- Сертификация приложений Apple по требованиям безопасности
- Проверки криптографических модулей
- Сертификация в соответствии с требованиями стандарта «Общие критерии»
- Certificates
- Using certificates
- Protecting your account and certificates
- Expired or revoked certificates
- Compromised certificates
- I received an error message saying, «Xcode could not find a valid private-key/certificate pair for this profile in your keychain.»
- What happens to my applications signed with Developer ID if my Apple Developer Program membership expires?
Сертификация приложений Apple по требованиям безопасности
В этой статье содержатся ссылки на ресурсы с информацией о сертификации ключевых продуктов и проверке криптографических модулей, а также на рекомендации в области безопасности приложений Apple в составе операционной системы.
В дополнение к общим сертификатам, перечисленным здесь, возможно, были выпущены другие сертификаты, подтверждающие соответствие определенным требованиям безопасности для некоторых рынков.
Свяжитесь с нами по адресу security-certifications@apple.com, если у вас есть вопросы.
В контексте данных сертификаций и проверок могут быть полезны следующие документы.
Сведения о сертификации интернет-сервисов Apple в соответствии с открытыми требованиями см. в статье.
Сведения о сертификации приложений Apple в соответствии с открытыми требованиями см. в следующей статье.
Сведения о сертификации операционных систем Apple в соответствии с открытыми требованиями см. в следующих статьях.
Сведения о сертификации аппаратного обеспечения и связанных с ним прошивок в соответствии с открытыми требованиями см. в следующих статьях.
Проверки криптографических модулей
Все сертификаты, подтверждающие соответствие продукции Apple требованиям стандартов FIPS 140-2/-3, опубликованы на веб-сайте программы CMVP. Компания Apple активно участвует в проверке модулей CoreCrypto User и CoreCrypto Kernel для каждого основного выпуска операционной системы. Проверка подтверждения соответствия выполняется только для окончательных версий модулей. Результаты передаются на официальное рассмотрение после выпуска ОС.
Состояние проверки криптографических модулей в CMVP указывается в четырех отдельных списках в зависимости от текущего состояния. Сначала модули могут попасть в список тестируемых реализаций, а затем переходят в список обрабатываемых модулей. После проверки они переносятся в список проверенных криптографических модулей, а через пять лет перемещаются в архивный список.
В 2020 году в рамках программы CMVP международный стандарт ISO/IEC 19790 будет принят в качестве основы для FIPS 140-3.
Дополнительные сведения о проверках на соответствие требованиям стандартов FIPS 140-2/-3 см. в статье Безопасность платформы Apple.
Собственные приложения Apple обращаются к криптографическим модулям, которые были проверены в составе базовой платформы. Сведения о них содержатся в таблице ниже.
| Номер сертификата CMVP | Название модуля | Тип модуля | SL | Дата проверки | Документы | |
|---|---|---|---|---|---|---|
| Проверяйте список тестируемых реализаций и список обрабатываемых модулей. | ||||||
| iOS 12 | 3438 | Модуль Apple CoreCrypto Kernel версии 9.0 для устройств с процессорами ARM | Программный | 1 | 23.04.2019 |
|
| 3433 | Модуль Apple CoreCrypto User версии 9.0 для устройств с процессорами ARM | Программный | 1 | 11.04.2019 |
| |
| 3523 | Криптографический модуль защищенного хранения ключей Apple версии 9.0 (sepOS) | Аппаратный | 2 | 10.09.2019 |
| |
| iOS 11 | 3148 | Модуль Apple CoreCrypto User версии 8.0 для устройств с процессорами ARM | Программный | 1 | 09.03.2018 | |
06.07.2018
- Сертификат
- Политика безопасности
- Рекомендации для лица, ответственного за СКЗИ
03.07.2018
- Сертификат
- Политика безопасности
- Рекомендации для лица, ответственного за СКЗИ
(sepOS)
- Сертификат
- Политика безопасности
- Рекомендации для лица, ответственного за СКЗИ
Сертификация в соответствии с требованиями стандарта «Общие критерии»
В рамках партнерства NIAP оценка соответствия обычно поддерживается в списке продукции, соответствующей требованиям, в течение двух лет. После этого выполняется повторный анализ соответствия в соответствии с действующей политикой поддержания соответствия требованиям. На портале стандарта «Общие критерии» продукты могут присутствовать в списке сертифицированных продуктов в течение пяти лет.
Перечисленные на портале «Общие критерии» сертификаты могут быть взаимно признаны в соответствии с Соглашением о признании общих критериев (CCRA).
Дополнительные сведения о сертификации на соответствие требованиям стандарта «Общие критерии» см. в документе Безопасность платформы Apple.
В 2018 году компания Apple ввела систему анализа безопасности для ключевых приложений на базе iOS 11 с помощью браузера Safari и приложений «Контакты». Компания Apple продолжала выполнять анализ приложений, работающих на базе iOS 12 в 2019 году и iOS 13 в 2020 году.
Компания Apple будет и в дальнейшем проводить анализ безопасности ключевых приложений в следующих выпусках операционной системы.
| ИД схемы | Название | Профили защиты | Дата сертификации | Документы | |
|---|---|---|---|---|---|
| Опубликованные в настоящее время оценки NIAP доступны на странице Продукты, проходящие оценку (NIAP). | |||||
| iOS 13 | 11060 | Apple iOS 13 и iPadOS 13: Safari | PP для ПО приложения | ||
EP для веб-браузеров
- Сертификат
- Задание по безопасности
- Методика тестирования
- Отчет по результатам проверки
- Отчет по методике поддержания статуса соответствия
- Сертификат
- Задание по безопасности
- Методика тестирования
- Отчет по результатам проверки
- Отчет по методике поддержания статуса соответствия
EP для веб-браузеров
- Сертификат
- Задание по безопасности
- Методика тестирования
- Отчет по результатам проверки
- Отчет по методике поддержания статуса соответствия
- Сертификат
- Задание по безопасности
- Методика тестирования
- Отчет по результатам проверки
- Отчет по методике поддержания статуса соответствия
EP для веб-браузеров
- Сертификат
- Задание по безопасности
- Методика тестирования
- Отчет по результатам проверки
- Отчет по методике поддержания статуса соответствия
- Сертификат
- Задание по безопасности
- Методика тестирования
- Отчет по результатам проверки
- Отчет по методике поддержания статуса соответствия
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.
Источник
Certificates
Apple Developer Program membership is required to request, download, and use signing certificates issued by Apple.
Using certificates
In most cases, Xcode is the preferred method to request and install digital certificates. However, to request certificates for services such as Apple Pay, the Apple Push Notification service, Apple Wallet, and Mobile Device Management, you’ll need to request and download them from Certificates, Identifiers & Profiles in your developer account. Distribution certificates can be requested only by Account Holders and Admins.
For more information on how to use signing certificates, review Xcode Help.
Protecting your account and certificates
Your Apple ID, authentication credentials, and related account information and materials (such as Apple Certificates used for distribution or submission to the App Store) are sensitive assets that confirm your identity.
- Keep your Apple ID and authentication credentials secure and do not share them with anyone. To learn more, see Security and your Apple ID .
- Do not share Apple Certificates outside of your organization. To learn how to securely share them with trusted team members within your organization, see Maintain Signing Assets in Xcode Help.
Expired or revoked certificates
- Apple Push Notification Service Certificate
You can no longer send push notifications to your app. - Apple Pay Payment Processing Certificate
Apple Pay transactions in your apps and on your websites will fail. - Apple Pay Merchant Identity Certificate
Apple Pay transactions on your websites will fail. - Pass Type ID Certificate (Wallet)
If your certificate expires, passes that are already installed on users’ devices will continue to function normally. However, you’ll no longer be able to sign new passes or send updates to existing passes. If your certificate is revoked, your passes will no longer function properly. - iOS Distribution Certificate (App Store)
If your Apple Developer Program membership is valid, your existing apps on the App Store won’t be affected. However, you’ll no longer be able to upload new apps or updates signed with the expired or revoked certificate to the App Store. - iOS Distribution Certificate (in-house, internal-use apps)
Users will no longer be able to run apps that have been signed with this certificate. You must distribute a new version of your app that is signed with a new certificate. - Mac App Distribution Certificate and Mac Installer Distribution Certificate (Mac App Store)
If your Apple Developer Program membership is valid, your existing apps on the Mac App Store won’t be affected. However, you’ll no longer be able to upload new apps or updates signed with the expired or revoked certificate to the Mac App Store. - Developer ID Application Certificate (Mac applications)
If your certificate expires, users can still download, install, and run versions of your Mac applications that were signed with this certificate. However, you’ll need a new certificate to sign updates and new applications. If your certificate is revoked, users will no longer be able to install applications that have been signed with this certificate. If your Mac application utilizes a Developer ID provisioning profile to take advantage of advanced capabilities such as CloudKit and push notifications, you must ensure your Developer ID provisioning profile is valid in order for installed versions of your application to run. Read more. - Developer ID Installer Certificate (Mac applications)
If your certificate expires, users can no longer launch installer packages for your Mac applications that were signed with this certificate. Previously installed apps will continue to run however new installations won’t be possible until you have re-signed your installer package with a valid Developer ID Installer certificate. If your certificate is revoked, users will no longer be able to install applications that have been signed with this certificate. - Apple Worldwide Developer Relations Certification Intermediate Certificate
The Apple Worldwide Developer Relations Certificate Authority issues certificates used by developers for signing third-party apps and Safari Extensions, and for using Apple Wallet and Apple Push Notification services.
The current Apple Worldwide Developer Relations Certification Intermediate Certificate is set to expire on February 7, 2023. The renewed certificate will be used to sign new iOS Distribution Certificates issued after September 2, 2020 for the Apple Developer Enterprise Program. Remaining certificates for all program types will be updated in the future and this page will be updated to reflect additional certificate changes. Read more.
Note: Apple can revoke digital certificates at any time at its sole discretion. For more information, read the Apple Developer Program License Agreement in your developer account.
Compromised certificates
If you suspect that your Pass Type ID certificate or Developer ID certificate and private key have been compromised, and would like to request revocation of the certificate, send an email to product-security@apple.com. You can continue to develop and distribute passes by requesting an additional certificate in your developer account.
I received an error message saying, «Xcode could not find a valid private-key/certificate pair for this profile in your keychain.»
This error message indicates that your system’s keychain is missing either the public or private key for the certificate you’re using to sign your application.
This often happens when you’re trying to sign and build your application from a different system than the one you originally used to request your code signing certificate. It can also happen if your certificate has expired or has been revoked. Ensure that your app’s provisioning profile contains a valid code signing certificate, and that your system’s Keychain contains that certificate, the private key originally used to generate that certificate, and the WWDR Intermediate Certificate.
For instructions on how to resolve this error, review the Code Signing support page.
What happens to my applications signed with Developer ID if my Apple Developer Program membership expires?
If your membership expires, users can still download, install, and run your applications that are signed with Developer ID. However, once your Developer ID certificate expires, you must be an Apple Developer Program member to get new Developer ID certificates to sign updates and new applications.
Feedback Assistant
Submit bug reports and request enhancements to APIs and developer tools.
Send us feedback
Developer Forums
Ask questions and find answers by Apple engineers and other developers.
Contact Us
Tell us how we can help and we’ll find a solution by phone or email.
Источник
