iOS 的產品保安認證、驗證及指引

• Apple FIPS ARM 加密模組 v9.0
• iOS 12 兼容裝置
• 確保 ARM v9.0 符合 FIPS 140-2 規範的加密管理者角色指南 (PDF)
• #3433：Apple CoreCrypto ARM 模組 v9.0
  • 認證
  • 保安政策 (PDF)
  • CMVP 參考資料
• #3438：Apple CoreCrypto Kernel ARM 模組 v9.0
  • 認證
  • 保安政策 (PDF)
  • CMVP 參考資料

相關驗證 (處理中模組)

• Apple FIPS 加密模組 v8.0
• iOS 合規裝置
• 確保 ARM 符合 FIPS 140-2 規範的加密管理者角色指南 (PDF)
• #3148：CoreCrypto 模組認證和保安政策
• #3147： CoreCrypto Kernel 模組認證和保安政策

相關驗證

下列舊版 iOS 都有加密模組驗證，目前均已封存：

• iOS 10
• iOS 9
• iOS 8
• iOS 7

德國 (BSI)
iOS 基本安全性指南 (Grundschutz iOS)
iOS 執行指南 (Umsetzungshinweise iOS)

英國 (NCSC)
iOS 和 macOS 的 EUD 指引

美國 (DISA、NIST、NSA)
Apple iOS 12 STIG
SCAP-on-Apple
CIS：iOS

澳洲 (ASD)
iOS 強化指引
iOS 強化指南 (PDF)
iOS 強化指南 (iBook)

紐西蘭 (GCSB)
iOS 強化指引
iOS 強化指南 (PDF)
iOS 強化指南 (iBook)

根據 2018 年 11 月 5 日的 Statement of Applicability v2.2 (適用性聲明 v2.2)，Apple 用於支援以下產品和服務的基礎架構、開發及操作已取得資訊安全管理系統 (ISMS) 的 ISO 27001 和 ISO 27018 認證：Apple School Manager、iTunes U、iCloud、iMessage、FaceTime、管理式 Apple ID、Siri 和「功課」。Apple 經 British Standards Institution (英國標準學會) 認證符合 ISO 標準。有關 ISO 27001 和 ISO 27018 的合規認證，請參閱 BSI 網站。

根據共同準則社群所述，「共同準則認證」旨在制定國際認可的安全標準，針對資訊科技產品的保安功能提供明確可靠的評估方式。「共同準則認證」會獨立評估產品是否符合安全標準，以提升客戶對資訊科技產品安全性的信心，幫助客戶作出更明智的決策。

在「共同準則承認協定」(Common Criteria Recognition Arrangement，簡稱 CCRA) 下，各成員國家和地區同意以相同的信心水平認可資訊科技產品的認證。隨著成員國家/地區數目增加，保護描述檔 (Protection Profile) 的深度和廣度也逐年增長，以迎合新興技術。在此協定下，產品開發人員無論在任何一種授權架構 (Authorizing Scheme) 下，皆只須取得單一認證。

舊有的保護描述檔 (簡稱 PP) 已經封存，且已開始由針對特定解決方案和環境所制訂的目標保護描述檔所取代。國際技術社群 (International Technical Community，簡稱 iTC) 為協力確保所有 CCRA 成員能持續互相認可，會繼續推動未來所有 PP 開發和協作保護描述檔 (Collaborative Protection Profile，簡稱 cPP) 更新；cPP 在開發初期就已採用多種架構。

由 2015 年初開始，Apple 便致力在經重整的全新「共同準則」下以特定 PP 取得認證。以下列出 Apple 已完成的有效公認認證。 

iOS 12

iOS 11

舊有版本

共同準則社群一般會隔 12 至 18 個月發佈保護描述檔的重大版本更新，並增加或更新保安功能要求 (Security Functional Requirement，簡稱 SFR)。

你可前往共同準則入口網站，查看「保護描述檔」(簡稱 PP) 和「協作保護描述檔」(簡稱 cPP) 的完整列表及其有效日期。你也可以在所選架構下 (例如屬美國架構的國家資訊保證合作組織 (National Information Assurance Partnership，簡稱 NIAP))，查看相關資料。

以下摘錄自「 EPL - 評估產品列表」頁面：

澳洲信號局 (Australian Signals Directorate，簡稱 ASD) 針對 ICT 保安產品設有評估產品列表 (EPL)，評估這些產品是否適合澳洲和紐西蘭政府機關使用。

• 列於 EPL 的產品已獲認證作特定用途。
• 列於 EPL 的產品可根據澳洲政府資訊安全手冊 (ISM) 所述用於建立保安系統和網絡。
• 產品已取得認證，符合國際認可的 ISO 15408 共同準則 (CC)。CC 入口網站列出雙方認可並可供使用的其他產品。
• ASD 的認證辦事處為澳洲認證授權局 (Australasian Certification Authority)，負責監管澳洲資訊安全評估計劃 (Australasian Information Security Evaluation Program，簡稱 AISEP)，該計劃用於管理授權商業評估機構所作的產品測試。
• EPL 也會列出 ASD 的加密評估。

產品：iOS 9
產品類型：流動產品
產品狀態：已完成
保證等級：由 ASD 評估
版本：9.3.5 或之後的版本
保安設定指南

以下摘錄自 NCSC 的「商用產品保證 - 基礎級產品」頁面：

CPA 根據已發佈的保安和開發標準，評估商用現成產品及其開發人員。成功通過評估的保安產品將獲得「基礎級」(Foundation Grade) 認證。這表示該產品經證實可展現良好的商業安全實務，適合在威脅較低的環境下使用。

• CPA 認證的有效期為 2 年，產品可在認證生命週期內就必要的漏洞和更新項目作出更新。
• CPA 認證已獲 NATO 目錄接受，並獲認定為 EU 目錄所需的評估之一。
• 基礎級由 NCSC 進一步提出說明。

以下陳述取自「流動通訊」頁面：

概覽

智能電話和平板電腦在職場和私人生活中帶來多項便利，在不同場合上成為大眾的日常生活夥伴。不過，在使用流動資訊科技和通訊技術處理敏感資訊時，往往需要在安全性上作出取捨。

供聯邦政府使用的安全流動通訊方案必須時刻符合現代流動裝置標準，在處理敏感資料的層面上亦須遵從高度安全規格。

此外，務必物色數個服務供應商，確保可向聯邦政府穩定提供服務。詳細資料載於「安全流動裝置：問題界定、科技標準和符合聯邦政府專用流動裝置規定的解決方案」小冊子。

SecurePIM Government SDS

作業系統：iOS

核准範圍涵蓋至 VS-NfD

製造商：virtual solution AG

最新 iOS 裝置 (iOS 12 或之後版本的 iPhone 和 iPad)

以下陳述取自「機密商業解決方案」頁面：

美國政府客戶日益要求國家安全系統 (National Security Systems，簡稱 NSS) 即時採用市場上最先進的商業硬件和軟件技術，以達成任務目標。因此，美國國家安全局/中央安全局 (National Security Agency/Central Security Service，簡稱 NSA/CSS) 的資訊保障局 (Information Assurance Directorate，簡稱 IAD) 正在制訂新方式，運用新興技術提供更及時的 IA 解決方案，以回應客戶急速變化的要求。

NSA/CSS 建立的機密商業解決方案 (Commercial Solutions for Classified，簡稱 CSfC) 計劃，旨在將商業產品用於保護機密 NSS 資料的分層解決方案。這樣便能以可實地使用數月 (而非數年) 的解決方案，依據商業標準進行安全通訊。

越來越多機密環境希望部署 Apple 解決方案，但因為產品認證原因而卻步。Apple 已根據上述保護描述檔取得「共同準則認證」，讓 Apple 產品得以列入「CSfC 組件列表」中。

當 Apple 產品開始針對各相關保護描述檔獲取額外的共同準則認證，相應的 Apple 組件便會申請列入「CSfC 組件列表」並新增於下方。

CSfC 組件列表

越來越多政府環境要求將 Apple 產品提交至類似 CPA、EPL 和 CSfC 的計劃。如果你是政府解決方案計劃的授權代理人，並有意將 Apple 產品列入你的等效產品列表，請傳送電郵至 security-certifications@apple.com 與我們聯絡。