Apple güvenlik sertifikaları hakkında
Apple, güvenlik teminatına yönelik küresel gereksinimleri karşılamak için bir güvenlik sertifikaları programına sahiptir.
Yaklaşım, uygun olduğunda kapsamlı bir biçimde birden fazla platforma uygulanan sertifika yapı taşları ile başlar. Bu yapı taşlarından biri, Apple tarafından geliştirilen işletim sistemlerindeki yazılım ve donanım şifreleme modülü dağıtımları için kullanılan corecrypto doğrulamasıdır. İkinci bir yapı taşı, birçok Apple aygıtında yerleşik olan Secure Enclave’dir. Üçüncüsü ise Apple’ın Face ID’li ve Touch ID’li aygıtlarında bulunan Secure Element (SE) sertifikasıdır. Bu donanım sertifikası yapı taşları, daha geniş platform güvenliği sertifikaları için bir temel oluşturur.
Apple, işletim sistemleri, uygulamalar ve güçlü kimlik doğrulama gibi güvenliğe ilişkin özellikler için daha fazla sertifikanın temelini sağlamak amacıyla bu çekirdek güvenlik işlevselliği sertifikalarının üzerine ekleme yaparak bunları geliştirir.
Şifreleme algoritması doğrulamaları
Birçok şifreleme algoritmasının ve ilişkili güvenlik işlevinin uygulama doğruluğunun tasdiklenmesi, FIPS 140-3 doğrulamasının ön koşuludur ve diğer sertifikalar için de destekleyicidir. Doğrulama, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Şifreleme Algoritması Doğrulama Programı (CAVP) tarafından yönetilir. Apple uygulamalarının doğrulama sertifikaları CAVP arama özelliği kullanılarak bulunabilir. Daha fazla bilgi için Şifreleme Algoritması Doğrulama Programı (CAVP) web sitesine bakın.
Şifreleme modülü doğrulamaları: FIPS 140-2/3 (ISO/IEC 19790)
Apple’ın şifreleme modüllerinin, şifreleme modülleri için ABD Federal Bilgi İşleme Standardı (FIPS 140-2) ile uyumlu olduğu, Şifreleme Modülü Doğrulama Programı (CMVP) tarafından 2012’den beri işletim sistemlerinin her büyük sürümünden sonra yinelenerek doğrulanmıştır. Apple, her büyük sürümden sonra bu modülleri standarda uygunluğunun doğrulanması için CMVP’ye gönderir. Bu modüller, Apple işletim sistemleri ve uygulamaları tarafından kullanılmalarının yanı sıra Apple tarafından sunulan servisler için şifreleme işlevleri sağlar ve üçüncü parti uygulamalar tarafından da kullanılabilir.
Apple, macOS’e yönelik “Intel İçin Corecrypto Modülü” ve “Intel İçin Corecrypto Çekirdek Modülü” yazılım tabanlı modülleri için her yıl Güvenlik Düzeyi 1 sertifikasını alır. Apple Silicon için, “ARM için Corecrypto modülü” ve “ARM için Corecrypto çekirdek modülü” adlı modüller iOS, iPadOS, tvOS, watchOS ve Mac bilgisayarlarındaki yerleşik Apple T2 güvenlik yongasında bulunan firmware için geçerlidir.
2019 yılında Apple, “Apple Corecrypto Modülü: Güvenli Anahtar Deposu” olarak tanımlanan ve Secure Enclave’de oluşturulan ve yönetilen anahtarların ABD hükümeti onaylı kullanımını etkinleştiren gömülü donanım şifreleme modülü için ilk FIPS 140-2 Güvenlik Düzeyi 2’yi elde etmiştir. Apple, birbirini izleyen her büyük işletim sistemi sürümünde donanım şifreleme modülü için doğrulamaları elde etmeye çalışır.
FIPS 140-3, ABD Ticaret Bakanlığı tarafından 2019 yılında onaylanmıştır. Standardın bu sürümündeki en belirgin değişiklik, ISO/IEC standartlarının (özellikle ISO/IEC 19790:2015’in ve ilişkili test standardı ISO/IEC 24759:2017’nin) belirtimidir. CMVP, bir geçiş programı başlattı ve 2020’den itibaren şifreleme modüllerinin FIPS 140-3 temel alınarak doğrulanmaya başlanacağını belirtti. Apple şifreleme modüllerinin en kısa sürede FIPS 140-3 standardına uygun hâle gelip bu standarda geçmesi hedeflenmektedir.
CMVP, şu an test ve doğrulama aşamasındaki şifreleme modüllerine yönelik iki ayrı liste tutar. Bu listeler, önerilen doğrulamalar hakkında bilgi içerebilir. Yetkili bir laboratuvarda test edilmekte olan şifreleme modülleri için Test Edilen Uygulama Listesi, modülü listeleyebilir. Laboratuvar, testleri tamamlayıp CMVP tarafından doğrulanmalarını önerdikten sonra Apple şifreleme modülleri, İşlenen Modüller listesinde görünür. Mevcut durumda laboratuvar testleri tamamlanmıştır ve testlerin CMVP tarafından doğrulanması beklenmektedir. Değerlendirme işleminin süresi değişebileceğinden, büyük işletim sistemi sürümünün çıkış tarihiyle CMVP tarafından doğrulama sertifikasının veriliş tarihi arasında Apple şifreleme modüllerinin güncel durumunu belirlemek için yukarıda belirtilen iki işlem listesine de bakın.
Ürün sertifikaları: Ortak Kriterler (ISO/IEC 15408)
Ortak Kriterler (ISO/IEC 15408), birçok kuruluş tarafından BT ürünlerinin güvenlik değerlendirmelerini gerçekleştirmede temel olarak kullanılan bir standarttır.
Uluslararası Ortak Kriterler Tanıma Anlaşması (CCRA) çerçevesinde karşılıklı olarak tanınan sertifikalar için Ortak Kriterler portalına bakın. Ortak Kriterler standardı, CCRA dışında ulusal ve özel doğrulama programları tarafından da kullanılabilir. Avrupa’da karşılıklı tanıma, hem SOG-IS hem de CCRA anlaşmasına tabidir.
Bu girişimin amacı, Ortak Kriterler topluluğu tarafından belirtildiği şekilde, Bilgi Teknolojisi ürünlerinin anlaşılır ve güvenilir bir değerlendirmesini sunmak için uluslararası düzeyde onaylı güvenlik standartlarının oluşturulmasıdır. Ortak Kriterler Sertifikası ürünün, güvenlik standartlarını karşılayıp karşılamadığına ilişkin bağımsız bir değerlendirme sağlayarak müşterilerin Bilgi Teknolojisi ürünlerinin güvenliğinden emin olmasına ve daha bilinçli kararlar vermesine olanak tanır.
CCRA ile, üye ülkeler Bilgi Teknolojisi ürünlerine yönelik bu sertifikayı aynı güven düzeyinde tanımayı kabul etmiştir. Sertifikadan önce gereken kapsamlı değerlendirmeler şunları içerir:
Koruma profilleri (PP)
Güvenlik hedefleri (ST)
Güvenlik işlev gereksinimleri (SFR)
Güvenlik güvence gereksinimleri (SAR)
Değerlendirme güvence düzeyleri (EAL)
Koruma profilleri (PP), bir aygıt türü sınıfı (Taşınabilirlik gibi) için güvenlik gereksinimlerini belirten ve aynı sınıftaki BT ürün değerlendirmelerini karşılaştırmak için kullanılan belgelerdir. CCRA üye sayısı ve giderek uzayan onaylı PP’lerin listesi yıllık bazda büyümeye devam etmektedir. Bu anlaşma, ürün geliştiricilerinin, herhangi bir sertifika yetkilendirme programı kapsamında tek bir sertifika almak için çalışmasına ve tüm sertifika kullanım imzacıları tarafından tanınmasını sağlamasına izin verir.
Güvenlik hedefleri (ST), bir BT ürününün onaylanması sürecinde nelerin değerlendirileceğini tanımlar. ST’ler, kendileriyle ilgili daha ayrıntılı değerlendirmelerde kullanılan güvenlik işlev gereksinimlerine (SFR) çevrilir.
Ortak Kriterler (CC), güvenlik güvence gereksinimlerini de içerir. En yaygın tanımlanan ölçümlerden biri değerlendirme güvence düzeyidir (EAL). EAL’ler, en sık görülen SAR kümelerini gruplar ve karşılaştırılabilmelerini sağlamak için koruma profillerinde (PP) veya güvenlik hedeflerinde (ST) belirtilebilir.
Birçok eski koruma profili arşivlenmiş ve belirli çözümlere ve ortamlara odaklanması amacıyla geliştirilen hedefe yönelik koruma profilleri (PP) bunların yerini almıştır. Tüm CCRA üyelerinin devam eden karşılıklı tanıma konusunda ortak hareket edebilmesini sağlamak amacıyla sürecin başından beri CCRA imzacı programının katılımıyla geliştirilen iş birliğine dayalı koruma profilleri (cPP) geliştirmek ve sürekliliğini sağlamak için uluslararası teknik topluluklar (iTC) kurulmuştur. Hedefi CCRA dışındaki kullanıcı grupları ve karşılıklı tanıma anlaşmaları olan koruma profilleri (PP), uygun paydaşlar tarafından geliştirilmeye devam eder.
Apple, 2015 yılının başından itibaren belirli iş birliğine dayalı koruma profillerinde (cPP’ler) güncellenmiş CCRA kapsamındaki sertifikaları almak için gereken çalışmalara başlamıştır. Bu tarihten itibaren Apple, bazı önemli Apple uygulamalarının yanı sıra iOS, iPadOS ve macOS için Ortak Kriterler sertifikalarını elde etmiştir. Yeni PP’ler tarafından sağlanan güvenlik teminatını kapsayacak şekilde kapsamı da genişletilmiştir.
Apple, koruma profilleri (PP) ve ortak çalışmaya dayalı koruma profilleri (cPP) geliştiren ve güncelleyen teknik topluluklarda da aktif bir rol oynar.
Apple’ın Güvenlik ve Gizlilik Sertifikaları ile ilgili sorular için security-certifications@apple.com ile iletişim kurun.