Certificações de segurança do SEP: Secure Key Store

Este artigo contém referências para as principais certificações de produto, validações criptográficas e orientações de segurança para o Secure Enclave Processor (SEP): Secure Key Store.

Além dos certificados gerais informados neste artigo, outros certificados podem ter sido emitidos para atingir requisitos de segurança específicos de alguns mercados. 

Em caso de dúvidas, entre em contato conosco pelo e-mail security-certifications@apple.com.

Secure Enclave Processor

O Secure Enclave Processor é um coprocessador incluído no sistema embarcado (SoC). Ele utiliza memória criptografada e inclui um gerador de números aleatórios. O Secure Enclave fornece todas as operações criptografadas necessárias para o gerenciamento da proteção de dados e mantém a integridade da proteção de dados mesmo que o kernel tenha sido prejudicado. A comunicação entre o Secure Enclave e o processador de aplicativos é isolada por uma caixa de entrada dirigida por interrupções e buffers de dados de memória compartilhada.

O Secure Enclave Processor inclui uma ROM de Inicialização dedicada própria. Semelhante à ROM de Inicialização do processador de aplicativos, a ROM de Inicialização do Secure Enclave é um código imutável que define a raiz confiável do hardware para o Secure Enclave.

O Secure Enclave Processor executa um sistema operacional próprio com base em uma versão personalizada pela Apple do microkernel L4. O sistema operacional do Secure Enclave é assinado pela Apple, verificado pela ROM de Inicialização do Secure Enclave e atualizado por um processo de atualização de software personalizado.

Exemplo de serviços integrados que utilizam o Secure Key Store protegido por hardware:

  • Desbloqueio do dispositivo ou da conta (senha e biometria)
  • Criptografia de hardware/Proteção de dados/FileVault (dados em repouso)
  • Inicialização Segura (confiança e integridade do firmware e do sistema operacional)
  • Controle de hardware da câmera (FaceTime)

Os seguintes documentos podem ser úteis no contexto dessas certificações e validações:

Para obter informações sobre as certificações públicas relacionadas aos Serviços de Internet da Apple, consulte:

Para obter informações sobre as certificações públicas relacionadas aos aplicativos da Apple, consulte:

Para obter informações sobre as certificações públicas relacionadas aos sistemas operacionais da Apple, consulte:

Para obter informações sobre as certificações públicas relacionadas aos componentes de hardware e firmware associado, consulte:

Validações de módulo criptográfico

Todos os Certificados de Validação de Conformidade FIPS 140-2/-3 da Apple estão disponíveis no site do CMVP. A Apple está ativamente envolvida na validação dos módulos CoreCrypto User e CoreCrypto Kernel de cada versão principal do sistema operacional. A validação pode ser executada somente em uma versão final do módulo e formalmente enviada após o lançamento público do sistema operacional. Informações sobre essas validações são encontradas na página relacionada ao sistema operacional.

O módulo criptográfico de hardware (módulo criptográfico Secure Key Store SEP da Apple) é integrado aos seguintes sistemas embarcados da Apple (SoC): A do iPhone e iPad, S do Apple Watch Series e T do chip T Security presente em sistemas Mac do iMac Pro de 2017 em diante.

A Apple adotará o Nível 3 de segurança da FIPS 140-2/-3 para o módulo criptográfico Secure Key Store SEP usado pelas futuras versões dos sistemas operacionais e dispositivos. 

Em 2019, a Apple validou o módulo de hardware em conformidade com os requisitos do Nível de segurança 2 do FIPS 140-2 e atualizou o identificador de versão do módulo para a versão 9.0 para sincronizar com as versões das validações correspondentes dos módulos CoreCrypto User e CoreCrypto Kernel. Em 2019: iOS 12, tvOS 12, watchOS 5 e macOS Mojave 10.14.

Em 2018, sincronizada com a validação dos módulos criptográficos de software incluídos nos sistemas operacionais lançados em 2017: iOS 11, tvOS 11, watchOS 4 e macOS Sierra 10.13. A princípio, o módulo criptográfico de hardware, identificado como o módulo criptográfico Secure Key Store (SEP) 1.0 da Apple, era validado em conformidade com os requisitos do Nível 1 de segurança do FIPS 140-2.

Todos os Certificados de Validação de Conformidade FIPS 140-2/-3 da Apple estão disponíveis no site do CMVP. A Apple está ativamente envolvida na validação dos módulos CoreCrypto User e CoreCrypto Kernel de cada versão principal do sistema operacional. A validação da conformidade só pode ser executada em uma versão final do módulo e enviada formalmente no lançamento público do sistema operacional. 

O CMVP mantém o status de validação dos módulos criptográficos em quatro listas separadas conforme o status atual deles. Os módulos podem começar na Implementation Under Test List (Lista de implementação em teste) e continuar na Modules in Process List (Lista de módulos em processo). Após a validação, eles aparecem na lista de módulos criptografados validados e, após 5 anos, passam para a lista "antigos".

Em 2020, o CMVP adotou o padrão internacional ISO/IEC 19790 como base para o FIPS 140-3.

Para obter mais informações sobre as validações FIPS 140-2/-3, consulte a página Segurança da Plataforma Apple.

Plataforma/Sistema operacional correspondente Número do certificado do CMVP Nome do módulo Tipo de módulo SL Data da validação Documentos
Confira a Implementation Under Test List (Lista de implementação em teste) e a Modules in Process List (lista de módulos em processo) para ver os módulos que estão sendo testados/validados no momento.
iOS 12

tvOS 12

watchOS 5

macOS Mojave 10.14
3523 Módulo criptográfico Secure Key Store 9.0 da Apple
(sepOS)
HW 2 10/set/2019
iOS 11

tvOS 11

watchOS 4

macOS High Sierra 10.13
3223 Módulo criptográfico Secure Key Store 1.0 da Apple
(sepOS)
HW 1 10/jul/2018

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: