Certifikácie zabezpečenia pre procesor SEP: Secure Key Store

Tento článok obsahuje odkazy na certifikácie kľúčových produktov, kryptografické overenia a bezpečnostné pokyny pre procesor Secure Enclave (SEP): Secure Key Store.

Okrem všeobecných certifikátov, ktoré sú tu uvedené, mohli byť vydané ďalšie certifikáty na splnenie špecifických bezpečnostných požiadaviek pre niektoré trhy. 

V prípade otázok nás kontaktujte na adrese security-certifications@apple.com.

Procesor Secure Enclave

Procesor Secure Enclave je koprocesor vyrobený s použitím technológie SoC (System on Chip). Používa šifrovanú pamäť a obsahuje hardvérový generátor náhodných čísel. Secure Enclave zaisťuje všetky kryptografické operácie pre správu kľúčov služby Ochrana dát a zachováva integritu ochrany dát aj v prípade narušenia zabezpečenia jadra. Komunikácia medzi procesorom Secure Enclave a aplikačným procesorom je izolovaná na schránku riadenú prerušeniami a na medzipamäte dát zdieľanej pamäte.

Procesor Secure Enclave obsahuje vyhradenú spúšťaciu pamäť Secure Enclave ROM. Podobne ako spúšťacia pamäť ROM aplikačného procesora aj spúšťaciu pamäť Secure Enclave ROM tvorí nezmeniteľný kód, ktorý vytvára hardvérový koreň dôveryhodnosti pre procesor Secure Enclave.

Procesor Secure Enclave používa operačný systém Secure Enclave OS založený na verzii mikrojadra L4 upravenej pre zariadenia Apple. Secure Enclave OS je podpísaný spoločnosťou Apple, je overený spúšťacou pamäťou Secure Enclave ROM a aktualizuje sa prostredníctvom personalizovaného procesu aktualizácie softvéru.

Príklad niektorých vstavaných služieb, ktoré využívajú hardvérovo chránené úložisko Secure Key Store:

  • Odomknutie zariadenia alebo účtu (heslo a biometrická ochrana)
  • Hardvérové šifrovanie / Ochrana dát/ FileVault (uložené dáta)
  • Zabezpečené štartovanie (dôveryhodnosť a integrita firmvéru a operačného systému)
  • Hardvérové ovládanie kamery (FaceTime)

V súvislosti s týmito certifikáciami a overeniami môžu byť užitočné nasledujúce dokumenty:

Informácie o verejných certifikáciách súvisiacich s internetovými službami spoločnosti Apple:

Informácie o verejných certifikáciách súvisiacich s aplikáciami spoločnosti Apple:

Informácie o verejných certifikáciách súvisiacich s operačnými systémami spoločnosti Apple:

Informácie o verejných certifikáciách súvisiacich s hardvérovými a súvisiacimi firmvérovými komponentmi:

Overenia kryptografických modulov

Všetky certifikáty overenia zhody produktov spoločnosti Apple so štandardom FIPS 140-2/-3 sú k dispozícii na webovej stránke CMVP. Spoločnosť Apple sa aktívne podieľa na overovaní modulov CoreCrypto User a CoreCrypto Kernel v každom hlavnom vydaní operačných systémov. Overovanie sa vykonáva až po finálnej vydanej verzii modulu. Modul sa na schválenie predkladá po verejnom vydaní operačného systému. Informácie o týchto overeniach sú uvedené na stránke príslušného operačného systému.

Hardvérový kryptografický modul (Apple SEP Secure Key Store Cryptographic Module) sa dodáva vstavaný v komponente Apple System-On-Chip (SoC) A v prípade iPhonu a iPadu, S v prípade hodiniek Apple Watch Series a T v prípade bezpečnostného čipu T, ktorý sa v systémoch Mac používa od iMacu Pro z roku 2017.

Spoločnosť Apple sa bude pre budúce moduly SEP Secure Key Store Cryptographic Module vo svojich operačných systémoch a zariadeniach usilovať o štandard FIPS 140-2/-3 úrovne zabezpečenia 3

V roku 2019 spoločnosť Apple overila hardvérový modul podľa požiadaviek štandardu FIPS 140-2 úrovne zabezpečenia 2 a aktualizovala identifikátor verzie modulu na 9.0, aby sa synchronizoval s verziami zodpovedajúcich overení modulov CoreCrypto User a CoreCrypto Kernel. V roku 2019: iOS 12, tvOS 12, watchOS 5 a macOS Mojave 10.14.

V roku 2018 sa dosiahol synchronizovaný stav s overovaním softvérových kryptografických modulov s operačnými systémami vydanými v roku 2017: iOS 11, tvOS 11, watchOS 4 a macOS Sierra 10.13. Hardvérový kryptografický modul SEP s názvom Apple SEP Secure Key Store Cryptographic Module v1.0 bol pôvodne overený podľa požiadaviek štandardu FIPS 140-2 úrovne zabezpečenia 1.

Všetky certifikáty overenia zhody produktov spoločnosti Apple so štandardom FIPS 140-2/-3 sú k dispozícii na webovej stránke CMVP. Spoločnosť Apple sa aktívne podieľa na overovaní modulov CoreCrypto User a CoreCrypto Kernel v každom hlavnom vydaní operačného systému. Overenie zhody je možné vykonať až po vydaní konečnej verzie modulu. Modul sa na schválenie formálne predkladá po verejnom vydaní operačného systému. 

Na webovej stránke CMVP je uvedený stav overenia kryptografických modulov v štyroch samostatných zoznamoch v závislosti od ich aktuálneho stavu. Moduly sa najskôr môžu zaradiť do zoznamu testovaných implementácií a potom môžu prejsť do zoznamu spracovávaných modulov. Po overení sa zaradia do zoznamu overených kryptografických modulov a po piatich rokoch sa presunú do zoznamu „historických“ modulov.

V roku 2020 program CMVP prijal medzinárodnú normu ISO/IEC 19790 ako základ pre FIPS 140-3.

Viac informácií o overovaní podľa štandardu FIPS 140-2/-3 nájdete v príručke Zabezpečenie platforiem Apple.

Zodpovedajúca platforma/operačný systém Číslo certifikátu CMVP Názov modulu Typ modulu Úroveň zabezpečenia Dátum overenia Dokumenty
Pozrite si zoznam testovaných implementáciízoznam spracovávaných modulov, kde nájdete moduly, ktoré sa v súčasnosti testujú alebo overujú.
iOS 12

tvOS 12

watchOS 5

macOS Mojave 10.14
3523 Kryptografický modul Apple Secure Key Store v9.0
(sepOS)
Hardvér 2 10. 9. 2019
iOS 11

tvOS 11

watchOS 4

macOS High Sierra 10.13
3223 Kryptografický modul Apple Secure Key Store v1.0
(sepOS)
Hardvér 1 10. 7. 2018

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: