Apple 應用程式的安全性認證

本文針對屬於作業系統一部分的 Apple 原生應用程式，提供相關的重要產品認證、加密驗證及安全性指引等參考資料。

除了此處列出的一般認證之外，還可能包括為因應部分市場的特定安全要求所核發的其他認證。

如有任何疑問，請寫信到 security-certifications@apple.com 與我們聯絡。

關於這些認證與憑證，你可以一併參考下列文件：

• Apple Platform Security

如需有關 Apple 網際網路服務的公開認證資訊，請參閱：

• Apple Internet Services Certifications

如需有關 Apple 應用程式的公開認證資訊，請參閱：

• Security certifications for Apple applications

如需有關 Apple 作業系統的公開認證資訊，請參閱：

• Product security certifications for iOS

• Product security certifications for iPadOS

• Product security certifications for macOS

• Product security certifications for watchOS

• Product security certifications for tvOS

如需有關硬體及相關韌體組件的公開認證資訊，請參閱：

• SEP 的安全性認證（安全鑰匙儲存）」

• Security certifications for T2 and its firmware

加密模組驗證

所有 Apple FIPS 140-2/-3 一致性驗證認證均列於 CMVP 網站。Apple 會針對作業系統每次主要發行版本的 CoreCrypto User 和 CoreCrypto Kernel 模組主動展開驗證作業。一致性驗證僅能針對最終模組發行版本執行，且必須在作業系統公開發行時正式提交。

CMVP 會依加密模組目前的狀態，在四份獨立列表下維護其驗證狀態。這些模組會先放入 Implementation Under Test List（實作待測列表），然後再加入 Modules in Process List（檢測中的模組列表）。驗證完成後，它們會出現在已驗證加密模組列表，並在五年後移至「歷史」列表。

CMVP 於 2020 年採用國際標準 ISO/IEC 19790 作為 FIPS 140-3 的基礎。

更多關於 FIPS 140-2/-3 驗證的資訊，請參閱「Apple 平台安全性」。

Apple 的原生應用程式會呼叫經驗證為平台底層一部分的加密模組，如下表所示。

共同準則（CC）認證

NIAP 通常會維護 Product Compliant List（產品合規列表）上的評估兩年，之後這些評估會經過審核，以確認是否符合最新的保證維護規則。CC 入口網站可能會維護認證產品列表上的產品五年。

Common Criteria Portal（共同準則入口網站）列出了可根據「共同準則承認協定」（CCRA）取得相互認可的認證。

更多關於「共同準則」認證的資訊，請參閱「Apple 平台安全性」。

2018 年，Apple 開始針對在 iOS 11 上搭配 Safari 瀏覽器和「聯絡人」應用程式執行的主要應用程式，進行應用程式安全性評估。Apple 繼續對 iOS 12（2019 年）和 iOS 13（2020 年）上執行的應用程式進行這些評估。

對於未來作業系統版本上的重要應用程式，Apple 也會進行進一步的安全性評估。