Certifieringar för produktsäkerhet, valideringar och vägledning för SEP: Secure Key Store

Den här artikeln innehåller hänvisningar som avser viktiga produktcertifieringar, kryptografiska valideringar och säkerhetsvägledning för SEP (Secure Enclave Processor): Secure Key Store. Kontakta oss på security-certifications@apple.com om du har frågor.

Secure Enclave Processor

Secure Enclave är en hjälpprocessor som är inbyggd via SoC-teknik (System on Chip). Processorn använder krypterat minne och innehåller en slumpgenerator. Secure Enclave tar hand om alla kryptografiska åtgärder för dataskydd med nyckelhantering och säkerställer integriteten i dataskyddet, även om kärnan komprometteras. Kommunikationen mellan Secure Enclave och applikationsprocessorn är isolerad till en avbrottsdriven brevlåda och databuffertar med delat minne.

Secure Enclave har dedikerat start-ROM för Secure Enclave. Start-ROM för Secure Enclave, liksom applikationsprocessorns start-ROM, har oföränderlig kod som upprättar hårdvarans Root of Trust för Secure Enclave.

Secure Enclave körs med ett Secure Enclave-OS som baseras på en Apple-anpassad version av L4-mikrokärnan. Detta Secure Enclave-OS signeras av Apple, verifieras av start-ROM för Secure Enclave och uppdateras via en anpassad uppdateringsprocess.

Exempel på några inbyggda tjänster som används med hårdvaruskyddat Secure Key Store:

  • Upplåsning av enhet eller konto (lösenord och biometrik)
  • Hårdvarukryptering/dataskydd/FileVault (vilande data)
  • Säker start (säkerhet för firmware och OS)
  • Hårdvarukontroll av kamera (FaceTime)

Kryptografiska modulvalideringar

Apples alla valideringscertifikat om efterlevnad av FIPS 140-2 finns på CMVP Vendor-sidan. Apple deltar aktivt i valideringen av CoreCrypto- samt CoreCrypto kernel-modulerna för alla större versioner av macOS. Validering kan endast göras av slutliga modulversioner och lämnas formellt efter utgivningsdatumet för OS-versionen. CMVP dokumenterar nu valideringsstatus för kryptografiska moduler i två olika listor beroende på deras aktuella status. Modulerna börjar i listan för implementering testas och fortsätter sedan till listan för moduler i behandling.

Hardware Cryptographic Module – Apple SEP Secure Key Store Cryptographic Module – inbäddad i Apple System-On-Chip A för iPhone / iPad, S för Apple Watch Series och T för T Security Chip som ingår i Mac-system från och med iMac Pro 2017.

FIPS 140-2 Level 1 (iOS 11, tvOS 11, watchOS 4 och T2 Firmware – macOS High Sierra 10.13)

är synkroniserat med valideringen i mjukvarans kryptografiska moduler med de operativsystem som lanserades 2017: iOS 11, tvOS 11, watchOS 4 och macOS Sierra 10.13. Hårdvarans kryptografiska modul, Apple SEP Secure Key Store Cryptographic Module v1.0, validerades först i enlighet med kraven i FIPS 140-2 Level 1.

FIPS 140-2 Level 2 (iOS 12, tvOS 12, watchOS 5 och T2 Firmware – macOS Mojave 10.14)

Apple har även validerat hårdvarumodulen enligt kraven i FIPS 140-2 Level 2 och uppdaterat modulens identifierare till version 9.0 för att den ska överensstämma med motsvarande valideringar i mjukvarumoduler.  

Apple SEP Secure Key Store Cryptographic Module v9.0 har validerats enligt kraven i FIPS 140-2 Level 2 med de operativsystem som lanserades 2018: iOS 12, tvOS 12, watchOS 5 och T2 Firmware som ingår i macOS Mojave 10.14.

FIPS 140-2 Level 3

Apple fortsätter med FIPS 140-2 Level 3 för Secure Key Store Cryptographic Module som används i nya operativsystem och enheter. Som tidigare nämnts börjar valideringen av modulerna i listan för implementering testas och fortsätter sedan till listan för moduler i behandling innan de slutligen visas i listan för validerade moduler. Kom tillbaka senare för att få uppdateringar.

Säkerhetscertifieringar

En förteckning över Apples officiellt identifierade, aktiva och slutförda certifieringar.

Common Criteria-certifiering

Målet är enligt organisationen Common Criteria att skapa en internationellt godkänd uppsättning säkerhetsstandarder som ger en tydlig och tillförlitlig beskrivning av IT-produkters säkerhet. En Common Criteria-certifiering är en oberoende bedömning av en produkts förmåga att uppfylla säkerhetsstandarder som ger kunder större förtroende för IT-produkters säkerhet och leder till mer välinformerade beslut.

Genom ett avtal för erkännande av Common Criteria (CCRA, Common Criteria Recognition Arrangement) har medlemsländer och regioner kommit överens om att erkänna varandras certifiering av IT-produkter på samma sätt. Antalet medlemmar och behovet av fördjupade och breddade säkerhetsprofiler ökar för varje år i takt med framväxten av nya tekniska produkter. Tack vare det här avtalet kan en produktutvecklare ansöka om certifiering inom valfritt auktoriseringsschema.

De tidigare PP-profilerna (Protection Profiles) har arkiverats och arbetet med att ersätta dem med målinriktade skyddsprofiler som fokuserar på specifika lösningar och miljöer har påbörjats. I en gemensam satsning för att säkerställa fortsatt likvärdig hantering hos alla CCRA-medlemmar arbetar iTC (International Technical Community) vidare för att all kommande utveckling av PP och uppdateringar görs som cPP-profiler (Collaborative Protection Profiles), som redan från start utvecklas för flera scheman.

Apple började ansöka om certifieringar under den omstrukturerade Common Criteria-modellen för utvalda PP-profiler i början av 2015.

Andra operativsystem

Läs mer om produktsäkerhet, valideringar och vägledning för:

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: