Sikkerhetssertifiseringer for SEP: Secure Key Store

Denne artikkelen inneholder referanser til viktige produktsertifiseringer, kryptografiske valideringer og sikkerhetsveiledning for Secure Enclave Processor (SEP): Secure Key Store.

I tillegg til de generelle sertifikatene som er oppført her, kan andre sertifikater ha blitt utstedt for å demonstrere spesifikke sikkerhetskrav for noen markeder. 

Kontakt oss på security-certifications@apple.com hvis du har spørsmål.

Secure Enclave Processor

Secure Enclave Processor er en koprosessor laget i systemet på chipen (SoC). Den bruker kryptert minne og inneholder en maskinvarebasert generator for tilfeldige numre. Secure Enclave sørger for alle kryptografiske operasjoner for Data Protection-nøkkelhåndtering, og den ivaretar integriteten til Data Protection selv om kjernen er blitt kompromittert. Kommunikasjon mellom Secure Enclave og programprosessoren er isolert til en forstyrrelsesdrevet postkasse og delte minnedata-buffere.

Secure Enclave Processor inneholder en dedikert Secure Enclave Boot ROM. På samme måte som programprosessoren Boot ROM er Secure Enclave Boot ROM fast kode som etablerer den maskinvarebaserte godkjenningsroten til Secure Enclave.

Secure Enclave Processor kjører et Secure Enclave-operativsystem som er basert på en Apple-tilpasset versjon av L4-mikrokjernen. Dette Secure Enclave-operativsystemet er signert av Apple, verifisert av Secure Enclave Bot ROM og oppdatert gjennom en tilpasset prosess for programvareoppdatering.

Et eksempel på noen innebygde tjenester som benytter seg av den maskinvarebeskyttede Secure Key Store:

  • Opplåsing av enhet eller konto (passord og biometrisk)
  • Maskinvarekryptering/databeskyttelse/FileVault (data under lagring)
  • Sikker oppstart (godkjenning og integritet av maskinvare og operativsystem)
  • Maskinvarekontroll av kamera (FaceTime)

Følgende dokumenter kan være nyttige i sammenheng med disse sertifiseringene og valideringene:

Hvis du vil ha informasjon om offentlige sertifiseringer relatert til Apple Internet Services, kan du se:

Hvis du vil ha informasjon om offentlige sertifiseringer relatert til Apple-applikasjoner, kan du se:

Hvis du vil ha informasjon om offentlige sertifiseringer relatert til Apple-operativsystemer, kan du se:

Hvis du vil ha informasjon om offentlige sertifiseringer relatert til maskinvare og tilhørende firmwarekomponenter, kan du se:

Validering av kryptografiske moduler

Alle sertifikater for validering av Apple FIPS 140-2/-3-samsvar kan finnes på CMVP-nettstedet. Apple er aktiv når det gjelder valideringen av CoreCrypto- og CoreCrypto Kernel-moduler for alle større utgivelser av operativsystemene. Validering kan bare utføres for en endelig versjon av en modulutgivelse og sendes inn formelt ved offentlig OS-utgivelse. Informasjon om disse valideringene finner du på den aktuelle operativsystemsiden.

Den kryptografiske modulen for maskinvare – Apple SEP Secure Key Store Cryptographic Module – kommer innebygd i Apple System-On-Chip (SoC) A for iPhone og iPad, S for Apple Watch-serien og T for T Security Chip på Mac-systemer fra og med iMac Pro fra 2017.

Apple har planer om å oppnå FIPS 140-2/-3 Security Level 3 for den kryptografiske SEP Secure Key Store-modulen brukt av fremtidige operativsystemversjoner og enheter. 

I 2019 har Apple validert maskinvaremodulen mot kravene i FIPS 140-2 Security Level 2 og oppdatert modulversjonsidentifikatoren til v9.0 for å synkronisere med versjonene av de tilhørende valideringene av CoreCrypto User- og CoreCrypto Kernel-modulene. I 2019: iOS 12, tvOS 12, watchOS 5 og macOS Mojave 10.14.

I 2018: Synkronisert med valideringen av de kryptografiske modulene for programvare med operativsystemene som ble lansert i 2017: iOS 11, tvOS 11, watchOS 4 og macOS Sierra 10.13. Den kryptografiske SEP-modulen for maskinvare som ble identifisert som Apple SEP Secure Key Store kryptografisk modul v1.0, ble opprinnelig validert mot FIPS 140-2 Security Leve 1-krav.

Alle sertifikater for validering av Apple FIPS 140-2/-3-samsvar kan finnes på CMVP-nettstedet. Apple er aktiv når det gjelder valideringen av CoreCrypto- og CoreCrypto Kernel-moduler for alle større utgivelser av et operativsystem. Validering kan bare utføres for en endelig versjon av en modulutgivelse og sendes inn formelt ved offentlig OS-utgivelse. 

CMVP opprettholder valideringsstatusen for kryptografiske moduler under fire separate lister, avhengig av deres nåværende status. Modulene kan begynne i Implementering under test-listen og deretter fortsette til Moduler underveis-listen. Når de er validert, vises de i listen over validerte kryptografiske moduler, og etter fem år flyttes de til den historiske listen.

I 2020 vedtok CMVP den internasjonale standarden, ISO / IEC 19790, som grunnlag for FIPS 140-3.

For mer informasjon om FIPS 140-2/-3-valideringer, se Apple-plattformsikkerhet.

Tilhørende plattform/operativsystem CMVP-sertifikatnummer Modulnavn Modultype SL Valideringsdato Dokumenter
Sjekk Implementering under test-listen og Moduler underveis-listen for moduler som for øyeblikket testes/valideres.
iOS 12

tvOS 12

watchOS 5

macOS Mojave 10.14
3523 Apple Secure Key Store Cryptographic Module v9.0
(sepOS)
HW 2 2019-09-10
iOS 11

tvOS 11

watchOS 4

macOS High Sierra 10.13
3223 Apple Secure Key Store Cryptographic Module v1.0
(sepOS)
HW 1 2018-07-10

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: