Certyfikaty zabezpieczeń modułu SEP: Secure Key Store

Ten artykuł zawiera odnośniki do najważniejszych certyfikatów produktów, atestacji kryptograficznych oraz wytycznych dotyczących zabezpieczeń modułu Secure Enclave Processor (SEP): Secure Key Store.

Poza wymienionymi w niniejszym artykule ogólnymi certyfikatami mogły zostać wydane inne certyfikaty w celu przedstawienia specjalnych wymagań w zakresie zabezpieczeń dla niektórych rynków. 

Prosimy o przesyłanie pytań na adres security-certifications@apple.com.

Secure Enclave Processor

Secure Enclave Processor to koprocesor zaprojektowany w ramach układu SoC (system-on-chip). Wykorzystuje zaszyfrowaną pamięć i zawiera sprzętowy generator liczb losowych. Secure Enclave wykonuje wszystkie operacje kryptograficzne dla systemu zarządzania kluczami ochrony danych i zapewnia integralność ochrony danych nawet w przypadku naruszenia jądra. Komunikacja pomiędzy koprocesorem Secure Enclave i procesorem aplikacji jest ograniczona do skrzynki pocztowej sterowanej przerwaniami i wspólnych buforów pamięci.

Secure Enclave Processor zawiera dedykowaną rozruchową pamięć ROM Secure Enclave. Rozruchowa pamięć ROM Secure Enclave to, podobnie jak rozruchowa pamięć ROM procesora aplikacji, niezmienny kod tworzący sprzętowe źródło zaufania dla Secure Enclave.

Secure Enclave Processor uruchamia system operacyjny Secure Enclave oparty na dostosowanej do systemów Apple wersji mikrojądra L4. System operacyjny Secure Enclave jest podpisany przez firmę Apple, zweryfikowany przez rozruchową pamięć ROM Secure Enclave i zaktualizowany w ramach indywidualnego procesu aktualizacji oprogramowania.

Przykłady wbudowanych usług wykorzystujących zabezpieczany sprzętowo moduł Secure Key Store:

  • Odblokowywanie urządzenia lub konta (hasło i metody biometryczne)
  • Szyfrowanie sprzętowe / ochrona danych / FileVault (dane nieaktywne)
  • Bezpieczny rozruch (zaufane i integralne systemy operacyjne i sprzęt)
  • Sprzętowe sterowanie aparatem (FaceTime)

Następujące dokumenty mogą być przydatne w kontekście tych certyfikatów i atestacji:

Informacje na temat publicznych certyfikatów związanych z usługami internetowymi Apple można znaleźć na stronie:

Informacje na temat publicznych certyfikatów związanych z aplikacjami Apple można znaleźć na stronie:

Informacje na temat publicznych certyfikatów związanych z systemami operacyjnymi Apple można znaleźć na stronach:

Informacje na temat publicznych certyfikatów związanych ze sprzętem i powiązanym z nim oprogramowaniem sprzętowym można znaleźć na stronach:

Weryfikacja modułów kryptograficznych

Wszystkie certyfikaty zgodności produktów firmy Apple ze standardem FIPS 140-2/-3 znajdują się na stronie programu CMVP. Apple aktywnie angażuje się w weryfikowanie modułów kryptograficznych CoreCrypto User i CoreCrypto Kernel we wszystkich głównych wersjach systemów operacyjnych. Weryfikacja może zostać przeprowadzona wyłącznie na ostatecznej wersji modułu i formalnie złożona wraz z oficjalną premierą systemu operacyjnego. Informacje na temat weryfikacji są dostępne na stronach poszczególnych systemów operacyjnych.

Sprzętowy moduł kryptograficzny — Apple SEP Secure Key Store Cryptographic Module — jest wbudowany w układ Apple System-On-Chip (SoC) A dla telefonu iPhone / iPada, S dla zegarka Apple Watch Series i T dla czipu zabezpieczeń T w systemach Mac, począwszy od komputera iMac Pro wprowadzonego w 2017 r.

Firma Apple planuje uzyskać zgodność ze standardem FIPS 140-2/-3 Security Level 3 dla modułu kryptograficznego SEP Secure Key Store Cryptographic Module w przyszłych wersjach systemów operacyjnych i urządzeń. 

W 2019 r. firma Apple zweryfikowała moduł sprzętowy zgodnie z wymaganiami FIPS 140-2 Security Level 2 i zaktualizowała go do wersji 9.0 w celu synchronizacji z odpowiednimi atestacjami modułów CoreCrypto User i CoreCrypto Kernel. W 2019 r.: iOS 12, tvOS 12, watchOS 5 i macOS Mojave 10.14.

W 2018 r. dokonano synchronizacji z atestacją programowych modułów kryptograficznych z systemami operacyjnymi wprowadzonymi w 2017 r.: iOS 11, tvOS 11, watchOS 4 i macOS Sierra 10.13. Moduł kryptograficzny SEP oznaczony jako Apple SEP Secure Key Store Cryptographic Module 1.0 został początkowo zweryfikowany zgodnie z wymaganiami FIPS 140-2 Security Level 1.

Wszystkie certyfikaty zgodności produktów firmy Apple ze standardem FIPS 140-2/-3 znajdują się na stronie programu CMVP. Apple aktywnie angażuje się w weryfikowanie modułów kryptograficznych CoreCrypto User i CoreCrypto Kernel we wszystkich głównych wersjach systemu operacyjnego. Weryfikacja zgodności może zostać przeprowadzona wyłącznie na ostatecznej wersji modułu i formalnie złożona wraz z oficjalną premierą systemu operacyjnego. 

W programie CMVP stan weryfikacji modułów kryptograficznych znajduje się na czterech odrębnych listach w zależności od ich bieżącego statusu. Moduły początkowo mogą znajdować się na liście wdrożeń poddawanych testom, a następnie zostają przeniesione na listę modułów w toku. Po zakończeniu weryfikacji pojawiają się na liście zweryfikowanych modułów kryptograficznych, a po upływie pięciu lat zostają przeniesione na listę „historyczną”.

W 2020 r.w programie CMVP przyjęto międzynarodową normę ISO/IEC 19790 jako podstawę dla standardu FIPS 140-3.

Więcej informacji na temat weryfikacji zgodności ze standardem FIPS 140-2/-3 można znaleźć na stronie Bezpieczeństwo platform Apple.

Platforma / system operacyjny Numer certyfikatu CMVP Nazwa modułu Rodzaj modułu Poziom usług Data weryfikacji Dokumenty
Jeśli chcesz dowiedzieć się, które moduły są obecnie testowane/weryfikowane, zapoznaj się z listą wdrożeń poddawanych testom i listą modułów w toku.
iOS 12

tvOS 12

watchOS 5

System macOS Mojave 10.14
3523 Apple Secure Key Store Cryptographic Module 9.0
(sepOS)
Sprzętowy 2 10.09.2019
iOS 11

tvOS 11

watchOS 4

macOS High Sierra 10.13
3223 Apple Secure Key Store Cryptographic Module 1.0
(sepOS)
Sprzętowy 1 10.07.2018

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: