Certificări de securitate pentru SEP: Secure Key Store

Acest articol conține referințe pentru certificări ale produselor cheie, validări criptografice și îndrumări importante securitatea pentru procesorul Secure Enclave (SEP): Secure Key Store.

Pe lângă certificatele generale enumerate în acest articol, este posibil să fi fost emise și alte certificate pentru a demonstra cerințe de securitate specifice pentru anumite piețe. 

Dacă ai întrebări, contactează-ne la security-certifications@apple.com.

Procesorul Secure Enclave

Procesorul Secure Enclave este un coprocesor fabricat în cadrul sistemului pe cip (SoC). Acesta utilizează memorie criptată și include un generator hardware de numere aleatorii. Secure Enclave oferă toate operațiunile criptografice pentru gestionarea esențială a protecției datelor și menține integritatea protecției datelor, chiar și atunci când kernel-ul a fost compromis. Comunicarea dintre Secure Enclave și procesorul aplicației este izolată la o cutie poștală declanșată de întreruperi și de memorii-tampon partajate.

Procesorul Secure Enclave include o memorie ROM de inițializare dedicată pentru Secure Enclave. Similară cu memoria ROM de inițializare pentru procesorul aplicației, memoria ROM pentru Secure Enclave este un cod nemodificabil, care stabilește rădăcina de încredere hardware a Secure Enclave.

Procesorul Secure Enclave rulează un sistem de operare Secure Enclave bazat pe o versiune L4 microkernel personalizată de Apple. Acest sistem de operare Secure Enclave este semnat de Apple, verificat de memoria ROM de inițializare a Secure Enclave și actualizat prin intermediul unui proces software personalizat de actualizare.

Exemple de servicii încorporate care utilizează Secure Key Store cu protecție hardware:

  • Deblocarea dispozitivului sau a contului (cu parolă și biometrică)
  • Criptare hardware/Protecția datelor/FileVault (date stocate)
  • Inițializare securizată (Firmware și încrederea și integritatea sistemului de operare)
  • Control hardware al camerei (FaceTime)

Următoarele documente pot fi utile în contextul acestor certificări și validări:

Pentru informații privind certificările publice legate de serviciile Apple pentru internet, consultă:

Pentru informații privind certificările publice legate de aplicațiile Apple, consultă:

Pentru informații privind certificările publice legate de sistemele de operare Apple, consultă:

Pentru informații privind certificările publice legate de componente hardware și firmware asociate, consultă:

Validări ale modulelor criptografice

Toate certificatele de validare Apple în ceea ce privește conformitatea cu norma FIPS 140-2/-3 sunt disponibile pe site-ul web CMVP. Apple se angajează activ în validarea modulelor CoreCrypto și CoreCrypto Kernel în cazul fiecărei ediții majore a sistemelor de operare. Validarea nu poate fi efectuată decât în raport cu o versiune finală de lansare de modul și nu poate fi publicată oficial decât după lansarea publică a sistemului de operare. Informații despre aceste validări sunt disponibile pe pagina sistemului de operare relevant.

Modulul criptografic hardware – Apple SEP Secure Key Store Cryptographic Module – este încorporat în Apple System-On-Chip (SoC) A pentru iPhone și iPad, S pentru Apple Watch Series și T pentru T Security Chip existent pe sistemele Mac începând cu iMac Pro lansat în 2017.

Apple va urmări validarea conform normei FIPS 140-2/-3 Nivel de securitate 3 pentru SEP Secure Key Store Cryptographic Module utilizat de edițiile de sisteme de operare și dispozitivele viitoare.

În 2019, Apple a validat de asemenea modulul hardware conform cerințelor FIPS 140-2 Nivel de securitate 2 și a actualizat identificatorul versiunii modulului la v9.0, pentru a menține sincronizarea cu validările corespunzătoare ale modulelor CoreCrypto User și CoreCrypto Kernel. În 2019: iOS 12, tvOS 12, watchOS 5 și macOS Mojave 10.14.

În 2018, sincronizat cu validarea modulelor criptografice software cu sistemele de operare lansate în 2017: iOS 11, tvOS 11, watchOS 4 și macOS Sierra 10.13, modulul criptografic hardware SEP identificat drept Apple SEP Secure Key Store Cryptographic Module v1.0 a fost validat inițial conform cerințelor normei FIPS 140-2 Nivel de securitate 1.

Toate certificatele de validare Apple în ceea ce privește conformitatea cu norma FIPS 140-2/-3 sunt disponibile pe site-ul web CMVP. Apple se angajează activ în validarea modulelor CoreCrypto și CoreCrypto Kernel în cazul fiecărei ediții majore a unui sistem de operare. Validarea conformității nu poate fi efectuată decât în raport cu o versiune finală de lansare de modul și nu poate fi publicată oficial decât după lansarea publică a sistemului de operare. 

CMVP administrează starea de validare a modulelor criptografice în patru liste separate, în funcție de starea curentă a acestora. Modulele sunt inițiate în Lista Implementation Under Test și continuă în Lista Modules in Process. După validare, acestea apar în lista modulelor criptografice validate, iar după cinci ani sunt transferate în lista modulelor „istorice”.

În 2020, CMVP a adoptat standardul internațional ISO/IEC 19790 drept bază pentru FIPS 140-3.

Pentru mai multe informații despre validările FIPS 140-2/-3, consultă Securitatea platformei Apple.

Platformă/sistem de operare corespondent Număr certificat CMVP Nume modul Tip modul SL Data validării Documente
Consultă Lista Implementation Under Test și Lista Modules in Process pentru modulele în curs de testare/validare.
iOS 12

tvOS 12

watchOS 5

macOS Mojave 10.14
3523 Apple Secure Key Store Cryptographic Module v9.0
(sepOS)
HW 2 10.09.2019
iOS 11

tvOS 11

watchOS 4

macOS High Sierra 10.13
3223 Apple Secure Key Store Cryptographic Module v1.0
(sepOS)
HW 1 10.07.2018

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: