueringen, får en «Foundation Grade»-sertifisering. Dette betyr at produktet har bevist god kommersiell sikkerhetspraksis og er passende for miljøer på lavere trusselnivå.

• En CPA-sertifisering er gyldig i 2 år og tillater at produktet oppdateres i løpet av sertifiseringsperioden etter hvert som nye sårbarheter og oppdateringer krever det. 
• En CPA-sertifisering godtas av NATO-katalogen og er anerkjent som en av de nødvendige evalueringene for EU-katalogen.
• «Foundation Grade» forklares nærmere av NCSC.

Som det står oppført på siden Commercial Solutions for Classified:

Amerikanske forvaltningskunder krever i økende grad umiddelbar bruk av markedets mest moderne kommersielle maskinvare- og programvare innenfor National Security Systems (NSS) for å oppfylle sentrale målsetninger. Følgelig utvikler Information Assurance Directorate (IAD) hos National Security Agency/Central Security Service (NSA/CSS) nye måter å utnytte nye teknologier på, for å levere mer tidsriktige IA-løsninger i samsvar med stadig endrede krav fra kunder.

NSA/CSSs program Commercial Solutions for Classified (CSfC) er etablert for å kunne bruke kommersielle produkter i lagdelte løsninger som beskytter klassifiserte NSS-data. Det gir muligheten til å kommunisere sikkert basert på kommersielle standarder i en løsning som kan implementeres i løpet av måneder i stedet for år.

Det er et stadig økende antall klassifiserte miljøer som har ønsket å ta i bruk Apple-løsninger, men som har holdt tilbake av produktsertifiseringsårsaker. Apples søknader om Common Criteria-sertifiseringer i henhold til beskyttelsesprofilene som er angitt ovenfor, har gjort det mulig for Apple-produkter å bli ført opp og gjort tilgjengelig i CSfC-komponentlisten.

Når ytterligere Common Criteria-sertifiseringer av Apple-produkter har startet i henhold til hver av de aktuelle beskyttelsesprofilene, blir de tilsvarende Apple-komponentene sendt til godkjenning på CSfC-komponentlisten og lagt til i tabellen nedenfor.