加密模組驗證
所有 Apple FIPS 140-2 Conformance Validation Certificate (一致性驗證認證) 均載於 CMVP 供應商網頁。對於 iOS 的每個主要發行版本,Apple 積極參與 CoreCrypto 和 CoreCrypto Kernel 模組的驗證。驗證只能針對最終模組發行版本執行,而且必須在操作系統公開發行時正式提交。現時,CMVP 以兩份不同列表管理加密模組的驗證狀態,視乎其目前狀態而定。模組會先加入 Implementation Under Test List (實作待測列表),然後再列入 Modules in Process List (正進行評測的模組列表)。
iOS 12
- Apple FIPS ARM 加密模組 v9.0
- iOS 12 相容的合規裝置
- 確保 ARM v9.0 符合 FIPS 140-2 規範的加密管理者角色指南 (PDF)
- #3433: Apple CoreCrypto ARM 模組 v9.0
- #3438: Apple CoreCrypto Kernel ARM 模組 v9.0
相關驗證 (處理中模組)
iOS 11
舊有版本
下列舊版 iOS 都有加密模組驗證,目前均已封存:
- iOS 10
- iOS 9
- iOS 8
- iOS 7
保安設定指南
著重保安的組織設有完善和嚴密的指南,規範如何設定不同平台以達到使用要求。「保安設定指南」概述 macOS 和 iOS 中可用於加強保護的功能,又稱「強化裝置」。世界各國的政府已與 Apple 展開合作並制訂指南,為維護更安全的環境提供指引和建議。
這些指南的適用對象為經驗豐富的用戶或系統管理員、應熟悉用戶介面,而且對於目標平台的管理工具具備一定的操作知識。熟悉基本網絡概念對你亦有幫助。指南中的部分指引相當複雜,稍有偏差都可能造成負面影響或削弱防護。部署之前,請先全面測試裝置設定的所有變更。
詳情請參閱 iOS 保安指南 (PDF)。
德國 (BSI)
iOS 基本安全性指南 (Grundschutz iOS)
iOS 執行指南 (Umsetzungshinweise iOS)
英國 (NCSC)
iOS 和 macOS 的 EUD 指引
美國 (DISA、NIST、NSA)
Apple iOS 12 STIG
SCAP-on-Apple
CIS:網絡安全中心
CIS iOS
保安認證
以下列出 Apple 已完成的有效公認認證。
ISO 27001 和 27018 認證
根據 2017 年 7 月 11 日的 Statement of Applicability v2.1 (適用性聲明 v2.1),Apple 用於支援以下產品和服務的基礎架構、開發及操作已取得資訊安全管理系統的 ISO 27001 和 ISO 27018 認證:Apple School Manager、iTunes U、iCloud、iMessage、FaceTime、管理式 Apple ID、Siri 和「功課」。Apple 經 British Standards Institution (英國標準學會) 認證符合 ISO 標準。有關 ISO 27001 和 ISO 27018 的合規認證,請參閱 BSI 網站。
共同準則 (Common Criteria) 認證
根據共同準則社群所述,「共同準則認證」旨在制定國際認可的安全標準,針對資訊科技產品的保安功能提供明確可靠的評估方式。「共同準則認證」會獨立評估產品是否符合安全標準,以提升客戶對資訊科技產品安全性的信心,幫助客戶作出更明智的決策。
在「共同準則承認協定」(Common Criteria Recognition Arrangement,簡稱 CCRA) 下,各成員國家和地區同意以相同的信心水平認可資訊科技產品的認證。隨著成員國家/地區數目增加,保護描述檔 (Protection Profile) 的深度和廣度也逐年增長,以迎合新興技術。在此協定下,產品開發人員無論在任何一種授權架構 (Authorizing Scheme) 下,皆只須取得單一認證。
舊有的保護描述檔 (簡稱 PP) 已經封存,且已開始由針對特定解決方案和環境所制訂的目標保護描述檔所取代。國際技術社群 (International Technical Community,簡稱 iTC) 為協力確保所有 CCRA 成員能持續互相認可,會繼續推動未來所有 PP 開發和協作保護描述檔 (Collaborative Protection Profile,簡稱 cPP) 更新;cPP 在開發初期就已採用多種架構。
由 2015 年初開始,Apple 便致力在經重整的全新「共同準則」下以特定 PP 取得認證。以下列出 Apple 已完成的有效公認認證。
iOS 12
保護描述檔 |
VID |
完成 |
|
流動裝置 |
2019.03 |
||
MDM 代理程式 |
2019.03 |
||
WLAN 代理程式 |
2019.03 |
||
VPN 用戶端 |
2019.03 |
||
應用程式軟件 (通訊錄) |
2019.02 |
||
瀏覽器 (Safari) |
ETA:2019.03 |
iOS 11
|
保護描述檔 |
VID |
完成 |
流動裝置 |
2018.03.30 |
||
MDM 代理程式 |
2018.03.30 |
||
WLAN 代理程式 |
2018.03.30 |
||
VPN 用戶端 |
2018.05.10 |
||
應用程式軟件 (通訊錄) |
2018.09.13 |
||
瀏覽器 (Safari) |
2018.11.09 |
舊有版本
舊版 iOS 版本的認證現已封存:
- iOS 10
- iOS 9
共同準則社群一般會隔 12 至 18 個月發佈保護描述檔的重大版本更新,並增加或更新保安功能要求 (Security Functional Requirement,簡稱 SFR)。
你可前往共同準則入口網站,查看「保護描述檔」(簡稱 PP) 和「協作保護描述檔」(簡稱 cPP) 的完整列表及其有效日期。你也可以在所選架構下 (例如屬美國架構的國家資訊保證合作組織 (National Information Assurance Partnership,簡稱 NIAP)),查看相關資料。
獲准供政府使用
部分國家和地區已核准裝置供政府使用,相關資料如下。
澳洲政府
以下摘錄自「 EPL - 評估產品列表」頁面:
澳洲信號局 (Australian Signals Directorate,簡稱 ASD) 針對 ICT 保安產品設有評估產品列表 (EPL),評估這些產品是否適合澳洲和紐西蘭政府機關使用。
- 列於 EPL 的產品已獲認證作特定用途。
- 列於 EPL 的產品可根據澳洲政府資訊安全手冊 (ISM) 所述用於建立保安系統和網絡。
- 產品已取得認證,符合國際認可的 ISO 15408 共同準則 (CC)。CC 入口網站列出雙方認可並可供使用的其他產品。
- ASD 的認證辦事處為澳洲認證授權局 (Australasian Certification Authority),負責監管澳洲資訊安全評估計劃 (Australasian Information Security Evaluation Program,簡稱 AISEP),該計劃用於管理授權商業評估機構所作的產品測試。
- EPL 也會列出 ASD 的加密評估。
產品:iOS 9
產品類型:流動產品
產品狀態:已完成
保證等級:由 ASD 評估
版本:9.3.5 或之後的版本
指南:PDF
英國政府
以下摘錄自 NCSC 的「商用產品保證 - 基礎級產品」頁面:
CPA 根據已發佈的保安和開發標準,評估商用現成產品及其開發人員。成功通過評估的保安產品將獲得「基礎級」(Foundation Grade) 認證。這表示該產品經證實可展現良好的商業安全實務,適合在威脅較低的環境下使用。
- CPA 認證的有效期為 2 年,產品可在認證生命週期內就必要的漏洞和更新項目作出更新。
- CPA 認證已獲 NATO 目錄接受,並獲認定為 EU 目錄所需的評估之一。
- 基礎級由 NCSC 進一步提出說明。
德國政府
以下陳述取自「流動通訊」頁面:
概覽
智能電話和平板電腦在職場和私人生活中帶來多項便利,在不同場合上成為大眾的日常生活夥伴。不過,在使用流動資訊科技和通訊技術處理敏感資訊時,往往需要在安全性上作出取捨。
供聯邦政府使用的安全流動通訊方案必須時刻符合現代流動裝置標準,在處理敏感資料的層面上亦須遵從高度安全規格。
此外,務必物色數個服務供應商,確保可向聯邦政府穩定提供服務。詳細資料載於「安全流動裝置:問題界定、科技標準和符合聯邦政府專用流動裝置規定的解決方案」小冊子。
SecurePIM Government SDS
操作系統:iOS
核准範圍涵蓋至VS-NfD
製造商:virtual solution AG
最新 iOS 裝置 (iOS 12 或之後版本的 iPhone 和 iPad)
美國政府
以下陳述取自「機密商業解決方案」頁面:
美國政府客戶日益要求國家安全系統 (National Security Systems,簡稱 NSS) 即時採用市場上最先進的商業硬件和軟件技術,以達成任務目標。因此,美國國家安全局/中央安全局 (National Security Agency/Central Security Service,簡稱 NSA/CSS) 的資訊保障局 (Information Assurance Directorate,簡稱 IAD) 正在制訂新方式,運用新興技術提供更及時的 IA 解決方案,以回應客戶急速變化的要求。
NSA/CSS 建立的機密商業解決方案 (Commercial Solutions for Classified,簡稱 CSfC) 計劃,旨在將商業產品用於保護機密 NSS 資料的分層解決方案。這樣便能以可實地使用數月 (而非數年) 的解決方案,依據商業標準進行安全通訊。
越來越多機密環境希望部署 Apple 解決方案,但因為產品認證原因而卻步。Apple 已根據上述保護描述檔取得「共同準則認證」,讓 Apple 產品得以列入「CSfC 組件列表」中。
當 Apple 產品開始針對各相關保護描述檔獲取額外的共同準則認證,相應的 Apple 組件便會申請列入「CSfC 組件列表」並新增於下方。
CSfC 組件列表
以下 Apple 產品符合資格用於 CSfC 解決方案:
將 Apple 產品新增至你的產品列表
越來越多政府環境要求將 Apple 產品提交至類似 CPA、EPL 和 CSfC 的計劃。如果你是政府解決方案計劃的授權代理人,並有意將 Apple 產品列入你的等效產品列表,請傳送電郵至 security-certifications@apple.com 與我們聯絡。