Certificări ale securității produselor, validări și îndrumări pentru SEP: Secure Key Store.

Acest articol conține referințe pentru certificări ale produselor cheie, validări criptografice și îndrumări importante privind securitatea pentru procesorul Secure Enclave (SEP): Secure Key Store. Dacă ai întrebări, contactează-ne la security-certifications@apple.com.

Procesorul Secure Enclave

Secure Enclave este un coprocesor fabricat în cadrul sistemului pe cip (SoC). Acesta utilizează memorie criptată și include un generator hardware de numere aleatorii. Secure Enclave oferă toate operațiunile criptografice pentru gestionarea esențială a protecției datelor și menține integritatea protecției datelor, chiar și atunci când kernel-ul a fost compromis. Comunicarea dintre Secure Enclave și procesorul aplicației este izolată la o cutie poștală declanșată de întreruperi și de memorii-tampon partajate.

Secure Enclave include o memorie ROM de inițializare dedicată pentru Secure Enclave. Similară cu memoria ROM de inițializare pentru procesorul aplicației, memoria ROM pentru Secure Enclave este un cod nemodificabil, care stabilește rădăcina de încredere hardware a Secure Enclave.

Secure Enclave rulează un SO Secure Enclave bazat pe o versiune personalizată de Apple a L4 microkernel. Acest SO Secure Enclave este semnat de Apple, verificat de memoria ROM de inițializare a Secure Enclave și actualizat prin intermediul unui proces software personalizat de actualizare.

Exemple de servicii încorporate care utilizează Secure Key Store cu protecție hardware:

  • Deblocarea dispozitivului sau a contului (cu parolă și biometrică)
  • Criptare hardware / Protecția datelor / FileVault (date stocate)
  • Inițializare securizată (Firmware și încrederea și integritatea SO-ului)
  • Control hardware al camerei (FaceTime)

Validări ale modulelor criptografice

Toate certificatele de validare Apple în ceea ce privește conformitatea cu norma FIPS 140-2 sunt disponibile pe pagina cu furnizorii care se conformează CMVP. Apple se angajează activ în validarea modulelor CoreCrypto și CoreCrypto Kernel în cazul fiecărei ediții majore de macOS. Validarea nu poate fi efectuată decât în raport cu o versiune finală de lansare de modul și nu poate fi publicată oficial decât după lansarea publică a sistemului de operare. Acum CMVP administrează starea de validare a modulelor criptografice în două liste separate, în funcție de starea lor actuală. Modulele sunt inițiate în Lista Implementation Under Test și continuă în Lista Modules in Process.

Modulul criptografic hardware — Modulul criptografic Apple SEP Secure Key Store — este încorporat în Apple System-On-Chip A pentru iPhone / iPad, S pentru Apple Watch Series și T pentru T Security Chip existent pe sistemele Mac începând cu iMac Pro, introdus în 2017.

FIPS 140-2 Nivel 1 (iOS 11, tvOS 11, watchOS 4 și T2 Firmware - macOS High Sierra 10.13)

Sincronizat cu validarea modulelor criptografice software cu sistemele de operare lansate în 2017: iOS 11, tvOS 11, watchOS 4, și macOS Sierra 10.13. Modulul criptografic hardware identificat ca Apple SEP Secure Key Store Cryptographic Module v1.0 a fost validat inițial conform cerințelor normei FIPS 140-2 Nivel 1.

FIPS 140-2 Nivel 2 (iOS 12, tvOS 12, watchOS 5 și T2 Firmware - macOS Mojave 10.14)

Apple a validat de asemenea modulul hardware conform cerințelor FIPS 140-2 Nivel 2 și a actualizat identificatorul versiunii modulului la v9.0, pentru a menține sincronizarea cu validările corespunzătoare ale modulului software.  

Apple SEP Secure Key Store Cryptographic Module v9.0 a fost validat conform cerințelor normei FIPS 140-2 Nivel 2 cu sistemele de operare lansate în 2018: iOS 12, tvOS 12, watchOS 5 și T2 Firmware inclus în macOS Mojave 10.14.

FIPS 140-2 Nivel 3

Apple va urmări validarea conform normei FIPS 140-2 Nivel 3 pentru modulul criptografic Secure Key Store utilizat de edițiile de sisteme de operare și dispozitivele viitoare. După cum am menționat anterior, modulele încep ciclul de validare în ista Implementation Under Test și apoi continuă la Lista Modules in Process înainte de a apărea în sfârșit în Lista Validated Modules. Revino pentru actualizări.

Certificări de securitate

O listă cu certificările Apple identificate, active și finalizate în mod public.

Certificarea Common Criteria

Obiectivul, așa cum menționează comunitatea Common Criteria, este obținerea unui set de standarde de securitate aprobat la nivel internațional, care să asigure o evaluare transparentă și de încredere a capacităților de securitate ale produselor IT. Furnizând un cadru de evaluare independentă a capacităților unui produs de a respecta standardele de securitate, certificarea Common Criteria le oferă clienților mai multă încredere în securitatea produselor IT și are ca rezultat luarea unor decizii bazate pe o mai bună informare.

Prin intermediul acordului Common Criteria Recognition Arrangement (CCRA), țările membre și regiunile au convenit să recunoască certificarea produselor IT acordându-le același nivel de încredere. Numărul membrilor înscriși, precum și amploarea profilurilor de protecție continuă să crească anual pe măsură ce apar noi tehnologii. Acest acord îi permite unui producător să vizeze obținerea unei singure certificări sub oricare dintre schemele de autorizare.

Profilurile PP (Protection Profiles - Profiluri de protecție) anterioare au fost arhivate și s-a început înlocuirea lor prin dezvoltarea unor profiluri de protecție orientate spre anumite soluții și medii. Într-un efort concertat de a asigura o recunoaștere reciprocă continuă între toți membrii CCRA, comunitatea iTC (International Technical Community - Comunitatea tehnică internațională) stimulează în permanență dezvoltarea și actualizarea profilurilor de protecție viitoare urmând linia profilurilor cPP (Collaborative Protection Profiles - Profiluri de protecție bazate pe colaborare), care sunt dezvoltate din start cu implicarea mai multor scheme.

Apple a început să urmărească obținerea certificărilor prevăzute de această nouă restructurare Common Criteria pentru anumite profiluri de protecție începând din prima parte a anului 2015.

Alte sisteme de operare

Află mai multe despre securitatea produselor, validări și îndrumări pentru:

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: