Sigurnost Apple platforme Proljeće 2020. Sadržaj
Uvod u sigurnost Apple platforme 5
Obveza za sigurnost 6
Sigurnost hardvera i biometrija 8
Pregled sigurnosti hardvera 8 Secure Enclave 9 Dedicirani AES modul 10 Touch ID i Face ID 12 Hardversko isključivanje mikrofona u Macu i iPadu 17 Express Card kartice sa štednjom energije u iPhoneu 17
Sigurnost sustava 18
Pregled sigurnosti sustava 18 Generiranje nasumičnih brojeva 18 Sigurno podizanje sustava 19 Sigurnosna ažuriranja softvera 28 Integritet sustava OS u sustavu iOS i iPadOS 29 Integritet sustava OS u sustavu macOS 31 Sigurnost sustava watchOS 37
Enkripcija i zaštita podataka 40
Pregled enkripcije i zaštite podataka 40 Kako Apple štiti osobne podatke korisnika 40 Uloga Apple sustava datoteka 41 Zaštita podataka u sustavu iOS i iPadOS 42 Enkripcija u sustavu macOS 48 Šifre i lozinke 54 Autentikacija i digitalno potpisivanje 56 Zbirke ključeva 58
Sigurnost Apple platforme 2 Sigurnost aplikacija 61
Pregled sigurnosti aplikacija 61 Sigurnost aplikacija u sustavu iOS i iPadOS 62 Sigurnost aplikacija u sustavu macOS 67 Sigurnosne značajke u aplikaciji Bilješke 70 Sigurnosne značajke u aplikaciji Prečaci 71
Sigurnost usluga 72
Pregled sigurnosti usluga 72 Apple ID i Upravljani Apple ID 72 iCloud 74 Upravljanje šiframa i lozinkama 78 Apple Pay 85 iMessage 97 Dopisivanje s poduzećem 100 FaceTime 101 Pronalaženje 101 Kontinuitet 105
Sigurnost mreže 109
Pregled sigurnosti mreže 109 Sigurnost TLS mreže 109 Virtualne privatne mreže (VPN-ovi) 110 Sigurnost Wi-Fi mreže 111 Sigurnost Bluetootha 114 Ultra Wideband tehnologija 116 Jednostruka prijava 116 Sigurnost značajke AirDrop 117 Dijeljenje lozinke za Wi-Fi 118 Vatrozid u sustavu macOS 118
Kompleti alata za developere (“Developer Kits”) 119
Pregled kompleta alata za developere 119 HomeKit 119 HealthKit 125 CloudKit 127 SiriKit 127 DriverKit 128 ReplayKit 128 Camera i ARKit 130
Sigurnost Apple platforme 3 Sigurno upravljanje uređajima 131
Pregled sigurnog upravljanja uređajima 131 Model uparivanja 131 Upravljanje postavkama šifre i lozinke 132 Provođenje konfiguracije 133 Upravljanje mobilnim uređajem (MDM) 134 Automatizirana prijava uređaja 135 Apple Configurator 2 136 Nadzor uređaja 136 Ograničenja uređaja 137 Zaključavanje aktivacije 137 Mod izgubljenog uređaja, udaljeno brisanje i udaljeno zaključavanje 139 Dijeljeni iPad 140 Vrijeme uporabe zaslona 141
Sigurnost Appleovih proizvoda i certifikati o privatnosti 144
Pregled sigurnosti Appleovih proizvoda i certifikata o privatnosti 144 Appleovo sigurnosno jamstvo 145
Pojmovnik 148
Prethodne revizije dokumenta 153
Sigurnost Apple platforme 4 Uvod u sigurnost Apple platforme
Apple dizajnira sigurnost u jezgru svojih platformi. Gradeći na iskustvu izrade najnaprednijeg svjetskog mobilnog operativnog sustava, Apple je izradio arhitekture sigurnosti koje rješavaju jedinstvene zahtjeve mobilnih uređaja, satova, stolnih računala i doma.
Svaki Apple uređaj kombinira hardver, softver i usluge dizajnirane da rade zajedno za maksimalnu sigurnost i transparentan doživljaj korisnika radi postizanja krajnjeg cilja održavanja osobnih informacija sigurnima. Prilagođeni sigurnosni hardver pokreće ključne sigurnosne značajke. Zaštite softvera rade na čuvanju sigurnosti operativnog sustava i aplikacija drugih proizvođača. Usluge pružaju mehanizam za sigurna i pravovremena ažuriranja softvera, pokreću sigurniji ekosustav aplikacija, sigurne komunikacije i plaćanja i pružaju sigurnije iskustvo na internetu. Apple uređaji štite ne samo uređaj i njegove podatke, nego i čitavi ekosustav, uključujući sve što korisnici rade lokalno, na mrežama i s ključnim internetskim uslugama.
Jednako kao što svoje proizvode dizajniramo da budu jednostavni, intuitivni i sposobni, tako ih dizajniramo i da budu sigurni. Ključne sigurnosne značajke, poput enkripcije uređaja temeljene na hardveru, ne mogu se greškom onemogućiti. Ostale značajke, kao što su Touch ID i Face ID, poboljšavaju iskustvo korisnika čineći zaštitu uređaja jednostavnijom i intuitivnijom. A budući da je mnogo ovih značajki standardno omogućeno, korisnici ili IT odjeli ne moraju stvarati opsežne konfiguracije.
Ova dokumentacija daje detalje o načinu na koji se sigurnosna tehnologija i značajke implementiraju u okviru Apple platformi. Također pomaže organizacijama da kombiniraju sigurnosnu tehnologiju i značajke Apple platforme kako bi se ispunile njihove specifične sigurnosne potrebe.
Sadržaj je organiziran u sljedeće teme:
• Sigurnost hardvera i biometrija: hardver koji predstavlja temelj sigurnosti na Apple uređajima, uključujući Secure Enclave, dedicirani AES kriptografski modul, Touch ID i Face ID.
• Sigurnost sustava: integrirane hardverske i softverske funkcije koje omogućuju sigurno podizanje, ažuriranje i kontinuirani rad Apple operativnih sustava.
• Enkripcija i Zaštita podataka: arhitektura i dizajn koji štiti podatke korisnika ako se uređaj izgubi ili bude ukraden ili ako ga neovlaštena osoba ili proces pokuša koristiti ili izmijeniti.
• Sigurnost aplikacija: softver i usluge koje osiguravaju siguran ekosustav aplikacija i omogućuju aplikacijama da se pokreću sigurno i bez ugrožavanja integriteta platforme.
• Sigurnost usluga: usluge društva Apple za identifikaciju, upravljanje lozinkama, plaćanja, komunikaciju i pronalaženje izgubljenih uređaja.
Sigurnost Apple platforme 5 • Sigurnost mreže: protokoli umrežavanja koji su industrijski standard te koji osiguravaju sigurnu autentikaciju i enkripciju podataka koji se prenose.
• Kompleti alata za developere (“Developer Kits”): okviri za sigurno i privatno upravljanje domom i zdravljem, kao i proširenje mogućnosti Apple uređaja i usluga na aplikacije drugih proizvođača.
• Sigurno upravljanje uređajima: načini koji omogućuju upravljanje Apple uređajima, sprječavaju neovlaštenu uporabu i omogućuju udaljeno brisanje ako se uređaj izgubi ili ukrade.
• Certifikati o sigurnosti i privatnosti: informacije o ISO certifikatima, kriptografskoj provjeri, Certifikatima za zajedničke sigurnosne kriterije i Commercial Solutions for Classified (CSfC) programu.
Obveza za sigurnost Apple se obvezao pomagati zaštititi klijente s vodećim tehnologijama sigurnosti i privatnosti dizajniranima da čuvaju osobne podatke i sveobuhvatnim metodama da pomognu zaštititi korporativne podatke u poslovnom okruženju. Apple nagrađuje istraživače za rad koji obavljaju u otkrivanju ranjivosti nudeći Apple nagradu za sigurnost. Detalje o programu i kategorijama nagrada možete pronaći na https://developer.apple.com/ security-bounty/.
Imamo dedicirani sigurnosni tim za podršku svim proizvodima. Tim pruža sigurnosnu reviziju i testiranje za proizvode, kako one u razvoju, tako i već izdane. Apple tim također osigurava sigurnosne alate i obuku, te aktivno nadzire prijetnje i izvješća o novim sigurnosnim problemima. Apple je član Forum of Incident Response and Security Teams (FIRST).
Apple nastavlja pomicati granice onoga što je moguće u sigurnosti i privatnosti. Primjerice, aplikacija Pronalaženje koristi postojeće osnovne elemente kako bi se omogućila revolucionarna mogućnost distribuiranog pronalaženja Mac računala koje nije na mreži bez izlaganja ikome, uključujući društvu Apple, identiteta ili lokacijskih podataka bilo kojih uključenih korisnika. Za poboljšanje sigurnosti firmvera Mac računala Apple je koristio ekvivalent tablica stranica za blokiranje neprikladnog pristupa iz perifernih uređaja, ali u toliko ranom trenutku procesa podizanja da se RAM još nije učitao. A kako napadači nastavljaju povećavati sofisticiranost svojih tehnika iskorištavanja, Apple dinamički kontrolira povlastice izvođenja memorije za iPhone i iPad, koristeći prilagođene CPU upute, koje nisu dostupne nijednom drugom mobilnom uređaju, za izbjegavanje kompromitiranja. Od podjednake važnosti kao i inovacija novih sigurnosnih mogućnosti, nove značajke izrađene su na način da je u središnju njihova dizajna privatnost i sigurnost.
Kako bi se najbolje iskoristile sveobuhvatne sigurnosne značajke ugrađene u naše platforme, organizacije se potiču da pregledaju svoje IT i sigurnosne politike kako bi osigurale da koriste sve prednosti slojeve sigurnosne tehnologije koje ove platforme nude.
Kako biste saznali više o prijavljivanju problema društvu Apple i pretplaćivanju na sigurnosne obavijesti, pogledajte Prijavljivanje sigurnosne ranjivosti ili ranjivosti privatnosti.
Sigurnost Apple platforme 6 Apple smatra da je privatnost osnovno ljudsko pravo i implementira razne ugrađene kontrole i opcije koje korisnicima omogućavaju odlučivanje na koji način i u koje vrijeme aplikacije mogu koristiti njihove informacije, kao i odabir informacija koje se koriste. Za dodatne informacije o načinu na koji tvrtka Apple pristupa privatnosti, kontrolama privatnosti na Apple uređajima i pravilima privatnosti tvrtke Apple pogledajte https:// www.apple.com/hr/privacy.
Napomena: Osim ako nije drugačije navedeno, ova dokumentacija odnosi se na sljedeće verzije operativnih sustava: iOS 13.4, iPadOS 13.4, macOS 10.15.4, tvOS 13.4 i watchOS 6.2.
Sigurnost Apple platforme 7 Sigurnost hardvera i biometrija
Pregled sigurnosti hardvera Sigurni softver zahtijeva temelj sigurnosti ugrađen u hardver. Zato Apple uređaji, s instaliranim sustavom iOS, iPadOS, macOS, watchOS ili tvOS, imaju mogućnosti sigurnosti dizajnirane u samom hardveru. One uključuju prilagođene mogućnosti procesora koje osnažuju sigurnosne značajke i hardver dediciran za sigurnosne funkcije. Najkritičnija komponenta je Secure Enclave koprocesor koji se pojavljuje na svim modernim iOS, iPadOS, watchOS i tvOS uređajima, te svim Mac računalima s Apple T2 sigurnosnim čipom. Secure Enclave pruža osnovu za kriptiranje podataka u mirovanju, sigurno podizanje u sustavu macOS i biometriju.
Svi moderni iPhone i iPad uređaji te Mac računala s T2 čipom sadrže dedicirani AES hardverski modul za izvršenje “line-speed” enkripcije kako se datoteke pišu ili čitaju. Ovime se osigurava da Zaštita podataka i FileVault štite datoteke korisnika bez izlaganja dugoročnih ključeva enkripcije procesoru ili operativnom sustavu. Za više informacija o tome koji Apple hardver sadrži Secure Enclave pogledajte Pregled modula Secure Enclave.
Sigurno podizanje Apple uređaja osigurava da se neovlašteno ne izmjenjuju najniže razine softvera te da se pri pokretanju učitava samo softver pouzdanog operativnog sustava. U iOS i iPadOS uređajima sigurnost započinje u nepromjenjivom kodu koji se naziva Boot ROM, a koji se utvrđuje tijekom proizvodnje čipa i koji je poznat kao korijen pouzdanosti hardvera. Na Mac računalima s T2 čipom pouzdanje u sigurno podizanje macOS-a započinje sa samim čipom T2. (T2 i Secure Enclave također provode vlastite sigurne procese podizanja.)
Modulom Secure Enclave Touch ID-ju i Face ID-ju u Apple uređajima omogućuje se provođenje sigurne autentikacije dok se istodobno čuva privatnost i sigurnost biometrijskih podataka korisnika. Ovime se korisnicima omogućuje da uživaju u sigurnosti duljih i složenijih šifri i lozinki s, u mnogo situacija, praktičnošću brze autentikacije.
Sigurnosne značajke Apple uređaja omogućene su kombinacijom silicijskog dizajna, hardvera, softvera i usluga dostupnih samo od društva Apple.
Sigurnost Apple platforme 8 Secure Enclave
Pregled modula Secure Enclave Secure Enclave je sigurni koprocesor koji sadrži upravitelja ključeva temeljenog na hardveru, a koji je izoliran od glavnog procesora radi osiguranja dodatnog sloja sigurnosti. Secure Enclave hardverska je značajka određenih verzija iPhonea, iPada, Maca, Apple TV-a, Apple Watcha i HomePoda, odnosno:
• iPhonea 5s (ili novijeg) • iPad Aira (ili novijeg) • Mac računala koja sadrže T1 čip ili Apple T2 sigurnosni čip • Apple TV-a 4. generacije (ili novijeg) • Apple Watcha Series 1 (ili novijeg) • HomePoda. Ključni podaci kriptiraju se u Secure Enclave sustavu na čipu (SoC) koji uključuje nasumični generator brojeva.
Secure Enclave također održava integritet svojih kriptografskih postupaka čak i kad je ugrožena jezgra uređaja. Komunikacijom između modula Secure Enclave i procesora aplikacija strogo se upravlja tako što ga se izolira u sandučić koji pokreće prekid i međuspremnike dijeljenih memorijskih podataka.
Secure Enclave procesor.
Dedicirani Boot ROM i usluge zaštite od reprodukcije
Dedicirani Boot ROM Secure Enclave sadrži dedicirani Secure Enclave Boot ROM. Slično Boot ROM-u procesora aplikacija, Secure Enclave Boot ROM nepromjenjivi je kôd koji uspostavlja korijen pouzdanosti hardvera za Secure Enclave. Također pokreće Secure Enclave OS temeljen na vlastitom mikrokernelu L4. Ovaj Secure Enclave OS potpisuje Apple, potvrđuje ga Secure Enclave Boot ROM, a ažurira se kroz personalizirani proces ažuriranja softvera.
Sigurnost Apple platforme 9 Kad se uređaj pokrene, Secure Enclave Boot ROM izrađuje kratkotrajni ključ za zaštitu memorije koji je isprepleten jedinstvenim ID-om (UID) uređaja i koji se koristi za kriptiranje Secure Enclave dijela prostora memorije uređaja. Osim na Apple A7, Secure Enclave memorija također se autorizira ključem za zaštitu memorije. Na A11 (ili novijim) i S4 SoC- evima, stablo integriteta koristi se za sprječavanje reprodukcije Secure Enclave memorije kritične za sigurnost, a koju autorizira ključ za zaštitu memorije i jednokratni ključevi pohranjeni u SRAM-u na čipu.
U sustavima iOS i iPadOS, datoteke su kriptirane ključem koji je povezan s UID-om Secure Enclave i zaštitom od reprodukcije dok se zapisuju na podatkovnu jedinicu. A9 (i novijim) SoC-evima, jednokratni ključ za zaštitu od reprodukcije koristi entropiju koju generira nasumični generator brojeva hardvera. Podrška jednokratnog ključa za zaštitu od reprodukcije ukorijenjena je u dediciranom stabilnom memorijskom integriranom sklopu (IC). U Mac računalima s Apple T2 sigurnosnim čipom, hijerarhija FileVault ključeva slično je povezana na UID modula Secure Enclave.
U uređajima s A12 (i novijim) i S4 SoC-evima, Secure Enclave uparuje se s IC-om sigurne memorije za pohranu jednokratnog ključa za zaštitu od reprodukcije. IC sigurne memorije dizajniran je s nepromjenjivim ROM kodom, generatorom nasumičnih brojeva hardvera, kriptografskim modulima i detekcijom fizičke neovlaštene izmjene. Za čitanje i ažuriranje jednokratnih ključeva Secure Enclave i IC memorije koriste sigurni protokol koji osigurava ekskluzivan pristup jednokratnim ključevima.
Usluge zaštite od reprodukcije Usluge zaštite od reprodukcije na modulu Secure Enclave koriste se za opoziv podataka prije događaja koji označavaju granice zaštite od reprodukcije uključujući, ali se ne ograničavajući na, sljedeće:
• promjenu šifre • omogućavanje ili onemogućavanje Touch ID-ja ili Face ID-ja • dodavanje ili uklanjanje otiska prsta Touch ID-ja ili lica Face ID-ja • resetiranje Touch ID-ja ili Face ID-ja • dodavanje ili uklanjanje Apple Pay kartice • brisanje svog sadržaja i postavki.
Dedicirani AES modul Svaki Apple uređaj s modulom Secure Enclave ima dedicirani AES-256 kriptografski modul ugrađen u DMA putanju između flash memorije i glavne memorije sustava, što enkripciju datoteka čini iznimno učinkovitom. Na A9 ili novijim A-serijama procesora, podsustav flash memorije nalazi se na izoliranoj sabirnici kojoj se pristup memoriji koja sadrži podatke korisnika dodjeljuje samo kroz DMA kriptografski modul.
Secure Enclave sigurno generira vlastite ključeve, jedinstvene ID-jeve (UID-ove), grupne ID-jeve (GID-ove) uređaja i ostalo i prema potrebi sigurno briše spremljene ključeve. Ovi su ključevi AES-256 bitni ključevi spojeni (UID) ili kompilirani (GID) u Secure Enclave tijekom proizvodnje. Nijedan softver ili firmver ne može ih čitati izravno. Mogu samo vidjeti rezultate postupaka kriptiranja ili dekriptiranja koje vrše dedicirani AES moduli implementirani u hardver koji koriste te UID-ove ili GID-ove kao ključ.
Sigurnost Apple platforme 10 I procesor aplikacije i Secure Enclave imaju vlastiti UID i GID, te UID i GID modula Secure Enclave može koristiti samo AES modul dediciran modulu Secure Enclave. UID-ovi i GID-ovi nisu dostupni kroz Zajedničku grupu za testiranje (JTAG) ili druga sučelja za ispravljanje grešaka.
AES kriptografski modul podržava “line-speed” enkripciju na DMA putanji na Mac računalima s Apple T2 sigurnosnim čipom.
Generiranje kriptografskih ključeva Svaki Secure Enclave generira vlastiti UID (jedinstveni ID) tijekom procesa proizvodnje. Budući da je UID jedinstven za svaki uređaj i budući da se generira u cijelosti unutar modula Secure Enclave umjesto u sustavu proizvodnje izvan uređaja, UID nije dostupan za pristup ili pohranu od strane društva Apple ili bilo kojih njegovih dobavljača. Ovo se primjenjuje na sve SoC-eve nakon Apple A8 procesora.
Softver instaliran na modulu Secure Enclave koristi UID za zaštitu tajni specifičnih za uređaj. UID dozvoljava podacima da se kriptografski vežu na određeni uređaj. Primjerice, hijerarhija ključeva koja štiti sustav datoteka sadrži UID, pa ako se unutarnja SSD memorija fizički premjesti s jednog uređaja na drugi, datotekama se ne može pristupiti. UID nije povezan s nijednim drugim identifikatorom na uređaju. Ostale zaštićene tajne specifične za proizvod uključuju Touch ID ili Face ID podatke. Pohrana na uređajima koji nisu spojeni na Apple T2 sigurnosni čip ne prima tu razinu enkripcije. Primjerice, vanjski uređaji za pohranu spojeni putem USB-a i PCIe memorije dodane na Mac Pro iz 2019. nisu kriptirani T2 čipom.
Na razini uređaja nalazi se grupni ID uređaja (GID) koji je zajednički svim procesorima u klasi uređaja (primjerice, svi uređaji koji koriste Apple A8 procesor).
Izuzev UID-a i GID-a, sve ostale kriptografske ključeve u iOS i iPadOS uređajima izrađuje generator nasumičnih brojeva sustava (RNG) koji koristi algoritam temeljen na CTR_DRBG. Entropija sustava generira se iz tempiranja varijacija tijekom podizanja i dodatno iz tempiranja prekida nakon što se uređaj podignuo. Ključevi generirani unutar modula Secure Enclave koriste svoj pravi hardverski generator nasumičnih brojeva koji se temelji na više prstenastih oscilatora koji su naknadno obrađeni s CTR_DRBG-om.
Sigurnost Apple platforme 11 Sigurno brisanje podataka Sigurno brisanje spremljenih ključeva jednako je važno kao i njihovo generiranje. Poseban je izazov to učiniti na flash memoriji, primjerice, gdje ujednačavanje trošenja (“wear- leveling”) može značiti da je potrebno obrisati više primjeraka podataka. Za rješavanje ovog problema uređaji s modulom Secure Enclave sadrže značajku dediciranu za sigurno brisanje podataka koja se naziva Obrisiva memorija. Ova značajka pristupa osnovnoj tehnologiji pohranjivanja (primjerice, NAND-u) kako bi izravno adresirala i obrisala mali broj blokova na vrlo niskoj razini.
Touch ID i Face ID
Pregled Touch ID-a i Face ID-a Šifre i lozinke od ključne su važnosti za sigurnost Apple uređaja, ali korisnicima je potreban brzi pristup uređajima, ponekad čak i više od stotinu puta dnevno. Biometrijska autorizacija pruža priliku za zadržavanje sigurnosti snažne lozinke, ili čak za povećanje sigurnosti šifre ili lozinke pošto se ne mora često ručno unositi, uz praktičnost brzog otključavanja pritiskom prsta ili pogledom. Touch ID i Face ID ne zamjenjuju šifru ili lozinku, već omogućavaju brži i jednostavniji pristup u većini situacija.
Sigurnost Touch ID-ja Touch ID sustav je prepoznavanja otiska prsta koji siguran pristup podržanim Apple uređajima čini bržim i jednostavnijim. Ova tehnologija čita podatke otiska prsta iz bilo kojeg kuta i tijekom vremena saznaje više o otisku prsta korisnika, sa senzorom koji kontinuirano proširuje kartu otiska prsta kako se dodatni preklapajući čvorovi identificiraju sa svakom uporabom.
Apple uređaji s Touch ID senzorom mogu se otključati otiskom prsta. Touch ID ne zamjenjuje potrebu za šifrom uređaja ili lozinkom korisnika koja se još uvijek traži nakon pokretanja uređaja, ponovnog pokretanja ili odjave (na Mac računalu). U nekim aplikacijama Touch ID može se također koristiti umjesto šifre uređaja ili lozinke korisnika, primjerice za otključavanje bilješki zaštićenih lozinkom u aplikaciji Bilješke, za otključavanje web stranica zaštićenih privjeskom ključeva i za otključavanje lozinki podržanih aplikacija. Međutim, šifra uređaja ili lozinka korisnika obvezne su u nekim scenarijima. Primjerice, za promjenu postojeće šifre uređaja ili lozinke korisnika ili za uklanjanje postojećih unosa otisaka prsta ili izradu novih.
Kad senzor za otiske prstiju detektira dodir prsta, pokreće napredno polje za produkciju slika radi skeniranja prsta i šalje sken u Secure Enclave. Komunikacija između procesora i Touch ID senzora odvija se preko sabirnice serijskog perifernog sučelja. Procesor prosljeđuje podatke u Secure Enclave, ali ih ne može čitati. Kriptira se i autorizira ključem sesije koji se pregovara s pomoću dijeljenog ključa dodijeljenog za svaki Touch ID senzor i njegov odgovarajući Secure Enclave u tvornici. Dijeljeni ključ je snažan, nasumičan i različit za svaki Touch ID senzor. Razmjena ključeva sesije koristi AES omatanje ključeva gdje obje strane daju nasumični ključ koji uspostavlja ključ sesije i koristi AES-CCM enkripciju transporta.
Sigurnost Apple platforme 12 Iako se vektorizira za analizu, rasterski sken privremeno se pohranjuje u kriptiranu memoriju unutar modula Secure Enclavea, a zatim se odbacuje. Analiza koristi mapiranje potkožnog reljefnog kuta toka koji je proces s gubitkom koji odbacuje nevažne detalje koji bi bili potrebni za rekonstrukciju stvarnog otiska prsta korisnika. Rezultirajuća karta čvorova pohranjuje se bez ikakvih informacija o identitetu u kriptiranom formatu koji može čitati samo Secure Enclave. Ovi podaci nikad ne napuštaju uređaj. Ne šalju se društvu Apple, niti se uključuju u sigurnosne kopije uređaja.
Sigurnost Face ID-ja Face ID na siguran način otključava podržane Apple uređaje jednostavnim pogledom. Pruža intuitivnu i sigurnu autentikaciju koju omogućuje sustav TrueDepth kamere koji koristi napredne tehnologije za precizno mapiranje geometrije lica korisnika. Face ID koristi neurološke mreže za utvrđivanje pozornosti, podudaranja i zaštite od lažnog predstavljanja, tako da korisnik može svoj telefon otključati pogledom u njega. Face ID automatski se prilagođava promjenama u izgledu i pažljivo štiti privatnost i sigurnost biometrijskih podataka korisnika.
Face ID dizajniran je za potvrdu korisnikove pozornosti, pružanje snažne autentikacije s niskom stopom lažnih podudaranja i smanjuje digitalno i fizičko lažno predstavljanje.
TrueDepth kamera automatski traži korisnikovo lice kad on aktivira Apple uređaje koji imaju značajku Face ID (podižući ih ili dodirujući zaslon), kao i kad ti uređaji pokušavaju autorizirati korisnika kako bi se prikazala dolazna obavijest ili kad podržana aplikacija traži Face ID autentikaciju. Kad se detektira lice, Face ID potvrđuje pozornost i namjeru otključavanja detektirajući da su korisnikove oči otvorene i da je njihova pozornost usmjerena na njegov uređaj. Za pristupačnost, ovo je onemogućeno kad je VoiceOver aktiviran i, prema potrebi, može se zasebno onemogućiti.
Nakon što potvrdi prisutnost pozornog lica, TrueDepth kamera projicira i čita više od 30.000 infracrvenih točkica kako bi oblikovala kartu dubine lica, uz 2D infracrvenu sliku. Ovi podaci koriste se za izradu slijeda 2D slika i karata dubine koje se digitalno potpisuju i šalju u Secure Enclave. Za sprječavanje digitalnog i fizičkog lažnog predstavljanja, TrueDepth kamera randomizira slijed 2D slika i snimaka karata dubine i projicira nasumični uzorak specifičan za uređaj. Dio neurološkog modula SoC-eva, zaštićen modulom Secure Enclave, transformira ove podatke u matematički prikaz i uspoređuje taj prikaz s unesenim podacima lica. Ovi uneseni podaci lica i sami su matematički prikaz lica korisnika snimljen u nizu poza.
Touch ID, Face ID, šifre i lozinke Za uporabu Touch ID-ja ili Face ID-ja korisnik mora podesiti uređaj tako da je za njegovo otključavanje potrebna šifra ili lozinka. Kad Touch ID ili Face ID detektira uspješno podudaranje, uređaj korisnika se otključa a da se ne traži šifra ili lozinka uređaja. Ovo čini uporabu dulje, složenije šifre ili lozinke puno praktičnijom, jer je korisnik ne mora tako često unositi. Touch ID i Face ID ne zamjenjuju šifru ili lozinku korisnika, ali pružaju jednostavan pristup uređaju unutar smislenih granica i vremenskih ograničenja. Ovo je važno jer snažna šifra ili lozinka čini temelj načina na koji iOS, iPadOS, macOS ili watchOS uređaj korisnika kriptografski štiti njegove podatke.
Sigurnost Apple platforme 13 Kad je potrebna šifra ili lozinka uređaja Korisnici mogu koristiti svoju šifru ili lozinku u bilo kojem trenutku umjesto Touch ID-a ili Face ID-a, ali postoje situacije u kojima biometrija nije dozvoljena. Sljedeći postupci sigurnosno su osjetljivi i uvijek zahtijevaju unos šifre ili lozinke:
• ažuriranje softvera • brisanje uređaja • pregled ili promjena postavki šifre • instaliranje konfiguracijskih profila • otključavanje postavki Sigurnost i privatnost u Postavkama sustava na Macu • otključavanje postavki Korisnici i grupe u Postavkama sustava na Macu (ako je uključen FileVault). Šifra ili lozinka također je potrebna ako je uređaj u sljedećim statusima:
• Uređaj je upravo uključen ili ponovno pokrenut. • Korisnik se odjavio iz svog Mac računa (ili se još nije prijavio). • Korisnik nije otključao svoj uređaj više od 48 sati. • Korisnik nije koristio svoju šifru ili lozinku za otključavanje svojeg uređaja 156 sati (šest i pol dana) i korisnik nije koristio biometriju za otključavanje svojeg uređaja 4 sata. • Uređaj je primio naredbu za udaljeno zaključavanje. • Nakon zatvaranja isključivanja/hitnog poziva istodobno pritiskajući i zadržavajući tipku za glasnoću i tipku za uključenje 2 sekunde i zatim pritiskajući Poništi. • Nakon pet neuspješnih pokušaja biometrijskog podudaranja (iako bi radi iskoristivosti uređaj mogao ponuditi unos šifre ili lozinke umjesto uporabe biometrije nakon manjeg broja neuspjeha). Kad se Touch ID ili Face ID omoguće na iPhone ili iPad uređaju, uređaj se automatski zaključava kad se pritisne tipka za uključenje, a uređaj se zaključava svaki put kad ode u stanje mirovanja. Touch ID i Face ID zahtijevaju uspješno podudaranje ili opcionalno šifru, kod svakog buđenja.
Vjerojatnost da bi nasumična osoba u svijetu mogla otključati iPhone, iPad ili Mac korisnika je 1 naprema 50.000 s Touch ID-jem ili 1 naprema 1.000.000 s Face ID-jem. Ova vjerojatnost povećava se s više unesenih otisaka prsta (do 1 naprema 10.000 s pet otisaka prsta) ili pojavljivanja (do 1 naprema 500.000 s dva pojavljivanja). Za dodatnu zaštitu Touch ID i Face ID dozvoljavaju samo pet neuspješnih pokušaja podudaranja prije nego su za dobivanje pristupa uređaju ili računu korisnika potrebne šifra ili lozinka. S Face ID-jem, vjerojatnost lažnog podudaranja različita je za blizance i braću ili sestre koji liče na korisnika i za djecu mlađu od 13 godina (jer se njihove crte lica možda nisu još sasvim razvile). Ako je korisnik zabrinut zbog ovoga, Apple preporučuje uporabu šifre za autorizaciju.
Sigurnost Apple platforme 14 Podudaranje lica Podudaranje lica vrši se unutar modula Secure Enclave korištenjem neuroloških mreža obučenih posebno za tu svrhu. Apple je razvio neurološke mreže za podudaranje lica koristeći više od milijarde slika, uključujući infracrvene slike i slike dubine prikupljene u studijama provedenima uz informiranu suglasnost sudionika. Apple je zatim radio sa sudionicima iz čitavog svijeta kako bi uključio reprezentativnu grupu ljudi koja predstavlja spol, dob, etničku pripadnost i ostale faktore. Studije su, prema potrebi, proširivane kako bi se osigurao visok stupanj točnosti za različite grupe korisnika. Face ID dizajniran je da funkcionira s kapama, šalovima, naočalama, lećama i mnogo sunčanih naočala. Nadalje, dizajniran je da radi u zatvorenom prostoru, na otvorenom prostoru, čak i u potpunoj tami. Dodatna neurološka mreža koja je obučena za prepozna i odupre se lažnom predstavljanju štiti od pokušaja otključavanja uređaja fotografijama ili maskama. Face ID podaci, uključujući matematičke prikaze lica korisnika, su kriptirani i dostupni samo modulu Secure Enclave. Ovi podaci nikad ne napuštaju uređaj. Ne šalju se društvu Apple, niti se uključuju u sigurnosne kopije uređaja. Sljedeći Face ID podaci su spremljeni, kriptirani samo za uporabu od strane modula Secure Enclave, tijekom uobičajenog rada:
• matematički prikazi za lice korisnika izračunati tijekom unosa • matematički prikazi lica korisnika izračunati tijekom određenih pokušaja otključavanja ako Face ID smatra da su korisni za povećanje budućeg podudaranja. Slike lica snimljene tijekom uobičajenog rada ne spremaju se, nego se umjesto toga odmah odbacuju nakon što se izračuna matematički prikaz za unos ili usporedbu s unesenim Face ID podacima.
Poboljšanje Face ID podudaranja Za poboljšanje performansi i držanje koraka s prirodnim promjenama lica i izgleda Face ID tijekom vremena povećava svoj spremljeni matematički prikaz. Nakon uspješnog podudaranja, Face ID može koristiti novoizračunati matematički prikaz, ako je njegova kvaliteta dostatna, za konačan broj dodatnih podudaranja prije nego se podaci odbace. Obrnuto, ako Face ID ne uspije prepoznati lice, ali je kvaliteta podudaranja veća od određenog praga i korisnik nakon neuspjeha odmah unese svoju šifru, Face ID snima još jednu sliku i povećava njene unesene Face ID podatke novoizračunatim matematičkim prikazom. Ovi novi Face ID podaci odbacuju se ako se korisnik prestane podudarati s njima i nakon konačnog broja podudaranja. Ovim procesima augmentacije omogućuje se Face ID-ju da drži korak s dramatičnim promjenama u bradi ili uporabi šminke, dok se minimizira lažno prihvaćanje.
Otključavanje uređaja ili računa korisnika S onemogućenim Touch ID-jem ili Face ID-jem, kad se uređaj ili račun zaključaju, ključevi za najvišu klasu Zaštite podataka, koji se čuvaju u modulu Secure Enclave, odbacuju se. Datoteke i stavke Ključa privjesaka u toj klasi nisu dostupne dok korisnik ne otključa uređaj ili račun unosom svoje šifre ili lozinke.
Ako su Touch ID ili Face ID omogućeni, ključevi se ne odbacuju kad se uređaj ili račun zaključaju. Umjesto toga, omataju se ključem koji se daje podsustavu Touch ID-ja ili Face ID-ja unutar modula Secure Enclave. Kad korisnik pokuša otključati uređaj ili račun, ako uređaj prepozna uspješno podudaranje, daje ključ za odmatanje ključeva Zaštite podataka, te se uređaj ili račun otključavaju. Ovaj postupak daje dodatnu zaštitu tražeći suradnju između Zaštite podataka i podsustava Touch ID-ja ili Face ID-ja za otključavanje uređaja.
Sigurnost Apple platforme 15 Kad se uređaj ponovno pokrene, ključevi potrebni da Touch ID ili Face ID otključaju uređaj ili račun se gube, odbacuje ih Secure Enclave nakon što se ispuni bilo koji uvjet za unos šifre ili lozinke.
Osiguravanje kupnji sa značajkom Apple Pay Korisnik također može koristiti Touch ID i Face ID sa značajkom Apple Pay kako bi olakšao i osigurao kupnje u trgovinama, aplikacijama i na webu.
Za autorizaciju plaćanja u trgovini s Face ID-jem korisnik mora prvo potvrditi namjeru plaćanja dvostrukim klikom na bočnu tipku. Ovim dvostrukim klikom registrira se korisnička namjera pomoću fizičke geste koja je izravno povezana sa sustavom Secure Enclave i otporna je na krivotvorenje zloćudnim procesom. Korisnik zatim autorizira Face ID-jem prije stavljanja uređaja blizu čitača za beskontaktno plaćanje. Druga Apple Pay metoda plaćanja može se odabrati nakon autentikacije Face ID-jem što zahtijeva ponovno autentikaciju, ali korisnik neće morati ponovno dvaput kliknuti bočnu tipku.
Za plaćanje unutar aplikacija i na webu korisnik potvrđuje svoju namjeru plaćanja dvostrukim klikom na bočnu tipku, zatim autorizira Face ID-jem za autoriziranje plaćanja. Ako se Apple Pay transakcija ne dovrši u roku od 60 sekundi od dvostrukog klika na bočnu tipku, korisnik mora ponovno potvrditi namjeru plaćanja ponovnim dvostrukim klikom.
U slučaju Touch ID-ja, namjera za plaćanje potvrđuje se gestom ili aktiviranjem Touch ID senzora u kombinaciji s uspješnim uparivanjem korisničkog otiska prsta.
Ostale uporabe za Touch ID i Face ID Aplikacije drugih proizvođača mogu koristiti API-je koje pruža sustav kako bi korisnika tražile da autorizira Touch ID-jem ili Face ID-jem ili šifrom ili lozinkom, a aplikacije koje podržavaju Touch ID automatski podržavaju Face ID bez ikakvih promjena. Kod uporabe Touch ID-ja ili Face ID-ja, aplikacija dobiva obavijest samo je li autentikacija bila uspješna. Ne može pristupiti Touch ID-ju, Face ID-ju ili podacima povezanima s prijavljenim korisnikom.
Zaštita stavki Privjeska ključeva Stavke Privjeska ključeva također se mogu zaštititi Touch ID-jem ili Face ID-jem, te ih Secure Enclave oslobađa samo uspješnim podudaranjem ili šifrom uređaja ili lozinkom računa. Developeri aplikacija imaju API-jeve kojim se provjerava je li šifru ili lozinku podesio korisnik, prije nego se za otključavanje stavki Privjeska ključeva traži Touch ID ili Face ID ili šifra ili lozinka. Developeri aplikacija mogu učiniti sljedeće:
• tražiti da autorizacija API postupaka ne padne na lozinku aplikacije ili šifru uređaja. Mogu postaviti upit je li korisnik prijavljen, dozvoljavajući uporabu Touch ID-ja ili Face ID-ja kao drugog faktora u aplikacijama osjetljivim na sigurnost. • Generirati i koristiti ECC ključeve unutar modula Secure Enclave koje mogu zaštititi Touch ID ili Face ID. Postupci s ovim ključevima uvijek se izvode unutar modula Secure Enclave nakon što autorizira njihovu uporabu.
Sigurnost Apple platforme 16 Obavljanje i odobravanje kupnji Korisnici mogu također konfigurirati Touch ID ili Face ID za odobravanje kupnji iz trgovine iTunes Store, App Store, Apple Books i drugih, tako da korisnici ne moraju unositi svoju Apple ID lozinku. Sa sustavom iOS 11 ili novijim ili macOS 10.12.5 ili novijim, ECC ključevi modula Secure Enclave koje štiti Touch ID– i Face ID koriste se za autorizaciju kupnje potpisivanjem zahtjeva trgovine.
Hardversko isključivanje mikrofona u Macu i iPadu Sva Mac prijenosna računala sa značajkom Apple T2 sigurnosnog čipa imaju hardversko isključivanje kojim se osigurava da se mikrofon onemogućuje kad god se zatvori poklopac. Na 13-inčnim MacBook Pro i MacBook Air računalima s T2 čipom i na 15-inčnim MacBook Pro prijenosnim računalima iz 2019. ili novijim, ovo isključivanje implementirano je samo u hardveru. Isključivanje sprječava da bilo koji softver, čak i onaj s korijenskim ili jezgrenim povlasticama u sustavu macOS, kao i softver na T2 čipu, uključi mikrofon kada je poklopac zatvoren. (Kamera se ne isključuje u hardveru, jer njezino polje pregleda u cijelosti blokira zatvoreni poklopac.)
Na modelima iPada s početka 2020. godine mikrofon je također hardverski odspojen. Kad je MFI usklađeno kućište (uključujući ona koja prodaje Apple) spojeno na iPad i zatvoreno, mikrofon je odspojen s hardvera, čime se sprječava da audio podaci mikrofona budu dostupni bilo kojem softveru, čak i onom koji ima pristup korijenu ili kernelu u sustavu iPadOS ili u slučaju da je kućište kompromitirano.
Express Card kartice sa štednjom energije u iPhoneu Ako iOS nije pokrenut jer iPhone treba napuniti, možda još uvijek ima dovoljno napajanja u bateriji za podršku Express Card transakcija. Podržani iPhone uređaji automatski podržavaju ovu značajku s:
• karticom za javni prijevoz koja je namijenjena kao kartica ekspresnog javnog prijevoza • studentskim iskaznicama s uključenim ekspresnim načinom. Pritisak bočne tipke prikazuje ikonu slabe baterije kao i tekst koji označava da su Express Card kartice spremne za uporabu. NFC kontroler obavlja Express Card transakcije pod istim uvjetima kao i kad je iOS pokrenut, samo se transakcije označavaju samo vibracijom. Ne prikazuje se vidljiva obavijest.
Ova značajka nije dostupna kad se vrši standardno isključivanje koje je pokrenuo korisnik.
Sigurnost Apple platforme 17 Sigurnost sustava
Pregled sigurnosti sustava Utemeljena na jedinstvenim mogućnostima Apple hardvera, sigurnost sustava dizajnirana je da maksimizira sigurnost operativnih sustava na Apple uređajima bez ugrožavanja iskoristivosti. Sigurnost sustava obuhvaća postupak podizanja, ažuriranja softvera i kontinuirani rad sustava OS.
Sigurno podizanje sustava započinje u hardveru i izgrađuje lanac povjerenja kroz softver, gdje svaki korak osigurava da sljedeći funkcionira na ispravan način prije predaje kontrole. Ovaj sigurnosni model ne podržava samo standardno podizanje sustava Apple uređaja nego i različite modove oporavka i ažuriranja na iOS, iPadOS i macOS uređajima.
Najnovije verzije iOS, iPadOS i macOS su i najsigurnije. Mehanizam ažuriranja softvera ne omogućava samo pravovremena ažuriranja Apple uređaja, već isporučuje samo pouzdano dobar Appleov softver. Sustav ažuriranja može čak spriječiti napade degradiranjem, pa se uređaji ne mogu vratiti na stariju verziju operacijskog sustava (za koje napadač zna kako ih ugroziti) kao metodu krađe korisničkih podataka.
Konačno, Apple uređaji sadrže zaštite podizanja i izvođenja tako da one održavaju integritet tijekom kontinuiranog rada. Ove zaštite značajno se razlikuju kod iOS, iPadOS i macOS uređaja, ovisno o jako različitim skupovima mogućnosti koje podržavaju i napada koje stoga moraju spriječiti.
Generiranje nasumičnih brojeva Kriptografski pseudonasumični generatori brojeva (CPRNG-ovi) su važni građevni blokovi za siguran softver. Kako bi se to postiglo, Apple omogućava pouzdan softver pokretanja CPRNG-a na iOS, iPadOS i macOS, tvOS i watchOS jezgrama. Odgovoran je za prikupljanje osnovne entropije iz sustava i omogućuje sigurne nasumične brojeve potrošačima i u jezgri i u korisničkom prostoru.
Entropijski izvori Jezgra CPRNG se povlači iz više entropijskih izvora tijekom podizanja sustava i tijekom radnog vijeka uređaja. Ovo uključuje (ovisno o raspoloživosti):
• Secure Enclave hardver RNG • nepravilnosti temeljene na vremenu tijekom podizanja • entropiju prikupljenu od prekida hardvera
Sigurnost Apple platforme 18 • seed datoteku koja se koristi za stalnu entropiju preko podizanja sustava • Intel nasumične upute, npr. RDSEED i RDRAND (samo macOS).
CPRNG jezgra CPRNG jezgra izvedena je iz Fortune i usmjerena na 256-bitnu sigurnosnu razinu. Nudi visokokvalitetne nasumične brojeve potrošačima korisničkog prostora koji koriste sljedeće API-je:
• getentropy(2) sistemski poziv • nasumični uređaj, npr. /dev/random. CPRNG jezgra prihvaća korisničku entropiju kroz zapise na nasumičnom uređaju.
Sigurno podizanje sustava
iOS i iPadOS lanac sigurnog podizanja sustava Svaki korak procesa pokretanja sadrži komponente koje kriptografski potpisuje Apple kako bi osigurao integritet sustava i nastavlja proces tek nakon provjere lanca povjerenja. Ovo uključuje bootloadere, jezgru, ekstenzije jezgre i firmvera osnovnog pojasa. Ovaj lanac sigurnog podizanja sustava pomaže osigurati da najniže razine softvera nisu neovlašteno izmijenjene.
Kad je iOS ili iPadOS uređaj uključen, njegov procesor aplikacije odmah izvršava kôd iz permanentne memorije koja se naziva Boot ROM. Nepromjenjivi kôd, poznat kao korijen pouzdanosti hardvera, koji se utvrđuje tijekom proizvodnje čipa i implicitno je pouzdan. Boot ROM kôd sadrži Apple Root CA javni ključ, koji se koristi za provjeru da iBoot bootloader potpisuje Apple prije nego dozvoli učitavanje. To je prvi korak u lancu povjerenja, u kojem svaki korak osigurava da sljedeći potpisuje Apple. Kad iBoot završi sa zadacima, provjerava i pokreće jezgru sustava iOS ili iPadOS. Za uređaje s procesorom A9 ili ranijom serijom A, dodatna Low-Level Bootloader (LLB) faza se učitava i provjerava od strane Boot ROM-a i naizmjence učitava i provjerava iBoot.
Neuspješno učitavanje ili provjera sljedećih faza odvija se na različite načine, ovisno o hardveru:
• Boot ROM ne može učitati LLB (stariji uređaji): mod nadogradnje firmvera uređaja (DFU). • LLB ili iBoot: mod oporavka. U svakom slučaju, uređaj mora biti priključen na iTunes (u macOS 10.14 ili raniji) ili na Finder (macOS 10.15 ili kasniji) preko USB-a i mora se vratiti na standardne tvorničke postavke.
Registar napretka podizanja sustava (BPR) koristi Secure Enclave kako bi ograničio pristup korisničkim podacima u različitim modovima i ažurira se prije ulaska u sljedeće modove:
• DFU mod: postavlja ga Boot ROM na uređajima s Apple A12 ili novijima SoC-ovi. • Mod oporavka: postavlja ga iBoot na uređajima s Apple A10, S2, ili novijim SoC-ovima. Na uređajima s mobilnim pristupom, podsustav osnovnog pojasa također koristi vlastiti sličan proces sigurnog podizanja sustava s potpisanim softverom i ključevima provjerenim od strane procesora osnovnog pojasa.
Sigurnost Apple platforme 19 Koprocesor Secure Enclave također koristi proces sigurnog podizanja sustava koji osigurava da je pojedinačni softver provjerio i potpisao Apple.
modovi podizanja macOS sustava
Proces podizanja sustava Mac računala Kad je Mac računalo s Apple T2 sigurnosnim čipom uključeno, čip izvršava kôd iz permanentne memorije poznate kao Boot ROM. Nepromjenjivi kôd, poznat kao korijen pouzdanosti hardvera, koji se utvrđuje tijekom proizvodnje čipa i testiran je na ranjivost i implicitno je pouzdan. Boot ROM kôd sadrži Apple Root CA javni ključ, koji se koristi za provjeru da iBoot bootloader potpisuje Appleov privatni ključ prije nego dozvoli učitavanje. To je prvi korak u lancu povjerenja. iBoot provjerava jezgru i ekstenziju kôda jezgre na T2 čipu, koji naknadno provjerava Intel UEFI firmver. UEFI firmver i pripadajući potpis su u početku dostupni samo za T2 čip.
macOS lanac sigurnog podizanja sustava.
Nakon provjere, UEFI slika firmvera je mapirana u fragment memorije T2 čipa. Ova memorija dostupna je Intel CPU-u kroz poboljšano serijsko periferno sučelje (eSPI). Kad Intel CPU prvi put podiže sustav, dohvaća UEFI firmver kroz eSPI iz preslikane kopije memorije provjerenog integriteta firmvera koji se nalazi na T2 čipu.
Sigurnost Apple platforme 20 Procjena lanca povjerenja nastavlja se na Intel CPU-u, UEFI firmver procjenjuje potpis za boot.efi, koji je bootloader macOS-a. Potpisi sigurnog podizanja sustava smješteni na Intelu pohranjeni su u istom Image4 formatu koji se koristi za iOS, iPadOS i T2 čip sigurnog podizanja sustava, i kôd koji analizira Image4 datoteke je isti ojačani kôd iz trenutačne iOS i iPadOS implementacije sigurnog podizanja sustava. Boot.efi zauzvrat provjerava potpis nove datoteke, koja se naziva nepromjenjivom jezgrom. Kad je omogućeno sigurno podizanje sustava, nepromjenjiva datoteka predstavlja dovršeni set ekstenzija Apple jezgre potrebnih za podizanje sustava macOS. Sigurno podizanje sustava završava na prijelazu u nepromjenjivu datoteku i nakon toga se počinje primjenjivati sigurnost sustava (poput Zaštite integriteta sustava i potpisanih ekstenzija jezgre).
Ako postoje bilo kakve pogreške ili kvarovi tijekom procesa, Mac ulazi u macOS mod oporavka, mod oporavka Apple T2 sigurnosnog čipa oporavka ili DFU mod Apple T2 sigurnosnog čipa.
Pregled modova podizanja sustava Mac računala Mac računala imaju različite modove podizanja sustava kojima se može pristupiti za vrijeme podizanja sustava pritiskom kombinacija tipki, koje prepoznaju UEFI firmver ili booter. Neki modovi podizanja sustava, kao što su mod jednog korisnika, neće raditi osim ako se pravilo privatnosti ne promijeni u Bez sigurnosti u uslužnom programu za sigurnosno podizanje sustava.
Mod Kombinacija tipki Opis
macOS podizanje sustava Bez UEFI firmver predaje macOS booteru (UEFI aplikacija), koji predaje macOS jezgri. Pri standardnom podizanju Mac računala kad je omogućen FileVault, macOS booter je kôd koji predstavlja sučelje Prozora za prijavu kako bi preuzeo lozinku za dešifriranje prostora za pohranu.
Startup Manager Option (⌥) UEFI firmver pokreće ugrađenu UEFI aplikaciju koji korisniku predstavlja sučelje za odabir uređaja za podizanje sustava.
Mod odredišnog diska (TDM) T UEFI firmver pokreće ugrađenu UEFI aplikaciju koja otkriva uređaj s internom memorijom kao neobrađen uređaj za pohranu temeljen na blokovima preko FireWire, Thunderbolt, USB ili bilo koje kombinacije to troje (ovisno o modelu Mac računala).
Mod jednog korisnika Command (⌘)-S Jezgra macOS-a prolazi -soznaku u pokrenutom argument vektoru launchda, tada launchd kreira jednokorisnički shell u aplikaciji konzole tty. Napomena: Ako korisnik iziđe iz shella, macOs nastavlja podizanje sustava do prozora za prijavu.
Sigurnost Apple platforme 21 Mod Kombinacija tipki Opis
Oporavak operacijskog sustava Command (⌘)-R UEFI firmver učitava minimalni macOS s potpisane datoteke slika diska (.dmg) na uređaju s internom memorijom.
Oporavak operacijskog sustava Option (⌥)-Command (⌘)-R Potpisana slika diska je preuzeta s putem interneta interneta korištenjem HTTP-a.
Dijagnostika D UEFI firmver učitava minimalno UEFi dijagnostičko okruženje s potpisane datoteke slika diska na uređaju s internom memorijom.
Internet dijagnostika Option (⌥)-D Potpisana slika diska je preuzeta s interneta korištenjem HTTP-a.
Netboot N UEFI firmver preuzima macOS booter s lokalnog TFTP poslužitelja, (Za Mac računala bez Apple T2 booter preuzima macOs jezgru s sigurnosnog čipa) istog TFTP poslužitelja i macOS jezgra postavlja sustav datoteka iz NFS ili HTTP mrežnog udjela.
Podizanje sustava Windows Bez Ako je sustav Windows instaliran pomoću BootCampa, UEFI firmver predaje Windows booteru, koji predaje Windows jezgri.
Oporavak operacijskog sustava i dijagnostička okruženja u Mac računalima Oporavak operacijskog sustava je posve odvojen od glavnog macOS-a, i kompletan sadržaj spremljen je u datoteku slika diska BaseSystem.dmg. Postoji i u pridruženom BaseSystem. chunklist koji se koristi za provjeru integriteta datoteke BaseSystem.dmg. Chunklist je serija hash algoritama za 10 MB blokove datoteka BaseSystem.dmg. UEFI firmware procjenjuje potpis chunklist datoteke, zatim procjenjuje hash algoritam za pojedinačni blok iz datoteke BaseSystem.dmg, kako bi osigurao da se podudara s potpisanim sadržajem na chunklisti. Ako se neki od ovih hash algoritama ne podudara, podizanje sustava s lokalnog recoveryOS-a je prekinuto i UEFI firmver pokušava podići sustav iz Internet Recoveryja.
Ako je provjera uspješna, UEFI firmver učitava BaseSystem.dmg kao ramdisk i pokreće boot. efi koji je u njemu sadržan. Nema potrebe da UEFI firmver zasebno obavlja provjeru boot.efi niti boot.efi provjerava jezgru jer je kompletnom sadržaju OS-a (kojem su ti elementi samo podskupina) integritet već provjeren.
Postupak podizanja lokalnog dijagnostičkog okruženja uglavnom je isti kao i pokretanje oporavka operacijskog sustava. Koriste se zasebne datoteke AppleDiagnostics.dmg i AppleDiagnostics.chunklist, ali se provjeravaju na isti način kao i BaseSystem datoteke. Umjesto podizanja datoteke boot.efi, UEFI firmver otvara datoteku unutar slike diska nazvanu diags.efi, koja je zauzvrat odgovorna za pozivanje raznih drugih UEFI upravljačkih programa koji se mogu međusobno sučeliti i provjeriti pogreške u hardveru.
Sigurnost Apple platforme 22 Oporavak operacijskog sustava putem interneta i dijagnostičko okruženje u Mac računalima Ako se pogreška pojavi tijekom pokretanja lokalnog oporavka ili dijagnostičkih okruženja, UEFI firmver pokušava preuzeti slike s interneta. Dodatno, korisnik može zatražiti da se slike dohvate s interneta pomoću posebnih sekvenci ključeva koje se drže u podizanju sustava. Provjera integriteta slika diska i chunklista preuzetih s poslužitelja za oporavak sustava izvodi se na isti način kao i za slike preuzete s uređaja za pohranu.
Kad se povezivanje na poslužitelj za oporavak operacijskog sustava ostvaruje putem HTTP-a, svejedno se provjerava integritet preuzetog sadržaja kao što je opisano ranije, i kao takav nije ranjiv na napade i pokušaje preuzimanja kontrole nad mrežom. U slučaju da pojedini blok ne prođe provjeru integriteta, poslužitelj za oporavak operacijskog sustava će je ponovno zatražiti 11 puta prije nego što odustane i dojavi pogrešku.
Podizanje sustava Windows na Mac računalima Mac računala standardno podržavaju sigurno podizanje samo sadržaja koje je potpisao Apple. Ipak, kako bi se poboljšala sigurnost Boot Camp instalacija, Apple podržava i sigurno podizanje sustava Windows. UEFI firmver sadrži kopiju certifikata Microsoft Windows Production CA 2011 za potvrdu Microsoftovih bootloadera.
Napomena: Trenutačno se Microsoft Corporation UEFI CA 2011 ne smatra pouzdanim rješenjem koje bi omogućilo verifikaciju koda potpisanog od strane Microsoft partnera. Za provjeru autentičnosti podizanja drugih operacijskih sustava, npr. varijacija Linuxa, obično se koristi ovaj UEFI CA.
Podrška za sigurno podizanje sustava Windows nije automatski omogućena; umjesto toga se aktivira pomoću Boot Camp Assistanta (BCA). Kad korisnik pokrene BCA, macOS se rekonfigurira tako da vjeruje kodovima koje je potpisao Microsoft. Kad BCA završi, ako macOS ne prođe Apple procjenu sigurnosti tijekom sigurnog podizanja sustava, UEFI firmver pokušava procijeniti pouzdanost objekta prema UEFI Secure Boot formatiranju. Ako procjena pouzdanosti uspije, Mac nastavlja i podiže sustav Windows. U suprotnome, Mac ulazi u mod oporavka macOS-a i obavještava korisnika o neuspješnoj procjeni pouzdanosti.
Proces podizanja sustava za Mac računala bez Apple T2 sigurnosnog čipa Mac računala bez Apple T2 sigurnosnog čipa ne podržavaju sigurno podizanje sustava. Zato UEFI firmver podiže macOS booter (boot.efi) iz datotečnog sustava bez verifikacije, a booter podiže jezgru (prelinkedkernel) iz datotečnog sustava bez verifikacije. Za zaštitu integriteta lanca podizanja sustava, korisnik treba omogućiti sve sljedeće sigurnosne mehanizme:
• Zaštita integriteta sustava: standardno aktivirana, štiti booter i jezgru od zloćudnih kodova iz aktivnog macOS-a. • FileVault: može se aktivirati na dva načina: od strane korisnika ili administratora upravljanja mobilnim uređajima (MDM). Time se štiti od fizički prisutnog napadača koji koristi Mod odredišnog diska za prepisivanje bootera,
Sigurnost Apple platforme 23 • Lozinka firmvera može se aktivirati na dva načina: od strane korisnika ili administratora upravljanja mobilnim uređajima (MDM). To sprečava fizički prisutnog napadača da aktivira alternativne načine podizanja sustava poput oporavka sustava, jednokorisničkog načina ili Moda odredišnog diska s kojih se može prepisati booter. Time se sprečava i podizanje sustava s drugih medija s kojih napadač može pokrenuti kôd za prepisivanje bootera.
Proces otključavanja sustava za Mac računala bez Apple T2 sigurnosnog čipa
Uslužni program za sigurnosno podizanje sustava
Pregled uslužnog programa za sigurnosno podizanje sustava Uslužni program za sigurnosno podizanje sustava je zamjena za prethodni uslužni program za lozinku firmvera. Na Mac računalima s Apple T2 sigurnosnim čipom, on upravlja većim setom sigurnosnih postavki. Mac računala bez T2 čipa i dalje koriste uslužni program za lozinku firmvera. Uslužnom se programu može pristupiti podizanjem sustava u modu oporavka i odabirom uslužnog programa za sigurnosno podizanje sustava iz izbornika Uslužni programi. Prednost uvrštavanja ključnih kontrola za sigurnost (poput sigurnog podizanja sustava ili SIP-a) u oporavak sustava jest ta da se provjerava integritet čitavog operacijskog sustava. Time se jamči da nijedan napadački kôd koji se probio u Mac ne može oponašati korisnika u svrhu daljnjeg onemogućavanja sigurnosti.
Uslužni program za sigurnosno podizanje sustava.
Sigurnost Apple platforme 24 Ključne promjene politike sigurnosti sad zahtijevaju provjeru autentičnosti, čak i u Modu oporavka. Ova značajka dostupna je samo na Mac računalima s T2 čipom. Kad se prvi put otvori uslužni program za sigurnosno podizanje sustava, on od korisnika traži unos administratorske lozinke iz primarne instalacije macOS-a povezane s trenutačno pokrenutim oporavkom macOS-a. Ako nema administratora, mora se kreirati prije mogućnosti promjene politike. T2 čip zahtijeva da je Mac računalo trenutačno podignuto u modu oporavka operacijskog sustava te da je prije takve promjene politike izvršena provjera autentičnosti uz pomoć vjerodajnica koje podržava Secure Enclave. Promjene politike sigurnosti podrazumijevaju zadovoljenje dvaju zahtjeva. Oporavak operacijskog sustava mora:
• Biti pokrenut s uređaja za pohranu izravno spojenog na T2 čip, jer particije na drugim uređajima nemaju vjerodajnice koje podržava Secure Enclave povezane na uređaj s internom pohranom. • Biti na volumenu diska baziranom na APFS-u jer postoji podrška samo za pohranjivanje provjere autentičnosti u vjerodajnicama za oporavak sustava poslanim u Secure Enclave na "predpodignutom" APS volumenu diska. HFS plus-formatirani volumeni diska ne mogu koristiti sigurno podizanje sustava. Ova je politika prikazana samo u uslužnom programu za sigurnosno podizanje sustava na Mac računalima s Apple T2 sigurnosnim čipom. Premda se u većini slučajeva ne bi trebale zahtijevati promjene politike sigurnog podizanja sustava, u konačnici su korisnici ti koji upravljaju postavkama svojih uređaja, pa stoga, ovisno o njihovim potrebama, mogu birati hoće li onemogućiti ili degradirati sigurno podizanje sustava na svojim Mac računalima.
Promjene politike sigurnog podizanja sustava iz ove aplikacije primjenjuju se samo na procjenu lanca povjerenja koji se provjerava na Intel procesoru. Opcija "Sigurno podizanje T2 čipa" je uvijek aktivna.
Sigurno podizanje sustava konfigurirano je na jednu od tri postavke: Puna sigurnost, Srednja sigurnost i Bez sigurnosti. Potonja u potpunosti isključuje procjenu sigurnog podizanja sustava na Intel procesoru i korisniku omogućava da podigne što god želi.
Puna sigurnost podizanja sustava Puna sigurnost zadana je postavka i ponaša se kao iOS i iPadOS. U vrijeme preuzimanja i pripreme softvera za instalaciju, umjesto korištenja globalnog potpisa koji dolazi sa softverom, macOS komunicira s istim Appleovim poslužiteljem koji se rabi za iOS i iPadOS te zahtijeva novi, "personalizirani" potpis. Potpis se smatra personaliziranim kad uključuje ECID, jedinstveni ID karakterističan za T2 čip u ovom slučaju, kao dio zahtjeva za potpisom. Potpis koji vraća poslužitelj za potpisivanje jedinstven je i može ga koristiti samo taj određeni T2 čip. Kad je na snazi Puna sigurnost UEFI firmver osigurava da potpis nije samo Appleov, već da je namijenjen konkretnom Mac računalu, u osnovi povezujući tu verziju operacijskog sustava s tim Mac računalom.
Korištenje online poslužitelja za potpis također omogućava bolju zaštitu od napada degradiranjem u odnosu na standardne globalne potpise. U globalnom sustavu potpisa ugrađeni rok trajanja softvera mogao se promijeniti mnogo puta, ali sustav koji nikad nije vidio najnoviji firmver to neće znati. Primjerice, računalo koje se trenutačno oslanja na ugrađeni rok trajanja softvera prihvaća softver od sigurnosnog roka 2, čak i ako je aktualni ugrađeni rok trajanja softvera 5. Uz iOS i iPadOS tip online sustava potpisivanja, poslužitelj za potpisivanje može odbiti stvaranje potpisa za bilo koji softver koji ne pripada najnovijem ugrađenom roku trajanja.
Sigurnost Apple platforme 25 Osim toga, ako napadač otkrije ranjivost sustava nakon promjene ugrađenog roka trajanja softvera, može jednostavno odabrati ranjivi softver od prethodnog roka trajanja softvera Sustava A i primijeniti ga na Sustav B kako bi ga napao. Činjenica da je ranjivi softver starijeg roka trajanja bio personaliziran za Sustav A sprečava ga da bude prijenosan i stoga se rabi za napad na Sustav B. Svi ti mehanizmi rade zajedno kako bi osigurali daleko jača jamstva da napadači ne mogu namjerno smjestiti ranjivi softver na računalo s ciljem zaobilaženja zaštite koju pruža najnoviji softver. Ali korisnik s administratorskim korisničkim imenom i lozinkom za Mac uvijek može odabrati najbolju politiku sigurnosti u skladu sa svojim potrebama.
Srednja sigurnost podizanja sustava Srednja sigurnost pomalo je nalik klasičnom UEFI sigurnom podizanju sustava gdje proizvođač (u ovom slučaju Apple) generira digitalni potpis za kôd kako bi potvrdio njegovu autentičnost. Tako se napadačima onemogućava umetanje nepotpisanoga koda. Taj potpis nazivamo "globalnim" jer se može koristiti na bilo kojemu Mac računalu s podešenom Srednjom sigurnosti koliko je god dugo potrebno. iOS, iPadOS i T2 čip ne podržavaju globalne potpise.
Ograničenje sustava globalnih potpisa povezano je sa sprečavanjem "napada degradiranjem". Kod napada degradiranjem, napadač u sustav smješta stari, ali legitiman i pravilno potpisani softver s poznatim sigurnosnim propustima koje potom iskorištava s ciljem preuzimanja kontrole nad sustavom. Brojni sustavi globalnih potpisa uopće ne pokušavaju spriječiti napade degradiranjem. Oni koji to čine često se koriste "sigurnosnom verzijom" ili "ugrađenim rokom trajanja softvera". To je broj tipično obuhvaćen potpisom i provjeren nakon potvrde. Računalo treba sigurnu i trajnu pohranu za evidenciju najveće vrijednosti roka trajanja softvera koje je vidjelo u potpisanom kodu, i onemogućavanje bilo kojega koda, čak iako je pravilno potpisan, s kraćim trajanjem.
Proizvođač koji želi zamijeniti ugrađeni rok trajanja softvera potpisuje softver novim ugrađenim rokom trajanja softvera koji je duži od onog sadržanog u bilo kojem ranije izdanom softveru. Firmver koji detektira ugrađeni rok trajanja softvera veći od posljednjeg zabilježenog u sigurno pohranjenim sigurnosnim ažuriranjima obnavlja vrijednost ugrađenog roka trajanja softvera na prostoru za pohranu. Potom odbija sve ranije potpisane kodove s ugrađenim rokovima trajanja softvera manjim od posljednje pohranjene vrijednosti. Ako sustav nema prostor za sigurnu pohranu, napadač može jednostavno promijeniti ugrađeni rok trajanja softvera na raniji datum te potom iskoristiti softver. Zato brojni sustavi koji primjenjuju ugrađene rokove trajanja softvera pohranjuju njihove brojeve u jednokratno programabilni niz osigurača. Kad osigurači pregore, vrijednosti se ne mogu mijenjati. Kako god, tu također postoji ograničenje, što znači da napadač može jednostavno spržiti sve osigurače kako bi poništio sve potpise i ujedno trajno onemogućiti podizanje sustava.
Appleova shema globalnih potpisa ne uključuje ugrađeni rok trajanja softvera jer su ti sustavi nefleksibilni i često uzrokuju značajne probleme s korištenjem. Zaštita od napada degradiranjem bolje se postiže u načinu Pune sigurnosti, što je zadana postavka, i po ponašanju veoma slična sustavima iOS i iPadOS. Korisnici koji žele iskoristiti prednost zaštite od napada degradiranjem trebali bi zadržati zadanu postavku Pune sigurnosti. Ipak, način Srednje sigurnosti na raspolaganju je korisnicima koji možda ne mogu iskoristiti prednosti Pune sigurnosti.
Sigurnost Apple platforme 26 Podizanje sustava s medija Podizanje sustava s medija omogućeno je samo na Mac računalima s Apple T2 sigurnosnim čipom i potpuno je neovisno od sigurnog podizanja sustava. Čak i ako korisnik onemogući sigurno podizanje sustava, to ne mijenja standardnu zabranu podizanja s bllo čega drugog osim uređaja za pohranu direktno spojenog na T2 čip.
Povijesno gledano, Mac računala su standardno omogućavala podizanje sustava s vanjskog uređaja. Taj pristup omogućio bi napadaču u fizičkom posjedu uređaja da pokrene proizvoljni kôd s podignutog diska. Kombinacija zaštita kao što su FileVault i SecureBoot osiguravaju da nema poznatih strukturnih sigurnosnih rupa kroz koje bi napadač s vanjskog diska mogao pristupiti korisničkim podacima bez lozinke tog korisnika. Ipak, čak i privremeno pokretanje proizvoljnoga koda napadaču može omogućiti da manipulira Mac računalom tako da podacima koje on kontrolira može iskoristiti ranjivosti nepoznate Appleu. Stvaranje proizvoljnoga koda stoga može ugroziti podizanje sustava, a zatim i korisničke podatke.
Apple je promijenio pravilo podizanja sustava s vanjskog medija u zadanu zabranu, a na Mac računalima s T2 čipom postoji mogućnost odabira. Na Mac računalima bez T2 čipa, korisnici su uvijek mogli podesiti lozinku firmvera i tako odabrati zabranu podizanja sustava s vanjskog medija. No, lozinke firmvera nisu bile dobro poznate, pa njihova primjena nije zaživjela. S tom promjenom politike Apple mijenja i ponašanje Mac računala na način da ono standardno pruža najbolju zaštitu umjesto da na korisnike stavlja teret odabira.
Zaštita firmvera lozinkom macOS podržava zaštitu firmvera lozinkom kako bi se spriječile nenamjerne preinake postavki firmvera na određenome Mac računalu. Lozinka firmvera koristi se za sprečavanje odabira alternativnih načina podizanja sustava poput onih u načinu oporavka sustava ili jednokorisničkom načinu, podizanja sustava s nedozvoljenog medija ili Modu odredišnog diska
Najosnovnijem načinu korištenja Lozinke firmvera može se pristupiti iz uslužnog programa za lozinku firmvera oporavka sustava na Mac računalima bez Apple T2 sigurnosnog čipa te iz uslužnog programa za sigurnosno podizanje sustava na Mac računalima s T2 čipom. Napredne opcije (poput mogućnosti traženja lozinke pri svakom podizanju) dostupne su putem naredbe firmwarepasswd u komandnom retku macOS-a.
Kao što je opisano u poglavlju Proces podizanja sustava za Mac računala bez Apple T2 sigurnosnog čipa, podešavanje lozinke firmvera posebno je važno kako bi se smanjila opasnost od napada na Mac računala bez T2 čipa od strane fizički prisutnog napadača (kao npr. u računalnom laboratoriju ili uredskom okruženju). Lozinka firmvera može spriječiti napadača u podizanju sustava putem oporavka, gdje može onemogućiti zaštitu integriteta sustava. Osim toga, onemogućavanjem podizanja sustava s alternativnog medija, napadač ne može pokrenuti privilegirani kôd s drugog operacijskog sustava kako bi napao periferni firmver.
Mehanizam resetiranja lozinke firmvera namijenjen je za pomoć korisnicima koji zaborave svoje lozinke. Prilikom podizanja sustava korisnici pritisnu kombinaciju tipaka, ovisno o modelu, koja se šalje AppleCareu. AppleCare digitalno potpisuje resurs koji potpisom provjerava Jedinstveni identifikator resursa (URI). Ako je prošla potvrda potpisom i sadržaj je namijenjen određenome Mac računalu, UEFI firmver uklanja lozinku firmvera.
Sigurnost Apple platforme 27 Za korisnike koji lozinku firmvera žele promijeniti isključivo sami, softverskim putem, komandnom retku firmwarepasswd u sustavu macOS 10.15 dodaje se opcija -disable- reset-capability. Prije podešavanja ove opcije, korisnici moraju dati suglasnost da će snositi troškove zamjene matične ploče ako ona bude potrebna u slučaju zaboravljene lozinke i njezina uklanjanja. Organizacije koje žele zaštititi svoja Mac računala od vanjskih napadača i zaposlenika moraju postaviti lozinke firmvera na sustavima u njihovu vlasništvu. To se može napraviti na uređaju:
• ručno, korištenjem alata komandnoj retka firmwarepasswd • pomoću alata drugih proizvođača koji se koriste alatom komandnoj retka firmwarepasswd
• korištenjem upravljanja mobilnim uređajem (MDM).
Sigurnosna ažuriranja softvera
Pregled sigurnosnih ažuriranja softvera Apple redovito izdaje ažuriranja softvera s ciljem rješavanja novonastalih sigurnosnih pitanja i omogućavanja novih značajki; ta se ažuriranja općenito izdaju za sve podržane uređaje istodobno. Korisnici iOS i iPadOS uređaja dobivaju obavijesti na uređaj i preko iTunesa (u sustavu macOS 10.14 ili starijem) ili Findera (macOS 10.15 ili noviji). Ažuriranja se izdaju bežično, radi brze primjene najnovijih sigurnosnih zakrpa.
Proces podizanja sustava pomaže osigurati da se instalira isključivo kôd koji je potpisao Apple. Primjerice, Autorizacija softvera sustava brine da se na iOS i iPadOS uređaje ili Mac računala s postavkom Pune sigurnosti podešenom za sigurnosno podizanje sustava u uslužnom programu za sigurnosno podizanje sustava mogu instalirati samo legitimne kopije verzija operacijskih sustava koje je potpisao Apple. Ovaj sustav sprečava degradiranje iOS i iPadOS uređaja na starije verzije bez najnovijih sigurnosnih zakrpa, a Apple ga može koristiti za sprečavanje sličnih degradacija macOS-a. Bez te zaštite, napadač koji dođe u posjed uređaja mogao bi instalirati stariju verziju sustava iOS ili iPadOS te iskoristiti ranjivost koja je popravljena u novijim verzijama.
Osim toga, kad je uređaj fizički spojen na Mac, preuzima se i instalira kompletna kopija sustava iOS ili iPadOS. Ali za ažuriranje putem zraka ("over-the-air", odnosno OTA), preuzimaju se samo komponente potrebne za završetak ažuriranja, što poboljšava efikasnost mreže jer se ne preuzima kompletan operacijski sustav. Osim toga, ažuriranja softvera mogu se spremiti u predmemoriju Mac računala sa sustavom macOS 10.13 ili novijim s uključenom značajkom Predmemoriranja sadržaja, tako da ioS i iPadOS uređaji ne moraju ponovno preuzimati potrebna ažuriranja putem interneta. Još uvijek trebaju kontaktirati Apple poslužitelje za dovršenje ažuriranja.
Proces sigurnosnih ažuriranja softvera Tijekom nadogradnje uspostavlja se veza s Apple autorizacijskim poslužiteljem instalacije koji uključuje popis kriptografskih mjerenja za svaki pojedini dio instalacijskog paketa (na primjer, iBoot, jezgra i slika operacijskog sustava), nasumičnu vrijednost zaštite od reprodukcije (riječ za jednokratno korištenje), i za uređaj jedinstvenu Ekskluzivnu identifikaciju čipa (ECID).
Sigurnost Apple platforme 28 Autorizacijski poslužitelj provjerava predstavljeni popis mjerenja protiv verzija za koje je instalacija dopuštena i, ako se pronađe podudaranje, mjerenjima dodaje ECID i potpisuje rezultat. Poslužitelj uređaju šalje kompletni set potpisanih podataka kao dio postupka nadogradnje. Dodavanje ECID-a "personalizira" autorizaciju za pojedini uređaj. Autorizacijom i potpisivanjem isključivo poznatih mjerenja, poslužitelj osigurava da se nadogradnja odvija točno kako je omogućio Apple.
Procjena lanca povjerenja za vrijeme podizanja sustava provjerava da potpis koji šalje Apple i mjerenje sadržaja učitanog s uređaja za pohranu, u kombinaciji s ECID-om uređaja, odgovara onome što je obuhvaćeno potpisom. Ovi koraci osiguravaju da je autorizacija namijenjena pojedinom uređaju i da se starija firmver verzija sustava iOS, iPadOS ili Apple T2 sigurnosnog čipa ne može s jednog uređaja kopirati na drugi. Riječ za jednokratno korištenje sprečava napadača da spremi odgovor poslužitelja i pomoću njega pristupi uređaju ili na neki drugi način mijenja sistemski softver.
Na uređaju sa Secure Enclave, koprocesor Secure Enclave također koristi Autorizaciju softvera sustava kako bi osigurao integritet softvera i spriječio degradirajuće instalacije.
Integritet sustava OS u sustavu iOS i iPadOS
Pregled sigurnosti sustava iOS i iPadOS Apple je ugradio sigurnost u samu srž iOS platforme. Kad smo krenuli stvarati najbolju moguću mobilnu platformu, crpili smo iz desetljeća iskustva izgradnje posve nove arhitekture. Razmišljali smo o sigurnosnim rizicima okruženja radne površine i utemeljili novi pristup sigurnosti pri konstrukciji iOS-a. Razvili smo i ugradili inovativne značajke koje pojačavaju sigurnost mobilnih uređaja i štite cijeli sustav prema zadanim postavkama. Rezultat je da su iOS i iPadOS golem korak naprijed u sigurnosti za mobilne uređaje.
Zaštita integriteta jezgre Nakon što IOS i iPadOS: jezgre završe inicijalizaciju, Zaštiti integriteta jezgre (KIP) je omogućeno da spriječi izmjene koda jezgre i upravljačkog programa. Kontroler memorije pruža zaštićeno područje fizičke memorije koje iBoot koristi za učitavanje jezgre i ekstenzija jezgre. Kad podizanje sustava završi, kontroler memorije onemogućava pisanje u zaštićeno područje fizičke memorije. Dodatno, procesor aplikacije Jedinice za upravljanje memorijom (MMU) je konfiguriran za sprečavanje mapiranja povlaštenog koda iz fizičke memorije izvan zaštićene memorijske regije i za sprečavanje mapiranja fizičke memorije u području jezgre u kojem je upisivanje moguće.
Kako bi spriječio promjenu strukture, hardver koji se koristi za omogućavanje KIP-a je zaključan nakon što se završi proces podizanja sustava. KIP je podržan na SoC-ovima koji počinju s Apple A10 i S4.
Za Apple A11 Bionic SoC predstavljen je novi hardver primitiv. Ovaj primitiv uključuje CPU registar koji brzo ograničava dopuštenja po nizu. S ovim brzim ograničenjima dopuštenja (ili APRR), iOS i iPadOS mogu iz memorije ukloniti izvršna dopuštenja, bez režima sistemskog poziva i provjere mapiranja ili bloka podataka.
Sigurnost Apple platforme 29 Zaštita integriteta koprocesora sustava Firmver koprocesora obavlja mnoge ključne sistemske zadatke, na primjer, Secure Enclave, procesor senzora slike i koprocesor Kretanja. Zato je njegova sigurnost ključni dio sigurnosti ukupnog sustava. Kako bi spriječio modifikacije firmvera koprocesora, Apple koristi mehanizam koji se naziva Zaštita integriteta koprocesora sustava (SCIP), podržan na SoC-ovima s Apple A12 i S4 SoC-ovima.
SCIP funkcionira veoma slično Zaštiti integriteta jezgre: za vrijeme podizanja sustava, iBoot učitava firmver svakog koprocesora u zaštićenu memorijsku regiju, onu koja je rezervirana i odvojena od KIP regije. iBoot konfigurira svaku koprocesorsku jedinicu memorije kako bi spriječio:
• izvršna mapiranja izvan dijela zaštićene memorijske regije • upisivanje mapiranja u dijelu zaštićene memorijske regije. Također i za vrijeme podizanja sustava, kako bi konfigurirao SCIP za Secure Enclave, koristi operacijski sustav Secure Enclave. Kad je proces podizanja sustava završen, hardver koji se koristi za dopuštanje SCIP-a je zaključan kako bi se spriječio preustroj.
Kodovi autorizacije pokazivača Kodovi autorizacije pokazivača (PAC) podržani su pokretanjem s Apple A12 i S4 SoC-ovima, a koriste se za zaštitu od iskorištavanja pogrešaka oštećenja memorije. Softver sustava i ugrađene aplikacije koriste PAC kako bi spriječili modifikacije funkcijskih pokazivača i povratnih adresa (pokazivači koda). PAC koristi pet tajnih 128-bitnih vrijednosti za potpisivanje uputa i podataka jezgre, a svaki proces korisničkog prostora ima vlastite B ključeve. Stavke su saltirane i potpisane kako je niže naznačeno:
Stavka Ključ Salt
Adresa za povratak funkcije IB Adresa pohrane
Pokazivači funkcija IA 0
Funkcija blokiranja poziva IA Adresa pohrane
Objective-C Predmemorija metode IB Adresa pohrane + Klasa + Izbornik
C++ V-Unosi u tablicu IA Adresa pohrane + Sažetak (naziv mangled metode)
Računalna Goto oznaka IA Sažetak (naziv funkcije)
Stanje niti jezgre GA •
Registri stanja niza korisnika IA Adresa pohrane
C++ V-Pokazivači tablice DA 0
Sigurnost Apple platforme 30 Vrijednost potpisa pohranjena je u neiskorištenim bitovima za ispunu na vrhu 64-bitnog pokazivača. Potpis se ovjerava prije uporabe i ispuna je obnovljena kako bi osigurala funkcioniranje adrese pokazivača. Neuspješna ovjera rezultata podešene posebne vrijednosti poništava adresu, a u sustavima iOS 13 i iPadOS 13.1 se prekida. Ova ovjera otežava brojne napade, poput Return Oriented Programming (ROP) napada kojim se uređaj pokušava prevariti na način da izvrši postojeći kod na zloćudan način, manipuliranjem funkcija povratnih adresa pohranjenih na stog. PAC je podržan na SoC-ovima koji počinju s Apple A12 i S4.
Zaštitni sloj stranice Zaštitni sloj stranice (PPL) za iOS i iPadOS štiti korisnički kôd od izmjena nakon što je završena ovjera potpisa koda. Gradi se na KIP-u i APRR-u za pažljivo upravljanje premošćivanjima dopuštenja tablice stranice kako bi se osiguralo da samo PPL može mijenjati zaštićene stranice koje sadrže korisnički kôd i tablice stranice. Sustav omogućuje opsežno smanjenje na površini napada podrškom sustavnoj primjeni integriteta kôda, čak i u slučaju kad je jezgra ugrožena.
Integritet sustava OS u sustavu macOS
Pregled sigurnosti sustava macOS Apple je osmislio macOs platformu s integriranim pristupom hardveru, softveru i uslugama koje pružaju sigurnost dizajnom i jednostavne su za konfiguraciju, pokretanje i upravljanje. macOS uključuje ključne sigurnosne tehnologije potrebne IT stručnjacima kako bi im pomogle u zaštiti korporativnih podataka i integraciji u sigurnim poslovnim mrežnim okruženjima. Apple također surađuje s regulacijskim tijelima kako bi osigurao usklađenost s najnovijim sigurnosnim certifikatima.
Sigurnost firmvera Mac računala
Pregled sigurnosti UEFI firmvera Od 2006. godine Mac računala s CPU-om temeljenim na Intelu koriste Intel firmver temeljen na Proširivom sučelju firmvera (EFI) Razvojnim alatima (EDK) verzija 1 ili verzija 2. Kôd temeljen na EDK2 usklađen je sa specifikacijom Unified Extensible Firmware Interface (UEFI). Ovaj se odjeljak odnosi na Intelov firmver kao UEFI firmver. UEFI firmver bio je prvi kôd izvršen na Intel čipu.
Kako bi spriječio napade koji se fizički priključuju na čip za pohranu firmvera u kojem je pohranjen UEFI firmver, Mac računala su 2017. godine redizajnirana kako bi učvrstila povjerenje u UEFI firmver Apple T2 sigurnosnog čipa. Na ovim Mac računalima, korijen povjerenja prema UEFI firmveru napose je T2 firmver. Dizajn se oslanja na to da će T2 zaštititi UEFI firmver ( i Sigurno podizanje sustava u cjelini) od trajne infekcije, na jako sličan način na koji je podizanje sustava zaštićeno A serijama SoC-a za iOS i iPadOS.
Sigurnost Apple platforme 31 Za Mac računala bez Apple T2 sigurnosnog čipa, korijen povjerenja za UEFI firmver je čip na kojem je firmver pohranjen. Ažuriranja UEFI firmvera digitalno potpisuje Apple i firmver ih ovjerava prije ažuriranja pohrane. Kako bi spriječili napade degradiranjem, ažuriranja uvijek moraju sadržavati verziju noviju od postojeće. Međutim, napadač s fizičkim pristupom Mac računalu može koristiti hardver kako bi se priključio na čip za pohranu firmvera i ažurirao čip tako da sadrži zloćudne sadržaje. Jednako tako, ako se utvrde ranjivosti tijekom ranog procesa podizanja sustava UEFI firmvera (prije nego upiše ograničenja u čip za pohranu), to bi također moglo dovesti do trajne infekcije UEFI firmvera. To je konstrukcijsko ograničenje hardvera uobičajeno u većini osobnih računala temeljenih na Intelu koji je prisutan i u svim Mac računalima bez T2 čipa.
Kako bi uklonili to ograničenje, Mac računala su redizajnirana kako bi učvrstila povjerenje u UEFI firmver u Apple T2 sigurnosnim čipovima. Na ovim Mac računalima, korijen povjerenja prema UEFI firmveru napose je T2 firmver, kako je i opisano dalje u odjeljku podizanje sustava macOS. Kako bi postigao trajnu infekciju UEFI firmvera, napadač bi morao postići trajnu infekciju T2 firmvera.
Intel Management Engine (ME) Jedna podkomponenta koja je pohranjena unutar UEFI firmvera jest INtel Management Engine (ME) firmver. ME, zasebni procesor i podsustav unutar Intel čipova, može se koristiti za daljinsko upravljanje, zaštićeni audio i video te za poboljšanje sigurnosti. Za smanjenje područja tog napada, Mac računala imaju prilagođeni ME firmver iz kojeg je uklonjena većina komponenata. To omogućava Mac ME firmveru da bude manji od standardne minimalne verzije koju omogućava Intel. Shodno tome, brojne komponente (poput Active Management Technology) koje su u prošlosti bile predmetom javnih napada od strane stručnjaka za sigurnost, nisu prisutne u Mac ME firmveru. Osnovna primjena ME-a jest zaštita autorskih prava audia i videa na Mac računalima koja imaju samo grafiku temeljenu na Intelu.
Mod upravljanja sustavom (SMM) Intel procesor ima poseban izvršni mod koji se razlikuje od uobičajenog rada. Nazvan Mod upravljanja sustavom (SMM) izvorno je uveden za rukovanje vremenski osjetljivim radnjama kao što je upravljanje napajanjem. Međutim, kako bi izvodili takve radnje, Mac računala povijesno koriste diskretni mikrokontroler zvan Kontroler upravljanja sustavom (SMC). SMC više nije zaseban mikrokontroler, integriran je u Apple T2 sigurnosni čip.
Na osobnim računalima koja podržavaju sigurno podizanje sustava, SMM obavlja dodatnu ulogu kao zaštićeno okruženje izvršenja kojem se može dati ekskluzivni pristup sigurnosno osjetljivom sadržaju, poput prava pisanja kôda i sigurnosnim pravilima pohranjenima na čip za pohranu UEFI firmvera. Kao takav, napadača često zanima proboj u SMM izvršno okruženje kao oblik eskalacije privilegija, izvođenje operacija koje jezgra ne može izvesti i tako potencijalno ugroziti sigurno pokretanje. Na Mac računalima SMM izvršno okruženje koristi se što je manje moguće i ne smatra se zaštitnom granicom za potrebe sigurnog podizanja sustava. Zato je Sigurno podizanje sustava zaštićeno čak i kad je SMM oštećen. Na T2 čipu, granica privilegija je radnja koju isključivo čip može izvesti.
Sigurnost Apple platforme 32 DMA zaštite Za postizanje visoke propusnosti brzih sučelja kao što su PCIe, FireWire, Thunderbolt i USB, računala moraju podržavati Direct Memory Access (DMA, odnosno izravan pristup memoriji) s perifernih uređaja. Točnije, moraju moći čitati i pisati na RAM bez kontinuiranog uključenja Intel CPU-a. Od 2012. godine, Mac računala su primjenjivala brojne tehnologije za zaštitu DMA, što je rezultiralo najboljim i najopsežnijim setom DMA zaštita na bilo kojem PC-u.
Intel Virtualization Technology for Directed IO (VT-d) je tehnologija koja je na Mac računalima podržana od 2012. godine, a prvi je put upotrijebljena u sustavu OS X 10.9 kako bi se jezgra zaštitila od prepisivanja u memoriji od strane zloćudnih perifernih uređaja. Ipak, zloćudni periferni uređaj također mogu pisati preko koda i podataka dok je pokrenut UEFI firmver kako bi se kompromitirala sigurnost podizanja. U sustavu macOS 10.12.3 ažuriran je UEFI firmver za sva Mac računala opremljena značajkom VT-d kako bi koristila VT-d za zaštitu od zloćudnih FireWire i Thunderbolt perifernih uređaja. Također izolira periferne uređaje tako da oni mogu vidjeti samo vlastite memorijske raspone, a ne memoriju drugih perifernih uređaja. Primjerice, Ethernet periferni uređaj koji rade u UEFI-u, ne mogu čitati memoriju perifernog uređaja za pohranu.
DMA zaštite UEFI firmvera dodatno su poboljšane u sustavu macOS 10.13 radi pomicanja inicijalizacije u raniju fazu pokretanja UEFI firmvera za zaštitu od:
• zloćudnih procesora perifernih uređaja na PCIe sabirnici • klase Message Signaled Interrupt (MSI) napada koje su predstavili stručnjaci za sigurnost. Sva Mac računala s Apple T2 sigurnosnim čipom posjeduju dodatno poboljšane DMA zaštite, gdje se inicijalizacija odvija što je ranije moguće. Točnije, zaštita se aktivira prije nego što ijedan RAM uopće postane dostupan UEFI firmveru. To štiti od bilo kakvih nultih uređaja s ugroženim PCIe sabirnicama (poput Intel ME) koji mogu raditi i kompatibilni su s DMA u trenutku kad RAM postane dostupan. Ta je zaštita dodana i Mac računalima bez T2 čipa u sustavu macOS 10.15.
Option ROM-ovi I Thunderbolt i PCIe uređaji imaju na sebi fizički priključen "Option ROM" (OROM). (To obično nije pravi ROM, već izbrisivi čip na kojem je pohranjen firmver.) U sustavima baziranima na UEFI-u, taj je firmver obično UEFI upravljački program koji čita i izvršava UEFI firmver. Izvršeni kod trebao bi inicijalizirati i konfigurirati hardver s kojeg je povučen, tako da ostatak firmvera može iskoristiti hardver. Ta je mogućnost potrebna tako da specijalizirani hardver drugog proizvođača može učitavati i raditi u najranijim fazama podizanja sustava, primjerice, podizati sustav s eksternih RAID nizova.
Kako god, s obzirom na to da su OROM-ovi općenito izbrisivi, ako napadač prepiše OROM legitimnog perifernog uređaja, napadačev kôd bi se izvršio u ranoj fazi podizanja sustava i mogao bi izmijeniti izvršno okruženje te ugroziti integritet kasnije učitanog softvera. Slično tome, ako napadač u sustav postavi vlastiti zloćudni uređaj, može i izvršiti zloćudni kod.
Sigurnost Apple platforme 33 U sustavu macOS 10.12.3, ponašanje Mac računala puštenih u prodaju nakon 2011. godine promijenjeno je na način da nemaju unaprijed zadano izvršenje OROM-a u fazi podizanja sustava, osim ako se ne pritisne posebna kombinacija tipaka. Ta je kombinacija tipaka štitila od nenamjernog upada zloćudnih OROM-ova u podizanje macoS-a. Promijenjeno je i standardno ponašanje uslužnog programa za lozinku firmvera tako da, kad korisnik postavi lozinku firmvera, OROM-i ne mogu izvršiti čak i ako je pritisnuta kombinacija tipaka. To je štitilo od fizički prisutnog napadača koji bi namjerno postavio zloćudni OROM. Za korisnike koji još uvijek trebaju OROM-ove, a imaju postavljenu lozinku firmvera, može se konfigurirati nezadana opcija pomoću firmwarepasswd komandnog retka u macOS-u.
Zaštita okruženja Option ROM-a (OROM)
Zaštitno okruženje OROM-a U sustavu macOS 10.15, UEFI firmver bio je ažuriran na način da sadrži mehanizam za zaštitu okruženja i deprivilegiranje OROM-ova. UEFI firmver obično izvršava sve kodove, uključujući i OROM-ove, na maksimalnoj razini privilegija Intel procesora, što se naziva "ring 0", i jedan dijeljeni prostor virtualne memorije za sve kodove i podatke. Ring 0 je također i razina privilegija macOS jezgre, dok aplikacije rade na nižoj razini privilegija, ring 3. Zaštitno okruženje OROM-a deprivilegira OROM-ove razdvajanjem virtualne memorije kao što to čini jezgra, zatim pokrećući OROM-ove u ringu 3.
Zaštitno okruženje dodatno značajno smanjuje broj sučelja koje OROM-ovi mogu pozvati (što je nalik filtriranju sistemskih poziva kod jezgri), i vrstu uređaja koje OROM može registrirati (što je slično popisu dopuštenih aplikacija). Prednost tog dizajna jest u tome što zloćudni OROM-ovi ne mogu više izravno zapisivati nigdje unutar ring 0 memorije te su umjesto toga ograničeni na veoma usko i dobro definirano sučelje zaštitnog okruženja. To ograničeno sučelje značajno smanjuje područje napada i prisiljava napadače da prvo napuste zaštitni prostor i prošire privilegij.
Sigurnost Apple platforme 34 Sigurnost firmvera perifernih uređaja Mac računala imaju mnogo ugrađenih perifernih procesora čiji su zadaci, primjerice, umrežavanje, grafika, upravljanje napajanjem ili podacima podatkovnih sabirnica kao što su USB ili Thunderbolt. Periferni firmver često ima jednu namjenu i daleko je slabiji od Intel CPU-a. Ipak, ugrađeni periferni uređaji koji ne primjenjuju dostatnu sigurnost podložni su napadačima koji traže još lakše mete koje mogu iskoristiti i potom trajno zaraziti operacijski sustav. Kad zarazi firmver perifernog procesora, napadaš bi mogao ciljati softver Intel CPU-a ili pak izravno preuzeti osjetljive podatke (npr. Ethernet uređaj bi mogao vidjeti sadržaj nekriptiranih paketa).
Apple strateški surađuje s drugim proizvođačima kako bi smanjio (gdje god je to moguće) broj potrebnih perifernih procesora, ili izbjegao dizajn koji zahtijeva firmver. Ali kad je firmver potreban, ulažu se napori kako bi se osiguralo da napadač ne može ustrajati na tom procesoru. To se može postići na sljedeće načine:
• radom procesora u načinu u kojem on preuzima provjereni firmver s Intel CPU-a prilikom podizanja sustava • osiguravanjem da periferni procesor implementira vlastiti sigurni lanac podizanja sustava gdje provjerava vlastiti firmver pri svakom podizanju. Apple surađuje s proizvođačima kako bi provjerio njihove implementacije i poboljšao dizajn kako bi uključivao željena svojstva poput:
• osiguranja minimalnih kriptografskih prednosti • aktivnog opoziva poznatog lošeg firmvera • onemogućavanja sučelja za ispravljanje pogrešaka • potpisivanja firmvera kriptografskim ključevima pohranjenima u Sigurnosni modul hardvera (HSM) koji kontrolira Apple. Posljednjih godina Apple je surađivao s nekim proizvođačima s ciljem usvajanja istih “Image4” podatkovnih struktura, verifikacijskog koda i infrastrukture potpisivanja kakve koriste iOS, iPadOS i Mac računala s Apple T2 sigurnosnim čipom.
Ako ne postoji mogućnost rada bez pohranjivanja ili s pohranjivanjem i sigurnim podizanjem sustava, dizajn obvezuje kriptografsko potpisivanje i provjeru ažuriranja firmvera prije ažuriranja trajne pohrane.
Obavezne kontrole pristupa macOS također koristi obavezne kontrole pristupa, tj. pravila koja određuju sigurnosna ograničenja, a koja je kreirao developer i koja se ne mogu poništiti. Taj se pristup razlikuje od diskrecijskih kontrola pristupa koje korisnicima dozvoljavaju izmjenu sigurnosnih politika po želji.
Obavezne kontrole pristupa nisu vidljive korisnicima, ali riječ je o osnovnoj tehnologiji koja pomaže omogućiti nekoliko važnih značajki, uključujući zaštitu okruženja, roditeljske kontrole, upravljane postavke, ekstenzije i zaštitu integriteta sustava.
Sigurnost Apple platforme 35 Zaštita integriteta sustava Sustav OS X 10.11 ili noviji uključuje zaštitu na razini sustava koja se naziva zaštitom integrireta sustava. Ona ograničava komponente tako da se mogu samo čitati na specifičnim lokacijama važnih datotečnih sustava kako bi se spriječilo da ih zloćudni kôd izmijeni. Zaštita integriteta sustava je posebna računalna postavka koja se automatski uključuje kad korisnik nadogradi sustav na OS X 10.11 ili noviji; njezino onemogućavanje uklanja zaštitu svih particija na fizičkom uređaju za pohranu. macOS tu sigurnost primjenjuje na svaki proces sustava, bez obzira na to radi li on u zaštitnom okruženju ili s administratorskim ovlastima.
Ekstenzije jezgre Ekstenzije jezgre (KEXT-ovi) se više ne preporučaju za macOS. KEXT-ovi ugrožavaju integritet i pouzdanost operacijskog sustava, pa bi korisnici trebali birati rješenja koja ne zahtijevaju ekstenziju jezgre.
Sustav macOS 10.15 developerima dopušta proširenje mogućnosti macOS-a instaliranjem i upravljanjem ekstenzija sustava koje rade u korisničkom prostoru umjesto na razini jezgre. Radom u korisničkom prostoru, ekstenzije sustava povećavaju stabilnost i sigurnost macOS-a. Dok KEXT-ovi inherentno imaju pristup čitavom operacijskom sustavu, ekstenzije aktivne u korisničkom prostoru daju samo ovlasti nužne za njihovu određenu funkciju.
Developeri mogu koristiti okvire uključujući DriverKit, EndpointSecurity, i NetworkExtension za pisanje USB i upravljačkih programa sa sučeljima za interakciju s ljudima, endpoint sigurnosnih alata (npr. za sprečavanje gubitka podataka ili drugih endpoint agenata) te VPN i mrežnih alata, sve bez potrebe za pisanjem KEXT-ova. Sigurnosni agenti drugih proizvođača mogu se upotrebljavati samo ako se koriste prednostima tih API-ja ili imaju čvrst putokaz za tranziciju prema njima i dalje od ekstenzija jezgre.
macOS još uvijek omogućava mehanizam ekstenzije jezgre kako bi dopustio dinamičko učitavanje koda u jezgru bez potrebe za rekompiliranjem ili ponovnim povezivanjem. Zbog veće sigurnosti, potreban je pristanak korisnika za učitavanje ekstenzija jezgre instaliranih skupa sa sustavom macOS 10.13 ili poslije toga. To se naziva učitavanjem ekstenzije jezgre koje je odobrio korisnik. Za odobrenje ekstenzije jezgre potrebno je odobrenje administratora.
Ekstenzije jezgre ne zahtijevaju odobrenje u sljedećim slučajevima:
• ako su instalirane na Mac računalo prije nadogradnje na sustav macOS 10.13 • ako zamjenjuju ranije odobrene ekstenzije • ako se smiju učitavati bez pristanka korisnika korištenjem naredbe spctl koja je dostupna prilikom podizanja macOS-a u modu oporavka • ako se smiju učitavati korištenjem konfiguracije upravljanja mobilnim uređajem (MDM). Počevši od sustava macOS 10.13.2, korisnici mogu upotrebljavati MDM za određivanje ekstenzija jezgre koje se učitavaju bez korisničkog dopuštenja. Za tu je opciju potrebno Mac računalo sa sustavom macOS 10.13.2 upisanim u MDM putem Apple School Managera, Apple Business Managera ili prijave u MDM koju je odobrio korisnik.
Sigurnost Apple platforme 36 Sigurnost sustava watchOS
Pregled sigurnosti sustava watchOS Apple Watch koristi sigurnosne značajke i tehnologiju osmišljene za iOS i iPadOS radi zaštite podataka i komunikacije s uparenim iPhoneom te s internetom. To uključuje tehnologije poput Zaštite podataka i Privjesak ključeva kontrole pristupa. Korisnička šifra također je isprepletena s UID-om uređaja radi stvaranja enkripcijskih ključeva.
Uparivanje Apple Watcha s iPhoneom osigurano je out-of-band (OOB) procesom razmjene javnih ključeva, a zatim i Bluetooth Low Energy (BLE) dijeljenjem tajne putem poveznice. Apple Watch prikazuje animirani uzorak koji snimi kamera iPhonea. Uzorak sadrži kodiranu tajnu koja se koristi za BLE 4.1 out-of-band uparivanje. Ako je potrebno, kao rezervna metoda se koristi standardni BLE unos šifre.
Kad je BLE sesija pokrenuta i kriptirana najsigurnijim protokolom dostupnim u specifikaciji Bluetooth jezgre, Apple Watch i iPhone razmjenjuju ključeve koristeći proces prilagođen iz Apple Identity Servicea (IDS), kao što je opisano u Pregledu aplikacije iMessage. Nakon razmjene ključeva, ključ Bluetooth sesije se odbacuje i sva komunikacija između Apple Watcha i iPhonea kriptira se pomoću IDS-a, uz kriptirane Bluetooth, Wi-Fi i mobilne poveznice koje služe kao sekundarni sloj enkripcije. Low Energy Bluetooth adresa izmjenjuje se u 15-minutnim intervalima kako bi se smanjila opasnost od lokalnog praćenja uređaja pomoću trajnog identifikatora.
Radi podrške aplikacijama koje trebaju streaming podatke, enkripcija je omogućena pomoću metoda opisanih pod FaceTime koje koriste IDS uslugu uparenog iPhonea ili izravnu internetsku vezu.
Apple Watch implementira pohranu s kriptiranim hardverom i zaštitu datoteka i stavki Privjeska ključeva kao što je opisano u poglavlju Enkripcija i class-based zaštita podataka ovog dokumenta. Za stavke Privjeska ključeva također se koriste zbirke ključeva s kontroliranim pristupom. Ključevi korišteni za komunikaciju između sata i iPhonea isto su osigurane class-based zaštitom.
Kad Apple Watch nije u dometu Bluetootha, može se koristiti Wi-Fi ili mobilna mreža. Apple Watch se automatski spaja na Wi-Fi mreže na koje je već bio spojen upareni iPhone i čije su se vjerodajnice sinkronizirale na Apple Watch dok su oba uređaja bila u dometu. Takvo automatsko spajanje se potom može konfigurirati na bazi mreže u izborniku Wi-Fi postavki Apple Watcha. Na Wi-Fi mreže na koje se ranije nije spojio nijedan uređaj može se spojiti ručno u izborniku Wi-Fi postavki Apple Watcha.
Kad su Apple Watch i iPhone izvan dosega, Apple Watch se spaja izravno na iCloud i Gmail poslužitelje kako bi učitao Mail, suprotno od sinkronizacije Mail podataka s uparenim iPhoneom preko interneta. Za Gmail račune, od korisnika se traži prijava na Google u Mailu aplikacije Watch na iPhoneu. OAuth token primljen od Googlea šalje se na Apple Watch u kriptiranom formatu preko Apple Identity Servicea (IDS) tako da se može koristiti za učitavanje Maila. Taj se OAuth token nikad ne koristi za povezivanje s Gmail poslužiteljem s uparenog iPhonea.
Sigurnost Apple platforme 37 Ako je uključeno prepoznavanje zapešća, uređaj se zaključa automatski nakon skidanja sa zapešća korisnika. Ako je prepoznavanje zapešća isključeno, Kontrolni centar pruža opciju za zaključavanje Apple Watcha. Kad je Apple Watch zaključan, Apple Pay može se koristiti samo unosom šifre sata. Prepoznavanje zapešća je isključeno kad se koristi aplikacija Apple Watch na iPhoneu. Ova se postavka može primijeniti i korištenjem upravljanja mobilnim uređajem (MDM).
Upareni iPhone također može otključati sat uz uvjet da je bio nošen. To se postiže uspostavljanjem veze autorizirane ključevima stvorenim tijekom uparivanja. iPhone šalje ključ koji sat koristi za otključavanje vlastitih ključeva za zaštitu podataka. Šifra Apple Watcha nije poznata iPhoneu, niti se ne prenosi. Ova se značajka može isključiti korištenjem aplikacije Apple Watch na iPhoneu.
Apple Watch se može upariti samo s jednim iPhoneom. iPhone daje upute za brisanje svog sadržaja i podataka s Apple Watcha kad se uparivanje poništi.
Apple Watch se može konfigurirati za ažuriranje sistemskog softvera iste noći. Više informacija o pohranjivanju i načinima uporabe šifre Apple Watcha potražite u poglavlju Zbirke ključeva.
Aktiviranjem aplikacije Pronalaženje na uparenom iPhoneu također omogućava korištenje Zaključavanja aktivacije Apple Watcha. Zaključavanje aktivacije otežava uporabu ili prodaju izgubljenog ili ukradenog Apple Watcha. Zaključavanje aktivacije zahtijeva korisnikov Apple ID i lozinku za poništenje uparivanja, brisanje ili reaktivaciju Apple Watcha.
Uporaba Apple Watcha u macOS-u
Automatsko otključavanje Apple Watchom u macOS-u Korisnici s Apple Watchom njime mogu automatski otključati svoj Mac. Bluetooth Low Energy (BLE) i peer-to-peer Wi-Fi omogućavaju da Apple Watch sigurno otključa Mac nakon međusobnog približavanja uređaja. Za to je potreban iCloud račun s podešenom dvofaktorskom autorizacijom (TFA).
Kad aktivirate Apple Watch za otključavanje Maca, uspostavlja se sigurna veza koja koristi identitete za automatsko otključavanje. Mac kreira nasumičnu jednokratnu tajnu za otključavanje i prenosi je na Apple Watch preko poveznice. Tajna se pohranjuje na Apple Watch i može joj se pristupiti samo kad je Apple Watch otključan. Token za otključavanje nije korisnička lozinka.
Tijekom otključavanja, Mac koristi BLE za kreiranje veze s Apple Watchom. Potom se između dva uređaja uspostavlja sigurna veza koja koristi dijeljene ključeve upotrijebljene pri prvom aktiviranju. Mac i Apple Watch potom koriste peer-to-peer Wi-Fi i siguran ključ izveden iz sigurne veze za određivanje udaljenosti između dva uređaja. Ako su uređaji unutar dometa, sigurna se veza koristi za prijenos unaprijed podijeljene tajne za otključavanje Maca. Nakon uspješnog otključavanja, Mac zamjenjuje trenutačnu tajnu za otključavanje novom, jednokratnom tajnom za otključavanje i prenosi je na Apple Watch putem poveznice.
Odobravanje uz Apple Watch Kad je omogućeno automatsko otključavanje uz Apple Watch, Apple Watch se može koristiti umjesto Touch ID-a ili zajedno s njim kako bi se odobrili zahtjevi za autorizaciju i provjeru autentičnosti iz:
Sigurnost Apple platforme 38 • macOS i Apple aplikacija koje zahtijevaju autorizaciju • aplikacija drugih proizvođača koje zahtijevaju provjeru autentičnosti • spremljenih Safari lozinki • Sigurnih bilješki.
Sigurnost Apple platforme 39 Enkripcija i zaštita podataka
Pregled enkripcije i zaštite podataka Mogućnosti sigurnog lanca podizanja, sigurnosti sustava i sigurnosti aplikacija pomažu osigurati da se na uređaju pokreću samo pouzdani kôd i aplikacije. Apple uređaji imaju dodatne značajke enkripcije kojima se štite podaci korisnika, čak i kad su drugi dijelovi sigurnosne infrastrukture ugroženi (primjerice, ako je uređaj izgubljen ili je na njemu pokrenut nepouzdani kôd). Sve ove značajke koriste i korisnicima i IT administratorima, jer se cijelo vrijeme štite osobne i poslovne informacije i pružaju metode trenutnog i potpunog udaljenog brisanja u slučaju krađe ili gubitka uređaja.
iOS i iPadOS uređaji upotrebljavaju metodologiju enkripcije datoteka koja se naziva Zaštita podataka, dok se podaci na Mac računalima štite tehnologijom enkripcije jedinica koja se naziva FileVault. Oba modela na sličan način korijen svojih hijerarhija upravljanja ključevima imaju u dediciranom siliciju modula Secure Enclave (na uređajima koji sadrže SEP), te oba modela koriste dedicirani AES modul kako bi se podržala “line-speed” enkripcija i osiguralo da se dugotrajni ključevi enkripcije nikad ne moraju dati jezgrenom OS-u ili CPU-u (gdje oni mogu biti ugroženi).
Osim toga, kerneli operativnog sustava obavljaju prisilne kontrole pristupa radi sprječavanja neovlaštenog pristupa podacima. Te kontrole često uključuju stavljanje aplikacija u sandbox (čime se ograničavaju podaci kojima aplikacija može pristupiti) te prisilno uspostavljanje Sefova podataka. Sefovi podataka su poput obrnutih sandboxeva. Umjesto da ograničavaju pozive koje aplikacija može obaviti, Sefovi podataka ograničavaju pristup zaštićenim podacima (ponovno, prisilno ih uspostavlja kernel nezavisno od enkripcije datoteka) bez obzira je li izvorišni proces i sam u sandboxu ili ne.
Kako Apple štiti osobne podatke korisnika Osim što kriptiraju podatke u mirovanju, Apple uređaji pomažu spriječiti aplikacije da pristupe osobnim informacijama korisnika bez dopuštenja uporabom različitih tehnika uključujući Sef podataka. U Postavkama u sustavu iOS, iPadOS ili Postavkama sustava u sustavu macOS, korisnici mogu vidjeti kojim aplikacijama su dopustili pristup određenim informacijama, kao i dodijeliti ili opozvati bilo koji budući pristup. Pristup se nameće u sljedećem:
• iOS, iPadOS i macOS: Kalendari, Kamera, Kontakti, Mikrofon, Foto, Podsjetnici, Prepoznavanje govora • iOS i iPadOS: Bluetooth, Dom, Mediji, aplikacije Mediji i Glazba, Kretanje i fitness • iOS i watchOS: Zdravlje
Sigurnost Apple platforme 40 • macOS: Nadzor unosa (primjerice, udarci po tipkovnici), Prompt, Snimanje zaslona (primjerice, statične snimke zaslona i videozapisi), Postavke sustava. Počevši od sustava iOS 13.4 i iPadOS 13.4, podaci svih aplikacija drugih proizvođača automatski su zaštićeni Sefom podataka. Time se pomaže u sprječavanju neovlaštenog pristupa podacima čak i od strane procesa koji nisu u sandboxu.
Ako se korisnik prijavi u iCloud, aplikacijama u sustavu iOS i iPadOS standardno se dodjeljuje pristup iCloud Driveu. Korisnici mogu upravljati pristupom svake aplikacije pod opcijom iCloud u Postavkama. Dodatno, iOS i iPadOS nude ograničenja koja sprječavaju premještanje podataka između aplikacija i računa instaliranih od strane rješenja upravljanje mobilnim uređajem (MDM) i onih instaliranih od strane korisnika.
Uloga Apple sustava datoteka Apple sustav datoteka (APFS) je pravno zaštićeni sustav datoteka koji je dizajniran imajući na umu enkripciju. APFS radi na svim Apple platformama: za iOS, iPadOS, macOS, tvOS i watchOS. Optimiziran za Flash/SSD memoriju, sadrži snažnu enkripciju, metapodatke “kopiraj tijekom pisanja” (eng. copy-on-write), dijeljenje prostora, kloniranje za datoteke i direktorije, snimke, brzu promjenu veličine direktorija, atomske osnovne elemente sa sigurnim spremanjem (eng. “Safe-save”) i poboljšane osnove sustava datoteka, kao i jedinstveni dizajn “kopiraj tijekom snimanja” koji koristi I/O spajanje radi isporuke maksimalnih performansi istovremeno osiguravajući pouzdanost podataka.
APFS dodjeljuje dio memorije na zahtjev. Kad jedan APFS spremnik sadrži više jedinica, slobodni prostor spremnika se dijeli i može se prema potrebi dodijeliti bilo kojoj pojedinačnoj jedinici. Svaka jedinica koristi samo dio ukupnog spremnika, tako da je dostupan prostor ukupna veličina spremnika umanjena za prostor koji koriste sve jedinice u spremniku.
U sustavu macOS 10.15, APFS spremnik koji se koristi za pokretanje Maca mora sadržavati barem pet jedinica, od kojih su prve tri skrivene od korisnika:
• Jedinica za predpodizanje: sadrži podatke potrebne za podizanje svake jedinice sustava u spremniku. • VM jedinica: macOS ju koristi za zamjenu memorije za datoteke. • Jedinica za oporavak: sadrži recoveryOS.
• Jedinica sustava: sadrži sljedeće: • sve potrebne datoteke za pokretanje Mac računala • sve aplikacije koje izvorno instalira macOS (aplikacije koje su nekad bile u mapi / Aplikacije sad su u /Sustavu/Aplikacije). • Jedinica s podacima: sadrži podatke koji podliježu promjeni, kao što su: • svi podaci unutar korisničke mape, uključujući fotografije, glazbu, videozapise i dokumente • aplikacije koje je instalirao korisnik, uključujući AppleScript i aplikacije Automatora • prilagođeni okviri i daemoni koje je instalirao korisnik, organizacija ili aplikacije drugih proizvođača • ostale lokacije kojih je vlasnik i u koje može pisati korisnik, kao što su /Aplikacije, / Medijateka, /Korisnici, /Jedinice, /usr/local, /private, /var i /tmp.
Sigurnost Apple platforme 41 Podatkovna jedinica izrađuje se za svaku dodatnu jedinicu sustava. Jedinica za predpodizanje, VM i jedinica za oporavak su podijeljene, a ne duplicirane.
Napomena: Standardno ni jedan proces ne može zapisivati u jedinicu sustava, čak ni procesi Apple sustava.
Zaštita podataka u sustavu iOS i iPadOS
Pregled Zaštite podataka U sustavima iOS i iPadOS, Apple koristi tehnologiju koja se naziva Zaštita podataka za zaštitu podataka pohranjenih u flash memoriji na uređaju. Zaštitom podataka uređaju se omogućuje da reagira na uobičajene događaje kao što su dolazni telefonski pozivi, ali se omogućuje i visoka razina enkripcije za podatke korisnika. Glavne aplikacije sustava, Poruke, Mail, Kalendar, Kontakti, Foto i vrijednosti Zdravstvenih podataka koriste Zaštitu podataka standardno, a aplikacije drugih proizvođača instalirane na sustavu iOS 7 ili novijem i sustavu iPadOS 13.1 automatski primaju ovu zaštitu.
Implementacija Zaštita podataka implementira se izgradnjom hijerarhije ključeva i njezinim upravljanjem i gradi se na tehnologijama enkripcije hardvera koje su ugrađene u svaki iOS i iPadOS uređaj. Zaštitom podataka upravlja se na osnovi datoteke tako što se svaka datoteka dodijeli određenoj klasi; pristupačnost se utvrđuje sukladno tome jesu li ključevi klase otključani. S napretkom Apple sustava datoteka (APFS), sustav datoteka sada može napraviti i potpodjelu ključeva po kontinuiranom području (gdje dijelovi datoteke mogu imati različite ključeve).
Arhitektura U sustavu iOS i iPadOS, memorija se dijeli na dvije APFS jedinice:
• Jedinica sustava: sadržaj sustava pohranjuje se na Jedinici sustava, a podaci korisnika pohranjuju se na Jedinici s podacima. • Jedinica s podacima: Svaki put kad se na jedinici s podacima izradi datoteka, Zaštita podataka izradi novi 256-bitni ključ (ključ “po datoteci”) i daje ga AES modulu hardvera koji ključ koristi za kriptiranje datoteke kako se ona piše u flash pohranu. Enkripcija koristi AES128 u XTS modu gdje se 256-bitni ključ po datoteci dijeli kako bi osigurao 128-bitni ključ za podešavanje i 128-bitni ključ šifre.
Kako se datoteke izrađuju i štite Na uređajima koji sadrže A7, S2 ili S3 SoC, koristi se AES-CBC. Vektor inicijalizacije računa se s pomakom bloka u datoteku, kriptiran s SHA-1 hash algoritmom ključa po datoteci.
Ključ po datoteci (ili po kontinuiranom području) omotan je jednim od nekoliko ključeva klase, ovisno o okolnostima pod kojima bi datoteka trebala biti pristupačna. Poput svih ostalih omatanja koja koriste RFC 3394, ovo se izvršava koristeći NIST AES omatanje ključa. Omotani ključ po datoteci pohranjen je u metapodatke datoteke.
Sigurnost Apple platforme 42 Uređaji s APFS formatom mogu podržavati kloniranje datoteka (kopije čiji je trošak nula koristeći tehnologiju kopiranja tijekom pisanja). Ako je datoteka klonirana, svaka polovica klona dobiva novi ključ za prihvaćanje dolaznih pisanja tako da se novi podaci na medije pišu s novim ključem. Tijekom vremena, datoteka se može sastojati od različitih kontinuiranih područja (ili fragmenata), od koji se svako mapira na različite ključeve. Međutim, sva kontinuirana područja koja čine datoteku štiti ključ iste klase.
Kad je datoteka otvorena, njezini metapodaci dekriptiraju se s ključem za sustav datoteka, otkrivajući omotani ključ po datoteci i bilješku koja ga klasa štiti. Ključ po datoteci (ili po kontinuiranom području) odmata se s ključem klase, zatim unosi u AES modul hardvera koji dekriptira datoteku kako je čita s flash memorije. Čitavo rukovanje s omotanim ključem datoteke događa se u modulu Secure Enclave. Ključ datoteka nikad se izravno ne izlaže Intel CPU-u. Kod podizanja, Secure Enclave pregovara o kratkotrajnom ključu s AES modulom. Kad Secure Enclave odmota ključeve datoteke, oni se ponovno omotaju s kratkotrajnim ključem i šalju natrag procesoru aplikacije.
Metapodaci svih datoteka u sustavu datoteka jedinice s podacima kriptiraju se nasumičnim ključem za jedinicu koji se izrađuje kad se iOS i iPadOS prvi put instaliraju ili kad korisnik briše uređaj. Ključ se kriptira i omata ključem za omatanje ključeva koji je poznat samo modulu Secure Enclave za dugoročnu pohranu. Ključ za omatanje ključeva mijenja se svaki put kad korisnik očisti uređaj. Na A9 (i novijim) SoC-evima, Secure Enclave pouzdaje se u entropiju koju podupire jednokratni ključ za zaštitu od reprodukcije, kako bi se postigla obrisivost i kako bi se zaštitio njegov ključ za omatanje ključeva, među ostalim resursima.
Jednako kao kod ključeva po datoteci ili po kontinuiranom području, ključ metapodataka jedinice s podacima nikad nije izravno izložen procesoru aplikacije. Secure Enclave umjesto toga osigurava jednokratnu verziju kod svakog podizanja. Kad je pohranjen, kriptirani ključ sustava datoteka dodatno omata "obrisivim ključem" pohranjenim u Obrisivu memoriju. Ovaj ključ ne nudi dodatnu povjerljivost podataka. Umjesto toga, namijenjen je da se može brzo obrisati na zahtjev (od strane korisnika s opcijom “Obriši sav sadržaj i postavke” ili od strane korisnika ili administratora koji izdaje naredbu za udaljeno brisanje s rješenja za upravljanje mobilnim uređajem (MDM), Microsoft Exchange ActiveSynca ili iClouda). Brisanje ključa na ovaj način čini sve datoteke kriptografski nedostupnima.
Sadržaj datoteke može biti kriptiran jednim ili više ključeva po datoteci (ili po kontinuiranom području) koji su omotani ključem klase i pohranjeni u metapodacima datoteke koji je potom kriptiran ključem sustava datoteka. Ključ klase zaštićen je UID-om hardvera i, za neke klase, šifrom korisnika. Ova hijerarhija osigurava fleksibilnost i performanse. Primjerice, promjena klase datoteke zahtijeva samo ponovno omatanje njegovog ključa po datoteci, a promjena šifre samo ponovno omata ključ klase.
Klase Zaštite podataka Kad se nova datoteka izradi na iOS ili iPadOS uređaju, aplikacija koja je izrađuje dodijeli joj klasu. Svaka klasa koristi različite politike za utvrđivanje kad su podaci pristupačni. Osnovne klase i politike opisane su u sljedećim odjeljcima.
Sigurnost Apple platforme 43 Potpuna zaštita (NSFileProtectionComplete): ključ klase zaštićen je ključem izvedenim od šifre korisnika i UID-a uređaja. Kratko nakon što korisnik zaključa uređaj (10 sekundi, ako je postavka Zatraži lozinku postavljena na Odmah), dekriptirani ključ klase se odbacuje čime svi podaci u ovoj klasi postaju nepristupačni dok korisnik ponovno ne unese šifru ili ne otključa uređaj koristeći Touch ID ili Face ID.
Zaštićeno osim ako je otvoreno (NSFileProtectionCompleteUnlessOpen): neke datoteke možda se moraju pisati dok je uređaj zaključan. Dobar primjer ovoga je privitak e-maila koji se preuzima u pozadini. Ovo ponašanje postiže se upotrebom asimetrične kriptografije eliptičnih krivulja (ECDH preko Curve25519). Uobičajeni ključ po datoteci zaštićen je ključem izvedenim upotrebom slaganja ključa protokola One-Pass Diffie-Hellman kako je opisano u NIST SP 800-56A.
Kratkotrajni javni ključ za slaganje pohranjen je zajedno s omotanim ključem po datoteci. KDF je Concatenation Key Derivation Function (odobrena alternativa 1) kako je opisano u 5.8.1 u NIST SP 800-56A. AlgorithmID se izostavlja. PartyUInfo i PartyVInfo su kratkotrajni, odnosno statični javni ključevi. SHA-256 se koristi kao hashing funkcija. Čim se datoteka zatvori, ključ po datoteci briše se iz memorije. Za ponovno otvaranje datoteke dijeljena tajna ponovno se izrađuje uporabom privatnog ključa klase Zaštićeno osim ako je otvoreno i kratkotrajnog javnog ključa datoteke, koji se koriste za odmatanje ključa po datoteci koji se potom koristi za dekriptiranje datoteke.
Zaštićeno do prve autentikacije korisnika (NSFileProtectionCompleteUntilFirstUserAuthentication): ova klasa ponaša se jednako kao i Potpuna zaštita, osim što se dekriptirani ključ klase ne uklanja iz memorije kad se uređaj zaključa. Zaštita u ovoj klasi ima slična svojstva kao i enkripcija čitave jedinice stolnog računala i štiti podatke od napada koji uključuju ponovno podizanje. Ovo je standardna klasa za sve podatke aplikacije drugih proizvođača koji nisu na drugi način dodijeljeni klasi Zaštite podataka.
Nema zaštite (NSFileProtectionNone): ovaj ključ klase zaštićen je samo UID-om i čuva se u Obrisivoj memoriji. Budući da su svi ključevi koji su potrebni za dekriptiranje u ovoj klasi pohranjeni na uređaju, enkripcija nudi samo korist brzog udaljenog brisanja. Ako datoteci nije dodijeljena klasa Zaštite podataka, još uvijek je pohranjena u kriptiranom obliku (kao što su i svi podaci na iOS i iPadOS uređaju).
Ključ klase Zaštita podataka
Klasa Vrsta zaštite
Klasa A: Potpuna zaštita (NSFileProtectionComplete)
Klasa B: Zaštićeno osim ako je otvoreno (NSFileProtectionComplete UnlessOpen)
Klasa C: Zaštićeno do prve autentikacije korisnika (NSFileProtectionComplete UntilFirstUserAuthentication)
Klasa D: Nema zaštite (NSFileProtectionNone)
Sigurnost Apple platforme 44 Pristup zaštićenim ključevima u modovima oporavka Na uređajima s Apple A10, A11 i S3 SoC-evima, ključevima klase zaštićenima šifrom korisnika ne može se pristupiti iz Moda oporavka. A12 i S4 SoC-evi proširuju ovu zaštitu na mod Nadogradnje firmvera uređaja (DFU).
Secure Enclave AES modul opremljen je softverskim bitovima seeda koji se mogu zaključati. Kad se ključevi izrade iz UID-a, ovi bitovi seeda uključeni su u funkciju derivacije ključeva kako bi se izradile dodatne hijerarhije ključeva.
Počevši od Apple A10 i S3 SoC-eva, bit seeda dediciran je za razlikovanje ključeva zaštićenih šifrom korisnika. Bit seeda postavljen je za ključeve koji zahtijevaju šifru korisnika (uključujući ključeve zaštite podataka Klase A, Klase B i Klase C) i obrisan za ključeve koji ne zahtijevaju šifru korisnika (uključujući ključ metapodataka sustava datoteka i ključeve Klase D).
Na A12 SoC-evima, Secure Enclave Boot ROM zaključava bit seeda šifre ako je procesor aplikacije ušao u DFU mod ili Mod oporavka. Kad je bit seeda šifre zaključan, nije dopušten nikakav postupak za njegovo mijenjanje, čime se sprječava pristup podacima zaštićenima šifrom korisnika.
Na Apple A10, A11, S3 i S4 SoC-evima, bit seeda šifre zaključan je Secure Enclave OS-om ako je uređaj ušao u Mod oporavka. Secure Enclave Boot ROM i OS provjeravaju Registar napretka podizanja sustava (BPR) kako bi sigurno utvrdili trenutačni mod.
Nadalje, u sustavu iOS 13 i iPadOS 13.1 ili novijem na uređajima s A10 ili novijim, svi podaci korisnika smatraju se kriptografski nepristupačnima kad se uređaji podignu u Modu oporavka. Ovo se postiže uvođenjem dodatnog bita seeda čija postavka upravlja mogućnošću pristupa ključu medija koji je potreban za pristup metapodacima (i stoga sadržaju) svih datoteka na jedinici s podacima kriptiranoj sa Zaštitom podataka. Ova zaštita obuhvaća datoteke zaštićene u svim klasama (A, B, C i D), ne samo one koje zahtijevaju šifru korisnika.
Obnova uređaja nakon što uđe u DFU mod vraća ga u dobro poznato stanje sa sigurnošću da je prisutan samo kôd koji je potpisao Apple i koji nije mijenjan. U DFU mod može se ući ručno.
Pogledajte sljedeće članke Apple podrške o tome kako uređaj postaviti u DFU mod:
Uređaj Članak
iPhone, iPad, iPod touch Ako ste zaboravili šifru za svoj iPhone, iPad ili iPod touch ili je vaš uređaj onemogućen
Apple TV Obnova vašeg Apple TV-a
Zaštita podataka Privjeska ključeva i klase podataka
Pregled zaštite podataka Privjeska ključeva Mnogo aplikacija treba upravljati lozinkama i ostalim kratkim ali osjetljivim bitovima podataka, kao što su ključevi i tokeni prijava. Privjesak ključeva za iOS i iPadOS osigurava siguran način pohrane ovih stavki.
Sigurnost Apple platforme 45 Stavke Privjeska ključeva kriptiraju se s pomoću dva različita AES-256-GCM ključa: ključa tablice (metapodaci) i ključa po retku (tajni ključ). Metapodaci Privjeska ključeva (svi atributi izuzev kSecValue) kriptiraju se s ključem metapodataka kako bi se ubrzala pretraživanja dok je tajna vrijednost (kSecValueData) kriptirana tajnim ključem. Ključ metapodataka štiti Secure Enclave, ali pohranjen u međumemoriju u procesoru aplikacije kako bi se omogućili brzi upiti u privjesak ključeva. Tajni ključ uvijek zahtijeva kružno putovanje kroz Secure Enclave.
Privjesak ključeva implementira se kao SQLite baza podataka pohranjena na sustavu datoteka. Postoji samo jedna baza podataka i securityd daemon utvrđuje kojim stavkama Privjeska ključeva može pristupiti svaki proces ili aplikacija. API-ji pristupa Privjeska ključeva rezultiraju pozivima daemonu koji provjerava ovlaštenja aplikacije “Keychain- access-groups”, “application-identifier” i “application-group”. Umjesto ograničavanja pristupa jednom procesu, grupe pristupa omogućuju da se stavke Privjeska ključeva dijele među aplikacijama.
Stavke Privjeska ključeva mogu se dijeliti samo među aplikacijama istog developera. Ovime se upravlja tako što se od aplikacija drugih proizvođača zahtijeva da koriste grupe pristupa s prefiksom koji im je dodijeljen kroz Apple razvojni program kroz grupe aplikacija. Zahtjev prefiksa i jedinstvenost grupa aplikacija provode se s pomoću potpisivanja koda, administrativnih profila i Apple razvojnog programa.
Podaci Privjeska ključeva zaštićene su s pomoću strukture klase slične onoj korištenoj u Zaštiti podataka datoteke. Ove klase imaju ponašanja jednaka klasama Zaštite podataka datoteke, ali koriste različite ključeve i dio su API-ja koji se nazivaju drukčije.
Dostupnost Zaštita podataka datoteke Zaštita podataka Privjeska ključeva
Dok su otključane NSFileProtectionComplete kSecAttrAccessibleWhenUnlocked
Dok je zaključan NSFileProtectionComplete Unless Nije dostupno Otvoreno
Nakon prvog otključavanja NSFileProtectionComplete Until kSecAttrAccessibleAfterFirstUnlock FirstUserAuthentication
Uvijek NSFileProtectionNone kSecAttrAccessibleAlways
Šifra je omogućena Nije dostupno kSecAttrAccessibleWhenPasscode SetThisDeviceOnly
Aplikacije koje koriste usluge osvježavanja u pozadini mogu koristiti kSecAttrAccessibleAfterFirstUnlock za stavke Privjeska ključeva kojima treba pristupiti tijekom ažuriranja u pozadini.
Klasa kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly ponaša se jednako kao kSecAttrAccessibleWhenUnlocked, međutim, dostupna je samo kad je uređaj konfiguriran sa šifrom. Ova klasa postoji samo u zbirci ključeva sustava. Oni:
• se ne sinkroniziraju s iCloud Privjeskom ključeva • nemaju izrađenu sigurnosnu kopiju
• nisu uključeni u escrow zbirku ključeva. Ako se šifra ukloni ili resetira, stavke se čine beskorisnima odbacivanjem ključeva klase.
Sigurnost Apple platforme 46 Ostale klase Privjeska ključeva s druge strane imaju “Samo ovaj uređaj” koji je uvijek zaštićen UID-om kad se kopira s uređaja tijekom sigurnosne kopije, što ga čini beskorisnim ako se obnovi na drugi uređaj. Apple je pažljivo izbalansirao sigurnost i iskoristivost odabirom klasa Privjeska ključeva koje ovise o vrsti informacija koje se štite i kad su potrebne sustavu iOS i iPadOS. Primjerice, VPN certifikat mora uvijek biti dostupan tako da uređaj zadržava kontinuiranu vezu, ali se klasificira kao “nije migracijski”, pa ga se ne može premjestiti na drugi uređaj.
Zaštite klasa podataka Privjeska ključeva Za stavke Privjeska ključeva koje je izradio iOS i iPadOS, provode se sljedeće zaštite klasa:
Stavka Pristupačna
Wi-Fi lozinke Nakon prvog otključavanja
Računi e-maila Nakon prvog otključavanja
Microsoft Exchange ActiveSync računi Nakon prvog otključavanja
VPN lozinke Nakon prvog otključavanja
LDAP, CalDAV, CardDAV Nakon prvog otključavanja
Tokeni računa društvenih mreža Nakon prvog otključavanja
Ključevi enkripcije oglasa Handoffa Nakon prvog otključavanja
iCloud token Nakon prvog otključavanja
Lozinka koju dijeli Dom Dok su otključane
Safari lozinke Dok su otključane
Knjižne oznake preglednika Safari Dok su otključane
iTunes sigurnosna kopija Kad je otključana, nije migracijska
VPN certifikati Uvijek, nije migracijski
Bluetooth® ključevi Uvijek, nije migracijski
Token Appleovog servisa za prosljeđivanje obavijesti Uvijek, nije migracijski (APN-ovi)
iCloud certifikati i privatni ključ Uvijek, nije migracijski
iMessage ključevi Uvijek, nije migracijski
Certifikati i privatni ključevi koje instalira konfiguracijski Uvijek, nije migracijski profil
SIM PIN Uvijek, nije migracijski
Token Pronalaženje Uvijek
Govorna pošta Uvijek
Sigurnost Apple platforme 47 Kontrola pristupa Privjesku ključeva Privjesci ključeva mogu koristiti popise kontrola pristupa (ACL-ove) za postavljanje politika za zahtjeve pristupačnosti i autentikacije. Stavke mogu postaviti uvjete kojima se zahtjeva prisutnost korisnika navodeći da im se ne može pristupiti osim ako se ne autoriziraju koristeći Touch ID, Face ID ili unosom šifre uređaja. Pristup stavkama može se ograničiti navodeći i da se prijava Touch ID računa ili Face ID računa nije mijenjala od dodavanja stavke. Ovo ograničenje pomaže spriječiti napadača da doda vlastiti otisak prsta za pristup stavci Privjeska ključeva. ACL-ovi se procjenjuju unutar modula Secure Enclave i izdaju se u jezgru samo ako se ispune navedena ograničenja.
Enkripcija u sustavu macOS
Enkripcija internih jedinica kad je uključen FileVault U sustavu Mac OS X 10.3 ili novijem, Mac računala imaju FileVault, ugrađenu mogućnost enkripcije kojom se osiguravaju svi podaci. FileVault koristi AES-XTS algoritam enkripcije podataka za zaštitu čitavih jedinica na internim i vanjskim uređajima za pohranu. Na Mac računalima s Apple T2 sigurnosnim čipom, kriptirani interni uređaji za pohranu izravno povezani s T2 koriste mogućnosti sigurnosti hardvera čipa. Nakon što korisnik uključi FileVault na Macu, tijekom postupka podizanja potrebne su njegove vjerodajnice.
Bez valjanih vjerodajnica za prijavu ili kriptografskog ključa za oporavak, interna APFS jedinica (u sustavu macOS 10.15, ovo uključuje jedinice sustava i jedinice s podacima) ostaje kriptirana i zaštićena je od neovlaštenog pristupa, čak i ako se fizički uređaj za pohranu ukloni i spoji na drugo računalo. Enkripcija internih jedinica na Macu s T2 čipom implementirana je izgradnjom i hijerarhije ključeva i njezinim upravljanjem i izgrađuje se na tehnologijama enkripcije hardvera ugrađenima u čip. Hijerarhija ključeva dizajnirana je da istodobno postiže četiri cilja:
• zahtijevanje lozinke korisnika za dekriptiranje • zaštita sustava od napada uzastopnim pokušavanjem izravno na medij za pohranu uklonjen s Maca • osiguranje brze i sigurne metode brisanja sadržaja putem brisanja potrebnog kriptografskog materijala • omogućavanje korisnicima da mijenjaju svoju lozinku (te tako kriptografskih ključeva korištenih za zaštitu njihovih datoteka) bez potrebe za ponovnom enkripcijom čitave jedinice.
Enkripcija internih jedinica kad je omogućen FileVault u sustavu macOS.
Sigurnost Apple platforme 48 Na Mac računalima s T2 čipom, cjelokupno upravljanje FileVault ključevima odvija se u modulu Secure Enclave. Ključevi enkripcije nikad se izravno ne izlažu Intel CPU-u. Sve APFS jedinice standardno su izrađene s ključem jedinica. Sadržaji jedinica i metapodataka kriptiraju se ovim ključem jedinica koji je omotan ključem klase. Ključ klase zaštićen je kombinacijom lozinke korisnika i UID-a hardvera kad je uključen FileVault. Ova zaštita standardna je na Mac računalima s T2 čipom.
Napomena: Enkripcija vanjskih uređaja za pohranu ne koristi mogućnosti Apple T2 sigurnosnog čipa i njihova enkripcija vrši se na isti način kao i za Mac računala bez T2 čipa.
Enkripcija internih jedinica kad je isključen FileVault Ako FileVault nije uključen na Macu s Apple T2 sigurnosnim čipom tijekom početnog procesa Asistenta za podešavanje, jedinica je još uvijek kriptirana, ali je ključ jedinice zaštićen samo UID-om hardvera u modulu Secure Enclave.
Enkripcija internih jedinica kad je isključen FileVault u sustavu macOS.
Ako se FileVault uključi kasnije, proces koji je neposredan jer su podaci već kriptirani, mehanizam zaštite od reprodukcije sprječava stari ključ (temeljen samo na UID-u hardvera) da se koristi za dekriptiranje jedinice. Jedinica je tada zaštićena kombinacijom lozinke korisnika s UID-om hardvera kako je prethodno opisano.
Brisanje FileVault jedinica Prilikom brisanja jedinice, Secure Enclave sigurno briše njezin ključ jedinice. Time se sprječava budući pristup ovim ključem čak i od strane modula Secure Enclave. Nadalje, svi ključevi jedinica omotani su ključem medija. Ključ medija ne osigurava dodatnu povjerljivost podataka, nego je umjesto toga dizajniran da omogući brzo i sigurno brisanje podataka, jer je bez njega dekriptiranje nemoguće.
Ključ medija nalazi se u Obrisivoj memoriji i dizajniran je da se može brzo obrisati na zahtjev, primjerice, udaljenim brisanjem s pomoću aplikacije Pronalaženje ili kad se prijavi u rješenje upravljanja mobilnim uređajem (MDM). Obrisiva memorija pristupa osnovnoj tehnologiji pohranjivanja (primjerice, NAND-u) kako bi se izravno obratila i obrisala mali broj blokova na vrlo niskoj razini. Brisanje ključa medija na ovaj način čini jedinicu kriptografski nedostupnom.
Sigurnost Apple platforme 49 Sprječavanje napada uzastopnim pokušavanjem i zloćudnog softvera Za sprječavanje napada uzastopnim pokušavanjem, kad se Mac podiže, nije dozvoljeno više od 30 pokušaja unosa lozinke u Prozoru za prijavu ili upotreba Moda odredišnog diska i nakon neispravnih pokušaja postavljaju se eskalirajuće vremenske odgode. Odgode provodi Secure Enclave koprocesor na T2 čipu. Ako se Mac ponovno pokrene tijekom tempirane odgode, odgoda se i dalje provodi, a tajmer kreće ispočetka za trenutačno razdoblje.
Radi sprječavanja zloćudnog softvera da uzrokuje trajni gubitak podataka pokušavajući napasti lozinku korisnika, ova ograničenja ne nameću se nakon što se korisnik uspješno prijavi u Mac, ali se ponovno nameću nakon ponovnog podizanja. Ako se iscrpi svih 30 pokušaja, nakon podizanja sustava u Oporavku sustava macOS dostupno je još 10 pokušaja. A ako se i oni iscrpe, tada je dostupno još 60 dodatnih pokušaja za svaki mehanizam oporavka FileVaulta (oporavak iClouda, ključ za oporavak FileVaulta i institucijski ključ) za najviše 180 dodatnih pokušaja. Kad se iscrpe ti dodatni pokušaji, Secure Enclave više ne obrađuje nikakve zahtjeve za dekriptiranje jedinice ili potvrdu lozinke, i podaci na pogonu više se ne mogu oporaviti.
Za zaštitu podataka u poslovnom okruženju, IT bi trebao definirati i provoditi konfiguracijske politike FileVaulta koristeći upravljanje mobilnog uređaja (MDM). Organizacije imaju nekoliko opcija za upravljanje kriptiranim jedinicama, uključujući institucijske ključeve za oporavak, osobne ključeve za oporavak (koji se opcionalno mogu pohraniti s MDM-om radi zaloga) ili kombinaciju njih oba. Rotacija ključeva može se također postaviti kao politika u MDM-u.
Odgode između pokušaja unosa lozinke
Pokušaji Postavljena odgoda
1-14 Bez
15-17 1 minuta
18-20 5 minuta
21-26 15 minuta
27-30 1 sat
Upravljanje FileVaultom
Upotreba SecureTokena Apple sustav datoteka (APFS) u sustavu macOS 10.13 ili novijem mijenja način generiranja ključeva FileVault enkripcije. U prethodnim verzijama sustava macOS na CoreStorage jedinicama, ključevi korišteni u procesu FileVault enkripcije izrađivali su se kad korisnik ili organizacija uključe FileVault na Macu. U sustavu macOS na APFS jedinicama, ključevi se generiraju tijekom izrade korisnika ili tijekom prve prijave korisnika Mac računala. Ova implementacija ključeva enkripcije, kad se generiraju, i kako se pohranjuju dio je SecureTokena. Konkretnije, SecureToken je omotana verzija Ključa za kriptiranje ključa (KEK) koju štiti lozinka korisnika.
Sigurnost Apple platforme 50 Kad se pokreće FileVault na APFS-u, korisnik može nastaviti:
• koristiti postojeće alate i procese, kao što je escrow Osobnog ključa za oporavak (PRK) u rješenju upravljanje mobilnim uređajem (MDM) • izrađivati i koristiti ključ za oporavak (IRK) • odgoditi omogućavanje FileVaulta dok se korisnik ne prijavi ili odjavi iz Maca.
Upotreba Bootstrap tokena macOS 10.15 predstavlja novu značajku Bootstrap token kao pomoć u dodjeli SecureTokena mobilnim računima i opcionalnom administratorskom računu izrađenom za prijavu uređaja (“upravljani administrator”). Upravljani administrator može se izraditi konfiguracijom MDM rješenja kako bi se izradio tijekom procesa prijave koji se odvija koristeći Apple School Manager ili Apple Business Manager. Upotreba nove značajke Bootstrap token sustava macOS 10.15 zahtijeva:
• prijavu Maca u MDM-u koristeći Apple School Manager ili Apple Business Manager • podršku dobavljača za MDM. Napomena: macOS ne može automatski generirati Bootstrap token tijekom podešavanja ako se u potpunosti preskoči izrada lokalnog korisničkog računa. U sustavu macOS 10.15.4 ili novijem, Bootstrap token generira se kako bi bio spremljen u MDM po prvoj prijavi bilo kojeg korisnika za kojeg je omogućen SecureToken ako MDM rješenje podržava značajku. Bootstrap token također se može generirati i spremiti u MDM pomoću alata s komandnim retkom za profiles ako je potrebno.
Kad korisnik sam postavlja Mac Kad korisnik sam postavlja Mac, IT odjeli ne postavljaju taj uređaj. Sve politike i konfiguracije isporučuju se s pomoću rješenja upravljanje mobilnim uređajem (MDM) ili alata za upravljanje konfiguracijom. Asistent za podešavanje koristi se za izradu početnog lokalnog računa administratora i korisniku se dodjeljuje SecureToken. Ako MDM rješenje podržava značajku Bootstrap token i obavještava Mac tijekom prijave u MDM, Mac generira Bootstrap token i deponira ga u MDM rješenje.
Ako je Mac prijavljen na MDM rješenje, ovisno o dostupnim značajkama MDM-a, početni račun može biti administratorski ili lokalni račun. Ako se korisnik spusti na razinu standardnog korisnika koristeći MDM, korisniku se automatski dodjeljuje SecureToken. Ako se korisnik spusti na nižu razinu, počevši od sustava macOS 10.15.4, generira se Bootstrap token.
Napomena: Ako se izrada lokalnog računa korisnika sasvim preskoči u Asistentu za podešavanje koristeći MDM i umjesto toga se koristi usluga direktorija s mobilnim računima, korisniku direktorija neće se dodijeliti SecureToken tijekom prijave i ne generira se Bootstrap token. Ako nema SecureToken korisnika na Macu, mobilni račun svejedno se može omogućiti za FileVault koristeći odgođeno omogućavanje i SecureToken se dodjeljuje korisniku u vrijeme kada je FileVault uključen. Nakon što se za korisnika omogući SecureToken, u sustavu macOS 10.15.4 i novijem, Bootstrap token automatski se generira i sprema u MDM rješenje nakon prijave ako podržava tu značajku.
Sigurnost Apple platforme 51 U bilo kojem od gornjih scenarija, jer se prvom i primarnom korisniku dodjeljuje SecureToken, mogu se omogućiti za FileVault koristeći odgođeno omogućavanje. Odgođenim omogućavanjem organizacijama se omogućuje da uključe FileVault, ali da odgode njegovo omogućavanje dok se korisnik ne prijavi ili odjavi iz Mac računala. Također je moguće prilagoditi može li korisnik preskočiti uključivanje FileVaulta (opcionalno određeni broj puta). Krajnji rezultat je da primarni korisnik Maca, bilo lokalni korisnik bilo koje vrste ili mobilni račun, može otključati uređaj za pohranu kad se kriptira FileVaultom.
Na Mac računalima na kojima je Bootstrap token generiran i deponiran u MDM rješenje, ako se upravljani administratorski račun prijavi u Mac na određeni datum i vrijeme u budućnosti, Bootstrap token koristi se za automatsku dodjelu SecureTokena, što znači da je račun također omogućen za FileVault i može otključati FileVault jedinicu. Kako bi izmijenio može li upravljani administratorski račun otključati jedinicu, korisnik može koristiti: fdesetup remove -user.
Kad Mac postavlja organizacija Kad Mac postavlja organizacija prije nego se da korisniku, IT odjel podešava uređaj. Lokalnom administrativnom računu izrađenom u Asistentu za podešavanje sustava macOS korištenom za postavljanje ili podešavanje Maca dodjeljuje se SecureToken. U sustavu macOS 10.15, ako MDM rješenje podržava značajku Bootstrap token, Bootstrap token također se generira tijekom procesa postavljanja sustava macOS i deponira u MDM rješenje. Ako se upravljani administratorski račun prijavi na Mac na određeni datum i vrijeme u budućnosti, Bootstrap token koristi se da mu se automatski dodijeli SecureToken.
Ako je Mac pridružen usluzi direktorija i konfiguriran je da izradi mobilne račune, te ako nema Bootstrap tokena, korisnike usluge direktorija kod prve prijave traži se korisničko ime i lozinka SecureToken administratora kako bi se njihovom računu dodijelio SecureToken. Treba unijeti vjerodajnice lokalnog administratora korištene za postavljanje Maca. Ako se SecureToken ne traži, korisnik klikne Zaobiđi. U sustavu macOS 10.13.5 ili novijem, moguće je u potpunosti potisnuti dijaloški okvir SecureToken ako se FileVault neće koristiti s mobilnim računima. Za potiskivanje dijaloškog okvira SecureToken primijenite konfiguracijski profil s prilagođenim postavkama iz MDM-a sa sljedećim ključevima i vrijednostima:
Postavka Vrijednost
Domena com.apple.MCX
Ključ cachedaccounts.askForSecureTokenAuthBypass
Vrijednost Istinito
Ako MDM rješenje podržava značajku Bootstrap token i Mac je generirao jednu i deponirao je u MDM rješenje, korisnici mobilnog računa neće vidjeti ovu obavijest. Umjesto toga, tijekom prijave automatski im se dodjeljuje SecureToken.
Ako su na Mac računalu potrebni dodatni lokalni korisnici umjesto korisničkih računa iz usluge direktorija, tim lokalnim korisnicima automatski se dodjeljuje SecureToken kad ih trenutačni administrator omogućen za SecureToken izradi u Postavkama sustava > Korisnici i grupe. Ako je potrebno izraditi lokalne korisnike pomoću komandnog retka, alat s komandnim retkom za sysadminctl može se koristiti za izradu korisnika i njihovo omogućavanje za SecureToken.
Sigurnost Apple platforme 52 U ovim scenarijima, sljedeći korisnici mogu otključati jedinicu kriptiranu FileVaultom:
• originalni lokalni administrator korišten za postavljanje • bilo koji dodatni korisnici usluge direktorija kojima je dodijeljen SecureToken tijekom procesa prijave, bilo interaktivno putem dijaloškog okvira ili automatski s Bootstrap tokenom • bilo koji novi lokalni korisnici izrađeni u Postavkama sustava. Kako bi izmijenio mogu li određeni računi otključati uređaj za pohranu, korisnik može koristiti fdesetup remove -user.
Kad se koristi jedan od gore opisanih tijekova rada, SecureTokenom upravlja macOS bez potrebe za ikakvom dodatnom konfiguracijom ili skriptiranjem. Postaje implementacijski detalj, a ne nešto čime treba aktivno upravljati ili rukovati.
Upotreba alata s komandnim retkom Alati s komandnim retkom dostupni su za upravljanje značajkama Bootstrap token, FileVault i SecureToken. Bootstrap token obično se generira na Mac računalu i deponira u rješenje upravljanje mobilnim uređajem (MDM) tijekom procesa postavljanja sustava macOS nakon što MDM rješenje kaže Mac računalu da podržava značajku. Međutim, Bootstrap token također se može generirati na Mac računalu koje je već pokrenuto. Primjerice, ako MDM rješenje dodaje podršku za ovu značajku nakon početnog pokretanja sustava macOS 10.15. U sustavu macOS 10.15.4 ili novijem, Bootstrap token generira se i deponira u MDM po prvoj prijavi bilo kojeg korisnika za kojeg je omogućen SecureToken ako MDM rješenje podržava značajku. Time se smanjuje potreba za uporabom alata s komandnim retkom za profiles nakon podešavanja uređaja radi generiranja i deponiranja Bootstrap tokena u MDM rješenje.
Alat s komandnim retkom za profiles sadrži brojne opcije za interakciju s Bootstrap tokenom
• sudo profiles install -type bootstraptoken: Ova naredba generira novi Bootstrap token i deponira ga u MDM rješenje. Ova naredba zahtijeva da informacije o postojećem SecureToken administratoru početno generiraju Bootstrap token, MDM rješenje mora podržavati značajku, a serijski broj Mac računala treba se prikazivati u Apple School Manageru ili Apple Business Manageru i biti prijavljen u to određeno MDM rješenje.
• sudo profiles remove -type bootstraptoken: Uklanja postojeći Bootstrap token na Mac računalu i u MDM rješenju. • sudo profiles status -type bootstraptoken: Izvješćuje podržava li MDM rješenje značajku Bootstrap token i koji je trenutačni status Bootstrap tokena na Mac računalu.
Alat s komandnim retkom fdesetup MDM konfiguracije ili alat s komandnim retkom fdesetup mogu se koristiti za konfiguriranje značajke FileVault. U sustavu macOS 10.15 ili novijem, upotreba fdesetup za uključivanje značajke FileVault unosom korisničkog imena i lozinke zastarjelo je i neće se prepoznati u budućem izdanju. Razmotrite umjesto toga koristiti odgođeno omogućavanje koristeći MDM. Kako biste saznali više o alatu s komandnim retkom fdesetup, pokrenite aplikaciju Terminal i unesite man fdesetup ili fdesetup help za dodatne informacije.
Sigurnost Apple platforme 53 Alat s komandnim retkom sysadminctl Alat s komandnim retkom sysadminctl može se koristiti posebno za izmjenu statusa SecureTokena za račune korisnika na Mac računalu. Ovo treba raditi s oprezom i samo kad je potrebno. Promjena statusa SecureTokena korisnika s pomoću sysadminctl uvijek zahtijeva korisničko ime i lozinku postojećeg administratora omogućenog za SecureToken, bilo interaktivno ili putem odgovarajućih oznaka na naredbi. sysadminctl i Postavke sustava sprječavaju brisanje posljednjeg administratora ili korisnika omogućenog za SecureToken na Mac računalu. Ako se izrada dodatnih lokalnih korisnika skriptira koristeći sysadminctl, kako bi ti korisnici bili omogućeni za SecureToken, moraju se unijeti vjerodajnice trenutačnog administratora omogućenog za SecureToken bilo koristeći interaktivnu opciju ili izravno s oznakama -adminUser i -adminPassword s sysadminctl. Koristite sysadminctl -h za dodatne upute za uporabu.
Šifre i lozinke
Šifre Postavljanjem šifre uređaja korisnik automatski omogućuje Zaštitu podataka. iOS i iPadOS podržavaju šesteroznamenkaste i četveroznamenkaste slovnobrojčane šifre te šifre proizvoljne duljine. Uz otključavanje uređaja, šifra osigurava entropiju za određene ključeve enkripcije. To znači da napadač koji je u posjedu uređaja bez šifre ne može pristupiti podacima u određenim klasama zaštite.
Šifra je isprepletena s UID-om uređaja, tako da se na uređaje koji su pod napadom trebaju izvršiti uzastopni pokušaji. Veliki broj iteracija koristi se kako bi se svaki pokušaj usporio. Broj iteracija se kalibrira tako da jedan pokušaj traje otprilike 80 milisekundi. To znači da bi trebalo više od pet i pol godina za isprobavanje svih kombinacija slovnobrojčane šifre od šest znakova s malim slovima i brojkama.
Što je snažnija šifra, snažniji postaje i ključ enkripcije. Touch ID i Face ID mogu se koristiti za poboljšanje ove jednadžbe omogućujući korisniku da uspostavi mnogo snažniju šifru nego što bi inače bila praktična. Ovime se povećava učinkovita količina entropije koja štiti ključeve enkripcije korištene za Zaštitu podataka, bez negativnog utjecaja na korisnikovo iskustvo otključavanja iOS ili iPadOS uređaja više puta tijekom dana.
Kako bi se i dalje obeshrabrivali napadi na šifru uzastopnim pokušavanjem, postoje eskalirajuće vremenske odgode nakon unosa nevažeće šifra na zaključanom zaslonu. Ako se uključi opcija Postavke > Touch ID i šifra > Obriši podatke, uređaj se automatski briše nakon 10 uzastopnih netočnih pokušaja unosa šifre. Uzastopni pokušaji iste netočne šifre ne pribrajaju se ograničenju. Ova postavka također je dostupna kao administrativna politika kroz rješenje upravljanje mobilnim uređajem (MDM) koje podržava ovu značajku i Microsoft Exchange ActiveSync, te se može podesiti na niži prag.
Na uređajima s modulom Secure Enclave, odgode provodi Secure Enclave koprocesor. Ako se uređaj ponovno pokrene tijekom tempirane odgode, odgoda se i dalje provodi, a tajmer kreće ispočetka za trenutačno razdoblje.
Navođenje duljih šifri Ako se unese dulja šifra koja sadrži samo brojke, na zaključanom zaslonu prikazuje se numerička tipkovnica umjesto čitave tipkovnice. Dulja numerička šifra može biti lakša za unos od kraće slovnobrojčane šifre, a pruža sličnu zaštitu.
Sigurnost Apple platforme 54 Korisnici mogu navesti dulju slovnobrojčanu šifru ako odaberu Slovnobrojčani kôd po izboru u Opcijama šifre u Postavke > Šifra.
Odgode između pokušaja unosa šifre
Pokušaji Postavljena odgoda
1–4 Bez
5 1 minuta
6 5 minuta
7–8 15 minuta
9 1 sat
Sigurno aktiviranje podatkovnih veza Za poboljšanje sigurnosti istovremeno održavajući iskoristivost Touch ID, Face ID ili unos šifre potreban je za aktiviranje podatkovnih veza putem Lightninga, USB-a ili Smart Connector sučelja ako u novije vrijeme nije uspostavljena nikakva podatkovna veza. Ovime se ograničava površina napada na fizički spojene uređaje kao što su zloćudni punjači istovremeno omogućujući upotrebu drugih dodatnih pribora s opravdanim vremenskim ograničenjima. Ako je prošlo više od sat vremena otkako se iOS ili iPadOS uređaj zaključao ili od prekida podatkovne veze dodatnog pribora, uređaj neće dozvoliti uspostavljanje ikakvih novih podatkovnih veza dok se uređaj ne otključa. Tijekom ovog razdoblja od jednog sata, bit će dozvoljene samo podatkovne veze od dodatnih pribora koji su prethodno bili spojeni na uređaj dok je bio u otključanom stanju. Ovi pribori pamte se do 30 dana nakon njihovog posljednjeg spajanja. Pokušaji nepoznatog dodatnog pribora da otvori podatkovnu vezu tijekom ovog razdoblja onemogućit će sve podatkovne veze dodatnih pribora preko Lightninga, USB-a i Smart Connectora dok se uređaj ponovno ne otključa. Ovo razdoblje od jednog sata:
• osigurava da česti korisnici veza na Mac ili PC računalo, na dodatne pribore ili spojeni kabelom na CarPlay neće trebati unositi svoje šifre svaki put kad spoje svoj uređaj • potrebno je jer ekosustav dodatnih pribora ne pruža kriptografski pouzdan način identifikacije dodatnih pribora prije uspostavljanja podatkovne veze. Nadalje, ako je prošlo više od tri dana od uspostavljanja podatkovne veze s dodatnim priborom, uređaj će onemogućiti nove podatkovne veze odmah nakon što se zaključa. Ovime se povećava zaštita za korisnike koji često ne koriste takve dodatne pribore. Podatkovne veze preko Lightninga, USB-a i Smart Connectora također se onemogućuju kad god je uređaj u statusu da zahtijeva šifru za ponovno omogućavanje biometrijske autentikacije.
Korisnik može u Postavkama odabrati ponovno omogućiti da su podatkovne veze uvijek uključene (postavljanje nekih pomoćnih uređaja to čini automatski).
Sigurnost Apple platforme 55 Funkcija lozinki Na Mac računalima s Apple T2 sigurnosnim čipom, lozinka ima sličnu funkciju kao i šifre iznad, osim što se generirani ključ koristi za FileVault enkripciju a ne za zaštitu podataka. macOS također nudi dodatne opcije oporavka lozinke:
• iCloud oporavak • FileVault oporavak • FileVault institucijski ključ.
Autentikacija i digitalno potpisivanje
Digitalno potpisivanje i enkripcija
Popisi kontrola pristupa Podaci Privjeska ključeva particioniraju se i štite Popisima kontrola pristupa (ACL-ovima). Kao rezultat toga, vjerodajnicama pohranjenim od strane aplikacija drugih proizvođača ne mogu pristupiti aplikacije s različitim identitetima osim ako ih korisnik izričito ne odobri. Ova zaštita pruža mehanizam za osiguranje vjerodajnica za autentikaciju u Apple uređajima širom niza aplikacija i usluga u organizaciji.
Mail U aplikaciji Mail, korisnici mogu slati poruke koje su digitalno potpisane i kriptirane. Mail automatski otkriva odgovarajući RFC 5322 subjekt e-mail adrese osjetljiv na veličinu slova ili alternativne nazive subjekta na certifikatima za digitalno potpisivanje i enkripciju na priloženim PIV tokenima u kompatibilnim pametnim karticama. Ako se konfigurirani e-mail račun podudara s e-mail adresom na certifikatu za digitalno potpisivanje ili enkripciju na priloženom PIV tokenu, Mail automatski prikazuje tipku za potpisivanje u alatnoj traci prozora nove poruke. Ako Mail ima certifikat za kriptiranje e-maila primatelja ili ga može otkriti na Microsoft Exchange Globalnom popisu adresa (GAL), u alatnoj traci nove poruke prikazuje se otključana ikona lokota. Ikona zaključanog lokota označava da će se poruka poslati kriptirana s javnim ključem primatelja.
S/MIME po poruci iOS, iPadOS i macOS podržavaju S/MIME po poruci. To znači da S/MIME korisnici mogu odabrati da uvijek potpišu i kriptiraju poruke kao standardnu opciju ili da selektivno potpisuju i kriptiraju pojedinačne poruke.
Identiteti koji se koriste s S/MIME-om mogu se isporučiti Apple uređajima koristeći konfiguracijski profil, rješenje upravljanja mobilnim uređajem (MDM), Simple Certificate Enrollment Protocol (SCEP), ili Microsoft Active Directory Certificate Authority.
Pametne kartice macOS 10.12 ili noviji sadrži nativnu podršku za kartice za provjeru osobnog identiteta (PIV). Te kartice imaju široku upotrebu u komercijalnim i vladinim organizacijama za TFA, digitalno potpisivanje i enkripciju.
Sigurnost Apple platforme 56 Pametne kartice uključuju jedan ili više digitalnih identiteta koji imaju par javnih i privatnih ključeva i povezani certifikat. Otključavanje pametne kartice s osobnim identifikacijskim brojem (PIN-om) daje pristup privatnim ključevima koji se koriste za postupke autentikacije, enkripcije i potpisivanja. Certifikat utvrđuje za što se ključ može koristiti, koji su atributi s njim povezani i je li ga potvrdio (potpisao) CA.
Pametne kartice mogu se koristiti za dvofaktorsku autentikaciju. Dva faktora potrebna za otključavanje kartice su “nešto što korisnik ima” (kartica) i “nešto što korisnik zna” (PIN). macOS 10.12 ili noviji također ima nativnu podršku za autentikaciju prozora za prijavu pametne kartice i autentikaciju certifikata korisnika na web stranice na pregledniku Safari. Također podržava Kerberos autentikaciju korištenjem para ključeva (PKINIT) za jednostruku prijavu na usluge koje podržava Kerberos. Za dodatne informacije o pametnim karticama i macOS-u pogledajte Uvod u integraciju pametnih kartica u Referenci za pokretanje sustava za Mac.
Kriptirane slike diska U sustavu macOS, kriptirane slike diska služe kao sigurnosni spremnici u koje korisnici mogu pohraniti ili prenijeti osjetljive dokumente i druge datoteke. Kriptirane slike diska izrađuju se pomoću uslužnog programa diska koji se nalazi u /Aplikacije/Uslužni programi/. Slike diska mogu se kriptirati koristeći 128-bitnu ili 256-bitnu AES enkripciju. Budući da se podignuta slika diska tretira kao lokalna jedinica spojena na Mac, korisnik može kopirati, premještati i otvarati datoteke i mape koje su na njoj pohranjene. Kao i sa značajkom FileVault, sadržaj slike diska kriptira se i dekriptira u stvarnom vremenu. S kriptiranim slikama diska, korisnici mogu sigurno razmjenjivati dokumente, datoteke i mape spremajući kriptiranu sliku diska na uklonjivi medij, šaljući je kao privitak e-mail poruke ili pohranjujući je na udaljeni poslužitelj. Za više informacija o kriptiranoj slici diska pogledajte Upute za uporabu uslužnog programa diska.
Arhitektura Privjeska ključeva u sustavu macOS macOS nudi repozitorij koji se naziva Privjesak ključeva, koji praktično i sigurno pohranjuje korisnička imena i lozinke, uključujući digitalne identitete, ključeve enkripcije i sigurne bilješke. Može mu se pristupiti otvaranjem aplikacije Pristup privjesku ključeva u / Aplikacije/Uslužni programi/. Upotreba privjeska ključeva eliminira zahtjev za unosom ili čak pamćenjem, vjerodajnica za svaki resurs. Početni dodatni privjesak ključeva izrađuje se za svakog korisnika Mac računala, iako korisnici mogu izrađivati druge privjeske ključeva za posebne svrhe.
Uz privjeske ključeva korisnika, macOS se pouzdaje u niz privjesaka ključeva na razini sustava koji održavaju resurse autentikacije koji nisu specifični za korisnika, kao što su vjerodajnice mreže i identiteti infrastrukture javnog ključa (PKI). Jedan od tih privjesaka ključeva, Korijeni sustava, nepromjenjiv je i pohranjuje certifikate Internetske ustanove za izdavanje PKI korijenskih certifikata (CA) radi olakšanja uobičajenih zadaća kao što su bankarstvo na internetu ili e-trgovina. Korisnik može slično tome pokrenuti interno postavljene CA certifikate na upravljana Mac računala kao pomoć u potvrdi internih mjesta i usluga.
Sigurnost Apple platforme 57 Zbirke ključeva
Pregled zbirke ključeva u sustavu iOS i iPadOS Ključevi za klase datoteka i Privjeska ključeva Zaštita podataka prikupljaju se i njima se upravlja u zbirkama ključeva. iOS i iPadOS koriste sljedeće zbirke ključeva: korisnik, uređaj, sigurnosna kopija, escrow i iCloud sigurnosna kopija.
Zbirka ključeva korisnika Zbirka ključeva korisnika mjesto je gdje se pohranjuju omotani ključevi klase korišteni u uobičajenom radu uređaja. Primjerice, kad se unese šifra, NSFileProtectionComplete učita se iz zbirke ključeva korisnika i odmota. To je datoteka s binarnom listom svojstava (.plist) pohranjena u klasi Nema zaštite.
Za uređaje s SoC-evima starijim od A9, sadržaj .plist datoteke kriptiran je ključem koji se čuva u Obrisivoj memoriji. Kako bi se zbirkama ključeva pružila sigurnost u budućnosti, ovaj se ključ briše i ponovno generira svaki put kad korisnik promijeni svoju šifru.
Za uređaje s A9 ili novijim SoC-evima .plist datoteka sadrži ključ koji označava da je zbirka ključeva pohranjena u ormariću koji štiti jednokratni ključ za zaštitu od reprodukcije kojim upravlja Secure Enclave.
Secure Enclave upravlja zbirkom ključeva korisnika i može mu se postaviti upit vezan za status zaključanosti uređaja. Izvještava da je uređaj otključan samo ako su pristupačni svi ključevi klase u zbirci ključeva korisnika i uspješno su odmotani.
Zbirka ključeva uređaja Zbirka ključeva uređaja koristi se za pohranu omotanih ključeva klase koji se koriste za postupke koji uključuju podatke specifične za uređaj. iOS i iPadOS uređajima konfiguriranima za dijeljenu upotrebu ponekad treba pristup vjerodajnicama prije nego se bilo koji korisnik prijavio. Stoga je potrebna zbirka ključeva koju ne štiti šifra korisnika.
iOS i iPadOS ne podržavaju kriptografsko odvajanje sadržaja sustava datoteka po korisniku što znači da sustav koristi ključeve klase iz zbirke ključeva uređaja za omatanje ključeva po datoteci. Privjesak ključeva, međutim, koristi ključeve klase iz zbirke ključeva korisnika za zaštitu stavki u Privjesku ključeva korisnika. U iOS i iPadOS uređajima konfiguriranima za upotrebu od strane jednog korisnika (standardna konfiguracija), zbirka ključeva uređaja i zbirka ključeva korisnika su jedna te ista, i štiti ih šifra korisnika.
Zbirka ključeva sigurnosne kopije Zbirka ključeva sigurnosne kopije izrađuje se kad iTunes izradi kriptiranu sigurnosnu kopiju (u sustavu macOS 10.14 ili starijem) ili Finderu (macOS 10.15 ili noviji) i pohrani je na računalo na kojem je izrađena sigurnosna kopija uređaja. Nova zbirka ključeva izrađuje se s novim kompletom ključeva, a podaci za koje je izrađena sigurnosna kopija ponovno se kriptiraju s tim novim ključevima. Kako je prethodno objašnjeno, stavke Privjeska ključeva koje nisu migracijske ostaju omotane ključem izvedenim iz UID-a, što im omogućuje da se obnove na uređaj s kojeg je izvorno i izrađena njihova sigurnosna kopija, ali postaju nedostupne na drugom uređaju.
Sigurnost Apple platforme 58 Zbirku ključeva - koju štiti lozinka postavljena u iTunesu (u sustavu macOS 10.14 ili starijem) ili Finderu (macOS 10.15 ili noviji), pokrenuta je kroz 10 milijuna iteracija PBKDF2-a. Unatoč velikom broju iteracija, nema veze na određeni uređaj i stoga bi se napad uzastopnim pokušavanjem koji se paralelno odvija na više računala teoretski mogao pokušati na zbirku ključeva sigurnosne kopije. Ova prijetnja može se ublažiti dostatno snažnom lozinkom.
Ako korisnik odluči ne kriptirati sigurnosnu kopiju, datoteke nisu kriptirane bez obzira na njihovu klasu Zaštite podataka, ali Privjesak ključeva ostaje zaštićen ključem izvedenim iz UID-a. Zato se stavke Privjeska ključeva migriraju na novi uređaj samo ako je postavljena lozinka za sigurnosnu kopiju.
Escrow zbirka ključeva Escrow zbirka ključeva koristi se za sinkroniziranje iTunesa i upravljanje mobilnim uređajem (MDM). Ova zbirka ključeva omogućuje iTunesu da izradi sigurnosnu kopiju i sinkronizira se bez potrebe da korisnik unosi šifru te omogućuje MDM rješenju da udaljeno očisti šifru korisnika. Pohranjuje se na računalo koje se koristi za sinkronizaciju s iTunesom ili na MDM rješenju koje udaljeno upravlja uređajem.
Escrow zbirka ključeva poboljšava doživljaj korisnika tijekom sinkronizacije uređaja što potencijalno zahtijeva pristup svim klasama podataka. Kad se šifrom zaključani uređaj prvi put spoji na iTunes, od korisnika se traži da unese šifru. Uređaj zatim izrađuje escrow zbirku ključeva koja sadrži ključeve iste klase koji se koriste na uređaju, zaštićenu novo generiranim ključem. Escrow zbirka ključeva i ključ koji je štiti dijele se između uređaja i glavnog računala i poslužitelja, s podacima pohranjenima na uređaju u klasi Zaštićeno do prve autentikacije korisnika. Stoga se šifra uređaja mora unijeti prije nego korisnik izradi sigurnosnu kopiju s iTunesom po prvi puta nakon ponovnog podizanja.
U slučaju bežičnog ažuriranja softvera (OTA), od korisnika se traži njegova šifra kod pokretanja ažuriranja. Ovo se koristi za sigurnu izradu jednokratnog Tokena za otključavanje koji otključava zbirku ključeva korisnika nakon ažuriranja. Ovaj token ne može se generirati bez unosa šifre korisnika, te se bilo koji prethodno generirani token poništava ako se šifra korisnika promijeni.
Jednokratni tokeni za otključavanje služe se za nadziranu ili nenadziranu instalaciju ažuriranja softvera. Kriptiraju se ključem izvedenim iz trenutačne vrijednosti nepromjenjivog brojača u modulu Secure Enclave, UUID-ja zbirke ključeva i UID-a modula Secure Enclave.
Za uređaje sa SoC-evima starijim od A9, povećanje brojača jednokratnog tokena za otključavanje u modulu Secure Enclave poništava bilo koji postojeći token. Brojač se povećava kad se token koristi, nakon prvog otključavanja ponovno pokrenutog uređaja, kad ažuriranje softvera poništi (korisnik ili sustav) ili kad je istekao tajmer politike za token.
Na A9 (i novijim) SoC-evima, jednokratni token za otključavanje više se ne pouzdaje u brojače ili Obrisivu memoriju. Umjesto toga, štiti ga jednokratni ključ za zaštitu od reprodukcije kojim upravlja Secure Enclave.
Jednokratni token za otključavanje za nadzirana ažuriranja softvera istječe nakon 20 minuta. Prije sustava iOS 13, ovaj token eksportirao se iz modula Secure Enclave i pisao u Obrisivu memoriju. Tajmer politike povećava brojač ako se uređaj nije ponovno pokrenuo u roku od 20 minuta. U sustavu iOS 13 i iPadOS 13.1, token se pohranjuje u ormarić koji štiti Secure Enclave.
Sigurnost Apple platforme 59 Nenadzirana ažuriranja softvera događaju se kad sustav zabilježi da je ažuriranje dostupno i:
• automatska ažuriranja konfigurirana su u sustavu iOS 12 (ili novijem) ili
• korisnik odabere opciju Instaliraj kasnije kad dobije obavijest o ažuriranju. Nakon što korisnik unese svoju šifru, generira se jednokratni Token za otključavanje i može ostati valjan u modulu Secure Enclave do najviše 8 sati. Ako se ažuriranje još nije odvilo, ovaj jednokratni Token za otključavanje se uništava kod svakog zaključavanja i ponovno izrađuje kod svakog naknadnog otključavanja. Svako otključavanje ponovno pokreće prozor od 8 sati. Nakon 8 sati, tajmer politike poništava jednokratni Token za otključavanje.
Zbirka ključeva iCloud sigurnosne kopije Zbirka ključeva iCloud sigurnosne kopije slična je zbirci ključeva sigurnosne kopije. Svi ključevi klase u ovoj zbirci ključeva asimetrični su (koriste Curve25519, poput klase Zaštite podataka Zaštićeno osim ako je otvoreno). Asimetrična zbirka ključeva također se koristi za sigurnosnu kopiju u aspektu oporavka Privjeska ključeva iCloud privjeska ključeva.
Sigurnost Apple platforme 60 Sigurnost aplikacija
Pregled sigurnosti aplikacija Aplikacije spadaju pod najkritičnije elemente moderne arhitekture sigurnosti. Iako aplikacije mogu na sjajan način poticati produktivnost korisnika, imaju i potencijal negativno utjecati na sigurnost i stabilnost sustava, te podatke korisnika ako se njima ne rukuje na ispravan način.
Zbog toga Apple nudi više slojeva zaštite kako bi se osiguralo da u aplikacijama nema poznatog zloćudnog softvera i da ih se nije neovlašteno mijenjalo. Dodatne zaštite osiguravaju i pažljivo posredovanje pristupom od aplikacija do podataka korisnika. Ove sigurnosne kontrole pružaju stabilnu, sigurnu platformu za aplikacije, omogućujući tisućama developera da isporuče stotine tisuća aplikacija za iOS, iPadOS i macOS, a da ne utječu na integritet sustava. Korisnici, pak, mogu pristupiti tim aplikacijama na svojim Apple uređajima bez nepotrebnog straha od virusa, zloćudnog softvera ili neovlaštenih napada.
Na iPhone, iPad i iPod touch uređajima, sve aplikacije dohvaćaju se iz trgovine App Store i sve su stavljene su u ograničeno okruženje (“sandboxed”), čime se osiguravaju najstrože kontrole.
Na računalu Mac, mnogo se aplikacija dohvaća iz trgovine App Store, ali korisnici računala Mac također preuzimaju i koriste aplikacije s interneta. Radi osiguranja podrške za preuzimanje s interneta, macOS dodaje slojeve dodatnih kontrola. Prije svega, standardno na sustavu macOS 10.15 ili novijem, za pokretanje svih Mac aplikacija potrebna je dozvola društva Apple. Ovaj zahtjev osigurava da u tim aplikacijama nema poznatog zloćudnog softvera ne zahtijevajući da se aplikacije nude preko trgovine App Store. Nadalje, macOS uključuje vrhunsku antivirusnu zaštitu kojom se blokira i prema potrebi uklanja zloćudni softver.
Kao dodatna kontrola na svim platformama, stavljanje u ograničeno okruženje pomaže zaštititi podatke korisnika od neovlaštenog pristupa aplikacija. A u sustavu macOS, podaci u kritičnim područjima su i sami stavljeni u ograničeno okruženje, čime se osigurava da korisnici i dalje kontroliraju pristup datotekama u Radnoj površini, Dokumentima, Preuzimanjima i ostalim područjima od strane svih aplikacija, bilo da su aplikacije koje pokušavaju pristupiti i same stavljene u ograničeno okruženje ili ne.
Lokalna mogućnost Ekvivalent drugog proizvođača
Popis nepodržanih plugina, popis nepodržanih Safari Definicije virusa/zloćudnog softvera ekstenzija
Karantena datoteka Definicije virusa/zloćudnog softvera
Sigurnost Apple platforme 61 Lokalna mogućnost Ekvivalent drugog proizvođača
XProtect/Yara potpisi Definicije virusa/zloćudnog softvera
MRT (alat za uklanjanje zloćudnog softvera) Zaštita krajnje točke
Gatekeeper Zaštita krajnje točke. Podešava potpisivanje koda na aplikacijama radi osiguravanja pokretanja samo pouzdanog softvera.
efi provjera Zaštita krajnje točke - detekcija rootkita (Potrebno za Mac računala bez Apple T2 sigurnosnog čipa)
Vatrozid aplikacije Zaštita krajnje točke - vatrozid
Filtar paketa (pf) Rješenja vatrozida
Zaštita integriteta sustava Samo Apple može ovo pružiti
Obavezne kontrole pristupa Samo Apple može ovo pružiti
Popis isključivanja KEXT-a Samo Apple može ovo pružiti
Obavezno potpisivanje koda aplikacija Samo Apple može ovo pružiti
Notarizacija aplikacija Samo Apple može ovo pružiti
Sigurnost aplikacija u sustavu iOS i iPadOS
Pregled sigurnosti iOS i iPadOS aplikacija Za razliku od drugih mobilnih platformi, iOS i iPadOS ne dozvoljavaju korisnicima instaliranje potencijalno zloćudnih nepotpisanih aplikacija s web stranica ili pokretanje nepouzdanih aplikacija. Prilikom izvođenja, potpis koda provjerava jesu li sve izvršne memorijske stranice izrađene onako kako su učitane kako bi se osiguralo da aplikacija nije mijenjana od instalacije ili posljednjeg ažuriranja.
Nakon što se potvrdi da aplikacija potječe iz odobrenog izvora, iOS i iPadOS provode sigurnosne mjere koje su napravljene kako bi se spriječilo njezino ugrožavanje ostalih aplikacija ili ostatka sustava.
Proces potpisivanja koda aplikacije
Obavezno potpisivanje koda Nakon pokretanja iOS ili iPadOS jezgre, ono kontrolira koji se procesi i aplikacije korisnika mogu pokrenuti. Kako bi se osiguralo da sve aplikacije potječu iz poznatog i odobrenog izvora i da nisu mijenjane, iOS i iPadOS zahtijevaju da sav izvršni kôd bude potpisan certifikatom koji izdaje Apple. Aplikacije koje se isporučuju s uređajem, kao što su Mail i Safari, potpisuje Apple. Aplikacije drugih proizvođača moraju se također potvrditi i potpisati certifikatom koji izdaje Apple. Obavezno potpisivanje koda proširuje koncept lanca povjerenja sa sustava OS na aplikacije i sprječava aplikacije drugih proizvođača da učitavaju resurse nepotpisanog koda ili koriste kôd koji se izmjenjuje sam.
Sigurnost Apple platforme 62 Kako developeri potpisuju svoje aplikacije
Provjera certifikata Za razvijanje i instaliranje aplikacija na iOS ili iPadOS uređajima developeri se moraju registrirati kod društva Apple i pridružiti Apple razvojnom programu. Prije nego im se izda certifikat, Apple provjerava stvarni identitet svakog developera, bilo da se radi o pojedincu ili tvrtki. Ovaj certifikat omogućuje developerima da potpišu aplikacije i pošalju ih u App Store radi distribucije. Tako su sve aplikacije u trgovini App Store poslale osobe ili organizacije koje se mogu identificirati, čime se sprječava izrada zloćudnih aplikacija. Također ih je pregledao i Apple kako bi osigurao da funkcioniraju kako je opisano i da ne sadrže očite greške ili druge primjetne probleme. Uz tehnologiju o kojoj se već govorilo, ovaj postupak nadzora daje korisnicima povjerenje u kvalitetu aplikacija koje kupuju.
Potvrda dinamičkih biblioteka iOS i iPadOS omogućuju developerima ugradnju okvira unutar svojih aplikacija koje može koristiti sama aplikacija ili ekstenzije ugrađene unutar aplikacije. Radi zaštite sustava i ostalih aplikacija od učitavanja koda drugih proizvođača unutar njihovog adresnog prostora, sustav vrši provjeru potpisa koda svih dinamičkih biblioteka koje proces povezuje prema vremenu pokretanja. Ova provjera vrši se s pomoću identifikatora tima (ID tima) koji se izdvaja iz certifikata koji izdaje Apple. Identifikator tima je slovnobrojčani niz od 10 znakova, primjerice 1A2B3C4D5F. Program se može povezati prema bilo kojoj biblioteci platforme koja se isporučuje sa sustavom ili bilo kojoj biblioteci koja u svom potpisu koda ima isti identifikator tima kao i glavna izvršna datoteka. Budući da izvršne datoteke koje se isporučuju kao dio sustava nemaju identifikator tima, mogu se povezivati samo prema bibliotekama koje se isporučuju sa samim sustavom.
Provjera poslovnih aplikacija Tvrtke također imaju mogućnost pisanja internih aplikacija za upotrebu unutar svojih organizacija i distribuciju svojim zaposlenicima. Tvrtke i organizacije mogu se prijaviti u Apple Developer Enterprise Program (ADEP) s D-U-N-S brojem. Apple odobrava podnositelje prijave nakon što provjeri njihov identitet i prikladnost. Nakon što određena organizacija postane član ADEP-a, može se registrirati radi dobivanja administrativnog profila koji dopušta pokretanje internih aplikacija na uređajima koje ovlasti.
Za pokretanje internih aplikacija korisnici moraju imati instaliran administrativni profil. Ovime se osigurava da samo namijenjeni korisnici organizacije mogu postaviti aplikacije na svoje iOS i iPadOS uređaje. Aplikacije instalirane s pomoću upravljanja mobilnim uređajem (MDM) implicitno su pouzdane jer je odnos između organizacije i uređaja već uspostavljen. U suprotnom, korisnici moraju odobriti administrativni profil aplikacije u Postavkama. Organizacije mogu korisnicima ograničiti odobravanje aplikacija nepoznatih developera. Prilikom prvog pokretanja bilo koje poslovne aplikacije, uređaj mora primiti pozitivnu potvrdu od društva Apple da je dopušteno pokretanje aplikacije.
Sigurnost Apple platforme 63 Sigurnost procesa izvođenja
Sandboxing (stavljanje u ograničeno okruženje) Sve aplikacije drugih proizvođača stavljaju se u ograničeno okruženje (“sandboxed”) tako da im je ograničen pristup datotekama koje pohranjuju druge aplikacije i unos promjena na uređaj. Stavljanje u ograničeno okruženje sprječava aplikacije da prikupljaju ili izmjenjuju informacije koje su pohranile druge aplikacije. Svaka aplikacija ima jedinstveni početni direktorij za svoje datoteke, koji se nasumice dodjeljuje kad se aplikacija instalira. Ako aplikacija drugog proizvođača treba pristup informacijama izuzev vlastitih, to čini koristeći usluge koje pruža isključivo iOS i iPadOS.
Datoteke i resursi sustava također se štite od aplikacija korisnika. Većina sustava iOS i iPadOS pokreće se kao “mobilni” korisnika bez povlastica, kao i većina aplikacija drugih proizvođača. Čitava particija sustava OS učitava se kao “samo za čitanje”. Nepotrebni alati, kao što su usluge udaljene prijave, nisu uključeni u softver sustava i API-ji ne dozvoljavaju aplikacijama eskalaciju vlastitih povlastica radi izmjene drugih aplikacija ili sustava iOS i iPadOS.
Upotreba ovlaštenja Pristupom aplikacija drugih proizvođača informacijama korisnika i značajkama kao što su iCloud i proširivost upravlja se s pomoću deklariranih ovlaštenja. Ovlaštenja su parovi ključ-vrijednost koji su prijavljeni u aplikaciju i dozvoljavaju autentikaciju mimo faktora izvođenja, kao što su ID korisnika UNIX-a. Budući da su ovlaštenja digitalno potpisana, ne mogu se mijenjati. Aplikacije sustava i deamon programi intenzivno koriste ovlaštenja radi izvršenja posebnih povlaštenih postupaka koji bi inače zahtijevali da se proces pokreće kao korijenski. Ovime se znatno smanjuje mogućnost eskalacije radi povlastica kompromitirane aplikacije sustava ili daemon programa.
Nadalje, aplikacije mogu vršiti samo pozadinsku obradu s pomoću API-ja koje osigurava sustav. Time se omogućuje aplikacijama da nastave funkcionirati bez smanjenja performansi ili dramatičnog učinka na vijek trajanja baterije.
Daljnje zaštite
Randomizacija izgleda adresnog prostora Randomizacija izgleda adresnog prostora (ASLR) štiti od iskorištavanja grešaka oštećenja memorije. Ugrađene aplikacije koriste ASLR kako bi osigurale da se sva područja memorije randomiziraju prilikom pokretanja. Nasumično raspoređivanje adresa memorije izvršnog koda, biblioteka sustava i povezanih konstrukta programiranja smanjuje vjerojatnost mnogo sofisticiranih iskorištavanja. Primjerice napad “return-to-libc” pokušava zavarati uređaj da izvrši zloćudni kôd manipulirajući adresama memorije stoga i biblioteka sustava. Randomiziranje njihovog postavljanja čini izvršavanje napada težim, posebice na više uređaja. Xcode, razvojna okruženja za iOS ili iPadOS, automatski kompilira programe drugih proizvođača s uključenom podrškom za ASLR.
Sigurnost Apple platforme 64 Nikad nemoj izvršiti Daljnju zaštitu pruža sustav iOS i iPadOS koristeći značajku ARM-a “Nikad nemoj izvršiti” (XN) kojom se memorijske stranice označavaju kao neizvršne. Memorijske stranice označene kao “pisanje moguće” i “izvršne” mogu koristiti samo aplikacije koje se nalaze u strogo kontroliranim uvjetima: Jezgra provjerava prisutnost samo Appleovog ovlaštenja za dinamičko potpisivanje koda. Čak i tad, može se napraviti samo jedan mmap poziv radi traženja izvršne stranice i stranice u koju se može pisati, a kojoj se daje randomizirana adresa. Safari koristi ovu funkcionalnost za svoj JavaScript JIT kompilator.
Podržavanje ekstenzija iOS i iPadOS omogućuju aplikacijama da pružaju funkcionalnost drugim aplikacijama s pomoću ekstenzija. Ekstenzije su potpisane izvršne binarne datoteke posebne namjene koje se pakiraju unutar aplikacije. Tijekom instalacije sustav automatski prepoznaje ekstenzije i stavlja ih na raspolaganje drugim aplikacijama pomoću odgovarajućeg sustava.
Točke ekstenzija Područje sustava koje podržava ekstenzije naziva se točka ekstenzija. Svaka točka ekstenzija osigurava API-je i provodi politike za to područje. Sustav utvrđuje koje su ekstenzije dostupne na temelju pravila podudaranja specifičnih za točku ekstenzija. Sustav prema potrebi automatski pokreće postupke ekstenzija i upravlja njihovim vijekom trajanja. Ovlaštenja se mogu koristiti za ograničavanje dostupnosti ekstenzija određenim aplikacijama sustava. Primjerice, widget prikaza Danas pojavljuje se samo u Centru za obavijesti, a ekstenzija za dijeljenje dostupna je samo iz prozora Dijeljenje. Točke ekstenzija su primjerice widgeti Danas, Dijeli, Postupci, Uređivanje fotografija, Pružatelj dokumenata i Prilagođena tipkovnica.
Kako ekstenzije komuniciraju Ekstenzije se pokreću u vlastitom adresnom prostoru. Komunikacija između ekstenzije i aplikacije iz koje je aktivirana koristi međuprocesnu komunikaciju kojoj je posrednik okvir sustava. Nemaju pristup međusobnim datotekama ili memorijskim prostorima. Ekstenzije su napravljene da budu izolirane jedna od druge, od aplikacija koje ih sadržavaju i od aplikacija koje ih koriste. Stavljaju se u ograničeno okruženje kao i bilo koja druga aplikacija drugih proizvođača i imaju spremnik odvojen od spremnika aplikacije koja ih sadrži. Međutim, dijele isti pristup kontrolama privatnosti kao i aplikacija spremnik. Stoga, ako korisnik nekoj aplikaciji dodijeli pristup Kontaktima, ta dodjela proširuje se na ekstenzije koje su ugrađene u aplikaciju, ali ne na ekstenzije koje aplikacija aktivira.
Kako se koriste prilagođene tipkovnice Prilagođene tipkovnice posebna su vrsta ekstenzije jer ih omogućuje korisnik za čitavi sustav. Jednom kad se omogući, ekstenzija tipkovnice koristi se za bilo koje tekstualno polje izuzev unosa šifre i bilo kojeg prikaza sigurnosnog teksta. Kako bi se ograničio prijenos podataka korisnika, prilagođene tipkovnice standardno se pokreću u vrlo ograničenom okruženju (“sandbox”) koje blokira pristup mreži, uslugama koje izvršavaju postupke mreže u ime nekog procesa i API-jima koji bi dozvolili ekstenziji da izvuče podatke o tipkanju. Developeri prilagođenih tipkovnica mogu zahtijevati da njihova ekstenzija ima Open Access koji sustavu omogućuje da pokrene ekstenziju u standardnom ograničenom okruženju nakon što dobije suglasnost korisnika.
Sigurnost Apple platforme 65 MDM i ekstenzije Za uređaje registrirane u rješenju upravljanje mobilnim uređajem (MDM), ekstenzije dokumenta i tipkovnice poštuju pravila značajke Managed Open In. Primjerice, MDM rješenje može spriječiti korisnika da eksportira dokument iz upravljane aplikacije u neupravljani Pružatelj dokumenata ili koristi neupravljanu tipkovnicu s upravljanom aplikacijom. Nadalje, developeri aplikacija mogu spriječiti upotrebu ekstenzija tipkovnice drugih proizvođača s njihovom aplikacijom.
Usvajanje zaštite podataka u aplikacijama iOS Software Development Kit (SDK) za iOS i iPadOS nudi čitav paket API-ja koji olakšavaju developerima drugih proizvođača i internim developerima da usvoje Zaštitu podataka i pomognu osigurati najvišu razinu zaštite u svojim aplikacijama. Zaštita podataka dostupna je za API-je datoteka i baza podataka, uključujući NSFileManager, CoreData, NSData i SQLite.
Baza podataka aplikacije Mail (uključujući privitke), upravljane knjige, knjižne oznake preglednika Safari, slike pokretanja aplikacija i podaci o lokaciji također su pohranjeni kroz enkripciju, s ključevima zaštićenima šifrom korisnika na njegovom uređaju. Kalendar (bez privitaka), Kontakti, Podsjetnici, Bilješke, Poruke i Foto provode ovlaštenje Zaštite podataka pod nazivom “Zaštićeno do prve autentikacije korisnika”.
Aplikacije koje instaliraju korisnici a koje ne uključe opciju određene klase Zaštite podataka standardno primaju opciju “Zaštićeno do prve autentikacije korisnika”.
Pridruživanje Grupi aplikacija Aplikacije i ekstenzije kojih je vlasnik navedeni račun developera mogu dijeliti sadržaj kad se konfiguriraju kao dio Grupe aplikacija. O developeru ovisi hoće li izraditi odgovarajuće grupe na Portalu za Apple developere i uključiti željeni komplet aplikacija i ekstenzija. Kad se konfiguriraju kao dio Grupe aplikacija, aplikacije imaju pristup sljedećem:
• dijeljenom spremniku za memoriju na jedinici koji ostaje na uređaju dok god je instalirana barem jedna aplikacija iz grupe • dijeljenim postavkama • dijeljenim stavkama Privjeska ključeva. Portal za Apple developere osigurava da su ID-ovi grupe aplikacija (GID) jedinstveni u čitavom ekosustavu aplikacija.
Provjera dodatnih pribora Made for iPhone, iPad i iPod touch (MFi) licencni program osigurava provjerenim proizvođačima dodatnog pribora pristup Protokolu dodatnih pribora za iPod (iPod Accessories Protocol (iAP)) i potrebne prateće hardverske komponente.
Kad dodatni pribor MFi komunicira s iOS ili iPadOS uređajem s pomoću Lightning priključnice ili Bluetootha, uređaj traži od dodatnog pribora da dokaže da ga je odobrio Apple tako da odgovori s certifikatom dobivenim od društva Apple koji je uređaj potvrdio. Uređaj potom šalje izazov, na koji dodatni pribor mora odgovoriti potpisanim odgovorom. Ovim procesom u cijelosti upravlja prilagođeni integrirani sklop (IC) koji Apple daje odobrenim proizvođačima i koji je transparentan samom dodatnom priboru.
Sigurnost Apple platforme 66 Dodatni pribori mogu tražiti pristup različitim metodama prijenosa i funkcionalnosti, primjerice, pristup digitalnim audio streamovima preko Lightning kabela ili informacije o lokaciji koje se šalju preko Bluetootha. IC autentikacija osigurava da samo odobreni dodatni pribori dobivaju puni pristup uređaju. Ako određeni dodatni pribor ne podržava autentikaciju, njegov je pristup ograničen na analogni audio i mali podskup serijskih (UART) kontrola audio reprodukcije.
AirPlay također koristi IC autentikacije za provjeru je li Apple odobrio primatelje. AirPlay audio i CarPlay video streamovi koriste MFi-SAP (Secure Association Protocol) koji kriptira komunikaciju između dodatnog pribora i uređaja koristeći AES-128 u CTR modu. Kratkotrajni ključevi izmjenjuju se s pomoću ECDH razmjene ključeva (Curve25519) i potpisuju se s pomoću 1024-bitnog RSA ključa IC-a autentikacije kao dijela protokola Station-to-Station (STS).
Sigurnost aplikacija u sustavu macOS
Pregled sigurnosti aplikacija za macOS Sigurnost aplikacija na sustavu macOS sastoji se od niza preklapajućih slojeva, prvi od kojih je opcija za pokretanje samo potpisanih i pouzdanih aplikacija iz trgovine App Store. Osim toga, slojevita zaštita sustava macOS osigurava da aplikacije preuzete s Interneta ne sadrže poznati zloćudni softver. Nudi tehnologije za prepoznavanje i uklanjanje zloćudnog softvera kao i dodatnu zaštitu koja sprječava nepouzdane aplikacije da pristupe podacima korisnika. Na kraju, macOS korisnici mogu slobodno raditi unutar sigurnosnog modela koji im ima smisla, čak uključujući pokretanje potpuno nepotpisanog i nepouzdanog koda.
Proces potpisivanja koda aplikacije u sustavu macOS Sve aplikacije iz trgovine App Store Apple je potpisao kako bi se osiguralo da nisu neovlašteno mijenjane i izmijenjene. Apple potpisuje sve aplikacije koje se isporučuju s Apple uređajima.
U sustavu macOS 10.15, sve aplikacije distribuirane izvan trgovine App Store moraju biti potpisane od strane developera s pomoću certifikata koji je izdao Apple (u kombinaciji s privatnim ključem) i ovjerene od strane društva Apple kako bi se pokretale u standardnim postavkama za Gatekeeper. Aplikacije razvijene interno također trebaju biti potpisane ID- jem developera koji izdaje Apple tako da korisnici mogu provjeriti njihov integritet.
Na sustavu macOS, potpisivanje i ovjera koda funkcioniraju zasebno i mogu ih izvršiti različiti izvršitelji, s različitim ciljevima. Potpisivanje koda vrši developer koristeći svoj certifikat ID-a developera (koji izdaje Apple), a provjera ovog potpisa dokazuje korisniku da softver developera nije neovlašteno mijenjan otkako ga je developer izgradio i potpisao. Ovjeru može izvršiti bilo tko u lancu distribucije softvera i ona dokazuje da je društvu Apple dostavljen primjerak koda na provjeru postojanja zloćudnog softvera i da nije pronađen poznati zloćudni softver. Rezultat Ovjere je potvrda koja se pohranjuje na Apple poslužiteljima i koja se može opcionalno zakačiti na aplikaciju (to može učiniti bilo tko) bez poništavanja potpisa developera.
Obvezne kontrole pristupa (Mandatory Access Controls (MAC-ovi)) zahtijevaju da potpisivanje koda omogući ovlaštenja koja štiti sustav. Primjerice, aplikacije koje zahtijevaju pristup kroz vatrozid moraju imati potpisani kôd s odgovarajućim MAC ovlaštenjem.
Sigurnost Apple platforme 67 Gatekeeper i zaštita izvođenja
Gatekeeper macOS sadrži tehnologiju koja se naziva Gatekeeper a koja osigurava da se samo pouzdani softver može standardno pokrenuti na Mac računalu korisnika. Kad korisnik preuzme i otvori aplikaciju, plugin ili paket za instalaciju koji nije iz trgovine App Store, Gatekeeper provjerava potječe li taj softver od identificiranog developera, je li Apple ovjerio da nema poznatog zloćudnog sadržaja i je li izmijenjen. Gatekeeper također traži odobrenje korisnika prije otvaranja preuzetog softvera po prvi put kako bi bili sigurni da korisnik nije prijevarom preuzeo izvršni kôd za koji smatra da je obična podatkovna datoteka.
Standardno, Gatekeeper osigurava da je sav preuzeti softver potpisala trgovina App Store ili potpisao registrirani developer i ovjerio Apple. Postupak revizije trgovine App Store kao i kanal ovjere osiguravaju da aplikacije ne sadrže poznati zloćudni softver. Stoga je sav softver u sustavu macOS provjeren na postojanje poznatog zloćudnog sadržaja prilikom prvog otvaranja, bez obzira na to kako je stigao na Mac.
Korisnici i organizacije imaju opciju dozvoliti samo softver instaliran iz trgovine App Store. Nadalje, korisnici mogu prekoračiti pravila Gatekeepera kako bi otvorili bilo koji softver, osim ako nisu ograničeni rješenjem upravljanja mobilnim uređajem (MDM). Organizacije mogu koristiti MDM za konfiguraciju postavki za Gatekeeper, uključujući dozvoljavanje softvera potpisanog alternativnim identitetima. Gatekeeper se također, prema potrebi, može potpuno onemogućiti.
Gatekeeper štiti od distribucije zloćudnih plugina s dobroćudnim aplikacijama, gdje upotreba aplikacije aktivira zloćudni plugin bez korisnikovog znanja. Prema potrebi, Gatekeeper otvara aplikacije iz randomiziranih lokacija samo za čitanje, sprječavajući automatsko učitavanje plugina distribuiranih uz aplikaciju.
Zaštita izvođenja Datoteke sustava, resursi i jezgra su zaštićeni od prostora aplikacije korisnika. Sve aplikacije iz trgovine App Store stavljene su u ograničeno okruženje (“sandboxed”) kako bi se ograničio pristup podacima koje spremaju druge aplikacije. Ako određena aplikacija iz trgovine App Store treba pristupiti podacima neke druge aplikacije, to može učiniti samo s pomoću API-ja i usluga koje pruža macOS.
Zaštita od zloćudnog softvera
XProtect macOS sadrži ugrađenu vrhunsku tehnologiju za zaštitu od virusa, nazvanu XProtect, koja detektira zloćudni softver na temelju potpisa i njezina uporaba osigurava najbolju praktičnu zaštitu od virusa i zloćudnog softvera. Sustav koristi YARA potpise koje Apple redovito ažurira. Apple nadzire nove zaraze i vrste zloćudnog softvera i automatski ažurira potpise, neovisno o ažuriranjima sustava, kao pomoć u obrani Mac računala od zaraza zloćudnim softverom. XProtect automatski prepoznaje i blokira provođenje poznatog zloćudnog softvera. U sustavu macOS 10.15 ili novijem XProtect provjerava postojanje zloćudnog sadržaja svaki put kad se aplikacija:
• pokrene prvi put • mijenja.
Sigurnost Apple platforme 68 Kad XProtect prepozna poznati zloćudni softver, softver se blokira a korisnik obavještava i daje mu se opcija da premjesti softver u Smeće.
Alat za uklanjanje zloćudnog softvera Ako zloćudni softver ipak dospije na Mac, macOS također sadrži tehnologiju za uklanjanje zaraza. Alat za uklanjanje zloćudnog softvera (MRT) je pogonski sustav u macOS-u koji ispravlja infekcije na temelju ažuriranja koja automatski isporučuje Apple (kao dio automatskih ažuriranja podatkovnih datoteka sustava i sigurnosnih ažuriranja). Uz nadzor aktivnosti zloćudnog softvera u ekosustavu kako bi mogao opozvati ID račune developera (prema potrebi) i izdati XProtect ažuriranja, Apple također izdaje ažuriranja MRT-a kako bi uklonio zloćudni softver iz bilo kojih pogođenih sustava koji su konfigurirani da primaju automatska sigurnosna ažuriranja. MRT uklanja zloćudni softver nakon primanja ažuriranih informacije i nastavlja provjeravati postoje li infekcije nakon ponovnog uključenja i prijave. MRT neće ponovno pokrenuti Mac automatski.
Automatska sigurnosna ažuriranja Apple izdaje ažuriranja za XProtect i alat za uklanjanje zloćudnog softvera automatski na temelju najnovijih dostupnih informacija o prijetnjama. Standardno macOS dnevno provjerava ima li tih ažuriranja. Više informacija o automatskim sigurnosnim ažuriranjima potražite u članku Apple podrške Automatska sigurnosna ažuriranja.
Kontroliranje pristupa aplikacija datotekama Apple vjeruje da korisnici trebaju imati punu transparentnost, suglasnost i kontrolu nad onime što aplikacije čine s njihovim podacima. U sustavu macOS 10.15, ovaj model provodi sustav kako bi se osiguralo da sve aplikacije moraju dobiti suglasnost korisnika prije pristupa datotekama u Dokumentima, Preuzimanjima, Radnoj površini, iCloud Driveu ili mrežnim jedinicama. U sustavu macOS 10.13 ili novijem, aplikacije koje zahtijevaju pristup čitavoj memoriji uređaja moraju se eksplicitno dodati u Postavkama sustava. Nadalje, mogućnosti pristupačnosti i automatizacije zahtijevaju dopuštenje korisnika kako bi se osiguralo da ne zaobiđu druge zaštite. Ovisno o politici pristupa, od korisnika se može tražiti ili moraju mijenjati postavku u Postavkama sustava > Sigurnost i privatnost > Privatnost:
Stavka Aplikacija traži od korisnika Korisnik mora urediti postavke privatnosti sustava
Pristupačnost
Pristup čitavoj internoj memoriji
Datoteke i mape Napomena: Uključuje: Radnu površinu, Dokumente, Preuzimanja, mrežne jedinice i uklonjive jedinice
Automatizacija (Apple događaji)
Stavke u Smeću korisnika zaštićene su od svih aplikacija koje koriste Puni pristup disku. Korisnik neće dobiti upit za pristup aplikacije. Ako korisnik želi da aplikacije pristupe datotekama, mora ih premjestiti iz Smeća na drugu lokaciju.
Sigurnost Apple platforme 69 Od korisnika koji omogućuje FileVault na Mac računalu traži se da unese valjane vjerodajnice prije nastavka postupka ponovnog pokretanja i dobivanja pristupa specijaliziranim modovima pokretanja. Bez valjanih vjerodajnica za prijavu ili ključa za oporavak, čitava jedinica ostaje kriptirana i zaštićena je od neovlaštenog pristupa, čak i ako se fizički memorijski uređaj ukloni i spoji na drugo računalo.
Za zaštitu podataka u poslovnom okruženju, IT bi trebao definirati i provoditi konfiguracijske politike FileVaulta koristeći upravljanje mobilnog uređaja (MDM). Organizacije imaju nekoliko opcija za upravljanje kriptiranim jedinicama, uključujući institucijske ključeve za oporavak, osobne ključeve za oporavak (koji se opcionalno mogu pohraniti s MDM-om radi zaloga) ili kombinaciju njih oba. Rotacija ključeva može se također postaviti kao politika u MDM-u.
Sigurnosne značajke u aplikaciji Bilješke
Sigurne bilješke Aplikacija Bilješke sadrži značajku sigurnih bilješki koja omogućuje korisnicima da zaštite sadržaj određenih bilješki. Sigurne bilješke kriptirane su s kraja na kraj lozinkom koju je dao korisnik a koja je potrebna za pregled bilješki na iOS, iPadOS i macOS uređaju i web stranici za iCloud. Svaki iCloud račun (uključujući račune uređaja “Na”) može imati zasebnu lozinku.
Kad korisnik zaštićuje bilješku, 16-bajtni ključ izvodi se iz lozinke korisnika koristeći PBKDF2 i SHA256. Bilješka i svi njeni privitci kriptirani su koristeći AES-GCM. Novi zapisi izrađuju se u temeljnim podacima (Core Data) i CloudKitu radi pohrane kriptirane bilješke, privitaka, oznake i vektora inicijalizacije. Nakon izrade novih zapisa, originalni nekriptirani podaci se brišu. Privitci koji podržavaju enkripciju uključuju slike, crteže, tablice, karte i web stranice. Bilješke koje sadrže druge vrste privitaka ne mogu se kriptirati a nepodržani privitci ne mogu se dodati sigurnim bilješkama.
Za prikaz sigurne bilješke korisnik mora unijeti svoju šifru ili autenticirati s pomoću Touch ID ili Face ID računa. Nakon uspješne autentikacije korisnika, bilo za pregled ili izradu sigurne bilješke, aplikacija Bilješke otvara sigurnu sesiju. Dok je sigurna sesija otvorena, korisnik može pregledati ili zaštititi druge bilješke bez dodatne autentikacije. Ipak, sigurna sesija primjenjuje se samo na bilješke zaštićene unesenom šifrom. Korisnik svejedno treba autenticirati za bilješke zaštićene drugom šifrom. Sigurna sesija zatvara se kad:
• korisnik dodirne tipku Zaključaj odmah u Bilješkama • bilješke se prebace u pozadinu na dulje od 3 minute (8 minuta u sustavu macOS) • iOS ili iPadOS uređaj se zaključa. Za promjenu lozinke na sigurnoj bilješci korisnik mora unijeti trenutačnu lozinku, jer Touch ID i Face ID nisu dostupni kod promjene lozinke. Nakon odabira nove lozinke, aplikacija Bilješke ponovno omata ključeve svih postojećih bilješki u istom računu koji su kriptirani prethodnom lozinkom.
Sigurnost Apple platforme 70 Ako korisnik unese krivu lozinku triput zaredom, Bilješke prikazuju natuknicu koju je dao korisnik, ako je to učinio tijekom postavljanja. Ako se korisnik svejedno ne sjeća svoje lozinke, može je resetirati u postavkama za Bilješke. Ovom značajkom korisnicima se omogućuje da izrade nove sigurne bilješke s novom lozinkom, ali im se neće dozvoliti da pregledaju prethodne sigurne bilješke. Prethodno zaštićene bilješke mogu se još uvijek pregledavati ako se korisnik sjeća stare lozinke. Resetiranje lozinke zahtijeva lozinku za iCloud račun korisnika.
Dijeljene bilješke Bilješke koje nisu kriptirane s kraja na kraj lozinkom mogu se dijeliti s drugima. Dijeljene bilješke još uvijek koriste CloudKit vrstu kriptiranih podataka za bilo koji tekst ili privitke koje korisnik stavlja u bilješku. Resursi se uvijek kriptiraju ključem koji je kriptiran u CKRecordu. Metapodaci, kao što su datum izrade i izmjene se ne kriptiraju. CloudKit upravlja procesom kojim sudionici mogu kriptirati i dekriptirati međusobne podatke.
Sigurnosne značajke u aplikaciji Prečaci U aplikaciji Prečaci, prečaci se opcionalno sinkroniziraju na svim Apple uređajima koji koriste iCloud. Prečaci se također mogu dijeliti s ostalim korisnicima putem iClouda. Prečaci se pohranjuju lokalno u kriptiranom formatu.
Prilagođeni prečaci su raznovrsni i slični su skriptama ili programima. Kod preuzimanja prečaca s interneta, korisnik dobiva upozorenje da Apple nije pregledao prečac i mogućnost pregledati prečac. Za zaštitu od zloćudnih prečaca, preuzimaju se ažurirane definicije zloćudnog softvera kako bi se zloćudni prečaci identificirali prilikom izvođenja.
Prilagođeni prečaci mogu također pokrenuti korisnički specificiran JavaScript na web stranicama u pregledniku Safari kad se pozove iz lista za dijeljenje. Za zaštitu od zloćudnog JavaScripta koji, primjerice, prevari korisnika da pokrene skriptu na web stranici društvenih medija koja prikuplja njegove podatke, JavaScript provjerava se s pomoću gorespomenutih definicija zloćudnog softvera. Prvi put kad korisnik pokrene JavaScript na domeni, od korisnika se traži da dozvoli prečace koji sadrže JavaScript za pokretanje na trenutačnoj web stranici za tu domenu.
Sigurnost Apple platforme 71 Sigurnost usluga
Pregled sigurnosti usluga Apple je izgradio robustan set usluga kako bi korisnicima omogućio veću iskoristivost i produktivnost njihovih uređaja. Te usluge uključuju Apple ID, iCloud, Prijavite se s Appleom, Apple Pay, iMessage, FaceTime i Pronalaženje.
One pružaju snažne mogućnosti za pohranu u oblak i sinkroniziranje s njim, autentikaciju, plaćanje, slanje poruka, komunikaciju i ostalo, cijelo vrijeme štiteći privatnost korisnika i sigurnost njihovih podataka.
Napomena: Neke Appleove usluge i sadržaji nisu dostupni u svim državama ili regijama.
Apple ID i Upravljani Apple ID
Pregled Apple ID računa i Upravljanog Apple ID računa Apple ID je račun koji se koristi za prijavu na Apple usluge kao što su iCloud, iMessage, FaceTime, iTunes Store, App Store, aplikacija za Apple TV, Book Store i ostale. Važno je da korisnici čuvaju svoje Apple ID račune kako bi spriječili neovlašteni pristup svojim računima. Stoga Apple ID računi zahtijevaju snažne lozinke koje:
• moraju sadržavati barem osam znakova • moraju sadržavati slova i brojke • ne smiju sadržavati više od tri uzastopna identična znaka
• ne smiju biti često korištena lozinka. Korisnike se potiče da premaše ove smjernice dodavanjem dodatnih znakova i interpunkcijskih znakova kako bi svoje lozinke učinili još i snažnijim.
Apple također e-mailom i/ili push obavijestima obavještava korisnike kad se u njihove račune unesu bitne promjene. Primjerice, ako se promijeni lozinka ili informacije za naplatu ili se Apple ID koristio za prijavu na novi uređaj. Ako išta izgleda nepoznato, korisnicima se savjetuje da odmah promijene svoju lozinku za Apple ID.
Nadalje, Apple koristi niz politika i postupaka namijenjenih zaštiti računa korisnika. Oni uključuju ograničavanje broja ponovnih pokušaja prijave i pokušaja resetiranja lozinke, aktivni nadzor prijevara kako bi se pomogli identificirati napadi kako se događaju, te redovite revizije politika koje društvu Apple omogućuju da se prilagodi bilo kojim novim informacijama koje bi mogle utjecati na sigurnost korisnika.
Sigurnost Apple platforme 72 Napomena: Politiku lozinki za Upravljani Apple ID postavlja administrator u usluzi Apple School Manager ili Apple Business Manager.
Dvofaktorska autentikacija s Apple ID računom Kako bi se korisnicima pomoglo da i snažnije zaštite svoje račune, Apple nudi dvofaktorsku autentikaciju kao dodatan sloj zaštite za Apple ID račune. Dizajnirana je kako bi osigurala da samo vlasnik računa može pristupiti računu, čak i ako netko drugi zna lozinku. S dvofaktorskom autentikacijom, računu korisnika može se pristupiti samo na pouzdanim uređajima kao što su iPhone, iPad, iPod touch ili Mac računalo korisnika ili na drugim uređajima nakon dovršetka provjere s jednog od ovih pouzdanih uređaja ili pouzdanog telefonskog broja. Za prvu prijavu na bilo kojem novom uređaju potrebne su dvije informacije: lozinka za Apple ID i šesteroznamenkasti kôd za provjeru koji se prikazuje na pouzdanim uređajima korisnika ili se šalje na pouzdani telefonski broj. Unosom koda korisnik potvrđuje da vjeruje novom uređaju i da je prijava sigurna. Budući da sama lozinka više nije dovoljna za pristup računu korisnika, dvofaktorska autentikacija poboljšava sigurnost Apple ID računa korisnika i svih osobnih podataka koje pohranjuju kod društva Apple. Integrirana je izravno u iOS, iPadOS, macOS, tvOS, watchOS sustave i sustave autentikacije koje koriste web stranice društva Apple.
Kad se korisnik prijavi na web stranicu društva Apple web preglednikom, zahtjev za drugim faktorom šalje se svim pouzdanim uređajima povezanima s iCloud računom korisnika tražeći odobrenje web sesije. U slučajevima u kojima se korisnik na web stranicu društva Apple prijavljuje iz preglednika na pouzdanom uređaju, vidjet će kôd koji se prikazuje lokalno na uređaju koji koristi. Unosom tog koda odobrava se web sesija koristeći pouzdani uređaj korisnika.
Obnavljanje računa Ako zaboravite lozinku, možete obnoviti Apple ID račun uporabom pouzdanog uređaja za resetiranje Apple ID lozinke. Ako pouzdani uređaj nije dostupan, ali lozinka je poznata, možete upotrijebiti pouzdani telefonski broj za autoriziranje putem SMS verifikacije. Osim toga, prethodno korištena šifra može se koristiti za resetiranje Apple ID računa u sklopu SMS verifikacije radi pružanja trenutnog oporavka Apple ID računa. Ako ove opcije nisu moguće, potrebno je slijediti postupak za oporavak računa. Pogledajte članak Apple podrške Obnavljanje Apple ID računa kad ne možete resetirati svoju lozinku.
Provjera u dva koraka s Apple ID računom Od 2013. godine Apple je također nudio sličnu metodu sigurnosti koja se naziva provjera u dva koraka. Kad je omogućena provjera u dva koraka, korisnički identitet potrebno je provjeriti privremenim kodom poslanim na jedan od korisnikovih pouzdanih uređaja. Provjera u dva koraka potrebna je za dozvoljavanje promjena u informacijama o Apple ID računu; prije prijavljivanja na iCloud, iMessage, FaceTime ili Game Center; i prije obavljanja kupnje novim uređajem u trgovinama iTunes Store, App Store, Apple Books ili aplikaciji Apple TV. Korisnicima se također daje Ključ za oporavak od 14 znakova koji se treba pohraniti na sigurno mjesto u slučaju da ikad zaborave svoju lozinku ili izgube pristup svojim pouzdanim uređajima. Dok se većinu novih korisnika potiče da koriste dvofaktorsku autentikaciju, još uvijek postoje neke situacije kad se umjesto nje preporučuje provjera u dva koraka.
Sigurnost Apple platforme 73 Upravljani Apple ID računi Upravljani Apple ID računi funkcioniraju jako slično Apple ID računu, ali su u vlasništvu i njima upravlja tvrtka ili obrazovne organizacije. Ove organizacije mogu resetirati lozinke, ograničiti kupnju i komunikaciju kao što je FaceTime i Poruke, te podesiti dopuštenja temeljena na ulogama za zaposlenike, članove osoblja, učitelje i polaznike.
Za Upravljane Apple ID račune neke su usluge onemogućene (primjerice, Apple Pay, iCloud Privjesak ključeva, HomeKit i Pronalaženje).
Provjera Upravljanih Apple ID računa Upravljani Apple ID računi također podržavaju provjeru koja organizacijama omogućuje da se pridržavaju zakonskih uredbi i uredbi o privatnosti. Administrator, upravitelj ili učitelj Apple School Managera može provjeravati određene Upravljane Apple ID račune.
Inspektori mogu nadzirati samo račune koji su ispod njih u hijerarhiji organizacije. Primjerice, učitelji mogu nadzirati polaznike; ravnatelji mogu provjeravati učitelje i polaznike, a administratori mogu provjeravati ravnatelje, učitelje i polaznike.
Kad se traži provjera vjerodajnica koristeći Apple School Manager, izdaje se poseban račun koji ima pristup samo Upravljanom Apple ID računu za koji je zatražena provjera. Inspektor zatim može čitati i modificirati sadržaj korisnika pohranjen na iCloudu ili u aplikacijama omogućenima za CloudKit. Svaki zahtjev bilježi se u Apple School Manageru. Zapisi prikazuju tko je bio inspektor, Upravljani Apple ID kojem je inspektor tražio pristup, vrijeme zahtjeva i je li provjera izvršena.
Upravljani Apple ID računi i osobni uređaji Upravljani Apple ID računi mogu se također koristiti s iOS i iPadOS uređajima i Mac računalima u osobnom vlasništvu. Polaznici se prijavljuju na iCloud s pomoću Upravljanog Apple ID računa koji je izdala ustanova i dodatne lozinke za kućnu uporabu koja služi kao drugi faktor postupka dvofaktorske autentikacije Apple ID računa. Tijekom uporabe Upravljanog Apple ID računa na osobnom uređaju, iCloud Privjesak ključeva nije dostupan, a ustanova može ograničiti ostale značajke kao što su FaceTime ili Poruke. Bilo koji iCloud dokumenti koje su izradili polaznici kad su se prijavili podliježu reviziji kako je prethodno opisano u ovom odjeljku.
iCloud
Pregled iClouda iCloud pohranjuje kontakte, kalendare, fotografije, dokumente i ostali sadržaj korisnika, te automatski čuva informacije ažurnima na svim njihovim uređajima. iCloud mogu također koristiti aplikacije drugih proizvođača za pohranu i sinkroniziranje dokumenata kao i vrijednosti ključeva za podatke aplikacije kako ih definira developer. Korisnici podešavaju iCloud prijavljivanjem pomoću Apple ID računa i odabirom usluga koje žele koristiti. IT administratori mogu onemogućiti određene iCloud značajke, iCloud Drive i iCloud sigurnosnu kopiju koristeći konfiguracijske profile za upravljanje mobilnim uređajem (MDM). Usluga ne zna što se sve pohranjuje i sadržajem svih datoteka upravlja na isti način kao kolekcijom bajtova.
Sigurnost Apple platforme 74 Svaka datoteka razbija se u blokove i iCloud je kriptira koristeći AES-128 i ključ izveden iz sadržaja svakog bloka, s ključevima koji koriste SHA-256. Apple pohranjuje ključeve i metapodatke datoteke u iCloud računu korisnika. Kriptirani blokovi datoteke se pohranjuju, bez informacija koje identificiraju korisnika ili ključeva, koristeći Apple usluge i usluge pohrane drugih proizvođača—kao što su Amazon Web Services ili Google Cloud Platform— ali ovi partneri nemaju ključeve za dekriptiranje podataka korisnika pohranjenih na njihovim poslužiteljima.
iCloud Drive iCloud Drive dodaje ključeve temeljene na računu radi zaštite dokumenata pohranjenih na iCloudu. iCloud Drive razlama i kriptira sadržaje datoteka te pohranjuje kriptirane razlomljene dijelove pomoću usluga drugih proizvođača. Međutim, ključeve za sadržaj datoteka omotavaju ključevi zapisa pohranjeni s metapodacima iCloud Drivea. Te ključeve zapisa s druge strane štiti iCloud Drive ključ usluge korisnika koji se zatim pohranjuje s iCloud računom korisnika. Korisnici dobivaju pristup metapodacima svojih iCloud dokumenata koristeći autentikaciju s iCloudom, ali moraju također posjedovati iCloud Drive ključ usluge za prikaz zaštićenih dijelova iCloud Drive memorije.
Sigurnosna kopija iCloud Drivea iCloud također izrađuje sigurnosne kopije informacija—uključujući postavke sustava, podatke aplikacija, fotografije i videozapise u Albumu kamere i razgovore u aplikaciji Poruke—svakodnevno putem Wi-Fi mreže. iCloud štiti sadržaj kriptirajući ga kad se šalje putem interneta, pohranjujući ga u kriptiranom formatu i koristeći sigurne tokene za autentikaciju. iCloud sigurnosna kopija odvija se samo kad uređaj bude zaključan, spojen na izvor napajanja i ima Wi-Fi pristup internetu. Zbog enkripcije koja se koristi u sustavu iOS i iPadOS, iCloud sigurnosna kopija dizajnirana je da štiti podatke dok dopušta izradu povećavane, nenadzirane sigurnosne kopije i odvijanje obnove.
Kad se datoteke izrade u klasama Zaštite podataka koje nisu dostupne kad je uređaj zaključan, njihovi ključevi po datoteci kriptiraju se koristeći ključeve klase iz zbirke ključeva iCloud sigurnosne kopije i njihova se sigurnosna kopija pohranjuje u iCloud u njihovom izvornom, kriptiranom stanju. Sve su datoteke kriptirane tijekom prijenosa i, kad su pohranjene, kriptirane su ključevima temeljenima na računu, kako je opisano u CloudKitu.
Spremnik ključeva iCloud sigurnosne kopije sadrži asimetrične (Curve25519) ključeve za razrede Zaštite podataka koji nisu dostupni kad je uređaj zaključan. Sigurnosna kopija pohranjuje se na iCloud računu korisnika i sastoji se od kopije datoteka korisnika i zbirka ključeva iCloud sigurnosne kopije. Zbirku ključeva iCloud sigurnosne kopije štiti nasumični ključ koji se također pohranjuje sa sigurnosnom kopijom. (Lozinka za iCloud korisnika ne koristi se za enkripciju, tako da promjena lozinke za iCloud neće poništiti postojeće sigurnosne kopije.)
Dok je sigurnosna kopija baze podataka Privjeska ključeva korisnika pohranjena na iCloudu, ostaje zaštićena UID zapetljanim ključem. Ovime se omogućuje obnova Privjeska ključeva samo na isti uređaj s kojeg je potekao i znači da nitko drugi, uključujući Apple, ne može čitati stavke Privjeska ključeva korisnika.
Sigurnost Apple platforme 75 Kod obnove, datoteke za koje je izrađena sigurnosna kopija, zbirka ključeva iCloud sigurnosne kopije i ključ za zbirku ključeva dohvaćaju se s iCloud računa korisnika. Zbirka ključeva iCloud sigurnosne kopije dekriptira se njezinim ključem, zatim se ključevi po datoteci u zbirci ključeva koriste za dekriptiranje datoteka u sigurnosnoj kopiji koje se pišu kao nove datoteke na sustav datoteka, tako ih ponovno kriptirajući sukladno njihovoj klasi Zaštite podataka.
Sadržaj iCloud sigurnosne kopije Sigurnosna kopija sljedećeg sadržaja izrađuje se koristeći iCloud sigurnosnu kopiju:
• zapisi kupljene glazbe, filmova, TV emisija, aplikacija i knjiga. iCloud sigurnosna kopija korisnika sadrži informacije o kupljenom sadržaju koji se nalazi na uređaju korisnika, ali ne i sami kupljeni sadržaj. Kad korisnik obnovi iz iCloud sigurnosne kopije, njegov kupljeni sadržaj automatski se preuzima iz trgovina iTunes Store, App Store, aplikacije Apple TV ili trgovine Apple Books. Neke vrste sadržaja ne preuzimaju se automatski u svim državama ili regijama, a prethodne kupnje mogu biti nedostupne ako je za njih izvršen povrat ili više nisu dostupne u trgovini. Čitava povijest kupnje povezana je s Apple ID računom korisnika. • fotografije i videozapisi na uređajima korisnika. Imajte na umu da ako korisnik uključi iCloud fotografije u sustavu iOS 8.1, iPadOS 13.1 ili OS X 10.10.3 (ili novijem), njegove fotografije i videozapisi već su pohranjeni na iCloudu, tako da nisu uključeni u iCloud sigurnosnu kopiju korisnika: • iOS 8.1 ili noviji • iPadOS 13.1 • OS X 10.10.3 ili noviji • kontakti, događaji iz kalendara, podsjetnici i bilješke • postavke uređaja • podaci aplikacija • organizacija početnog zaslona i aplikacija • konfiguracija HomeKita • podaci Zdravstvene karte • lozinka za Visual Voicemail (zahtijeva SIM karticu koja se koristila tijekom izrade sigurnosne kopije) • iMessage, Dopisivanje s poduzećem, tekstualne (SMS) i MMS poruke (zahtijeva SIM karticu koja se koristila tijekom izrade sigurnosne kopije). Kad se omoguće Poruke u iCloudu, iMessage, Dopisivanje s poduzećem, tekstualne (SMS) i MMS poruke uklanjaju se iz postojeće iCloud sigurnosne kopije korisnika i umjesto toga pohranjuju se u CloudKit spremnik za poruke kriptiran s kraja na kraj. iCloud sigurnosna kopija korisnika zadržava ključ za taj spremnik. Ako korisnik naknadno onemogući iCloud Sigurnosnu kopiju, taj ključ spremnika se zamjenjuje, a novi se ključ pohranjuje samo u iCloud Privjesku ključeva (nedostupnom društvu Apple i bilo kojim trećim stranama) i bilo koji novi podaci zapisani u spremnik ne mogu se dekriptirati starim ključem spremnika.
Sigurnost Apple platforme 76 Ključ koji se koristi za obnovu poruka u iCloud sigurnosnoj kopiji postavlja se na dva mjesta, iCloud Privjesku ključeva i sigurnosnoj kopiji u CloudKitu. Sigurnosna kopija u CloudKitu izrađuje se ako je omogućena iCloud sigurnosna kopija i obnavlja se bezuvjetno bez obzira na to obnavlja li korisnik iCloud sigurnosnu kopiju ili ne.
Enkripcija CloudKita s kraja na kraj Mnogo Apple usluga, navedenih u članku Apple podrške “Pregled iCloud sigurnost”, koristi enkripciju s kraja na kraj s CloudKit ključem usluge koji štiti iCloud sinkroniziranje Privjeska ključeva. Za te CloudKit spremnike, hijerarhija ključeva ukorijenjena je u iCloud Privjesku ključeva i stoga dijeli značajke sigurnosti iCloud Privjeska ključeva—naime, ključevi su dostupni samo na pouzdanim uređajima korisnika, a ne društvu Apple ili bilo kojoj drugoj strani. Ako se pristup podacima iCloud Privjeska ključeva izgubi, podaci u CloudKitu se resetiraju, a ako su podaci dostupni s pouzdanog lokalnog uređaja, ponovno se postavljaju u CloudKit. Za više informacija pogledajte Sigurnost deponiranja (escrow) za iCloud Privjesak ključeva.
Poruke u iCloudu također koriste CloudKit enkripciju s kraja na kraj u kojoj je CloudKit ključ usluge zaštićen sinkroniziranjem iCloud Privjeska ključeva. Ako je korisnik omogućio iCloud Sigurnosnu kopiju, sigurnosna kopija CloudKit ključa usluge korištenog za Poruke u iCloud spremniku izrađuje se u iCloudu kako bi se korisniku omogućilo da oporavi svoje poruke čak i ako je izgubio pristup iCloud Privjesku ključeva i svojim pouzdanim uređajima. Ovaj iCloud ključ usluge pokreće se svaki put kad korisnik isključi iCloud sigurnosnu kopiju.
Situacija Opcije oporavka korisnika za enkripciju CloudKita s kraja na kraj
Pristup pouzdanom uređaju Oporavak podataka moguć uporabom pouzdanog uređaja ili oporavka iCloud Privjeska ključeva.
Nema pouzdanih uređaja Oporavak podataka moguć samo uporabom oporavka iCloud Privjeska ključeva.
iCloud sigurnosna kopija omogućena i pristup Oporavak podataka moguć uporabom iCloud pouzdanom uređaju sigurnosne kopije, pristupa pouzdanom uređaju ili oporavkom iCloud Privjeska ključeva.
iCloud sigurnosna kopija omogućena i nema pristupa Oporavak podataka moguć uporabom iCloud pouzdanom uređaju sigurnosne kopije ili oporavka iCloud Privjeska ključeva.
iCloud sigurnosna kopija onemogućena i pristup Oporavak podataka moguć uporabom pouzdanog pouzdanom uređaju uređaja ili oporavka iCloud Privjeska ključeva.
Sigurnosna kopija onemogućena i nema pristupa Oporavak podataka moguć samo uporabom oporavka pouzdanom uređaju iCloud Privjeska ključeva.
Sigurnost Apple platforme 77 Upravljanje šiframa i lozinkama
Pregled upravljanja šiframa i lozinkama iOS, iPadOS i macOS nude niz značajki kojima se korisnicima olakšava da sigurno i praktično potvrde svoj identitet aplikacijama drugih proizvođača i web stranicama koje za autentikaciju koriste lozinke. Najbolji način upravljanja lozinkama je da se lozinka ne mora koristiti. Značajkom Prijava s Appleom korisnicima se omogućuje da se prijave u aplikacije i web stranice drugih proizvođača a da ne moraju izraditi i upravljati dodatnim računom ili lozinkom uz zaštitu prijave svojom dvofaktorskom autentikacijom za Apple ID. Za stranice koje ne podržavaju Prijavu s Appleom, značajkom Automatska snažna lozinka uređajima korisnika omogućuje se da automatski izrade, sinkroniziraju i unesu jedinstvene lozinke za stranice i aplikacije. Lozinke se pohranjuju u poseban Privjesak ključeva za Auto ispunu lozinki kojim upravlja korisnik i kojim se može upravljati, u sustavu iOS i iPadOS, otvaranjem Postavki > Lozinke i računi > Lozinke za web i aplikacije.
U sustavu macOS, spremljenim lozinkama može se upravljati u postavkama lozinki preglednika Safari. Ovaj sustav sinkroniziranja može se također koristiti za sinkroniziranje lozinki koje korisnik ručno izradi.
Prijava s Appleom Prijava s Appleom je privatnosti prilagođena alternativa ostalim sustavima jednostruke prijave. Nudi praktičnost i učinkovitost prijave jednim dodirom dok korisniku daje više transparentnosti i kontrole nad njegovim osobnim podacima.
Prijava s Appleom omogućuje korisnicima da postave račun i prijave se u aplikacije i web stranice koristeći Apple ID koji već imaju, te im daje više kontrole nad njihovim osobnim informacijama. Kod postavljanja računa, aplikacije mogu tražiti samo ime i e-mail adresu korisnika, a korisnik uvijek ima izbor: Može podijeliti svoju osobnu e-mail adresu s aplikacijom ili odlučiti sačuvati privatnost svoje osobne e-mail adrese i umjesto nje koristiti Appleovu novu uslugu privatnog prijenosa e-maila. Ova usluga prijenosa e-mailova dijeli jedinstvenu, anonimiziranu e-mail adresu koja prosljeđuje na osobnu adresu korisnika tako da oni mogu primati korisnu komunikaciju od developera istovremeno zadržavajući stupanj privatnosti i kontrole nad svojim osobnim podacima.
Prijava s Appleom izgrađena je radi sigurnosti. Svaki korisnik značajke Prijava s Appleom treba imati omogućenu dvofaktorsku autentikaciju. Dvofaktorska autentikacija pomaže zaštititi ne samo Apple ID korisnika, nego i račune koje oni izrade sa svojim aplikacijama. Nadalje, Apple je razvio i u značajku Prijava s Appleom integrirao privatnosti prilagođeni signal protiv prijevare koji developerima daje sigurnost da su njihovi novi korisnici stvarne osobe a ne botovi ili skriptirani računi.
Automatske snažne lozinke Kad se omogući iCloud Privjesak ključeva, iOS, iPadOS i macOS izrađuju snažne, nasumične, jedinstvene lozinke kad se korisnici prijave ili promijene svoju lozinku na web stranici u pregledniku Safari. U sustavu iOS i iPadOS, Automatske snažne lozinke također su dostupne u aplikacijama. Korisnici moraju isključiti opciju uporabe snažnih lozinki. Generirane lozinke spremaju se u privjesku ključeva i sinkroniziraju na svim uređajima s iCloud Privjeskom ključeva, kad je omogućen.
Sigurnost Apple platforme 78 Standardno, lozinke koje generiraju iOS i iPadOS imaju 20 znakova. Sadrže jednu brojku, jedan veliki znak, dvije crtice i 16 malih znakova. Ove generirane lozinke snažne su i sadrže 71 bit entropije.
Lozinke se generiraju na temelju heuristike koja utvrđuje je li iskustvo polja lozinke za izradu lozinke. Ako heuristika ne uspije prepoznati kontekst lozinke kao onaj za izradu lozinke, developeri aplikacija mogu postaviti UITextContentType.newPassword na svojem tekstualnom polju, a web developeri mogu postaviti autocomplete="new-password" na svojim elementima.
Kako bi se osiguralo da su generirane lozinke kompatibilne s relevantnim uslugama, aplikacije i web stranice mogu postaviti pravila. Developeri postavljaju ova pravila koristeći UITextInputPasswordRules ili passwordrules atribut na svojim elementima. Uređaji zatim generiraju najsnažniju lozinku koja može zadovoljiti ova pravila.
Auto ispuna lozinki Auto ispuna lozinki automatski popunjava vjerodajnice pohranjene u privjesku ključeva. Upravitelj iCloud Privjeska ključeva i Auto ispuna lozinki pružaju sljedeće značajke:
• ispunu vjerodajnica u aplikacijama i web stranicama • generiranje snažnih lozinki • spremanje lozinki u aplikacijama i web stranicama u Safari • sigurno dijeljenje lozinki kontaktima korisnika • davanje lozinki obližnjem Apple TV-u koji traži vjerodajnice. Generiranje i spremanje lozinki unutar aplikacija, kao i davanje lozinki Apple TV-u dostupno je samo u sustavu iOS i iPadOS.
Auto ispuna lozinki u aplikacijama iOS i iPadOS omogućuju korisnicima unos spremljenih korisničkih imena i lozinki u polja vezana za vjerodajnice u aplikacijama, slično kako Auto ispuna lozinki radi u pregledniku Safari. U sustavu iOS i iPadOS, korisnici ovo čine dodirom na tipku koja je dodijeljena na QuickType traci softverske tipkovnice. U sustavu macOS, za aplikacije izgrađene Mac Catalystom, padajući izbornik Lozinke pojavljuje se ispod polja vezanih za vjerodajnice.
Kad se aplikacija snažno poveže s web stranicom koja koristi isti mehanizam povezivanja aplikacije-web stranice, a koji omogućuje apple-app-site-association datoteka, QuickType traka sustava iOS i iPadOS i padajući izbornik sustava macOS izravno predlažu vjerodajnice za aplikaciju, ako je ijedno od njih pohranjeno u Privjesak ključeva Auto ispune lozinki. Ovime se korisnicima omogućuje da odaberu otkriti vjerodajnice koje sprema Safari aplikacijama s istim sigurnosnim svojstvima, a da aplikacije ne moraju usvojiti API.
Auto ispuna lozinki ne otkriva aplikaciji nikakve informacije o vjerodajnicama dok se korisnik ne suglasi aplikaciji izdati vjerodajnicu. Popisi vjerodajnica izvlače se ili prezentiraju iz procesa aplikacije.
Kad aplikacija i web stranica imaju pouzdani odnos i korisnik podnese vjerodajnice unutar aplikacije, iOS i iPadOS mogu korisnika tražiti da spremi te vjerodajnice u Privjesak ključeva Auto ispune lozinki za kasniju uporabu.
Sigurnost Apple platforme 79 Pristup aplikacije spremljenim šiframa iOS i iPadOS aplikacije mogu komunicirati s Privjeskom ključeva Auto ispune lozinki s pomoću sljedeća dva API-ja:
• SecRequestSharedWebCredential • SecAddSharedWebCredential. iOS, iPadOS i macOS aplikacije mogu zatražiti pomoć Privjeska ključeva Auto ispune lozinki kod prijave korisnika koristeći ASAuthorizationPasswordProvider. Pružatelj usluga lozinke i njegov zahtjev mogu se koristiti zajedno sa značajkom Prijava s Appleom, tako da isti API poziva na pomoć korisnicima da se prijave u aplikaciju, neovisno o tome temelji li se račun korisnika na lozinki ili je izrađen značajkom Prijava s Appleom.
Aplikacije mogu pristupiti spremljenim lozinkama samo ako su developer aplikacije i administrator web stranice dali svoje odobrenje i korisnik je dao suglasnost. Developeri aplikacija izražavaju svoju namjeru pristupa spremljenim lozinkama preglednika Safari uključujući pravo u svoju aplikaciju. Pravo navodi nazive potpuno kvalificiranih domena povezanih web stranica i web stranice moraju na svoj poslužitelj postaviti datoteku u kojoj se navode jedinstveni identifikatori aplikacije aplikacija koje je Apple odobrio.
Kad se instalira aplikacija s com.apple.developer.associated-domains pravom, iOS i iPadOS izrađuju TLS zahtjev za svaku navedenu web stranicu, tražeći jednu od sljedećih datoteka:
• apple-app-site-association • .well-known/apple-app-site-association. Ako se u datoteci navodi identifikator aplikacije koja se instalira, tada iOS i iPadOS označavaju web stranicu i aplikaciju kao da imaju pouzdan odnos. Samo s pouzdanim odnosom pozivi ovim dvama API-jima rezultirat će obaviješću korisniku koji se mora suglasiti prije nego se bilo koje lozinke otkriju aplikaciji, ažuriraju ili obrišu.
Revizija ponovne uporabe i jačine lozinke Popis lozinki Privjeska ključeva Auto ispune lozinki u sustavu iOS, iPadOS i macOS označava koje spremljene lozinke korisnika će se ponovno koristiti na drugim web stranicama, kao i lozinke koje se smatraju slabima.
Uporaba iste lozinke za više od jedne usluge može te račune učiniti ranjivima na napad iskorištavanjem kombinacija korisničkih imena i lozinki (eng. credential stuffing). Ako se usluga probije i lozinke procure, napadači mogu pokušati iste vjerodajnice koristiti na drugim uslugama kako bi kompromitirali dodatne račune.
Lozinke se označavaju slabima ako ih napadač može lako pogoditi. iOS, iPadOS i macOS detektiraju uobičajene uzorke koji se koriste za izradu lako pamtljivih lozinki, kao što je uporaba riječi iz rječnika, uobičajene zamjene znakova (kao što su “p4ssw0rd” umjesto “password”), uzorke koji se nalaze na tipkovnici (kao što je “q12we34r” s QWERTY tipkovnice) ili ponovljene sljedove (kao što je “123123”). Ovi uzorci često se koriste za izradu lozinki koje zadovoljavaju minimalne zahtjeve lozinke za usluge, ali ih također obično koriste napadači u pokušaju da lozinku napadnu uzastopnim pokušavanjem.
Budući da mnogo usluga konkretno zahtijeva četvero ili šesteroznamenkastu PIN šifru, te kratke lozinke procjenjuju se različitim pravilima. PIN šifre smatraju se slabima ako su neke od najuobičajenijih PIN šifri, odnosno ako su rastući ili padajući niz kao što je “1234” ili “8765” ili ako slijede uzorak ponavljanja kao što je “123123” ili “123321”.
Sigurnost Apple platforme 80 Slabe i ponovno upotrijebljene lozinke označavaju se na popisu lozinki. Ako se korisnik prijavi na web stranicu u pregledniku Safari koristeći prethodno spremljenu lozinku koja je jako slaba, poput nekih od najuobičajenijih lozinki, prikazuje se alarm koji ga snažno potiče da se nadogradi na Automatsku snažnu lozinku.
Slanje lozinki drugim korisnicima ili uređajima
AirDrop Kad je iCloud omogućen, korisnici mogu značajkom AirDrop slati spremljenu vjerodajnicu, uključujući web stranice za koje je spremljena, korisničko ime i lozinku, na drugi uređaj. Slanje vjerodajnica značajkom AirDrop uvijek funkcionira samo u modu Samo kontakti, neovisno o postavkama korisnika. Na uređaju primatelju, nakon suglasnosti korisnika, vjerodajnica se pohranjuje u Privjesku ključeva Auto ispune lozinki korisnika.
Apple TV Auto ispuna lozinki dostupna je za popunjavanje vjerodajnica u aplikacijama na Apple TV-u. Kad se korisnik usredotoči na tekstualno polje korisničkog imena ili lozinke u sustavu tvOS, Apple TV započinje oglašavati zahtjev za Auto ispunom lozinki preko Bluetooth Low Energy (BLE).
Bilo koji iPhone, iPad ili iPod touch u blizini prikazuje obavijest kojom se korisnika poziva da podijeli vjerodajnicu s Apple TV-om. Evo kako se uspostavlja metoda enkripcije:
• Ako uređaj i Apple TV koriste isti iCloud račun, enkripcija između uređaja odvija se automatski. • Ako je uređaj prijavljen na iCloud račun drukčiji od onog koji koristi Apple TV, od korisnika se traži da uspostavi kriptiranu vezu uporabom PIN šifre. Za primanje ove obavijesti iPhone mora biti otključan i u blizini Siri Remotea uparenog s tim Apple TV-om. Nakon uspostavljanja kriptirane veze putem enkripcije BLE veze, vjerodajnica se šalje Apple TV-u i automatski se popunjava u relevantna tekstualna polja na aplikaciji.
Ekstenzije pružatelja vjerodajnica U sustavu iOS i iPadOS, korisnici mogu odrediti usklađenu aplikaciju drugih proizvođača kao pružatelja usluga vjerodajnica u Auto ispuni u postavkama Lozinke i računi. Ovaj mehanizam gradi se na ekstenzijama. Ekstenzija pružatelja vjerodajnica mora osiguravati prikaz za odabir vjerodajnica i može opcionalno pružati iOS i iPadOS metapodatke o spremljenim vjerodajnicama tako da se mogu nuditi izravno na QuickType traci. Metapodaci uključuju web stranicu vjerodajnice i povezano korisničko ime, ali ne njezinu lozinku. iOS i iPadOS komuniciraju s ekstenzijom za dohvat lozinke kad korisnik odluči popuniti je u aplikaciji ili na web stranici u pregledniku Safari. Metapodaci vjerodajnica pohranjuju se unutar ograničenog okruženja (eng. sandbox) pružatelja vjerodajnica i automatski se uklanjaju kad se aplikacija deinstalira.
Sigurnost Apple platforme 81 iCloud Privjesak ključeva
Pregled iCloud privjeska ključeva iCloud Privjesak ključeva omogućuje korisnicima da sigurno sinkroniziraju svoje lozinke između iOS i iPadOS uređaja i Mac računala bez otkrivanja tih informacija društvu Apple. Uz jaku privatnost i sigurnost, ostali ciljevi koji snažno utječu na dizajn i arhitekturu iCloud Privjeska ključeva bili su jednostavnost uporabe i sposobnost oporavka Privjeska ključeva. iCloud Privjesak ključeva sastoji se od dvije usluge: sinkroniziranja Privjeska ključeva i oporavka Privjeska ključeva.
Apple je dizajnirao iCloud Privjesak ključeva i oporavak Privjeska ključeva tako da su lozinke korisnika i dalje zaštićene pod sljedećim uvjetima:
• iCloud račun korisnika je kompromitiran • iCloud je kompromitirao vanjski napadač ili zaposlenik • Treća strana pristupa računima korisnika.
Sinkroniziranje Privjeska ključeva Kad korisnik omogući iCloud Privjesak ključeva po prvi put, uređaj uspostavlja krug povjerenja i izrađuje za sebe identitet sinkroniziranja. Identitet sinkroniziranja sastoji se od privatnog ključa i javnog ključa. Javni ključ identiteta sinkroniziranja postavlja se u krug, a krug se potpisuje dvaput: prvi put ga potpisuje privatni ključ identiteta sinkroniziranja, zatim ponovno asimetrični eliptični ključ (koristeći P-256) izveden iz lozinke iCloud računa korisnika. S krugom se pohranjuju i parametri (nasumični salt i iteracije) koji se koriste za izradu ključa koji se temelji na lozinki iCloud računa korisnika.
Potpisani krug sinkroniziranja postavlja se u područje za pohranu vrijednosti iCloud ključa korisnika. Ne može se čitati bez poznavanja lozinke za iCloud korisnika i ne može se izmijeniti na valjan način bez posjedovanja privatnog ključa identiteta sinkroniziranja svog člana.
Kad korisnik uključi iCloud Privjesak ključeva na drugom uređaju, iCloud Privjesak ključeva zamjećuje da je korisnik prethodno uspostavio krug sinkroniziranja u iCloudu kojeg nije član. Uređaj izrađuje svoj par ključeva za identitet sinkroniziranja, zatim izrađuje zahtjev za prijavom kako bi zatražio članstvo u krugu. Zahtjev se sastoji od javnog ključa identiteta sinkroniziranja uređaja, a od korisnika se traži da autorizira sa svojom lozinkom za iCloud. Parametri generiranja eliptičnog ključa dohvaćaju se s iClouda i generiraju ključ koji se koristi za potpisivanje zahtjeva za prijavom. Konačno, zahtjev za prijavom postavlja se na iCloud.
Kad prvi uređaj vidi da je stigao zahtjev za prijavom, traži korisnika da potvrdi da je novi uređaj zatražio pridruživanje krugu sinkroniziranja. Korisnik unosi svoju lozinku za iCloud, te se zahtjev za prijavom potvrđuje kao potpisan odgovarajućim privatnim ključem. Sada mu se korisnici koji generiraju zahtjev za pridruživanjem mogu pridružiti.
Po odobrenju korisnika za dodavanje novog uređaja u krug, prvi uređaj dodaje javni ključ novog člana u krug sinkroniziranja i ponovno ga potpisuje s njegovim identitetom sinkroniziranja i ključem izvedenim iz lozinke za iCloud korisnika. Novi krug sinkroniziranja postavlja se u iCloud, gdje ga na sličan način potpisuje novi član kruga.
Sigurnost Apple platforme 82 Sad postoje dva člana kruga potpisivanja, i svaki član ima javni ključ svog ravnopravnog člana. Oni sad mogu započeti razmjenjivati pojedinačne stavke Privjeska ključeva putem iCloud pohrane vrijednosti ključeva ili ih pohraniti u CloudKit, što god je prikladnije za situaciju. Ako oba člana kruga imaju istu stavku, sinkronizira se ona s najnovijim datumom izmjene. Ako drugi član ima stavku i datumi izmjene su identični, stavke se preskaču. Svaka stavka koja se sinkronizira je kriptirana tako da je može dekriptirati samo uređaj unutar kruga povjerenja korisnika. Ne mogu je dekriptirati drugi uređaji ili Apple.
Ovaj se proces ponavlja kako se novi uređaji pridružuju krugu sinkroniziranja. Primjerice, kad se pridruži treći uređaj, potvrda se prikazuje na oba druga uređaja korisnika. Korisnik može odobriti novog člana s bilo kojeg od tih uređaja. Kako se dodaju novi ravnopravni članovi, svaki ravnopravni član sinkronizira se s novim kako bi se osiguralo da svi članovi imaju iste stavke Privjeska ključeva.
Međutim, čitavi se Privjesak ključeva ne sinkronizira. Neke su stavke specifične za uređaj, kao što su VPN identiteti i ne smiju napuštati uređaj. Sinkroniziraju se samo stavke s atributom kSecAttrSynchronizable. Apple je postavio ovaj atribut za korisničke podatke preglednika Safari (uključujući korisnička imena, lozinke i brojeve kreditnih kartica), kao i lozinke za Wi-Fi i HomeKit ključeve za enkripciju.
Uz to, standardno se ne sinkroniziraju stavke Privjeska ključeva koje dodaju aplikacije drugih proizvođača. Developeri moraju postaviti atribut kSecAttrSynchronizable kad dodaju stavke u Privjesak ključeva.
Oporavak iCloud privjeska ključeva Oporavak Privjeska ključeva osigurava korisnicima način da opcionalno deponiraju svoj Privjesak ključeva kod društva Apple a da joj ne dozvole da čita lozinke i ostale podatke koje sadrži. Čak i ako korisnik ima samo jedan uređaj, oporavak Privjeska ključeva predstavlja zaštitnu mrežu i sprječava gubitak podataka. Ovo je posebice važno kad se Safari koristi za generiranje nasumičnih, snažnih lozinki za web račune, jer je jedini zapis tih lozinki u Privjesku ključeva.
Kamen temeljac oporavka Privjeska ključeva je sekundarna autentikacija i sigurna usluga deponiranja (eng. escrow) koju je društvo Apple izradila posebice za podršku ovoj značajci. Privjesak ključeva korisnika kriptira se snažnom lozinkom, a usluga deponiranja daje kopiju Privjeska ključeva samo ako se ispune strogi uvjeti.
Postoji nekoliko načina za uspostavu snažne šifre:
• Ako je za račun korisnika omogućena dvofaktorska autentikacija, šifra uređaja koristi se za oporavak deponiranog Privjeska ključeva. • Ako dvofaktorska autentikacija nije postavljena, od korisnika se traži da izradi iCloud sigurnosni kôd unosom šesteroznamenkaste šifre. Ili bez dvofaktorske autentikacije, korisnici mogu navesti svoju vlastitu dulju šifru ili mogu dopustiti svojim uređajima da izrade kriptografski nasumičnu šifru koju mogu zabilježiti i koristiti kao svoju. Mnogo korisnika zatim želi deponirati svoj privjesak ključeva kod društva Apple. Postupak je takav da iOS, iPadOS ili macOS uređaj eksportira primjerak Privjeska ključeva korisnika, kriptira ga omotanog ključevima u asimetričnoj zbirci ključeva i postavlja u područje iCloud pohrane vrijednosti ključeva korisnika. Zbirka ključeva omotana je iCloud sigurnosnim kodom korisnika i javnim ključem klastera sigurnosnog modula hardvera (HSM) koji pohranjuje zapis deponiranja. Ovo postaje iCloud zapis deponiranja korisnika.
Sigurnost Apple platforme 83 Ako korisnik odluči prihvatiti kriptografski nasumičnu šifru, umjesto navođenja vlastite ili korištenja četveroznamenkaste vrijednosti, nije potreban nikakav zapis deponiranja. Umjesto toga se iCloud sigurnosni kôd koristi za izravno omatanje nasumičnog ključa.
Uz uspostavljanje sigurnosne šifre, korisnici moraju registrirati telefonski broj. Ovime se osigurava sekundarna razina autentikacije tijekom oporavka Privjeska ključeva. Korisnik prima SMS na koji mora odgovoriti kako bi se oporavak nastavio.
Sigurnost deponiranja (escrow) za iCloud Privjesak ključeva iCloud nudi sigurnu infrastrukturu za deponiranje Privjeska ključeva čime se osigurava da samo ovlašteni korisnici i uređaji mogu izvršiti oporavak. Topografski postavljeni iza iClouda su HSM klasteri koji čuvaju zapise deponiranja. Kako je prethodno opisano, svaki ima ključ koji se koristi za kriptiranje zapisa deponiranja pod njihovom stražom.
Za oporavak Privjeska ključeva korisnici se moraju autorizirati sa svojim iCloud računom i lozinkom i odgovoriti na SMS koji je poslan na njihov registrirani telefonski broj. Nakon što se to napravi, korisnici moraju unijeti svoj iCloud sigurnosni kôd. HSM klaster provjerava poznaje li korisnik svoj iCloud sigurnosni kôd koristeći protokol Secure Remote Password (SRP). Sama šifra se ne šalje društvu Apple. Svaki član klastera neovisno provjerava da korisnik nije premašio maksimalan broj dozvoljenih pokušaja za dohvat svog zapisa, o čemu se diskutira u nastavku. Ako je većina suglasna, klaster odmotava zapis deponiranja i šalje ga na uređaj korisnika.
Zatim uređaj koristi iCloud sigurnosni kôd za dešifriranje nasumičnog ključa koji se koristi za kriptiranje Privjeska ključeva korisnika. S tim se ključem, Privjesak ključeva—dohvaćen iz iCloud pohrane vrijednosti ključeva—dekriptira i obnavlja na uređaj. iOS, iPadOS i macOS dozvoljavaju samo 10 pokušaja autentikacije i dohvata zapisa deponiranja. Nakon nekoliko neuspjelih pokušaja, zapis se zaključava i korisnik mora nazvati Apple podršku kako bi mu se dodijelilo više pokušaja. Nakon 10. neuspjelog pokušaja, HSM klaster uništava zapis deponiranja i Privjesak ključeva se gubi zauvijek. Ovime se osigurava zaštita od napada uzastopnim pokušavanjem radi dohvata zapisa, na račun žrtvovanja podataka Privjeska ključeva kao odgovora na napad.
Ove politike kodirane su u HSM firmveru. Administrativne kartice pristupa koje dopuštaju izmjenu firmvera su uništene. Zbog bilo kojeg pokušaja izmjene firmvera ili pristupa privatnom ključu HSM klaster obrisat će privatni ključ. Ako se to dogodi, vlasnik svakog Privjeska ključeva koji štiti klaster prima poruku koja ga obavještava da je njegov zapis deponiranja izgubljen. Zatim se mogu odlučiti na ponovnu prijavu.
Integracija preglednika Safari s iCloud Privjeskom ključeva Safari može automatski generirati kriptografski snažne nasumične nizove za lozinke za web stranice koji se pohranjuju u Privjesak ključeva i sinkroniziraju na ostale uređaje. Stavke Privjeska ključeva prenose se s uređaja na uređaj, putujući preko Apple poslužitelja, ali su kriptirane na takav način da Apple i drugi uređaji ne mogu čitati njihov sadržaj.
Sigurnost Apple platforme 84 Apple Pay
Pregled značajke Apple Pay Sa značajkom Apple Pay, korisnici mogu koristiti podržane iOS uređaje, iPad, Mac i Apple Watch za plaćanje na jednostavan, siguran i privatan način u trgovinama, aplikacijama i na webu u pregledniku Safari. Korisnici mogu također dodati kartice za javni prijevoz omogućene za Apple Pay u Apple Wallet. Jednostavna je za korisnike i izgrađena s integriranom sigurnošću u hardveru i softveru.
Apple Pay također je dizajniran za zaštitu osobnih podataka korisnika. Apple Pay ne prikuplja nikakve podatke o transakcijama koje se mogu povezati s korisnikom. Transakcije plaćanja su između korisnika, trgovca i izdavatelja kartica.
Sastavnice značajke Apple Pay
Secure Element Secure Element je industrijski standardan, certificiran čip koji pokreće Java Card platformu koja je sukladna sa zahtjevima financijske industrije za elektronska plaćanja. IC Secure Elementa i Java platforma kartica certificirani su u skladu s EMVCo procesom procjene sigurnosti. Nakon uspješnog dovršetka procjene sigurnosti, EMVCo izdaje jedinstveni IC i certifikat platforme.
IC secure Elementa certificiran je na temelju standarda Common Criteria.
NFC kontroler NFC kontroler upravlja Near Field Communication protokolima i rutama komunikacije između procesora aplikacije i Secure Elementa, te između Secure Elementa i terminala na prodajnom mjestu.
Apple Wallet Apple Wallet koristi se za dodavanje i upravljanje kreditnim, debitnim karticama i karticama trgovina i za plaćanja značajkom Apple Pay. Korisnici mogu pregledati svoje kartice i mogu moći pregledati dodatne informacije koje daju izdavatelji kartica, kao što su pravila privatnosti izdavatelja kartica, nedavne transakcije i ostalo u Apple Walletu. Korisnici mogu također dodavati kartice u Apple Pay u:
• Asistentu za podešavanje i Postavkama za iOS i iPadOS • aplikaciji Watch za Apple Watch • Walletu i značajci Apple Pay u Postavkama sustava za Mac računala s Touch ID-jem. Nadalje, Apple Wallet dozvoljava korisnicima da dodaju i upravljaju karticama za javni prijevoz, nagradnim karticama, ukrcajnim propusnicama, ulaznicama, darovnim karticama, studentskim iskaznicama i ostalim.
Secure Enclave Na iPhoneu, iPadu, Apple Watchu i Mac računalima s Touch ID-jem, Secure Enclave upravlja procesom autentikacije i omogućuje nastavak transakcije plaćanja.
Sigurnost Apple platforme 85 Na Apple Watchu, uređaj mora biti otključan i korisnik mora dvaput kliknuti bočnu tipku. Dvostruki klik se detektira i izravno prenosi na Secure Element ili Secure Enclave gdje je dostupan, bez prolaska kroz procesor aplikacije.
Poslužitelji značajke Apple Pay Poslužitelji značajke Apple Pay upravljaju postavljanjem i administriranjem kreditnih, debitnih kartica, kartica za javni prijevoz i studentskih iskaznica u aplikaciji Wallet. Poslužitelji također upravljaju Brojevima računa uređaja pohranjenima u Secure Elementu. Komuniciraju s uređajem i s platnom mrežom ili poslužiteljima izdavatelja kartica. Poslužitelji značajke Apple Pay također su odgovorni za ponovnu enkripciju vjerodajnica plaćanja za plaćanja unutar aplikacija.
Kako Apple Pay koristi Secure Element i NFC kontroler
Secure Element Secure Element domaćin je posebno dizajniranom appletu za upravljanje značajkom Apple Pay. Također uključuje applete koje certificiraju platne mreže ili izdavatelji kartica. Podaci kreditnih, debitnih ili prepaid kartica šalju se kriptirani iz platne mreže ili izdavatelja kartica tim appletima koristeći ključeve koji su poznati samo platnoj mreži ili izdavatelju kartica i sigurnosnoj domeni appleta. Ovi podaci pohranjuju se unutar ovih appleta i štite koristeći sigurnosne značajke Secure Elementa. Tijekom transakcije, terminal komunicira izravno sa Secure Elementom kroz Near Field Communication (NFC) kontrolor preko dedicirane hardverske sabirnice.
NFC kontroler Kao poveznik do Secure Elementa, NFC kontroler osigurava da se sve transakcije beskontaktnog plaćanja provode koristeći terminal prodajnog mjesta koji je blizu uređaja. NFC kontroler označava samo zahtjeve za plaćanjem koji dolaze s terminala na lokaciji kao beskontaktne transakcije.
Nakon što vlasnik kartice autorizira plaćanje kreditnom, debitnom ili prepaid karticom (uključujući kartice trgovina) Touch ID-jem, Face ID-jem ili šifrom ili na otključanom Apple Watchu dvostrukim klikom na bočnu tipku, beskontaktne odgovore koje pripremaju appleti plaćanja unutar Secure Elementa ekskluzivno rutira kontroler u NFC polje. Posljedično, detalji autorizacije plaćanja za transakcije beskontaktnog plaćanja zadržani su u lokalnom NFC polju i nikad se ne izlažu procesoru aplikacije. Suprotno tomu, detalji autorizacija plaćanja za plaćanja unutar aplikacija i na webu rutiraju se na procesor aplikacija, ali tek nakon enkripcije od strane Secure Elementa na poslužitelj značajke Apple Pay.
Kreditne, debitne i prepaid kartice
Pregled administriranja kreditnih, debitnih i prepaid kartica sa značajkom Apple Pay Kad korisnik doda kreditnu, debitnu ili prepaid karticu (uključujući kartice trgovina) u Apple Wallet, Apple na siguran način šalje informacije o karticama, zajedno s drugim informacijama o računu i uređaju korisnika izdavatelju kartica ili ovlaštenom pružatelju usluga izdavatelja kartica. Koristeći ove informacije, izdavatelj kartica utvrđuje hoće li odobriti dodavanje kartice u Apple Wallet.
Sigurnost Apple platforme 86 Kao dio postupka administriranja, Apple Pay koristi tri poziva na strani poslužitelja za slanje i primanje komunikacije s izdavateljem kartica ili mrežom: Potrebna polja, Provjeri karticu i Poveži i administriraj. Izdavatelj kartica ili mreža koristi ove pozive za provjeru, odobrenje i dodavanje kartica u Apple Wallet. Ove sesije klijenta-poslužitelja kriptirane su koristeći TLS v1.2.
Čitavi brojevi kartice ne pohranjuju se na uređaj niti na poslužitelje značajke Apple Pay. Umjesto toga, izrađuje se jedinstveni Broj računa uređaja, kriptira se i zatim pohranjuje u Secure Element. Ovaj jedinstveni Broj računa uređaja kriptira se na način da mu Apple ne može pristupiti. Broj računa uređaja jedinstven je i razlikuje se od većine brojeva kreditnih ili debitnih kartica; izdavatelj kartica ili platna mreža mogu spriječiti njegovu uporabu na kartici s magnetskom vrpcom, preko telefona ili na web stranicama. Broj računa uređaja u Secure Elementu nikad se ne pohranjuje na poslužiteljima značajke Apple Pay niti se njegova sigurnosna kopija pohranjuje na iCloud, te se izolira od sustava iOS, iPadOS, watchOS i Mac računala s Touch ID-jem.
Kartice za uporabu s Apple Watchem administriraju se za Apple Pay s pomoću aplikacije za Apple Watch na iPhoneu ili unutar aplikacije za iPhone izdavatelja kartica. Dodavanje kartice u Apple Watch zahtijeva da sat bude u dometu Bluetooth komunikacije. Kartice se posebno upisuju za uporabu s Apple Watchem i imaju vlastite Brojeve računa uređaja koji se pohranjuju unutar Secure Elementa na Apple Watchu.
Kad se dodaju kreditne, debitne ili prepaid kartice (uključujući kartice trgovina), pojavljuju se na popisu kartica tijekom Asistenta za podešavanje na uređajima koji su prijavljeni na isti iCloud račun. Ove kartice ostaju na popisu dok god su aktivne na barem jednom uređaju. Kartice se s ovog popisa uklanjaju nakon što se uklone sa svih uređaja na 7 dana. Ova značajka zahtijeva da se na predmetnom iCloud računu omogući dvofaktorska autentikacija.
Ručno dodavanje kreditne ili debitne kartice u Apple Pay Za ručno dodavanje kartice ime, broj kartice, datum isteka i CVV koriste se za olakšavanje postupka administriranja. Iz Postavki, aplikacije Wallet ili aplikacije za Apple Watch, korisnici mogu unijeti te informacije tipkanjem ili uporabom kamere uređaja. Kad kamera snimi informacije o kartici, Apple pokušava popuniti ime, broj kartice i datum isteka. Fotografija se nikad ne sprema na uređaj ili pohranjuje u medijateku fotografija. Nakon što se sva polja popune, postupak Provjeri karticu provjerava druga polja osim CVV-a. Zatim se kriptiraju i šalju na poslužitelj značajke Apple Pay.
Ako se s postupkom Provjeri karticu vrati ID odredbi i uvjeta, Apple preuzima i korisniku prikazuje odredbe i uvjete kartice. Ako korisnik prihvati odredbe i uvjete, Apple ID uvjete koji su prihvaćeni kao i CVV šalje postupku Poveži i administriraj. Uz to, kao dio postupka Poveži i administriraj, Apple dijeli informacije s uređaja s izdavateljem kartica ili mrežom, poput informacija o aktivnosti iTunes i App Store računa korisnika (primjerice, ima li korisnik dugu povijest transakcija unutar iTunesa), informacija o uređaju korisnika (primjerice, telefonski broj, ime i model uređaja korisnika i bilo kojem dodatnom Apple uređaju potrebnom za postavljanje značajke Apple Pay), kao i približnu lokaciju korisnika u vrijeme kad korisnik dodaje svoju karticu (ako korisnik ima omogućene Lokacijske usluge). Koristeći ove informacije, izdavatelj kartica utvrđuje hoće li odobriti dodavanje kartice u Apple Pay.
Kao rezultat postupka Poveži i administriraj, događaju se dvije stvari:
• Uređaj započinje preuzimati datoteku propusnice Walleta koja predstavlja kreditnu ili debitnu karticu.
Sigurnost Apple platforme 87 • Uređaj započinje vezati karticu na Secure Element. Datoteka propusnice sadrži URL-ove za preuzimanje slike kartice, metapodataka o kartici kao što su kontaktne informacije, povezane aplikacije izdavatelja i podržanih značajki. Također sadrži stanje propusnice koje uključuje je li personalizacija Secure Elementa dovršena, je li karticu trenutačno obustavio izdavatelj kartica ili je li potrebna dodatna provjera prije nego se karticom mogu vršiti plaćanja sa značajkom Apple Pay.
Dodavanje kreditnih ili debitnih kartica iz računa trgovine iTunes Store u Apple Pay Za kreditnu ili debitnu karticu spremljenu na iTunesu, od korisnika se može tražiti da ponovno unese svoju lozinku za Apple ID. Broj kartice dohvaća se iz iTunesa i pokreće se postupak Provjeri karticu. Ako je kartica prikladna za Apple Pay, uređaj preuzima i prikazuje odredbe i uvjete, zatim ih šalje zajedno s ID-om uvjetom i sigurnosnim kodom kartice u postupak Poveži i administriraj. Dodatna provjera može se izvršiti za spremljene kartice iTunes računa.
Dodavanje kreditnih ili debitnih kartica iz aplikacije izdavatelja kartica Kad se aplikacija registrira za uporabu sa značajkom Apple Pay, ključevi se uspostavljaju za aplikaciju i za poslužitelj izdavatelja kartica. Ovi ključevi koriste se za kriptiranje informacija o kartici koje se šalju izdavatelju kartica, čime se sprječava da informacije čita Apple uređaj. Tijek administriranja sličan je onome koji se koristi za ručno dodane kartice, opisane prethodno, osim što se jednokratne lozinke koriste u zamjenu za CVV.
Dodatna provjera sa značajkom Apple Pay Izdavatelj kartica može odlučiti hoće li kreditna ili debitna kartica zahtijevati dodatnu provjeru. Ovisno o tome što izdavatelj kartica nudi, korisnik može moći odabrati između različitih opcija za dodatnu provjeru, kao što je tekstualna poruka, e-mail, poziv korisničke službe ili način u odobrenoj aplikaciji drugih proizvođača za dovršetak provjere. Za tekstualne poruke ili e-mail, korisnik odabire iz kontaktnih informacija koje izdavatelj ima zabilježene. Šalje se šifra koja se mora unijeti u aplikaciju Wallet, Postavke ili aplikaciju za Apple Watch. Za korisničku službu ili provjeru putem aplikacije, izdavatelj izvršava vlastiti komunikacijski postupak.
Autorizacija plaćanja značajkom Apple Pay Za uređaje koji imaju Secure Enclave Secure Element dozvoljava da se plaćanje vrši samo nakon što se primi autorizacija iz Secure Enclavea. Na iPhoneu ili iPadu, ovo uključuje potvrdu da je korisnik autorizirao Touch ID-jem, Face ID-jem ili šifrom uređaja. Touch ID ili Face ID, ako je dostupan, standardna je metoda, ali se šifra može koristiti u bilo koje vrijeme. Šifra se automatski nudi nakon tri neuspjela pokušaja podudaranja otiska prsta ili dva neuspjela pokušaja podudaranja lica. Nakon pet neuspjelih pokušaja, šifra je obavezna. Šifra se također zahtijeva kad Touch ID ili Face ID nije konfiguriran ili omogućen za Apple Pay. Kako bi se izvršilo plaćanje na Apple Watchu, uređaj se mora otključati šifrom i bočna tipka mora se dvaput kliknuti.
Sigurnost Apple platforme 88 Komunikacija između Secure Enclavea i Secure Elementa odvija se preko serijskog sučelja, sa Secure Elementom spojenim na NFC kontroler koji se spaja na procesor aplikacije. Iako nisu izravno spojeni, Secure Enclave i Secure Element mogu sigurno komunicirati koristeći dijeljeni ključ uparivanja koji se osigura tijekom procesa proizvodnje. Enkripcija i autentikacija komunikacije temelje se na AES-u, s kriptografskim jednokratnim ključevima koje obje strane koriste za zaštitu od napada reprodukcije. Ključ uparivanja generira se unutar Secure Enclavea iz njegovog UID ključa i jedinstvenog identifikatora Secure Elementa. Ključ uparivanja zatim se sigurno prenosi iz Secure Enclavea u sigurnosni modul hardvera (HSM) u tvornici koji ima ključni materijal potreban za ubrizgavanje ključa uparivanja u Secure Element.
Autorizacija transakcije Kad korisnik autorizira transakciju koja uključuje fizičku gestu izravno komuniciranu sa sustavom Secure Enclave, Secure Enclave šalje potpisane podatke o vrsti autentikacije i detalje o vrsti transakcije (beskontaktno ili unutar aplikacija) u Secure Element povezan s Authorization Random (AR) vrijednošću. AR se generira u Secure Enclaveu kad korisnik prvi put unese kreditnu karticu i ustraje dok se omogući Apple Pay, zaštićen Secure Enclave enkripcijom i anti-rollback mehanizmom. Na siguran se način isporučuje Secure Elementu kroz ključ uparivanja. Po primitku nove AR vrijednosti, Secure Element označava bilo koje prethodno dodane kartice kao obrisane.
Dinamički sigurnosni kôd specifičan za transakciju u značajci Apple Pay Transakcije plaćanja koje proizlaze iz appleta plaćanja uključuju kriptogram plaćanja zajedno s Brojem računa uređaja. Ovaj kriptogram, jednokratna šifra, računa se korištenjem brojača transakcija i ključa. Brojač transakcija povećava se za svaku novu transakciju. Ključ se administrira u appletu plaćanja tijekom personalizacije i poznat je platnoj mreži i/ili izdavatelju kartica. Ovisno o programu plaćanja, u izračunu se mogu koristiti i drugi podaci, uključujući:
• nepredvidljivi broj terminala (za NFC transakcije) • jednokratni ključ poslužitelja značajke Apple Pay (za transakcije unutar aplikacija). Ovi sigurnosni kodovi daju se platnoj mreži i izdavatelju kartica čime im se izdavatelju dopušta provjera svake transakcije. Duljina ovih sigurnosnih kodova može se razlikovati ovisno o vrsti transakcije.
Plaćanje kreditnim i debitnim karticama u trgovinama koristeći Apple Pay Ako je iPhone ili Apple Watch uključen i detektira NFC polje, prikazuje korisniku traženu karticu (ako je automatski odabir uključen za tu karticu) ili standardnu karticu kojom se upravlja u Postavkama. Korisnik može također otvoriti aplikaciju Wallet i odabrati karticu ili kad se uređaj zaključa:
• dvaput kliknuti tipku Home na uređajima s Touch ID-jem • dvaput kliknuti bočnu tipku na uređajima s Face ID-jem.
Sigurnost Apple platforme 89 Zatim, prije nego se prenesu informacije, korisnik mora autorizirati Touch ID-jem, Face ID-jem ili šifrom. Kad je Apple Watch otključan, dvostruki klik na bočnu tipku aktivira standardnu karticu za plaćanje. Bez autentikacije korisnika ne šalju se nikakvi podaci.
Nakon autentikacije korisnika, Broj računa uređaja i dinamički sigurnosni kôd specifičan za transakciju koriste se kod obrade plaćanja. Ni Apple niti uređaj korisnika ne šalju čitave stvarne brojeve kreditne ili debitne kartice trgovcima. Apple može primiti anonimne informacije o transakcijama kao što su približno vrijeme i lokacija transakcije čime se pomaže poboljšati Apple Pay i drugi proizvodi i usluge društva Apple.
Plaćanje s kreditnim i debitnim karticama u aplikacijama koristeći Apple Pay Apple Pay može se također koristiti za plaćanja u iOS, iPadOS i Apple Watch aplikacijama. Kad korisnici plaćaju unutar aplikacija značajkom Apple Pay, Apple prima kriptirane informacije o transakcijama. Prije nego se te informacije pošalju developeru ili trgovcu, Apple ponovno kriptira transakciju ključem specifičnim za developera. Apple Pay zadržava anonimne podatke o transakcijama kao što su približan iznos kupnje. Ove informacije ne mogu se povezati s korisnikom i nikad ne uključuju što korisnik kupuje.
Kad aplikacija pokrene Apple Pay transakciju plaćanja, poslužitelji značajke Apple Pay primaju kriptiranu transakciju s uređaja prije nego je primi trgovac. Poslužitelji značajke Apple Pay zatim ponovno kriptiraju transakciju ključem specifičnim za trgovca prije nego je prenesu trgovcu.
Kad aplikacija zahtijeva plaćanje, poziva API da utvrdi podržava li uređaj Apple Pay te ima li korisnik kreditnih ili debitnih kartica koje mogu vršiti plaćanja na platnoj mreži koju trgovac prihvaća. Aplikacija zahtijeva bilo koje informacije koje joj trebaju za obradu i ispunjavanje transakcije, kao što su adresa za naplatu i adresa za isporuku i kontaktne informacije. Aplikacija zatim traži iOS, iPadOS ili watchOS da prikažu Apple Pay list koji zahtijeva informacije za aplikaciju, kao i druge potrebne informacije, primjerice koju karticu koristiti.
U tom trenutku, aplikaciji se prezentiraju informacije o gradu, poštanskom broju i državi radi izračuna konačnih troškova dostave. Čitavi set traženih informacija ne daje se aplikaciji dok korisnik ne autorizira plaćanje Touch ID-jem, Face ID-jem ili šifrom uređaja. Nakon što se plaćanje autorizira, informacije prezentirane u Apple Pay listu prenose se trgovcu.
Autorizacija plaćanja u aplikaciji Kad korisnik autorizira plaćanje, uspostavlja se poziv poslužiteljima značajke Apple Pay kako bi dohvatili kriptografski jednokratni ključ koji je sličan vrijednosti koju vraća NFC terminal koji se koristi za transakcije u trgovini. Jednokratni ključ, uz ostale transakcijske podatke, prenosi se u Secure Element za generiranje vjerodajnice plaćanja koja je kriptirana Apple ključem. Kad kriptirana vjerodajnica plaćanja izađe iz Secure Elementa, prenosi se na poslužitelje značajke Apple Pay koji dekriptiraju vjerodajnicu, provjeravaju jednokratni ključ u vjerodajnici u odnosu na jednokratni ključ koji su izvorno poslali poslužitelji značajke Apple Pay i ponovno kriptiraju vjerodajnicu plaćanja ključem trgovca povezanim s ID-jem trgovca. Plaćanje se zatim vraća uređaju koji ga natrag vraća aplikaciji kroz API. Aplikacija je zatim prenosi dalje sustavu trgovca na obradu. Trgovac zatim može dekriptirati vjerodajnicu plaćanja svojim privatnim ključem radi obrade. Ovo, zajedno s potpisom s poslužitelja društva Apple, omogućuje trgovcu da provjeri je li transakcija namijenjena tom određenom trgovcu.
Sigurnost Apple platforme 90 API-ji zahtijevaju pravo koje navodi ID-jeve podržanih trgovaca. Aplikacija također uključuje dodatne podatke (kao što su broj narudžbe ili identitet kupca) koje šalje Secure Elementu na potpisivanje, osiguravajući da se transakcija ne može preusmjeriti na drugog kupca. Ovo postiže developer aplikacije koji može navesti applicationData na PKPaymentRequest. Hash algoritam ovih podataka uključuje se u kriptirane podatke o plaćanju. Trgovac je zatim odgovoran provjeriti odgovara li njegov applicationData hash algoritam onome što je uključeno u podatke o plaćanju.
Plaćanje s kreditnim i debitnim karticama na webu koristeći Apple Pay Apple Pay može se koristiti za plaćanja na web stranicama iPhoneom, iPadom i Apple Watchem. Apple Pay transakcije mogu se također pokrenuti na Mac računalu i dovršiti na iPhoneu ili Apple Watchu omogućenom za Apple Pay koristeći isti iCloud račun.
Apple Pay na webu zahtijeva da se sve web stranice koje sudjeluju registriraju kod društva Apple. Apple poslužitelji izvršavaju provjeru naziva domene i izdaju certifikat TLS klijenta. Web stranice koje podržavaju Apple Pay moraju svoj sadržaj slati preko HTTPS-a. Za svaku transakciju plaćanja, web stranice moraju dohvatiti sigurnu i jedinstvenu sesiju prodavatelja s Apple poslužiteljem koristeći certifikat TLS klijenta koji je izdao Apple. Podatke sesije trgovca potpisuje Apple. Nakon što se potpis sesije trgovca provjeri, web stranica može postaviti upit ima li korisnik uređaj sposoban za Apple Pay te ima li na uređaju aktiviranu kreditnu, debitnu ili prepaid karticu. Ne dijele se nikakvi drugi detalji. Ako korisnik ne želi dijeliti ove informacije, može onemogućiti Apple Pay upite u postavkama privatnosti preglednika Safari u sustavu iOS, iPadOS i macOS.
Nakon što se sesija trgovca provjeri, sve mjere sigurnosti i privatnosti su iste kao i kad korisnik plaća unutar aplikacije.
Ako korisnik prenosi informacije vezane za plaćanje s Maca na iPhone ili Apple Watch, Apple Pay Handoff koristi protokol Apple Identity Service (IDS) kriptiran s kraja na kraj za prijenos informacija vezanih za plaćanja između Mac računala korisnika i ovlaštenog uređaja. IDS koristi ključeve uređaja korisnika za izvođenje enkripcije tako da nijedan drugi uređaj ne može dekriptirati ove informacije, a ključevi nisu dostupni društvu Apple. Otkrivanje uređaja za Apple Pay Handoff sadrži vrstu i jedinstveni identifikator kreditnih kartica korisnika zajedno s nekim metapodacima. Broj računa kartice korisnika specifičan za uređaj se ne dijeli te i dalje ostaje sigurno pohranjen na iPhoneu ili Apple Watchu korisnika. Apple također sigurno prenosi nedavno korištene kontaktne adrese, adrese za isporuku i adrese za naplatu korisnika preko iCloud Privjeska ključeva.
Nakon što korisnik autorizira plaćanje Touch ID-jem, Face ID-jem, šifrom ili dvostrukim klikom na bočnu tipku na Apple Watchu, token plaćanja jedinstveno kriptiran za svaki certifikat trgovca web stranice sigurno se prenosi s iPhonea ili Apple Watcha korisnika njegov Mac, te zatim isporučuje na web stranicu trgovca.
Samo uređaji koji su blizu jedan drugome mogu zatražiti i dovršiti plaćanje. Blizina se određuje putem Bluetooth Low Energy (BLE) oglasa.
Sigurnost Apple platforme 91 Beskontaktne propusnice u značajci Apple Pay Za prijenos podataka iz podržanih propusnica na kompatibilne NFC terminale Apple koristi protokol Value Added Services (Apple VAS) Apple Walleta. VAS protokol može se implementirati na beskontaktne terminale i koristi NFC za komunikaciju s podržanim Apple uređajima. VAS protokol radi preko kratke udaljenosti i može se koristiti za pokazivanje beskontaktnih propusnica neovisno ili kao dio Apple Pay transakcije.
Kad se uređaj drži blizu NFC terminala, terminal pokreće primanje informacija o propusnici slanjem zahtjeva za propusnicom. Ako korisnik ima propusnicu s identifikatorom pružatelja usluga propusnice, korisnika se traži da autorizira njenu uporabu Touch ID-jem, Face ID- jem ili šifrom. Informacije o propusnici, vremenska oznaka i nasumični ECDH P-256 ključ za jednokratnu uporabu koriste se s javnim ključem pružatelja usluga propusnice za izvođenje ključa enkripcije za podatke propusnice koji se šalju terminalu.
U sustavima iOS 12 do iOS 13, korisnici mogu ručno odabrati propusnicu prije nego se ona približi NFC terminalu trgovca. U sustavu iOS 13.1 ili novijem, pružatelji usluga propusnica mogu ručno konfigurirati odabrane propusnice da traže autentikaciju korisnika ili da se koristi bez autentikacije.
Onemogućavanje kartica značajkom Apple Pay Kreditne, debitne i prepaid kartice dodane u Secure Element mogu se koristiti samo ako se Secure Elementu prikaže autorizacija s istim ključem uparivanja i AR vrijednošću kao kad je kartica dodana. Po primitku nove AR vrijednosti, Secure Element označava bilo koje prethodno dodane kartice kao obrisane. Ovime se sustavu OS omogućuje da uputi Secure Enclave da onemogući kartice označavajući svoju kopiju AR-a kao nevažeću u sljedećim scenarijima:
Način Uređaj
Kad je šifra onemogućena iPhone, iPad, Apple Watch
Kad je lozinka onemogućena Mac
Korisnik se odjavljuje iz iClouda iPhone, iPad, Mac, Apple Watch
Korisnik odabire Obriši sav sadržaj i postavke iPhone, iPad, Apple Watch
Uređaj se obnavlja iz Moda oporavka iPhone, iPad, Mac, Apple Watch
Rasparivanje Apple Watch
Blokiranje, uklanjanje i brisanje kartica Korisnici mogu blokirati Apple Pay na iPhoneu, iPadu i Apple Watchu postavljanjem svog uređaja u Mod izgubljenog uređaja koristeći Pronalaženje. Korisnici također imaju mogućnost ukloniti i izbrisati svoje kartice iz značajke Apple Pay koristeći Pronalaženje, iCloud.com ili izravno na svojim uređajima koristeći aplikaciju Wallet. Na Apple Watchu, kartice se mogu ukloniti iCloud postavkama, aplikacijom za Apple Watch na iPhoneu ili izravno na satu. Izdavatelj kartica ili odgovarajuća platna mreža blokira ili uklanja mogućnost vršenja plaćanja karticama na uređaju iz značajke Apple Pay, čak i ako uređaj nije na mreži i nije spojen na mobilnu ili Wi-Fi mrežu. Korisnici također mogu nazvati svog izdavatelja kartica da blokira ili ukloni kartice iz značajke Apple Pay.
Sigurnost Apple platforme 92 Nadalje, kad korisnik obriše čitavi uređaj—koristeći Obriši sav sadržaj i postavke, koristeći Pronalaženje ili obnavljajući svoj uređaj—iOS, iPadOS i macOS uređaji upućuju Secure Element da označi sve kartice kao obrisane. Ovime se status kartica odmah mijenja u neupotrebljiva dok se poslužitelji značajke Apple Pay ne mogu kontaktirati za potpuno brisanje kartica iz Secure Elementa. Neovisno o tome, Secure Enclave označava AR kao nevažeći tako da daljnje autorizacije plaćanja za prethodno upisane kartice nisu moguće. Kad je uređaj na mreži, pokušava kontaktirati poslužitelje značajke Apple Pay kako bi se osiguralo da su sve kartice u Secure Element obrisane.
Apple Cash U sustavu iOS 11.2 ili novijem i watchOS 4.2 ili novijem, Apple Pay može se koristiti na iPhoneu, iPadu ili Apple Watchu za slanje, primanje i traženje novca od drugih korisnika. Kad korisnik primi novac, on se dodaje na Apple Cash račun kojem se može pristupiti u aplikaciji Wallet ili unutar Postavki > Wallet i Apple Pay na bilo kojem od prikladnih uređaja na kojima se korisnik prijavio sa svojim Apple ID računom.
Za uporabu plaćanja osoba-osobi i Apple Casha korisnik mora biti prijavljen na svoj iCloud račun na uređaju kompatibilnom sa značajkom Apple Cash i mora imati dvofaktorsku autentikaciju postavljenu na iCloud računu.
Kad korisnik postavi Apple Cash, iste informacije kao kad korisnik dodaje kreditnu ili debitnu karticu mogu se dijeliti s našom partnerskom bankom Green Dot Bank i s Apple Payments Inc., povezanim društvom u stopostotnom vlasništvu osnovanom za zaštitu privatnosti korisnika pohranjivanjem i obradom podataka zasebno od ostatka društva Apple i na način koji ostatak društva Apple ne pozna. Ove informacije koriste se samo za rješavanje poteškoća, sprječavanje prijevare i regulatorne svrhe.
Zahtjevi za novcem i prijenosi novca između korisnika započinju se iz aplikacije Poruke i pitajući Siri. Kad korisnik pokuša slati novac, iMessage prikazuje list Apple Pay. Uvijek se prvo koristi Apple Cash saldo. Prema potrebi, povlače se dodatna sredstva s druge kreditne ili debitne kartice koju je korisnik dodao u aplikaciju Wallet.
Apple Cash kartica u aplikaciji Wallet može se koristiti sa značajkom Apple Pay za vršenje plaćanja u trgovinama, u aplikacijama i na webu. Novac na Apple Cash računu može se također prenijeti na bankovni račun. Uz primanje novca od drugog korisnika, novac se može dodati na Apple Cash račun s debitne ili prepaid kartice u aplikaciji Wallet.
Apple Payments Inc. pohranjuje i može koristiti podatke o transakcijama korisnika radi rješavanja poteškoća, sprečavanja prijevare i regulatornih svrha kad se transakcija dovrši. Ostatak društva Apple ne zna kome je korisnik poslao novac, od koga je primio novac i gdje je korisnik izvršio kupnju sa svojom Apple Cash karticom.
Kad korisnik pošalje novac značajkom Apple Pay, dodaje novac na Apple Cash račun ili prenosi novac na bankovni račun, upućuje se poziv poslužiteljima značajke Apple Pay kako bi se dobio kriptografski jednokratni ključ koji je sličan vrijednosti koja se vraća za Apple Pay unutar aplikacija. Jednokratni ključ, uz ostale transakcijske podatke, prenosi se u Secure Element za generiranje potpisa plaćanja. Kad potpis plaćanja proizađe iz Secure Elementa, prenosi se na poslužitelje značajke Apple Pay. Autentikaciju, integritet i točnost transakcije putem potpisa plaćanja i jednokratnog ključa provjeravaju poslužitelji značajke Apple Pay. Tada se započinje prijenos novca, a korisnik se obavještava o dovršenoj transakciji.
Sigurnost Apple platforme 93 Ako transakcija uključuje kreditnu ili debitnu karticu za dodavanje novca u Apple Cash, slanje novca drugom korisniku ili osiguranje dodatnog novca ako Apple Cash saldo nije dostatan, tada se generira i kriptirana vjerodajnica plaćanja i šalje poslužiteljima značajke Apple Pay, slično onome što se koristi za Apple Pay unutar aplikacija i web stranica.
Nakon što saldo Apple Cash računa premaši određeni iznos ili ako se detektira neuobičajena aktivnost, od korisnika se traži da potvrdi svoj identitet. Informacije koje se daju za potvrdu identiteta korisnika, kao što su osobni identifikacijski broj ili odgovori na pitanja (primjerice, da potvrdi ulicu u kojoj je korisnik prije živio), sigurno se prenose partneru društva Apple i kriptiraju koristeći njihov ključ. Apple ne može dekriptirati ove podatke.
Apple Card
Aplikacija Apple Card u aplikaciji Wallet U sustavu iOS 12.4 ili novijem, macOS 10.14.6 ili novijem, watchOS 5.3 ili novijem, Apple Card može se koristiti sa značajkom Apple Pay za vršenje plaćanja u trgovinama, aplikacijama i na webu.
Za primjenu Apple Carda korisnik mora biti prijavljen na svoj iCloud račun na iOS ili iPadOS uređaju kompatibilnom sa značajkom Apple Pay i mora imati dvofaktorsku autentikaciju postavljenu na iCloud računu. Kad se aplikacija odobri, Apple Card dostupan je u aplikaciji Wallet ili unutar Postavki > Wallet i Apple Pay na bilo kojem od prikladnih uređaja na kojima se korisnik prijavio sa svojim Apple ID računom.
Kod prijave za Apple Card, informacije o identitetu korisnika na siguran način provjeravaju partneri društva Apple za pružanje usluga provjere identiteta i zatim ih dijele s bankom Goldman Sachs Bank USA za potrebe procjene identiteta i kreditne sposobnosti.
Informacije kao osobni identifikacijski broj ili slika na osobnoj ispravi dane tijekom prijave na siguran se način prenose partnerima društva Apple za pružanje usluga provjere identiteta i/ili banci Goldman Sachs Bank USA kriptirane s njihovim odgovarajućim ključevima. Apple ne može dekriptirati ove podatke.
Informacije o dohotku dane tijekom prijave i informacije o bankovnom računu korištenom za plaćanje računa na siguran se način prenose banci Goldman Sachs Bank USA kriptirane njihovim ključem. Informacije o bankovnom računu pohranjuju se u Privjesak ključeva. Apple ne može dekriptirati ove podatke.
Kod dodavanja Apple Carda u aplikaciju Wallet, iste informacije kao kad korisnik dodaje kreditnu ili debitnu karticu mogu se dijeliti s Appleovom partnerskom bankom Goldman Sachs Bank USA i društvom Apple Payments Inc. Ove informacije koriste se samo za rješavanje poteškoća, sprječavanje prijevare i regulatorne svrhe.
Fizička kartica može se naručiti od Apple Carda u aplikaciji Wallet. Nakon što korisnik primi fizičku karticu, kartica se aktivira koristeći NFC oznaku koja se nalazi u dvostruko premotanoj omotnici fizičke kartice. Oznaka je jedinstvena po kartici i ne može se koristiti za aktiviranje druge korisnikove kartice. Ili se kartica može ručno aktivirati u postavkama aplikacije Wallet. Nadalje, korisnik može također odlučiti zaključati ili otključati fizičku karticu u bilo koje vrijeme iz aplikacije Wallet.
Sigurnost Apple platforme 94 Plaćanja značajkom Apple Card i detalji Apple Wallet propusnice Plaćanja koja dospijevaju na Apple Card računu mogu se vršiti iz aplikacije Wallet na sustavu iOS značajkom Apple Cash i bankovnim računom. Plaćanja računa mogu se planirati kao ponavljajuća ili kao jednokratno plaćanje na određeni datum značajkom Apple Cash i bankovnim računom. Kad korisnik obavlja plaćanje, upućuje se poziv poslužiteljima značajke Apple Pay radi dobivanja kriptografskog jednokratnog ključa sličnog Apple Cashu. Jednokratni ključ, uz ostale detalje postavljanja plaćanja, prenosi se u Secure Element za generiranje potpisa. Kad potpis plaćanja proizađe iz Secure Elementa, prenosi se na poslužitelje značajke Apple Pay. Autentikaciju, integritet i točnost plaćanja poslužitelji značajke Apple Pay provjeravaju potpisom i jednokratnim ključem, a nalog se prenosi banci Goldman Sachs Bank USA na obradu.
Prikaz detalja broja Apple Carda u propusnici koristeći aplikaciju Wallet zahtijeva autentikaciju korisnika Face ID-jem, Touch ID-jem ili šifrom. Korisnik ga može zamijeniti u odjeljku informacija o kartici i onemogućiti prethodni.
Kartice za javni prijevoz u aplikaciji Wallet Na mnogo globalnih tržišta korisnici mogu podržane kartice za javni prijevoz dodati u aplikaciju Wallet na podržanim modelima iPhonea i Apple Watcha. Ovisno o prijevozniku, ovo se može učiniti prijenosom vrijednosti i pokaza s fizičke kartice na digitalni prikaz u Apple Wallet ili unosom nove kartice za javni prijevoz u aplikaciju Wallet iz aplikacije Wallet ili aplikacije izdavatelja kartica za javni prijevoz. Nakon što se kartice za javni prijevoz dodaju u aplikaciju Wallet, korisnici se mogu voziti javnim prijevozom jednostavnom držeći iPhone ili Apple Watch blizu čitača karti. Neke kartice također se mogu koristiti za plaćanja.
Dodatne kartice za javni prijevoz povezane su s iCloud računom korisnika. Ako korisnik doda više kartica u aplikaciju Wallet, Apple ili izdavatelj kartica za javni prijevoz mogu povezati osobne informacije korisnika i informacije povezanog računa između kartica. Kartice za javni prijevoz i transakcije zaštićene su setom hijerarhijskih kriptografskih ključeva.
Tijekom postupka prijenosa salda s fizičke kartice u aplikaciju Wallet, od korisnika se traži da unesu informacije specifične za karticu. Korisnici također možda moraju unijeti osobne podatke kao dokaz posjedovanja kartice. Kod prijenosa propusnica s iPhonea na Apple Watch, tijekom prijenosa oba uređaja moraju biti na mreži.
Saldo se može ponovno napuniti sredstvima s kreditnih, debitnih i prepaid kartica koristeći Wallet ili iz aplikacije izdavatelja kartica za javni prijevoz. Sigurnost ponovnog punjenja salda kod uporabe značajke Apple Pay opisana je u odjeljku Plaćanje s kreditnim i debitnim karticama u aplikacijama koristeći Apple Pay. Postupak dodavanja kartice za javni prijevoz iz aplikacije izdavatelja kartica za javni prijevoz opisan je u poglavlju Dodavanje kreditnih ili debitnih kartica iz aplikacije izdavatelja kartica.
Ako je podržano dodavanje s fizičke kartice, izdavatelj kartica za javni prijevoz ima kriptografske ključeve potrebne za autentikaciju fizičke kartice i provjeru unesenih podataka korisnika. Nakon što se podaci provjere, sustav može izraditi Broj računa uređaja za Secure Element i aktivirati novododanu propusnicu u aplikaciji Wallet s prenesenim saldom. U nekim gradovima, nakon što se dovrši dodavanje s fizičke kartice, fizička se kartica onemogućuje.
Sigurnost Apple platforme 95 Na kraju bilo koje vrste dodavanja, ako je saldo kartice za javni prijevoz pohranjen na uređaju, kriptiran je i pohranjen na za to određeni applet u Secure Elementu. Pružatelj usluga prijevoza ima ključeve za izvođenje kriptografskih postupaka na podacima kartice za transakcije salda.
Standardno, korisnici imaju koristi od neometanog iskustva s ekspresnim javnim prijevozom koji im omogućuje da plaćaju i voze se bez traženja Touch ID-ja, Face ID-ja ili šifre. Informacijama poput nedavno posjećenih stanica, povijesti transakcija i dodatnih karata može pristupiti bilo koji beskontaktni čitač kartica s omogućenim Ekspresnim načinom. Korisnici mogu omogućiti zahtjev za autorizacijom Touch ID-jem, Face ID-jem ili šifrom u postavkama Wallet i Apple Pay onemogućavanjem ekspresnog javnog prijevoza.
Kao i s drugim Apple Pay karticama, korisnici mogu onemogućiti ili ukloniti kartice za javni prijevoz:
• udaljenim brisanjem uređaja Pronalaženjem • omogućavanjem Moda izgubljenog uređaja Pronalaženjem • naredbom udaljenog brisanja upravljanja mobilnim uređajem (MDM) • uklanjanjem svih kartica s njihove stranice Apple ID računa • uklanjanjem svih kartica iz iCloud.coma • uklanjanjem svih kartica iz aplikacije Wallet • uklanjanjem kartice u aplikaciji izdavatelja. Poslužitelji značajke Apple Pay obavještavaju pružatelja usluga prijevoza da obustavi ili onemogući te kartice. Ako korisnik ukloni karticu za javni prijevoz s uređaja koji je na mreži, saldo se može oporaviti ako se doda natrag u uređaj prijavljen s istim Apple ID računom. Ako uređaj nije na mreži, ako je isključen ili neupotrebljiv, oporavak može biti nemoguć.
Kreditne i debitne kartice za javni prijevoz u aplikaciji Wallet U nekim gradovima, čitači za javni prijevoz prihvaćaju EMV kartice za plaćanje vožnji u javnom prijevozu, kad korisnik tim čitačima približi kreditnu ili debitnu karticu, potrebna je autentikacija korisnika jednako kao kod “Plaćanja kreditnim i debitnim karticama u trgovinama.”
U sustavu iOS 12.3 ili novijem, neke postojeće EMV kreditne/debitne kartice u aplikaciji Wallet mogu se omogućiti za ekspresni javni prijevoz što korisniku omogućuju da za vožnju kod podržanih pružatelja usluga javnog prometa plati bez zahtijevanja Touch ID-ja, Face ID-ja ili šifre. Kad korisnik doda EMV kreditnu ili debitnu karticu, prva kartica koja se doda u aplikaciju Wallet omogućuje se za ekspresni javni prijevoz. Korisnik može dodirnuti tipku Više s prednje strane kartice u aplikaciji Wallet i onemogućiti ekspresni javni prijevoz za tu karticu postavljajući Postavke ekspresnog javnog prijevoza > Bez. Korisnik može također odabrati drugu kreditnu ili debitnu karticu kao svoju karticu za ekspresni javni prijevoz putem aplikacije Wallet. Za ponovno omogućavanje ili odabir druge kartice za ekspresni javni prijevoz potreban je Touch ID, Face ID ili šifra.
Apple Card i Apple Cash prikladni su za ekspresni javni prijevoz.
Sigurnost Apple platforme 96 Studentske iskaznice u aplikaciji Wallet U sustavu iOS 12 ili novijem, studenti, nastavno osoblje i osoblje na sudjelujućim kampusima mogu dodati svoju studentsku iskaznicu u aplikaciju Wallet na podržanim modelima iPhonea i Apple Watcha za pristup lokacijama i plaćanje na svim mjestima na kojima je kartica prihvaćena.
Korisnik dodaje svoju studentsku iskaznicu u aplikaciju Wallet kroz aplikaciju koju osigurava izdavatelj kartica ili sudjelujuća obrazovna ustanova. Tehnički proces kojim se ovo odvija isti je kao onaj opisan u odjeljku Dodavanje kreditnih ili debitnih kartica iz aplikacije izdavatelja kartica. Nadalje, aplikacije koje izdaju kartice moraju podržavati dvofaktorsku autentikaciju na računima koji čuvaju pristup studentskim iskaznicama. Kartica se može istovremeno postaviti na bilo koja dva podržana Apple uređaja prijavljena s istim Apple ID računom.
Kad se studentska iskaznica doda u aplikaciju Wallet, Ekspresni način uključuje se standardno. Studentske iskaznice u Ekspresnom načinu komuniciraju s prihvatnim terminalima bez autentikacije Touch ID-jem, Face ID-jem, šifrom ili dvostrukim klikom na bočnu tipku na Apple Watchu. Korisnik može dodirnuti tipku Više s prednje strane kartice u aplikaciji Wallet i isključiti Ekspresni način za onemogućavanje ove značajke. Za ponovno omogućavanje Ekspresnog načina potreban je Touch ID, Face ID ili šifra.
Studentske iskaznice mogu se onemogućiti ili ukloniti:
• udaljenim brisanjem uređaja Pronalaženjem • omogućavanjem Moda izgubljenog uređaja Pronalaženjem • naredbom udaljenog brisanja upravljanja mobilnim uređajem (MDM) • uklanjanjem svih kartica s njihove stranice Apple ID računa • uklanjanjem svih kartica iz iCloud.coma • uklanjanjem svih kartica iz aplikacije Wallet • uklanjanjem kartice u aplikaciji izdavatelja.
iMessage
Pregled aplikacije iMessage Apple iMessage usluga je slanja poruka za iOS i iPadOS uređaje, Apple Watch i Mac računala. iMessage podržava tekst i privitke kao što su fotografije, kontakti, lokacije, linkovi i privitci izravno na poruku, kao što je ikona palca prema gore. Poruke se pojavljuju na svim registriranim uređajima korisnika tako da se razgovor može nastaviti s bilo kojeg od uređaja korisnika. iMessage na sveobuhvatan način koristi Appleov servis za prosljeđivanje obavijesti (APN-ove). Apple ne bilježi sadržaje poruka ili privitaka koji su zaštićeni enkripcijom s kraja na kraj tako da im ne može pristupiti nitko osim pošiljatelja i primatelja. Apple ne može dekriptirati podatke.
Sigurnost Apple platforme 97 Kad korisnik uključi iMessage na uređaju, uređaj generira parove ključeva za enkripciju i potpisivanje za uporabu s uslugom. Za enkripciju postoji RSA 1280-bitni ključ kao i EC 256-bitni ključ za enkripciju na NIST P-256 krivulji. Za potpise koriste se ECDSA 256-bitni ključevi za potpisivanje. Privatni ključevi spremaju se u Privjesak ključeva uređaja i dostupni su samo nakon prvog otključavanja. Javni ključevi šalju se Apple usluzi identiteta (IDS) gdje se povezuju s telefonskim brojem ili e-mail adresom korisnika, zajedno s adresama APN-ova uređaja.
Kako korisnici omogućuju dodatne uređaje za uporabu s aplikacijom iMessage, njihovi javni ključevi za enkripciju i potpisivanje, adrese APN-ova i povezani telefonski brojevi dodaju se u uslugu direktorija. Korisnici također mogu dodati više e-mail adresa koje se provjeravaju slanjem linka za potvrdu. Telefonski brojevi provjeravaju se mrežom operatora i SIM-om. Kod nekih mreža, ovo zahtijeva uporabu SMS-a (korisniku se prikazuje dijalog za potvrdu ako SMS nije besplatan). Provjera telefonskog broja može se zahtijevati za nekoliko usluga sustava uz iMessage, kao što je FaceTime i iCloud. Svi registrirani uređaji korisnika prikazuju poruku alarma kad se doda novi uređaj, telefonski broj ili e-mail adresa.
Kako iMessage šalje i prima poruke Korisnik započne novi iMessage razgovor unosom adrese ili imena. Ako unese telefonski broj ili e-mail adresu, uređaj kontaktira Apple Identity Service (IDS) za dohvat javnih ključeva i adresa APN-ova za sve uređaje povezane s kontaktom kojem se upućuje poruka. Ako korisnik unese ime, uređaj prvo koristi aplikaciju Kontakti korisnika za prikupljanje telefonskih brojeva i e-mail adresa povezanih s tim imenom, zatim dohvaća javne ključeve i adrese APN-ova iz IDS-a.
Odlazna poruka korisnika pojedinačno se kriptira za svaki od uređaja primatelja. Javni ključevi enkripcije i ključevi za potpisivanje uređaja primatelja dohvaćaju se iz IDS-a. Za svaki uređaj primatelj, uređaj pošiljatelja generira nasumičnu 88-bitnu vrijednost i koristi se kao HMAC-SHA256 ključ za izradu 40-bitne vrijednosti izvedene iz javnog ključa pošiljatelja i primatelja i običnog teksta. Ulančavanje 88-bitne i 40-bitne vrijednosti čini 128-bitni ključ koji kriptira poruku s njim koristeći AES u CTR modu. 40-bitnu vrijednost koristi strana primatelja za potvrdu integriteta dekriptiranog običnog teksta. Ovaj AES ključ po poruci kriptiran je s pomoću RSA-OAEP u javni ključ uređaja primatelja. Kombinacija teksta kriptirane poruke i ključa kriptirane poruke zatim se raspršuje koristeći SHA-1, a hash algoritam potpisuje se s ECDSA-om koristeći privatni ključ za potpisivanje uređaja pošiljatelja. Počevši od sustava iOS 13 i iPadOS 13.1, uređaji mogu koristiti ECIES enkripciju umjesto RSA enkripcije.
Rezultirajuće poruke, jedna za svaki uređaj primatelj, sastoje se od teksta kriptirane poruke, ključa kriptirane poruke i digitalnog potpisa pošiljatelja. One se zatim šalju APN-ovima radi isporuke. Metapodaci, kao što su vremenska oznaka i informacije o rutiranju APN-ova, nisu kriptirani. Komunikacija s APN-ovima kriptirana je s pomoću TLS kanala s unaprijednom sigurnošću.
Sigurnost Apple platforme 98 APN-ovi mogu prenositi samo poruke veličine do 4 KB ili 16 KB, ovisno o verziji sustava iOS ili iPadOS. Ako je tekst poruke predug ili ako je uključen privitak poput fotografije, privitak se kriptira koristeći AES u CTR modu s nasumično generiranim 256-bitnim ključem i postavlja na iCloud. AES ključ za privitak, njegov Uniformni resursni identifikator (URI) i SHA-1 hash algoritam njegovog kriptiranog oblika zatim se šalju primatelju kao sadržaj iMessage poruke, a njihovu povjerljivost i integritet štiti uobičajena iMessage enkripcija, kako je prikazano u sljedećem dijagramu.
Kako iMessage šalje i prima poruke.
Za grupne razgovore, ovaj postupak ponavlja se za svakog korisnika i njegove uređaje.
Na strani primatelja, svaki uređaj prima primjerak poruke iz APN-ova i, prema potrebi, dohvaća privitak s iClouda. Dolazni telefonski broj ili e-mail adresa pošiljatelja podudaraju se s kontaktima primatelja tako da se može prikazati ime kad je to moguće.
Kao sa svim push obavijestima, poruka se briše iz APN-ova kad se isporuči. Za razliku od drugih obavijesti APN-ova, međutim, iMessage poruke stavljaju se u red čekanja za isporuku uređajima koji nisu na mreži. Poruke se pohranjuju do 30 dana.
iMessage dijeljenje imena i fotografija iMessage dijeljenje imena i fotografija dozvoljava korisniku da dijeli Ime i Fotografiju koristeći iMessage. Korisnik može odabrati svoje informacije iz Moje kartice ili prilagoditi ime i uključiti bilo koju sliku koju odabere. iMessage dijeljenje imena i fotografija koristi sustav u dvije faze za distribuciju imena i fotografije.
Sigurnost Apple platforme 99 Podaci se dijele u polja, svaki zasebno kriptiran i autoriziran kao i autoriziran zajedno s postupkom u nastavku. Tri su polja:
• Ime • Fotografija • Naziv datoteke fotografije. Prvi korak izrade podataka nasumično je generiranje 128-bitnog ključa zapisa na uređaju. Ključ zapisa zatim se izvodi koristeći HKDF-HMAC-SHA256 za izradu tri podključa: Ključ 1:Ključ 2:Ključ 3 = HKDF (ključ zapisa, “nadimci”). Za svako polje generira se nasumični 96-bitni IV i podaci se kriptiraju koristeći AES-CTR i Ključ1. Šifra za autentikaciju poruke (MAC) zatim se izračunava s HMAC-SHA256 koristeći Ključ 2 i pokrivajući ime polja, IV polja i šifrirani tekst polja. Konačno, set pojedinačnih MAC vrijednosti polja ulančava se i njihov se MAC izračunava s HMAC-SHA256 koristeći Ključ 3. 256-bitni MAC pohranjuje se zajedno s kriptiranim podacima. Prvi 128-bit ovog MAC-a koristi se kao RecordID.
Ovaj kriptirani zapis zatim se pohranjuje u javnu bazu podataka CloudKita pod RecordID. Ovaj zapis nikad se ne mijenja i kad korisnik odluči promijeniti svoje Ime i Fotografiju, svaki put se generira novi kriptirani zapis. Kad korisnik 1 odluči podijeliti svoje Ime i Fotografiju s korisnikom 2, šalje ključ zapisa zajedno s recordID unutar iMessage podataka koji su kriptirani.
Kad uređaj korisnika 2 primi ove iMessage podatke, primjećuje da podaci sadrže recordID nadimka i fotografije i ključ. Uređaj korisnika 2 zatim ide u javnu bazu podataka CloudKita za dohvat kriptiranog Imena i Fotografije u ID zapisa i šalje ih u iMessage.
Kad se dohvate, uređaj korisnika 2 dekriptira podatke i provjerava potpis koristeći sam recordID. Ako to prođe, korisniku 2 prikazuje se Ime i Fotografija i mogu odlučiti dodati ovo u svoje kontakte ili koristiti za Poruke.
Dopisivanje s poduzećem Dopisivanje s poduzećem usluga je slanja poruka koja korisnicima omogućuje komunikaciju s poduzećima koja koriste aplikaciju Poruke. Samo korisnici mogu započeti razgovor, a poduzeće prima neprozirni identifikator od korisnika. Poduzeće ne prima telefonski broj, e-mail adresu ili informacije o iCloud računu korisnika. Kad se korisnik dopisuje s društvom Apple, Apple prima ID dopisivanja s poduzećem povezan s Apple ID računom korisnika. Korisnici i dalje odlučuju žele li komunicirati. Brisanje razgovora Dopisivanja s poduzećem uklanja ga iz aplikacije Poruke korisnika i blokira poduzeću slanje daljnjih poruka korisniku.
Poruke poslane poduzeću pojedinačno su kriptirane između uređaja korisnika i poslužitelja za slanje poruka društva Apple. Poslužitelj za slanje poruka društva Apple dekriptiraju ove poruke i prenose ih poduzeću preko TLS-a. Odgovori poduzeća na sličan se način šalju preko TLS-a poslužiteljima za slanje poruka društva Apple koji onda ponovno kriptiraju poruku na uređaj korisnika. Kao i sa značajkom iMessage, poruke se stavljaju u red čekanja za isporuku uređajima koji nisu na mreži do 30 dana.
Sigurnost Apple platforme 100 FaceTime FaceTime je usluga video i audio poziva društva Apple. Poput značajke iMessage, FaceTime pozivi također koriste Appleov servis za prosljeđivanje obavijesti (APN-ove) za uspostavljanje početne veze s registriranim uređajima korisnika. Audio/video sadržaj FaceTime poziva zaštićen je enkripcijom s kraja na kraj tako da im ne može pristupiti nitko osim pošiljatelja i primatelja. Apple ne može dekriptirati podatke.
Početna FaceTime veza uspostavlja se putem infrastrukture Apple poslužitelja koji prenose pakete podataka među registriranim uređajima korisnika. Uporabom obavijesti APN-ova i Session Traversal Utilities for NAT (STUN) poruka preko veze koja nije izravna, uređaji provjeravaju njihove certifikate identiteta i uspostavljaju dijeljenu tajnu za svaku sesiju. Dijeljena tajna koristi se za izvođenje ključeva sesije za kanale medija koji se streamaju koristeći protokol Secure Real-time Transport Protocol (SRTP). SRTP paketi kriptiraju se koristeći AES-256 u Modu brojača i HMAC-SHA1. Nakon početne veze i postavljanja zaštite, FaceTime koristi STUN protokol i Internet Connectivity Establishment (ICE) za uspostavljanje peer-to-peer veze među uređajima, ako je to moguće.
Grupni FaceTime proširuje FaceTime da podržava do 33 istodobna sudionika. Kao s klasičnim FaceTimeom jedan-na-jedan, pozivi su kriptirani s kraja na kraj među uređajima pozvanih sudionika. Čak i ako Grupni FaceTime ponovno koristi mnogo infrastrukture i dizajn FaceTimea jedan-na-jedan, pozivi Grupnog FaceTimea imaju novi mehanizam uspostavljanja ključeva izgrađen povrh autentičnosti koju pruža Apple Identity Service (IDS). Ovaj protokol pruža unaprijednu sigurnost što znači da ugrožavanjem uređaja korisnika neće procuriti sadržaj prethodnih poziva. Ključevi sesije omotani su koristeći AES-SIV i distribuirani među sudionicima s pomoću ECIES strukture s kratkotrajnim P-256 ECDH ključevima.
Kad se u postojeći poziv Grupnog Facetimea doda novi telefonski broj ili e-mail adresa, aktivni uređaji uspostavljaju nove ključeve medija i nikad ne dijele prethodno korištene ključeve s novopozvanim uređajima.
Pronalaženje
Pregled aplikacije Pronalaženje Aplikacija Pronalaženje kombinira Nađi moj iPhone i Nađi moje prijatelje u jednu aplikaciju u sustavu iOS, iPadOS i macOS. Značajka Pronalaženje korisnicima može pomoći u lociranju uređaja koji nedostaje, čak i Maca koji nije spojen na mrežu. Uređaj koji je spojen na mrežu može jednostavno prijaviti svoju lokaciju korisniku putem iClouda. Značajka Pronalaženje radi izvanmrežno tako što šalje kratkodometne Bluetooth signale s uređaja koji nedostaje, a koje mogu detektirati drugi Apple uređaji koji se koriste u blizini. Ti obližnji uređaji zatim prenose detektiranu lokaciju uređaja koji nedostaje na iCloud kako bi ga korisnici mogli locirati u aplikaciji Pronalaženje uz zaštitu privatnosti i sigurnosti svih zahvaćenih korisnika. Značajka Pronalaženje radi čak i s Macom koji nije spojen na mrežu te je isključen u pripravno stanje.
Sigurnost Apple platforme 101 Uporabom Bluetootha i stotina milijuna iOS, iPadOS i macOS uređaja koji se aktivno koriste širom svijeta, korisnik može locirati izgubljeni uređaj, čak i ako se on ne može spojiti na Wi-Fi ili mobilnu mrežu. Bilo koji iOS, iPadOS ili macOS uređaj s opcijom “izvanmrežnog pronalaženja” omogućenom u postavkama aplikacije Pronalaženje mogu djelovati kao “uređaj tragač”. To znači da uređaj može detektirati prisutnost drugog izgubljenog uređaja koji nije na mreži koristeći Bluetooth i zatim koristiti njegovu mrežnu vezu za izvještavanje vlasnika o približnoj lokaciji. Kad uređaj ima omogućeno izvanmrežno pronalaženje, to također znači da ga na isti način mogu locirati drugi sudionici. Ova čitava interakcija kriptirana je s kraja na kraj, anonimna i dizajnirana da bude učinkovita po pitanju baterije i podataka, tako da ima minimalan učinak na vijek trajanja baterije, korištenje plana mobilnih podataka, a privatnost korisnika je zaštićena.
Napomena: Značajka Pronalaženje nije dostupna u svim državama ili regijama.
Enkripcija s kraja na kraj u aplikaciji Pronalaženje Aplikacija Pronalaženje izgrađena je na temelju napredne kriptografije javnih ključeva. Kad se u postavkama aplikacije Pronalaženje omogući izvanmrežno pronalaženje, par EC P-224 privatnih ključeva enkripcije s oznakom {d,P} generira se izravno na uređaju gdje je
d privatni ključ, a P je javni ključ. Dodatno, 256-bitna tajna SK0 i brojač i je inicijaliziran na nulu. Ovaj par privatnih ključeva i tajna nikad se ne šalju društvu Apple i sinkroniziraju se samo među drugim uređajima korisnika na način enkripcije s kraja na kraj koristeći iCloud
Privjesak ključeva. Tajna i brojač koriste se za izvođenje trenutačnog simetričnog ključa SKi
sa sljedećom rekurzivnom konstrukcijom: SKi = KDF(SKi-1, “ažuriranje”)
Na temelju ključa SKi, računaju se dva velika cijela broja ui i vi gdje je (ui,vi) = KDF(SKi, “diverzificirati”). P-224 privatni ključ označen s d i odgovarajući javni ključ koji se naziva P zatim se izvodi koristeći srodni odnos koji uključuje dva cijela broja za računanje para
kratkoročnih ključeva: izvedeni privatni ključ je di gdje je di = ui * d + vi (redoslijed modula
P-224 krivulje) i odgovarajući javni dio je Pi i provjerava Pi = ui*P + vi*G.
Kad uređaj nestane i ne može se spojiti na Wi-Fi ili mobilnu mrežu—primjerice, MacBook
ostane na klupi u parku—započinje povremeno emitirati izvedeni javni ključ Pi tijekom ograničenog vremenskog razdoblja u Bluetooth podacima. Kad se koristi P-224, prikaz javnog ključa može stati u jedan set Bluetooth podataka. Obližnji uređaji mogu tada pomoći u pronalaženju uređaja koji nije na mreži kriptiranjem svoje lokacije u javni ključ. Približno svakih 15 minuta, javni ključ zamjenjuje se novim koristeći povećanu vrijednost brojača i gornji proces tako da korisnika ne može pratiti ustrajni identifikator. Mehanizam deriviranja
sprječava različite javne ključeve Pi da se povežu s istim uređajem.
Sigurnost Apple platforme 102 Lociranje izgubljenih uređaja u aplikaciji Pronalaženje Bilo koji Apple uređaji u dometu Bluetootha koji imaju omogućeno izvanmrežno
pronalaženje mogu detektirati ovaj signal i pročitati trenutačni ključ emitiranja Pi.
Uporabom ECIES konstrukcije i javnog ključa Pi iz emitiranja, uređaji tragači kriptiraju informacije o svojoj trenutačnoj lokaciji i prenose ih društvu Apple. Kriptirana lokacija povezana je s indeksom poslužitelja koji se računa kao SHA-256 hash algoritam P-224
javnog ključa Pi dobiven iz Bluetooth podataka. Apple nikad nema ključ dekriptiranja, tako da Apple ne može pročitati lokaciju koju je tragač kriptirao. Vlasnik izgubljenog uređaja može rekonstruirati indeks i dekriptirati kriptiranu lokaciju.
Kako aplikacija Pronalaženje locira uređaje.
Sigurnost Apple platforme 103 Kad se pokušava locirati izgubljeni uređaj, procjenjuje se očekivani raspon vrijednosti brojača za razdoblje pretraživanja lokacije. Sa znanjem izvornog privatnog P-224 ključa d
i tajnih vrijednosti SKi u rasponu vrijednosti brojača razdoblja pretraživanja, vlasnik može
rekonstruirati skup vrijednosti {di, SHA-256(Pi)} za čitavo razdoblje pretraživanja. Uređaj vlasnik korišten za lociranje izgubljenog uređaja može zatim izvršiti upite poslužitelju
koristeći skup vrijednosti indeksa SHA-256(Pi) i preuzeti kriptirane lokacije s poslužitelja. Aplikacija Pronalaženje zatim lokalno dekriptira kriptirane lokacije podudarnim privatnim
ključevima di i prikazuje približnu lokaciju izgubljenog uređaja u aplikaciji. Izvješća o lokaciji s više uređaja tragača kombiniraju se s aplikacijom vlasnika za generiranje preciznije lokacije.
Kako vlasnik dobiva lokaciju uređaja iz aplikacije Pronalaženje.
Ako korisnik na svom uređaju ima omogućenu opciju Nađi moj iPhone, izvanmrežno pronalaženje standardno je omogućeno kad nadogradi uređaj na iOS 13, iPadOS 13.1 i macOS 10.15. Ovime se osigurava da svaki korisnik ima najbolju moguću šansu lociranja svog uređaja ako se izgubi. Međutim, ako u bilo kojem trenutku korisnik odluči ne sudjelovati, može onemogućiti izvanmrežno pronalaženje u postavkama aplikacije Pronalaženje na svom uređaju. Kad se izvanmrežno pronalaženje onemogući, uređaj više ne djeluje kao tragač niti ga mogu detektirati drugi uređaji tragači. Međutim, korisnik svejedno može locirati uređaj dok god je on spojen na Wi-Fi ili mobilnu mrežu.
Čuvanje anonimnosti korisnika i uređaja u aplikaciji Pronalaženje Uz osiguranje potpune enkripcije informacija o lokaciji i drugih podataka, identiteti sudionika ostaju privatni jedni drugima i društvu Apple. Promet koji društvu Apple šalju uređaji tragači ne sadrže informacije o autentikaciji u sadržaju ili zaglavljima. Rezultat toga je da Apple ne zna tko je tragač ili čiji je uređaj pronađen. Nadalje, Apple ne bilježi informacije koje bi otkrile identitet tragača i ne zadržava nikakve informacije koji bi ikome omogućile da povežu tragača i vlasnika. Vlasnik uređaja prima samo kriptirane informacije o lokaciji koje se dekriptiraju i prikazuju u aplikaciji Pronalaženje bez indikacije tko je pronašao uređaj.
Sigurnost Apple platforme 104 Prikaz uređaja koji nisu na mreži u aplikaciji Pronalaženje Kad se locira izgubljeni uređaj, korisnik prima obavijest i e-mail poruku kojom ga se obavještava da je uređaj pronađen. Za prikaz lokacije izgubljenog uređaja korisnik otvara aplikaciju Pronalaženje i bira karticu Uređaji. Umjesto prikaza uređaja na praznoj karti kako bi to učinila prije lociranja uređaja, aplikacija Pronalaženje prikazuje lokaciju na karti s približnom adresom i informacijama o tome prije koliko vremena je uređaj detektiran. Ako dođe više izvješća o lokaciji, automatski se ažuriraju trenutačna lokacija i vremenska oznaka. Iako korisnici ne mogu reproducirati zvuk na uređaju koji nije na mreži ili ga udaljeno obrisati, mogu koristiti informacije o lokaciji za praćenje svog kretanja ili poduzeti druge radnje kako bi pomogli u njegovom pronalaženju.
Kontinuitet
Pregled kontinuiteta Kontinuitet koristi prednost tehnologija kao što su iCloud, Bluetooth i Wi-Fi kako bi korisnicima omogućio da nastave aktivnost s jednog uređaja na drugom, upućuju i primaju telefonske pozive, šalju i primaju tekstualne poruke i dijele mobilnu internetsku vezu.
Handoff S Handoffom, kad su iOS, iPadOS i macOS uređaji korisnika blizu jedan drugoga, korisnik može automatski prenijeti bilo što na čemu radi s jednog uređaja na drugi. Handoff omogućuje korisniku da zamijeni uređaje i odmah nastavi raditi.
Kad se korisnik prijavi na iCloud na drugom uređaju omogućenom za Handoff, dva uređaja uspostavljaju izvankanalno Bluetooth Low Energy (BLE) 4.2 uparivanje koristeći APN- ove. Pojedinačne poruke kriptiraju se kao i poruke u značajci iMessage. Nakon što se uređaji upare, svaki uređaj generira simetrični 256-bitni AES ključ koji se pohranjuje u Privjesak ključeva uređaja. Ovim ključem mogu se kriptirati i autorizirati BLE oglasi kojima se komunicira trenutačna aktivnost uređaja drugim uređajima uparenim preko iClouda koristeći AES-256 u GCM modu, s mjerama zaštite od reprodukcije.
Prvi put kad uređaj primi oglas od novog ključa, uspostavlja BLE vezu s ishodišnim uređajem i vrši razmjenu ključeva enkripcije oglasa. Ova je veza zaštićena standardnom BLE 4.2 enkripcijom kao i enkripcijom pojedinačnih poruka, što je slično načinu na koji je kriptiran iMessage. U nekim situacijama, ove se poruke šalju koristeći APN-ove umjesto BLE. Podaci aktivnosti se štite i prenose na isti način kao i iMessage.
Handoff između nativnih aplikacija i web stranica Handoff omogućuje iOS, iPadOS ili macOS nativnoj aplikaciji da nastavi aktivnost korisnika na nekoj web stranici u domenama kojima legitimno upravlja developer aplikacije. Također omogućuje da se aktivnost korisnika u nativnoj aplikaciji nastavi u web pregledniku.
Sigurnost Apple platforme 105 Kako bi se spriječilo da nativne aplikacije zahtijevaju nastavak web stranica kojima ne upravlja developer, aplikacija mora demonstrirati legitimnu kontrolu nad web domenama koje želi nastaviti. Kontrola nad domenom web stranice uspostavlja se mehanizmom za dijeljene vjerodajnice za web. Detalje potražite u odjeljku Pristup aplikacije spremljenim šiframa. Sustav mora potvrditi kontrolu nad nazivom domene aplikacije prije nego se aplikaciji dopusti da prihvati Handoff aktivnosti korisnika.
Izvor Handoffa web stranice može biti bilo koji preglednik koji je usvojio API-je Handoffa. Kad korisnik pregledava web stranicu, sustav oglašava naziv domene web stranice u kriptiranim bajtima oglašavanja Handoffa. Samo drugi uređaji korisnika mogu dekriptirati bajtove oglašavanja.
Na uređaju primatelju sustav detektira da instalirana nativna aplikacija prihvaća Handoff s oglašenog naziva domene i prikazuje ikonu nativne aplikacije kao opciju Handoffa. Kad se pokrene, nativna aplikacija prima puni URL i naslov web stranice. Iz preglednika u nativnu aplikaciju ne prenose se nikakve druge informacije.
U suprotnom smjeru, nativna aplikacija može navesti pričuvni URL kad uređaj primatelj Handoffa nema instaliranu istu nativnu aplikaciju. U tom slučaju sustav prikazuje standardni preglednik korisnika kao opciju aplikacije za Handoff (ako je taj preglednik usvojio API- je Handoffa). Kad se traži Handoff, preglednik se pokreće i daje mu se pričuvni URL koji osigurava izvorna aplikacija. Nema zahtjeva da se pričuvni URL mora ograničiti na nazive domena kojima upravlja developer nativne aplikacije.
Handoff većih podataka Uz uporabu osnovne značajke Handoffa, neke aplikacije mogu odabrati uporabu API-ja koji podržavaju slanje većih količina podataka putem peer-to-peer Wi-Fi tehnologije koju je izradio Apple (slično značajci AirDrop). Primjerice, aplikacija Mail koristi ove API-je za podršku Handoffa skice e-maila koja može sadržavati velike privitke.
Kad aplikacija koristi ovu mogućnost, razmjena između dva uređaja započinje kao i u Handoffu. Međutim, nakon primanja početnih podataka koristeći Bluetooth Low Energy (BLE), uređaj primatelj pokreće novu vezu preko Wi-Fi-ja. Ova je veza kriptirana (s TLS-om), čime se razmjenjuju njihovi certifikati identiteta iClouda. Identitet u certifikatima provjerava se prema identitetu korisnika. Daljnji podaci šalju se preko ove kriptirane veze dok se prijenos ne dovrši.
Univerzalni memorijski pretinac Univerzalni memorijski pretinac koristi Handoff za siguran prijenos sadržaja memorijskog pretinca korisnika na sve uređaje tako da oni mogu kopirati na jednom uređaju i zalijepiti na drugi. Sadržaj je zaštićen na isti način kao i ostali Handoff podaci i standardno se dijeli s Univerzalnim memorijskim pretincem, osim ako developer aplikacije odluči onemogućiti dijeljenje.
Aplikacije imaju pristup podacima iz memorijskog pretinca bez obzira je li korisnik zalijepio memorijski pretinac u aplikaciju. S Univerzalnim memorijskim pretincem, pristup ovim podacima proširuje se na aplikacije na drugim uređajima korisnika (kako utvrđuje njihova prijava na iCloud).
Sigurnost Apple platforme 106 Prijenos telefonskih poziva iPhonea Kad je Mac, iPad, iPod touch ili HomePod korisnika na istoj Wi-Fi mreži kao i njihov iPhone, može upućivati i primati telefonske pozive uporabom mobilne veze na iPhoneu. Konfiguracija zahtijeva da uređaji budu prijavljeni na iCloud i FaceTime istim Apple ID računom.
Kad dođe dolazni poziv, svi konfigurirani uređaji dobivaju obavijest putem Appleovog servisa za prosljeđivanje obavijesti (APN-ova), a svaka obavijest koristi istu enkripciju s kraja na kraj kao iMessage. Uređaji koji su na istoj mreži predstavljaju UI obavijesti o dolaznom pozivu. Nakon odgovora na poziv, zvuk se neometano prenosi s iPhonea korisnika putem sigurne peer-to-peer veze između dva uređaja.
Kad se na jednom uređaju odgovori na poziv, zvonjava obližnjih iCloud-uparenih uređaja prekida se kratkim oglašavanjem koristeći Bluetooth Low Energy (BLE). Bajti oglašavanja kriptiraju se istom metodom kao i Handoff oglasi.
Odlazni pozivi također se prenose na iPhone putem APN-ova, a zvuk se na sličan način prenosi preko sigurne peer-to-peer veze između uređaja. Korisnici mogu onemogućiti prijenos telefonskih poziva na uređaju isključivanjem opcije Telefonski pozivi iPhonea i postavkama FaceTimea.
Prosljeđivanje tekstualnih poruka na iPhoneu Prosljeđivanje tekstualnih poruka automatski šalje SMS tekstualne poruke primljene na iPhone na korisnikov prijavljeni iPad, iPod touch ili Mac. Svaki uređaj mora biti prijavljen na iMessage usluge istim Apple ID računom. Kad je Prosljeđivanje tekstualnih poruka uključeno, prijava je automatska na uređajima u krugu povjerenja korisnika ako je omogućena dvofaktorska autentikacija. Inače se prijava provjerava na svakom uređaju unosom nasumične šesteroznamenkaste numeričke šifre koju generira iPhone.
Nakon što se uređaji povežu, iPhone kriptira i prosljeđuje dolazne SMS tekstualne poruke na svaki uređaj koristeći metode opisane u odjeljku iMessage. Odgovori se šalju natrag iPhoneu istom metodom, a zatim iPhone šalje odgovor kao tekstualnu poruku koristeći SMS mehanizam prijenosa operatora. Prosljeđivanje tekstualnih poruka može se uključiti ili isključiti u postavkama Poruka.
Instant Hotspot iOS i iPadOS uređaji koji podržavaju Instant Hotspot koriste Bluetooth Low Energy (BLE) za otkrivanje i komunikaciju sa svim uređajima koji su prijavljeni na isti iCloud račun ili račune koji se koriste s Dijeljenjem s obitelji (u sustavima iOS 13 i iPadOS). Kompatibilna Mac računala sa sustavom OS X 10.10 ili novijim koriste istu tehnologiju za otkrivanje i komunikaciju s Instant Hotspot iOS i iPadOS uređajima.
Kad korisnik po prvi put unese postavke za Wi-Fi na uređaju, on emitira BLE oglas koji sadrži identifikator s kojim se slažu svi uređaji prijavljeni na isti iCloud račun. Identifikator se generira iz DSID-a (Destination Signaling Identifier) koji je povezan s iCloud računom i koji se povremeno rotira. Kad su drugi uređaji prijavljeni na isti iCloud račun u blizini i podržavaju Osobni hotspot, detektiraju signal i odgovaraju, označavajući dostupnost za uporabu Instant Hotspota.
Sigurnost Apple platforme 107 Kad korisnik koji nije član Dijeljenja s obitelji odabere iPhone ili iPad za Osobni hotspot, tom se uređaju šalje zahtjev za uključivanjem Osobnog hotspota. Zahtjev se šalje preko linka koji je kriptirani koristeći BLE enkripciju, a zahtjev se kriptira na način sličan iMessage enkripciji. Uređaj tada odgovara preko istog BLE linka koristeći istu enkripciji po poruci s informacijama o vezi Osobnog hotspota.
Za korisnike koji su dio Dijeljenja unutar obitelji, informacije o povezivanju Osobnog hotspota sigurno se dijele pomoću mehanizma sličnog onom koji koriste HomeKit uređaji za sinkroniziranje informacija. Veza koja dijeli informacije o hotspotu između korisnika osigurana je ECDH (Curve25519) kratkotrajnim ključem koji se autorizira kod korisničkih Ed25519 javnih ključeva specifičnih za uređaj. Koriste se javni ključevi koji su prethodno bili sinkronizirani između članova Dijeljenja s obitelji koristeći IDS kad je uspostavljeno Dijeljenje s obitelji.
Sigurnost Apple platforme 108 Sigurnost mreže
Pregled sigurnosti mreže Uz ugrađene zaštite koje Apple koristi za zaštitu podataka pohranjenih na Apple uređajima, postoji mnogo mjera koje organizacije mogu poduzeti za zaštitu informacija kako one putuju na uređaj i s njega. Sve ove zaštite i mjere spadaju pod sigurnost mreže.
Korisnici moraju biti u mogućnosti pristupiti korporativnim mrežama s bilo kojeg mjesta na svijetu, stoga je važno osigurati da su ovlašteni i da su njihovi podaci zaštićeni tijekom prijenosa. Za postizanje ovih sigurnosnih ciljeva sustavi iOS, iPadOS i macOS u sebi integriraju dokazane tehnologije i najnovije standarde za Wi-Fi i mobilne podatkovne mrežne veze. Zato naši operativni sustavi koriste i developerima pružaju pristup standardnim mrežnim protokolima za autorizirane, ovlaštene i kriptirane komunikacije.
Sigurnost TLS mreže iOS, iPadOS i macOS podržavaju protokole Transport Layer Security (TLS v1.0, TLS v1.1, TLS v1.2, TLS v1.3) i Datagram Transport Layer Security (DTLS). TLS protokol podržava AES-128 i AES-256 i preferira paket šifri s unaprijednom tajnošću. Internetske aplikacije kao što su Safari, Kalendar i Mail automatski koriste ovaj protokol kako bi omogućile kriptirani komunikacijski kanal između uređaja i usluga mreže. API-ji visoke razine (kao što je CFNetwork) olakšavaju developerima usvajanje TLS-a u njihovim aplikacijama, dok API-ji niske razine (Network.framework) pružaju precizniju kontrolu. CFNetwork onemogućuje SSLv3, a aplikacijama koje koriste WebKit (kao što je Safari) zabranjeno je stvaranje SSLv3 veze.
U sustavu iOS 11 ili novijem i macOS 10.13 ili novijem, SHA-1 certifikati nisu više dozvoljeni za TLS veze osim ako im korisnik vjeruje. Certifikati s RSA ključevima kraćima od 2048 bitova također su onemogućeni. RC4 paket simetričnih šifri zastario je u sustavu iOS 10 i macOS 10.12. Standardno, TLS klijenti ili poslužitelji implementirani sa SecureTransport API-jima nemaju omogućene RC4 pakete šifri i nisu se u mogućnosti spojiti kad je RC4 jedini dostupan paket šifri. Kako bi bile sigurnije, usluge i aplikacije koje zahtijevaju RC4 trebale bi se nadograditi za uporabu modernih, sigurnih paketa šifri. U sustavu iOS 12.1, certifikati izdani nakon 15. listopada 2018., iz korijenskog certifikata pouzdanog za sustav moraju se evidentirati u pouzdani zapis Transparentnost certifikata kako bi bio dozvoljen za TLS veze. U sustavu iOS 12.2, TLS 1.3 je standardno omogućen za Network.framework i NSURLSession API-je. TLS klijenti koji koriste SecureTransport API-je ne mogu koristiti TLS 1.3.
Sigurnost Apple platforme 109 Sigurnost prijenosa aplikacija Sigurnost prijenosa aplikacija pruža standardne zahtjeve za vezom tako da se aplikacije pridržavaju najboljih praksi za sigurne veze kad koriste NSURLConnection, CFURL ili NSURLSession API-je. Standardno, Sigurnost prijenosa aplikacija ograničava odabir šifri kako bi se uključili samo paketi koji pružaju unaprijednu tajnost, posebice ECDHE_ ECDSA_AES i ECDHE_RSA_AES u modu GCM ili CBC. Aplikacije mogu onemogućiti zahtjev unaprijedne tajnosti po domeni i u tom slučaju se RSA_AES dodaje setu dostupnih šifri.
Poslužitelji moraju podržavati TLS v1.2 i unaprijednu sigurnost, te certifikati moraju biti valjani i potpisani s pomoću SHA-256 ili jačeg s minimalno 2048-bitnim RSA ključem ili 256-bitnim ključem eliptičnih krivulja.
Mrežne veze koje ne zadovoljavaju ove zahtjeve neće uspjeti, osim ako aplikacija ne zamijeni Sigurnost prijenosa aplikacija. Nevaljani certifikati uvijek rezultiraju fizičkim oštećenjem i nedostatkom veze. Sigurnost prijenosa aplikacija automatski se primjenjuje na aplikacije koje se kompiliraju za iOS 9 ili noviji i macOS 10.11 ili noviji.
Provjera valjanosti certifikata Procjena pouzdanog statusa TLS certifikata izvodi se u skladu s etabliranim industrijskim standardima kako je utvrđeno u RFC 5280 i uključuju nove standarde kao što je RFC 6962 (Transparentnost certifikata). U sustavu iOS 11 ili novijem i macOS 10.13 ili novijem, Apple uređaji povremeno se ažuriraju s aktualnim popisom opozvanih ili ograničenih certifikata. Popis se prikuplja s popisa opoziva certifikata (CRL-ova) koje objavljuje svaka ustanova koja izdaje ugrađene korijenske certifikate a kojoj Apple vjeruje, kao i njihovi podređeni CA izdavatelji. Popis može uključivati i druga ograničenja prema odluci društva Apple. Ove informacije konzultiraju se svaki put kad se API funkcija mreže koristi za stvaranje sigurne veze. Ako ima previše opozvanih certifikata iz CA da bi ih se navelo pojedinačno, evaluacijom pouzdanosti može se umjesto toga tražiti online provjera certifikata (OCSP), a ako odgovor nije dostupan, evaluacija pouzdanosti neće uspjeti.
Virtualne privatne mreže (VPN-ovi) Sigurne mrežne usluge poput virtualnih privatnih mreža obično zahtijevaju minimalno postavljanje i konfiguraciju za rad s iOS, iPadOS i macOS uređajima. Ovi uređaji rade s VPN poslužiteljima koji podržavaju sljedeće protokole i metode autentikacije:
• IKEv2/IPSec s autentikacijom dijeljenom tajnom, RSA certifikate, ECDSA certifikate, EAP-MSCHAPv2 ili EAP-TLS • SSL-VPN koji koristi odgovarajuću aplikaciju klijenta iz trgovine App Store • L2TP/IPSec s autentikacijom korisnika MS-CHAPV2 lozinkom i strojna autentikacija dijeljenom tajnom (iOS, iPadOS i macOS) i RSA SecurID ili CRYPTOCard (samo macOS) • Cisco IPSec s autentikacijom korisnika lozinkom, RSA SecurID ili CRYPTOCard, i strojna autentikacija dijeljenom tajnom i certifikatima (samo macOS). iOS, iPadOS i macOS podržavaju sljedeće:
• VPN na zahtjev: za mreže koje koriste autentikaciju na temelju certifikata. IT politike navode koje domene zahtijevaju VPN vezu korištenjem VPN konfiguracijskog profila.
Sigurnost Apple platforme 110 • VPN po aplikaciji: za olakšavanje VPN veza na mnogo granularnijoj osnovi. Rješenja upravljanja mobilnim uređajem (MDM) mogu navesti vezu za svaku upravljanu aplikaciju i posebne domene u pregledniku Safari. Ovime se pomaže osigurati da sigurni podaci uvijek idu na korporativnu mrežu i s nje te da osobni podaci korisnika ne idu. • VPN uvijek uključen: koji se može konfigurirati za uređaje upravljane MDM rješenjem i nadzirane alatom Apple Configurator 2, uslugom Apple School Manager ili Apple Business Manager. Ovime se eliminira potreba da korisnici uključe VPN kako bi omogućili zaštitu kod spajanja na mobilne i Wi-Fi mreže. Uvijek uključeni VPN daje organizaciji punu kontrolu nad prometom uređaja usmjeravajući sav IP promet natrag na organizaciju. Zadani protokol usmjeravanja, IKEv2, osigurava prijenos prometa s enkripcijom podataka. Organizacija može nadzirati i filtrirati promet na svoje uređaje i s njih, osiguravati podatke u svojoj mreži i ograničavati pristup uređaja internetu.
Sigurnost Wi-Fi mreže
Sigurnost protokola Sve Apple platforme podržavaju Wi-Fi autentikaciju i protokole enkripcije standardne u industriji kako bi se osigurao autorizirani pristup i povjerljivost kod spajanja na sljedeće sigurne bežične mreže:
• WPA2 Personal • WPA2 Enterprise • WPA2/WPA3 Transitional • WPA3 Personal • WPA3 Enterprise • WPA3 Enterprise 192-bitna sigurnost. WPA2 i WPA3 autoriziraju svaku vezu i pružaju 128-bitnu AES enkripciju za osiguranje povjerljivosti za bežično slane podatke. Ovime se korisnicima dodjeljuje najviša razina jamstva da njihovi podaci ostaju zaštićeni kad se komunikacija šalje i prima preko Wi-Fi mrežne veze. WPA3 podržan je na sljedećim uređajima:
• iPhone 7 ili noviji
• iPad 5. generacije ili noviji • Apple TV 4K ili noviji • Apple Watch series 3 ili noviji • kraj 2013. i novija Mac računala s 802.11ac ili novijim. Noviji uređaji podržavaju autentikaciju s WPA3 Enterprise 192-bitnom sigurnošću, uključujući podršku za 256-bitnu AES enkripciju kod spajanja na kompatibilne bežične pristupne točke (AP-ove). Ovime se osiguravaju čak i snažnije zaštite povjerljivosti za promet slan bežičnim putem. WPA3 Enterprise 192-bitna sigurnost podržana je na iPhone 11, iPhone 11 Pro, iPhone 11 Pro Max uređaju i novijim iOS i iPadOS uređajima.
Uz zaštitu podataka koji se šalju bežičnim putem, Apple platforme proširuju zaštite razine WPA2 i WPA3 na jednosmjerne i višesmjerne okvire upravljanja kroz uslugu Zaštićenog okvira upravljanja (PMF) definiranu u 802.11w. PMF podrška dostupna je na sljedećim uređajima:
Sigurnost Apple platforme 111 • iPhone 6 ili noviji • iPad Air 2 ili noviji • Apple TV 4. generacije ili noviji • Apple Watch series 3 ili noviji • kraj 2013. i novija Mac računala s 802.11ac ili novijim. S podrškom za 802.1X, Apple uređaji mogu se integrirati u široki niz RADIUS okruženja autentikacije. 802.1X metode bežične autentikacije koje su podržane uključuju EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0 i PEAPv1.
Zastarjeli protokoli Apple proizvodi podržavaju sljedeće zastarjele protokole Wi-Fi autentikacije i enkripcije:
• WEP Open, s 40-bitnim i 104-bitnim ključevima • WEP Shared, s 40-bitnim i 104-bitnim ključevima • Dynamic WEP • Protokol privremenog ključa integriteta (TKIP) • WPA • WPA/WPA2 Transitional. Ovi se protokoli više ne smatraju sigurnima i njihova se upotreba izričito ne preporučuje iz razloga kompatibilnosti, pouzdanosti, performansi i sigurnosti. Podržani su samo radi potreba kompatibilnosti s prethodnim verzijama i mogu se ukloniti u budućim verzijama softvera.
Snažno se preporučuje da se sve Wi-Fi implementacije migriraju na WPA3 Personal ili WPA3 Enterprise, za osiguravanje najrobusnije, najsigurnije i najkompatibilnije moguće Wi- Fi veze.
Privatnost Wi-Fi mreže
Randomizacija MAC adresa Apple platforme koriste randomiziranu Media Access Control (MAC) adresu kod izvođenja Wi-Fi skeniranja kad nisu povezana s Wi-Fi mrežom. Ova skeniranja mogu se izvoditi za pronalaženje i spajanje na poznatu Wi-Fi mrežu ili kao pomoć Lokacijskim uslugama za aplikacije koje koriste geoograde, kao što su podsjetnici temeljeni na lokaciji ili popravljanje lokacije u Apple Kartama. Imajte na umu da se Wi-Fi skeniranja koja se odvijaju tijekom pokušaja spajanja na preferiranu Wi-Fi mrežu ne randomiziraju.
Apple platforme također koriste randomiziranu MAC adresu kad provode poboljšana Preferred Network Offload (ePNO) skeniranja kad uređaj nije povezan s Wi-Fi mrežom ili kad njegov procesor nije aktivan. ePNO skeniranja pokreću se kad uređaj koristi Lokacijske usluge za aplikacije koje koriste geoograde, kao što su podsjetnici temeljeni na lokaciji koji utvrđuju je li uređaj blizu određene lokacije.
Sigurnost Apple platforme 112 Budući da se MAC adresa uređaja sada mijenja kad se odspoji s Wi-Fi mreže, ne može se koristiti za kontinuirano praćenje uređaja od strane pasivnih promatrača Wi-Fi prometa, čak i kad je uređaj spojen na mobilnu mrežu. Apple je obavijestio Wi-Fi proizvođače da iOS i iPadOS Wi-Fi skeniranja koriste randomiziranu MAC adresu i da niti Apple niti proizvođači ne mogu predvidjeti te randomizirane MAC adrese.
Podrška za randomizaciju Wi-Fi MAC adresa dostupna je na iPhone 5 uređaju ili novijem.
Randomizacija slijednih brojeva Wi-Fi okvira Wi-Fi okviri uključuju slijedni broj koji koristi 802.11 protokol niske razine za omogućavanje efikasne i pouzdane Wi-Fi komunikacije. Budući da ovi slijedni brojevi rastu na svakom prenesenom okviru, mogli bi se koristiti za korelaciju informacija prenesenih tijekom Wi-Fi skeniranja, s ostalim okvirima koje prenosi isti uređaj.
Kao zaštitu od ovoga, Apple uređaji randomiziraju slijedne brojeve kad god se MAC adresa promijeni na novu randomiziranu adresu. Ovo uključuje randomiziranje slijednih brojeva za svaki novi zahtjev za skeniranjem koji se pokreće dok je uređaj nepovezan. Ova randomizacija podržana je na sljedećim uređajima:
• iPhone 7 ili noviji • iPad 5. generacije ili noviji • Apple TV 4K ili noviji • Apple Watch series 3 ili noviji • iMac Pro (Retina 5K, 27-inčni, 2017.) ili noviji • MacBook Pro (13-inčni, 2018.) ili noviji • MacBook Pro (15-inčni, 2018.) ili noviji • MacBook Air (Retina, 13-inčni, 2018.) ili noviji • Mac mini (2018.) ili noviji • iMac (Retina 4K, 21,5-inčni, 2019.) ili noviji • iMac (Retina 5K, 27-inčni, 2019.) ili noviji • Mac Pro (2019.) ili noviji.
Wi-Fi veze i skrivene mreže
Veze Apple generira randomizirane MAC adrese za Peer-to-Peer Wi-Fi veze koje se koriste za AirDrop i AirPlay. Randomizirane adrese također se koriste za Osobni hotspot na sustavu iOS i iPadOS (sa SIM karticom) i Dijeljenje interneta na sustavu macOS.
Nove, nasumične adrese generiraju se kad god se pokrenu ova mrežna sučelja, a jedinstvene adrese generiraju se neovisno za svako sučelje prema potrebi.
Sigurnost Apple platforme 113 Skrivene mreže Wi-Fi mreže identificiraju se po nazivu mreže, koji je poznat i kao Identifikator postavljene usluge (SSID). Neke Wi-Fi mreže konfigurirane su da skrivaju svoj SSID, što za posljedicu ima da bežična pristupna točka ne emitira naziv mreže. One su poznate kao skrivene mreže. iPhone 6s ili noviji automatski detektira kad je mreža skrivena. Ako je mreža skrivena, iOS ili iPadOS uređaj šalje sondu s SSID-om uključenim u zahtjev - inače ne. Ovime se sprječava uređaj da emitira naziv prethodno skrivenih mreža na koje je korisnik bio spojen i na taj način se dodatno osigurava privatnost.
Za smanjenje problema s privatnošću koje predstavljaju skrivene mreže, iPhone 6s ili noviji automatski detektira kad je mreža skrivena. Ako mreža nije skrivena, iOS ili iPadOS uređaj neće slati sondu s SSID-om uključenim u zahtjev. Ovim se sprječava uređaj da emitira naziv poznatih mreža koje nisu skrivene i stoga osigurava da ne otkriva da traži te mreže.
Zaštite platforme Apple operativni sustavi štite uređaj od ranjivosti u firmveru procesora mreže, kontroleri mreže uključujući Wi-Fi imaju ograničen pristup memoriji procesora aplikacije.
• Kad se USB ili SDIO koriste kao sučelje s procesorom mreže, procesor mreže ne može pokrenuti Direct Memory Access (DMA) transakcije za procesor aplikacije. • Kad se koristi PCIe, svaki procesor mreže je na vlastitoj izoliranoj PCIe sabirnici. IOMMU na svakoj PCIe sabirnici dalje ograničava DMA pristup procesora mreže samo na memoriju i resurse koji sadržavaju njegove mrežne pakete i kontrolne strukture.
Sigurnost Bluetootha Dvije su vrste Bluetootha u Apple uređajima, Bluetooth Classic i Bluetooth Low Energy (BLE). Model sigurnosti Bluetootha za obje verzije uključuje sljedeće posebne sigurnosne značajke:
• Uparivanje: postupak za izradu jednog ili više dijeljenih tajnih ključeva • Povezivanje: postupak pohranjivanja ključeva izrađenih tijekom uparivanja za uporabu u naknadnim vezama radi formiranja pouzdanog para uređaja • Autentikacija: potvrda da dva ključa imaju iste ključeve • Enkripcija: povjerljivost poruka
• Integritet poruka: zaštita od falsificiranja poruka • Sigurno jednostavno uparivanje: zaštita od pasivnog prisluškivanja i zaštita od posredničkih napada (MITM). Bluetooth verzija 4.1 dodaje značajku Sigurne veze BR/EDR fizičkom transportu.
Sigurnosne značajke za svaku vrstu Bluetootha navedene su u nastavku:
Podrška Bluetooth Classic Bluetooth Low Energy
Uparivanje P-256 eliptična krivulja Algoritmi odobreni od strane FIPS-a (AES-CMAC i P-256 eliptična krivulja)
Sigurnost Apple platforme 114 Podrška Bluetooth Classic Bluetooth Low Energy
Povezivanje Informacije o uparivanju pohranjuju Informacije o uparivanju pohranjuju se na sigurnoj lokaciji na iOS, se na sigurnoj lokaciji na iOS, iPadOS, macOS, tvOS i watchOS iPadOS, macOS, tvOS i watchOS uređajima uređajima
Autentikacija Algoritmi odobreni od strane FIPS-a Algoritmi odobreni od strane FIPS-a (HMAC-SHA-256 i AES-CTR)
Enkripcija AES-CCM kriptografija izvršena u AES-CCM kriptografija izvršena u Kontroleru Kontroleru
Integritet poruka AES-CCM se koristi za integritet AES-CCM se koristi za integritet poruka poruka
Sigurno jednostavno uparivanje: Razmjena putem protokola Elliptic Razmjena putem protokola Elliptic Zaštita od pasivnog prisluškivanja Curve Diffie-Hellman (ECDHE) Curve Diffie-Hellman (ECDHE)
Sigurno jednostavno uparivanje: Dvije korisnički potpomognute Dvije korisnički potpomognute Zaštita od posredničkih napada numeričke metode: numerička numeričke metode: numerička (MITM) usporedba i unos lozinke usporedba i unos lozinke Uparivanja zahtijevaju odgovor korisnika, uključujući sve modove uparivanja koji nisu MITM
Bluetooth 4.1 ili noviji iMac kraj 2015. ili noviji iOS 9 ili noviji MacBook Pro početak 2015. ili noviji iPadOS 13.1 ili noviji macOS 10.12 ili noviji tvOS 9 ili noviji watchOS 2.0 ili noviji
Bluetooth 4.2 ili noviji iPhone 6 ili noviji iOS 9 ili noviji iPadOS 13.1 ili noviji macOS 10.12 ili noviji tvOS 9 ili noviji watchOS 2.0 ili noviji
Privatnost značajke Bluetooth Low Energy Kao pomoć u osiguranju privatnosti korisnika BLE uključuje sljedeće dvije značajke, randomizaciju adresa i derivaciju ključeva za unakrsni prijenos.
Randomizacija adresa je značajka koja čestom promjenom adrese Bluetooth uređaja tijekom određenog vremenskog razdoblja smanjuje mogućnost praćenja BLE uređaja. Za ponovno spajanje uređaja koji koristi značajku privatnosti na poznate uređaje, adresu uređaja, koja se naziva privatna adresa, mora moći razlučiti drugi uređaj. Privatna adresa generira se s pomoću ključa za razlučivanje identiteta (IRK) koji se razmjenjuje tijekom postupka uparivanja.
iOS 13 i iPadOS 13.1 imaju sposobnost derivacije ključeva za povezivanje u transportima. Primjerice, ključ za povezivanje generiran s BLE-om može se koristiti za derivaciju Bluetooth Classic ključa za povezivanje. Nadalje, Apple je dodao Bluetooth Classic BLE podršci za uređaje koji podržavaju značajku Zaštićene veze uvedenu u Bluetooth Core Specification verzije 4.1 (pogledajte Bluetooth Core Specification 5.1).
Sigurnost Apple platforme 115 Ultra Wideband tehnologija Novi Apple dizajnirani U1 čip koristi Ultra Wideband tehnologiju za svijest o prostoru, dozvoljavajući iPhone 11, iPhone 11 Pro i iPhone 11 Pro Max uređajima da precizno lociraju druge Apple uređaje opremljene U1 čipom. Ultra Wideband tehnologija koristi istu tehnologiju za randomiziranje podataka koju nalazimo u drugim podržanim Apple uređajima:
• randomizacija MAC adresa kao drugi podržani Apple uređaji • randomizacija slijednih brojeva Wi-Fi okvira.
Jednostruka prijava
Jednostruka prijava iOS i iPadOS podržavaju autentikaciju za korporativne mreže s pomoću Jednostruke prijave (SSO). SSO radi s mrežama koje se temelje na Kerberosu za autentikaciju korisnika za usluge kojima su ovlašteni pristupiti. SSO se može koristiti za niz mrežnih aktivnosti, od sigurnih Safari sesija do aplikacija drugih proizvođača. Podržana je i autentikacija koja se temelji na certifikatu (kao što je PKINIT).
macOS podržava autentikaciju u korporativne mreže koristeći Kerberos. Aplikacije mogu koristiti Kerberos za autentikaciju korisnika za usluge kojima su ovlašteni pristupiti. Kerberos se također može koristiti za niz mrežnih aktivnosti, od sigurnih Safari sesija i autentikacije mrežnog sustava datoteka do aplikacija drugih proizvođača. Podržana je autentikacija koja se temelji na certifikatu (PKINIT), iako je potrebno usvajanje aplikacije API-ja developera.
iOS, iPadOS i macOS SSO upotrebljavaju SPNEGO tokene i HTTP Negotiate protokol za rad s poveznicima autentikacije koja se temelji na Kerberosu i Windows Integrated Authentication sustave koji podržavaju Kerberos potvrde o prijavi. SSO podrška temelji se na Heimdal projektu otvorenog koda.
Sljedeće vrste enkripcije podržane su u sustavu iOS, iPadOS i macOS:
• AES-128-CTS-HMAC-SHA1-96 • AES-256-CTS-HMAC-SHA1-96 • DES3-CBC-SHA1 • ARCFOUR-HMAC-MD5. Safari podržava SSO i aplikacije drugih proizvođača koje koriste standardne API-je umrežavanja sustava iOS i iPadOS također se mogu konfigurirati za njeno korištenje. Za konfiguriranje SSO-a iOS i iPadOS podržavaju podatke konfiguracijskog profila koji dozvoljavaju rješenjima upravljanja mobilnim uređajem (MDM) da pomaknu potrebne postavke prema dolje. Ovo uključuje postavljanje glavnog naziva korisnika (odnosno, korisnički račun za Active Directory) i postavki Kerberos područja, kao i konfiguriranje kojim aplikacijama i web URL-ovima Safarija se treba dozvoliti uporaba SSO-a.
Za konfiguriranje Kerberosa u sustavu macOS dohvatite potvrde o prijavi s Preglednikom potvrda o prijavi, prijavite se u Windows Active Directory domenu ili koristite kinit alat s komandnim retkom.
Sigurnost Apple platforme 116 Proširiva Jednostruka prijava Developeri aplikacija mogu osigurati vlastite implementacije jednostruke prijave koristeći SSO ekstenzije. SSO ekstenzije pozivaju se kad nativna ili web aplikacija treba koristiti određeni pružatelj usluga identiteta za autentikaciju korisnika. Developeri mogu osigurati dvije vrste ekstenzija: one koje preusmjeravaju na HTTPS i one koje koriste mehanizam izazova/odgovora, kao što je Kerberos. Ovime se dozvoljava da Proširiva Jednostruka prijava podržava OpenID, OAuth, SAML2 i Kerberos sheme autentikacije.
Za uporabu ekstenzije Jednostruke prijave aplikacija može koristiti AuthenticationServices API ili se može pouzdati u mehanizam presretanja URL-a koji nudi operativni sustav. WebKit i CFNetwork pružaju sloj presretanja koji omogućuje besprijekornu podršku jednostruke prijave za bilo koju nativnu ili web aplikaciju. Kako bi se pozvala ekstenzija Jednostruke prijave, potrebno je instalirati konfiguraciju koju osigura administrator kroz profil upravljanja mobilnim uređajem (MDM). Uz to, ekstenzije vrste preusmjeravanja moraju koristiti Associated Domains podatke kako bi dokazale da je poslužitelj identiteta koji podržavaju svjestan njihovog postojanja.
Jedina ekstenzija koja se pruža s operativnim sustavom je Kerberos ekstenzija Jednostruke prijave.
Sigurnost značajke AirDrop Apple uređaji koji podržavaju AirDrop koriste Bluetooth Low Energy (BLE) i peer-to-peer Wi-Fi tehnologiju koju je izradio Apple za slanje datoteka i informacija obližnjim uređajima, uključujući iOS uređaje s AirDrop mogućnošću koje pokreće iOS 7 ili noviji i Mac računala koja pokreće OS X 10.11 ili noviji. Wi-Fi radio koristi se za izravnu komunikaciju između uređaja bez uporabe ikakve internetske veze ili bežične pristupne točke (AP). U sustavu macOS, ova je veza kriptirana TLS-om.
AirDrop je standardno podešen za dijeljenje Samo kontaktima. Korisnici također mogu odabrati koristiti AirDrop za dijeljenje sa svima ili u cijelosti isključiti značajku. Organizacije mogu ograničiti uporabu značajke AirDrop na uređaje ili aplikacije kojima se upravlja rješenjem upravljanje mobilnim uređajem (MDM).
Rad značajke AirDrop AirDrop koristi iCloud usluge za pomoć korisnicima u autentikaciji. Kad se korisnik prijavi u iCloud, 2048-bitni RSA identitet pohranjuje se na uređaj, a kad korisnik omogući AirDrop, AirDrop kratki hash algoritam identiteta izrađuje se na temelju e-mail adresa i telefonskih brojeva povezanih s Apple ID računom korisnika.
Kad korisnik odabere AirDrop kao metodu dijeljenja stavke, uređaj pošiljatelj emitira AirDrop signal putem BLE-a koji uključuje AirDrop kratki hash algoritam identiteta korisnika. Drugi Apple uređaji koji su uključeni, u neposrednoj blizini i imaju uključen AirDrop, detektiraju signal i odgovaraju koristeći peer-to-peer Wi-Fi, tako da uređaj pošiljatelja može otkriti identitet bilo kojih uređaja koji odgovaraju.
U modu Samo kontakti, primljeni AirDrop kratki hash algoritam identiteta uspoređuje se s hash algoritmima osoba u aplikaciji Kontakti uređaja primatelja. Ako se pronađe podudaranje, uređaj primatelj odgovara putem peer-to-peer Wi-Fi mreže s informacijama o svom identitetu. Ako nema podudaranja, uređaj ne odgovara.
Sigurnost Apple platforme 117 U modu Svi, koristi se isti ukupni postupak. Međutim, uređaj primatelj odgovara čak i kad nema podudaranja u aplikaciji Kontakti uređaja.
Uređaj pošiljatelj zatim pokreće AirDrop vezu koristeći peer-to-peer Wi-Fi za slanje dugog hash algoritma identiteta uređaju primatelju. Ako se dugi hash algoritam identiteta podudara s hash algoritmom poznate osobe u Kontaktima primatelja, tada primatelj odgovara sa svojim dugim hash algoritmima identiteta.
Ako se hash algoritmi provjere, ime i fotografija primatelja (ako ih ima u Kontaktima) prikazuju se u AirDrop listu za dijeljenje pošiljatelja. U sustavu iOS i iPadOS, prikazuju se u odjeljku “Osobe” ili “Uređaji”. Uređaji koji se ne provjere ili autoriziraju, prikazuju se u AirDrop listu za dijeljenje pošiljatelja s ikonom siluete i nazivom uređaja, kako je definirano u Postavkama > Općenito > Opis > Ime. U sustavu iOS i iPadOS, oni se postavljaju u odjeljak “Ostale osobe” AirDrop lista za dijeljenje.
Korisnik pošiljatelj zatim može odabrati s kim želi dijeliti. Po odabiru korisnika, uređaj pošiljatelj pokreće kriptiranu (TLS) vezu s uređajem primateljem čime se razmjenjuju certifikati njihovih iCloud identiteta. Identitet u certifikatima potvrđuje se prema aplikaciji Kontakti korisnika.
Ako se certifikati potvrde, od korisnika primatelja traži se da prihvati dolazni prijenos od identificiranog korisnika ili uređaja. Ako je odabrano više primatelja, ovaj postupak ponavlja se za svako odredište.
Dijeljenje lozinke za Wi-Fi iOS i iPadOS uređaji koji podržavaju dijeljenje lozinke za Wi-Fi koriste mehanizam sličan AirDropu za slanje lozinke za Wi-Fi s jednog uređaja na drugi.
Kad korisnik odabere Wi-Fi mrežu (tražitelj) i od njega se traži lozinka za Wi-Fi, Apple uređaj pokreće Bluetooth Low Energy (BLE) oglas kojim se označava da želi lozinku za Wi- Fi. Drugi Apple uređaji koji su uključeni, u neposrednoj blizini i imaju lozinku za odabranu Wi-Fi mrežu spajaju se koristeći BLE na uređaj koji traži lozinku.
Uređaj koji ima lozinku za Wi-Fi (davatelj) zahtijeva kontaktne informacije tražitelja i tražitelj mora dokazati svoj identitet koristeći mehanizam sličan AirDropu. Nakon dokazivanja identiteta, davatelj šalje tražitelju šifru koja se može koristiti za pridruživanje mreži.
Organizacije mogu ograničiti uporabu dijeljenja lozinke za Wi-Fi na uređaje ili aplikacije kojima se upravlja putem rješenja upravljanje mobilnim uređajem (MDM).
Vatrozid u sustavu macOS macOS uključuje ugrađeni vatrozid za zaštitu Mac računala od pristupa mreži i napada uskraćivanjem resursa. Može se konfigurirati u prozoru postavki Sigurnost i privatnost Postavki sustava i podržava sljedeće konfiguracije:
• blokiranje svih dolaznih veza, bez obzira na aplikaciju • automatsko dozvoljavanje ugrađenom softveru da prima dolazne veze • automatsko dozvoljavanje preuzetom i potpisanom softveru da prima dolazne veze • dodavanje ili odbijanje pristupa na temelju korisnički specifičnih aplikacija • sprječavanje Maca da odgovori na ICMP ispitivanja i zahtjeva za skeniranjem portova.
Sigurnost Apple platforme 118 Kompleti alata za developere (“Developer Kits”)
Pregled kompleta alata za developere Apple osigurava niz okvira kako bi developerima drugih proizvođača omogućio proširivanje Apple usluga. Ovi su okviri izgrađeni tako da im je sigurnost i privatnost korisnika u samoj srži:
• HomeKit • HealthKit • CloudKit • SiriKit • DriverKit • ReplayKit • Camera i ARKit.
HomeKit
HomeKit identitet HomeKit osigurava infrastrukturu za automatizaciju doma koja upotrebljava sigurnost za iCloud i iOS, iPadOS i macOS za zaštitu i sinkroniziranje privatnih podataka bez njihovog otkrivanja društvu Apple.
HomeKit identitet i sigurnost temelje se na Ed25519 parovima javnih-privatnih ključeva. Par ključeva Ed25519 generira se na iOS, iPadOS i macOS uređaju za svakog korisnika za HomeKit i tako postaje njihov HomeKit identitet. Koristi se za autentikaciju komunikacije između iOS, iPadOS i macOS uređaja, te između iOS, iPadOS i macOS uređaja i dodatnih pribora.
Ključevi pohranjeni u Privjesak ključeva i uključeni samo u kriptirane sigurnosne kopije Privjeska ključeva sinkroniziraju se među uređajima koji koriste iCloud Privjesak za ključeve, ako je dostupan. HomePod i Apple TV primaju ključeve koristeći dodir za postavljanje ili niže opisani mod postavljanja. Ključevi se dijele s iPhone uređaja na upareni Apple Watch koristeći Apple Identity Service (IDS).
Sigurnost Apple platforme 119 Komunikacija s HomeKit dodatnim priborima HomeKit dodatni pribori generiraju vlastiti Ed25519 par ključeva za upotrebu u komunikaciji s iOS, iPadOS i macOS uređajima. Ako se dodatni pribor obnovi na tvorničke postavke, generira se novi par ključeva.
Za uspostavu odnosa između iOS, iPadOS i macOS uređaja i HomeKit dodatnog pribora, ključevi se razmjenjuju koristeći protokol Secure Remote Password (3072-bitni) koji koristi osmeroznamenkasti kôd koji daje proizvođač dodatnog pribora, a koji korisnik unosi na iOS, iPadOS uređaj, a potom se kriptiraju koristeći CHACHA20-POLY1305 AEAD s HKDF- SHA-512 izvedenim ključevima. MFi certifikacija dodatnog pribora također se provjerava tijekom postavljanja. Dodatni pribori bez MFi čipa mogu imati ugrađenu podršku za autentikaciju softvera na softveru iOS 11.3 ili novijem.
Kad iOS, iPadOS i macOS uređaj i HomeKit dodatni pribor komuniciraju tijekom upotrebe, jedan drugoga autoriziraju upotrebom ključeva razmijenjenih u gornjem postupku. Svaka sesija uspostavlja se koristeći protokol Station-to-Station i kriptira se s HKDF-SHA-512 izvedenim ključevima na temelju Curve25519 ključeva po sesiji. Ovo se primjenjuje na dodatne pribore temeljene na IP-ju i BLE dodatne pribore (Bluetooth Low Energy).
Za BLE uređaje koji podržavaju obavijesti o emitiranju, dodatnom priboru upareni iOS, iPadOS i macOS uređaj isporučuje ključ za kriptiranje emitiranja putem sigurne sesije. Ovaj ključ koristi se za kriptiranje podataka o promjenama stanja na dodatnom priboru o kojima se obavještava putem BLE oglasa. Ključ za kriptiranje emitiranja je HKDF-SHA-512 izvedeni ključ, a podaci se kriptiraju koristeći CHACHA20-POLY1305 autoriziranu enkripciju s Associated Data (AEAD) algoritmom. Ključ za kriptiranje emitiranja povremeno mijenja iOS, iPadOS i macOS uređaj i sinkronizira se s drugim uređajima s pomoću iClouda kako je opisano u odjeljku Sinkroniziranje podataka između uređaja i korisnika.
HomeKit lokalna pohrana podataka HomeKit pohranjuje podatke o domovima, dodatnim priborima, scenama i korisnicima na korisnikov iOS, iPadOS i macOS uređaj. Ovi pohranjeni podaci kriptiraju se s pomoću ključeva izvedenih iz ključeva HomeKit identiteta korisnika uz nasumični jednokratni ključ. Nadalje, HomeKit podaci pohranjuju se s pomoću klase Zaštite podataka “Zaštićeno do prve autentikacije korisnika”. Sigurnosna kopija HomeKit podataka izrađuje se samo u kriptiranim sigurnosnim kopijama, tako da, primjerice, nekriptirane iTunes sigurnosne kopije ne sadrže HomeKit podatke.
Sinkronizacija podataka između uređaja i korisnika HomeKit podaci mogu se sinkronizirati između iOS, iPadOS i macOS uređaja korisnika s pomoću iClouda i iCloud Privjeska ključeva. HomeKit podaci kriptiraju se tijekom sinkronizacije ključevima izvedenima iz HomeKit identiteta korisnika i nasumičnog jednokratnog ključa. Ovim podacima rukuje se kao s neprozirnim blobom tijekom sinkronizacije. Najnoviji blob pohranjuje se u iCloud kako bi se omogućila sinkronizacija, ali se ne koristi u bilo koju drugu svrhu. Budući da je kriptiran ključevima koji su dostupni samo na iOS, iPadOS i macOS uređajima korisnika, njegov sadržaj nedostupan je tijekom prijenosa i pohrane na iCloudu.
Sigurnost Apple platforme 120 HomeKit podaci također se sinkroniziraju među više korisnika istog doma. Ovaj proces koristi autentikaciju i enkripciju koja je ista kao ona korištena između iOS, iPadOS i macOS uređaja i HomeKit dodatnog pribora. Autentikacija se temelji na Ed25519 javnim ključevima koji se razmjenjuju među uređajima kad se korisnik doda u dom. Nakon što se novi korisnik doda u dom, sva daljnja komunikacija autorizira se i kriptira koristeći protokol Station-to- Station i ključeve po sesiji.
Korisnik koji je početno izradio dom u HomeKitu ili drugi korisnik s dopuštenjima za uređivanje može dodavati nove korisnike. Uređaj vlasnika konfigurira dodatne pribore s javnim ključem novog korisnika tako da dodatni pribor može autorizirati i prihvatiti naredbe od novog korisnika. Kad korisnik s dopuštenjima za uređivanje dodaje novog korisnika, proces se delegira u kućno čvorište kako bi se postupak dovršio.
Proces za osiguranje Apple TV-a za upotrebu s HomeKitom izvršava se automatski kad se korisnik prijavi u iCloud. iCloud račun treba imati omogućenu dvofaktorsku autentikaciju. Apple TV i uređaj vlasnika razmjenjuju privremene Ed25519 javne ključeve preko iClouda. Kad su uređaj vlasnika i Apple TV na istoj lokalnoj mreži, privremeni ključevi koriste se za osiguranje veze preko lokalne mreže koristeći protokol Station-to-Station i ključeve po sesiji. Ovaj proces koristi autentikaciju i enkripciju koja je ista kao ona korištena između iOS, iPadOS i macOS uređaja i HomeKit dodatnog pribora. Preko ove sigurne lokalne veze, uređaj vlasnika prenosi Ed25519 javno-privatne parove ključeva korisnika na Apple TV. Ovi ključevi zatim se koriste za zaštitu komunikacije između Apple TV-a i HomeKit dodatnih pribora te također između Apple TV-a i drugih iOS, iPadOS i macOS uređaja koji su dio HomeKit doma.
Ako korisnik nema više uređaja i dodatnim korisnicima ne dodijeli pristup svojem domu, na iCloud se ne sinkroniziraju nikakvi HomeKit podaci.
Podaci o domu i aplikacije Pristupom podacima o domu od strane aplikacija upravljaju postavke Privatnosti korisnika. Korisnike se traži da dodijele pristup kad aplikacije traže podatke o domu, slične Kontaktima, Foto i drugim izvorima podataka na iOS, iPadOS i macOS uređaju. Ako korisnik odobri, aplikacije imaju pristup nazivima prostorija, nazivima dodatnih pribora i u kojoj se prostoriji nalazi svaki dodatni pribor te ostalim informacijama kako je detaljno opisano u dokumentaciji za HomeKit developere na adresi: https://developer.apple.com/homekit/.
HomeKit i Siri Siri se može koristiti za postavljanje upita i upravljanje dodatnim priborima, te za aktivaciju scena. Minimalne informacije o konfiguraciji doma daju se anonimno Siri radi davanja naziva prostorija, dodatnih pribora i scena koji su potrebni za prepoznavanje naredbi. Zvuk koji se šalje Siri može označavati određene dodatne pribore ili naredbe, ali takvi Siri podaci nisu povezani s drugim Apple značajkama kao što je HomeKit.
Sigurnost Apple platforme 121 HomeKit IP kamere IP kamere u HomeKitu šalju video i audio streamove izravno na iOS, iPadOS i macOS uređaj na lokalnoj mreži koji pristupa streamu. Streamovi se kriptiraju koristeći nasumično generirane ključeve na iOS, iPadOS i macOS uređaju i IP kameri koji se razmjenjuju preko sigurne HomeKit sesije na kameru. Kad iOS, iPadOS ili macOS uređaj nije na lokalnoj mreži, kriptirani streamovi prenose se preko kućnog čvorišta na uređaj. Kućno čvorište ne dekriptira streamove i funkcionira samo kao relej između iOS, iPadOS i macOS uređaja i IP kamere. Kad aplikacija korisniku prikaže pregled videozapisa HomeKit IP kamere, HomeKit renderira sličice videozapisa sigurno iz zasebnog procesa sustava tako da aplikacija ne može pristupiti ili pohraniti video stream. Nadalje, aplikacijama nije dozvoljeno snimiti snimke zaslona iz ovog streama.
HomeKit sigurnosni videozapis HomeKit pruža privatni mehanizam kriptiran s kraja na kraj za snimanje, analiziranje i gledanje isječaka s HomeKit IP kamera bez izlaganja tog video sadržaja društvu Apple ili bilo kojoj drugoj strani. Kad IP kamera detektira pokret, video isječci šalju se izravno na Apple uređaj koji je podešen kao kućno čvorište, koristeći predodređenu vezu lokalne mreže između tog kućnog čvorišta i IP kamere. Veza lokalne mreže kriptira se HKDF- SHA-512 izvedenim parom ključeva po sesiji o kojem se pregovara preko HomeKit sesije između kućnog čvorišta i IP kamere. HomeKit dekriptira audio i video streamove na kućnom čvorištu te lokalno analizira sličice videozapisa radi traženja značajnih događaja. Ako se detektira značajan događaj, HomeKit kriptira video isječak koristeći AES-256-GCM i nasumično generiran AES-256 ključ. HomeKit također generira sličice postera za svaki isječak i te sličice postera kriptirane su istim AES-256 ključem. Kriptirana sličica postera te audio i video podaci postavljaju se na iCloud poslužitelje. Povezani metapodaci za svaki isječak, uključujući enkripcijski ključ, postavljaju se na CloudKit koristeći iCloud enkripciju s kraja na kraj.
Kad se za gledanje isječaka kamere koristi aplikacija Dom, podaci se preuzimaju s iClouda, a ključevi za dekriptiranje streamova odmotavaju se lokalno pomoću iCloud enkripcije s kraja na kraj. Kriptirani video sadržaj streama se s poslužitelja i dekriptira lokalno na iOS uređaju prije prikazivanja gledatelju. Svaka sesija video isječka može se podijeliti na pododjeljke tako da je stream sadržaja svakog pododjeljka kriptiran svojim jedinstvenim ključem.
HomeKit routeri Routeri koji podržavaju HomeKit korisnicima dozvoljavaju poboljšanje sigurnosti njihove kućne mreže tako što dozvoljavaju upravljanje pristupom Wi-Fi mreži koji HomeKit pribori imaju za svoju lokalnu mrežu i internet. Također podržavaju PPSK autorizaciju, tako da se pribori mogu dodati na Wi-Fi mrežu pomoću ključa koji je specifičan za pribor i može se opozvati kad je potrebno. Time se poboljšava sigurnost jer se glavna lozinka za Wi- Fi ne izlaže priborima te se routeru dozvoljava sigurna identifikacija pribora čak i ako on promijeni svoju MAC adresu.
U aplikaciji Dom korisnik može konfigurirati ograničenja pristupa za grupe pribora na sljedeći način:
• Bez ograničenja: dozvoljavanje neograničenog pristupa internetu i lokalnoj mreži.
Sigurnost Apple platforme 122 • Automatski: Ovo je standardno podešenje. Pristup internetu i lokalnoj mreži dozvoljen je na temelju popisa internetskih mjesta i lokalnih portova koje je proizvođač uređaja pružio društvu Apple. Taj popis uključuje sva mjesta i portove koji su priboru potrebni za pravilno funkcioniranje. (Postavka Bez ograničenja na snazi je sve dok taj popis ne bude dostupan.) • Ograniči na Dom: bez pristupa internetu i lokalnoj mreži osim za povezivanja koja su HomeKitu potrebna za otkrivanje i upravljanje priborom s lokalne mreže (uključujući s kućnog čvorišta radi podržavanja daljinskog upravljanja). PPSK je snažna WPA2 Personal pristupna fraza specifična za pribor koju HomeKit automatski generira te je opoziva ako i kada se pribor kasnije ukloni iz Doma. PPSK se koristi kad HomeKit doda pribor na Wi-Fi mrežu u Domu koji je konfiguriran HomeKit routerom. (Pribori koji su dodani na Wi-Fi prije dodavanja routera zadržavaju svoje postojeće vjerodajnice.)
Kao dodatnu sigurnosnu mjeru, korisnik treba konfigurirati HomeKit router pomoću aplikacije proizvođača routera kako bi aplikacija mogla ovjeriti da korisnik ima pristup routeru te mu je dozvoljeno njegovo dodavanje u aplikaciju Dom.
iCloud udaljeni pristup za HomeKit dodatne pribore Neki stariji HomeKit dodatni pribori i dalje zahtijevaju mogućnost izravnog spajanja s iCloudom kako bi omogućili iOS, iPadOS i macOS uređajima da daljinski upravljaju dodatnim priborom kad nije dostupna Bluetooth ili Wi-Fi komunikacija. Daljinski pristup putem kućnog čvorišta (kao što je HomePod, Apple TV ili iPad) preferencijalno se koristi kad god je moguće.
iCloud udaljeni pristup i dalje je podržan za starije uređaje i pažljivo je dizajniran tako da se dodatnim priborima može upravljati i slati im obavijesti bez otkrivanja društvu Apple o kojim se dodatnim priborima radi ili koje se naredbe ili obavijesti šalju. HomeKit ne šalje informacije o domu preko iCloud udaljenog pristupa.
Kad korisnik šalje naredbu koristeći iCloud udaljeni pristup, dodatni pribor i iOS, iPadOS i macOS uređaj međusobno su se autorizirali i podaci su kriptirani s pomoću istog postupka opisanog za lokalne veze. Sadržaj komunikacije kriptiran je i nije vidljiv društvu Apple. Adresiranje preko iClouda temelji se na iCloud identifikatorima registriranima tijekom procesa postavljanja.
Dodatni pribori koji podržavaju iCloud udaljeni pristup administriraju se tijekom procesa postavljanja dodatnog pribora. Postupak administriranja započinje s prijavom korisnika u iCloud. Zatim, iOS i iPadOS uređaj od dodatnog pribora traži da potpiše izazov koristeći Apple koprocesor za autentikaciju koji je ugrađen u sve dodatne pribore izrađene za HomeKit. Dodatni pribor također generira prime256v1 ključeve eliptičnih krivulja, a javni ključ se šalje na iOS i iPadOS uređaj zajedno s potpisanim izazovom i X.509 certifikatom koprocesora autentikacije. Oni se koriste za traženje certifikata za dodatni pribor s glavnog poslužitelja iClouda. Dodatni pribor pohranjuje certifikat, ali ne sadrži nikakve identificirajuće informacije o dodatnom priboru, osim da mu je dodijeljen pristup HomeKit iCloud udaljenom pristupu. iOS i iPadOS uređaj koji vodi administriranje također šalje spremnik dodatnom priboru koji sadrži URL-ove i druge informacije potrebne za spajanje na poslužitelj iCloud udaljenog pristupa. Ove informacije nisu specifične za bilo kojeg korisnika ili dodatni pribor.
Sigurnost Apple platforme 123 Svaki dodatni pribor registrira popis dozvoljenih korisnika pri poslužitelju iCloud udaljenog pristupa. Tim korisnicima dodijeljena je mogućnost upravljanja dodatnim priborom od strane korisnika koji je dodao dodatni pribor u dom. iCloud poslužitelj dodjeljuje korisnicima identifikator i može se mapirati na iCloud račun za potrebe isporuke poruka s obavijestima i odgovora s dodatnog pribora. Slično tome, dodatni pribori imaju identifikatore koje izdaje iCloud, ali ti su identifikatori neprozirni i ne otkrivaju nikakve informacije o samom dodatnom priboru.
Kad se dodatni pribor spoji na poslužitelj HomeKit iCloud udaljenog pristupa, prezentira svoj certifikat i propusnicu. Propusnica se dobiva od drugog iCloud poslužitelja i nije jedinstvena za svaki dodatni pribor. Kad dodatni pribor zahtijeva propusnicu, u svoj zahtjev uključuje svog proizvođača, model i verziju firmvera. U ovom zahtjevu ne šalju se nikakve informacije koje mogu identificirati korisnika ili dom. Zbog zaštite privatnosti, veza na poslužitelj propusnice nije autorizirana.
Dodatni pribori spajaju se na poslužitelj iCloud udaljenog pristupa koristeći HTTP/2, zaštićen s pomoću TLS v1.2 s AES-128-GCM i SHA-256. Dodatni pribor održava svoju vezu na poslužitelj iCloud udaljenog pristupa otvorenom tako da može primati dodatne poruke i slati odgovore i izlazne obavijesti iOS, iPadOS i macOS uređajima.
Dodatni pribori za HomeKit TV Remote HomeKit TV Remote dodatni pribori drugih proizvođača osiguravaju Human Interface Design (HID) događaje i Siri zvuk povezanom Apple TV-u koji je dodan preko aplikacije Dom. HID događaji šalju se preko sigurne sesije između Apple TV-a i Remotea. TV Remote omogućen za Siri šalje audio podatke Apple TV-u kad korisnik eksplicitno aktivira mikrofon na Remoteu koristeći dediciranu Siri tipku. Audio snimke šalju se izravno Apple TV-u koristeći dediciranu vezu lokalne mreže između Apple TV-a i Remotea. Veza lokalne mreže kriptira se s HKDF-SHA-512 izvedenim parom ključeva po sesiji o kojem se pregovara preko HomeKit sesije između Apple TV-a i TV Remotea. HomeKit dekriptira audio snimke na Apple TV-u i prosljeđuje ih aplikaciji Siri, gdje se tretiraju s istim zaštitama privatnosti kao i sav Siri audio unos.
Apple TV profili za HomeKit domove Kad korisnik HomeKit doma doda svoj profil vlasniku Apple TV doma, daje tom korisniku pristup njegovim TV emisijama, glazbi i preuzetim stavkama. Postavke za svakog korisnika vezano za upotrebu njegovog profila na Apple TV-u dijele se s iCloud računom korisnika putem iCloud enkripcije s kraja na kraj. Podaci su u vlasništvu svakog korisnika i dijele se vlasniku samo za čitanje. Svaki korisnik doma može promijeniti ove vrijednosti iz aplikacije Dom i Apple TV vlasnika koristi ove postavke.
Kad se postavka uključi, iTunes račun korisnika postaje dostupan na Apple TV-u. Kad se postavka isključi, cijeli račun i svi podaci koji pripadaju tom korisniku brišu se na Apple TV- u. Početno CloudKit dijeljenje pokreće uređaj korisnika i token kako bi se osiguralo da se sigurno CloudKit dijeljenje šalje preko istog sigurnog kanala koji se koristi za sinkroniziranje podataka između korisnika doma.
Sigurnost Apple platforme 124 HealthKit
Pregled HealthKita HealthKit pohranjuje i prikuplja podatke iz zdravstvenih i fitness aplikacija i zdravstvenih institucija. HealthKit također radi izravno s zdravstvenim i fitness uređajima, kao što su kompatibilni Bluetooth Low Energy (BLE) senzori pulsa i koprocesor pokreta ugrađeni u mnogo iOS uređaja. Sva interakcija HealthKita s zdravstvenim i fitness aplikacijama, zdravstvenim ustanovama i zdravstvenim i fitness uređajima zahtijeva dopuštenje korisnika. Ovi se podaci pohranjuju u klasu Zaštita podataka “Zaštićeno osim ako je otvoreno”. Pristup podacima ukida se 10 minuta nakon zaključavanja uređaja, a podacima se može pristupiti sljedeći put kad korisnik unese svoju šifru ili koristi Touch ID ili Face ID za otključavanje uređaja.
HealthKit također prikuplja podatke o upravljanju, kao što su dopuštenja pristupa za aplikacije, nazivi uređaja spojenih na HealthKit i informacije o rasporedu koje se koriste za pokretanje aplikacija kad su dostupni novi podaci. Ovi podaci pohranjuju se u klasu Zaštita podataka “Zaštićeno do prve autentikacije korisnika”. Privremene datoteke dnevnika pohranjuju zdravstvene podatke koji se generiraju kad se uređaj zaključa, primjerice kad korisnik vježba. Oni se pohranjuju u klasu Zaštita podataka “Zaštićeno osim ako je otvoreno”. Kad se uređaj otključa privremene datoteke dnevnika importiraju se u primarne zdravstvene baze podataka, zatim se brišu kad se dovrši spajanje.
Zdravstveni podaci mogu se pohraniti na iCloudu. Enkripcija s kraja na kraj za Zdravstvene podatke zahtijeva iOS 12 ili noviji i dvofaktorsku autentikaciju. U suprotnom, podaci korisnika su još kriptirani u memoriji, a prijenos nije kriptiran s kraja na kraj. Nakon što korisnik uključi dvofaktorsku autentikaciju i ažurira uređaj na iOS 12 ili noviji, Zdravstveni podaci korisnika migriraju se uz enkripciju s kraja na kraj.
Ako korisnik izrađuje sigurnosnu kopiju uređaja koristeći iTunes (u sustavu macOS 10.14 ili novijem) ili Finder (macOS 10.15 ili noviji), Zdravstveni podaci pohranjuju se samo ako je sigurnosna kopija kriptirana.
Klinički zdravstveni podaci i integritet Zdravstvenih podataka
Klinički zdravstveni podaci Korisnici se mogu prijaviti u podržane zdravstvene sustave u aplikaciji Zdravlje kako bi dohvatili kopiju svojih kliničkih zdravstvenih podataka. Prilikom spajanja korisnika na zdravstveni sustav, korisnik se autorizira koristeći OAuth 2 vjerodajnice klijenta. Nakon spajanja, klinički zdravstveni podaci preuzimaju se izravno iz zdravstvenog sustava koristeći TLS v1.3 zaštićenu vezu. Kad se preuzmu, klinički zdravstveni podaci sigurno se pohranjuju uz druge Zdravstvene podatke.
Sigurnost Apple platforme 125 Integritet zdravstvenih podataka Podaci pohranjeni u bazi podataka uključuju metapodatke za praćenje porijekla svakog podatka. Ovi metapodaci uključuju identifikator aplikacije koji identificira koja je aplikacija pohranila podatak. Nadalje, opcionalna stavka metapodataka može sadržavati digitalno potpisanu kopiju podatka. Ovime se osigurava integritet podataka za podatke koje generira pouzdani uređaj. Format koji se koristi za digitalni potpis je Cryptographic Message Syntax (CMS) naveden u RFC 5652.
Pristup Zdravstvenim podacima od strane aplikacija drugih proizvođača Pristupom API-ju HealthKita upravlja se ovlaštenjima i aplikacije moraju poštovati ograničenja o načinima uporabe podataka. Primjerice, aplikacijama nije dopušteno upotrebljavati zdravstvene podatke u svrhu oglašavanja. Aplikacije također korisnicima trebaju osigurati pravila privatnosti koja daju detalje njihovih uporaba zdravstvenih podataka.
Pristupom zdravstvenim podacima od strane aplikacija upravljaju postavke Privatnosti korisnika. Korisnike se traži da dodijele pristup kad aplikacije traže zdravstvene podatke, slične Kontaktima, Fotografijama i drugim izvorima podataka na iOS uređaju. Međutim, sa zdravstvenim podacima, aplikacijama se dodjeljuje zaseban pristup za čitanje i pisanje podataka, kao i zaseban pristup za svaku vrstu zdravstvenih podataka. Korisnici mogu pregledati, i opozvati, dopuštenja koja su dali za pristup zdravstvenim podacima pod Postavkama > Zdravlje > Pristup podacima i uređaji.
Ako se dodijeli dopuštenje za pisanje podataka, aplikacije mogu također čitati podatke koje pišu. Ako se dodijeli dopuštenje za čitanje podataka, mogu čitati podatke koje pišu svi izvori. Ipak, aplikacije ne mogu utvrditi pristup dodijeljen drugim aplikacijama. Nadalje, aplikacije ne mogu sa sigurnošću reći je li im dodijeljen pristup za čitanje zdravstvenim podacima. Kad aplikacija nema pristup za čitanje, svi upiti nisu za rezultat imali nikakve podatke — vratio bi se isti odgovor kao prazna baza podataka. Ovim se aplikacije sprječava da naznačuju zdravstveno stanje korisnika saznavajući koje vrste podataka korisnik prati.
Zdravstvena karta za korisnike Aplikacija Zdravlje korisnicima daje mogućnosti popunjavanja Zdravstvene karte s informacijama koje bi mogle biti važne tijekom hitnog medicinskog slučaja. Informacije se unose ili ažuriraju ručno i ne sinkroniziraju se s informacijama u zdravstvenim bazama podataka.
Informacije Zdravstvene karte mogu se pregledati dodirom na tipku Hitan slučaj na zaključanom zaslonu. Informacije se pohranjuju na uređaju koristeći Zaštitu podataka klase “Bez zaštite” tako da su dostupne bez unosa šifre uređaja. Zdravstvena karta opcionalna je značajka koja omogućuje korisnicima da odluče kako balansirati sigurnosna pitanja s pitanjima sigurnosti. Sigurnosna kopija ovih podataka sprema se u iCloud sigurnosnoj kopiji i ne sinkronizira se među uređajima s pomoću CloudKita.
Sigurnost Apple platforme 126 CloudKit CloudKit omogućuje developerima aplikacija pohranjivanje podataka ključ-vrijednost, strukturiranih podataka i resursa u iCloudu. Pristupom CloudKitu upravlja se s pomoću ovlaštenja za aplikacije. CloudKit podržava javne i privatne baze podataka. Javne baze podataka koriste sve kopije aplikacije, obično za općenite resurse i nisu kriptirane. Privatne baze podataka pohranjuju podatke korisnika.
Kao i s iCloud Driveom, CloudKit koristi ključeve koji se temelje na računu za zaštitu informacija pohranjenih u privatnoj bazi podataka korisnika i, slično drugim iCloud uslugama, datoteke su razdijeljene, kriptirane i pohranjene s pomoću usluga drugih proizvođača. CloudKit upotrebljava hijerarhiju ključeva, sličnu Zaštiti podataka. Ključeve po datoteci omataju CloudKit ključevi zapisa. Ključeve zapisa, s druge strane, štiti ključ za cijelu zonu, koji pak štiti CloudKit ključ usluge. CloudKit ključ usluge pohranjuje se u iCloud računu korisnika i dostupan je tek kad korisnik potvrdi svoj identitet s iCloudom.
Enkripcija CloudKita s kraja na kraj
SiriKit Siri koristi sustav ekstenzija aplikacija za komuniciranje s aplikacijama drugih proizvođača. Siri na uređaju može pristupiti kontaktnim informacijama korisnika i trenutačnoj lokaciji uređaja. Ali prije nego osigura zaštićene podaci nekoj aplikaciji, Siri provjerava dopuštenja pristupa aplikacije kojima upravlja korisnik. Prema tim dopuštenjima, Siri ekstenziji aplikacije prenosi samo relevantan dio izvorne izjave korisnika. Primjerice, ako aplikacija nema pristup kontaktnim informacijama, Siri neće prevesti odnos u zahtjevu korisnika kao što je “Plati mojoj majci 10 dolara koristeći Payment App.” U tom slučaju, aplikacija bi vidjela doslovno samo pojam “mojoj majci.”
Ipak, ako je korisnik aplikaciji dodijelio pristup kontaktnim informacijama, aplikacija bi primila prevedene informacije o majci korisnika. Ako se na odnos upućuje u tekstu poruke, primjerice, “Reci mojoj majci u aplikaciji MessageApp da je moj brat sjajan”, Siri neće prevesti “moj brat” bez obzira na dopuštenja aplikacije.
Sigurnost Apple platforme 127 Aplikacije omogućene za SiriKit mogu slati Siri rječnik specifičan za aplikaciju ili rječnik specifičan za korisnika, kao što su imena kontakata korisnika. Ove informacije omogućuju prepoznavanje govora aplikacije Siri i razumijevanje prirodnog jezika kako bi se prepoznao rječnik za tu aplikaciju i povezane su s nasumičnim identifikatorom. Prilagođene informacije ostaju dostupne dok god se identifikator koristi ili dok korisnik ne onemogući Siri integraciju aplikacije u Postavkama ili dok god se aplikacija omogućena za SiriKit ne deinstalira.
Za izjavu kao što je “Pronađi mi prijevoz do mamine kuće koristeći RideShareApp”, zahtjev zahtijeva podatke o lokaciji iz kontakata korisnika. Samo za taj zahtjev, Siri osigurava tražene informacije ekstenziji aplikacije, bez obzira na postavke dopuštenja korisnika za lokaciju ili kontaktne informacije za tu aplikaciju.
DriverKit macOS 10.15 koristi ekstenzije sustava kao pomoć developerima da zadrže ekstenzije unutar svojih aplikacija a ne samo da traže ekstenzije jezgre (“kextovi”). Ovo olakšava instalaciju i povećava stabilnost i sigurnost sustava macOS. DriverKit je okvir koji developerima omogućuje izradu upravljačkih programa uređaja koje korisnik instalira na svoj Mac. Upravljački programi s DriverKitom pokreću se prostoru korisnika, a ne u ekstenzijama jezgre, radi poboljšane sigurnosti i stabilnosti sustava.
Korisnik jednostavno preuzme aplikaciju (instalacijski programi nisu potrebni kad se koriste ekstenzije sustava ili DriverKit) i ekstenzija se omogućuje samo prema potrebi. One zamjenjuju kextove za mnogo slučajeva upotrebe što zahtijeva administratorske povlastice za instalaciju u /System/Library ili /Library.
IT administratore koji koriste upravljačke programe uređaja, rješenja za pohranu u cloudu, aplikacije za umrežavanje i sigurnosne aplikacije koje zahtijevaju ekstenzije jezgre potiče se da koriste novije verzije koje su izgrađene na ekstenzijama sustava. Ove novije verzije dosta smanjuju mogućnost panika jezgre na računalu Mac kao i površinu napada. Ove nove ekstenzije pokreću se u prostoru sustava, neće zahtijevati posebne povlastice potrebne za instalaciju i automatski se uklanjaju kad se aplikacija premjesti u Smeće.
DriverKit okvir osigurava C++ klase za IO usluge, podudaranje uređaja, deskriptore memorije i redove čekanja otpremanja. Također definira vrste brojki, kolekcija, nizova i ostalih zajedničkih vrsta uobičajenih za IO. Korisnik ih koristi s okvirima upravljačkih programa specifičnih za obitelj kao što su USBDriverKit i HIDDriverKit.
ReplayKit
ReplayKit snimanje filmova ReplayKit je okvir koji omogućuje developerima da svojim aplikacijama dodaju mogućnosti snimanja i emitiranja uživo. Nadalje, omogućuje korisnicima da dodaju bilješke na svoje snimke i emitirani sadržaj s pomoću prednje kamere i mikrofona uređaja.
Snimanje filmova U snimanje filma ugrađeno je nekoliko slojeva sigurnosti:
Sigurnost Apple platforme 128 • Dijaloški okvir dopuštenja: Prije nego snimanje započne, ReplayKit prikazuje alarm za suglasnost korisnika koji traži da korisnik potvrdi namjeru snimanja zaslona, mikrofon i prednju kameru. Ovaj alarm prikazuje se jednom po procesu aplikacije, te se prikazuje ponovno ako se aplikacija ostavi u pozadini dulje od 8 minuta. • Snimanje zaslona i zvuka: Snimanje zaslona i zvuka događa se izvan procesa aplikacije u daemonu replayd ReplayKita. Ovime se osigurava da snimljeni sadržaj nikad nije dostupan procesu aplikacije. • Snimanje zaslona i zvuka u aplikaciji: Ovime se omogućuje aplikaciji da dohvati međumemorije videozapisa i uzoraka koje čuva dijaloški okvir dopuštenja. • Izrada i pohranjivanje filma:Datoteka filma piše se u direktoriju koji je dostupan samo podsustavima ReplayKita i nikad nije dostupan bilo kojim aplikacijama. Ovime se sprječava da snimku koriste druge strane bez suglasnosti korisnika. • Pregled i dijeljenje krajnjih korisnika: Korisnik ima mogućnost pregledati i dijeliti film s UI-jem koji prodaje ReplayKit. UI se prikazuje izvan procesa kroz infrastrukturu iOS ekstenzije i ima pristup generiranoj datoteci filma.
ReplayKit emitiranje U snimanje filma ugrađeno je nekoliko slojeva sigurnosti:
• Snimanje zaslona i zvuka: Mehanizam snimanja zaslona i zvuka tijekom emitiranja jednak je snimanju filma i događa se u replaydu. • Ekstenzije emitiranja: Kako bi usluge trećih strana sudjelovale u ReplayKit emitiranju, moraju izraditi dvije nove ekstenzije koje su konfigurirane s krajnjom točkom com.apple. broadcast-services: • UI ekstenzija koja omogućuje korisniku da postavi vlastito emitiranje • Ekstenzija postavljanja koja upravlja postavljanjem video i audio podataka na pozadinske poslužitelje usluge Arhitektura osigurava da aplikacije za držanje nemaju povlastica za emitirani video i audio sadržaj–samo ReplayKit i ekstenzije emitiranja trećih strana imaju pristup.
• Izbornik emitiranja: S pomoću Izbornika emitiranja, korisnici pokreću emitiranje sustava izravno iz svoje aplikacije koristeći isti sustavom definirani UI koji je dostupan s pomoću Kontrolnog centra. UI se implementira koristeći UIRemoteViewController SPI i ekstenzija je koja živi unutar ReplayKit okvira. To je izvan procesa iz aplikacije za držanje.
• Ekstenzija postavljanja: Ekstenzija postavljanja koju usluge emitiranja drugih strana implementiraju za rukovanje video i audio sadržajem tijekom emitiranja koristi osnovne nekodirane međumemorije uzoraka. Tijekom ovakvog moda rukovanja, video i audio podaci serijaliziraju se i prenose ekstenziji postavljanja druge strane u stvarnom vremenu putem izravne XPC veze. Video podaci kodiraju se izdvajanjem IOSurface objekta iz međumemorije video uzorka, njegovim sigurnim kodiranjem kao XPC objekta, slanjem preko XPC-a ekstenziji drugog proizvođača i sigurnim dekodiranjem natrag u IOSurface objekt.
Sigurnost Apple platforme 129 Camera i ARKit Apple je dizajnirao kamere imajući na umu privatnost, a aplikacije drugih proizvođača moraju dobiti suglasnost korisnika prije pristupa Kameri. U sustavu iOS i iPadOS, kada korisnik dodijeli aplikaciji pristup Kameri, ta aplikacija može pristupiti slikama u stvarnom vremenu s prednje i stražnje kamere. Aplikacijama nije dozvoljena upotreba kamere bez transparentnosti da se kamera koristi.
Fotografije i videozapisi snimljeni kamerom mogu sadržavati informacije poput gdje i kada su snimljene, dubine polja i šireg snimanja. Ako korisnik ne želi da fotografije i videozapisi snimljeni s aplikacijom Kamera sadrže lokaciju, mogu time upravljati u bilo kojem trenutku klikom na Postavke > Privatnost > Lokacijske usluge > Kamera. Ako korisnik ne želi da fotografije i videozapisi uključuju lokaciju kad se dijele, može isključiti lokaciju u izborniku Opcije u listu za dijeljenje.
Radi boljeg AR doživljaja korisnika, aplikacije koje koriste ARKit mogu upotrijebiti informacije o globalnom praćenju ili praćenju lica s druge kamere. Globalno praćenje koristi algoritme na uređaju korisnika za obradu informacija s tih senzora kako bi se utvrdio njihov položaj u odnosu na fizički prostor. Globalno praćenje omogućuje značajke kao što su Optički smjer u Kartama.
Sigurnost Apple platforme 130 Sigurno upravljanje uređajima
Pregled sigurnog upravljanja uređajima iOS, iPadOS, macOS i tvOS uređaji podržavaju fleksibilne sigurnosne politike i konfiguracije koje je lako provoditi i njima upravljati. Putem njih organizacije mogu zaštititi korporativne podatke i osigurati da zaposlenici ispunjavaju poslovne zahtjeve, čak i ako koriste uređaje koje su sami osigurali - na primjer, kao dio programa "donesite vlastiti uređaj" (BYOD).
Organizacije mogu koristiti resurse kao što su zaštita lozinkom, konfiguracijski profili, udaljeno brisanje i rješenja za upravljanje mobilnim uređajem (MDM) trećih strana za upravljanje flotama uređaja i pomoć u očuvanju korporativnih podataka, čak i kada zaposlenici pristupaju tim podacima na svojim osobnim uređajima.
Sa sustavima iOS 13, iPadOS 13.1 i macOS 10.15, Apple uređaji podržavaju novu mogućnost prijave korisnika posebno dizajniranu za BYOD programe. Prijave pružaju veću autonomiju korisnicima na njihovim vlastitim uređajima, istovremeno povećavajući sigurnost podataka tvrtke pohranjujući ih u zasebnu, kriptografski zaštićenu APFS jedinicu. Time se osigurava bolja ravnoteža sigurnosti, privatnosti i korisničkog iskustva za BYOD programe.
Model uparivanja Sustavi iOS i iPadOS koriste model uparivanja za kontrolu pristupa uređaju s glavnog računala. Uparivanjem se uspostavlja odnos povjerenja između uređaja i glavnog računala s kojim je povezan, a označava se razmjenom javnih ključeva. Sustavi iOS i iPadOS također koriste ovaj znak povjerenja kako bi omogućili dodatnu funkcionalnost sa spojenim glavnim računalom, poput sinkronizacije podataka. U sustavu iOS 9 ili novijem, usluge:
• koje zahtijevaju uparivanje nije moguće pokrenuti sve dok korisnik ne otključa uređaj • se neće pokrenuti, osim ako je uređaj nedavno otključan • mogu zahtijevati otključavanje uređaja kako bi se pokrenule (poput sinkronizacije fotografija).
Sigurnost Apple platforme 131 Postupak uparivanja zahtijeva da korisnik otključa uređaj i prihvati zahtjev za uparivanjem od glavnog računala. U sustavu iOS 9 ili novijem, korisnik također mora unijeti svoju šifru, nakon čega glavno računalo i uređaj razmjenjuju i spremaju 2048-bitne RSA javne ključeve. Glavno računalo tada dobiva 256-bitni ključ koji može otključati escrow zbirku ključeva pohranjenu na uređaju. Razmijenjeni ključevi koriste se za pokretanje kriptirane SSL sesije koju uređaj treba prije nego što pošalje zaštićene podatke glavnom računalu ili pokrene uslugu (sinkronizacija iTunesa ili Findera, prijenos datoteka, razvoj Xcodea itd.). Kako bi koristio ovu kriptiranu sesiju za svu komunikaciju, uređaj zahtijeva veze s glavnog računala preko Wi-Fija, pa je prethodno morao biti uparen putem USB-a. Uparivanje omogućuje i nekoliko dijagnostičkih mogućnosti. Kod uređaja sa sustavom iOS 9, zapis o uparivanju istječe ako se ne koristi više od šest mjeseci. U sustavu iOS 11 ili novijem, taj se vremenski okvir skraćuje na 30 dana.
Određene usluge, uključujući com.apple.pcapd, ograničene su za rad samo putem USB-a. Uz to, usluga com.apple.file_relay zahtijeva instaliranje konfiguracijskog profila koji potpisuje Apple. Kod sustava iOS 11 ili novijeg, Apple TV može koristiti protokol Sigurne udaljene lozinke za bežično uspostavljanje odnosa za uparivanje.
Korisnik može očistiti popis pouzdanih glavnih računala koristeći opcije “Resetiraj mrežne postavke” ili “Resetiraj lokaciju i privatnost”.
Upravljanje postavkama šifre i lozinke Prema standardnim postavkama, šifra korisnika može se definirati kao brojčani PIN. Kod iOS i iPadOS uređaja koji imaju Touch ID ili Face ID, minimalna duljina šifre je četiri znamenke. Preporučuje se koristiti dulje i složenije šifre jer ih je teže pogoditi ili napasti.
Administratori mogu nametnuti složene zahtjeve za šifre i druga pravila s pomoću rješenja upravljanje mobilnim uređajem (MDM) ili protokola Microsoft Exchange ActiveSync ili zahtijevanjem da korisnici ručno instaliraju konfiguracijske profile. Administratorska lozinka potrebna je za instalaciju podataka pravila za šifre sustava macOS. Neka od pravila za šifre su:
• Dozvoli jednostavnu vrijednost • Zahtijevaj slovnobrojčanu vrijednost • Minimalna duljina šifri i lozinki • Minimalni broj složenih znakova
• Maksimalno trajanje šifri i lozinki • Povijest šifri i lozinki • Vremensko ograničenje automatskog zaključavanja • Period odgode za zaključavanje uređaja • Maksimalan broj neuspjelih pokušaja • Dozvoli Touch ID ili Face ID.
Sigurnost Apple platforme 132 Provođenje konfiguracije Konfiguracijski profil je XML datoteka koja administratoru omogućuje distribuciju informacija o konfiguraciji iOS, iPadOS, macOS i tvOS uređajima. U sustavima iOS, iPadOS i tvOS, većinu postavki koje su definirane instaliranim konfiguracijskim profilom, korisnik ne može promijeniti. Ako korisnik izbriše konfiguracijski profil, uklanjaju se i sve postavke definirane profilom. Na taj način, administratori mogu provesti postavke vezanjem politika za Wi-Fi i pristup podacima. Primjerice, konfiguracijski profil koji pruža konfiguraciju e-maila može također odrediti pravila za šifru uređaja. Korisnici neće moći pristupiti e-mailu ako njihova šifra ne ispunjava zahtjeve administratora.
Postavke profila Konfiguracijski profil sadrži brojne postavke u određenim podacima koje je moguće navesti, uključujući (ali ne ograničavajući se na):
• politike za šifre i lozinke • ograničenja značajki uređaja (primjerice, onemogućivanje kamere) • Wi-Fi postavke • postavke VPN-a • postavke računa • postavke usluge LDAP direktorija • postavke usluge CalDAV kalendara • vjerodajnice i ključevi • ažuriranja softvera.
Potpisivanje i enkripcija profila Konfiguracijski profili mogu biti potpisani kako bi se potvrdilo njihovo porijeklo i kriptirani kako bi se osigurala njihova cjelovitost i zaštitio njihov sadržaj. Konfiguracijski profili za iOS i iPadOS uređaje kriptiraju se pomoću Sintakse kriptografske poruke (CMS) navedene u RFC 3852 koji podržavaju 3DES i AES-128.
Instalacija profila Korisnici mogu instalirati konfiguracijske profile izravno na svoje uređaje koristeći Apple Configurator 2 ili ih mogu preuzeti putem preglednika Safari, poslati ih u privitku e-maila, putem AirDropa ili aplikacije Datoteke na iOS i iPadOS uređaje ili poslati bežično koristeći rješenje upravljanje mobilnim uređajem (MDM). Kad korisnik postavi uređaj u aplikaciji Apple School Manager ili Apple Business Manager, uređaj preuzima i instalira profil za prijavu u MDM rješenje.
Uklanjanje profila Uklanjanje konfiguracijskih profila ovisi o načinu njihovog instaliranja. U nastavku slijede načini uklanjanja konfiguracijskog profila:
1. Svi profili mogu se ukloniti brisanjem svih podataka s uređaja.
Sigurnost Apple platforme 133 2. Ako je profil dodijeljen uređaju s pomoću aplikacije Apple School Manager ili Apple Business Manager, moguće ga je ukloniti putem MDM rješenja ili ga, prema potrebi, može ukloniti korisnik. 3. Ako je profil instaliran putem MDM rješenja, može ga se ukloniti tim istim MDM rješenjem ili ako se korisnik odjavi iz MDM-a uklanjanjem konfiguracijskog profila za prijavu. 4. Ako je profil instaliran na nadziranom uređaju s pomoću alata Apple Configurator 2, nadzorna instanca alata Apple Configurator 2 može ukloniti profil. 5. Ako je profil instaliran na nadziranom uređaju ručno ili s pomoću alata Apple Configurator 2 i profil ima podatke za uklanjanje podataka za lozinku, korisnik mora unijeti lozinku za uklanjanje kako bi uklonio profil. 6. Sve ostale profile može ukloniti korisnik. Račun instaliran konfiguracijskim profilom može se ukloniti uklanjanjem profila. Račun protokola Microsoft Exchange ActiveSync, uključujući onaj instaliran pomoću konfiguracijskog profila, može ukloniti Microsoft Exchange Server izdavanjem naredbe za udaljeno brisanje. Na nadziranim uređajima moguće je zaključati konfiguracijske profile kako bi se u potpunosti spriječilo njihovo uklanjanje ili dopustilo uklanjanje samo sa šifrom. Budući da mnogi poslovni korisnici posjeduju svoje iOS i iPadOS uređaje, konfiguracijski profili koji vezuju uređaj na MDM rješenje mogu se ukloniti, ali time se uklanjaju i sve upravljane konfiguracijske informacije, podaci i aplikacije.
Upravljanje mobilnim uređajem (MDM) Operativni sustavi društva Apple podržavaju rješenje upravljanje mobilnim uređajem (MDM) koje organizacijama omogućuje sigurno konfiguriranje i upravljanje skaliranim pokretanjima Apple uređaja. Mogućnosti MDM-a izgrađene su na postojećim OS tehnologijama kao što su konfiguracijski profili, bežična prijava i Appleov servis za prosljeđivanje obavijesti (APN- ovi). Primjerice, APN-ovi se koriste za buđenje uređaja kako bi mogao izravno komunicirati sa svojim MDM rješenjem preko zaštićene veze. APN-ovima se ne prenose nikakvi povjerljivi ili vlasnički podaci.
S pomoću MDM rješenja, IT odjeli mogu prijaviti Apple uređaje u poslovno okruženje, bežično konfigurirati i ažurirati postavke, nadzirati usklađenost s korporativnom politikom, upravljati politikom ažuriranja softvera i čak udaljeno brisati ili zaključati upravljane uređaje.
Uz tradicionalne prijave uređaja koje podržavaju sustavi iOS, iPadOS, macOS i tvOS, dodana je i nova vrsta prijave u sustave iOS 13, iPadOS 13.1 i macOS 10.15 — Prijava korisnika. Prijave su prijave u MDM posebno usmjerene na pokretanja programa “donesi vlastiti uređaj” (BYOD) gdje je uređaj u osobnom vlasništvu, ali se koristi u upravljanom okruženju. Prijave korisnika dodjeljuju MDM rješenju ograničene povlastice za razliku od nenadziranih prijava uređaja te osiguravaju kriptografsko razdvajanje korisničkih i korporativnih podataka.
Sigurnost Apple platforme 134 Vrste prijava • Prijava korisnika: Prijava korisnika dizajnirana je za uređaje u osobnim vlasništvu i integrirana je s Upravljanim Apple ID računima kako bi se utvrdio identitet korisnika na uređaju. Upravljani Apple ID računi dio su profila Prijava korisnika i korisnik mora proći provjeru autentičnosti kako bi prijava bila dovršena. Upravljani Apple ID računi mogu se koristiti zajedno s osobnim Apple ID računom kojim je korisnik već prijavljen, i oni neće međusobno komunicirati. • Prijava uređaja: Prijava uređaja omogućuje organizacijama ručnu prijavu uređaja i upravljanje raznim aspektima uporabe uređaja, uključujući mogućnost brisanja uređaja. Ako korisnik ukloni MDM profil, uklanjaju se sve postavke i aplikacije kojima upravlja MDM rješenje. • Automatizirana prijava uređaja: Automatizirana prijava uređaja omogućuje organizacijama konfiguraciju i upravljanje Apple uređajima od trenutka kada su raspakirani (poznato kao pokretanje sustava s nula dodira). Ti uređaji postanu nadzirani i korisnik ne može ukloniti MDM profil. Automatizirana prijava uređaja namijenjena je za uređaje u vlasništvu organizacije.
Automatizirana prijava uređaja Organizacije mogu automatski prijaviti iOS, iPadOS, macOS i tvOS uređaje u upravljanje mobilnim uređajem (MDM) bez fizičkog dodira ili pripreme uređaja prije nego što ih korisnici dobiju. Nakon prijave u jednu od usluga, administratori se prijavljuju na web stranicu usluge i povezuju program sa svojim MDM rješenjem. Kupljeni uređaji zatim se mogu dodijeliti korisnicima putem MDM-a. Tijekom postupka konfiguracije uređaja sigurnost osjetljivih podataka može se povećati osiguravanjem odgovarajućih sigurnosnih mjera. Primjerice:
• Neka korisnici koriste autorizaciju kao dio početnog tijeka postavljanja u Asistentu za podešavanje Apple uređaja. • Izvršite preliminarnu konfiguraciju s ograničenim pristupom i zahtijevajte dodatnu konfiguraciju uređaja za pristup osjetljivim podacima. Nakon što se korisnik dodijeli, sve konfiguracije, ograničenja ili kontrole MDM rješenja instaliraju se automatski. Sva komunikacija između uređaja i poslužitelja društva Apple kriptirana je tijekom prijenosa putem HTTPS (TLS) protokola.
Moguće je korisnicima dodatno pojednostaviti postupak postavljanja uklanjanjem određenih koraka u Asistentu za podešavanje kako bi mogli brzo početi s radom. Administratori također mogu kontrolirati može li korisnik ukloniti MDM profil s uređaja te osigurati da na uređaju postoje ograničenja tijekom životnog ciklusa uređaja. Nakon što se uređaj raspakira i aktivira, može se prijaviti u MDM rješenje organizacije te će mu biti instalirane sve postavke upravljanja, aplikacije i knjige kako je definirao administrator MDM-a.
Sigurnost Apple platforme 135 Apple School Manager i Apple Business Manager Apple School Manager i Apple Business Manager usluge su za IT administratore za pokretanje Apple uređaja koje je organizacija kupila izravno od društva Apple ili preko ovlaštenih prodavatelja Apple proizvoda i mobilnih operatera. Kad se koriste s rješenjem upravljanje mobilnim uređajem (MDM), administratori, zaposlenici, osoblje i nastavnici mogu konfigurirati postavke uređaja i kupovati i distribuirati aplikacije i knjige. Apple School Manager integrira se sa Sustavima informiranja polaznika (SIS-ovima), SFTP-om i Microsoft Azure AD-om koristeći federativnu autorizaciju, kako bi administratori mogli brzo izraditi korisničke račune s popisima i razredima škole.
Uređaji sa sustavom iOS 11 ili novijim i tvOS 10.2 ili novijim mogu također nakon kupnje biti dodani uslugama Apple School Manager i Apple Business Manager s pomoću alata Apple Configurator 2.
Apple Inc. održava certifikate usklađene sa standardima ISO/IEC 27001 i 27018 kako bi se Appleovim korisnicima omogućilo ispunjavanje svojih regulatornih i ugovornih obveza. Ti certifikati našim korisnicima omogućavaju nezavisno atestiranje Appleovih praksi vezanih uz sigurnost informacija i privatnost za obuhvaćene sustave. Za dodatne informacije pogledajte članak Apple podrške Certifikati o Appleovim internetskim uslugama.
Napomena: Kako biste saznali je li neki program društva Apple dostupan u određenoj državi ili regiji, pogledajte članak Apple podrške Dostupnost Appleovih programa i načina plaćanja za obrazovne ustanove i društva.
Apple Configurator 2 Apple Configurator 2 ima fleksibilan, siguran i na uređaj usmjeren dizajn koji omogućuje administratoru brzo i jednostavno konfiguriranje jednog ili desetak iOS, iPadOS i tvOS uređaja spojenih na Mac računalo putem USB-a prije nego što ih preda korisnicima. S pomoću alata Apple Configurator 2, administrator može ažurirati softver, instalirati aplikacije i konfiguracijske profile, preimenovati i mijenjati pozadinu na uređajima, eksportirati podatke i dokumente iz uređaja i još mnogo toga.
Administratori također mogu dodati iOS, iPadOS i tvOS uređaje u Apple School Manager ili Apple Business Manager s pomoću alata Apple Configurator 2, čak i ako uređaji nisu kupljeni izravno od društva Apple, ovlaštenog prodavatelja Apple proizvoda ili ovlaštenog mobilnog operatera. Kad administrator postavi uređaj koji je ručno prijavljen, on se ponaša kao i svaki drugi prijavljeni uređaj, uz obvezan nadzor i prijavu u upravljanje mobilnim uređajem (MDM). Za uređaje koji nisu kupljeni izravno, korisnik ima 30 dana probnog razdoblja za uklanjanje uređaja iz prijave, nadzora i MDM-a. Probno razdoblje od 30 dana započinje nakon aktiviranja uređaja.
Nadzor uređaja Tijekom postavljanja uređaja organizacija može konfigurirati uređaj da bude nadziran. Nadzor označava da je uređaj u vlasništvu organizacije koja omogućuje dodatnu kontrolu nad njegovom konfiguracijom i ograničenjima. S pomoću usluge Apple School Manager ili Apple Business Manager, nadzor se može omogućiti bežično na uređaju kao dio postupka prijave u upravljanje mobilnim uređajem (MDM) za iOS, iPadOS, macOS i tvOS uređaje ili ručno s pomoć alata Apple Configurator 2 za iOS, iPadOS i tvOS uređaje. U sustavima iOS, iPadOS i tvOS, nadzor uređaja zahtijeva da uređaj bude obrisan.
Sigurnost Apple platforme 136 Moguće je nadzirati sljedeće uređaje:
• iPhone, iPad i iPod touch sa sustavom iOS 5 ili novijim • Apple TV sa sustavom tvOS 10.2 ili novijim. Sljedeći uređaji nadziru se automatski nakon prijave u usluge Apple School Manager ili Apple Business Manager:
• iOS uređaji sa sustavom iOS 13 ili novijim • iPad sa sustavom iPadOS 13.1 ili novijim • Apple TV sa sustavom tvOS 13 ili novijim • Mac računala sa sustavom macOS 10.15 ili novijim.
Ograničenja uređaja Administratori mogu omogućiti ili u nekim slučajevima onemogućiti ograničenja kako bi korisnicima spriječili pristup određenoj aplikaciji, usluzi ili funkciji uređaja. Ograničenja se šalju na uređaje u podacima za ograničenje koji su dio konfiguracijskog profila. Ograničenja se mogu primijeniti na iOS, iPadOS, macOS i tvOS uređaje. Određena ograničenja na iPhoneu mogu biti zrcaljena na uparenom Apple Watchu.
Zaključavanje aktivacije Upravljanje Zaključavanjem aktivacije organizaciji omogućava uporabu funkcionalnosti za sprječavanje krađe te istovremeno omogućava uklanjanje Zaključavanja aktivacije s uređaja koje organizacija posjeduje. Upravljanje Zaključavanjem aktivacije može se koristiti na iPhoneu, iPadu, iPod touchu i Mac računalima koja se prikazuju u Apple School Manageru ili Apple Business Manageru te su prijavljena u MDM rješenje (Upravljanje mobilnim uređajem).
Ovisno o uređaju, organizacija može omogućiti ili dozvoliti Zaključavanje aktivacije. Omogućavanjem Zaključavanja aktivacije, MDM rješenje (a ne korisnik) obraća se Appleovim poslužiteljima za zaključavanje ili otključavanje uređaja. Suprotno tome, dozvoljavanjem Zaključavanja aktivacije korisnicima se omogućava zaključavanje uređaja u vlasništvu organizacije svojim iCloud računom.
Omogućavanje ili onemogućavanje Zaključavanja aktivacije na iPhoneu, iPadu i iPod touchu MDM rješenje može omogućiti Zaključavanje aktivacije u bilo kojem trenutku za uređaje u Apple School Manageru ili Apple Business Manageru bez da korisnici imaju mogućnost onemogućavanja ili bez traženja korisnika da omoguće Pronalaženje na svojem uređaju.
To je posebno korisno za korisnike s upravljanim Apple ID računima Apple School Managera ili Apple Business Managera jer upravljani Apple ID računi ne mogu koristiti uslugu Pronalaženja. Nakon što se omogući, MDM se koristi za daljinsko uklanjanje uređaja iz Zaključavanja aktivacije kad to bude željeno ili, ako organizacija fizički posjeduje uređaj, može:
• Unijeti kod za zaobilaženje MDM Zaključavanja aktivacije na zaslonu Zaključane aktivacije.
Sigurnost Apple platforme 137 • Unijeti korisničko ime i lozinku Upravitelja uređaja iz Apple School Managera ili Apple Business Managera, koji je izradio token za prijavu uređaja koji povezuje MDM rješenje s Apple School Managerom ili Apple Business Managerom.
Dozvoljavanje Zaključavanja aktivacije na iPhoneu, iPadu, iPod touchu i Macu Organizacije mogu koristiti MDM rješenje za dozvoljavanje Zaključavanja aktivacije na nadziranom uređaju. To im omogućava uporabu funkcionalnosti za sprječavanje krađe dok im i dalje omogućava zaobilaženje značajke ako korisnik iz bilo kojeg razloga ne može autorizirati svojim Apple ID računom, uključujući ako su napustili organizaciju.
Pošto Zaključavanje aktivacije standardno nije dozvoljeno na nadziranim uređajima, MDM rješenje može pohraniti kod za zaobilaženje kad je omogućeno Zaključavanje aktivacije. Ovaj kod može se koristiti za automatsko brisanje značajke Zaključavanje aktivacije kad uređaj treba obrisati i dodijeliti novom korisniku. MDM rješenje može dohvatiti kod za zaobilaženje i dozvoliti korisniku omogućavanje Zaključavanja aktivacije na uređaju na temelju sljedećeg:
• Ako je opcija Pronalaženje uključena kad MDM rješenje omogući Zaključavanje aktivacije, značajka će u tom trenutku biti omogućena. • Ako je opcija Pronalaženje isključena kad MDM rješenje omogući Zaključavanje aktivacije, značajka će biti omogućena sljedeći put kada korisnik aktivira opciju Pronalaženje. U sustavima iOS i iPadOS kodovi za zaobilaženje dostupni su do 15 dana nakon prvog nadziranja uređaja ili sve dok MDM rješenje ne nabavi i zatim eksplicitno obriše kod. Ako MDM rješenje ne dohvati kod za zaobilaženje unutar 15 dana, taj kod za zaobilaženje ne može se dohvatiti.
Napomena: Na Mac računalima sa sustavom macOS 10.15, Zaključavanje aktivacije ne može se omogućiti pomoću MDM-a, ali korisniku može biti onemogućeno uključivanje Zaključavanja aktivacije kad je omogućeno Pronalaženje. Ako Mac računala s Apple T2 sigurnosnim čipom koriste korisnički odobren MDM i nadograđena su na macOS 10.15, Zaključavanje aktivacije također se standardno ne dozvoljava. Upravljanje Zaključavanjem aktivacije na instalacijama (ne nadogradnjama) sustava macOS 10.15 zahtijeva da uređaj bude dodan u Apple School Manager ili Apple Business Manager i prijavljen u MDM.
Kodovi za zaobilaženje i ključevi za oporavak Kodovi za zaobilaženje i ključevi za oporavak koje MDM rješenje koristi za upravljanje Zaključavanjem aktivacije ključni su za mogućnost brisanja Zaključavanja aktivacije. Ti kodovi za zaobilaženje i ključevi za oporavak trebaju biti sigurni i redovno sigurnosno kopirani. Ako dođe do promjene MDM prodavatelja, iznimno je važno zadržati kopiju kodova za zaobilaženje i ključeva za oporavak ili obrisati Zaključavanje aktivacije za sve prijavljene uređaje.
Sigurnost Apple platforme 138 Mod izgubljenog uređaja, udaljeno brisanje i udaljeno zaključavanje
Mod izgubljenog uređaja Ako je nadzirani iOS ili iPadOS uređaj sa sustavom iOS 9 ili novijim izgubljen ili ukraden, MDM administrator može na tom uređaju udaljeno omogućiti Mod izgubljenog uređaja. Kada je omogućen Mod izgubljenog uređaja, trenutačni korisnik je odjavljen i uređaj se ne može otključati. Na zaslonu se prikazuje poruka koju administrator može prilagoditi, poput prikaza telefonskog broja koji treba nazvati ako se uređaj pronađe. Kad se uređaj stavi u Mod izgubljenog uređaja, administrator može zatražiti od uređaja da pošalje trenutačnu lokaciju i, opcionalno, reproducira zvuk. Kad administrator isključi Mod izgubljenog uređaja, što je i jedini način izlaska iz moda, korisnik se o toj radnji obavještava porukom na zaključanom zaslonu ili upozorenjem na početnom zaslonu.
Udaljeno brisanje i udaljeno zaključavanje iOS, iPadOS i macOS uređaje administrator ili korisnik mogu udaljeno obrisati (trenutačno udaljeno brisanje dostupno je samo ako je na Mac računalu omogućen FileVault). Neposredno udaljeno brisanje postiže se sigurnim odbacivanjem ključa medija iz Obrisiva memorija, čime svi podaci postaju nečitljivi. Naredbu za udaljeno brisanje može pokrenuti upravljanje mobilnim uređajem (MDM), protokol Microsoft Exchange ActiveSync ili iCloud. Na Mac računalu, računalo šalje potvrdu i vrši brisanje. U slučaju udaljenog zaključavanja, MDM zahtijeva primjenu šesteroznamenkaste šifre na Mac računalo, čime je svakom korisniku blokiran pristup do unosa ove šifre.
Kad naredbu za udaljeno brisanje pokrene MDM ili iCloud, uređaj šalje potvrdu i vrši brisanje. Za udaljeno brisanje putem protokola Microsoft Exchange ActiveSync, uređaj se prije brisanja prijavljuje na poslužitelj Microsoft Exchange Server. Udaljeno brisanje nije moguće u dvije situacije:
• uz prijavu korisnika • uporabom protokola Microsoft Exchange ActiveSync kad je račun instaliran prijavom korisnika. Korisnici također mogu obrisati svoje iOS i iPadOS uređaje aplikacijom Postavke. Kao što je spomenuto, uređaji se mogu podesiti na automatsko brisanje nakon niza neuspjelih pokušaja unosa šifre.
Sigurnost Apple platforme 139 Dijeljeni iPad
Pregled dijeljenog iPada Dijeljeni iPad je višekorisnički način rada za korištenje u izdanjima iPada. Korisnicima omogućava dijeljenje iPada uz održavanje odvojenosti dokumenata i podataka za svakog korisnika. Svaki korisnik dobiva vlastitu privatnu i rezerviranu lokaciju za pohranu, koja je implementirana kao APFS jedinica zaštićena vjerodajnicom korisnika. Dijeljeni iPad zahtijeva uporabu Upravljanog Apple ID-ja koji izdaje i posjeduje organizacija i korisniku omogućava prijavljivanje na bilo koji uređaj koji je u vlasništvu organizacije, a koji je konfiguriran da ga koristi više korisnika. Podaci korisnika podijeljeni su u zasebne direktorije, svaki u vlastitim domenama zaštite podataka i zaštićeni su UNIX dozvolama i postavljeni u ograničeno okruženje (“sandboxing”). U sustavu iPadOS 13.4 ili novijem, korisnici se također mogu prijaviti na privremenu sesiju. Kad se korisnik odjavi iz privremene sesije, njegova se APFS jedinica briše, a njezin rezervirani prostor vraća se sustavu.
Prijava u Dijeljeni iPad I nativni i federativni Upravljani Apple ID računi podržani su prilikom prijave u Dijeljeni iPad. Prilikom prve uporabe federativnog računa korisnik se preusmjerava na portal za prijavu Davatelja identiteta (IdP). Nakon autorizacije, izdaje se kratkotrajni pristupni token za dodatne Upravljane Apple ID račune, a postupak prijave odvija se slično kao postupak prijave izvornih Upravljanih Apple ID računa. Nakon prijave, Asistent za podešavanje na Dijeljenom iPadu traži od korisnika uspostavu šifre (vjerodajnice) koja se koristi za osiguranje lokalnih podataka na uređaju i buduću autorizaciju na zaslonu za prijavu. Kao i na uređaju s jednim korisnikom na koji se korisnik prijavljuje jednom svojim Upravljanim Apple ID računom pomoću svog federativnog računa i potom otključava svoj uređaj šifrom, na Dijeljenom iPadu korisnik se također prijavljuje jednom koristeći svoj federativni račun i dalje koristi svoju šifru.
Kada se korisnik prijavi bez federativne autorizacije, Upravljani Apple ID autorizira se kod Appleove usluge identiteta (IDS) pomoću SRP protokola. U slučaju uspješne autentikacije, dodjeljuje se kratkotrajni pristupni token koji je specifičan za uređaj. Ako je korisnik koristio uređaj ranije, već ima lokalni korisnički račun koji je otključan istom vjerodajnicom.
Ako korisnik nije ranije koristio uređaj ili koristi značajku privremene sesije, dijeljeni iPad administrira novi ID UNIX korisnika, APFS jedinicu za pohranjivanje korisnikovih osobnih podataka i lokalni privjesak ključeva. Pošto je prostor za pohranu dodijeljen (rezerviran) korisniku u vrijeme izrade APFS jedinice, možda neće biti dovoljno prostora za izradu nove jedinice. U tom slučaju, sustav će identificirati postojećeg korisnika čiji podaci su sinkronizirani na oblak i izbaciti tog korisnika s uređaja kako bi se omogućilo prijavljivanje novog korisnika. U malo vjerojatnom slučaju da postavljanje podataka na oblak nije dovršeno za sve postojeće korisnike, prijavljivanje novog korisnika neće biti provedeno. Novi korisnik će za prijavljivanje trebati pričekati da se dovrši sinkroniziranje podataka jednog od korisnika ili da administrator prisilno obriše postojeći korisnički račun, čime se riskira gubitak podataka.
Sigurnost Apple platforme 140 Ako uređaj nije spojen na internet (primjerice, ako korisnik nema pristup Wi-Fiju), autentikacija na lokalnom računu može biti ograničena brojem dana. U toj situaciji mogu se prijaviti samo korisnici s postojećim lokalnim računima ili privremenom sesijom. Nakon isteka vremenskog ograničenja, korisnici su dužni izvršiti autorizaciju na mreži, čak i ako lokalni račun već postoji.
Nakon otključavanja ili izrade lokalnog računa korisnika, ako se udaljeno autorizira, kratkotrajni token koji su izdali Apple poslužitelji konvertira se u iCloud token koji omogućuje prijavu na iCloud. Zatim se obnavljaju postavke korisnika, a njegovi dokumenti i podaci sinkroniziraju se putem iClouda.
Dok je sesija korisnika aktivna i uređaj je na mreži, dokumenti i podaci pohranjuju se na iCloud onako kako se izrađuju ili mijenjaju. Osim toga, mehanizam za sinkronizaciju u pozadini osigurava da se izmjene pošalju na iCloud ili druge web usluge pozadinskim sesijama NSURLSession, nakon što se korisnik odjavi. Po završetku pozadinske sinkronizacije za tog korisnika, APFS jedinica korisnika se otpušta i ne može se opet podići bez ponovne prijave korisnika.
Privremene sesije ne sinkroniziraju podatke na iCloud i premda se privremena sesija može prijaviti na uslugu sinkroniziranja drugog proizvođača kao što je Box ili Google Drive, nema načina za nastavljanje sinkroniziranja podataka kad privremena sesija završi.
Odjava iz Dijeljenog iPada Kada se korisnik odjavi iz Dijeljenog iPada, korisnička zbirka ključeva odmah se zaključava i sve se aplikacije isključuju. Kako bi se ubrzala prijava novog korisnika, iPadOS privremeno odgađa neke uobičajene radnje odjave i novom korisniku prikazuje prozor za prijavu. Ako se korisnik prijavi za to vrijeme (otprilike 30 sekundi), Dijeljeni iPad izvršava odgođeno čišćenje u sklopu prijave na račun novog korisnika. No, ako Dijeljeni iPad ostane neaktivan, pokreće se odgođeno čišćenje. Tijekom faze čišćenja ponovo se pokreće Prozor za prijavu kao da je došlo do druge odjave.
Kad privremena sesija završi, Dijeljeni iPad provodi cjelovitu sekvencu odjavljivanja i odmah briše APFS jedinicu privremene sesije.
Vrijeme uporabe zaslona Vrijeme uporabe zaslona značajka je u sustavu iOS 12 ili novijem, iPadOS i macOS 10.15 ili novijem i neke značajke sustava watchOS koje korisniku omogućuju razumijevanje i upravljanje vlastitom uporabom aplikacija i interneta ili uporabom njihove djece. Iako Vrijeme uporabe zaslona nije nova sigurnosna značajka sustava, važno je razumjeti kako Vrijeme uporabe zaslona štiti sigurnost i privatnost podataka prikupljenih i dijeljenih među uređajima.
Značajka Vrijeme uporabe zaslona ima dvije vrste korisnika: odrasle i djecu.
Značajka Podržani OS
Prikaz podataka o uporabi iOS iPadOS macOS
Sigurnost Apple platforme 141 Značajka Podržani OS
Provedite dodatna ograničenja iOS iPadOS macOS
Postavite ograničenja uporabe weba iOS iPadOS macOS
Postavite ograničenja aplikacija iOS iPadOS macOS watchOS
Konfigurirajte vrijeme isključenosti iOS iPadOS macOS watchOS
Za korisnika koji upravlja svojom uporabom uređaja, kontrole i podaci o uporabi značajke Vrijeme uporabe zaslona mogu se sinkronizirati na uređajima povezanim s istim iCloud računom s pomoću CloudKit enkripcije s kraja na kraj. To zahtijeva da korisničkom računu bude omogućena dvofaktorska autentikacija (sinkronizacija je standardno isključena). Značajka Vrijeme uporabe zaslona zamjenjuje značajku Ograničenja koju nalazimo u prethodnim verzijama sustava iOS.
U sustavima iOS 13, iPadOS 13.1, i macOS 10.15, korisnici značajke Vrijeme uporabe zaslona i upravljana djeca automatski dijele svoju uporabu na uređajima ako njihov iCloud račun ima omogućenu dvofaktorsku autentikaciju. Kad korisnik očisti povijest preglednika Safari ili obriše aplikaciju, odgovarajući podaci o uporabi uklanjaju se s uređaja i sa svih sinkroniziranih uređaja.
Roditelji i Vrijeme uporabe zaslona Roditelji također mogu koristiti Vrijeme uporabe zaslona na iOS, iPadOS i macOS uređajima kako bi razumjeli i kontrolirali uporabu svoje djece. Ako je roditelj organizator obitelji (u iCloud značajki Dijeljenje s obitelji), može pregledati podatke o uporabi i upravljati postavkama značajke Vrijeme uporabe zaslona za svoju djecu. Djeca su obaviještena kad roditelji uključe Vrijeme uporabe zaslona i mogu pratiti vlastitu uporabu. Kada roditelji uključe značajku Vrijeme uporabe zaslona za svoju djecu, postavljaju šifru kako djeca ne bi mogla unositi izmjene. S navršenih 18 godina (ovisno o državi ili regiji), djeca mogu isključiti ovaj nadzor.
Podaci o uporabi i konfiguracijske postavke prenose se između uređaja roditelja i djeteta pomoću protokola enkripcije s kraja na kraj Apple Identity Service (IDS). Kriptirani podaci mogu se nakratko pohraniti na IDS poslužitelje sve dok ih ne pročita uređaj koji ih prima (primjerice, čim se uređaji iPhone, iPad ili iPod touch uključe ako su bili isključeni). Apple ne može pročitati ove podatke.
Sigurnost Apple platforme 142 Analitika značajke Vrijeme uporabe zaslona Ako korisnik uključi opciju Dijeli analizu iPhonea i sata, prikupljaju se samo sljedeći anonimni podaci kako bi Apple mogao bolje razumjeti kako se koristi značajka Vrijeme uporabe zaslona:
• je li značajka Vrijeme uporabe zaslona uključena tijekom uporabe Asistenta za podešavanje ili kasnije u Postavkama • promjene u uporabi Kategorije nakon izrade ograničenja (u razdoblju od 90 dana) • je li uključena značajka Vrijeme uporabe zaslona • je li omogućeno Vrijeme isključenosti • koliko je puta korišten upit “Zatraži još vremena” • broj ograničenja aplikacija • koliko je puta korisnik pregledao uporabu u postavkama značajke Vrijeme uporabe zaslona, po vrsti korisnika i po vrsti prikaza (lokalni, udaljeni, widget) • koliko puta su korisnici ignorirali ograničenje, po vrsti korisnika • koliko su puta korisnici obrisali ograničenje, po vrsti korisnika. Apple ne prikuplja određene podatke o uporabi aplikacija ili weba. Kad korisnik vidi popis aplikacija u informacijama o uporabi značajke Vrijeme uporabe zaslona, ikone aplikacija izvlače se izravno iz trgovine App Store koja ne zadržava nikakve podatke iz tih zahtjeva.
Sigurnost Apple platforme 143 Sigurnost Appleovih proizvoda i certifikati o privatnosti
Pregled sigurnosti Appleovih proizvoda i certifikata o privatnosti Apple obavlja nezavisno certificiranje i ateste svojeg hardvera, softvera (uključujući operativne sustave i aplikacije) i usluga kako bi korisnicima pružio nezavisnu procjenu Appleovih praksi vezanih uz sigurnost i privatnost. Za pitanja o sigurnosti Appleovih proizvoda i certifikata o privatnosti, obratite se na [email protected].
Certifikati hardvera Za informacije o javnim certifikatima povezanim s hardverom i povezanim komponentama firmvera pogledajte:
• Certifikati o sigurnosti proizvoda za Apple T2 sigurnosni čip • Certifikati o sigurnosti proizvoda za Secure Enclave procesor
Certifikati o softveru Za informacije o javnim certifikatima povezanim s Appleovim operativnim sustavima pogledajte:
• Certifikati o sigurnosti proizvoda za iOS
• Certifikati o sigurnosti proizvoda za iPadOS • Certifikati o sigurnosti proizvoda za macOS • Certifikati o sigurnosti proizvoda za tvOS • Certifikati o sigurnosti proizvoda za watchOS
Certifikati o uslugama Za informacije o javnim certifikatima povezanim s Appleovim internetskim uslugama pogledajte:
• Certifikati o Appleovim internetskim uslugama
Sigurnost Apple platforme 144 Appleovo sigurnosno jamstvo Apple ustraje na cjelovitom pristupu korištenjem sigurnosnih certifikata kako bi korisnicima pružio prikladno jamstvo za sve Appleove platforme. Ipak, neka tehnička područja nemaju globalno prihvaćene, cjelovite sigurnosne standarde certificiranja. Za nekoliko certifikata koji su dobro definirani i globalno prihvaćeni, Apple ustraje i obavlja godišnje certificiranje u skladu sa svakim značajnijim izdanjem OS-a. Za pokrivenost u područjima koja nisu dovoljno obrađena Apple je aktivno uključen u razvoj nadolazećih sigurnosnih standarda. Naša je misija imati vodeću ulogu u razvoju globalno prihvaćene, cjelovite sigurnosne pokrivenosti certifikatima za Appleov hardver, softver i usluge.
Certifikati i ovjere hardvera i softvera Zahvaljučujući cjelovitom razvoju i upravljanju cijelom platformom od silikona do operativnog sustava, usluga i aplikacija, Apple započinje s ključnim elementima certifikata koji se primjenjuju na više platformi, gdje je primjenjivo. Jedan od tih ključnih elemenata je ovjera corecryptoa, koja se koristi za sva izdanja kriptografskog modula za softver i hardver unutar operativnih sustava koje je razvio Apple. Drugi ključni element je certificiranje Secure Enclave procesora, koji je sada ugrađen u mnoge Apple uređaje. Treći je certificiranje Secure Elementa, koji se nalazi u svim iPhone uređajima i Mac računalima sa značajkom Touch ID. Ti ključni elementi za certificiranje hardvera pružaju temelj za šire certificiranje sigurnosti platforme.
Provjere kriptografskog modula FIPS 140-2/3 (ISO/IEC 19790) Kriptografske module u operativnim sustavima društva Apple opetovano provjerava Program provjere kriptografskih modula (CMVP) koji je usklađen s američkim Saveznim standardom za obradu informacija (FIPS) 140-2 koji prati svako veliko izdanje operativnih sustava od 2012. Nakon svakog velikog izdanja Apple podnosi module CMVP-u radi cjelovite kriptografske provjere. Ti provjereni moduli obavljaju kriptografske radnje za usluge koje pruža Apple te ih mogu koristiti aplikacije drugih proizvođača.
Apple svake godine postiže Sigurnosnu razinu 1 za module temeljene na softveru: “CoreCrypto Module on Intel” i “CoreCrypto Kernel Module on Intel” za macOS, “CoreCrypto Module on ARM” i “CoreCrypto Kernel Module on ARM” za iOS, iPadOS, tvOS, watchOS i firmver na ugrađenom Apple T2 sigurnosnom čipu u Macu.
2019. godine društvo Apple postiglo je FIPS razinu sigurnosti 2 za ugrađeni hardverski modul identificiran kao “Apple Secure Enclave Processor (SEP) Secure Key Store (SKS) Cryptographic Module” koji omogućuje upotrebu SEP generiranih i upravljanih ključeva koju odobravaju vlasti. Apple će sa svakim sljedećim velikim izdanjem sustava OS i prema potrebi nastaviti stremiti ka višim razinama za hardverski modul.
FIPS 140-3 odobrilo je američko Ministarstvo trgovine 2019. godine. Najistaknutija promjena u ovoj verziji norme je upotreba ISO/IEC normi, ISO/IEC 19790:2015 i povezane norme za testiranje ISO/IEC 24759:2017. CMVP je pokrenuo program tranzicije i naznačio je da će se od 2020. godine kriptografski moduli provjeravati s pomoću FIPS 140-3 norme kao osnove. Cilj Apple kriptografskih modula bit će ispuniti i prijeći na FIPS 140-3 normu čim to praktično bude moguće.
Sigurnost Apple platforme 145 Za kriptografske module koji su trenutačno u procesu testiranja i provjere CMVP održava dva odvojena popisa koji mogu sadržavati informacije o predloženim provjerama. Za kriptografske module koji su na testiranju kod laboratorija s akreditacijom, modul može biti naveden u Popisu implementacija koje se testiraju. Nakon što ih laboratorij pošalje na provjeru u CMVP, kriptografski modul može biti prikazan u Popisu modula u obradi. Prvo pogledajte ova dva popisa obrade ako vas zanima status provjere modula ubrzo nakon važnijeg izdanja OS-a.
Certifikati proizvoda (Common Criteria ISO/IEC 15408) Common Criteria (ISO/IEC 15408) je standard koji koriste brojne organizacije kao temelj za obavljanje sigurnosnih evaluacija IT proizvoda.
Za certifikate koji su zajednički prepoznati u međunarodnom sporazumu Common Criteria Recognition Arrangement (CCRA) pogledajte Common Criteria Portal. Common Criteria standard također se može koristiti i izvan CCRA u nacionalnim i privatnim shemama provjere.
Cilj, kako ga navodi društvo Common Criteria, je pružanje međunarodno odobrenog seta sigurnosnih standarda radi pružanja jasne i pouzdane evaluacije sigurnosnih mogućnosti IT proizvoda. Pružanjem nezavisne procjene mogućnosti proizvoda da ispuni sigurnosne standarde, Common Criteria certifikat korisnicima daje dodatno povjerenje u sigurnost IT proizvoda i omogućuje donošenje informiranijih odluka.
Putem Common Criteria Recognition Arrangementa (CCRA), zemlje i regije članice složile su se prepoznati certificiranje IT proizvoda s istom razinom povjerenja. Članstvo i dubina te širina Zaštitnih profila (PP) nastavljaju rasti na godišnjoj razini kako bi se obuhvatile tehnologije u razvoju. Taj sporazum developeru proizvoda dozvoljava ispunjavanje jednog certifikata pod bilo kojom shemom autoriziranja.
Prethodni PP-ovi arhivirani su i zamijenjeni tijekom razvoja ciljanih Zaštitnih profila koji se fokusiraju na određena rješenja i okruženja. U zajedničkom naporu da se osigura zajedničko priznanje od strane svih članova CCRA, Međunarodna tehnička zajednica (iTC) nastavlja predvoditi budući razvoj i ažuriranja svih PP-ova kako bi se proizveli Zajednički zaštitni profili (cPP) koji su od početka razvijeni implementiranjem višestrukih shema.
Dokument koji navodi sigurnosne zahtjeve evaluirane za IT proizvod naziva se “Sigurnosni cilj” (ST); kako bi se postiglo navedeno jamstvo, uređaj treba biti konfiguriran kako je opisano u opisnom dokumentu koji je povezan s evaluacijom.
Jamstvo postignuto uporabom Common Criteria standarda izražava se uporabom zahtjeva za sigurnosno jamstvo koji mogu biti navedeni u Zaštitnom profilu (PP) ili ST-u. U Evaluation Assurance Levelsu (EAL) zajedno su grupirani često korišteni setovi zahtjeva za sigurnosna jamstva i mogu biti navedeni u PP-u i ST-u kako bi se omogućila usporedivost.
Apple je započeo s ispunjavanjem certifikata ove nove Common Criteria strukture pomoću odabranih PP-ova početkom 2015. Od 2015. godine, društvo Apple postiglo je certifikate za zajedničke sigurnosne kriterije (“Common Criteria”) (ISO/IEC 15408) za svako glavno izdanje sustava iOS i proširilo je pokrivenost kako bi uključilo jamstva koja pružaju novi Zaštitni profili (PP). To uključuje sljedeće:
iOS i iPadOS na mobilnim uređajima (iPhone i iPad)
• Certificiranje mobilnog uređaja
Sigurnost Apple platforme 146 • Profil osnovne zaštite mobilnog uređaja (Mobile Device Fundamental Protection Profile) (Certifikat za platformu) • PP-Modul za agenta MDM-a (MDM upravljanje platformom) • Funkcionalni paket za TLS (sva TLS komunikacija s platformom i prema njoj) • PP-Modul za VPN klijenta (Uvijek omogućeni VPN koji koristi IKEv2 za IPSEC) • Prošireni paket za bežične LAN klijente (autorizirani i kriptirani bežični pristup) • Certificiranje aplikacija • Aplikacijski softver (Kontakti) • Prošireni paket za web preglednike (preglednik Safari) Apple je preuzeo aktivnu ulogu unutar tehničkih zajednica usredotočenih na procjenu tehnologija za mobilnu sigurnost. To uključuje međunarodne tehničke zajednice (iTC) odgovorne za razvoj i ažuriranje zajedničkih Zaštitnih profila (cPP-ova). Apple nastavlja evaluirati i stremiti ka certifikatima za PP-ove i cPP-ove koji su dostupni danas i koji se tek razvijaju.
Certifikati Appleovih platformi za sjevernoameričko tržište općenito se obavljaju u suradnji s National Information Assurance Partnership (NIAP), koji održavaju popis projekata koji su trenutačno u evaluaciji, ali još nisu certificirani. Osim navedenih generalnih certifikata za platforme, drugi CC certifikati izdani su kako bi se demonstrirali određeni sigurnosni zahtjevi za neka tržišta.
Certifikati o uslugama Apple Inc. održava certifikate usklađene sa standardima poput ISO/IEC 27001 i 27018 kako bi se Appleovim korisnicima omogućilo ispunjavanje regulatornih i ugovornih obveza. Ti certifikati našim korisnicima omogućavaju nezavisno atestiranje Appleovih praksi vezanih uz sigurnost informacija i privatnost za obuhvaćene sustave.
• Certifikati o Appleovim internetskim uslugama
Sigurnost Apple platforme 147 Pojmovnik
Pojam Definicija
Administrativni profil plist koji potpisuje Apple a koji sadrži set entiteta i ovlaštenja koja dozvoljavaju aplikacijama da se instaliraju i testiraju na iOS uređaju. Razvojni administrativni profil navodi uređaje koje je developer odabrao za ad hoc distribuciju, a distribucijski administrativni profil sadrži ID aplikacije poslovne aplikacije.
AES Standard napredne enkripcije.
AES kriptografski modul Dedicirana hardverska komponenta koja implementira AES.
AES-XTS Mod AES-a definiran u IEEE 1619-2007 namijenjen za rad kod kriptiranja medija za pohranu.
APFS Apple sustav datoteka.
Apple nagrada za sigurnost Nagrada koju Apple daje istraživačima koji prijave ranjivost koja pogađa najnovije isporučene operativne sustave i, gdje je to relevantno, najnoviji hardver.
Apple usluga identiteta (IDS) Direktorij Appleovih javnih ključeva za iMessage, adresa APN-ova i telefonskih brojeva i e-mail adresa koji se koriste za traženje ključeva i adresa uređaja.
Appleov servis za prosljeđivanje obavijesti (APN-ovi) Appleov servis dostupan širom svijeta koji isporučuje push obavijesti na iOS i iPadOS uređaje.
Autorizacija softvera sustava Kombinira kriptografske ključeve ugrađene u hardver s online uslugom kako bi se osiguralo da se samo legitiman softver društva Apple, prikladan za podržane uređaje, isporučuje i instalira u trenutku nadogradnje.
Boot Camp Boot Camp podržava instalaciju sustava Microsoft Windows na Mac.
Boot ROM Sasvim prvi kôd koji izvršava procesor uređaja kad se tek pokrene. Kao sastavni dio procesora, ne može ga mijenjati ni Apple niti napadač.
CKRecord Rječnik parova ključ-vrijednost koji sadrže podatke spremljene na CloudKit ili dohvaćene s njega.
DMA Izravan pristup memoriji omogućuje hardverskim podsustavima da pristupe glavnoj memoriji.
ECDSA Algoritam digitalnog potpisa temeljen na kriptografiji eliptičnih krivulja.
Sigurnost Apple platforme 148 Pojam Definicija
Ekskluzivna identifikacija čipa (ECID) 64-bitni identifikator koji je jedinstven procesoru u svakom iOS uređaju. Kad se na uređaju odgovara na poziv, zvonjava obližnjeg iCloud-uparenog uređaja prekida se kratkim oglašavanjem putem Bluetooth Low Energy (BLE) 4.0. Bajti oglašavanja kriptiraju se istom metodom kao i Handoff oglasi. Koristi se kao dio postupka personalizacije, ne smatra se tajnom.
eSPI Sabirnica Poboljšano serijsko periferno sučelje za sinkroniziranu serijsku komunikaciju.
iBoot Kôd koji učitava XNU, kao dio lanca sigurnog podizanja. Ovisno o generiranju SoC-a, iBoot može učitati LLB ili izravno boot ROM.
ID grupe (GID) Slično UID-u, ali zajednički svakom procesoru u klasi.
Integrirani sklop (IC) Poznat i kao mikročip.
Jedinstveni ID (UID) 256-bitni AES ključ koji se snima na svaki procesor kod proizvodnje. Ne može ga čitati firmver ili softver i koristi ga samo AES modul hardvera procesora. Za dobivanje stvarnog ključa napadač bi trebao pokrenuti jako sofisticirani i skupi fizički napad na silicij procesora. UID nije povezan s nijednim drugim identifikatorom na uređaju, uključujući ali se ne ograničavajući na, UDID.
Ključ medija Dio hijerarhije enkripcijskog ključa koji pomaže u pružanju sigurnog i brzog brisanja. Na iOS-u, iPadOS-u, tvOS-u i watchOS-u, ključ medija omotava metapodatke na podatkovnoj jedinici (te je stoga bez njega pristup svim ključevima po datoteci nemoguć, pošto su sve datoteke zaštićene Zaštitom podataka obrađene kao nedostupne). Na macOS-u, ključ medija omotava materijal za izradu ključa, sve metapodatke i podatke na jedinici s FileVault zaštitom. U svim tim slučajevima, brisanje ključa medija uzrokuje da se kriptirani podaci obrade kao nedostupni.
Ključ po datoteci 256-bitni ključ koji se koristi za kriptiranje datoteke u sustavu datoteka pomoću AES128-XTS, pri čemu je 256-bitni podijeljen da osigura i 128-bitni ključ za podešavanje i 128-bitni ključ šifre. Ključ po datoteci omotan je ključem klase i pohranjen u metapodatke datoteke.
Ključ sustava datoteka Ključ koji kriptira metapodatke svake datoteke, uključujući njen ključ klase. Čuva se u Obrisivoj memoriji radi olakšanja brzog brisanja, prije nego povjerljivosti.
Kontroler memorije Podsustav u SoC-u koji upravlja sučeljem između SoC-a i njegove glavne memorije.
Low-Level Bootloader (LLB) Na Mac računalima s dvofaznom arhitekturom podizanja, kôd koji poziva Boot ROM, i kojoj učitava iBoot, kao dio lanca sigurnog podizanja.
Mapiranje potkožnog reljefnog kuta toka Matematički izraz smjera i širine reljefa izdvojenih iz dijela otiska prsta.
Sigurnost Apple platforme 149 Pojam Definicija
Mod nadogradnje firmvera uređaja (DFU) Mod u kojem kôd boot ROM-a uređaja čeka da se obnovi putem USB-a. Kad je uređaj u DFU modu zaslon je crn, ali nakon spajanja na računalo s pokrenutom aplikacijom iTunes, prikazuje se sljedeća obavijest: “iTunes je zabilježio (iPad, iPhone ili iPod touch) u Modu oporavka. Korisnik mora obnoviti ovaj (iPad, iPhone ili iPod touch) prije nego ga može koristiti s aplikacijom iTunes.”
Mod oporavka Mod oporavka koristi se za obnovu iOS uređaja ili Apple TV-a ako iTunes (samo za iOS uređaje) ne prepoznaje uređaj korisnika ili kaže da je u Modu oporavka, zaslon je zapeo na Apple logotipu na nekoliko minuta bez trake napretka ili se pojavljuje zaslon za spajanje na iTunes.
NAND Stabilna flash memorija.
Obrisiva memorija Dedicirano područje NAND memorije koje se koristi za pohranjivanje kriptografskih ključeva koji se mogu adresirati izravno i sigurno obrisati. Iako ne pruža zaštitu ako je napadač u fizičkom posjedu uređaja, ključevi koji se čuvaju u Obrisivoj memoriji mogu se koristiti kao dio hijerarhije ključeva radi olakšanja brzog brisanja i unaprijedne sigurnosti.
Omatanje ključeva Kriptiranje jednog ključa drugim. iOS koristi NIST AES omatanje ključeva, sukladno RFC 3394.
Privjesak ključeva Infrastruktura i komplet API-ja koje koriste iOS i aplikacije drugih proizvođača za pohranu i dohvat lozinki, ključeva i drugih osjetljivih vjerodajnica.
Randomizacija izgleda adresnog prostora (ASLR) Tehnika koju koristi iOS kako bi uspješno iskorištavanje od strane softverske greške učinio puno težim. Osiguravajući nepredvidljivost memorijskih adresa i pomaka, kôd iskorištavanja ne može kodirati te vrijednosti. U sustavu iOS 5 ili novijem, pozicija svih aplikacija i biblioteka sustava također je randomizirana, zajedno sa svim aplikacijama drugih proizvođača koje su kompilirane kao izvršne datoteke s neovisnom pozicijom.
Razmjena putem protokola Elliptic Curve Diffie-Hellman Razmjena putem protokola Elliptic Curve Diffie-Hellman (ECDHE) s kratkotrajnim ključevima. ECDHE dozvoljava dvjema stranama da se dogovore oko tajnog ključa na način koji sprječava da ključ otkrije prisluškivač koji gleda poruke između dviju strana.
Registar napretka podizanja sustava (BPR) Skup hardverskih oznaka SoC-a koje softver može koristiti za praćenje modova podizanja u koje je uređaj ušao, kao što je DFU mod i Mod oporavka. Kad se postavi oznaka Registar napretka podizanja, ne može se obrisati. Time se omogućuje da kasniji softver dobije pouzdan indikator stanja sustava.
Sef za podatke Mehanizam koji uspostavlja kernel, a koji štiti od neovlaštenog pristupa podacima bez obzira je li aplikacija koja ih traži u Sandboxu.
Sigurnosni modul hardvera (HSM) Specijalizirano računalo zaštićeno od neovlaštenog pristupa koje čuva digitalne ključeve i upravlja njima.
Sigurnost Apple platforme 150 Pojam Definicija
Softverski bitovi seeda Dedicirani bitovi u Secure Enclave AES modulu koji se dodaju na UID kod generiranja ključeva iz UID-a. Svaki softverski bit seeda ima odgovarajući bit zaključavanja. Secure Enclave Boot ROM i OS mogu neovisno promijeniti vrijednost svakog softverskog bita seeda dok god nije postavljen odgovarajući bit zaključavanja. Kad se postavi bit zaključavanja, ne mogu se mijenjati ni softverski bit seeda niti bit zaključavanja. Softverski bitovi seeda i njihovi bitovi zaključavanja resetiraju se kad se Secure Enclave ponovno podigne.
SSD kontroler Podsustav hardvera koji upravlja medijima za pohranu (solid-state pogon).
Sustav na čipu (SoC) Integrirani sklop (IC) koji uključuje više komponenti u jedan čip. Procesor aplikacije, Secure Enclave i drugi koprocesori komponente su SoC-a.
T2 DFU mod Mod Nadogradnje firmvera uređaja (DFU) za Apple T2 sigurnosni čip.
UEFI firmver Unificirano sučelje proširivog firmvera, zamjenska tehnologija za BIOS za spajanje firmvera na operativni sustav računala.
Uniformni resursni identifikator (URI) Niz znakova koji identificiraju resurs temeljen na webu.
Upravljanje mobilnim uređajem (MDM) Usluga koja korisniku omogućuje udaljeno upravljanje prijavljenim uređajima. Kad se uređaj prijavi, korisnik može koristiti MDM usluge preko mreže za konfiguraciju postavki i izvršavanje drugih zadataka na uređaju bez interakcije korisnika.
XNU Jezgra u srcu operativnih sustava iOS i iPadOS. Pretpostavlja se da je pouzdana i provodi sigurnosne mjere poput potpisivanja koda, stavljanja u ograničeno okruženje (“sandboxing”), provjere ovlaštenja i ASLR.
Zajednička grupa za testiranje (JTAG) Standardni alat za uklanjanje grešaka hardvera koji koriste programeri i developeri sklopova.
Zapetljavanje (“Tangling”) Proces kojim se šifra korisnika pretvara u kriptografski ključ i osnažuje s UID-om korisnika. Ovime se osigurava da je na danom uređaju potrebno izvršiti napad uzastopnim pokušavanjem, te je tako ograničen brzinom i ne može se odvijati u paraleli. Algoritam zapetljavanja je PBKDF2 koji koristi AES ključ s UID-om uređaja kao pseudonasumičnom funkcijom (PRF) za svaku iteraciju.
Zaštita integriteta koprocesora sustava (SCIP) Koprocesori sustava su CPU-ovi na istom SoC-u kao i procesor aplikacije.
Zaštita podataka Mehanizam zaštite datoteka i Privjeska ključeva za iOS. Također se može odnositi na API-je koje aplikacije koriste za zaštitu datoteka i stavki u Privjesku ključeva.
Sigurnost Apple platforme 151 Pojam Definicija
Zbirka ključeva Struktura podataka koja se koristi za pohranu kolekcije ključeva klase. Svaka vrsta (korisnik, uređaj, sustav, sigurnosna kopija, escrow ili iCloud sigurnosna kopija) ima isti format. Zaglavlje koje sadrži: Verziju (podešenu na četiri u sustavu iOS 12 ili novijem), Vrstu (sustav, sigurnosnu kopiju, escrow ili iCloud sigurnosnu kopiju), UUID zbirke ključeva, HMAC ako je zbirka ključeva potpisana i metodu korištenu za omatanje ključeva klase, zapetljavanje s UID-om ili PBKDF2-om, zajedno s brojačem salta i iteracija. Popis ključeva klase: UUID ključa, klasa (koja datoteka ili klasa Zaštite podataka Privjeska ključeva), vrsta omatanja (samo ključ izveden iz UID-a; ključ izveden iz UID-a i ključ izveden iz šifre), omotani ključ klase i javni ključ za asimetrične klase
Sigurnost Apple platforme 152 Prethodne revizije dokumenta
Datum Sažetak
Travanj 2020. Ažurirano za: • iOS 13.4 • iPadOS 13.4 • macOS 10.15.4 • tvOS 13.4 • watchOS 6.2 Ažuriranja: • Odspajanje mikrofona iPada dodano u Hardversko isključivanje mikrofona u Macu i iPadu. • Sefovi podataka dodani u Kako Apple štiti osobne podatke korisnika. • Ažuriranja odjeljaka Uporaba Bootstrap tokena, Korisničko podešavanje, Podešavanje organizacije i Alati s komandnim retkom. • Dodaci o Alatu za uklanjanje zloćudnog softvera u odjeljku Zaštita od zloćudnog softvera. • Ažuriranja odjeljaka Pregled dijeljenog iPada, Prijava u Dijeljeni iPad i Odjava iz Dijeljenog iPada. • Nova tema Pregled sigurnosti Appleovih proizvoda i certifikata o privatnosti. • Ažuriranja odjeljaka Pregled sigurnosti Appleovih proizvoda i certifikata o privatnosti i Appleovo sigurnosno jamstvo.
Prosinac 2019. Spojeno s Uputama za sigurnost sustava iOS, Pregledom sigurnosti sustava macOS i Pregledom Apple T2 sigurnosnog čipa
Ažurirano za: • iOS 13.3 • iPadOS 13.3 • macOS 10.15.2 • tvOS 13.3 • watchOS 6.1.1 Uklonjene su značajke Kontrole privatnosti, Siri i Siri prijedlozi te inteligentno sprječavanje praćenja u Safariju. Za najnovije informacije o tim značajkama pogledajte https://www.apple.com/hr/privacy/.
Svibanj 2019. Ažurirano za iOS 12.3 • Podrška za TLS 1.3 • Revidirani opis zaštite za AirDrop • DFU mod i mod oporavka • Zahtjevi šifre za veze dodatnog pribora.
Sigurnost Apple platforme 153 Datum Sažetak
Studeni 2018. Ažurirano za iOS 12.1 • Grupni FaceTime.
Rujan 2018. Ažurirano za iOS 12 • Secure Enclave • Zaštita integriteta sustava OS • Express Card sa štednjom energije • DFU mod i mod oporavka • Dodatni pribori za HomeKit TV Remote • Beskontaktne propusnice • Studentske iskaznice • Siri prijedlozi • Prečaci u Siri • Aplikacija Prečaci • Upravljanje lozinkom korisnika • Vrijeme uporabe zaslona • Sigurnosni certifikati i programi.
Srpanj 2018. Ažurirano za iOS 11.4 • Biometrijska politika • HomeKit • Apple Pay • Dopisivanje s poduzećem • Poruke u iCloudu • Apple Business Manager.
Prosinac 2017. Ažurirano za iOS 11.2 • Apple Pay Cash.
Listopad 2017. Ažurirano za iOS 11.1 • Sigurnosni certifikati i programi • Touch ID/Face ID • Dijeljene bilješke • Enkripcija CloudKita s kraja na kraj • Ažuriranje za TLS • Apple Pay, Plaćanje značajkom Apple Pay na webu • Siri prijedlozi • Dijeljeni iPad.
Srpanj 2017. Ažurirano za iOS 10.3 • Secure Enclave • Zaštita podataka datoteke • Zbirke ključeva • Sigurnosni certifikati i programi • SiriKit • HealthKit • Sigurnost mreže • Bluetooth • Dijeljeni iPad • Mod izgubljenog uređaja • Zaključavanje aktivacije • Kontrole privatnosti.
Sigurnost Apple platforme 154 Datum Sažetak
Ožujak 2017. Ažurirano za iOS 10 • Sigurnost sustava • Klase Zaštite podataka • Sigurnosni certifikati i programi • HomeKit, ReplayKit, SiriKit • Apple Watch • Wi-Fi, VPN • Jednostruka prijava • Apple Pay, Plaćanje značajkom Apple Pay na webu • Administriranje kreditnih, debitnih i prepaid kartica • Safari prijedlozi.
Svibanj 2016. Ažurirano za iOS 9.3 • Upravljani Apple ID • Dvofaktorska autentikacija za Apple ID • Zbirke ključeva • Sigurnosni certifikati • Mod izgubljenog uređaja, Zaključavanje aktivacije • Sigurne bilješke • Apple School Manager • Dijeljeni iPad.
Rujan 2015. Ažurirano za iOS 9 • Zaključavanje aktivacije Apple Watcha • Politika šifri • API podrška za Touch ID • Zaštita podataka na A8 upotrebama AES-XTS • Zbirke ključeva za ažuriranje softvera bez nadzora • Ažuriranja certifikata • Model pouzdanosti poslovne aplikacije • Zaštita podataka za Safari knjižne oznake • Sigurnost prijenosa aplikacija • Specifikacije VPN-a • iCloud udaljeni pristup za HomeKit • Apple Pay trgovačke kartice, aplikacija izdavatelja Apple Pay kartice • Spotlight indeksiranje na uređaju • iOS model uparivanja • Apple Configurator 2 • Ograničenja.
Sigurnost Apple platforme 155 Apple Inc. © 2020 Apple Inc. Sva prava pridržana.
Apple, logotip Apple, AirDrop, AirPlay, Apple Music, Apple Pay, Apple TV, Apple Watch, CarPlay, Face ID, FaceTime, FileVault, Finder, FireWire, Handoff, iMac, iMac Pro, iMessage, iPad, iPad Air, iPhone, iPod, iPod touch, iTunes, iTunes U, Privjesak ključeva, Lightning, Mac, MacBook, MacBook Air, MacBook Pro, macOS, Objective-C, OS X, QuickType, Safari, Siri, Siri Remote, Spotlight, Touch ID, TrueDepth, watchOS i Xcode zaštitni su znakovi društva Apple Inc., registriranog u SAD-u i drugim državama.
Apple Books, Apple Wallet, HealthKit, HomeKit, HomePod, iPadOS, SiriKit i tvOS zaštitni su znakovi društva Apple Inc.
AppleCare, App Store, CloudKit, iCloud, iCloud Drive, iCloud Keychain i iTunes Store uslužni su znakovi društva Apple Inc., registriranog u SAD-u i drugim državama.
IOS je zaštitni znak ili registrirani zaštitni znak društva Cisco u SAD-u i ostalim zemljama i njegova upotreba je licencirana.
Bluetooth® oznaka naziva i logotipovi registrirani su zaštićeni znakovi društva Bluetooth SIG, Inc. i svaka upotreba tih oznaka od strane društva Apple Inc. je licencirana.
Java je registrirani zaštitni znaka društva Oracle i/ili njegovih povezanih društava.
UNIX® je registrirani zaštitni znak društva The Open Group.
Ostali nazivi društava i proizvoda koji se ovdje spominju mogu biti zaštićeni znakovi njihovih društava. Specifikacije proizvoda podliježu promjenama bez prethodne obavijesti.
Apple One Apple Park Way Cupertino, CA 95014 apple.com
CR028-00205
Sigurnost Apple platforme 156