SEP:安全密鑰庫的產品保安認證、驗證及指引

本文提供安全隔離區處理器 (簡稱 SEP):安全密鑰庫的重要產品認證、加密驗證及保安指引等參考資料。如有任何疑問,請傳送電郵至 security-certifications@apple.com 與我們聯絡。

安全隔離區處理器

安全隔離區是單一系統級晶片 (簡稱 SoC) 配備的協同處理器,配用加密記憶體,並內設硬件隨機號碼生成器。安全隔離區專為「資料保護」金鑰管理系統提供所有加密操作,在核心遭受盜用時保持「資料保護」系統完整。安全隔離區與應用程式處理器之間通訊被隔離至中斷啟動信箱和共享記憶體資料緩衝區。

安全隔離區內設專屬的安全隔離區 Boot ROM。就如應用程式處理器 Boot ROM 一樣,安全隔離區 Boot ROM 是一組固定編碼,專為安全隔離區設立硬件信任根源。

安全隔離區運行安全隔離區 OS,以 Apple 自訂的 L4 微型核心為本。安全隔離區 OS 由 Apple 簽署批核,並經安全隔離區 Boot ROM 驗證,透過自訂軟件更新程序進行更新。

部分內置功能使用安全密鑰庫 (可作硬件保護之用),當中包括:

  • 解鎖裝置或帳戶 (密碼和生物識別)
  • 硬件加密/資料保護/檔案保險箱 (靜態資料)
  • 安全開機 (韌體與 OS 信任和完整性)
  • 相機硬件控制 (FaceTime)

加密模組驗證

所有 Apple FIPS 140-2 Conformance Validation Certificate (一致性驗證認證) 均載於 CMVP 供應商網頁。對於 macOS 的每個主要發行版本,Apple 積極參與 CoreCrypto 和 CoreCrypto Kernel 模組的驗證。驗證只能針對最終模組發行版本執行,而且必須在操作系統公開發行時正式提交。現時,CMVP 以兩份不同列表管理加密模組的驗證狀態,視乎其目前狀態而定。模組會先加入 Implementation Under Test List (實作待測列表),然後再列入 Modules in Process List (正進行評測的模組列表)。

硬件加密模組 (Apple SEP 安全密鑰庫加密模組) 內嵌於 Apple 單一系統級晶片,但僅限於 A iPhone/iPad、S Apple Watch Series 和 T 2017 年或之後推出的 iMac Pro 的 Mac 系統內置安全晶片。

FIPS 140-2 第一級 (iOS 11、tvOS 11、watchOS 4 和 T2 韌體 - macOS High Sierra 10.13)

軟件加密模組的驗證同步,適用於 2017 年發佈的操作系統:iOS 11、tvOS 11、watchOS 4 和 macOS Sierra 10.13。被識別為 Apple SEP 安全密鑰庫加密模組 v1.0 的硬件加密模組初步會按 FIPS 140-2 第一級規定驗證。

FIPS 140-2 第二級 (iOS 12、tvOS 12、watchOS 5 和 T2 韌體 - macOS Mojave 10.14)

Apple 亦按 FIPS 140-2 第二級規定驗證硬件模組,並已更新模組版本識別碼至 v9.0,以與相應的軟件模組驗證保持同步。 

Apple SEP 安全密鑰庫加密模組 v9.0 已按 FIPS 140-2 第二級規定進行驗證,且適用於 2018 年發佈的操作系統:iOS 12、tvOS 12、watchOS 5 和隨附 macOS Mojave 10.14 的 T2 韌體。

FIPS 140-2 第三級

對於未來操作系統和裝置所用的安全密鑰庫加密模組,Apple 將會遵循 FIPS 140-2 第三級規定。正如先前所述,在驗證流程中,模組會先加入Implementation Under Test List (實作待測列表),然後再列入Modules in Process List (正進行評測的模組列表),最後會在Validated Modules List (已驗證模組列表) 上顯示。返回此頁查看更新。

保安認證

以下列出 Apple 已完成的有效公認認證。

共同準則 (Common Criteria) 認證

根據「共同準則」社群所述,「共同準則認證」旨在制定國際認可的安全標準,針對資訊科技產品的保安功能提供明確可靠的評估方式。「共同準則認證」會獨立評估產品是否符合安全標準,以提升客戶對資訊科技產品安全性的信心,幫助客戶作出更明智的決策。

在「共同準則承認協定」(Common Criteria Recognition Arrangement,簡稱 CCRA) 下,各成員國家和地區同意以相同的信心水平認可資訊科技產品的認證。隨著成員國家/地區數目增加,保護描述檔 (Protection Profile) 的深度和廣度也逐年增長,以迎合新興技術。在此協定下,產品開發人員無論在任何一種授權架構 (Authorizing Scheme) 下,皆只須取得單一認證。

舊有的保護描述檔 (簡稱 PP) 已經封存,且已開始由針對特定解決方案和環境所制訂的目標保護描述檔所取代。國際技術社群 (International Technical Community,簡稱 iTC) 為協力確保所有 CCRA 成員能持續互相認可,會繼續推動未來所有 PP 開發和協作保護描述檔 (Collaborative Protection Profile,簡稱 cPP) 更新;cPP 在開發初期就已採用多種架構。

由 2015 年初開始,Apple 便致力在經重整的全新「共同準則」下以特定 PP 取得認證。

其他操作系統

進一步了解以下系統的產品保安、驗證和指引:

發佈日期: