Сертификация приложений Apple по требованиям безопасности
В этой статье содержатся ссылки на ресурсы с информацией о сертификации ключевых продуктов и проверке криптографических модулей, а также на рекомендации в области безопасности приложений Apple в составе операционной системы.
В дополнение к общим сертификатам, перечисленным здесь, возможно, были выпущены другие сертификаты, подтверждающие соответствие определенным требованиям безопасности для некоторых рынков.
Если у вас есть вопросы, свяжитесь с нами по адресу security-certifications@apple.com.
В контексте данных сертификаций и проверок могут быть полезны следующие документы.
Сведения о сертификации интернет-сервисов Apple в соответствии с открытыми требованиями см. в следующей статье.
Сведения о сертификации приложений Apple в соответствии с открытыми требованиями см. в следующей статье.
Сведения о сертификации операционных систем Apple в соответствии с открытыми требованиями см. в следующих статьях.
Сертификация продуктов с операционной системой iOS по требованиям безопасности
Сертификация продуктов с операционной системой iPadOS по требованиям безопасности
Сертификация продуктов с операционной системой macOS по требованиям безопасности
Сертификация продуктов с операционной системой watchOS по требованиям безопасности
Сертификация продуктов с операционной системой tvOS по требованиям безопасности
Сведения о сертификации аппаратного обеспечения и связанных с ним прошивок в соответствии с открытыми требованиями см. в следующих статьях.
Сертификаты безопасности для SEP (защищенного хранилища ключей)
Сертификация процессора Apple T2 по требованиям безопасности
Проверки криптографических модулей
Все сертификаты, подтверждающие соответствие продукции Apple требованиям стандартов FIPS 140-2/-3, опубликованы на веб-сайте программы CMVP. Компания Apple активно участвует в проверке модулей CoreCrypto User и CoreCrypto Kernel для каждого основного выпуска операционной системы. Проверка подтверждения соответствия выполняется только для окончательных версий модулей. Результаты передаются на официальное рассмотрение после выпуска ОС.
Состояние проверки криптографических модулей в CMVP указывается в четырех отдельных списках в зависимости от текущего состояния. Сначала модули могут попасть в список тестируемых реализаций, а затем переходят в список обрабатываемых модулей. После проверки они переносятся в список проверенных криптографических модулей, а через пять лет перемещаются в архивный список.
В 2020 году в рамках программы CMVP международный стандарт ISO/IEC 19790 будет принят в качестве основы для FIPS 140-3.
Дополнительные сведения о проверках на соответствие требованиям стандартов FIPS 140-2/-3 см. в статье Безопасность платформы Apple.
Собственные приложения Apple обращаются к криптографическим модулям, которые были проверены в составе базовой платформы. Сведения о них содержатся в таблице ниже.
| Номер сертификата CMVP | Название модуля | Тип модуля | Уровень безопасности | Дата проверки | Документы |
---|---|---|---|---|---|---|
См. список тестируемых реализаций и список обрабатываемых модулей. | ||||||
iOS 12 | Модуль Apple CoreCrypto Kernel версии 9.0 для устройств с процессорами ARM | Программный | 1 | 23.04.2019 | ||
Модуль Apple CoreCrypto User версии 9.0 для устройств с процессорами ARM | Программный | 1 | 11.04.2019 | |||
Криптографический модуль защищенного хранения ключей Apple версии 9.0(sepOS) | Аппаратный | 2 | 10.09.2019 | |||
iOS 11 | Модуль Apple CoreCrypto User версии 8.0 для устройств с процессорами ARM | Программный | 1 | 09.03.201822.05.201806.07.2018 | ||
Модуль Apple CoreCrypto Kernel версии 8.0 для устройств с процессорами ARM | Программный | 1 | 09.03.201817.05.201803.07.2018 | |||
Криптографический модуль защищенного хранения ключей Apple версии 1.0(sepOS) | Аппаратный | 1 | 10.09.2019 |
Сертификация в соответствии с требованиями стандарта «Общие критерии»
В рамках партнерства NIAP оценка соответствия обычно поддерживается в списке продукции, соответствующей требованиям, в течение двух лет. После этого выполняется повторный анализ соответствия в соответствии с действующей политикой поддержания соответствия требованиям. На портале стандарта «Общие критерии» продукты могут присутствовать в списке сертифицированных продуктов в течение пяти лет.
Перечисленные на портале «Общие критерии»
Дополнительные сведения о сертификации на соответствие требованиям стандарта «Общие критерии» см. в документе Безопасность платформы Apple.
В 2018 году компания Apple ввела систему анализа безопасности для ключевых приложений на базе iOS 11 с помощью браузера Safari и приложений «Контакты». Компания Apple продолжала выполнять анализ приложений, работающих на базе iOS 12 в 2019 году и iOS 13 в 2020 году.
Компания Apple будет и в дальнейшем проводить анализ безопасности ключевых приложений в следующих выпусках операционной системы.
| ИД схемы | Название | Профили защиты | Дата сертификации | Документы |
---|---|---|---|---|---|
Опубликованные в настоящее время оценки NIAP доступны на странице Продукты, проходящие оценкуПродукты, проходящие оценку | |||||
iOS 13 | 11060 | Apple iOS 13 и iPadOS 13: Safari | Профиль защиты для ПО приложенияРасширенный пакет для браузеров | 05.06.2020 | |
11050 | Apple iOS 13 и iPadOS 13: приложение «Контакты» | PP для ПО приложения | 05.06.2020 | ||
iOS 12 | 10960 | iOS 12, Safari | Профиль защиты для ПО приложенияРасширенный пакет для браузеров | 12.06.2019 | |
10961 | iOS 12, приложение «Контакты» | PP для ПО приложения | 28.02.2019 | ||
iOS 11 | 10916 | iOS 11, Safari | Профиль защиты для ПО приложенияРасширенный пакет для браузеров | 09.11.2018 | |
10915 | iOS 11, приложение «Контакты» | PP для ПО приложения | 13.09.2018 |
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.