适用于“SEP:安全密钥库”的安全认证

本文包含适用于“安全隔区处理器 (SEP):安全密钥库”的主要产品认证、加密验证和安全指导的相关参考。

除了这里列出的一般证书外,还可能签发了其他证书以证明满足某些市场的特定安全要求。 

如有任何疑问,请通过 security-certifications@apple.com 联系我们。

安全隔区处理器

安全隔区处理器是内置于系统芯片 (SoC) 中的协处理器。这个处理器使用加密内存,并包含一个硬件随机数字生成器。安全隔区可提供所有适用于数据保护密钥管理的加密操作,即便在内核已被破坏的情况下也能保持数据保护的完整性。安全隔区与应用程序处理器之间的通信被隔离到由中断驱动的邮箱和共享的内存数据缓冲区。

安全隔区处理器包含一个专用的安全隔区 Boot ROM。与应用程序处理器 Boot ROM 类似,安全隔区 Boot ROM 是用于为安全隔区建立硬件信任根的不可变代码。

安全隔区处理器运行的是基于 Apple 定制版 L4 微内核的安全隔区 OS。这个安全隔区 OS 由 Apple 签名,经安全隔区 Boot ROM 验证,并通过个性化软件更新过程进行更新。

部分内建服务使用硬件保护的安全密钥库,以下是这类服务的示例:

  • 设备或帐户解锁(密码和生物识别)
  • 硬件加密/数据保护/文件保险箱(静态数据)
  • 安全启动(固件以及 OS 信任和完整性)
  • 摄像头的硬件控制(FaceTime 通话)

在与这些认证和验证相关的环境中,以下文稿可能会很有用:

如需了解与 Apple 互联网服务相关的公共认证,请参阅:

如需了解与 Apple 应用程序相关的公共认证,请参阅:

如需了解与 Apple 操作系统相关的公共认证,请参阅:

如需了解与硬件和关联固件组件相关的公共认证,请参阅:

加密模块验证

所有 Apple FIPS 140-2/-3 一致性验证证书均在 CMVP 网站上列出。Apple 积极参与操作系统各主要版本的 CoreCrypto 用户模块和 CoreCrypto 内核模块的验证。只能针对最终模块发布版本进行验证,并在 OS 公开发布时正式提交相关验证。有关这些验证的信息可在相关的操作系统页面上找到。

硬件加密模块(Apple SEP 安全密钥库加密模块)嵌入到 Apple 系统芯片 (SoC) 中,而且 A 表示 iPhone 和 iPad,S 表示 Apple Watch Series,T 表示 Mac 系统(从 2017 年推出的 iMac Pro 开始)中所配备的 T 安全芯片。

对于未来的操作系统版本和设备中所使用的 SEP 安全密钥库加密模块,Apple 将力求获得 FIPS 140-2/-3 3 级安全验证。 

2019 年,Apple 按照 FIPS 140-2 2 级安全要求验证了硬件模块,并将模块版本标识符更新至 v9.0,以便与相应的 CoreCrypto 用户模块和 CoreCrypto 内核模块验证版本保持同步。2019 年:iOS 12、Apple tvOS 12、watchOS 5 以及 macOS Mojave 10.14。

2018 年,与 2017 年发布的操作系统(iOS 11、Apple tvOS 11、watchOS 4 以及 macOS Sierra 10.13)中的软件加密模块验证实现了同步。标识为 Apple SEP 安全密钥库加密模块 v1.0 的 SEP 硬件加密模块最初是根据 FIPS 140-2 1 级安全要求进行验证的。

所有 Apple FIPS 140-2/-3 一致性验证证书均在 CMVP 网站上列出。Apple 积极参与操作系统各主要版本的 CoreCrypto 用户模块和 CoreCrypto 内核模块的验证。只能针对最终模块发布版本进行一致性验证,并在 OS 公开发布时正式提交相关验证。 

CMVP 会根据加密模块的当前状态,在四个不同的列表下维护加密模块的验证状态。这些模块可能最初位于 Implementation Under Test List(被测实现列表)中,然后进入 Modules in Process List(正在进行评测的模块列表)。验证完成后,这些模块将显示在已验证的加密模块列表中,并在五年后移至“历史”列表中。

2020 年,CMVP 采用国际标准 ISO/IEC 19790 作为 FIPS 140-3 的基础。

如需进一步了解 FIPS 140-2/-3 验证,请参阅“Apple 平台安全保护”。

相应的平台/OS CMVP 证书编号 模块名称 模块类型 安全级别 验证日期 文稿
请查看 Implementation Under Test List(被测实现列表)和 Modules in Process List(正在进行评测的模块列表)来了解目前正在进行测试/验证的模块。
iOS 12

Apple tvOS 12

watchOS 5

macOS Mojave 10.14
3523 Apple 安全密钥库加密模块 v9.0
(sepOS)
硬件 2 2019-09-10
iOS 11

Apple tvOS 11

watchOS 4

macOS High Sierra 10.13
3223 Apple 安全密钥库加密模块 v1.0
(sepOS)
硬件 1 2018-07-10

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: