macOS 保安認證
macOS 認證背景
Apple 會使用適合的保護剖繪,針對作業系統每個主要版本積極參與 macOS 的保安保障配置,而對於加密編譯模組則會使用 FIPS 140-3 要求。
一致性驗證只能針對 macOS 的最終發行版本執行。
macOS 加密編譯模組驗證狀態
「加密編譯模組驗證計劃」(CMVP)根據其目前狀態在三個單獨列表下維護加密編譯模組的驗證狀態。
如需更多資料,請參閲:加密編譯模組驗證狀態資料。
針對 Apple 電腦,以下表格顯示適用於各 Mac 技術的加密編譯模組。
加密編譯模組 | 保安層級 | 配備 Apple 晶片的 Mac 電腦 | 配備 Apple T2 保安晶片的 Mac 電腦 | 以 Intel 為基礎而未配備 Apple T2 保安晶片的 Mac 電腦 | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Apple 晶片用户空間 | 1 |
|
|
| |||||||
Apple 晶片核心 | 1 |
|
|
| |||||||
Intel 用户空間 | 1 |
|
|
| |||||||
Intel 核心 | 1 |
|
|
| |||||||
安全密鑰儲存庫 | 2 |
|
|
| |||||||
安全密鑰儲存庫 | 2 (配合物理保安層級 L3) |
|
|
| |||||||
FIPS 140-3 認證
2020 年,Apple 發表了以 Apple 晶片為基礎的 Mac 電腦。下表的「模組資訊」欄指出了加密編譯模組對 Apple 晶片或以 Intel 為基礎的 Mac 電腦的適用性。
附註:許多以 Intel 為基礎的 Mac 電腦都包含 Apple T2 保安晶片。如需 T2 晶片認證的相關資料,請參閲:Apple T2 保安晶片保安認證。
macOS ssh 用户端
針對特定 FIPS 140-3 演算法,OpenSSH 可以設定為使用 FIPS 140-3 已驗證模組。機構可以執行 Apple 所提供經簽署與公證的安裝程式(密碼為 FIPS140Mode)。安裝程式在會 Mac 上放置兩個檔案:
fips_ssh_config:位於 /private/etc/ssh/ssh_config.d/
fips_sshd_config:位於 /private/etc/ssh/sshd_config.d/
macOS 接着會使用這些檔案,將 OpenSSH 適用的加密方式限制為僅由 NIST 驗證的加密方式,並確保 OpenSSH 用户端使用由平台提供且經過驗證的加密編譯模組。管理員也可以製作自己的檔案。如需更多資料,請參閲 macOS 12.0.1 或較新版本中的 apple_ssh_and_fips man 頁面。
下表顯示實驗室目前正在測試的 Apple 加密編譯模組,這些加密編譯模組已由實驗室推薦進行 CMVP 的驗證,或已獲 CMVP 驗認和認證為與 FIPS 140-3 一致。
日期 | 認證/文件 | 模組資料 |
|---|---|---|
作業系統發佈日期:2022 完成驗證日期:— | 認證:尚未通過認證 | 標題:Apple Corecrypto 模組 v13.0 作業系統:Apple 晶片上的 macOS 13 Ventura 環境:Apple 晶片/ARM、用户、軟件 類型:軟件 保安層級:1 |
作業系統發佈日期:2022 完成驗證日期:— | 認證:尚未通過認證 | 標題:Apple Corecrypto 模組 v13.0 作業系統:Apple 晶片上的 macOS 13 Ventura 環境:Apple 晶片/ARM、核心、軟件 類型:軟件 保安層級:1 |
作業系統發佈日期:2022 完成驗證日期:— | 認證:尚未通過認證 | 標題:Apple Corecrypto 模組 v13.0 作業系統:與 Apple 晶片上的 macOS 13 Ventura 一起發佈的 sepOS 環境:Apple 晶片、安全密鑰儲存庫、硬件 類型:硬件(M1、M1 Pro、M1 Max、M1 Ultra、M2) 保安層級:2 物理保安層級:3 |
作業系統發佈日期:2022 完成驗證日期:— | 認證:尚未通過認證 | 標題:Apple Corecrypto 模組 v13.0 作業系統:Intel 上的 macOS 13 Ventura 環境:Intel、用户、軟件 類型:軟件 保安層級:1 |
作業系統發佈日期:2022 完成驗證日期:— | 認證:尚未通過認證 | 標題:Apple Corecrypto 模組 v13.0 作業系統:Intel 上的 macOS 13 Ventura 環境:Intel、核心、軟件 類型:軟件 保安層級:1 |
作業系統發佈日期:2022 完成驗證日期:— | 認證:尚未通過認證 | 標題:Apple Corecrypto 模組 v13.0 作業系統:與 macOS 13 Ventura ARM T2 一起發佈的 sepOS 環境:T2、安全密鑰儲存庫、硬件 類型:硬件(T2) 保安層級:2 |
作業系統發佈日期:2021 完成驗證日期:2024 年 10 月 1 日 | 認證:4817 | 標題:Apple Corecrypto 模組 v12.0 作業系統:Apple 晶片上的 macOS 12 Monterey 環境:Apple 晶片、用户、軟件 類型:軟件 保安層級:1 |
作業系統發佈日期:2021 完成驗證日期:— | 認證:尚未通過認證 | 標題:Apple Corecrypto 模組 v12.0 作業系統:Apple 晶片上的 macOS 12 Monterey 環境:Apple 晶片、核心、軟件 類型:軟件 保安層級:1 |
作業系統發佈日期:2021 完成驗證日期:— | 認證:尚未通過認證 | 標題:Apple Corecrypto 模組 v12.0 作業系統:與 Apple 晶片上的 macOS 12 Monterey 一起發佈的 sepOS 環境:Apple 晶片、安全密鑰儲存庫、硬件 類型:硬件(M1、M1 Pro、M1 Max) 保安層級:2 物理保安層級:3 |
作業系統發佈日期:2021 完成驗證日期:— | 認證:尚未通過認證 | 標題:Apple Corecrypto 模組 v12.0 作業系統:Intel 上的 macOS 12 Monterey 環境:Intel、用户、軟件 類型:軟件 保安層級:1 |
作業系統發佈日期:2021 完成驗證日期:— | 認證:尚未通過認證 | 標題:Apple Corecrypto 模組 v12.0 作業系統:Intel 上的 macOS 12 Monterey 環境:Intel、核心、軟件 類型:軟件 保安層級:1 |
作業系統發佈日期:2021 完成驗證日期:— | 認證:尚未通過認證 | 標題:Apple Corecrypto 模組 v12.0 作業系統:與配備 T2 之 Intel 上的 macOS 12 Monterey 一起發佈的 sepOS 環境:Intel、安全密鑰儲存庫、硬件 類型:硬件(T2) 保安層級:2 |
作業系統發佈日期:2020 完成驗證日期:2022 年 12 月 7 日 | 認證:4389 | 標題:Apple Corecrypto 模組 v11.1 作業系統:Intel 上的 macOS 11 Big Sur 環境:Intel、用户、軟件 類型:軟件 保安層級:1 |
作業系統發佈日期:2020 完成驗證日期:2022 年 12 月 7 日 | 認證:4390 | 標題:Apple Corecrypto 模組 v11.1 作業系統:Intel 上的 macOS 11 Big Sur 環境:Intel、核心、軟件 類型:軟件 保安層級:1 |
作業系統發佈日期:2020 完成驗證日期:2022 年 12 月 7 日 | 認證:4391 | 標題:Apple Corecrypto 模組 v11.1 作業系統:Apple 晶片上的 macOS 11 Big Sur 環境:Apple 晶片、用户、軟件 類型:軟件 保安層級:1 |
作業系統發佈日期:2020 完成驗證日期:2022 年 12 月 7 日 | 認證:4392 | 標題:Apple Corecrypto 模組 v11.1 作業系統:Apple 晶片上的 macOS 11 Big Sur 環境:Apple 晶片、核心、軟件 類型:軟件 保安層級:1 |
作業系統發佈日期:2020 完成驗證日期:2024 年 8 月 9 日 | 認證:4756 | 標題:Apple Corecrypto 模組 v11.1 作業系統:與 Apple 晶片上的 macOS 11 Big Sur 一起發佈的 sepOS、與 Intel 上的 macOS 11 Big Sur 一起發佈的 sepOS 環境:Apple 晶片、安全密鑰儲存庫、硬件 類型:硬件(M1) 保安層級:2 |
作業系統發佈日期:2020 完成驗證日期:2024 年 8 月 9 日 | 認證:4757 | 標題:Apple Corecrypto 模組 v11.1 作業系統:與 Apple 晶片上的 macOS 11 Big Sur 一起發佈的 sepOS 環境:Apple 晶片、安全密鑰儲存庫、硬件 類型:硬件(M1) 保安層級:2 物理保安層級:3 |
FIPS 140-2 認證
附註:許多以 Intel 為基礎的 Mac 電腦都包含 Apple T2 保安晶片。如需 T2 晶片認證的相關資料,請參閲:Apple T2 保安晶片保安認證。
下表顯示已經過 CMVP 認證為與 FIPS 140-2 一致的加密編譯模組。
先前版本
以下的 OS X 和 macOS 版本擁有加密編譯模組驗證。超過 5 年的版本會由 CMVP 以歷史記錄狀態列出:
2018 年的 macOS 10.14 Mojave-FIPS 140-2
2017 年的 macOS 10.13 High Sierra-FIPS 140-2
2016 年的 macOS 10.12 Sierra-FIPS 140-2
2015 年的 OS X 10.11 El Capitan-FIPS 140-2
2014 年的 OS X 10.10 Yosemite-FIPS 140-2
2013 年的 OS X 10.9 Mavericks-FIPS 140-2
2012 年的 OS X 10.8 Mountain Lion-FIPS 140-2
2011 年的 OS X 10.7 Lion-FIPS 140-2
2009 年的 OS X 10.6 Snow Leopard-FIPS 140-2
「共同準則」(CC)認證背景
Apple 針對作業系統每個主要版本積極參與 macOS 的評估。評估只能針對最終公開發行的作業系統版本進行。
「共同準則」(CC)認證狀態
由美國國家資訊保障聯盟(NIAP)運作的美國計劃維護了一份「評估中的產品」列表,該列表包括目前正在美國透過 NIAP 認可的「共同準則測試實驗室」(CCTL)進行評估並且已經完成「評估啟動會議」(或同級)的產品,而 CCEVS 管理層在該會議中已正式接受產品進行評估。
如需更多資料,請參閲:「共同準則」(CC)認證狀態資料。
下表顯示了目前正在由實驗室評估的認證,或已被認證符合「共同準則」的認證。
作業系統/認證日期 | 計劃 ID/文件 | 標題/保護剖繪 |
|---|---|---|
作業系統:macOS 14 Sonoma 認證日期:— | 計劃 ID:尚未通過認證 | 標題:Apple macOS 14 Sonoma 保護剖繪:通用作業系統 MDM 代理的 PP 設定、用於解鎖裝置的生物辨識註冊/驗證以及藍牙 |
作業系統:macOS 14 Sonoma 認證日期:— | 計劃 ID:尚未通過認證 | 標題:macOS 14 Sonoma 的 Apple 檔案保險箱 2 保護剖繪:全磁碟加密 - 授權獲取全磁碟加密 - 加密引擎版本 |
作業系統:macOS 13 Ventura 認證日期:2024 年 2 月 6 日 | 計劃 ID:11347 | 標題:macOS 13 Ventura 保護剖繪:截至 2021 年 4 月 15 日的「一般用途作業系統」和藍牙版本 1.0 之 PP 設定 |
作業系統:macOS 13 Ventura 認證日期:2023 年 12 月 4 日 | 計劃 ID:11348 | 標題:macOS 13 Ventura 的 Apple 檔案保險箱 2 保護剖繪:「一般用途作業系統」版本 4.2.1 的 PP 設定 |
已封存的 macOS 共同準則認證
以下先前的 macOS 版本具有「共同準則」驗證。它們是根據 NIAP 規則由 NIAP 封存:
作業系統/認證日期 | 計劃 ID/文件 | 標題/保護剖繪 |
|---|---|---|
作業系統:macOS 10.15 Catalina 認證日期:2021 年 4 月 29 日 | 計劃 ID:11078 | 標題:使用 macOS 10.15 Catalina 之 T2 電腦上的 Apple 檔案保險箱 2 保護剖繪: 適用於完整磁碟機加密的合作保護剖繪 - 認證獲取版本 2.0 + Errata 20190201 適用於完整磁碟機加密的合作保護剖繪 - 加密引擎版本 2.0 + Errata 20190201 |
作業系統:macOS 10.15 Catalina 認證日期:2020 年 9 月 23 日 | 計劃 ID:11077 | 標題:macOS 10.15 Catalina 保護剖繪:PP_OS_V4.21 |
如有 Apple 保安和私隱認證的相關問題,請聯絡 security-certifications@apple.com。