- Списки доступных доверенных корневых сертификатов в ОС iOS
- Блокировка доверия для сертификата WoSign CA Free SSL Certificate G2
- Сведения о хранилище доверия и сертификатах
- Хранилище доверия iOS
- Сертификация безопасности для iOS
- Вводная информация о сертификации iOS
- Статус проверки криптографических модулей iOS
- Сертификаты FIPS 140-3
- Сертификаты FIPS 140-2
- Предыдущие версии
- Вводная информация о сертификации по общим критериям (CC)
- Статус сертификации по общим критериям (CC)
- Архивные сертификаты по общим критериям для iOS
Списки доступных доверенных корневых сертификатов в ОС iOS
Хранилище доверия iOS содержит надежные корневые сертификаты, предустановленные с операционной системой iOS.
Блокировка доверия для сертификата WoSign CA Free SSL Certificate G2
Центр сертификации (ЦС) WoSign несколько раз допускал ошибки, связанные с управлением, при выдаче сертификатов через промежуточный ЦС WoSign CA Free SSL Certificate G2. Хотя корневой сертификат WoSign находится в списке доверенных сертификатов Apple, этот промежуточный центр сертификации использовался для связей сертификатов с перекрестной подписью с StartCom и Comodo, чтобы установить отношение доверия с продуктами Apple.
В свете этих обстоятельств мы принимаем меры по защите пользователей в рамках обновления безопасности. Продукты Apple больше не доверяют промежуточному центру сертификации WoSign CA Free SSL Certificate G2.
Чтобы предотвратить прекращение обслуживания держателей сертификатов WoSign и обеспечить для них переход на доверенные корневые сертификаты, продукты Apple доверяют индивидуальным существующим сертификатам, выданным этим промежуточным центром сертификации и опубликованным на общедоступных серверах журналов Certificate Transparency до 19 сентября 2016 года. Эти сертификаты будут считаться доверенными до тех пор, пока не истечет их срок действия, они не будут отозваны или не будут признаны недоверенными компанией Apple.
По мере изучения проблемы и обнаружении дополнительных уязвимостей, появляющихся из-за использования точек доверия WoSign/StartCom в продуктах Apple, мы будем принимать необходимые меры для защиты пользователей.
Дальнейшие действия для WoSign
В ходе дальнейшего исследования мы пришли к выводу, что помимо многочисленных ошибок управления в работе центра сертификации WoSign (CA), организация WoSign не сообщила о приобретении StartCom.
Мы продолжаем принимать меры для защиты пользователей в предстоящем обновлении безопасности. Продукты Apple будут блокировать сертификаты, выданные корневыми центрами сертификации WoSign и StartCom, если их дата Not Before (Не раньше) выпадает на 1 декабря 2016 г. 00:00:00 GMT/UTC или позже.
Сведения о хранилище доверия и сертификатах
В каждом перечисленном ниже хранилище доверия iOS содержится три категории сертификатов:
- Доверенные сертификаты устанавливают цепочку доверия для проверки других сертификатов, подписанных доверенными корнями (например, для установки безопасного соединения с веб-сервером). Когда ИТ-администраторы создают профили конфигурации для ОС iOS, нет необходимости включать эти доверенные корневые сертификаты.
- Недоверенные сертификаты ненадежны, но они не блокируются. Если используется один из таких сертификатов, пользователю будет предложено выбрать, доверять ему или нет.
- Заблокированные сертификаты считаются опасными и никогда не будут доверенными.
Хранилище доверия iOS
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.
Источник
Сертификация безопасности для iOS
Вводная информация о сертификации iOS
Apple активно участвует в проверке встроенных программных и аппаратных модулей Apple для каждого основного выпуска операционных систем. Проверка на соответствие может быть выполнена только для окончательной версии.
Статус проверки криптографических модулей iOS
Статус проверки криптографических модулей в программе проверки криптографических модулей (CMVP) указывается в трех отдельных списках в зависимости от текущего статуса.
Чтобы модуль попал в список компонентов, переданных на тестирование, у лаборатории должен быть заключен контракт с Apple на проведение тестирования.
После того как лаборатория завершила тестирование модуля, порекомендовала его проверку по программе CMVP и были оплачены взносы CMVP, модуль добавляется в список проверяемых модулей (MIP). В списке проверяемых модулей отображается статус проверки по CMVP. Это может быть один из четырех этапов:
Ожидается проверка. Ожидание назначения ресурсов CMVP.
Выполняется проверка. Ресурсы CMVP выполняют требуемые действия по проверке.
Согласование. Лаборатория и CMVP устраняют любые обнаруженные проблемы.
Завершение. Действия и официальные процедуры, связанные с выдачей сертификата.
После проверки по программе CMVP модули получают сертификат соответствия и добавляются в список проверенных криптографических модулей. Список содержит модули с указанными далее статусами:
проверяемые модули отмечаются как текущие;
через 5 лет модулям присваивается архивный статус;
в случае отзыва сертификата модуля по какой-либо причине сертификату присваивается статус отозванного.
В 2020 г. в рамках программы CMVP международный стандарт ISO/IEC 19790 был принят в качестве основы для FIPS 140-3.
Сертификаты FIPS 140-3
Текущий статус
Пространство пользователя, пространство ядра и безопасное хранилище ключей iOS 14 (2020 г.) прошли лабораторное тестирование и были рекомендованы лабораторией для проверки по программе CMVP. Они перечислены в списке проверяемых модулей.
Пространство пользователя, пространство ядра и безопасное хранилище ключей iOS 15 (2021 г.) проходят лабораторное тестирование. Они находятся в списке компонентов, переданных на тестирование.
Информация о модуле
Дата выпуска операционной системы: 2021
Сертификаты: сертификаты пока не получены
Название: модуль Apple Corecrypto версии 12
Операционная система: iOS 15
Среда: чип Apple, пользователь, программное обеспечение
Тип: программное обеспечение
Уровень общей безопасности: 1
Дата выпуска операционной системы: 2021
Сертификаты: сертификаты пока не получены
Название: модуль Apple Corecrypto версии 12
Операционная система: iOS 15
Среда: чип Apple, ядро, программное обеспечение
Тип: программное обеспечение
Уровень общей безопасности: 1
Дата выпуска операционной системы: 2021
Сертификаты: сертификаты пока не получены
Название: модуль Apple Corecrypto версии 12
Операционная система: sepOS, распространяемая с iOS 15
Среда: чип Apple, безопасное хранилище ключей, аппаратное обеспечение
Тип: аппаратное обеспечение (A9-A14)
Уровень общей безопасности: 2
Дата выпуска операционной системы: 2021
Сертификаты: сертификаты пока не получены
Название: модуль Apple Corecrypto версии 12
Операционная система: sepOS, распространяемая с iOS 15
Среда: чип Apple, безопасное хранилище ключей, аппаратное обеспечение
Тип: аппаратное обеспечение (A13, A14, A15)
Уровень общей безопасности: 2
Уровень физической безопасности: 3
Дата выпуска операционной системы: 2020
Сертификаты: сертификаты пока не получены
Название: модуль Apple Corecrypto версии 11.1
Операционная система: iOS 14
Среда: чип Apple, пользователь, программное обеспечение
Тип: программное обеспечение
Уровень общей безопасности: 1
Дата выпуска операционной системы: 2020
Сертификаты: сертификаты пока не получены
Название: модуль Apple Corecrypto версии 11.1
Операционная система: iOS 14
Среда: чип Apple, ядро, программное обеспечение
Тип: программное обеспечение
Уровень общей безопасности: 1
Дата выпуска операционной системы: 2020
Сертификаты: сертификаты пока не получены
Название: модуль Apple Corecrypto версии 11.1
Операционная система: sepOS, распространяемая с iOS 14
Среда: чип Apple, безопасное хранилище ключей, аппаратное обеспечение
Тип: аппаратное обеспечение (A9-A14)
Уровень общей безопасности: 2
Дата выпуска операционной системы: 2020
Сертификаты: сертификаты пока не получены
Название: модуль Apple Corecrypto версии 11.1
Операционная система: sepOS, распространяемая с iOS 14
Среда: чип Apple, безопасное хранилище ключей, аппаратное обеспечение
Тип: аппаратное обеспечение (A13-A14)
Уровень общей безопасности: 2
Уровень физической безопасности: 3
Сертификаты FIPS 140-2
В следующей таблице показаны криптографические модули, которые в настоящее время проходят тестирование и прошли лабораторное тестирование на соответствие стандарту FIPS 140-2.
Информация о модуле
Дата выпуска операционной системы: 2019
Даты проверок: 23.03.2021
Название: модуль Apple Corecrypto User версии 10.0 для устройств с процессорами ARM
Операционная система: iOS 13
Тип: программное обеспечение
Уровень безопасности: 1
Дата выпуска операционной системы: 2019
Даты проверок: 23.03.2021
Название: модуль Apple Corecrypto Kernel версии 10.0 для устройств с процессорами ARM
Операционная система: iOS 13
Тип: программное обеспечение
Уровень безопасности: 1
Дата выпуска операционной системы: 2019
Даты проверок: 05.02.2021
Название: криптографический модуль безопасного хранилища ключей Apple версии 10.0
Операционная система: sepOS, распространяемая с iOS 13
Тип: аппаратное обеспечение
Уровень безопасности: 2
Дата выпуска операционной системы: 2018
Даты проверок: 23.04.2019
Название: модуль Apple Corecrypto Kernel версии 9.0 для устройств с процессорами ARM
Операционная система: iOS 12
Тип: программное обеспечение
Уровень безопасности: 1
Дата выпуска операционной системы: 2018
Даты проверок: 11.04.2019
Название: модуль Apple Corecrypto User версии 9.0 для устройств с процессорами ARM
Операционная система: iOS 12
Тип: программное обеспечение
Уровень безопасности: 1
Дата выпуска операционной системы: 2018
Даты проверок: 10.09.2019
Название: криптографический модуль безопасного хранилища ключей Apple версии 9.0
Операционная система: sepOS, распространяемая с iOS 12
Тип: аппаратное обеспечение
Уровень безопасности: 2
Дата выпуска операционной системы: 2017
Даты проверок: 09.03.2018, 22.05.2018, 06.07.2018
Название: модуль Apple Corecrypto User версии 8.0 для устройств с процессорами ARM
Операционная система: iOS 11
Тип: программное обеспечение
Уровень безопасности: 1
Дата выпуска операционной системы: 2017
Даты проверок: 09.03.2018, 17.05.2018, 03.07.2018
Название: модуль Apple Corecrypto Kernel версии 8.0 для устройств с процессорами ARM
Операционная система: iOS 11
Тип: программное обеспечение
Уровень безопасности: 1
Дата выпуска операционной системы: 2017
Даты проверок: 10.09.2019
Название: криптографический модуль безопасного хранилища ключей Apple версии 1.0
Операционная система: sepOS, распространяемая с iOS 11
Тип: аппаратное обеспечение
Уровень безопасности: 2
Дата выпуска операционной системы: 2016
Даты проверок: 01.02.2017
Название: модуль Apple Corecrypto Kernel версии 7.0 для iOS
Операционная система: iOS 10
Тип: программное обеспечение
Уровень безопасности: 1
Дата выпуска операционной системы: 2016
Даты проверок: 01.02.2017
Название: модуль Apple Corecrypto Kernel версии 7.0 для iOS
Операционная система: iOS 10
Тип: программное обеспечение
Уровень безопасности: 1
Предыдущие версии
Сертификатам, выпущенным более 5 лет назад, по программе CMVP присваивается архивный статус. Перечисленные ниже предыдущие версии iOS прошли проверку криптографических модулей:
iOS 9 (модули corecrypto версии 6.0)
iOS 8 (модули corecrypto версии 5.0)
iOS 7 (модули corecrypto версии 4.0)
iOS 6 (модули corecrypto версии 3.0)
Вводная информация о сертификации по общим критериям (CC)
Apple активно участвует в оценке каждого основного выпуска операционной системы iOS. Оценка может быть выполнена только для окончательной общедоступной версии операционной системы. До версии iPadOS 13.1 вместо iPadOS использовалось название iOS.
Статус сертификации по общим критериям (CC)
За управление схемой США отвечает Национальное партнерство по обеспечению достоверности информации (NIAP), которое ведет список продуктов, проходящих проверку. Этот список включает продукты, которые в настоящее время проходят оценку в США в одобренной NIAP лаборатории тестирования по общим критериям (CCTL) и по которым было проведено вводное совещание (или его аналог), во время которого руководство CCEVS официально приняло продукт для оценки.
После сертификации продуктов NIAP вносит текущие действующие сертификаты в список совместимых продуктов. Через 2 года эти сертификаты проверяются на соответствие текущей политике поддержания гарантий безопасности. По истечении срока поддержания гарантий безопасности NIAP перемещает список сертификатов в список архивных продуктов.
На портале общих критериев перечислены сертификаты, которые признаны участниками Соглашения о признании общих критериев (CCRA). Портал общих критериев может поддерживать продукты в списке сертифицированных продуктов в течение 5 лет и сохраняет записи для архивных сертификатов.
В таблице ниже показаны сертификаты, которые в настоящее время проходят проверку в лаборатории или которые были сертифицированы как соответствующие общим критериям.
Текущий статус
В настоящее время проводится лабораторное тестирование для оценки iOS 15 при участии NIAP. Новейшая информация приведена в списке продуктов, проходящих проверку (NIAP) и в списке совместимых продуктов.
Операционная система/дата сертификации
Операционная система: iOS 15
Идентификатор схемы: сертификаты пока не получены
Название: Apple iOS 15 : iPhone
Профили защиты: Основная защита мобильных устройств (в отношении модулей PP еще нет подтверждения)
Операционная система: iOS 14
Дата сертификации: 01.09.2021
Название: Apple iOS 14 : iPhone
Профили защиты: Основная защита мобильных устройств, модуль для клиента VPN, модуль PP для клиента WLAN, расширенный пакет для агента MDM
Операционная система: iOS 13
Дата сертификации: 06.11.2020
Название: Apple iOS 13 на iPhone
Профили защиты: Основная защита мобильных устройств, модуль для клиента VPN, расширенный пакет для клиента WLAN, расширенный пакет для агента MDM
Архивные сертификаты по общим критериям для iOS
Перечисленные ниже предыдущие версии iOS прошли проверку по общим критериям. Они помещены в архив NIAP в соответствии с политикой NIAP:
Операционная система/дата сертификации
Операционная система: iOS 12
Дата сертификации: 14.03.2019
Название: iPhone с iOS 12
Профили защиты: основная защита мобильных устройств, модуль для клиента VPN, расширенный пакет для клиента беспроводной локальной сети, расширенный пакет для агента MDM
Операционная система: iOS 11
Дата сертификации: 17.07.2018
Название: Apple iOS 11
Профили защиты: основная защита мобильных устройств, расширенный пакет для клиента беспроводной локальной сети, расширенный пакет для агента MDM
Операционная система: iOS 10
Дата сертификации: 27.07.2017
Документы: Задание по безопасности, Руководство
Название: iOS 10.2 на устройствах iPhone и iPad
Профили защиты: основная защита мобильных устройств, расширенный пакет для клиента беспроводной локальной сети, расширенный пакет для агента MDM
Операционная система: iOS 10
Дата сертификации: 27.07.2017
Документы: Задание по безопасности, Руководство
Название: клиент VPN в iOS 10.2 на iPhone и iPad
Профили защиты: профиль защиты клиента VPN
Операционная система: iOS 9
Дата сертификации: 14.10.2016
Документы: Задание по безопасности, Руководство
Название: iOS 9.3.2 с агентом MDM
Профили защиты: основная защита мобильных устройств, расширенный пакет для агента MDM
Операционная система: iOS 9
Дата сертификации: 13.10.2016
Документы: Задание по безопасности, Руководство
Название: клиент VPN ОС на iPhone и iPad
Профили защиты: профиль защиты клиента VPN
Операционная система: iOS 9
Дата сертификации: 28.01.2016
Документы: Задание по безопасности, Руководство
Профили защиты: основная защита мобильных устройств
Источник