Produktsäkerhetscertifieringar, verifieringar och säkerhetsvägledning för iOS

Den här artikeln innehåller referenser till viktiga produktcertifieringar, kryptografiska verifieringar och säkerhetsvägledning för iOS-plattformar. Kontakta oss på security-certifications@apple.com om du har frågor.

Kryptografiska modulverifieringar

Apples alla verifieringscertifikat om efterlevnad av FIPS 140-2 finns på CMVP Vendor-sidan. Apple deltar aktivt i verifieringen av CoreCrypto- och CoreCrypto-kernelmodulerna för varje större version av iOS. Verifiering kan endast göras av slutliga modulversioner och lämnas formellt efter utgivningsdatumet för OS-versionen. CMVP dokumenterar nu verifieringsstatus för kryptografiska moduler i två olika listor beroende på deras aktuella status. Modulerna börjar i listan för implementering testas och fortsätter sedan till listan för moduler i behandling.

iOS 12

Apple har ett aktivt engagemang i verifieringen av CoreCrypto 9.0-moduler som används i iOS 12 som kommer senare i år.

Tidigare versioner

Dessa tidigare iOS-versioner hade kryptografiska modulverifieringar och är nu arkiverade:

  • iOS 8
  • iOS 7

Handböcker för säkerhetskonfigurering

Säkerhetsmedvetna organisationer tillhandahåller utförliga och granskade handledningar för hur olika plattformar bör konfigureras. Handledningarna för säkerhetskonfigurering ger en översikt över macOS- och iOS-funktioner som kan användas för att förbättra säkerheten genom att skydda enheterna. I samarbete med regeringar runtom i världen har Apple utvecklat handledningar med anvisningar och riktlinjer för ett kontinuerligt skydd av IT-miljön. 

Den som vill använda handledningarna bör vara en erfaren användare eller systemadministratör som är väl förtrogen med användargränssnittet och har kunskaper om administrationsverktyg för målplattformen. Det är också en fördel att ha grundläggande kunskaper om nätverk. Handledningarna innehåller vissa avancerade anvisningar. Om de inte utförs rätt kan problem uppstå eller säkerheten försämras. Testa noggrant alla ändringar som görs av enhetens inställningar innan de implementeras.

Läs mer i säkerhetshandledningen för iOS (PDF).

Säkerhetscertifieringar

En förteckning över Apples officiellt identifierade, aktiva och slutförda certifieringar.

ISO 27001- och 27018-certifiering

Apple har erhållit ISO 27001- och ISO 27018-certifieringar från Information Security Management System (ISMS) för infrastruktur, utveckling och funktioner som stödjer följande produkter och tjänster: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, hanterade Apple-ID:n Siri och Skolarbete i enlighet med Statement of Applicability 2.1 från den 11 juli 2017. Apples efterlevnad av ISO-standarder har certifierats av British Standards Institution (BSI). Webbplatsen BSI:s efterlevandecertifikat för ISO 27001 och ISO 27018.

Common Criteria-certifiering

Målet är enligt organisationen Common Criteria att skapa en internationellt godkänd uppsättning säkerhetsstandarder som ger en tydlig och tillförlitlig beskrivning av IT-produkters säkerhet. En Common Criteria-certifiering är en oberoende bedömning av en produkts förmåga att uppfylla säkerhetsstandarder som ger kunder större förtroende för IT-produkters säkerhet och leder till mer välinformerade beslut.

Genom ett avtal för erkännande av Common Criteria (CCRA, Common Criteria Recognition Arrangement) har medlemsländer och regioner kommit överens om att erkänna varandras certifiering av IT-produkter på samma sätt. Antalet medlemmar och behovet av fördjupade och breddade säkerhetsprofiler ökar för varje år i takt med framväxten av nya tekniska produkter. Tack vare det här avtalet kan en produktutvecklare ansöka om certifiering inom valfritt auktoriseringsschema.

De tidigare PP-profilerna (Protection Profiles) har arkiverats och arbetet med att ersätta dem med målinriktade skyddsprofiler som fokuserar på specifika lösningar och miljöer har påbörjats. I en gemensam satsning för att säkerställa fortsatt likvärdig hantering hos alla CCRA-medlemmar arbetar iTC (International Technical Community) vidare för att all kommande utveckling av PP och uppdateringar görs som cPP-profiler (Collaborative Protection Profiles), som redan från start utvecklas för flera scheman.

Apple började ansöka om certifieringar under den omstrukturerade Common Criteria-modellen för utvalda PP-profiler i början av 2015. Apples offentliggjorda, aktiva och genomförda certifieringar framgår av listan nedan. 

iOS 11

 

Skyddsprofil

VID

Slutfört

Mobile Device

PP_MD_v3.1

10851

2018.03.30

MDM Agent

EP_MDM_Agent_v3.0

10851

2018.03.30

WLAN Agent

PP_WLAN_CLI_EP_v1.0

10851

2018.03.30

VPN Client

PP_VPN_IPSEC_CLIENT_V1.4

10876

2018.05.10

Application Software (Contacts)

PP_APP_v1.2

10915

ETA:2018.08

Webbläsare (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA:2018.08

Tidigare versioner

Tidigare iOS-versioner har haft certifieringar som nu är arkiverade:

  • iOS 10
  • iOS 9

Större uppdateringar av skyddsprofilerna av Common Criteria-organisationen förväntas normalt sett publiceras med 12 till 18 månaders mellanrum kompletterade av nytillkommande eller uppdaterade SFR-krav (Security Functional Requirements).

På Common Criteria-portalen finns en fullständig lista över PP-profiler  (Protection Profiles), cPP-profiler (Collaborative Protection Profiles) med verifieringsdatum. Du kan också hitta dem under det valda schemat, till exempel National Information Assurance Partnership (NIAP), vilket är schemat för USA.

Godkänd för myndighetsbruk

Information från utvalda länder och regioner som har godkända enheter för myndighetsbruk.

Australiens regering


Enligt sammanfattningen från sidan EPL - Evaluated Products List:

ASD (Australian Signals Directorate) underhåller EPL-listan (Evaluated Products List) för ICT-säkerhetsprodukter som utvärderats av ASD för användning vid myndigheter i Australien och Nya Zeeland.

  • Produkter på EPL-listan har certifierats i specifika syften.
  • Produkter på EPL-listan kan användas för att skapa säkra system och nätverk enligt beskrivningen i ISM (Information Security Manual).
  • Produkter certifieras mot den internationellt erkända standarden ISO 15408 CC (Common Criteria). CC-portalen innehåller en förteckning av övriga produkter med ömsesidigt erkänd certifiering, som även kan användas.
  • ASD:s certifieringskontor, Australasian Certification Authority, övervakar det så kallade AISEP-programmet (Australasian Information Security Evaluation Program) som administrerar produkttestning av licensierade, kommersiella utvärderingsanläggningar.
  • EPL förvaltar även en förteckning av ASD:s kryptografiska utvärderingar.

Produkt: iOS 9
Produkttyp: Mobila produkter
Produktstatus: Slutförd
Försäkringsnivå: Bedömd av ASD
Version: 9.3.5 eller högre
Handledning: PDF

Storbritanniens regering


Enligt sammanfattningen på NCSC:s sida Commercial Product Assurance - products at foundation grade:

CPA utvärderar kommersiella, färdiga produkter och deras utvecklare gentemot publicerade säkerhets- och utvecklingsstandarder. En säkerhetsprodukt som utvärderas med framgång tilldelas certifieringen Foundation Grade (grundläggande kvalitet). Det här innebär att produkten har visat sig uppvisa god, kommersiell säkerhetsfunktion och är lämplig för miljöer med ett lägre säkerhetshot.

  • CPA-certifieringen gäller i 2 år och gör det möjligt att uppdatera produkterna under certifieringens giltighetstid när säkerhetsrisker och uppdateringar kräver det. 
  • CPA-certifieringen är godkänd av NATO-katalogen och erkänd som en av de utvärderingar som krävs för EU-katalogen.
  • Foundation Grade (grundläggande kvalitet) beskrivs mer ingående av NCSC.

USA:s regering


Enligt beskrivningen på sidan Commercial Solutions for Classified:

Kunder som är amerikanska myndigheter kräver allt oftare omedelbar tillgång till marknadens mest moderna kommersiella hårdvara och mjukvara inom ramen för systemet för nationell säkerhet (NSS) för att kunna nå sina affärsmål. Som en följd utvecklar IAD (Information Assurance Directorate) på NSA/CSS (National Security Agency/Central Security Service) nya metoder för att utnyttja ny teknik så att de snabbare kan erbjuda IA-lösningar som uppfyller kundernas krav.

NSA/CSS:s program CSfC (Commercial Solutions for Classified) har utformats för att göra det möjligt att använda kommersiella produkter i lösningar som skyddar sekretessbelagda NSS-data genom att använda sig av olika skikt. På så sätt blir det möjligt att ta fram lösningar för säker kommunikation baserade på kommersiella standarder på några månader istället för flera år.

Allt fler klassificerade miljöer vill distribuera lösningar från Apple, men detta har bromsats av skäl med koppling till produktcertifiering. Apples ansökan om Common Criteria-certifieringar för PP-profilerna som beskrivs ovan har gjort det möjligt för Apple-produkter att ingå i och finnas tillgängliga från listan CSfC Components.

Allteftersom ytterligare Common Criteria-certifieringar av Apple-produkter har börjat behandlas mot de relaterade skyddsprofilerna, kommer motsvarande Apple-komponenter att skickas in för godkännande på CSfC Components-listan och läggas till nedan.

CSfC Components-listan

Följande Apple-produkter är berättigade att användas i en CSfC-lösning:

Lägg till Apple-produkter i din produktlista

Allt fler statliga miljöer har begärt att Apple-produkter ska skickas till deras program på ett liknande sätt som med CPA, EPL och CSfC. Om du är ett auktoriserat ombud för en myndighet som har ett program och är intresserad av att få med Apple-produkter på en liknande produktlista, kan du kontakta oss på security-certifications@apple.com.

Andra operativsystem

Läs mer om produktsäkerhet, verifieringar och vägledning för:

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: