Certifikácie, overenia a poradenstvo týkajúce sa zabezpečenia produktov pre komponent SEP: Secure Key Store

Tento článok obsahuje odkazy na kľúčové certifikácie produktov, kryptografické overenia a bezpečnostné pokyny pre komponent Secure Enclave Processor (SEP): Secure Key Store. V prípade akýchkoľvek otázok nás kontaktujte na adrese security-certifications@apple.com.

Procesor Secure Enclave

Secure Enclave je koprocesor vyrobený s použitím technológie SoC (System on Chip). Používa šifrovanú pamäť a obsahuje hardvérový generátor náhodných čísel. Procesor Secure Enclave zaisťuje všetky kryptografické operácie pre správu kľúčov služby Ochrana dát a zachováva integritu služby Ochrana dát aj v prípade narušenia zabezpečenia jadra. Komunikácia medzi procesorom Secure Enclave a aplikačným procesorom je obmedzená na poštovú schránku riadenú prerušeniami a medzipamäte na dáta zdieľanej pamäte.

Procesor Secure Enclave obsahuje vyhradenú spúšťaciu pamäť ROM Secure Enclave. Podobne ako spúšťacia pamäť ROM aplikačného procesoru tvorí aj spúšťaciu pamäť ROM Secure Enclave nezmeniteľný kód, ktorý vytvára hardvérový koreň dôveryhodnosti pre procesor Secure Enclave.

V procesore Secure Enclave beží operačný systém Secure Enclave založený na verzii mikrojadra L4 upravenej pre zariadenia Apple. Tento operačný systém Secure Enclave je podpísaný spoločnosťou Apple, je overený spúšťacou pamäťou ROM Secure Enclave a Boot ROM a aktualizuje sa prostredníctvom personalizovaného procesu aktualizácie softvéru.

Príklad niektorých vstavaných služieb, ktoré využívajú hardvérovo chránené úložisko Secure Key Store:

  • Odomknutie zariadenia alebo účtu (heslo a biometrická ochrana)
  • Hardvérové šifrovanie/Ochrana dát/FileVault (údaje v pokojovom stave)
  • Zabezpečené štartovanie (dôveryhodnosť a integrita firmvéru a operačného systému)
  • Hardvérové ovládanie kamery (FaceTime)

Overenia kryptografických modulov

Všetky certifikáty overenia súladu s normou FIPS 140-2 týkajúce sa spoločnosti Apple sú uvedené na stránke dodávateľov programu CMVP. Spoločnosť Apple sa aktívne podieľa na overovaní modulov CoreCrypto a CoreCrypto Kernel v každom hlavnom vydaní systému macOS. Overovanie sa vykonáva až po finálnej vydanej verzii modulu. Modul sa na schválenie predkladá po verejnom vydaní operačného systému. V programe CMVP sa teraz stav overenia kryptografických modulov uvádza v dvoch samostatných zoznamoch v závislosti od ich aktuálneho stavu. Moduly sa najskôr zaradia do zoznamu Implementation Under Test List (Zoznam testovaných implementácií) a potom prejdú do zoznamu Modules in Process List (Zoznam spracúvaných modulov).

Hardvérový kryptografický modul (Apple SEP Secure Key Store Cryptographic Module) sa dodáva vstavaný v komponente Apple System-On-Chip A v prípade iPhonu/iPadu, S v prípade hodiniek Apple Watch Series a T v prípade bezpečnostného čipu T, ktorý sa v systémoch Mac používa počínajúc iMacom Pro uvedeným na trh v roku 2017.

Norma FIPS 140-2, úroveň 1 (iOS 11, tvOS 11, watchOS 4 a firmvér T2 – macOS High Sierra 10.13)

Je v synchronizovanom stave s overovaním softvérových kryptografických modulov s operačnými systémami vydanými v roku 2017: iOS 11, tvOS 11, watchOS 4 a macOS Sierra 10.13. Hardvérový kryptografický modul s názvom Apple SEP Secure Key Store Cryptographic Module, verzia 1.0, bol pôvodne overený podľa požiadaviek normy FIPS 140-2 úrovne 1.

Norma FIPS 140-2, úroveň 2 (iOS 12, tvOS 12, watchOS 5 a firmvér T2 – macOS Mojave 10.14)

Spoločnosť Apple taktiež overila hardvérový modul podľa požiadaviek normy FIPS 140-2 úrovne 2 a aktualizovala identifikátor verzie modulu na hodnotu v9.0, aby sa zachovala synchronizovanosť so zodpovedajúcimi overeniami softvérového modulu.  

Modul Apple SEP Secure Key Store Cryptographic Module v9.0 bol overený podľa požiadaviek normy FIPS 140-2 úrovne 2 pre operačné systémy vydané v roku 2018: iOS 12, tvOS 12, watchOS 5 a firmvér T2 v balíku so systémom macOS Mojave 10.14.

Norma FIPS 140-2, úroveň 3

Spoločnosť Apple bude pre modul Secure Key Store Cryptographic Module používaný verziami operačných systémov a zariadeniami v budúcnosti presadzovať normu FIPS 140-2 úrovne 3. Ako bolo uvedené vyššie, moduly začínajú svoju životnosť overovania v zozname Implementation Under Test List (Zoznam testovaných implementácií), potom prejdú do zoznamu Modules in Process List (Zoznam spracúvaných modulov) a nakoniec sa zaradia do zoznamu Validated Modules List (Zoznam overených modulov). Kontrolujte, či nie sú k dispozícii aktualizácie.

Certifikácie zabezpečenia

Zoznam verejne známych, aktívnych a dokončených certifikácií spoločnosti Apple.

Certifikácia Common Criteria

Cieľom tejto certifikácie (ako ho uvádza komunita Common Criteria) je vytvoriť medzinárodne schválenú skupinu štandardov zabezpečenia, ktoré by umožňovali jasne a spoľahlivo hodnotiť funkcie zabezpečenia produktov z oblasti informačných technológií. Nezávislým hodnotením schopnosti produktov spĺňať štandardy zabezpečenia poskytuje certifikácia Common Criteria zákazníkom väčšiu istotu v oblasti zabezpečenia produktov informačných technológií a vedie k lepšie informovaným rozhodnutiam.

Prostredníctvom dohody Common Criteria Recognition Arrangement (CCRA) sa členské krajiny a oblasti dohodli, že budú uznávať certifikáciu produktov z oblasti informačných technológií s rovnakou úrovňou dôvery. Počet členov sa spolu s hĺbkou a záberom profilov ochrany každý rok rozrastá, aby program zohľadňoval nové technológie. Táto dohoda umožňuje vývojárom produktov, aby sa snažili o získanie jednej certifikácie v rámci ľubovoľnej autorizačnej schémy.

Predchádzajúce profily ochrany (PP) boli archivované a začali sa nahrádzať vývojom zacielených profilov ochrany, ktoré sa zameriavajú na konkrétne riešenia a prostredia. V rámci spoločnej snahy o zaistenie pokračujúceho spoločného uznávania štandardov všetkými členmi CCRA sa komunita International Technical Community (iTC) naďalej venuje podpore budúceho vývoja a aktualizácií profilov ochrany smerom k profilom cPP (Collaborative Protection Profile), do vývoja ktorých boli od začiatku zahrnuté viaceré schémy.

Spoločnosť Apple začala svoje produkty certifikovať na základe tejto novej reštrukturalizácie programu Common Criteria s vybranými profilmi ochrany na začiatku roka 2015.

Iné operačné systémy

Prečítajte si viac o zabezpečení, overeniach a poradenstve pre produkty:

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: