Zabezpečenie platforiem Apple Jar 2020 Obsah

Úvod do zabezpečenia platforiem Apple 5

Záväzok ohľadom zabezpečenia 6

Zabezpečenie hardvéru a biometria 8

Prehľad zabezpečenia hardvéru 8 Secure Enclave 9 Vyhradený systém AES 10 Touch ID a Face ID 12 Hardvérové odpojenie mikrofónu na Macu a iPade 17 Express Card s rezervou energie na iPhone 17

Zabezpečenie systému 18

Prehľad zabezpečenia systému 18 Generovanie náhodných čísiel 18 Zabezpečené štartovanie 19 Zabezpečené aktualizácie softvéru 30 Integrita operačného systému v systémoch iOS a iPadOS 31 Integrita operačného systému v macOS 33 Zabezpečenie systému vo watchOS 40

Šifrovanie a ochrana dát 43

Prehľad šifrovania a ochrany dát 43 Ako spoločnosť Apple chráni osobné informácie užívateľov 43 Úloha súborového systému Apple File System 44 Ochrana dát v iOS a iPadOS 45 Šifrovanie v macOS 51 Kódy a heslá 58 Overenie a digitálne podpisovanie 60 Keybagy 61

Zabezpečenie platforiem Apple 2 Zabezpečenie apiek 65

Prehľad zabezpečenia apiek 65 Zabezpečenie apiek v systémoch iOS a iPadOS 66 Zabezpečenie apiek v systéme macOS 71 Bezpečnostné funkcie v apke Poznámky 74 Bezpečnostné funkcie v apke Skratky 75

Zabezpečenie služieb 77

Prehľad zabezpečenia služieb 77 Apple ID a spravované Apple ID 77 iCloud 79 Správa kódov a hesiel 83 90 iMessage 103 Zákaznícky čet 106 FaceTime 106 Nájsť 107 Kontinuita 110

Zabezpečenie sietí 114

Prehľad zabezpečenia sietí 114 Zabezpečenie sietí TLS 114 Siete typu Virtual Private Network (VPN) 115 Zabezpečenie Wi-Fi 116 Zabezpečenie Bluetooth 119 Technológia Ultra Wideband 121 Jednorazové prihlásenie 121 Zabezpečenie AirDropu 122 Zdieľanie hesiel Wi-Fi 123 Firewall v macOS 124

Vývojárske sady 125

Prehľad vývojárskych sád 125 HomeKit 125 HealthKit 131 CloudKit 133 SiriKit 133 DriverKit 134 ReplayKit 134 Kamera a ARKit 136

Zabezpečenie platforiem Apple 3 Zabezpečená správa zariadení 137

Prehľad zabezpečenej správy zariadení 137 Model párovania 137 Správa nastavení kódov a hesiel 138 Vynútenie konfigurácií 139 Správa mobilných zariadení (MDM) 140 Automatizovaná registrácia zariadenia 141 Apple Configurator 2 142 Dohľad nad zariadením 143 Obmedzenia zariadení 143 Zámok aktivácie 143 Režim Stratené, vzdialené vymazanie a vzdialené zamknutie 145 Zdieľaný iPad 146 Čas pred obrazovkou 147

Certifikácie spoločnosti Apple v oblasti zabezpečenia a ochrany súkromia 150

Prehľad certifikácií spoločnosti Apple v oblasti zabezpečenia a ochrany súkromia 150 Záruka zabezpečenia produktov Apple 151

Glosár 154

História revízií dokumentu 159

Zabezpečenie platforiem Apple 4 Úvod do zabezpečenia platforiem Apple

Spoločnosť Apple zapracováva zabezpečenie do samotného jadra svojich platforiem. Na základe skúseností získaných pri vytváraní najpokročilejšieho operačného systému pre mobilné zariadenia na svete spoločnosť Apple vytvorila bezpečnostnú architektúru, ktorá zohľadňuje unikátne požiadavky mobilných zariadení, hodiniek, stolových počítačov a domácností.

Každé Apple zariadenie je kombináciou hardvéru, softvéru a služieb, ktoré vzájomne spolupracujú tak, aby poskytovali maximálne zabezpečenie a transparentný užívateľský zážitok. Všetky tieto komponenty slúžia najvyššiemu cieľu, ktorým je ochrana osobných informácií užívateľov. Kritické bezpečnostné funkcie posilňuje prispôsobený bezpečnostný hardvér. Softvérové ochrany fungujú tak, aby udržiavali zabezpečený operačný systém aj apky tretích strán. Služby poskytujú mechanizmus na bezpečné a včasné softvérové aktualizácie, posilňujú bezpečnejší ekosystém apiek, zabezpečenú komunikáciu a platby a poskytujú bezpečnejší užívateľský zážitok na internete. Apple zariadenia chránia nielen samotné zariadenie a dáta na ňom, ale celý ekosystém vrátane všetkého, čo robia užívatelia lokálne, na sieťach a pri používaní kľúčových internetových služieb.

Tak ako vytvárame naše produkty, aby boli jednoduché, intuitívne a výkonné, vytvárame ich aj tak, aby boli bezpečné. Kľúčové bezpečnostné funkcie, ako napríklad hardvérové šifrovanie zariadenia, nie je možné omylom vypnúť. Ďalšie funkcie, ako napríklad Touch ID a Face ID, zlepšujú užívateľskú skúsenosť, vďaka čomu je zabezpečenie zariadenia jednoduchšie a intuitívnejšie. A keďže mnoho funkcií je zapnutých už v predvolenom nastavení, užívatelia či oddelenia IT nemusia vykonávať žiadne rozsiahle konfigurácie.

Táto dokumentácia poskytuje podrobnosti o spôsobe implementácie bezpečnostných technológií a funkcií na platformách spoločnosti Apple. Pomáha tiež organizáciám kombinovať bezpečnostné technológie a funkcie platformy Apple so svojimi vlastnými pravidlami a procedúrami, aby spĺňali ich bezpečnostné potreby.

Obsah je usporiadaný do týchto tematických oblastí:

• Zabezpečenie hardvéru a biometria: Hardvér, ktorý predstavuje základy zabezpečenia Apple zariadení vrátane Secure Enclave, vyhradeného kryptosystému AES, Touch ID a Face ID.

• Zabezpečenie systému: Integrované hardvérové a softvérové funkcie, ktoré sa starajú o zabezpečené štartovanie a prebiehajúce operácie operačných systémov Apple.

• Šifrovanie a ochrana dát: Architektúra a dizajn, ktoré chránia užívateľské dáta v prípade straty alebo krádeže zariadenia, alebo ak sa neoprávnené osoby alebo procesy pokúsia o ich použitie alebo úpravu.

• Zabezpečenie apiek: Softvér a služby, ktoré poskytujú bezpečný ekosystém pre apky a umožňujú ich zabezpečené fungovanie bez ohrozovania integrity celej platformy.

Zabezpečenie platforiem Apple 5 • Zabezpečenie služieb: Služby Apple na identifikáciu, správu hesiel, platby, komunikáciu a hľadanie stratených zariadení.

• Zabezpečenie sietí: Sieťové protokoly zodpovedajú štandardom odvetvia, ktoré poskytujú zabezpečené overovanie a šifrovanie prenášaných dát.

• Vývojárske sady: Štruktúry na zabezpečenú a súkromnú správu domácnosti a zdravia, ako aj rozšírenie možností zariadenia a služieb Apple pre apky tretích strán.

• Zabezpečená správa zariadení: Metódy, ktoré umožňujú správu zariadení Apple, zabraňujú neoprávnenému používaniu a umožňujú vzdialené vymazanie v prípade straty alebo krádeže zariadenia.

• Certifikácie zabezpečenia a ochrany súkromia: Informácie o certifikáciách ISO, kryptografickom hodnotení, certifikácii Common Criteria Certification a programe Commercial Solutions for Classified (CSfC).

Záväzok ohľadom zabezpečenia Spoločnosť Apple je odhodlaná pomáhať pri ochrane svojich zákazníkov pomocou najlepších bezpečnostných technológií a technológií na ochranu súkromia určených na ochranu osobných informácií, s cieľom chrániť korporačné dáta v podnikových prostrediach. Spoločnosť Apple oceňuje výskumníkov za prácu, počas ktorej odhaľujú zraniteľné miesta, a ponúka im bezpečnostnú odmenu Apple. Podrobné informácie o programe odmeňovania a jednotlivých kategóriách odmien nájdete na stránke https://developer.apple.com/ security-bounty/.

Na podporu všetkých produktov Apple máme osobitný bezpečnostný tím. Poskytuje bezpečnostné audity a testuje naše produkty, a to vo vývoji aj po ich vydaní. Tím Apple tiež poskytuje bezpečnostné nástroje a školenia, a aktívne monitoruje hrozby a nahlasuje nové bezpečnostné problémy. Spoločnosť Apple je členom organizácie Forum of Incident Response and Security Teams (FIRST).

Spoločnosť Apple neustále posúva hranice možného v oblasti zabezpečenia a súkromia. Napríklad služba Nájsť používa existujúce kryptografické primitíva, ktoré umožňujú používať prelomové distribuované vyhľadávanie offline Macu bez toho, aby komukoľvek vrátane spoločnosti Apple odhaľovala identitu alebo lokalizačné dáta ľubovoľného zo zainteresovaných užívateľov. Na zvýšenie zabezpečenia firmvéru počítačov Mac vyvinula spoločnosť Apple obdobu tabuliek stránok, ktoré blokujú nežiaduci prístup z periférií, a to v takom skorom štádiu procesu štartovania, kedy pamäť RAM ešte nie je načítaná. Keďže útočníci neustále zvyšujú úroveň sofistikovanosti techník využívajúcich zraniteľné miesta, spoločnosť Apple v prípade iPhonu a iPadu dynamicky ovláda oprávnenia spúšťania pamäte a využíva pri tom vlastné inštrukcie procesora, ktoré nie sú dostupné na žiadnych iných mobilných zariadeniach, čím bráni ich kompromitovaniu. Okrem neustálej inovácie nových bezpečnostných funkcií sú všetky nové funkcie navrhované so zreteľom na súkromie a bezpečnosť.

S cieľom čo najlepšie využívať rozsiahle bezpečnostné funkcie vstavané v našich platformách sa organizáciám odporúča kontrolovať svoje pravidlá pre IT a zabezpečenie v záujme toho, aby naplno využívali vrstvy bezpečnostných technológií, ktoré tieto platformy ponúkajú.

Ak chcete zistiť viac o nahlasovaní problémov spoločnosti Apple a o odoberaní bezpečnostných hlásení, pozrite si tému Nahlasovanie zraniteľnosti zabezpečenia alebo súkromia.

Zabezpečenie platforiem Apple 6 Spoločnosť Apple pokladá súkromie za základné ľudské právo a svoje produkty vybavuje množstvom ovládacích prvkov a možností, ktoré umožňujú užívateľom rozhodnúť sa, ako a kedy môžu apky používať ich informácie a aké informácie môžu používať. Viac informácií o prístupe spoločnosti Apple k ochrane súkromia, ovládacích prvkoch na ochranu súkromia na Apple zariadeniach a zásadách ochrany súkromia spoločnosti Apple nájdete na stránke https://www.apple.com/privacy.

Poznámka: Pokiaľ to nie je uvedené inak, táto dokumentácia sa týka nasledujúcich verzií operačných systémov: iOS 13.4, iPadOS 13.4, macOS 10.15.4, tvOS 13.4 a watchOS 6.2.

Zabezpečenie platforiem Apple 7 Zabezpečenie hardvéru a biometria

Prehľad zabezpečenia hardvéru Zabezpečený softvér vyžaduje, aby boli základy jeho bezpečnosti vbudované do hardvéru. Preto majú Apple zariadenia používajúce systémy iOS, iPadOS, macOS, watchOS alebo tvOS svoje bezpečnostné funkcie zapracované priamo v silikóne. Patria sem prispôsobené schopnosti CPU, ktoré posilňujú bezpečnostné funkcie systému a silikón so zreteľom na bezpečnostné funkcie. Najkritickejším komponentom je koprocesor Secure Enclave, ktorým sú vybavené všetky moderné iOS, iPadOS, watchOS a tvOS zariadenia, ako aj všetky počítače Mac s bezpečnostným procesorom Apple T2. Secure Enclave poskytuje základy pre šifrovanie dát počas nečinnosti, zabezpečené štartovanie v macOS a biometriu.

Všetky moderné iPhony, iPady a počítače Mac s procesorom T2 obsahujú vyhradený hardvérový systém AES na výkonnejšie a rýchlejšie šifrovanie počas zapisovania alebo načítavania súborov. Zaisťuje sa tým, že Ochrana dát a FileVault chránia súbory užívateľa bez vystavovania dlhodobo pôsobiacich šifrovacích kľúčov CPU alebo operačnému systému. Ďalšie informácie o tom, ktorý Apple hardvér obsahuje Secure Enclave, nájdete v prehľade Secure Enclave.

Zabezpečené štartovanie Apple zariadení zaisťuje, že nedochádza k neoprávneným zásahom do najnižších úrovní softvéru a že sa pri štartovaní načíta len dôveryhodný operačný systém. V iOS a iPadOS zariadeniach sa zabezpečenie začína s nemenným kódom Boot ROM, ktorý sa vkladá počas výroby procesora a je známy ako hardvérový koreň dôveryhodnosti. Na počítačoch Mac s bezpečnostným čipom T2 stojí na počiatku dôveryhodnosti zabezpečeného štartovania macOS samotný čip T2. (T2 aj Secure Enclave zároveň vykonajú vlastný proces zabezpečeného štartovania.)

Secure Enclave zapína v Apple zariadeniach Touch ID a Face ID na možnosť zabezpečeného overenia tak, aby boli biometrické dáta uchovávané v súkromí a bezpečí. Užívateľom to umožňuje využívať zabezpečenie dlhších a komplexnejších hesiel v kombinácii s často pohodlnejším a rýchlejším overením.

Bezpečnostné funkcie Apple zariadení umožňuje kombinácia fyzického vyhotovenia, hardvéru, softvéru a služieb dostupných len od spoločnosti Apple.

Zabezpečenie platforiem Apple 8 Secure Enclave

Prehľad Secure Enclave Secure Enclave je bezpečnostný koprocesor, ktorého súčasťou je hardvérový správca kľúčov izolovaný od hlavného procesora s cieľom poskytovať dodatočnú vrstvu zabezpečenia. Secure Enclave je hardvérová funkcia niektorých verzií iPhonu, iPadu, Macu, Apple TV, a HomePodu, a to konkrétne:

• iPhone 5s (alebo novší) • iPad Air (alebo novší) • Počítačov Mac vybavených procesorom T1 alebo bezpečnostným procesorom Apple T2 • Apple TV 4. generácia (alebo novší) • Apple Watch Series 1 (alebo novší) • HomePod Dáta kľúčov sú šifrované v systéme na procesore (SoC) modulu Secure Enclave, ktorého súčasťou je generátor náhodných čísel.

Secure Enclave okrem toho zachováva integritu svojich kryptografických operácií aj v prípade útoku na kernel zariadenia. Komunikácia medzi Secure Enclave a procesorom apiek je dôkladne kontrolovaná tak, že je izolovaná v poštovej schránke riadenej prerušeniami a v dátových bufferoch zdieľanej pamäte.

Procesor Secure Enclave.

Vyhradená Boot ROM a služby neopakovateľnosti

Vyhradená štartovacia pamäť Boot ROM Secure Enclave obsahuje vyhradenú štartovaciu pamäť Boot ROM Secure Enclave. Secure Enclave Boot ROM je podobná procesoru apiek Boot ROM – je to nemenný kód, ktorý vytvára hardvérový koreň dôveryhodnosti pre Secure Enclave. Zároveň používa špeciálny operačný systém Secure Enclave založený na vlastnom mikrokernely radu L4. Tento OS Secure Enclave je podpísaný spoločnosťou Apple, overený pamäťou Secure Enclave Boot ROM a aktualizovaný prispôsobeným procesom softvérových aktualizácií.

Zabezpečenie platforiem Apple 9 Pri spúšťaní zariadenia vytvorí Secure Enclave Boot ROM krátkodobý kľúč na ochranu pamäte, vpletený s unikátnym ID (UID) zariadenia a slúžiaci na zašifrovanie priestoru pamäte zariadenia patriaceho Secure Enclave. S výnimkou sa pamäť Secure Enclave overuje aj pomocou kľúča na ochranu pamäte. Na A11 (a novších) a na SoC S4 sa na zabránenie opakovateľnosti pamäte Secure Enclave kritickej pre zabezpečenie používa kľúč integrity, ktorý sa overuje kľúčom na ochranu pamäte a elementom uloženým na SRAM procesore.

V iOS a iPadOS sú súbory šifrované priamo počas zápisu na dátový oddiel pomocou kľúča previazaného s UID modulu Secure Enclave a jednorazovým elementom neopakovateľnosti. Na SoC A9 (a novších) používa element neopakovateľnosti entropiu vygenerovanú hardvérovým generátorom náhodných čísel. Podpora pre element neopakovateľnosti je zakotvená vo vyhradenom integrovanom obvode (IC) stálej pamäte. Na počítačoch Mac s bezpečnostným čipom Apple T2 je hierarchia kľúčov FileVaultu podobne prepojená s UID modulu Secure Enclave.

Na zariadeniach s A12 (a novším) a SoC S4 je modul Secure Enclave spárovaný s IC zabezpečeným úložiskom na úschovu elementu neopakovateľnosti. IC zabezpečeného úložiska je vybavený nemenným kódom ROM, hardvérovým generátorom náhodných čísel, kryptografickými systémami a detekciou fyzického narušenia. Na čítanie a aktualizáciu elementu využíva Secure Enclave a IC zabezpečený protokol, ktorý zaisťuje exkluzívny prístup k elementu.

Služby neopakovateľnosti Služby neopakovateľnosti v Secure Enclave sa používajú na zneplatnenie dát pri udalostiach, ktoré znamenajú limity neopakovateľnosti, napríklad pri udalostiach:

• Zmena kódu • Zapnutie alebo vypnutie Touch ID alebo Face ID • Pridanie alebo odstránenie odtlačku prsta Touch ID alebo tváre Face ID • Resetovanie Touch ID alebo Face ID • Pridanie alebo odstránenie karty Apple Pay • Vymazanie celého obsahu a nastavení

Vyhradený systém AES Každé Apple zariadenie so Secure Enclave má vyhradený kryptosystém AES-256 zabudovaný do cesty DMA medzi úložiskom flash a hlavnou systémovou pamäťou, vďaka čomu je šifrovanie súborov vysokoefektívne. Na procesoroch A9 alebo novších série A je úložný podsystém flash na izolovanej zbernici, ktorej sa poskytuje prístup k pamäti obsahujúcej užívateľské dáta cez krypto systém DMA.

Secure Enclave zabezpečeným spôsobom generuje svoje vlastné kľúče – unikátne ID (UID), skupinové ID zariadení (GID) a ďalšie, a v prípade potreby uložené kľúče zabezpečeným spôsobom vymaže. Tieto kľúče sú 256-bitové AES kľúče zlúčené (UID) alebo kompilované (GID) do modulu Secure Enclave počas výroby. Žiadny softvér ani firmvér ich nedokáže načítať priamo a má prístup len k výsledku operácií šifrovania alebo dešifrovania vykonávaných vyhradenými systémami AES zabudovanými v silikóne pomocou daných UID alebo GID vo forme kľúča.

Zabezpečenie platforiem Apple 10 Procesor apiek a Secure Enclave majú vlastné UID a GID, pričom identifkikátory UID a GID modulu Secure Enclave môže používať len systém AES vyhradený pre Secure Enclave. UID a GID nie sú dostupné cez Joint Test Action Group (JTAG) ani iné ladiace rozhrania.

Kryptografický systém AES na počítačoch Mac s bezpečnostným procesorom T2 podporuje rýchle šifrovanie na ceste DMA.

Generovanie kryptografických kľúčov Každý Secure Enclave generuje svoje vlastné UID (unikátne ID) v procese výroby. Keďže UID je unikátne pre každé zariadenie a keďže je vygenerované celé vo vnútri Secure Enclave a nie v procese výroby mimo zariadenia, spoločnosť Apple ani jej dodávatelia nemajú k UID prístup ani ho nemôžu uchovávať. Vzťahuje sa to na všetky SoC po procesore .

Softvér spustený cez Secure Enclave využíva na ochranu tajných dát daného zariadenia UID. UID umožňuje kryptografické pripojenie dát ku konkrétnemu zariadeniu. Napríklad hierarchia kľúčov chrániaca súborový systém zahŕňa UID, takže ak sa interné SSD úložisko fyzicky prenesie z jedného zariadenia do druhého, súbory sa stanú nedostupnými. UID nie je spojený s nijakým iným identifikátorom na zariadení. Medzi ďalšie tajné prvky špecifické pre dané zariadenie patria dáta Touch ID alebo Face ID. Úložisko na zariadeniach, ktoré nie sú pripojené k bezpečnostnému čipu Apple T2, nemá takúto úroveň šifrovania. Napríklad externé úložné zariadenia pripojené cez USB ani úložiská pripojené do PCIe slotu na Macoch Pro predstavených v roku 2019 nie sú šifrované T2 čipom.

Na úrovni zariadenia je ID skupiny zariadení (GID) spoločné pre všetky procesory danej triedy zariadení (napríklad pre všetky zariadenia používajúce procesor A8).

S výnimkou UID a GID sa všetky ostatné kryptografické kľúče v iOS a iPadOS zariadeniach vytvárajú pomocou generátora náhodných čísel zariadenia (RNG) s využitím algoritmu založeného na CTR_DRBG. Systémová entropia sa generuje z časovacích variácií počas spúšťania a navyše z prerušovaného časovania po spustení zariadenia. Kľúče generované vo vnútri modulu Secure Enclave používajú svoj skutočný hardvérový generátor náhodných čísel založený na viacnásobných okružných oscilátoroch post-spracovaných pomocou CTR_DRBG.

Zabezpečenie platforiem Apple 11 Zabezpečené vymazávanie dát Zabezpečené vymazávanie uložených kľúčov je rovnako dôležité ako ich generovanie. Je to osobitne náročné na úložisku typu flash, napríklad keď vyváženie opotrebovania znamená potrebu vymazať viacero kópií dát. Na vyriešenie tohto problému majú zariadenia so Secure Enclave funkciu vyhradenú na zabezpečené vymazávanie dát zvanú zmazateľné úložisko. Táto funkcia má prístup k príslušnej úložnej technológii (napríklad NAND) na rýchle nájdenie a vymazanie malého počtu blokov na veľmi nízkej úrovni.

Touch ID a Face ID

Prehľad funkcií Touch ID a Face ID Kódy a heslá zohrávajú kľúčovú úlohu pri zabezpečení Apple zariadení. Užívatelia však potrebujú mať rýchly prístup k svojim zariadeniam, niekedy aj viac ako stokrát za deň. Biometrická autentifikácia ponúka rovnakú úroveň zabezpečenia ako silný kód alebo heslo (dokonca zvyšuje ich bezpečnosť, keďže ich nie je potrebné zadávať manuálne) a umožňuje rýchlo a pohodlne odomykať zariadenia dotykom prsta alebo pohľadom. Touch ID a Face ID neslúžia ako náhrada hesla alebo kódu, no vo väčšine prípadov urýchľujú a zjednodušujú prístup k zariadeniu.

Zabezpečenie Touch ID Touch ID je systém snímania odtlačkov prstov, ktorý urýchľuje a uľahčuje bezpečný zabezpečený prístup k podporovaným Apple zariadeniam. Táto technológia číta dáta odtlačkov prstov z akéhokoľvek uhla a s postupom času zisťuje o odtlačku prsta užívateľa ešte viac informácií, keďže senzor pokračuje v mapovaní odtlačku zároveň s tým, ako sa pri každom použití identifikujú prekrývajúce sa body.

Apple zariadenia so senzorom Touch ID je možné odomykať pomocou odtlačku prsta. Touch ID nenahrádza potrebu zadania užívateľského hesla alebo kódu zariadenia, ktorý sa naďalej vyžaduje pri spustení, reštarte alebo odhlásení zariadenia (na Macu). V niektorých apkách je tiež možné Touch ID používať namiesto kódu zariadenia alebo užívateľského hesla, napríklad na otvorenie poznámok chránených heslom v apke Poznámky, na odomknutie webových stránok chránených kľúčenkou a na odomknutie hesiel podporovaných apiek. V niektorých scenároch je však vždy potrebné zadať kód zariadenia alebo užívateľské heslo. Napríklad pri zmene existujúceho kódu zariadenia alebo užívateľského hesla, prípadne na odstránenie existujúcich zaregistrovaných odtlačkov prstov alebo na vytvorenie nových.

Keď senzor odtlačkov prstov zistí dotyk prsta, spustí pokročilé obrazové pole na oskenovanie prsta a tento sken následne odošle do Secure Enclave. Komunikácia medzi procesorom a senzorom Touch ID prebieha pomocou zbernice sériového periférneho rozhrania. Procesor prepošle dáta do Secure Enclave, ale nedokáže ich čítať. Sú šifrované a overované pomocou kľúča relácie, ktorý sa negociuje pomocou zdieľaného obstaraného kľúča pre každý senzor Touch ID a jeho príslušnej Secure Enclave v továrni. Zdieľaný kľúč je silný, náhodný a odlišný pre každý senzor Touch ID. Výmena kľúča relácie využíva zabalenie kľúča AES, pričom obe strany poskytnú náhodný kľúč, ktorý vytvorí kľúč relácie a používa šifrovanie prenosu AES-CCM.

Zabezpečenie platforiem Apple 12 Počas vektorizácie na analýzu sa rastrový sken dočasne uloží v zašifrovanej pamäti v rámci Secure Enclave a následne sa zničí. Analýza využíva podkožné párovanie uhla smerovania brázd, čo je stratový proces, ktorý odstráni detailné dáta potrebné na rekonštrukciu skutočného odtlačku prsta užívateľa. Výsledná mapa uzlových bodov je uložená bez akýchkoľvek informácií o identite v šifrovanom formáte, ktorý dokáže prečítať len Secure Enclave. Tieto dáta nikdy neopustia zariadenie. Neodosielajú sa spoločnosti Apple a nie sú súčasťou záloh zariadenia.

Zabezpečenie Face ID Face ID umožňuje zabezpečene odomykať podporované Apple zariadenia obyčajným pohľadom. Poskytuje intuitívne a zabezpečené overenie cez kamerový systém TrueDepth, ktorý presne mapuje geometriu tváre užívateľa pomocou pokročilých technológií. Face ID využíva neurónové siete na zistenie pozornosti, spárovania a pokusov o sfalšovanie, takže užívateľ dokáže odomknúť svoj telefón jedným pohľadom. Face ID sa automaticky prispôsobuje zmenám vzhľadu a starostlivo chráni súkromie a zabezpečenie biometrických dát užívateľa.

Face ID je navrhnuté tak, aby potvrdilo pozornosť užívateľa, poskytlo robustné overovanie s nízkou pravdepodobnosťou chýb a minimalizovalo digitálne aj fyzické falšovanie.

Kamera TrueDepth po prebudení Apple zariadení s funkciou Face ID automaticky vyhľadáva tvár užívateľa, keď užívateľ uchopí zariadenie alebo klepne na obrazovku, a takisto keď sa zariadenie pokúsi overiť užívateľa s cieľom zobraziť prichádzajúce hlásenie alebo keď podporovaná apka požiada o overenie Face ID. Po rozpoznaní tváre Face ID potvrdí pozornosť a zámer odomknutia tak, že zistí, že oči užívateľa sú otvorené a že ich pozornosť je upriamená na zariadenie. Funkcia na detekciu pozornosti je deaktivovaná pri používaní asistenčnej funkcie VoiceOver a v prípade potreby sa dá taktiež samostatne vypnúť.

Po potvrdení prítomnosti sústredenej tváre kamera TrueDepth projektuje a načíta viac ako 30 000 infračervených bodov, ktoré vytvoria hĺbkovú mapu tváre spolu s jej infračerveným 2D obrazom. Tieto dáta sa použijú na vytvorenie série 2D obrázkov a hĺbkových máp, ktoré sa digitálne podpíšu a odošlú do Secure Enclave. Na zabránenie digitálnemu a fyzickému falšovaniu tváre kamera TrueDepth vytvára náhodné sekvencie 2D obrázkov a snímky hĺbkovej mapy a projektuje náhodný vzor špecifický pre dané zariadenie. Časť neurónového systému SoC, chránená v module Secure Enclave, transformuje tieto dáta na matematickú reprezentáciu a porovná ju so zaregistrovanými dátami tváre. Tieto zaregistrované dáta tváre sú samy osebe matematickou reprezentáciou tváre užívateľa zachytenej v rôznych polohách.

Touch ID, Face ID, kódy a heslá Na používanie Touch ID alebo Face ID musí užívateľ nastaviť svoje zariadenie tak, aby bolo na jeho odomknutie potrebné zadať kód alebo heslo. Keď Touch ID alebo Face ID zistí úspešnú zhodu, zariadenie užívateľa sa odomkne bez vyžiadania užívateľského kódu alebo hesla. Vďaka tomu je používanie dlhších a komplexnejších kódov alebo hesiel oveľa praktickejšie, pretože užívateľ ich nemusí zadávať príliš často. Touch ID a Face ID nenahrádzajú užívateľský kód ani heslo, ale poskytujú jednoduchý prístup k zariadeniu v rámci zmysluplných limitov a časových obmedzení. To je dôležité, pretože silný kód alebo heslo predstavujú základ toho, ako iOS, iPadOS, macOS alebo watchOS zariadenia užívateľa kryptograficky chránia svoje dáta.

Zabezpečenie platforiem Apple 13 Keď je potrebný kód alebo heslo zariadenia Užívatelia môžu kedykoľvek použiť svoj kód alebo heslo namiesto Touch ID alebo Face ID, biometrická autentifikácia však v niektorých prípadoch nie je povolená. V nasledujúcich prípadoch citlivých z hľadiska bezpečnosti je vždy potrebné zadať kód alebo heslo:

• Aktualizácia softvéru • Vymazanie zariadenia • Zobrazenie alebo zmena nastavení kódu • Inštalácia konfiguračných profilov • Odomknutie nastavení Bezpečnosť a súkromie v Systémových nastaveniach na Macu • Odomknutie nastavení Užívatelia a skupiny v Systémových nastaveniach na Macu (ak je zapnutý FileVault) Kód alebo heslo sú okrem toho potrebné aj v prípade, že zariadenie sa nachádza v nasledujúcich stavoch:

• Zariadenie bolo práve zapnuté alebo reštartované. • Užívateľ sa odhlásil z účtu na Macu (alebo sa ešte neprihlásil). • Užívateľ viac ako 48 hodín neodomkol zariadenie. • Užívateľ nepoužil na odomknutie zariadenia kód ani heslo posledných 156 hodín (šesť a pol dňa) a zároveň počas posledných 4 hodín neodomkol zariadenie pomocou biometrickej autentifikácie. • Zariadenie prijalo vzdialený príkaz na uzamknutie. • Po zrušení vypínania alebo režimu SOS súčasným podržaním jedného z tlačidiel hlasitosti a tlačidla Spať/Zobudiť na 2 sekundy a následným stlačením tlačidla Zrušiť. • Po piatich neúspešných biometrických pokusoch o zhodu (hoci v záujme lepšieho používania môže zariadenie ponúkať zadanie kódu alebo hesla namiesto biometrie po menšom počte neúspešných pokusov). Keď sa na iPhone alebo iPade zapne Touch ID alebo Face ID, zariadenie sa okamžite uzamkne po stlačení tlačidla Spať/Zobudiť a takisto sa uzamkne vždy, keď prejde do režimu spánku. Touch ID a Face ID vyžadujú pri každom zobudení úspešnú zhodu alebo voliteľne kód.

Pravdepodobnosť, že náhodná osoba z ľudskej populácie dokáže odomknúť iPhone, iPad alebo Mac užívateľa, je 1 k 50 000 pre Touch ID a 1 k 1 000 000 pre Face ID. Táto pravdepodobnosť sa zvyšuje pri viacerých zaregistrovaných odtlačkoch prstov (do 1 k 10 000 pri piatich odtlačkoch) a vzhľadoch (do 1 k 500 000 pri dvoch vzhľadoch). Pre dodatočnú ochranu Touch ID a Face ID umožňujú len päť neúspešných pokusov predtým, ako bude na prístup k zariadeniu alebo účtu užívateľa potrebné zadanie kódu alebo hesla. V prípade Face ID je pravdepodobnosť falošnej zhody odlišná pre dvojčatá alebo súrodencov, ktorí vyzerajú ako užívateľ, ako aj pre deti do 13 rokov (keďže ich špecifické črty tváre ešte nemusia byť plne vyvinuté). Ak to pre užívateľa predstavuje problém, spoločnosť Apple odporúča používať na overenie kód.

Zabezpečenie platforiem Apple 14 Párovanie tvárí Párovanie tvárí sa vykonáva v rámci Secure Enclave pomocou neurónových sietí naučených konkrétne na tento účel. Spoločnosť Apple vyvinula neurónové siete párovania tvárí pomocou viac ako miliardy obrázkov vrátane infračervených a hĺbkových obrázkov získaných počas výskumu vykonávaného s informovaným súhlasom účastníkov. Spoločnosť Apple následne spolupracovala s účastníkmi na celom svete s cieľom vytvoriť reprezentatívnu skupinu ľudí v zmysle pohlavia, veku, etnika a ďalších faktorov. Tento výskum bol ďalej rozšírený s cieľom poskytnúť vysoký stupeň presnosti pre širokú škálu užívateľov. Face ID je vytvorené tak, aby fungovalo aj s čiapkami, šatkami, okuliarmi, kontaktnými šošovkami a mnohými typmi slnečných okuliarov. Navyše funguje vnútri, vonku a dokonca aj v úplnej tme. Ďalšia neurónová sieť, ktorá je naučená identifikovať falšovanie a zamedziť mu, bráni pred pokusmi o odomknutie zariadenia pomocou fotiek alebo masiek. Dáta Face ID vrátane matematických reprezentácií tváre užívateľa sú šifrované a dostupné len pre Secure Enclave. Tieto dáta nikdy neopustia zariadenie. Neodosielajú sa spoločnosti Apple a nie sú súčasťou záloh zariadenia. Nasledujúce dáta Face ID sa počas normálnej prevádzky uložia a zašifrujú len na používanie modulom Secure Enclave:

• Matematické reprezentácie tváre užívateľa vypočítané počas registrácie • Matematické reprezentácie tváre užívateľa vypočítané počas niektorých pokusov o odomknutie, pokiaľ sa Face ID zdá užitočné na rozšírenie budúceho párovania Obrázky tváre zachytené počas normálnej prevádzky sa neukladajú a po vypočítaní matematickej reprezentácie na registráciu alebo porovnanie s registrovanými dátami Face ID sa okamžite vymažú.

Vylepšenie párovania Face ID Na vylepšenie výkonnosti a s cieľom udržiavať krok s prirodzenými zmenami tváre a vzhľadu Face ID rozširuje v čase svoje uložené matematické reprezentácie. Po úspešnom spárovaní môže Face ID použiť novo vypočítanú matematickú reprezentáciu (pokiaľ je jej kvalita dostatočná) pred jej vymazaním na konečný počet dodatočných zhôd. Aj naopak, ak Face ID nedokáže rozpoznať tvár, ale kvalita zhôd je vyššia ako istý prah a užívateľ okamžite po neúspešnom pokuse zadá kód, Face ID vykoná ďalšiu snímku a rozšíri zaregistrované dáta Face ID v novo vypočítanej matematickej reprezentácii. Nové dáta Face ID sa zahodia v prípade, že zhody užívateľa s nimi prestanú fungovať po určenom počte pokusov. Tento rozširovací proces umožňuje Face ID sledovať zásadné zmeny zarastenosti alebo mejkapu užívateľa a zároveň minimalizovať falošné schválenia.

Odomknutie zariadenia alebo užívateľského účtu Keď bude Touch ID alebo Face ID vypnuté a zariadenie užívateľa sa zamkne, kľúče najvyššej triedy ochrany dát uložené v Secure Enclave sa zahodia. Súbory a položky Kľúčenky v danej triede sú neprístupné, až kým užívateľ neodomkne zariadenie alebo účet zadaním kódu alebo hesla.

Pokiaľ sú Touch ID alebo Face ID zapnuté, v prípade zamknutia účtu zariadenia sa kľúče nezahodia, ale namiesto toho sa zabalia kľúčom poskytnutým podsystémom Touch ID alebo Face ID vo vnútri Secure Enclave. Keď sa užívateľ pokúsi odomknúť zariadenie alebo účet a zariadenie zistí úspešnú zhodu, poskytne kľúč na rozbalenie kľúčov ochrany dát a zariadenie alebo účet sa odomkne. Tento proces poskytuje dodatočnú ochranu tak, že na odomknutie zariadenia vyžaduje spoluprácu medzi ochranou dát a podsystémami Touch ID alebo Face ID.

Zabezpečenie platforiem Apple 15 Keď sa zariadenie reštartuje, kľúče potrebné pre Touch ID alebo Face ID na odomknutie zariadenia alebo účtu budú stratené. Vymaže ich Secure Enclave po splnení akejkoľvek podmienky, ktorá vyžaduje zadanie kódu alebo hesla.

Zabezpečovanie nákupov pomocou Apple Pay Užívateľ môže používať Touch ID a Face ID aj so službou Apple Pay na vykonávanie jednoduchých a zabezpečených nákupov v obchodoch, apkách a na internete.

Na autorizáciu platby v obchode pomocou Face ID musí užívateľ potvrdiť svoj zámer zaplatiť dvojitým stlačením bočného tlačidla. Toto dvojité stlačenie zaznamenáva zámer užívateľa použitím fyzického gesta priamo prepojeného so Secure Enclave a je odolné proti falšovaniu škodlivými procesmi. Užívateľ potom pred priložením zariadenia k bezkontaktnému platobnému terminálu overí svoju identitu pomocou Face ID. Po autentifikácii pomocou Face ID je možné vybrať inú metódu platby cez Apple Pay. Tento úkon vyžaduje opätovné overenie totožnosti, ale nebude už potrebné znova dvakrát stlačiť bočné tlačidlo.

Pri platbách v apkách a na webe užívateľ potvrdí svoj zámer zaplatiť dvojitým stlačením bočného tlačidla a potom vykoná overenie pomocou Face ID, čím autorizuje platbu. Ak sa transakcia cez Apple Pay nedokončí do 60 sekúnd od dvojitého stlačenia bočného tlačidla, užívateľ musí opätovne potvrdiť zámer zaplatiť tak, že znovu dvakrát stlačí bočné tlačidlo.

V prípade Touch ID je zámer zaplatiť potrebné potvrdiť pomocou gesta na aktiváciu senzora Touch ID. Zároveň musí byť úspešne overený odtlačok prsta užívateľa.

Iné možnosti použitia Touch ID a Face ID Apky tretích strán môžu používať API poskytnuté systémom na požiadanie užívateľa o overenie pomocou Touch ID alebo Face ID, prípadne pomocou kódu alebo hesla. Apky, ktoré podporujú Touch ID, automaticky podporujú aj Face ID bez akýchkoľvek zmien. Pri používaní Touch ID alebo Face ID bude apke oznámené len to, či bolo overenie úspešné. Nemá však prístup k Touch ID, Face ID ani iným dátam spojeným so zaregistrovaným užívateľom.

Ochrana položiek Kľúčenky Položky Kľúčenky je možné chrániť aj pomocou Touch ID alebo Face ID na uvoľnenie zo Secure Enclave len úspešným spárovaním alebo kódom zariadenia či heslom účtu. Vývojári apiek majú API, pomocou ktorých môžu pred vyžadovaním overenia pomocou Touch ID alebo Face ID, resp. kódu či hesla na odomknutie Kľúčenky overiť, či boli kód alebo heslo nastavené užívateľom. Vývojári apiek môžu vykonať nasledujúce:

• Vyžadovať, aby operácie overovacieho API nepožadovali heslo apky alebo kód zariadenia. Môžu zistiť, či už je užívateľ zaregistrovaný, a pri apkách citlivých na bezpečnosť umožniť použitie Touch ID alebo Face ID ako druhý bezpečnostný faktor. • Vygenerovať a používať kľúče ECC vo vnútri Secure Enclave, ktoré môžu byť chránené pomocou Touch ID alebo Face ID. Operácie s týmito kľúčmi sa vždy vykonávajú vo vnútri modulu Secure Enclave potom, ako autorizuje ich použitie.

Zabezpečenie platforiem Apple 16 Vykonávanie a schvaľovanie nákupov Užívatelia môžu nastaviť Touch ID alebo Face ID aj na schvaľovanie nákupov z iTunes Storu, App Storu, Apple Books a ďalších obchodov, takže nemusia zadávať heslo svojho Apple ID. S iOS 11 alebo novším alebo macOS 10.12.5 alebo novším sa kľúče ECC pre Touch ID a Face ID, ktoré boli chránené v Secure Enclave, používajú na autorizáciu nákupu tak, že podpíšu požiadavku obchodu.

Hardvérové odpojenie mikrofónu na Macu a iPade Všetky prenosné počítače Mac s bezpečnostným procesorom Apple T2 sú vybavené funkciou hardvérového odpojenia, ktorá zaisťuje, že po zavretí veka s obrazovkou sa mikrofón vypne. Na 13-palcových počítačoch MacBook Pro a MacBook Air s procesorom T2 a na 15-palcových počítačoch MacBook Pro uvedených na trh v roku 2019 alebo novších je toto odpojenie vstavané v samotnom hardvéri. Toto odpojenie zabraňuje každému softvéru – dokonca aj s rootovacími alebo kernelovými právami v macOS a dokonca aj softvéru na procesore T2 – používať mikrofón, keď je veko zavreté. (Kamera sa hardvérovo neodpája, pretože po zavretí veka sa jej zorné pole kompletne zakryje.)

Hardvérové odpojenie mikrofónu podporujú aj modely iPadov vyrobené od roku 2020. Pri zatvorení puzdra štandardu MFI (vrátane puzdier poskytovaných spoločnosťou Apple) pripojeného k iPadu dôjde k hardvérovému odpojeniu mikrofónu. K zvukovým dátam z mikrofónu tak nebude môcť pristupovať žiadny softvér, dokonca ani keď má v systéme iPadOS práva na úrovni root alebo kernel a ani v prípade prelomenia firmvéru.

Express Card s rezervou energie na iPhone Aj iPhone, ktorý nemá dostatok batérie na spustenie systému iOS, môže mať dosť energie na zrealizovanie Express Card platby. Podporované zariadenia iPhone túto funkciu podporujú automaticky s:

• Dopravnými kartami vyhradenými ako expresné dopravné karty. • Študentskými ID kartami so zapnutým expresným režimom. Stlačením bočného tlačidla sa zobrazí ikona nízkeho stavu batérie, ako aj text, že Express Card sú dostupné na použite. Ovládač NFC vykonáva transakcie Express Card za rovnakých podmienok, ako keď je iOS spustený, okrem toho, že transakcie sa oznamujú len pomocou haptickej odozvy. Nezobrazujú sa žiadne hlásenia.

Táto funkcia nie je dostupná, keď bolo spustené štandardné vypnutie iniciované užívateľom.

Zabezpečenie platforiem Apple 17 Zabezpečenie systému

Prehľad zabezpečenia systému Zabezpečenie systému je vybudované na unikátnych schopnostiach hardvéru Apple a slúži na maximalizáciu zabezpečenia operačných systémov na Apple zariadeniach, a to bez dopadu na použiteľnosť. Zabezpečenie systému zahŕňa proces spúšťania, softvérové aktualizácie a prebiehajúcu prevádzku OS.

Zabezpečené štartovanie vychádza z hardvéru a postupne buduje reťaz dôveryhodnosti prostredníctvom softvéru. Každý krok v reťazi dôveryhodnosti pred odovzdaním kontroly overuje správnosť fungovania nasledujúceho kroku. Tento bezpečnostný model podporuje okrem štandardného štartovania Apple zariadení aj rôzne režimy na obnovu (zotavenie) a aktualizáciu iOS, iPadOS a macOS zariadení.

Najvyššiu úroveň zabezpečenia poskytujú najnovšie verzie systémov iOS, iPadOS alebo macOS. Mechanizmus aktualizácie softvéru okrem včasnej aktualizácie Apple zariadení zaručuje, že nainštalovaný bude len známy a zabezpečený softvér od spoločnosti Apple. Systém na aktualizáciu dokáže dokonca zabrániť útokom typu „rollback“, ktorých cieľom je downgrade (návrat na nižšiu verziu) systému, takže na zariadenia nie je možné inštalovať staršie verzie systémov (ktoré útočník dokáže prelomiť) s cieľom ukradnúť užívateľské dáta.

Apple zariadenia sú vybavené aj ochranou štartovania a ochranou za chodu, ktoré zaručujú integritu systémov počas bežnej prevádzky. Uvedené mechanizmy ochrany sa výrazne líšia medzi iOS, iPadOS a macOS zariadeniami, pretože každý z týchto systémov ponúka veľmi odlišné možnosti a musí čeliť rozličným druhom útokov.

Generovanie náhodných čísiel Dôležitým stavebným prvkom zabezpečeného softvéru sú kryptografické generátory pseudonáhodných čísiel (Cryptographic pseudorandom number generators, CPRNG). Na tento účel poskytuje spoločnosť Apple dôveryhodný softvérový CPRNG bežiaci v kerneli (jadre) systémov iOS, iPadOS, macOS, tvOS a watchOS. Tento je zodpovedný za agregáciu surovej entropie zo systému a poskytovanie zabezpečených náhodných čísiel pre spotrebiteľské procesy v priestore kernelu aj v priestore užívateľa.

Zdroje entropie Inicializačné hodnoty pre CPRNG generátor v kerneli počas štartovania a životného cyklu zariadenia pochádzajú z rôznych zdrojov entropie. Patria medzi ne (v závislosti od ich dostupnosti):

Zabezpečenie platforiem Apple 18 • Hardvérový generátor náhodných čísiel v module Secure Enclave. • Časové odchýlky zhromažďované počas štartovania. • Entropia zhromažďovaná z hardvérových prerušení. • Inicializačný súbor slúžiaci na uchovanie entropie medzi štartovaniami. • Náhodné inštrukcie procesora Intel, t. j. RDSEED a RDRAND (len v macOS).

CPRNG v kerneli CPRNG v kerneli vychádza z koncepcie Fortuna a jeho cieľom je poskytnúť 256-bitovú úroveň zabezpečenia. Spotrebiteľským procesom v priestore užívateľa poskytuje vysokokvalitné náhodné čísla prostredníctvom nasledujúcich rozhraní API:

• Volanie systémovej funkcie getentropy(2). • Náhodné zariadenie, t. j. /dev/random. CPRNG v kerneli prijíma entropiu poskytovanú užívateľom prostredníctvom zápisov na náhodné zariadenie.

Zabezpečené štartovanie

Reťaz zabezpečeného štartovania v systémoch iOS a iPadOS Každý krok procesu štartovania obsahuje komponenty kryptograficky podpísané spoločnosťou Apple. Zaručuje to ich integritu a pokračovanie na ďalší krok len po overení reťaze dôveryhodnosti. Medzi tieto komponenty patria zavádzače spúšťania, kernel, rozšírenia kernelu a firmvér základného pásma. Táto reťaz dôveryhodnosti chráni najnižšie vrstvy softvéru pred neželanými úpravami.

Aplikačný procesor po zapnutí iOS alebo iPadOS zariadenia okamžite začne spúšťať kód z pamäte určenej len na čítanie, ktorá sa označuje ako Boot ROM. Tento neupraviteľný kód, známy ako hardvérový koreň dôveryhodnosti, sa natrvalo ukladá do čipu počas jeho výroby a implicitne sa považuje za dôveryhodný. Kód v Boot ROM obsahuje verejný kľúč koreňovej CA spoločnosti Apple, pomocou ktorého je overený podpis spoločnosti Apple v zavádzači iBoot a potom je umožnené jeho načítanie. Je to prvý krok v reťazi dôveryhodnosti, v ktorej každý článok kontroluje, či je nasledujúci krok podpísaný spoločnosťou Apple. Keď iBoot dokončí svoje úlohy, overí a spustí kernel systému iOS alebo iPadOS. Na zariadeniach s procesorom A9 alebo staršími procesormi série A je pomocou Boot ROM načítaná a overená dodatočná úroveň, zavádzač štartovania nižšej úrovne (Low-Level Bootloader, LLB), ktorý následne načíta a overí iBoot.

Postup v prípade zlyhania načítavania alebo overovania nasledujúcich fáz sa líši v závislosti od hardvéru:

• Boot ROM nedokáže načítať LLB (staršie zariadenia): Režim Upgrade firmvéru zariadenia (Device Firmware Upgrade, DFU) • LLB alebo iBoot: Režim obnovy V oboch vyššie uvedených prípadoch je potrebné pripojiť zariadenie k iTunes (v systéme macOS 10.14 alebo starších verziách) alebo k Finderu (v systéme macOS 10.15 alebo novších verziách) cez USB a obnoviť ho na predvolené továrenské nastavenia.

Zabezpečenie platforiem Apple 19 Na obmedzenie prístupu k užívateľským dátam v rôznych režimoch používa modul Secure Enclave takzvaný Register priebehu štartovania (Boot Progress Register, BPR). Tento je aktualizovaný pred prechodom do nasledujúcich režimov:

• Režim DFU: Nastavený pomocou Boot ROM na zariadeniach s SoC alebo novším. • Režim obnovy: Nastavený pomocou zavádzača iBoot na zariadeniach s SoC , S2 alebo novším. Na zariadeniach s mobilným prístupom využíva aj podsystém základného pásma vlastný podobný proces zabezpečeného štartovania s podpísaným softvérom a kľúčmi overenými pomocou procesora základného pásma.

Koprocesor Secure Enclave taktiež využíva proces zabezpečeného štartovania, ktorý kontroluje, či je jeho vlastný softvér overený a podpísaný spoločnosťou Apple.

Zabezpečenie platforiem Apple 20 Režimy štartovania v macOS

Proces štartovania na počítačoch Mac Po zapnutí počítača Mac s bezpečnostným čipom Apple T2 tento čip spustí kód z pamäte určenej len na čítanie, označovanej ako Boot ROM. Tento neupraviteľný kód, ktorý sa označuje ako hardvérový koreň dôveryhodnosti, sa natrvalo ukladá do čipu počas jeho výroby. Je podrobený auditu bezpečnostných slabín a implicitne považovaný za dôveryhodný. Kód v Boot ROM obsahuje verejný kľúč koreňovej CA spoločnosti Apple, pomocou ktorého je overený podpis spoločnosti Apple v zavádzači iBoot a potom je umožnené jeho načítanie. Je to prvý krok v reťazi dôveryhodnosti. iBoot overí kód kernelu a rozšírení kernelu na čipe T2, ktorý následne overí UEFI firmvér procesora Intel. UEFI firmvér a súvisiaci podpis sú v počiatočnej fáze dostupné len pre čip T2.

Reťaz zabezpečeného štartovania v systéme macOS

Po overení je obraz UEFI firmvéru namapovaný na časť pamäte čipu T2. Táto pamäť je prostredníctvom rozšíreného sériového periférneho rozhrania (Serial Peripheral Interface, eSPI) sprístupnená procesoru Intel. Procesor Intel tak pri prvom štartovaní načíta UEFI firmvér prostredníctvom eSPI z kópie firmvéru umiestnenej na čipe T2, ktorá prešla kontrolou integrity a bola namapovaná na pamäť čipu.

Zabezpečenie platforiem Apple 21 Vyhodnocovanie reťaze dôveryhodnosti potom preberá procesor Intel, na ktorom UEFI firmvér vyhodnotí podpis súboru boot.efi, zavádzača štartovania systému macOS. Podpisy na zabezpečené štartovanie systému macOS (Intel) sú uchované v rovnakom formáte Image4, aký sa používa na zabezpečené štartovanie systémov iOS a iPadOS a čipu T2, a na analýzu súborov vo formáte Image4 sa používa posilnený kód totožný s aktuálnou implementáciou zabezpečeného štartovania v systémoch iOS a iPadOS. Boot. efi následne overí podpis nového súboru, ktorý sa nazýva immutablekernel. Pri zapnutom zabezpečenom štartovaní predstavuje súbor immutablekernel úplnú sadu rozšírení kernelu Apple potrebných na spustenie systému macOS. Platnosť pravidiel zabezpečeného štartovania sa po odovzdaní súboru immutablekernel končí a do platnosti vstupujú pravidlá zabezpečenia systému macOS (napríklad ochrana integrity systému a podpísané rozšírenia kernelu).

Ak sa počas tohto procesu vyskytnú akékoľvek chyby alebo zlyhania, Mac vstúpi do režimu obnovy macOS, režimu obnovy bezpečnostného čipu Apple T2 alebo DFU režimu bezpečnostného čipu Apple T2.

Prehľad režimov štartovania na počítačoch Mac. Počítače Mac ponúkajú viacero režimov štartovania, do ktorých je možné prejsť počas štartovania stlačením kombinácie klávesov rozpoznaných UEFI firmvérom alebo štartérom. Niektoré režimy spúšťania, napríklad Režim jedného užívateľa, nebudú fungovať, pokiaľ v Utilite zabezpečeného štartovania nezmeníte pravidlo zabezpečenia na Bez zabezpečenia.

Režim Kombinácia klávesov Popis

Štart systému macOS Žiadna UEFI firmvér je odovzdaný štartéru macOS (UEFI aplikácia), ktorý je odovzdaný kernelu macOS. Pri štandardnom štartovaní Macu so zapnutým FileVaultom je štartérom macOS kód, ktorý zobrazí rozhranie prihlasovacieho okna a prevezme heslo na dešifrovanie úložiska.

Správca štartovania Option (⌥) UEFI firmvér spustí vstavanú UEFI aplikáciu, ktorá zobrazí rozhranie na výber štartovacieho zariadenia.

Režim cieľového disku (Target Disk T UEFI firmvér spustí vstavanú UEFI Mode, TDM) aplikáciu, ktorá sprístupní interné úložné zariadenie ako primárne blokové úložné zariadenie cez FireWire, Thunderbolt, USB alebo ľubovoľnú kombináciu uvedených spôsobov pripojenia (v závislosti od modelu Macu).

Režim jedného užívateľa Command (⌘)-S Kernel macOS odovzdá vlajku -s z vektora argumentov launchd a launchd potom v tty prostredí apky Konzola vytvorí shell pre jediného užívateľa. Poznámka: Keď užívateľ ukončí tento shell, štartovanie macOS bude pokračovať zobrazením prihlasovacieho okna.

Zabezpečenie platforiem Apple 22 Režim Kombinácia klávesov Popis

recoveryOS​ Command (⌘)-R UEFI firmvér načíta minimálnu konfiguráciu systému macOS z podpísaného súboru obrazu disku (.dmg) na internom úložnom zariadení.

recovery​OS z internetu Option (⌥)-Command (⌘)-R Podpísaný obraz disku je stiahnutý z internetu pomocou protokolu HTTP.

Diagnostika D UEFI firmvér načíta minimálnu konfiguráciu diagnostického prostredia UEFI z podpísaného súboru obrazu disku na internom úložnom zariadení.

Diagnostika z internetu Option (⌥)-D Podpísaný obraz disku je stiahnutý z internetu pomocou protokolu HTTP.

Netboot N UEFI firmvér stiahne z lokálneho TFTP servera štartér macOS, (Na počítačoch Mac bez štartér stiahne z toho istého TFTP bezpečnostného čipu Apple T2) servera kernel macOS a kernel macOS zavedie súborový systém zo zdieľanej sieťovej jednotky NFS alebo HTTP.

Štartovanie systému Windows Žiadna Ak bol pomocou apky Boot Camp nainštalovaný systém Windows, UEFI firmvér odovzdá kontrolu štartéru Windows, ktorý ju odovzdá jadru systému Windows.

Prostredia recoveryOS a diagnostiky na počítačoch Mac recoveryOS je samostatný systém, úplne oddelený od hlavného systému macOS, a všetok jeho obsah je uchovaný na súbore obrazu disku s názvom BaseSystem.dmg. Na overenie integrity súboru BaseSystem.dmg slúži súvisiaci súbor BaseSystem.chunklist. Prípona chunklist označuje postupnosť kontrolných súčtov pre 10 MB bloky súboru BaseSystem. dmg. UEFI firmvér vyhodnotí podpis súboru chunklist a potom postupne vyhodnocuje kontrolné súčty pre jednotlivé bloky súboru BaseSystem.dmg, čím overí ich zhodu s podpísaným obsahom v súbore chunklist. Nezhoda ľubovoľného z kontrolných súčtov bude mať za následok prerušenie štartovania z lokálnej obnovy OS a UEFI firmvér sa namiesto toho pokúsi spustiť obnovu z internetu.

Po úspešnom overení UEFI firmvér pripojí obraz disku BaseSystem.dmg ako ramdisk a spustí súbor boot.efi z tohto ramdisku. Nie je potrebné, aby UEFI firmvér vykonal špecifickú kontrolu súboru boot.efi alebo proces boot.efi vykonal kontrolu jadra, pretože integrita celého obsahu operačného systému (súčasťou ktorého sú tieto prvky) už bola skontrolovaná.

Zabezpečenie platforiem Apple 23 Proces štartovania lokálneho diagnostického prostredia je v podstate totožný so spúšťaním systému recoveryOS. Používajú sa pri tom samostatné súbory AppleDiagnostics.dmg a AppleDiagnostics.chunklist, ktoré sú overené rovnako ako súbory BaseSystem. Namiesto súboru boot.efi spustí UEFI firmvér súbor z obrazu disku s názvom diags.efi, ktorého úlohou je vyvolanie rôznych ďalších ovládačov UEFI, ktoré tvoria rozhranie s hardvérom a kontrolujú hardvérové chyby.

Prostredia recoveryOS a diagnostiky spúšťané z internetu na počítačoch Mac. Ak sa počas spúšťania lokálneho prostredia na obnovu alebo diagnostiku vyskytne chyba, UEFI firmvér sa namiesto toho pokúsi stiahnuť obrazy diskov z internetu. Užívateľ môže taktiež vyžiadať stiahnutie obrazov diskov z internetu podržaním špecifickej kombinácie klávesov počas štartovania. Overovanie integrity obrazov diskov a súborov chunklist stiahnutých zo servera na obnovu OS prebieha rovnako ako pri obrazoch získaných z úložného zariadenia.

Aj keď je pripojenie k serveru na obnovu OS realizované prostredníctvom HTTP, kontrola integrity všetkého stiahnutého obsahu prebieha v súlade s vyššie uvedeným popisom, takže obsah nie je zraniteľný ani upraviteľný útočníkom, ktorý má kontrolu nad sieťou. Ak zlyhá overovanie integrity niektorého z blokov, blok bude znovu vyžiadaný zo servera na obnovu OS. Tento proces sa môže zopakovať 11-krát a potom sa sťahovanie preruší a zobrazí sa chyba.

Štartovanie systému Microsoft Windows na počítačoch Mac Počítače Mac, ktoré podporujú zabezpečené štartovanie, štandardne dôverujú len obsahu podpísanému spoločnosťou Apple. V záujme zvýšenia zabezpečenia inštalácií uskutočnených pomocou Boot Campu spoločnosť Apple podporuje aj zabezpečené štartovanie systému Windows. UEFI firmvér obsahuje kópiu certifikátu certifikačnej autority Microsoft Windows Production CA 2011, ktorý slúži na autentifikáciu zavádzačov štartovania spoločnosti Microsoft.

Poznámka: Certifikátom vystaveným certifikačnou autoritou Microsoft Corporation UEFI CA 2011, ktoré by umožňovali overovanie kódu podpísaného partnermi spoločnosti Microsoft, v súčasnosti nie je udelená dôvera. Táto certifikačná autorita sa bežne používa na overovanie pravosti zavádzačov pre iné operačné systémy, napríklad rôzne verzie Linuxu.

Podpora zabezpečeného štartovania Windows nie je štandardne zapnutá, namiesto toho ju zapína Sprievodca Boot Camp (Boot Camp Assistant, BCA). Keď užívateľ spustí BCA, macOS je prekonfigurovaný tak, aby počas štartovania dôveroval kódu podpísanému priamo spoločnosťou Microsoft. Ak po skončení nastavovania pomocou BCA systém macOS počas zabezpečeného štartovania neprejde vyhodnocovaním priamej dôvery pre spoločnosť Apple, UEFI firmvér sa pokúsi vyhodnotiť dôveryhodnosť objektu na základe formátovania zabezpečeného štartovania UEFI. V prípade úspešného vyhodnotenia dôveryhodnosti bude Mac pokračovať a spustí štartovanie systému Windows. V opačnom prípade prejde Mac do režimu Obnova macOS a informuje užívateľa o zlyhaní vyhodnotenia dôveryhodnosti.

Zabezpečenie platforiem Apple 24 Proces spúšťania počítačov Mac, ktoré nie sú vybavené bezpečnostným čipom Apple T2 Počítače Mac bez bezpečnostného čipu Apple T2 nepodporujú zabezpečené štartovanie. UEFI firmvér načíta štartér macOS (boot.efi) zo súborového systému bez overovania a štartér načíta jadro (prelinkedkernel) zo súborového systému bez overovania. V záujme ochrany integrity reťaze štartovania by užívatelia mali zapnúť všetky tieto bezpečnostné mechanizmy:

• Ochrana integrity systému: Štandardne je zapnutá a chráni štartér a kernel pred škodlivými zápismi z bežiaceho systému macOS. • FileVault: Tento mechanizmus je možné zapnúť dvoma spôsobmi: užívateľom alebo správcom riešenia správy mobilných zariadení (MDM). Chráni pred fyzicky prítomným útočníkom, ktorý na prepísanie štartéra používa režim cieľového disku (Target Disk). • Heslo firmvéru: Tento mechanizmus je možné zapnúť dvoma spôsobmi: užívateľom alebo správcom riešenia správy mobilných zariadení (MDM). Bráni fyzicky prítomnému útočníkovi spúšťať alternatívne režimy štartovania, napríklad recoveryOS, režim jedného užívateľa alebo režim cieľového disku, v ktorých je možné prepísať štartér. Zároveň bráni štartovaniu z alternatívnych médií, z ktorých by útočník mohol spustiť kód na prepísanie štartéra.

Proces odomykania počítačov Mac bez bezpečnostného čipu Apple T2.

Zabezpečenie platforiem Apple 25 Utilita zabezpečeného štartovania

Prehľad Utility zabezpečeného štartovania Utilita zabezpečeného štartovania nahradila starší nástroj Utilita hesla firmvéru. Na počítačoch Mac vybavených bezpečnostným čipom Apple T2 slúži na nastavovanie rozsiahlej sady pravidiel zabezpečenia. Počítače Mac bez bezpečnostného čipu T2 naďalej využívajú Utilitu hesla firmvéru. Utilita je dostupná po spustení počítača v režime recoveryOS, kde je v menu Utility potrebné vybrať možnosť Utilita zabezpečeného štartovania. Výhodou umiestnenia ovládania kritických pravidiel zabezpečenia systému (ako je zabezpečené štartovanie alebo SIP) do systému recoveryOS je fakt, že kontrolou integrity prechádza celý operačný systém. Škodlivý kód útočníka, ktorý sa dostal do Macu, sa tak nemôže jednoducho vydávať za užívateľa a vypínať pravidlá zabezpečenia.

Utilita zabezpečeného štartovania.

Pred zmenou kritických pravidiel zabezpečenia sa teraz vyžaduje autentifikácia, dokonca aj v režime obnovy. Táto funkcia je k dispozícii len na počítačoch Mac s čipom T2. Pri prvom spustení Utility zabezpečeného štartovania sa zobrazí výzva na zadanie hesla správcu primárnej inštalácie macOS, ktorá je spojená s aktuálne spustenou obnovou macOS. Ak správca počítača neexistuje, je potrebné ho vytvoriť pred zmenou pravidiel. Čip T2 pred zmenou pravidiel vyžaduje, aby bol Mac spustený v režime Obnova macOS a aby prebehla autentifikácia pomocou prihlasovacích údajov chránených modulom Secure Enclave. Pravidlá zabezpečenia je možné meniť, len ak Obnova macOS spĺňa dve implicitné podmienky:

• Musí byť spustená z úložného zariadenia priamo pripojeného k čipu T2, pretože partície na ostatných zariadeniach nemajú prihlasovacie údaje chránené modulom Secure Enclave previazané s interným úložným zariadením.

Zabezpečenie platforiem Apple 26 • Musí sa nachádzať na APFS oddiele, pretože uchovávanie prihlasovacích údajov pre obnovu, ktoré sú odosielané modulu Secure Enclave, je podporované len na „Preboot“ APFS oddieloch jednotky. Oddiely naformátované ako HFS plus nemôžu využívať zabezpečené štartovanie. Tieto pravidlá sa zobrazia len v Utilite zabezpečeného štartovania na počítačoch Mac s bezpečnostným čipom Apple T2. Počas bežného používania obvykle nie je potrebné meniť pravidlá zabezpečeného štartovania, užívatelia však majú plnú kontrolu nad nastaveniami zariadenia a v závislosti od vlastných potrieb môžu vypnúť zabezpečené štartovanie svojho Macu alebo sa vrátiť k jeho staršej verzii.

Zmeny pravidiel zabezpečeného štartovania uskutočnené v tejto apke sa vzťahujú len na vyhodnocovanie reťaze dôveryhodnosti overovanej procesorom Intel. Možnosť „Secure boot the T2 chip“ (Zabezpečené štartovanie čipu T2) zostáva vždy v platnosti.

Pri konfigurácii pravidiel zabezpečeného štartovania je možné použiť niektoré z troch nasledujúcich nastavení: Plné zabezpečenie, Stredné zabezpečenie a Bez zabezpečenia. Možnosť Bez zabezpečenia úplne vypne vyhodnocovanie zabezpečeného štartovania procesorom Intel, takže užívateľ môže spustiť ľubovoľný systém.

Pravidlo štartovania Plné zabezpečenie Predvolené nastavenie je Plné zabezpečenie, počas ktorého sa systém správa rovnako ako systémy iOS alebo iPadOS. macOS počas sťahovania a prípravy softvéru na inštaláciu namiesto použitia globálneho podpisu dodaného so softvérom komunikuje s rovnakým podpisovacím serverom spoločnosti Apple ako iOS a iPadOS a požiada o čerstvý, „personalizovaný“ podpis. Podpis sa považuje za personalizovaný, keď je v žiadosti o podpísanie zahrnutý aj ECID (jedinečný identifikátor v tomto prípade špecifický pre čip T2). Podpis vrátený podpisovacím serverom je vďaka tomu jedinečný a použiteľný len s konkrétnym čipom T2. Ak je v platnosti pravidlo Plné zabezpečenie, UEFI firmvér skontroluje vrátený podpis. Tento musí obsahovať platný podpis spoločnosti Apple a zároveň musí byť podpísaný pre špecifický Mac, čím v podstate previaže danú verziu macOS s konkrétnym Macom.

Používanie online podpisovacieho servera zároveň poskytuje lepšiu ochranu pred útokmi typu „rollback“ (tieto využívajú slabiny starších verzií softvéru) než typické globálne podpisovanie. V systémoch globálneho podpisovania sa mohlo vystriedať viacero bezpečnostných epoch, no systém, ku ktorému sa nikdy nedostal najnovší firmvér, to nebude vedieť. Napríklad počítač, ktorý sa na základe jemu známych informácií nachádza v bezpečnostnej epoche 1, prijme softvér z bezpečnostnej epochy 2, aj keď je aktuálne v platnosti bezpečnostná epocha 5. V online systéme podpisovania, aký používajú systémy iOS a iPadOS, môže podpisovací odmietnuť vytváranie podpisov pre softvér, ktorý nespadá do aktuálnej bezpečnostnej epochy.

Navyše ak útočník objaví slabinu po zmene bezpečnostnej epochy, nemôže jednoducho vziať zraniteľný softvér z predošlej epochy zo systému A a použiť ho na útok na systém B. Skutočnosť, že zraniteľný softvér pochádzajúci zo staršej epochy bol personalizovaný pre systém A, bráni v jeho prenose a následnom využití na útok na systém B. Všetky tieto mechanizmy vzájomne spolupracujú a poskytujú silnejšiu záruku, že útočníci nemôžu úmyselne umiestňovať zraniteľný softvér na počítače s cieľom obísť ochranu poskytovanú najnovším softvérom. Užívateľ, ktorý pozná užívateľské meno a heslo správcu Macu, si však vždy môže vybrať pravidlá zabezpečenia najviac vyhovujúce jeho konkrétnym potrebám.

Zabezpečenie platforiem Apple 27 Pravidlo štartovania Stredné zabezpečenie Stredné zabezpečenie do istej miery pripomína tradičné zabezpečené štartovanie UEFI, kde dodávateľ (v tomto prípade spoločnosť Apple) generuje digitálny podpis pre kód, ktorým zaručuje jeho pôvod. Útočník tak nemôže vkladať do softvéru nepodpísaný kód. Tento podpis sa označuje ako „globálny“ podpis, pretože je možné ho používať po neobmedzený čas na ľubovoľných Macoch, ktorých pravidlo spúšťania je nastavené na Stredné zabezpečenie. Systémy iOS, iPadOS ani čip T2 nepodporujú globálne podpisy.

Obmedzenie metód využívajúcich globálne podpisy súvisí s predchádzaním takzvaným „rollback“ útokom. Počas takéhoto útoku útočník umiestni do systému starší, avšak legitímny a správne podpísaný softvér so známymi slabinami a potom využije tieto slabiny na získanie kontroly nad systémom. Mnoho systémov globálneho podpisovania sa vôbec nepokúša zabrániť útokom typu rollback. Tie, ktoré sa im pokúšajú zabrániť, využívajú metódu „bezpečnostnej verzie“ alebo „bezpečnostnej epochy“. Spravidla ide o číslo obsiahnuté v podpise a vyhodnocované po overení podpisu. Počítač musí mať k dispozícii zabezpečené trvalé úložisko na sledovanie najvyššej hodnoty epochy, s akou sa stretol v podpísanom kóde, a musí zakázať ľubovoľný kód (aj keď je správne podpísaný), ktorý má nižšiu hodnotu epochy.

Dodávateľ, ktorý chce začať novú epochu, jednoducho podpíše nový softvér pomocou novej, vyššej hodnoty epochy, než bola obsiahnutá v ľubovoľnom staršom softvéri. Keď firmvér deteguje hodnotu epochy vyššiu, než s akou sa naposledy stretol, a ktorá je uchovaná v zabezpečenom úložisku, aktualizuje hodnotu epochy v úložisku. Následne bude odmietať všetok podpísaný kód s hodnotou epochy nižšou, než je uchovaná. Ak systém nemá zabezpečené úložisko, útočník môže jednoducho znížiť hodnotu epochy a potom sa vrátiť na staršiu verziu softvéru a zneužiť jej slabiny. Z tohto dôvodu množstvo systémov s implementovanými epochami uchováva hodnotu epochy v jednorazovo programovateľných poliach zabezpečených pomocou poistiek. Po vypálení poistiek už nie je možné zmeniť hodnoty. Tento mechanizmus však má svoje obmedzenia, keďže útočník môže vypáliť všetky poistky, čím znehodnotí všetky podpisy a natrvalo zabráni štartovaniu operačného systému.

Schéma globálneho podpisovania spoločnosti Apple neobsahuje bezpečnostnú epochu, pretože takéto systémy nie sú flexibilné a často majú závažné problémy s použiteľnosťou. Lepšiu ochranu proti útokom typu rollback poskytuje režim Plné zabezpečenie. Je to predvolený režim a jeho správanie sa veľmi podobá správaniu v systémoch iOS a iPadOS. Užívatelia, ktorí chcú využívať ochranu proti útokom typu rollback, by mali zachovať predvolené pravidlo Plné zabezpečenie. Režim Stredné zabezpečenie je však naďalej k dispozícii pre užívateľov, ktorí nevyužijú výhody režimu Plné zabezpečenie.

Pravidlá štartovania z médií Pravidlá spúšťania z médií sa zobrazia len na počítačoch Mac s bezpečnostným čipom Apple T2 a sú úplne nezávislé od pravidiel zabezpečeného štartovania. Predvolené správanie systému, ktoré okrem úložného zariadenia priamo pripojeného k čipu T2 zakazuje štartovanie zo všetkých ostatných zariadení, zostáva v platnosti aj po vypnutí zabezpečeného štartovania.

Zabezpečenie platforiem Apple 28 Staršie počítače Mac bolo štandardne možné štartovať aj z externých zariadení. Tento prístup však umožňoval útočníkovi, ktorý sa fyzicky zmocnil zariadenia, spúšťať vlastný kód z oddielu použitého na štartovanie. Pri používaní kombinácie rôznych druhov ochrany, napríklad FileVaultu a zabezpečeného štartovania, nie sú známe žiadne slabiny vyplývajúce z architektúry systému, prostredníctvom ktorých by útočník po spustení zariadenia z externého oddielu mohol pristupovať k užívateľským dátam bez znalosti hesla daného užívateľa. Aj dočasné spustenie vlastného kódu však môže útočníkovi umožniť manipulovať s Macom spôsobom, ktorý využíva útočníkom ovládané dáta na zneužitie slabín, ktoré spoločnosť Apple zatiaľ neodhalila. Vytvorenie vlastného kódu tak môže potenciálne viesť ku kompromitovaniu štartovania a následnému kompromitovaniu užívateľských dát.

Spoločnosť Apple preto zmenila pravidlá štartovania z médií tak, aby bolo štartovanie z externých oddielov na Macoch s čipom T2 predvolene zakázané. Užívateľ však môže tento zákaz vypnúť. Na počítačoch Mac bez čipu T2 môžu užívatelia kedykoľvek aktivovať toto predvolene zakázané správanie nastavením hesla firmvéru. Možnosť nastaviť heslo firmvéru je však málo známa a používa sa len zriedkakedy. Spoločnosť Apple touto zmenou pravidiel upravila správanie počítačov Mac tak, aby bola štandardne poskytovaná najlepšia možná ochrana a užívatelia ju nemuseli sami zapínať.

Ochrana firmvéru heslom Systém macOS podporuje používanie hesla firmvéru, ktoré bráni neželaným úpravám nastavení firmvéru na konkrétnom Macu. Heslo firmvéru bráni vo výbere alternatívnych režimov štartovania, napríklad štartovaniu systému recoveryOS alebo režimu jedného užívateľa, štartovaniu z neautorizovaného oddielu alebo štartovaniu do režimu cieľového disku.

Najzákladnejší režim hesla firmvéru je možné zapnúť pomocou Utility hesla firmvéru v systéme recoveryOS na Macoch bez čipu T2 a pomocou Utility zabezpečeného štartovania na Macoch s čipom T2. Rozšírené možnosti (napríklad možnosť zobraziť výzvu na zadanie hesla pri každom štartovaní) sú k dispozícii v nástroji príkazového riadka firmwarepasswd v macOS.

V súlade s informáciami uvedenými v časti Proces štartovania počítačov Mac, ktoré nie sú vybavené bezpečnostným čipom Apple T2 je nastavenie hesla firmvéru obzvlášť dôležité pri znižovaní rizika útokov na počítače Mac bez čipu T2, pri ktorých je útočník fyzicky prítomný (napríklad na počítačoch v laboratóriu alebo kancelárii). Heslo firmvéru znemožní útočníkovi štartovať do systému recoveryOS, kde by mohol vypnúť ochranu integrity systému. A vďaka zákazu štartovania z alternatívnych médií útočník nemôže spustiť privilegovaný kód z iného operačného systému a zaútočiť tak na firmvér periférií.

Ak užívateľ zabudne svoje heslo, môže ho resetovať pomocou mechanizmu obnovy hesla firmvéru. Počas štartovania musí užívateľ stlačiť kombináciu klávesov. Zobrazí sa reťazec špecifický pre konkrétny model zariadenia, ktorý je potrebné odoslať do strediska AppleCare. AppleCare digitálne podpíše zdroj, ktorého podpis je overovaný pomocou identifikátora URI. Ak je podpis úspešne overený a obsah je určený pre konkrétny Mac, UEFI firmvér odstráni heslo firmvéru.

Zabezpečenie platforiem Apple 29 Ak užívatelia nechcú, aby okrem nich mohol heslo firmvéru softvérovým spôsobom odstrániť aj niekto iný, môžu využiť možnosť -disable-reset-capability v nástroji príkazového riadka firmwarepasswd v systéme macOS 10.15. Pred nastavením tejto možnosti musia užívatelia potvrdiť svoj súhlas s tým, že ak bude v prípade zabudnutia potrebné odstrániť heslo, ponesú náklady spojené s výmenou základnej dosky nevyhnutnou na odstránenie hesla. Organizácie, ktoré chcú chrániť počítače Mac pred externými útočníkmi a pred zamestnancami, musia samy nastaviť heslo firmvéru na systémoch vo vlastníctve organizácie. Vykonať to môžu na zariadeniach:

• Manuálne počas obstarávania použitím nástroja príkazového riadka firmwarepasswd. • Pomocou nástrojov na správu tretích strán, ktoré využívajú nástroj príkazového riadka firmwarepasswd. • Pomocou správy mobilných zariadení (MDM).

Zabezpečené aktualizácie softvéru

Prehľad zabezpečených aktualizácií softvéru Spoločnosť Apple pravidelne vydáva aktualizácie softvéru, ktoré reagujú na nové bezpečnostné hrozby a poskytujú nové funkcie. Tieto aktualizácie sú vo všeobecnosti poskytované naraz pre všetky podporované zariadenia. Užívatelia iOS a iPadOS zariadení prijímajú hlásenia o aktualizáciách priamo na zariadeniach a prostredníctvom iTunes (macOS 10.14 alebo staršie verzie) alebo Findera (macOS 10.15 alebo novšie verzie). V macOS sú aktualizácie dostupné v Systémových nastaveniach. Aktualizácie sú distribuované bezdrôtovo, čo prispieva k rýchlej inštalácii najnovších opráv zabezpečenia.

Štartovací proces pomáha zaručiť, že nainštalovaný bude len kód podpísaný spoločnosťou Apple. Napríklad na iOS a iPadOS zariadeniach alebo Macoch s pravidlom zabezpečeného štartovania nastaveným v Utilite zabezpečeného štartovania na Plné zabezpečenie je inštalácia legitímnych kópií verzií operačného systému, ktoré sú aktívne podpisované spoločnosťou Apple, zaručená pomocou Autorizácie systémového softvéru. Tento mechanizmus bráni prechodu iOS a iPadOS zariadení na staršie verzie softvéru, ktoré neobsahujú najnovšie bezpečnostné aktualizácie, a môže byť spoločnosťou Apple použitý na rovnaký účel aj v systéme macOS. Bez tejto ochrany by útočník, ktorý sa zmocnil zariadenia, mohol inštalovať staršie verzie iOS alebo iPadOS a zneužiť slabiny, ktoré boli opravené v novších verziách systému.

Navyše sa na zariadenia fyzicky pripojené k Macu sťahuje a inštaluje úplná kópia systému iOS alebo iPadOS. Počas bezdrôtovej aktualizácie softvéru (over-the-air, OTA) sú sťahované len komponenty vyžadované na aktualizáciu, čo zvyšuje efektivitu siete. Na Macoch so systémom macOS 10.13 alebo novším je po zapnutí funkcie Ukladanie obsahu do medzipamäte možné dočasne uchovávať aktualizácie, takže iOS a iPadOS zariadenia nemusia znovu sťahovať potrebné aktualizácie z internetu. Pred dokončením procesu aktualizácie však aj naďalej musia kontaktovať servery spoločnosti Apple.

Zabezpečenie platforiem Apple 30 Proces zabezpečenej aktualizácie softvéru Počas upgradovania je nadviazané spojenie s autorizačným inštalačným serverom spoločnosti Apple, ktorého súčasťou je zoznam šifrovacích parametrov pre jednotlivé časti inštalovaného balíka (napríklad iBoot, kernel a obraz operačného systému), náhodná „anti- replay“ hodnota (jednorazový kód) a jedinečný identifikátor (Exclusive Chip Identification, ECID).

Autorizačný server porovná predložený zoznam parametrov s verziami, ktorých inštalácia je povolená, a ak nájde zhodu, pridá k parametrom hodnotu ECID a podpíše výsledok. Server odovzdá úplnú sadu podpísaných dát zariadeniu v rámci procesu upgradovania. Vďaka pridanej hodnote ECID je autorizácia „personalizovaná“ pre konkrétne zariadenie, ktoré poslalo žiadosť. Keďže server poskytuje autorizáciu a podpis len pre známe šifrovacie parametre, aktualizácia sa vždy nainštaluje tak, ako ju spoločnosť Apple poskytla.

Vyhodnocovanie reťaze dôveryhodnosti štartovania overí, či podpis pochádza od spoločnosti Apple a hodnota položky načítanej z úložného zariadenia spolu s ECID zariadenia zodpovedajú hodnotám, pre ktoré bol podpis vytvorený. Vyššie uvedené kroky zaručujú previazanie autorizácie s konkrétnym zariadením a znemožňujú kopírovať staršie verzie systémov iOS a iPadOS alebo firmvéru bezpečnostného čipu Apple T2 z jedného zariadenia na iné zariadenie. Jednorazová náhodná hodnota bráni útočníkovi uložiť odozvu servera, ktorú by mohol použiť na manipuláciu so zariadením alebo na iný zásah do systémového softvéru.

Na zariadeniach s koprocesorom Secure Enclave využíva Autorizáciu systémového softvéru aj Secure Enclave na zaručenie integrity softvéru zariadenia a zamedzenie inštalácie starších verzií softvéru.

Integrita operačného systému v systémoch iOS a iPadOS

Prehľad zabezpečenia systémov iOS a iPadOS Spoločnosť Apple navrhla platformu iOS tak, aby bolo zabezpečenie integrované v samotnom jadre systému. Keď sme sa pustili do vytvárania najlepšej možnej mobilnej platformy, budovali sme úplne novú architektúru na základe skúseností nadobudnutých počas niekoľkých desaťročí. Pri navrhovaní iOS sme vzali do úvahy bezpečnostné riziká známe z desktopových systémov a stanovili nový prístup k zabezpečeniu. Pre túto platformu boli navrhnuté inovatívne funkcie, ktoré sprísňujú mobilné zabezpečenie a štandardne chránia celý systém. V konečnom dôsledku tak iOS a následne aj iPadOS predstavujú v oblasti zabezpečenia mobilných zariadení veľký krok vpred.

Zabezpečenie platforiem Apple 31 Ochrana integrity kernelu systému Po dokončení inicializácie jadra (kernelu) systémov iOS a iPadOS sa zapne Ochrana integrity jadra (Kernel Integrity Protection, KIP), ktorá bráni úpravám kódu jadra a ovládačov. Radič pamäte poskytne chránenú oblasť fyzickej pamäte, ktorú iBoot použije na načítanie jadra a jeho rozšírení. Po dokončení štartovania radič pamäte zamietne akýkoľvek pokus o zápis do chránenej oblasti fyzickej pamäte. Jednotka správy pamäte (Memory Management Unit, MMU) aplikačného procesora je navyše nastavená tak, aby neumožňovala mapovanie privilegovaného kódu z fyzickej pamäte mimo chránenej oblasti pamäte ani mapovanie s možnosťou zápisu do fyzickej pamäte v oblasti pamäte vyhradenej pre kernel.

Aby sa zabránilo zmenám konfigurácie, hardvér použitý na zapnutie KIP je po dokončení procesu štartovania zamknutý. Ochrana integrity KIP je podporovaná na SoC počnúc Apple A10 a S4.

Pre SoC Bionic bolo predstavené nové hardvérové primitívum. Súčasťou tohto primitíva je register CPU, ktorý umožňuje rýchlo obmedziť práva pre jednotlivé vlákna. Vďaka tomuto mechanizmu rýchleho obmedzovania práv (alebo APRR) môžu iOS a iPadOS odstraňovať z pamäte práva na spúšťanie bez nákladného systémového volania a prechádzania alebo vyprázdňovania tabuľky stránok.

Ochrana integrity systémových koprocesorov Firmvér koprocesorov má na starosti množstvo kritických systémových úloh, napríklad Secure Enclave, procesor obrazového senzora a pohybový koprocesor. Jeho zabezpečenie je preto kľúčovým prvkom zabezpečenia celého systému. Na ochranu pred zmenami firmvéru koprocesorov používa spoločnosť Apple mechanizmus nazývaný Ochrana integrity systémových koprocesorov (System Integrity Protection, SCIP). Podporovaný je v SoC počnúc Apple A12 a S4.

SCIP funguje podobne ako ochrana integrity kernelu: Počas štartovania načíta modul iBoot firmvér jednotlivých koprocesorov do chránenej oblasti pamäte (je rezervovaná a oddelená od oblasti vyhradenej pre KIP). iBoot nastaví pamäťové jednotky jednotlivých koprocesorov tak, aby neumožňovali:

• Mapovanie spustiteľného kódu mimo chránenej oblasti pamäte vyhradenej pre koprocesor.

• Mapovanie s možnosťou zápisu v chránenej oblasti pamäte vyhradenej pre koprocesor. Počas štartovania slúži na konfiguráciu SCIP pre Secure Enclave operačný systém koprocesora Secure Enclave. Po dokončení procesu štartovania dôjde k zamknutiu hardvéru, ktorý bol použitý na zapnutie SCIP, takže nie je možné meniť konfiguráciu.

Autentifikačné kódy ukazovateľov Autentifikačné kódy ukazovateľov (Pointer authentication codes, PACs) sú podporované počnúc SoC Apple A12 a S4 a slúžia na ochranu pred zneužitím chýb súvisiacich s poškodením pamäte. Systémový softvér a vstavané apky využívajú PAC kódy na ochranu pred úpravami ukazovateľov funkcií a spiatočných adries (ukazovatele kódu). PAC podpisuje inštrukcie a dáta kernelu pomocou piatich tajných 128-bitových kľúčov a každý proces priestoru užívateľa používa vlastné B kľúče. Položky sú „posolené“ (pridaním kryptografickej hodnoty „Salt“) a podpísané nasledujúcim spôsobom:

Zabezpečenie platforiem Apple 32 Položka Kľúč Salt

Spiatočná adresa funkcie IB Adresa v úložisku

Ukazovatele na funkcie IA 0

Funkcia na volanie bloku IA Adresa v úložisku

Medzipamäť metódy Objective-C IB Adresa v úložisku + trieda + selektor

Položky V-tabuliek v C++ IA Adresa v úložisku + hodnota hash (upravený názov metódy)

Výpočtové Goto návestie IA Hodnota hash (názov funkcie)

Stav vlákna kernelu GA •

Registre stavu vlákna užívateľa IA Adresa v úložisku

Ukazovatele V-tabuliek v C++ DA 0

Hodnota podpisu sa ukladá v nepoužívaných bitoch, označovaných ako výplň, nad 64-bitovým ukazovateľom. Pred použitím je podpis overený a výplň je obnovená s cieľom zaručiť funkčnú adresu ukazovateľa. Ak overovanie zlyhá, je nastavená špeciálna hodnota, ktorá znehodnotí adresu a v systémoch iOS 13 a iPadOS 13.1 vedie k predčasnému ukončeniu. Toto overovanie zvyšuje obťažnosť mnohých útokov, napríklad útokov typu „Return Oriented Programming“ (ROP), ktoré sa pokúšajú manipuláciou spiatočnej adresy funkcie uchovanej v zásobníku spustiť na zariadení existujúci kód v škodlivom kontexte. PAC sú podporované počnúc SoC Apple A12 a S4.

Vrstva ochrany stránok Vrstva ochrany stránok (Page Protection Layer, PPL) v systémoch iOS a iPadOS chráni kód v priestore užívateľa pred úpravami po dokončení overovania podpisu. Využíva mechanizmy KIP a APRR na detailnú správu prepisovania povolení pre tabuľky stránok, ktoré zaručujú, že chránené stránky obsahujúce kód užívateľa a tabuľky stránok môže upravovať len vrstva PPL. Dokonca aj v prípade narušenia kernelu tak systém výrazne zmenšuje plochu pre útoky vďaka podpore pre celosystémové vynucovanie integrity kódu.

Integrita operačného systému v macOS

Prehľad zabezpečenia systému macOS Spoločnosť Apple pri navrhovaní platformy macOS zvolila komplexný prístup zahrňujúci hardvér, softvér a služby, vďaka ktorému je zabezpečenie súčasťou systému a ktorý umožňuje jeho jednoduchú konfiguráciu, nasadzovanie aj správu. macOS obsahuje kľúčové bezpečnostné technológie, ktoré IT profesionálom pomáhajú chrániť korporačné dáta a integrovať systém v zabezpečenom podnikovom sieťovom prostredí. Spoločnosť Apple zároveň spolupracuje so štandardizačnými inštitúciami, takže jej produkty spĺňajú najnovšie bezpečnostné certifikácie.

Zabezpečenie platforiem Apple 33 Zabezpečenie firmvéru Macu

Prehľad zabezpečenia UEFI firmvéru Od roku 2006 počítače Mac s procesormi založenými na architektúre Intel využívajú firmvér procesorov Intel, ktorý je odvodený z verzie 1 alebo 2 vývojárskej sady EDK (Extensible Develper Kit) pre rozhranie EFI (Extensible Firmware Interface). Kód odvodený z EDK2 spĺňa špecifikácie Unified Extensible Firmware Interface (UEFI). V tejto časti je firmvér procesorov Intel označovaný ako UEFI firmvér. UEFI firmvér je prvý kód, ktorý je spustený na čipe Intel po jeho zapnutí.

Aby sa zabránilo útokom vedeným prostredníctvom fyzického pripojenia k úložnému čipu, na ktorom je uchovaný UEFI firmvér, architektúra počítačov Mac bola od roku 2017 zmenená tak, že koreň dôveryhodnosti v UEFI firmvér je uchovaný na bezpečnostnom čipe Apple T2. Na týchto Macoch je koreňom dôveryhodnosti pre UEFI firmvér priamo firmvér čipu T2. Táto koncepcia sa pri ochrane UEFI firmvéru (a vo všeobecnosti aj zabezpečeného štartovania) pred trvalým infikovaním spolieha na T2 podobne, ako je štartovanie v systémoch iOS a iPadOS chránené pomocou SoC série A.

Na počítačoch Mac bez bezpečnostného čipu Apple T2 je koreňom dôveryhodnosti pre UEFI firmvér čip, na ktorom je firmvér uchovaný. Aktualizácie UEFI firmvéru sú pred aktualizáciou úložiska digitálne podpísané spoločnosťou Apple a overené firmvérom. Aby sa zabránilo útokom typu rollback, musia mať aktualizácie vždy novšiu verziu, než je aktuálna. Útočník s fyzickým prístupom k Macu by však mohol k čipu, na ktorom je uchovaný firmvér, pripojiť hardvér, aktualizovať čip a uložiť naň škodlivý obsah. K trvalej infekcii UEFI firmvéru by mohlo viesť aj odhalenie slabín v počiatočných fázach procesu štartovania (pred obmedzením zápisu na úložný čip). Toto hardvérové obmedzenie architektúry je bežné pri väčšine PC s procesormi Intel a postihuje všetky počítače Mac bez čipu T2.

Na vyriešenie tohto obmedzenia bola architektúra počítačov Mac zmenená a koreňom dôveryhodnosti pre UEFI firmvér je bezpečnostný čip Apple T2. Na týchto počítačoch Mac je koreňom dôveryhodnosti pre UEFI firmvér priamo firmvér čipu T2. Detailný popis nájdete nižšie v časti venovanej štartovaniu macOS. Ak chce útočník dosiahnuť trvalé infikovanie UEFI firmvéru, musí najprv infikovať firmvér čipu T2.

Intel Management Engine (ME) Jedným z čiastkových komponentov uložených v UEFI firmvéri je firmvér enginu Intel ME (Intel Management Engine). ME je samostatný procesor a podsystém na čipoch Intel, ktorý je možné použiť na vzdialenú správu, ochranu audia a videa a zvýšenie zabezpečenia. S cieľom zmenšiť plochu pre útoky používajú počítače Mac pre ME vlastný firmvér, z ktorého bola odstránená väčšina komponentov. Vďaka tomu je ME firmvér na Macoch menší ako najmenší dostupný štandardný build poskytovaný spoločnosťou Intel. ME firmvér na Macu tak vôbec neobsahuje množstvo komponentov, ktoré boli v minulosti terčom verejných útokov výskumníkov v oblasti zabezpečenia (napríklad technológia aktívnej správy (Active Management Technology)). Primárnym účelom ME firmvéru je ochrana autorských práv audioobsahu a videoobsahu na počítačoch Mac, ktoré sú vybavené len grafikou na báze procesorov Intel.

Zabezpečenie platforiem Apple 34 Režim správy systému (SMM) Procesory Intel môžu pracovať v špecifickom režime vykonávania, ktorý sa odlišuje od bežnej prevádzky. Označuje sa ako Režim správy systému (System Management Mode, SMM) a pôvodne bol určený na spracovanie operácií citlivých na čas, napríklad správu napájania. Staršie počítače Mac na vykonávanie takýchto akcií používali oddelený mikroradič označovaný ako Radič správy systému (System Management Controller, SMC). Na nových Macoch už SMC nie je samostatný mikroradič, ale bol integrovaný do bezpečnostného čipu Apple T2.

Na počítačoch PC podporujúcich zabezpečené štartovanie plní SMM dodatočnú úlohu ako chránené prostredie vykonávania, ktorému je možné udeliť exkluzívny prístup k obsahu citlivému z hľadiska zabezpečenia, napríklad prístupu na zápis do kódu a pravidlám zabezpečenia uchovaným na úložnom čipe UEFI firmvéru. Z tohto dôvodu sa útočníci často zameriavajú na prelomenie prostredia SMM ako formy eskalácie práv na vykonávanie operácií, ktoré kernel nedokáže vykonávať, čo by mohlo viesť ku kompromitovaniu zabezpečeného štartovania. Na počítačoch Mac sa prostredie vykonávania SMM používa čo najmenej a neslúži ako ohraničenie bezpečnostných práv zabezpečeného štartovania. Zabezpečené štartovanie tak v prípade narušenia SMM nie je ohrozené. Na čipe T2 určujú hranice práv tie akcie, ktoré smie vykonávať len samotný čip.

Metódy ochrany DMA Aby bolo možné dosiahnuť vysokú priepustnosť dát z vysokorýchlostných rozhraní ako PCIe, FireWire, Thunderbolt a USB, počítače musia podporovať priamy prístup k pamäti (Direct Memory Access, DMA) z periférií. Inak povedané, musia byť schopné čítania a zápisu do RAM bez neustáleho zasahovania zo strany hlavného procesora Intel. Od roku 2012 sú v počítačoch Mac implementované početné technológie na ochranu DMA. Výsledkom je najlepší a najkomplexnejší súbor metód ochrany DMA na osobných počítačoch.

Od roku 2012 podporujú počítače Mac technológiu Intel VT-d (Virtualization Technology for Directed IO). Spočiatku slúžila v systéme OS X 10.9 na ochranu kernelu v pamäti pred prepísaním škodlivými perifériami. Škodlivé periférie však s cieľom kompromitovať štartovanie dokážu prepísať kód a dáta aj za behu UEFI firmvéru. macOS 10.12.3 aktualizoval UEFI firmvér na všetkých počítačoch Mac podporujúcich technológiu VT-d tak, aby na ochranu pred škodlivými FireWire a Thunderbolt perifériami používali VT-d. Periférie boli zároveň izolované, takže môžu vidieť len vlastné rozsahy pamäte, a nie pamäte ostatných periférií. Napríklad ethernetové periférne zariadenie bežiace pod UEFI nemôže čítať pamäť úložného periférneho zariadenia.

Metódy ochrany DMA v UEFI firmvéri boli ďalej vylepšené v systéme macOS 10.13. Ich inicializácia bola posunutá do skorších fáz v spúšťacej sekvencii UEFI firmvéru, čo poskytuje ochranu proti:

• Interným procesorom škodlivých periférií na PCIe zbernici. • Triede útokov typu „Message Signaled Iterrupt“ (MSI) demonštrovanej výskumníkmi v oblasti zabezpečenia.

Zabezpečenie platforiem Apple 35 Všetky počítače Mac s bezpečnostným čipom Apple T2 sú dodávané s ďalšími vylepšeniami metód ochrany DMA, ktoré posúvajú inicializáciu do najskoršej možnej fázy. Konkrétne to znamená, že ochrana je zapnutá ešte pred sprístupnením akejkoľvek RAM pre UEFI firmvér. Tento mechanizmus poskytuje ochranu pred ľubovoľnými kompromitovanými zariadeniami na PCIe zbernici 0 (napríklad Intel ME), ktoré by mohli byť v okamihu sprístupnenia RAM v činnosti a boli schopné priameho prístupu k pamäti. Táto ochrana bola v systéme macOS 10.15 pridaná aj do počítačov Mac bez čipu T2.

Pamäte Option ROM Zariadenia pripájajúce sa cez Thunderbolt alebo PCIe môžu byť vybavené pamäťou „Option ROM“ (OROM), ktorá je fyzicky umiestnená na zariadení. (Spravidla sa nejedná o skutočnú ROM, ale o prepisovateľný čip, na ktorom je uchovaný firmvér.) V systémoch založených na štandarde UEFI je tento firmvér najčastejšie UEFI ovládač, ktorý UEFI firmvér prečíta a spustí. Účelom spusteného kódu je inicializácia a konfigurácia hardvéru, z ktorého bol získaný, takže zvyšné časti firmvéru budú môcť daný hardvér používať. Tento mechanizmus je nevyhnutný na spúšťanie a obsluhovanie špecializovaného hardvéru tretích strán počas úvodných fáz štartovania, napríklad na štartovanie z externých polí RAID.

OROM je však vo všeobecnosti možné prepísať. Ak by útočník prepísal OROM legitímnej periférie, kód útočníka by bol spustený v úvodných fázach štartovania a pravdepodobne by dokázal manipulovať s prostredím spúšťania a narušiť integritu následne načítaného softvéru. Podobne by útočník mohol spúšťať škodlivý kód aj v prípade, že by k systému pripojil vlastné škodlivé zariadenie.

Zabezpečenie platforiem Apple 36 V systéme macOS 10.12.3 bolo správanie počítačov Mac predávaných po roku 2011 zmenené. Kód z pamätí OROM nie je štandardne spúšťaný počas štartovania Macu, pokiaľ nebola stlačená špeciálna kombinácia klávesov. Táto kombinácia klávesov chránila pred neželaným zavádzaním škodlivých pamätí OROM do štartovacej sekvencie macOS. Zároveň bolo zmenené predvolené správanie Utility hesla firmvéru. Ak si užívateľ nastaví heslo firmvéru, kód z pamätí OROM nie je možné spúšťať ani po stlačení kombinácie klávesov. Toto správanie poskytuje ochranu proti fyzicky prítomnému útočníkovi, ktorý úmyselne zavádza škodlivú pamäť OROM. Pre užívateľov, ktorí chcú spúšťať kód z pamätí OROM aj po nastavení hesla firmvéru, bola pridaná neštandardná možnosť, ktorú je možné nastaviť pomocou nástroja príkazového riadka firmwarepasswd v macOS.

Sandboxing pamätí OROM

Využitie sandboxu pre pamäte OROM V systéme macOS 10.15 bol UEFI firmvér aktualizovaný tak, aby pridané mechanizmy izolovali pamäte OROM v sandboxe a odobrali im práva. UEFI firmvér spravidla spúšťa všetok kód vrátane pamätí OROM na maximálnej úrovni práv procesora Intel, označovanej ako ring 0, a v jedinom zdieľanom virtuálnom pamäťovom priestore pre všetok kód a dáta. S právami úrovne ring 0 pracuje aj kernel macOS, zatiaľ čo apky bežia na nižšej úrovni ring 3. Zavedením sandboxu pre OROM sa práva kódu z pamätí OROM znížili jednak využitím oddeľovania virtuálnej pamäte a následne spúšťaním kódu z pamätí OROM na úrovni práv ring 3.

Sandboxing navyše v rozsiahlej miere obmedzuje rozhrania, ktoré môže OROM kód volať (podobne ako filtrovanie systémových volaní v kerneloch), a aj typy zariadení, ktoré môže OROM registrovať (podobne ako biele listiny apiek). Výhodou tejto koncepcie je, že škodlivý kód v pamätiach OROM nemôže priamo zapisovať do pamäte na úrovni práv ring 0 a namiesto toho je obmedzený na veľmi úzke a striktne definované rozhranie sandboxu. Toto obmedzené rozhranie výrazne zmenšuje plochu pre útoky a núti útočníkov najprv uniknúť zo sandboxu a zvýšiť si úroveň práv.

Zabezpečenie platforiem Apple 37 Zabezpečenie firmvéru periférií Počítače Mac obsahujú množstvo vstavaných periférnych procesorov určených na vykonávanie rôznych úloh, napríklad komunikáciu cez sieť, grafiku, správu napájania alebo riadenie dátových zberníc ako USB alebo Thunderbolt. Firmvér periférií je často navrhnutý len pre konkrétny účel a má podstatne menej možností ako procesor Intel. Ak vstavané periférie nie sú dostatočne zabezpečené, môžu sa stať terčom útočníkov hľadajúcich jednoduché ciele na zneužitie a následnú trvalú nákazu operačného systému. Po nakazení firmvéru periférneho procesora sa útočník môže zamerať na softvér na procesore Intel alebo priamo zachytávať citlivé dáta (napríklad ethernetové zariadenie môže vidieť obsah nezašifrovaných balíkov dát).

Spoločnosť Apple strategicky spolupracuje s dodávateľmi tretích strán na zmenšení počtu nevyhnutných periférnych procesorov (ak je to možné) a vývoji periférií, ktoré nevyžadujú používanie firmvéru. Ak je používanie firmvéru nevyhnutné, vývojári sa snažia zabrániť prípadným útočníkom zotrvať na danom procesore. Dosiahnuť sa to dá viacerými spôsobmi:

• Spustením procesora v režime, kde je overený firmvér stiahnutý z procesora Intel pri spúšťaní. • Implementáciou vlastnej reťaze zabezpečeného štartovania pre procesor periférie, pomocou ktorej pri každom štartovaní overí svoj vlastný firmvér. Spoločnosť Apple v spolupráci s dodávateľmi preveruje ich implementácie a navrhuje vylepšenia koncepcií tak, aby ich súčasťou boli požadované vlastnosti, napríklad:

• Zaručenie minimálnej sily šifrovania. • Nekompromisné odvolanie známeho škodlivého firmvéru. • Zakázanie rozhraní určených na ladenie. • Podpisovanie firmvéru pomocou šifrovacích kľúčov uchovaných v zabezpečených hardvérových moduloch (Hardware Security Modules, HSM), nad ktorými má kontrolu spoločnosť Apple. V posledných rokoch spoločnosť Apple spolupracovala s niektorými externými dodávateľmi na prechode na rovnaké dátové štruktúry Image4, overovací kód a infraštruktúru podpisovania, aké sa používajú na iOS a iPadOS zariadeniach a počítačoch Mac vybavených bezpečnostným čipom Apple T2.

V riešeniach, ktoré nevyužívajú úložisko, prípadne využívajú úložisko, no nepodporujú zabezpečené štartovanie, sa pred aktualizáciou trvalého úložiska vyžaduje šifrované podpísanie a overenie aktualizácií firmvéru.

Povinná kontrola prístupu Systém macOS využíva aj povinnú kontrolu prístupu. Ide o pravidlá, ktoré nastavujú obmedzenia zabezpečenia. Vytvára ich vývojár a nie je možné ich obísť. Tento prístup sa líši od voľnej kontroly prístupu, ktorá užívateľom umožňuje obchádzať pravidlá zabezpečenia podľa vlastných potrieb.

Povinná kontrola prístupu nie je viditeľná pre užívateľov, tvorí však základnú technologickú vrstvu, ktorá umožňuje používať niekoľko dôležitých funkcií vrátane sandboxingu, rodičovskej kontroly, spravovaných nastavení, rozšírení a ochrany integrity systému.

Zabezpečenie platforiem Apple 38 Ochrana integrity systému Súčasťou systému OS X 10.11 a novších verzií je ochrana na úrovni systému, ktorá sa nazýva Ochrana integrity systému. Táto obmedzuje prístup komponentov k špecifickým umiestneniam, v ktorých sú uchované kritické systémové súbory, len na čítanie, takže škodlivý kód ich nemôže upravovať. Ochrana integrity systému je nastavenie špecifické pre počítač, ktoré je po upgradovaní počítača na OS X 10.11 alebo novší štandardne zapnuté. Ak ju užívateľ vypne, ochrana bude odstránená zo všetkých partícií na fyzickom úložnom zariadení. macOS aplikuje toto pravidlo zabezpečenia na všetky procesy bežiace v systéme bez ohľadu na to, či bežia v sandboxe alebo s právami správcu.

Rozšírenia kernelu Používanie rozšírení kernelu (Kernel extensions, KEXTs) už nie je v systéme macOS odporúčané. Rozšírenia kernelu predstavujú riziko pre integritu a spoľahlivosť operačného systému a užívatelia by mali preferovať riešenia, ktoré nevyžadujú rozširovanie kernelu.

V systéme macOS 10.15 majú vývojári možnosť rozširovať možnosti macOS inštaláciou a spravovaním rozšírení systému, ktoré však nebežia na úrovni kernelu, ale v priestore užívateľa. Spúšťanie rozšírení systému v priestore užívateľa zvyšuje stabilitu a zabezpečenie systému macOS. Kým rozšírenia kernelu majú z princípu plný prístup k celému operačnému systému, rozšíreniam bežiacim v priestore užívateľa sú udelené len práva nevyhnutné na vykonávanie konkrétnych funkcií.

Vývojári môžu využívať frameworky DriverKit, EndpointSecurity a NetworkExtension na písanie USB a HID ovládačov, nástroje na zabezpečenie koncových bodov (napríklad ochrana pred stratou dát alebo iní agenti koncových bodov) a nástroje určené pre VPN a sieť – to všetko bez potreby písať rozšírenia kernelu. Požívanie bezpečnostných agentov tretích strán sa odporúča len vtedy, ak využívajú tieto rozhrania API, prípadne ak majú definovaný podrobný plán prechodu z rozšírení kernelu na tieto rozhrania API.

Systém macOS aj naďalej poskytuje mechanizmus rozšírení kernelu, aby bolo možné dynamicky načítavať kód do kernelu bez potreby opätovnej kompilácie alebo zostavovania kódu. V záujme zvýšenia zabezpečenia je načítanie rozšírení kernelu nainštalovaných spolu so systémom macOS 10.13 alebo po upgradovaní na túto verziu systému podmienené súhlasom užívateľa. Tento mechanizmus je známy ako „užívateľom schvaľované načítavanie rozšírení kernelu“. Rozšírenie kernelu musí autorizovať správca.

Rozšírenia kernelu nevyžadujú autorizáciu v nasledujúcich prípadoch:

• Boli nainštalované na Mac pred upgradovaním na macOS 10.13. • Nahrádzajú rozšírenia, ktoré už boli schválené. • Ich načítavanie bez súhlasu užívateľa bolo povolené pomocou nástroja príkazového riadka spctl dostupného pri štartovaní z Obnovy macOS. • Ich načítavanie bolo povolené pomocou konfigurácie správy mobilných zariadení (MDM). Počnúc systémom macOS 10.13.2 môžu užívatelia na špecifikovanie zoznamu rozšírení kernelu načítavaných bez súhlasu užívateľa používať MDM. Táto možnosť vyžaduje macOS 10.13.2 zaregistrovaný v riešení MDM prostredníctvom Apple School Managera, Apple Business Managera alebo so súhlasom užívateľa.

Zabezpečenie platforiem Apple 39 Zabezpečenie systému vo watchOS

Prehľad zabezpečenia systému watchOS Apple Watch využívajú na ochranu dát na zariadení a na ochranu komunikácie so spárovaným iPhonom alebo internetom bezpečnostné funkcie a technológie vstavané v systémoch iOS a iPadOS. Medzi tieto technológie patria napríklad Ochrana dát a Kľúčenka ochrany prístupu. Kód užívateľa je zároveň previazaný s UID zariadenia, čo umožňuje vytvárať šifrovacie kľúče.

Párovanie Apple Watch s iPhonom je zabezpečené pomocou OOB (out-of-band) procesu určeného na výmenu kľúčov, nasledovaného zdieľaným tajným kľúčom pripojenia BLE (Bluetooth Low Energy). Na Apple Watch sa zobrazí animovaný vzor, ktorý je potrebné zachytiť pomocou kamery iPhonu. Tento vzor obsahuje zakódovaný tajný kľúč, ktorý sa použije na OOB párovanie rozhrania BLE 4.1. V prípade potreby môže ako metóda záložného párovania slúžiť štandardné zadanie prístupového kľúča BLE.

Po nadviazaní relácie BLE a nastavení šifrovania použitím najvyššieho dostupného protokolu zabezpečenia podľa štandardu Bluetooth Core si Apple Watch a iPhone vymenia kľúče využitím upravenej verzie procesu IDS (Apple Identity Service), ktorého popis nájdete v časti Prehľad iMessage. Po výmene kľúčov je kľúč Bluetooth relácie znehodnotený a všetka komunikácia medzi Apple Watch a iPhonom je šifrovaná pomocou IDS, pričom sekundárnu vrstvu šifrovania poskytujú šifrované linky Bluetooth, Wi-Fi a mobilného pripojenia. Adresa BLE sa mení v 15-minútových intervaloch, čím sa zmenšuje riziko lokálneho sledovania zariadenia prostredníctvom vysielania trvalého identifikátora.

Na podporu apiek, ktoré vyžadujú streamovanie dát, sú k dispozícii metódy šifrovania popísané v časti FaceTime, ktoré využívajú buď službu IDS poskytovanú spárovaným iPhonom, alebo priame pripojenie na internet.

V Apple Watch je implementované hardvérové šifrovanie úložiska a ochrana súborov a Kľúčenky založená na triedach ochrany, ktorá je popísaná v časti Šifrovanie a ochrana dát. Pre položky v Kľúčenke sa zároveň používajú keybagy s kontrolou prístupu. Kľúče používané na komunikáciu medzi hodinkami a iPhonom sú zabezpečené ochranou založenou na triedach.

Keď sú Apple Watch mimo dosahu rozhrania Bluetooth, môžu namiesto neho využívať Wi-Fi alebo mobilné pripojenie. Apple Watch sa automaticky pripájajú k Wi-Fi sieťam, ku ktorým sa už pripojil spárovaný iPhone a ktorých prihlasovacie údaje boli synchronizované na Apple Watch v čase, keď boli obe zariadenia vo vzájomnom dosahu. Automatické pripájanie k sieťam je možné upraviť v časti Wi-Fi v apke Nastavenia na Apple Watch. K Wi-Fi sieťam, ku ktorým sa zatiaľ nepripojilo ani jedno zo zariadení, je možné sa manuálne pripojiť v časti Wi-Fi v apke Nastavenia na Apple Watch.

Keď sú Apple Watch a iPhone mimo vzájomného dosahu, Apple Watch sťahujú emailové správy prostredníctvom priameho pripojenia k serverom služieb iCloud a Gmail (nesynchronizujú dáta apky Mail so spárovaným iPhonom cez internet). Pri používaní účtu Gmail sa užívateľ musí autentifikovať v službe Gmail v časti Mail v apke Watch na iPhone. OAuth token prijatý zo služby Google je v šifrovanej podobe odoslaný na Apple Watch cez IDS, aby ho bolo možné používať na sťahovanie emailov. Tento OAuth token sa nikdy nepoužíva na pripájanie k serverom služby Gmail zo spárovaného iPhonu.

Zabezpečenie platforiem Apple 40 Ak je zapnutá detekcia zápästia, zariadenie sa po sňatí zo zápästia užívateľa automaticky zamkne po krátkom čase. Ak je detekcia zápästia vypnutá, Apple Watch je možné zamknúť pomocou príslušnej možnosti v Ovládacom centre. Keď sú Apple Watch zamknuté, službu Apple Pay je možné používať len po zadaní kódu hodiniek. Detekcia zápästia sa vypína v apke Apple Watch na iPhone. Toto nastavenie je možné vynútiť aj pomocou riešenia správy mobilných zariadení (MDM).

Hodinky je možné odomykať aj pomocou spárovaného iPhonu, no len keď ich má užívateľ nasadené na zápästí. Na tento účel je nadviazané pripojenie autentifikované pomocou kľúčov stanovených počas párovania. iPhone pošle kľúč, ktorý hodinky použijú na odomknutie kľúčov technológie Data Protection. iPhone nemá k dispozícii kód hodiniek a tento kód nie je prenášaný. Túto funkciu je možné vypnúť v apke Apple Watch na iPhone.

Apple Watch nie je možné naraz spárovať s viacerými iPhonmi. Po zrušení párovania odošle iPhone inštrukcie na vymazanie všetkého obsahu a dát z Apple Watch.

Apple Watch je možné nastaviť na nočnú aktualizáciu systémového softvéru. Viac informácií o ukladaní a používaní kódu Apple Watch počas aktualizácie nájdete v časti Keybagy.

Zapnutie služby Nájsť na spárovanom iPhone zároveň umožní používať na Apple Watch funkciu Zámok aktivácie. Zámok aktivácie sťažuje používanie a predaj stratených alebo odcudzených Apple Watch. So zapnutou funkciou Zámok aktivácie nie je možné zrušiť párovanie, vymazať ani znovu aktivovať Apple Watch bez znalosti Apple ID a hesla pôvodného užívateľa.

Používanie Apple Watch so systémom macOS.

Automatické odomykanie macOS pomocou Apple Watch Užívateľ Apple Watch môže pomocou hodiniek automaticky odomykať svoj Mac. Bezpečné odomknutie Macu pomocou Apple Watch je po stanovení dostatočnej fyzickej blízkosti zariadení realizované pomocou BLE a peer-to-peer Wi-Fi pripojenia. Táto metóda vyžaduje iCloud účet so zapnutou dvojfaktorovou autentifikáciou (two-factor authentication, TFA).

Po zapnutí odomykania Macu pomocou Apple Watch je nadviazané zabezpečené spojenie využívajúce identity automatického uzamykania. Mac vytvorí náhodný jednorazový tajný kľúč na odomknutie a prenesie ho na Apple Watch cez zabezpečené spojenie. Tajný kľúč je uchovaný na Apple Watch a prístupný len na odomknutých Apple Watch. Odomykací token nie je totožný s heslom užívateľa.

Počas odomykania nadviaže Mac spojenie s Apple Watch cez rozhranie BLE. Medzi zariadeniami je potom vytvorené zabezpečené spojenie, ktoré využíva zdieľané kľúče použité pri prvom zapnutí odomykania. Mac a Apple Watch potom na stanovenie vzdialenosti medzi oboma zariadeniami využívajú peer-to-peer Wi-Fi a zabezpečený kľúč, ktorý bol odvodený zo zabezpečeného spojenia. Keď sú zariadenia v dosahu, predzdieľaný tajný kľúč na odomknutie Macu sa prenesie cez zabezpečené spojenie. Po úspešnom odomknutí nahradí Mac aktuálny odomykací kľúč novým jednorazovým odomykacím tajným kľúčom a cez zabezpečené spojenie ho prenesie na Apple Watch.

Zabezpečenie platforiem Apple 41 Schvaľovanie pomocou Apple Watch Po zapnutí automatického odomykania Macu pomocou Apple Watch je Apple Watch možné používať ako náhradu alebo doplnok Touch ID pri schvaľovaní výziev na autorizáciu a autentifikáciu pre:

• macOS a apky spoločnosti Apple, ktoré požiadali o autentifikáciu, • apky tretích strán, ktoré požiadali o autentifikáciu, • uložené heslá v Safari, • zabezpečené poznámky.

Zabezpečenie platforiem Apple 42 Šifrovanie a ochrana dát

Prehľad šifrovania a ochrany dát Funkcie zabezpečeného reťazca spúšťania, bezpečnosť systému a bezpečnosť apiek pomáhajú zaistiť, že na zariadení sa bude spúšťať len dôveryhodný kód a apky. Apple zariadenia majú dodatočné funkcie šifrovania chrániace užívateľské dáta aj v prípade narušenia iných častí bezpečnostnej infraštruktúry (napríklad v prípade straty zariadenia alebo spustenia nedôveryhodného kódu). Všetky tieto výhody pomáhajú užívateľom aj správcom IT v zmysle nepretržitej ochrany osobných aj korporačných informácií a dostupnosti metód na okamžité a kompletné vzdialené vymazanie v prípade krádeže alebo straty zariadenia.

iOS a iPadOS zariadenia využívajú metodológiu šifrovania súborov zvanú Ochrana dát, zatiaľ čo dáta na počítačoch Mac sú chránené technológiou šifrovania oddielov zvanou FileVault. Oba modely podobným spôsobom ukotvujú svoje hierarchie správy kľúčov vo vyhradenom silikóne Secure Enclave (na zariadeniach, ktoré obsahujú SEP) a oba modely využívajú samostatný systém AES na podporu rýchleho šifrovania a na zaistenie, že kernelu OS alebo CPU (kde je ich možné napadnúť) nie je nikdy potrebné poskytovať dlhodobé šifrovacie kľúče.

Jadrá operačných systémov navyše vynucujú mechanizmy kontroly prístupu, ktoré bránia neautorizovanému prístupu k dátam. Tieto mechanizmy majú najčastejšie podobu spúšťania apiek v sandboxe (tieto obmedzujú dáta, ku ktorým môže apka pristupovať) a dátových trezorov. Dátový trezor možno chápať ako obrátený sandbox. Namiesto obmedzovania volaní, ktoré môže vykonávať apka, dátové trezory obmedzujú prístup k chráneným dátam (vynútené kernelom nezávisle od šifrovania súborov) bez ohľadu na to, či je samotný proces spustený v sandboxe alebo nie.

Ako spoločnosť Apple chráni osobné informácie užívateľov Okrem šifrovania neaktívnych uložených dát Apple zariadenia zabraňujú apkám v prístupe k osobným informáciám užívateľa bez povolenia pomocou rôznych techník vrátane dátových trezorov. V Nastaveniach v systémoch iOS alebo iPadOS a v Systémových nastaveniach v macOS si užívatelia môžu pozrieť, ktorým apkám povolili prístup k vybraným informáciám, a udeľovať alebo odoberať prístup k dátam v budúcnosti. Prístup sa vynucuje v nasledujúcich položkách:

• iOS, iPadOS a macOS: Kalendáre, Kamera, Kontakty, Mikrofón, Fotky, Pripomienky, Rozpoznávanie reči

Zabezpečenie platforiem Apple 43 • iOS a iPadOS: Bluetooth, Domácnosť, Médiá, mediálne apky a , Pohyb a fitnes • iOS a watchOS: Zdravie • macOS: Monitorovanie vstupu (napríklad zadávanie na klávesnici), Výzvy, Nahrávanie obrazovky (napríklad statické snímky obrazovky a video), Systémové nastavenia Počnúc systémom iOS 13.4 a iPadOS 13.4 sú všetky dáta apiek tretích strán automaticky chránené v dátových trezoroch. Ochrana pred nežiadúcim prístupom k dátam je tak zabezpečená aj pre procesy, ktoré nebežia v sandboxe.

Ak sa užívateľ prihlási do iCloudu, apkám v iOS a iPadOS sa v predvolenom nastavení udelí prístup do iCloud Drivu. Užívatelia môžu ovládať prístup každej apky v Nastaveniach v časti iCloud. Okrem toho iOS a iPadOS poskytujú obmedzenia, ktoré zabraňujú pohybu dát medzi apkami a účtami nainštalovanými riešením správy mobilných zariadení (MDM) a tými, ktoré nainštaloval užívateľ.

Úloha súborového systému Apple File System Apple File System (APFS) je patentovaný systém súborov, ktorý bol navrhnutý so zreteľom na šifrovanie. APFS funguje na všetkých platformách spoločnosti Apple (iOS, iPadOS, macOS, tvOS a watchOS). Je optimalizovaný pre úložisko Flash/SSD a je vybavený silným šifrovaním, metadátami copy-on-write, zdieľaním priestoru, klonovaním súborov a adresárov, funkciou snímok, rýchlou úpravou veľkosti adresárov, atomickým bezpečným ukladaním základných prvkov a vylepšenými elementárnymi zložkami súborového systému, ako aj unikátnym dizajnom copy-on-write, ktorý využíva spájanie I/O pre najvyššiu výkonnosť so zachovaním spoľahlivosti dát.

APFS priraďuje priestor úložiska na vyžiadanie. Keď má samostatný kontajner APFS viacero oddielov, voľné úložisko kontajnera sa zdieľa a je možné ho priradiť podľa potreby akýmkoľvek iným samostatným oddielom. Každý oddiel využíva len časť celého kontajnera, takže dostupné miesto je celková veľkosť kontajnera mínus priestor využívaný vo všetkých oddieloch kontajnera.

V macOS 10.15 alebo novšom musí APFS kontajner používaný na spúšťanie Macu obsahovať aspoň päť oddielov, pričom prvé tri sú pred užívateľom ukryté:

• Predbežný spúšťací oddiel: Obsahuje dáta potrebné na spustenie každého systémového oddielu v kontajneri

• Oddiel virtuálnej pamäte: Používa ho macOS na ukladanie stránkovacích súborov • Obnovovací oddiel Obsahuje recoveryOS • Systémový oddiel: Obsahuje nasledovné: • Všetky súbory potrebné na spustenie Macu • Všetky apky natívne nainštalované systémom macOS (tieto apky boli predtým umiestnené v priečinku /Aplikácie a teraz sa nachádzajú v priečinku /Systém/ Aplikácie) • Dátový oddiel: Obsahuje dáta, ktoré sa môžu meniť, napríklad: • Všetky dáta v priečinku užívateľa vrátane fotiek, hudby, filmov a dokumentov • Apky nainštalované užívateľom vrátane apiek AppleScriptu a Automatora

Zabezpečenie platforiem Apple 44 • Vlastné štruktúry a deamony nainštalované užívateľom, organizáciou alebo apkami tretích strán • Ďalšie umiestnenia vlastnené a zapisovateľné užívateľom, napríklad /Aplikácie, / Knižnica, /Užívatelia, /Oddiely, /usr/local, /private, /var a /tmp Pre každý ďalší systémový oddiel je vytvorený osobitný dátový oddiel. Predbežný spúšťací oddiel, oddiel virtuálnej pamäte a obnovovací oddiel sú zdieľané a nie sú duplikované.

Poznámka: Na základe predvolených nastavení nemôže do systémového oddielu zapisovať žiadny proces, dokonca ani systémový proces spoločnosti Apple.

Ochrana dát v iOS a iPadOS

Prehľad ochrany dát V iOS a iPadOS Apple využíva technológiu pod názvom Ochrana dát na ochranu dát uložených v úložisku flash na zariadení. Ochrana dát umožňuje zariadeniu reagovať na bežné udalosti ako napríklad prichádzajúce telefónne hovory, ale zároveň umožňuje vysokú úroveň šifrovania užívateľských dát. Kľúčové systémové apky ako napríklad Správy, Mail, Kalendár, Kontakty, Fotky a dátové hodnoty apky Zdravie používajú Ochranu dát predvolene a apky tretích strán nainštalované na iOS 7 alebo novšom a iPadOS 13.1 dostávajú túto ochranu automaticky.

Implementácia Ochrana dát sa implementuje konštruovaním a spravovaním hierarchie kľúčov a zostáv na hardvérových šifrovacích technológiách vstavaných v každom iOS a iPadOS zariadení. Ochrana dát sa ovláda podľa jednotlivých súborov tak, že každému súboru sa priradí trieda, pričom prístupnosť sa určí podľa toho, či boli dané kľúče triedy odomknuté. S nástupom Apple File System (APFS) je súborový systém schopný ďalej podrozdeľovať kľúče podľa rozsahu (kde časti jedného súboru môžu mať rozličné kľúče).

Architektúra V iOS a iPadOS je úložisko rozdelené do dvoch oddielov APFS:

• Systémový oddiel: Systémový obsah sa nachádza v oddiele Systém a užívateľské dáta v oddiele Dáta. • Dátový oddiel: Vždy keď sa v dátovom oddiele vytvorí súbor, Ochrana dát vytvorí nový 256-bitový kľúč (kľúč „pre dané súbory“) a poskytne ho hardvérovému systému AES, ktorý tento kľúč použije na zašifrovanie daného súboru, keďže je na zapísaný na úložisku flash. Šifrovanie využíva AES128 v režime XTS, v ktorom sa 256-bitový kľúč pre súbor rozdelí na poskytnutie 128-bitového dolaďovacieho a 128-bitového šifrovacieho kľúča.

Vytváranie a ochrana dátových súborov Na zariadeniach s A7, S2, alebo S3 SoC sa používa AES-CBC. Inicializačný vektor sa vypočítava s blokovou kompenzáciou v súbore šifrovanom pomocou kľúča pre dané súbory SHA-1 hash.

Zabezpečenie platforiem Apple 45 Kľúč pre dané súbory (alebo podľa rozsahu) je zabalený s jedným z niekoľkých kľúčov triedy v závislosti od okolností, za ktorých má byť súbor prístupný. Rovnako ako ostatné zabalenia používajúce RFC 3394 sa to vykonáva pomocou balenia kľúčov NIST AES. Zabalený kľúč pre dané súbory sa uchováva v metadátach súboru.

Zariadenia s formátom APFS môžu podporovať klonovanie súborov (kópie s nulovým nákladom využívajúce technológiu copy-on-write). V prípade klonovania súboru získa každá polovica klonu nový kľúč, na prijímanie prichádzajúcich súborov, takže nové dáta sa zapíšu do médií s novým kľúčom. V priebehu času sa môže súbor stať zložený z rôznych rozsahov (alebo fragmentov), pričom každý z nich je spárovaný s odlišným kľúčom. Avšak všetky rozsahy tvoriace súbor sú chránené rovnakým kľúčom triedy.

Po otvorení súboru sa jeho metadáta dešifrujú pomocou kľúča súborového systému, odomkne sa zabalený kľúč pre dané súbory a poznámka, ktorú triedu chráni. Kľúč pre dané súbory (alebo podľa rozsahu) sa rozbaľuje pomocou kľúča triedy a následne sa poskytne hardvérovému systému AES, ktorý dešifruje súbor počas jeho načítavania z úložiska flash. Celá manipulácia so zabaleným súborovým kľúčom prebieha v Secure Enclave, takže súborový kľúč nie je nikdy priamo vystavený procesoru Intel. V čase spustenia Secure Enclave negociuje krátkodobý kľúč so systémom AES. Keď Secure Enclave odbalí kľúče súboru, opäť sa zabalia pomocou krátkodobého kľúča a odošlú späť do procesora apiek.

Metadáta všetkých súborov v súborovom oddiele dátového systému sú zašifrované pomocou náhodného kľúča oddielu, ktorý sa vytvorí pri prvej inštalácii iOS a iPadOS alebo potom, ako bolo zariadenie vymazané užívateľom. Tento kľúč sa zašifruje a zabalí kľúčom, ktorý balí iné kľúče, známym len Secure Enclave na dlhodobé uloženie. Kľúč, ktorý balí iné kľúče, sa mení zakaždým, keď užívateľ vymaže zariadenie. Na A9 (a novších) SoCs sa Secure Enclave zakladá na entropii podporovanej elementom neopakovateľnosti, s cieľom dosiahnuť zmazateľnosť a chrániť svoj kľúč, ktorý chráni iné kľúče, ako aj ďalšie položky.

Rovnako ako kľúče pre dané súbory alebo podľa rozsahu, metadátový kľúč dátového oddielu nikdy nie je priamo vystavený procesoru apiek. Secure Enclave namiesto toho poskytuje krátkodobú verziu na konkrétne spustenie systému. Kľúč súborového systému je počas uchovávania dodatočne zabalený „zmazateľným kľúčom“ uloženým v zmazateľnom úložisku. Tento kľúč neposkytuje dodatočnú dôvernosť dát. Namiesto toho je navrhnutý tak, aby mohol byť na základe požiadavky rýchlo vymazaný (užívateľom na základe možnosti „Vymazať celý obsah a nastavenia“, prípadne užívateľom alebo správcom po vydaní príkazu vzdialeného vymazania z riešenia správy mobilných zariadení (MDM), služby Microsoft Exchange ActiveSync alebo z iCloudu). Vymazanie kľúča týmto spôsobom zaistí, že všetky súbory sa stanú kryptograficky nedostupné.

Obsah súboru môže byť šifrovaný jedným alebo viacerými kľúčmi pre dané súbory (alebo podľa rozsahu), ktoré sú zabalené kľúčom triedy a uchovávané v metadátach súboru, ktorý je ďalej zašifrovaný kľúčom súborového systému. Kľúč triedy je chránený hardvérovým UID a pri niektorých triedach aj kódom užívateľa. Takáto hierarchia poskytuje flexibilitu aj výkonnosť. Napríklad zmena triedy súboru vyžaduje len opätovné zabalenie jeho kľúča pre súbor a zmena kódu len opätovné zabalenie kľúča triedy.

Triedy ochrany dát Keď sa na iOS alebo iPadOS zariadení vytvorí nový súbor, apka, ktorá ho vytvorí, mu priradí triedu. Každá trieda využíva odlišné pravidlá na určenie, kedy sú dáta prístupné. Základné triedy a pravidlá sú popísané v nasledujúcich sekciách.

Zabezpečenie platforiem Apple 46 Kompletná ochrana (NSFileProtectionComplete): Tento kľúč triedy je chránený kľúčom derivovaným z kódu užívateľa a UID zariadenia. Krátko potom ako užívateľ zamkne zariadenie (10 sekúnd, pokiaľ je nastavenie Vyžadovať heslo na hodnote Okamžite), dešifrovaný kľúč triedy sa zahodí, čím sa stanú všetky dáta v tejto triede neprístupné až do opätovného zadania kódu užívateľom alebo do použitia Touch ID alebo Face ID.

Chránené až do otvorenia (NSFileProtectionCompleteUnlessOpen): Niektoré súbory môže byť potrebné zapisovať, aj kým je zariadenie zamknuté. Dobrým príkladom je emailová príloha sťahujúca sa na pozadí. Toto správanie je možné dosiahnuť použitím asymetrickej kryptografie eliptickej krivky (ECDH cez Curve25519). Bežný kľúč pre súbor je chránený kľúčom derivovaným pomocou jednoprístupovej dohody kľúča Diffie-Hellman, tak ako je to popísané v NIST SP 800-56A.

Krátkodobý verejný kľúč pre Dohodu sa uchováva spolu so zabaleným kľúčom pre súbor. KDF je Concatenation Key Derivation Function (schválená alternatíva 1), tak ako je to uvedené v časti 5.8.1 dokumentu NIST SP 800-56A. AlgorithmID je vynechané. PartyUInfo a PartyVInfo sú krátkodobé a statické verejné kľúče, v uvedenom poradí. SHA-256 sa používa ako hashovacia funkcia. Hneď po zavretí súboru sa kľúč pre súbor vymaže z pamäte. Pri opätovnom otvorení súboru sa zdieľaný kľúč vytvorí opätovne pomocou súkromného kľúča triedy Chránené až do otvorenia a krátkodobého verejného kľúča súboru, ktoré sa používajú na odbalenie kľúča pre súbor, ktorý sa následne použije na dešifrovanie súboru.

Chránené až do prvého overenia užívateľa (NSFileProtectionCompleteUntilFirstUserAuthentication): Táto trieda sa správa rovnakým spôsobom ako Kompletná ochrana s tou výnimkou, že dešifrovaný kľúč sa po zamknutí zariadenia neodstráni z pamäte. Ochrana v tejto triede má podobné vlastnosti ako šifrovanie celého oddielu pri stolových počítačoch a chráni pred útokmi, ktorých súčasťou je reštartovanie. Ide o predvolenú triedu pre všetky dáta apiek tretích strán, ktoré inak nie sú priradené triede Ochrana dát.

Bez ochrany (NSFileProtectionNone): Kľúč tejto triedy je chránený len pomocou UID a uchováva sa v zmazateľnom úložisku. Keďže všetky kľúče potrebné na dešifrovanie súborov tejto triedy sú uložené na zariadení, šifrovanie dokáže ponúknuť len výhodu rýchleho vzdialeného vymazania. Ak súboru nie je priradená trieda Ochrana dát, naďalej sa uchováva v šifrovanej forme (rovnako ako všetky dáta na iOS a iPadOS zariadení).

Kľúč triedy Ochrana dát

Trieda Typ ochrany

Trieda A: Kompletná ochrana (NSFileProtectionComplete)​

Trieda B: Chránené až do otvorenia (NSFileProtectionComplete​ UnlessOpen)​

Trieda C: Chránené až do prvého overenia užívateľa (NSFileProtectionComplete​ ​ UntilFirstUserAuthentication)

Zabezpečenie platforiem Apple 47 Trieda Typ ochrany

Trieda D: Bez ochrany (NSFileProtectionNone)​

Prístup k chráneným kľúčom v režime zotavenia Na zariadeniach s Apple A10, A11 a S3 SoCs ku kľúčom triedy chránené kódom užívateľa v Režime zotavenia nie je možné získať prístup. A12 a S4 SoCs túto ochranu rozširuje aj na režim Upgrade firmvéru zariadenia (Device Firmware Upgrade, DFU).

Systém AES Secure Enclave je vybavený uzamykateľnými softvérovými bitmi seed. Keď sa z UID vytvoria kľúče, tieto bity seed sú zahrnuté vo funkcii derivácie kľúčov na účely vytvárania dodatočných hierarchií kľúčov.

Počnúc Apple A10 a S3 SoC sú bity seed vyhradené na rozlišovanie kľúčov chránených kódom užívateľa. Bit seed je nastavený pre kľúče, ktoré vyžadujú kód užívateľa (vrátane kľúčov Ochrany dát triedy A, B a C), a vymazaný pre kľúče, ktoré nevyžadujú kód užívateľa (vrátane kľúča metadát filesystem a kľúčov triedy D).

V prípade A12 SoC zamkne Secure Enclave Boot ROM bit seed kódu v prípade, že procesor apiek prešiel do režimu DFU alebo do Režimu zotavenia. Keď je bit seed kódu zamknutý, povolená nie je žiadna operácia na zmenu tohto stavu, čím sa zabraňuje prístupu k dátam chráneným kódom užívateľa.

Na Apple A10, A11, S3 a S4 SoC je bit seed kódu uzamknutý OS Secure Enclave v prípade, že zariadenie prešlo do režimu zotavenia. Secure Enclave Boot ROM aj OS skontroluje Register priebehu spustenia (Boot Progress Register, BPR) s cieľom zabezpečeného zistenia aktuálneho režimu.

Okrem toho na iOS 13 a iPadOS 13.1 alebo novšom a na zariadeniach s A10 alebo novším sú pri spúšťaní zariadení do režimu zotavenia všetky užívateľské dáta kryptograficky neprístupné. Tento stav sa dosiahol zavedením dodatočného bitu seed, ktorého nastavenie ovláda schopnosť prístupu ku kľúču médií, ktorý je sám osebe potrebný na prístup k metadátam (a tým k obsahu) všetkých súborov na dátovom oddiele zašifrovanom Ochranou dát. Táto ochrana zahŕňa súbory chránené vo všetkých triedach (A, B, C a D), nielen tie, ktoré vyžadovali kód užívateľa.

Obnovením zariadenia potom, ako prejde do režimu DFU, sa vráti do známeho dobrého stavu s istotou, že je prítomný len nemodifikovaný kód podpísaný spoločnosťou Apple. Do režimu DFU je možné prejsť aj manuálne.

Prečítajte si tieto články podpory Apple o tom, ako možno uviesť zariadenie do režimu DFU:

Zariadenie Článok

iPhone, iPad, iPod touch Zabudnutý kód iPhonu, iPadu alebo iPodu touch alebo zablokované zariadenie

Apple TV Obnovenie Apple TV

Zabezpečenie platforiem Apple 48 Ochrana dát a triedy dát Kľúčenky

Prehľad ochrany dát Kľúčenky Mnoho apiek musí používať heslá a ďalšie krátke, ale citlivé bity dát ako napríklad kľúče alebo prihlasovacie tokeny. Kľúčenka iOS a iPadOS zabezpečený spôsob, ako takéto položky uchovávať.

Položky Kľúčenky sú šifrované pomocou dvoch odlišných kľúčov AES-256-GCM, kľúčom tabuľky (metadáta) a kľúčom pre riadok (secret-key). Metadáta Kľúčenky (všetky atribúty okrem kSecValue) sú šifrované pomocou kľúča metadát na rýchle vyhľadávanie, zatiaľ čo tajná hodnota (kSecValueData) je šifrovaná pomocou secret-key. Kľúč secret-key je chránený procesorom Secure Enclave, ale uložený v medzipamäti procesora apiek s cieľom umožniť rýchle požiadavky kľúčenky. Zabezpečený kľúč vždy vyžaduje okružnú cestu cez Secure Enclave.

Kľúčenka je implementovaná ako databáza SQLite uchovávaná v súborovom systéme. Má formu len jednej databázy a deamon securityd určuje, ku ktorým položkám Kľúčenky môže mať prístup každý proces alebo apka. API Kľúčenky vykonávajú požiadavky na deamon, ktorý posiela požiadavky autorizáciám apiek „Keychain-access-groups“, „application-identifier“ a „application-group“. Skupiny prístupu neobmedzujú prístup k jednotlivým procesom, ale umožňujú položkám Kľúčenky zdieľanie medzi apkami.

Položky Kľúčenky je možné zdieľať len medzi apkami od toho istého vývojára. Dosiahne sa to tak, že apky tretích strán musia používať im priradenú predponu cez Program prostredníctvom skupín apiek. Požiadavka na predponu a unikátnosť skupín apiek sa vynucujú pomocou podpisovania kódu, obstarávacích profilov a programu Apple Developer Program.

Dáta Kľúčenky sú chránené pomocou dátovej štruktúry podobnej tej, ktorá sa používa v Ochrane dát súborov. Tieto triedy majú správanie ekvivalentné triedam Ochrany dát súborov, ale používajú samostatné kľúče a sú súčasťou API, ktoré majú odlišné názvy.

Dostupnosť Ochrana dát súborov Ochrana dát Kľúčenky

Keď je zariadenie odomknuté NSFileProtectionComplete​ kSecAttrAccessibleWhenUnlocked​

Keď je zariadenie zamknuté NSFileProtectionComplete​ Unless​ Nie je Otvorené

Po prvom odomknutí NSFileProtectionComplete​ Until​ kSecAttrAccessibleAfterFirstUnlock​ FirstUserAuthentication

Vždy NSFileProtectionNone​ kSecAttrAccessibleAlways​

Kód je zapnutý Nie je kSecAttrAccessibleWhenPasscode​ ​ SetThisDeviceOnly​

Apky, ktoré využívajú služby osviežovania na pozadí, môžu pre položky Kľúčenky, ku ktorým je potrebný prístup počas aktualizácií na pozadí, používať kSecAttrAccessibleAfterFirstUnlock.

Trieda kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly sa správa rovnako ako kSecAttrAccessibleWhenUnlocked; je však dostupná len keď je zariadenie skonfigurované pomocou kódu. Táto trieda existuje len v systéme Keybag. Funguje nasledujúco:

Zabezpečenie platforiem Apple 49 • Nesynchronizuje sa s iCloud Kľúčenkou • Nezálohuje sa • Nie je zahrnutá v keybagoch úschovy V prípade odstránenia alebo resetovania kódu sa položky stanú nepoužiteľné, keďže sa odstránia ich kľúče triedy.

Ďalšie triedy Kľúčenky majú náprotivok „Len toto zariadenie“, ktorý je vždy pri kopírovaní zo zariadenia počas zálohovania chránený prostredníctvom UID, vďaka čomu sa po obnovení na odlišnom zariadení stane nepoužiteľným. Spoločnosť Apple dôkladne vyvažuje bezpečnosť a použiteľnosť výberom tried Kľúčenky, ktoré závisia od zabezpečených informácií a toho, kedy sú potrebné pre iOS a iPadOS zariadenia. Napríklad certifikát VPN musí byť dostupný neustále, aby mohlo zariadenie udržiavať neprerušované pripojenie, ale je klasifikovaný ako „nemigrujúci“, takže ho nie je možné presunúť do iného zariadenia.

Ochrany tried dát Kľúčenky V prípade položiek Kľúčenky vytváraných iOS a iPadOS sa vynucujú tieto ochrany tried:

Položka Prístupné

Heslá Wi-Fi Po prvom odomknutí

Účty apky Mail Po prvom odomknutí

Účty Microsoft Exchange Active​Sync Po prvom odomknutí

Heslá VPN Po prvom odomknutí

LDAP, CalDAV, CardDAV Po prvom odomknutí

Tokeny účtov sociálnych sietí Po prvom odomknutí

Šifrovacie kľúče oznámení Handoffu Po prvom odomknutí

Token iCloudu Po prvom odomknutí

Heslo zdieľania Domácnosti Keď je zariadenie odomknuté

Heslá Safari Keď je zariadenie odomknuté

Záložky Safari Keď je zariadenie odomknuté

Záloha iTunes Keď je zariadenie odomknuté, nemigrujúce

Certifikáty VPN Vždy, nemigrujúce

Kľúče Bluetooth® Vždy, nemigrujúce

Token služby Apple Push Notification (Apple push Vždy, nemigrujúce hlásenia, APNs)

Certifikáty iCloud a súkromný kľúč Vždy, nemigrujúce

Kľúče iMessage Vždy, nemigrujúce

Certifikáty a súkromné kľúče nainštalované Vždy, nemigrujúce konfiguračným profilom

SIM PIN Vždy, nemigrujúce

Zabezpečenie platforiem Apple 50 Položka Prístupné

Token Nájsť môj Vždy

Voicemail Vždy

Kontrola prístupu Kľúčenky Kľúčenka môže používať zoznamy kontroly prístupu (ACL) na nastavenie pravidiel pre požiadavky na prístupnosť a overenie. Položky si môžu nastaviť podmienky, ktoré vyžadujú prítomnosť užívateľa tak, že špecifikujú, že k nim nie je možné pristupovať bez overenia pomocou Touch ID, Face ID alebo po zadaní kódu zariadenia. Prístup k položkám je možné obmedziť aj tak, že sa špecifikuje, že registrácia Touch ID alebo Face ID sa od pridania danej položky nezmenila. Toto obmedzenie pomáha zabrániť útočníkovi pridanie svojho odtlačku prsta s cieľom prístupu k položke Kľúčenky. ACL sa hodnotia vo vnútri procesora Secure Enclave a uvoľňujú sa do kernelu len po splnení špecifikovaných obmedzení.

Šifrovanie v macOS

Šifrovanie interného oddielu, keď je FileVault zapnutý V Mac OS X 10.3 alebo novšom počítače Mac poskytujú FileVault – funkciu vstavaného šifrovania s cieľom ochrany všetkých dát, ktoré sa nepoužívajú. FileVault využíva algoritmus šifrovania AES-XTS s cieľom ochrany celých oddielov na interných a vyberateľných úložných zariadeniach. Na počítačoch s procesormi Apple T2 Security Chip zariadenia s internými úložnými zariadeniami priamo pripojenými k procesoru T2 vyrovnávajú schopnosti zabezpečenia hardvéru. Keď užívateľ zapne na Macu FileVault, ich prihlasovacie údaje sa budú vyžadovať počas procesu spustenia.

Bez platných prihlasovacích údajov alebo kryptografického kľúča obnovenia zostane interný oddiel APFS (v macOS 10.15 sem patria aj oddiely System a Data) zašifrovaný a chránený pred neoprávneným prístupom, a to dokonca aj keď sa fyzické úložné zariadenie vyberie a pripojí k inému počítaču. Šifrovanie interného oddielu na Macu s procesorom T2 sa implementuje vybudovaním a spravovaním hierarchie kľúčov a zostavami technológií hardvérového šifrovania vstavanými do procesora. Táto hierarchia kľúčov je vytvorená tak, aby dokázala naraz dosiahnuť štyri ciele:

• Vyžadovať heslo užívateľa na dešifrovanie • Chrániť systém pred útokmi brutálnou silou priamo pred úložnými médiami odstránenými z Macu • Poskytovať rýchlu a zabezpečenú metódu na vymazanie obsahu vymazaním potrebného kryptografického materiálu

Zabezpečenie platforiem Apple 51 • Umožniť užívateľom meniť ich heslá (a tým aj kryptografické kľúče používané na ochranu ich súborov) bez potreby opätovného šifrovania celého oddielu

Šifrovanie interného oddielu, keď je FileVault v macOS zapnutý.

Na počítačoch Mac s procesorom T2 prebieha celé používanie kľúčov FileVaultu v Secure Enclave. Šifrovacie kľúče nie sú nikdy priamo vystavené procesoru Intel. Všetky oddiely APFS sa v predvolenom nastavení vytvárajú pomocou kľúča oddielu. Obsah oddielu a metadáta sú šifrované pomocou tohto kľúča oddielu, ktorý je zabalený pomocou kľúča triedy. Kľúč triedy je chránený kombináciou hesla užívateľa a hardvérovým UID, pokiaľ je zapnutý FileVault. Táto ochrana je na počítačoch Mac s procesorom T2 predvolená.

Poznámka: Šifrovanie vyberateľných úložných zariadení nevyužíva bezpečnostné schopnosti procesora Apple T2 Security Chip a ich šifrovanie sa vykonáva rovnakým spôsobom ako na počítačoch Mac bez procesora T2.

Šifrovanie interného oddielu, keď je FileVault vypnutý Ak FileVault nie je zapnutý na Macu s bezpečnostným procesorom Apple T2 počas počiatočného nastavenia Sprievodcu nastavením, oddiel je naďalej šifrovaný, ale kľúč oddielu je chránený len hardvérovým UID v Secure Enclave.

Šifrovanie interného oddielu, keď je FileVault v macOS vypnutý.

Ak sa FileVault zapne neskôr – proces, ktorý je okamžitý, keďže dáta sú už šifrované – mechanizmus založený na neopakovateľnosti zabraňuje starému kľúču (založenému len na hardvérovom UID) použiť ho na dešifrovanie oddielu. Oddiel je vtedy chránený kombináciou hesla užívateľa s hardvérovým UID tak, ako to už bolo popísané.

Zabezpečenie platforiem Apple 52 Vymazanie oddielov FileVault Pri vymazávaní oddielu sa jeho kľúč oddielu zabezpečeným spôsobom vymaže procesorom Secure Enclave. Zabraňuje to prístupu v budúcnosti pomocou tohto kľúča dokonca aj zo strany Secure Enclave. Okrem toho sú všetky kľúče oddielov zabalené pomocou kľúča médií. Kľúč médií neposkytuje dátam dodatočnú dôvernosť a namiesto toho je navrhnutý tak, aby umožňoval rýchle a zabezpečené vymazanie dát, pretože bez neho je dešifrovanie nemožné.

Kľúč médií sa nachádza v zmazateľnom úložisku a je vytvorený tak, aby sa dal na základe požiadavky rýchlo vymazať, napríklad použitím vzdialeného vymazanie pomocou funkcie Nájsť môj alebo po registrácii v riešení správy mobilných zariadení (MDM). Zmazateľné úložisko má prístup k príslušnej úložnej technológii (napríklad NAND) na rýchle nájdenie a vymazanie malého počtu blokov na veľmi nízkej úrovni. Vymazanie kľúča médií týmto spôsobom zaistí, že oddiel sa stane kryptograficky nedostupný.

Prevencia pred útokmi hrubou silou a malvérom Aby sa zabránilo útokom hrubou silou pri spustení Macu, v okne prihlásenia alebo pri použití režimu Cieľový disk sa nepovoľuje viac ako 30 pokusov o zadanie hesla a po nesprávnych pokusoch sa použijú zvyšujúce sa časové oneskorenia. Oneskorenia sa vynucujú koprocesorom Secure Enclave na procesore T2. Ak sa Mac počas načasovaného oneskorenia reštartuje, oneskorenie sa vynúti aj tak, pričom časovač začne pre dané obdobie od začiatku.

S cieľom zabrániť malvéru spôsobenie trvalej straty dát pokusmi o útok na heslo užívateľa sa tieto limity nebudú vynucovať potom, ako sa užívateľ úspešne prihlásil do Macu, ale opätovne sa vynútia po reštartovaní. Ak sa vyčerpá 30 pokusov, po spustení v režime zotavenia macOS bude k dispozícii ešte 10 ďalších pokusov. Ak sa vyčerpajú aj tieto pokusy, pre každý mechanizmus obnovenia FileVaultu bude dostupných ďalších 60 pokusov (obnovenie cez iCloud, kľúč obnovenia FileVault a inštitucionálny kľúč), a to v rozsahu maximálne 180 ďalších pokusov. Po vyčerpaní aj týchto dodatočných pokusov už Secure Enclave nebude spracovávať žiadne ďalšie požiadavky na dešifrovanie oddielu alebo overenie hesla a dáta na jednotke sa stanú neobnoviteľné.

S cieľom ochrany dát v podnikovom prostredí by mala IT podpora definovať a presadiť konfiguračné pravidlá pre FileVault pomocou Správy mobilných zariadení (MDM). Organizácie môžu spravovať šifrované oddiely viacerými spôsobmi, napríklad pomocou kľúčov obnovy danej inštitúcie, osobných kľúčov obnovy (ktoré môžu byť prípadne zverené do úschovy MDM) alebo kombinácie oboch alternatív. Rotáciu kľúčov je v MDM možné nastaviť aj ako pravidlo.

Oneskorenia medzi pokusmi o zadanie hesla

Pokusy Vynútené oneskorenie

1 – 14 Žiadna

15 – 17 1 minúta

18 – 20 5 minút

21 – 26 15 minút

Zabezpečenie platforiem Apple 53 Pokusy Vynútené oneskorenie

27 – 30 1 hodina

Správa FileVaultu

Používanie SecureTokenu Apple File System (APFS) v macOS 10.13 alebo novšom mení spôsob generovania šifrovacích kľúčov FileVaultu. V predošlých verziách macOS na oddieloch CoreStorage sa kľúče používané v procese šifrovania FileVaultu vytvárali, keď užívateľ alebo organizácia povolili FileVault na Macu. V macOS na oddieloch APFS sa kľúče generujú buď počas vytvárania užívateľa, alebo počas prvého prihlásenia užívateľa na Macu. Táto implementácia šifrovacích kľúčov počas ich generovania, ako aj spôsob ich uchovávania, sú súčasťou SecureTokenu. Konkrétne, SecureToken je zabalená verzia prvku Key Encryption Key (KEK) chráneného heslom užívateľa.

Pri nasadzovaní FileVaultu na APFS môže užívateľ naďalej:

• Používať existujúce nástroje a procesy, napríklad Osobný kľúč obnovenia (PRK) uschovávaný pre riešenie správy mobilných zariadení (MDM) • Vytvoriť a používať kľúč obnovenia inštitúcie (IRK) • Odložiť povolenie FileVaultu, kým sa užívateľ neprihlási alebo neodhlási z Macu

Používanie Bootstrap Tokenu macOS 10.15 prináša novú funkciu Bootstrap s cieľom napomáhať udeľovaniu SecureTokenu mobilným účtom aj voliteľným správcovským účtom vytvoreným pri registrácii zariadenia („spravovaný správca“). Spravovaného správcu je možné vytvoriť skonfigurovaním riešenia MDM na jeho vytvorenie počas procesu registrácie pomocou Apple School Managera alebo Apple Business Managera. Používanie novej funkcie Bootstrap Token v macOS 10.15 vyžaduje:

• Registráciu Macu v MDM pomocou Apple School Managera alebo Apple Business Managera • Podporu dodávateľa MDM Poznámka: macOS nedokáže automaticky vytvoriť Bootstrap Token, keď je počas nastavovania preskočený proces vytvárania lokálneho užívateľského účtu. Ak MDM riešenie túto funkciu podporuje, v systémoch macOS 10.15.4 alebo novších je Bootstrap Token vygenerovaný a odovzdaný do úschovy riešeniu MDM pri prvom prihlásení ľubovoľného užívateľa s aktívnym kľúčom SecureToken. V prípade potreby je Bootstrap Token možné vytvoriť a odovzdať do úschovy riešeniu MDM aj pomocou nástroja príkazového riadka profiles.

Zabezpečenie platforiem Apple 54 Keď si užívateľ sám nastavuje Mac Keď užívateľ nastavuje Mac sám, oddelenie IT neobstaráva samotné zariadenie. Všetky pravidlá a konfigurácie sa poskytnú pomocou správy mobilných zariadení (MDM) alebo nástrojov správy konfigurácie. Sprievodca nastavením slúži na vytvorenie počiatočného lokálneho účtu správcu a užívateľovi sa udelí SecureToken. Ak riešenie MDM podporuje funkciu Bootstrap Token a informuje o tom Mac počas registrácie v MDM, Bootstrap Token sa vygeneruje Macom a uschová sa do riešenia MDM.

Ak je Mac registrovaný v riešení MDM, počiatočný účet môže byť v závislosti od dostupných funkcií MDM správcovský účet alebo lokálny účet. Ak sa užívateľ pomocou MDM downgraduje na štandardného užívateľa, užívateľovi sa automaticky udelí SecureToken. Počnúc systémom macOS 10.15.4 sa pri downgradovaní užívateľa vygeneruje Bootstrap Token.

Poznámka: Ak sa pomocou MDM úplne preskočí vytvorenie lokálneho účtu užívateľa v Sprievodcovi nastavením a namiesto toho sa použije služba adresára s mobilnými účtami, užívateľovi adresára nebude počas prihlásenia udelený SecureToken a nevygeneruje sa žiadny Bootstrap Token. Ak na Macu nie sú žiadni užívatelia SecureTokenu, mobilný účet pre FileVault je naďalej možné vytvoriť pomocou oneskoreného povolenia a SecureToken sa užívateľovi udelí v čase, keď bol zapnutý FileVault. Keď je užívateľovi udelený SecureToken, v systémoch macOS 10.15.4 a novších sa preňho pri prihlásení automaticky vygeneruje Bootstrap Token a odovzdá sa do úschovy riešeniu MDM, pokiaľ túto funkciu podporuje.

Keďže v každom z vyššie uvedených scenárov je prvému a primárnemu užívateľovi udelený SecureToken, je možné ich povoliť pre FileVault pomocou oneskoreného povolenia. Oneskorené povolenie umožňuje organizácii zapnúť FileVault, ale oneskoriť jeho povolenie, až kým sa užívateľ neodhlási z Macu. Prispôsobenie je možné takisto v prípade, že užívateľ môže preskočiť zapnutie FileVaultu (voliteľne definovaný počet krát). Konečným výsledkom je primárny užívateľ Macu, či už lokálny užívateľ ľubovoľného typu alebo mobilný účet, ktorý je schopný odomknúť úložné zariadenie zašifrované pomocou FileVaultu.

Na počítačoch Mac, na ktorých bol generovaný Bootstrap Token a uschovaný do riešenia MDM, sa v prípade, že sa spravovaný účet správcu prihlási do Macu v budúcom dátume a čase, Bootstrap Token sa použije na automatické udelenie SecureTokenu, čo znamená, že tento účet sa povolí aj pre FileVault a bude schopný odomykať aj oddiel FileVault. Ak chce užívateľ upraviť, či má spravovaný účet správcu dokázať odomknúť oddiel, môže použiť: fdesetup remove -user.

Keď je Mac obstarávaný organizáciou Keď bol Mac obstaraný organizáciou predtým, ako bol poskytnutý užívateľovi, zariadenie nastaví oddelenie IT. Lokálnemu účtu správcu, ktorý bol vytvorený v Sprievodcovi nastavením macOS na poskytnutie alebo nastavenie Macu, sa udelí SecureToken. V macOS 10.15, ak riešenie MDM podporuje funkciu Bootstrap Token, je Bootstrap Token vygenerovaný aj počas procesu nastavovania macOS a odovzdaný do úschovy riešeniu MDM. Ak sa spravovaný účet správcu prihlási do Macu v budúcom dátume a čase, Bootstrap Token sa použije na automatické udelenie SecureTokenu tomuto účtu.

Zabezpečenie platforiem Apple 55 Ak sa Mac pridá do adresárovej služby a skonfiguruje na vytvorenie mobilných účtov a Bootstrap Token nie je k dispozícii, užívatelia adresárovej služby budú pri prvom prihlásení vyzvaní na zadanie názvu a hesla existujúceho správcu SecureTokenu ako podmienky udelenia SecureTokenu ich účtu. Bude potrebné zadať prihlasovacie údaje lokálneho správcu použitého na nastavenie Macu. Ak sa SecureToken nevyžaduje, užívateľ klikne na Obísť. V macOS 10.13.5 alebo novšom je možné úplne potlačiť dialógové okno SecureTokenu v prípade, že FileVault sa nebude používať s mobilnými účtami. Na potlačenie dialógového okna SecureTokenu použite konfiguračný profil s vlastnými nastaveniami z MDM s týmito kľúčmi a hodnotami:

Nastavenie Hodnota

Doména com.apple.MCX

Kľúč cachedaccounts.askForSecureTokenAuthBypass​

Hodnota Pravda

Ak riešenie MDM podporuje funkciu Bootstrap Token a nejaký bol vygenerovaný Macom a uchovaný v riešení MDM, užívateľom mobilného účtu sa táto výzva nezobrazí. Namiesto toho im bude automaticky udelený SecureToken počas prihlásenia.

Ak budú na Macu potrební ďalší užívatelia namiesto použitia adresárovej služby, týmto užívateľom bude automaticky udelený SecureToken, keď budú vytvorení v časti Systémové nastavenia > Užívatelia a skupiny aktuálnym správcom s povoleným SecureTokenom. Ak je na vytvorenie lokálnych užívateľov nutné použiť príkazový riadok, na vytvorenie užívateľov a pridelenie SecureTokenu je možné použiť nástroj príkazového riadka sysadminctl.

V týchto scenároch budú môcť odomknúť oddiel šifrovaný FileVaultom títo užívatelia:

• Pôvodný lokálny správca použitý na obstaranie • Akíkoľvek ďalší užívatelia adresárovej služby, ktorým bol udelený SecureToken počas procesu prihlásenia, či už interaktívne pomocou dialógového okna alebo automaticky pomocou Bootstrap Tokenu • Akíkoľvek noví lokálni užívatelia vytvorení v Systémových nastaveniach Ak chcete upraviť, či môžu konkrétne účty odomknúť úložné zariadenie, užívateľ môže použiť príkaz fdesetup remove -user.

Keď používate jeden z workflowov uvedených vyššie, SecureToken je spravovaný systémom macOS bez dodatočnej konfigurácie alebo potreby skriptovania. Stane sa detailom implementácie a nie prvkom, ktorý je potrebné aktívne spravovať alebo ním manipulovať.

Zabezpečenie platforiem Apple 56 Používanie nástrojov príkazového riadka Nástroje príkazového riadka sú dostupné na správu Bootstrap Tokenu, FileVaultu a SecureTokenu. Bootstrap Token sa zvyčajne vygeneruje na Macu a uschová do riešenia správy mobilných zariadení (MDM) počas procesu nastavenia macOS potom, ako riešenie MDM oznámi Macu, že podporuje túto funkciu. Bootstrap Token je však možné vygenerovať aj na Macu, ktorý už bol nasadený. Napríklad ak riešenie MDM pridá podporu pre túto funkciu po počiatočnom nasadení macOS 10.15. Ak riešenie MDM túto funkciu podporuje, v systémoch macOS 10.15.4 alebo novších je Bootstrap Token vygenerovaný a odovzdaný do úschovy MDM riešeniu pri prvom prihlásení ľubovoľného užívateľa s aktívnym kľúčom SecureToken. Eliminuje sa tak potreba použiť nástroj príkazového riadka profiles na vygenerovanie a odovzdanie Bootstrap Tokenu do úschovy riešeniu MDM po úvodnom nastavení zariadenia.

Nástroj príkazového riadka profiles obsahuje množstvo možností na interakciu s Bootstrap Tokenom.

• sudo profiles install -type bootstraptoken: Tento príkaz vygeneruje nový Bootstrap Token a uschová ho do riešenia MDM. Tento príkaz vyžaduje počiatočné vygenerovanie Bootstrap Tokenu pomocou existujúcich informácií správcu SecureTokenu. Riešenie MDM musí podporovať túto funkciu, sériové číslo Macu sa musí zobraziť v Apple School Manageri alebo Apple Business Manageri a musí byť registrované v danom riešení MDM. • sudo profiles remove -type bootstraptoken: Odstráni existujúci Bootstrap Token na Macu a v riešení MDM. • sudo profiles status -type bootstraptoken: Nahlási späť, či riešenie MDM podporuje funkciu Bootstrap Token a aký je aktuálny stav Bootstrap Tokenu na Macu.

Nástroj príkazového riadka fdesetup Konfigurácie MDM alebo príkazový riadok fdesetup je možné používať na konfiguráciu FileVaultu. V macOS 10.15 alebo novšom používanie fdesetup na zapnutie FileVaultu spôsobom, že sa užívateľovi poskytne užívateľské meno a heslo, nie je odporúčané a v budúcich vydaniach sa nebude podporovať. Namiesto toho zvážte používanie oneskoreného povolenia pomocou MDM. Ak chcete zistiť viac o nástroji príkazového riadka fdesetup, spustite apku Terminal a zadajte príkaz man fdesetup alebo fdesetup help, pomocou ktorých získate ďalšie informácie.

Nástroj príkazového riadka sysadminctl Nástroj príkazového riadka sysadminctl je možné používať na špecifické modifikácie stavu SecureTokenu pre užívateľské účty na Macu. Je potrebné to však vykonávať opatrne a len ak je to nevyhnutné. Zmena stavu SecureTokenu užívateľa pomocou príkazu sysadminctl vždy vyžaduje užívateľské meno a heslo existujúceho správcu s povoleným SecureTokenom, či už interaktívne alebo cez príslušné značky v príkaze. Príkaz sysadminctl aj Systémové nastavenia zabraňujú na Macu vymazaniu posledného správcu alebo užívateľa s povoleným SecureTokenom. Ak sa vytvorenie dodatočného lokálneho užívateľa skriptuje pomocou príkazu sysadminctl, v prípade užívateľov, pre ktorých sa má povoliť SecureToken, sa vyžadujú prihlasovacie údaje aktuálneho správcu s povoleným SecureTokenom a zadávajú sa buď interaktívnou možnosťou, alebo priamo pomocou značiek -adminUser a -adminPassword spolu s príkazom sysadminctl. Pre ďalšie pokyny na používanie použite príkaz sysadminctl -h.

Zabezpečenie platforiem Apple 57 Kódy a heslá

Kódy Nastavením kódu zariadenia užívateľ automaticky povolí Ochranu dát. iOS a iPadOS podporujú šesťciferné a štvorciferné kódy, ako aj alfanumerické kódy s ľubovoľnou dĺžkou. Kód okrem odomknutia zariadenia poskytuje aj entropiu pre isté šifrovacie kľúče. Znamená to, že útočník, ktorý získa zariadenie, nezíska prístup k dátam v konkrétnych triedach ochrany bez kódu.

Kód je vpletený do UID zariadenia, takže pokusy o prienik brutálnou silou je nutné vykonať na zariadenie, na ktoré sa útočí. Na spomalenie každého pokusu sa používa vysoký počet iterácií. Počet iterácií je kalibrovaný, takže jeden pokus trvá približne 80 milisekúnd. Znamená to, že vyskúšanie všetkých kombinácií alfanumerického kódu so šiestimi znakmi s malými písmenami a číslami by trvalo viac ako päť a pol roka.

Čím silnejší je užívateľský kód, tým silnejším sa stane šifrovací kľúč. Touch ID a Face ID je možné využiť na ďalšie posilnenie tejto rovnice tak, že sa tým umožní užívateľovi vytvoriť oveľa silnejší kód, než by bolo bežne praktické. Zvyšuje sa tým efektívne množstvo entropie chrániacej šifrovacie kľúče, ktoré používa Ochrana dát, bez negatívneho dopadu na užívateľský zážitok počas opakovaného odomykania iOS alebo iPadOS zariadení počas dňa.

V záujme odradenia od útokov na kódy hrubou silou sa na uzamknutej obrazovke používajú eskalujúce oneskorenia po zadaní nesprávneho kódu. Ak je zapnutá možnosť Nastavenia > Touch ID a kód > Vymazať dáta, zariadenie sa automaticky vymaže po 10 po sebe idúcich nesprávnych pokusoch o zadanie kódu. Po sebe idúce pokusy s rovnakým nesprávnym heslom sa v zmysle limitu nepočítajú. Toto nastavenie je tiež dostupné ako správcovské pravidlo cez riešenie správy mobilných zariadení (MDM) podporujúce takúto funkciu, ako aj Microsoft Exchange ActiveSync, a je možné ho nastaviť na nižší prah.

Na zariadeniach so Secure Enclave sa oneskorenia vynucujú koprocesorom Secure Enclave. Ak sa zariadenie počas načasovaného oneskorenia reštartuje, oneskorenie sa vynúti aj tak, pričom časovač začne pre dané obdobie od začiatku.

Špecifikácia dlhších kódov Ak sa zadá dlhé heslo obsahujúce len čísla, namiesto plnej klávesnice sa na uzamknutej obrazovke zobrazí číselná klávesnica. Dlhší číselný kód sa môže zadávať ľahšie ako kratší alfanumerický kód, pričom poskytuje podobné zabezpečenie.

Užívatelia si môžu zvoliť dlhší alfanumerický kód výberom možnosti Vlastný alfanumerický kód v Možnostiach kódu v Nastavenia > Kód.

Oneskorenia medzi pokusmi o zadanie kódu

Pokusy Vynútené oneskorenie

1 – 4 Žiadna

5 1 minúta

6 5 minút

Zabezpečenie platforiem Apple 58 Pokusy Vynútené oneskorenie

7 – 8 15 minút

9 1 hodina

Zabezpečená aktivácia dátových spojení S cieľom vylepšenia zabezpečenia so zachovaním použiteľnosti sa na aktiváciu dátových spojení cez Lightning, USB alebo Smart Connector vyžaduje Touch ID, Face ID alebo zadanie kódu v prípade, že v nedávnom čase nebolo vytvorené dátové spojenie. Obmedzuje sa tým priestor na útok proti fyzicky pripojeným zariadeniam napríklad pomocou škodlivých nabíjačiek, pričom je naďalej možné používanie iného príslušenstva v rámci zmysluplných časových obmedzení. Ak od odomknutia iOS alebo iPadOS zariadenia alebo od ukončenia dátového spojenia príslušenstva uplynula minimálne jedna hodina, zariadenie neumožní vytvorenie žiadnych nových dátových spojení až do odomknutia zariadenia. Počas tohto hodinového obdobia budú povolené len dátové spojenia z príslušenstva, ktoré bolo predtým pripojené k zariadeniu počas stavu odomknutia. Zariadenie si toto príslušenstvo bude pamätať 30 dní od posledného pripojenia. Pokusy o otvorenie dátového spojenia od neznámeho príslušenstva počas tohto obdobia spôsobia zamietnutie všetkých dátových spojení cez Lightning, USB a Smart konektor až do opätovného odomknutia zariadenia. Toto hodinové obdobie:

• Zaisťuje, že častí užívatelia spojení s Macom alebo PC, prípadne s príslušenstvom alebo cez kábel s CarPlay, nebudú musieť pri každom zapojení zariadenia zadávať svoj kód. • Je nevyhnutné, pretože ekosystém príslušenstva neposkytuje kryptograficky spoľahlivý spôsob na identifikáciu príslušenstva pred vytvorením dátového spojenia. Navyše ak od posledného dátového spojenia s príslušenstvom uplynuli viac ako tri dni, zariadenie zakáže všetky dátové spojenia hneď po svojom zamknutí. Má to za cieľ zvýšiť ochranu užívateľov, ktorí takéto príslušenstvo často nepoužívajú. Dátové spojenia cez Lightning, USB a Smart Connector sú takisto zakázané vždy, keď je zariadenie v stave, že vyžaduje kód na opätovné povolenie biometrického overenia.

Užívateľ sa môže rozhodnúť opäť povoliť nepretržite povolené dátové spojenia v Nastaveniach (nastavenie niektorých asistenčných zariadení takto postupuje automaticky).

Fungovanie hesiel V počítačoch Mac s procesorom Apple T2 Security Chip slúži heslo na podobné účely ako fungovanie kódu vysvetlené vyššie, s tým rozdielom, že vygenerovaný kľúč sa používa na šifrovanie FileVaultu a nie na ochranu dát. macOS okrem toho ponúka dodatočné možnosti obnovenia hesla:

• iCloud obnovenie • FileVault obnovenie • Inštitucionálny kľúč FileVault

Zabezpečenie platforiem Apple 59 Overenie a digitálne podpisovanie

Digitálne podpisovanie a šifrovanie

Zoznamy riadenia prístupu Dáta Kľúčenky sú rozdelené a chránené pomocou zoznamov riadenia prístupu (ACL). V dôsledku toho prihlasovacie údaje uchovávané apkami tretích strán nie sú prístupné pre apky s odlišnými identitami, pokiaľ ich užívateľ vyslovene neschváli. Táto ochrana poskytuje mechanizmy na zabezpečenie overenia prihlasovacích údajov v zariadeniach Apple v rámci rôznych apiek a služieb danej organizácie.

Mail V apke Mail môžu užívatelia odosielať správy, ktoré sú digitálne podpísané a šifrované. Mail automaticky zisťuje na digitálnom podpise a certifikátoch šifrovania na pripojených tokenoch PIV v kompatibilných kartách smart card príslušný predmet emailovej správy RFC 5322 rozlišujúci malé a veľké písmená alebo predmet s alternatívnymi menami. Ak je skonfigurovaný emailový účet zhodný s emailovou adresou na digitálnom podpise alebo certifikáte šifrovania na pripojenom tokene PIV, Mail automaticky zobrazí na paneli s nástrojmi okna novej správy tlačidlo podpisu. Ak má Mail certifikát šifrovania emailu prijímateľa alebo ak ho dokáže nájsť v zozname Microsoft Exchange Global Address List (GAL), v paneli s nástrojmi novej správy sa zobrazí ikona odomknutia. Ikona zamknutého zámku znamená, že správa bude zašifrovaná pomocou verejného kľúča prijímateľa.

S/MIME šifrovanie pre správu iOS, iPadOS a macOS podporujú šifrovanie pre správu S/MIME. Znamená to, že užívatelia S/MIME sa môžu rozhodnúť predvolene vždy podpísať a šifrovať správy alebo selektívne podpísať a šifrovať jednotlivé správy.

Identity použité s S/MIME je možné poskytnúť zariadeniam Apple pomocou konfiguračného profilu, riešenia správy mobilných zariadení (MDM) protokolu Simple Certificate Enrollment Protocol (SCEP) alebo Microsoft Active Directory Certificate Authority.

Karty smart card macOS 10.12 alebo novší zahŕňa natívnu podporu pre karty overenia osobnej identity (PIV). Tieto karty sa často používajú v komerčných a vládnych organizáciách pre TFA, digitálne podpisovanie a šifrovanie.

Karty smart card zahŕňajú jednu alebo viac digitálnych identít, ktoré majú pár verejných a súkromných kľúčov a pridružený certifikát. Odomknutie karty smart card s osobným identifikačným číslom (PIN) poskytuje prístup k súkromných kľúčom slúžiacim na operácie overenia, šifrovania a podpisovania. Certifikát určuje, na čo sa môže kľúč použiť, aké sú k nemu pridružené atribúty a či ho potvrdila (podpísala) CA.

Zabezpečenie platforiem Apple 60 Smart cards je možné používať aj na dvojfaktorovú autentifikáciu. Tieto dva faktory potrebné na odomknutie karty sú „niečo, čo užívateľ má“ (karta) a „niečo, čo užívateľ vie“ (PIN kód). macOS 10.12 alebo novší má aj natívnu podporu pre overenie cez prihlasovacie okno smart card a overenie klientským certifikátom na webových stránkach v Safari. Navyše podporuje overenie Kerberos s použitím párov kľúčov (PKINIT) pre jednotlivé prihlásenie na zariadeniach podporujúcich Kerberos. Viac informácií o Smart cards a macOS nájdete v časti Úvod do integrácie smart card na stránke Odporúčania nasadenia pre Mac.

Šifrované obrazy diskov V macOS slúžia šifrované obrazy diskov ako zabezpečené kontajnery, v ktorých môže užívateľ uchovávať alebo prenášať citlivé dokumenty a iné súbory. Šifrované obrazy disku sa vytvárajú pomocou Diskovej utility, ktorá sa nachádza v sekcii /Applications/Utilities/. Obrazy disku je možné šifrovať pomocou 128-bitového alebo 256-bitového AES šifrovania. Keďže pripojený obraz disku funguje ako lokálny oddiel pripojený k Macu, užívatelia môžu kopírovať, presúvať a otvárať súbory a priečinky, ktoré sa v ňom nachádzajú. Rovnako ako pri FileVaulte, obsah obrazu disku sa šifruje a dešifruje v reálnom čase. Vďaka šifrovaným obrazom disku si môžu užívatelia vymieňať dokumenty, súbory a priečinky tak, že uložia šifrovaný obraz disku na vymeniteľné médium, odošlú ho ako emailovú prílohu alebo ho budú uchovávať na vzdialenom serveri. Ďalšie informácie o šifrovaných obrazoch diskov nájdete v Užívateľskej príručke pre Diskovú utilitu.

Architektúra Kľúčenky v macOS macOS ponúka depozitár pod názvom Kľúčenka, ktorý pohodlne a zabezpečeným spôsobom uchováva užívateľské mená a heslá vrátane digitálnych identít, šifrovacích kľúčov a zabezpečených poznámok. Prístup k nej získate otvorením apky Kľúčenka v sekcii /Applications/Utilities/. Používaním kľúčenky odpadá nutnosť zadávať, či dokonca pamätať si prihlasovacie údaje pre každý jednotlivý zdroj. Pre každého užívateľa Macu sa vytvorí počiatočná predvolená kľúčenka, hoci užívatelia si môžu vytvárať aj ďalšie kľúčenky pre svoje konkrétne potreby.

Okrem užívateľských kľúčeniek sa macOS spolieha na množstvo kľúčeniek na systémovej úrovni, ktoré uchovávajú overovacie prvky nevzťahujúce sa na konkrétnych užívateľov ako napríklad prihlasovacie údaje do sietí a identity infraštruktúry verejných kľúčov (PKI). Jednou z týchto kľúčeniek je Koreň systému, ktorý je nemenný a uchováva certifikáty koreňovej certifikačnej autority (CA) internetového PKI s cieľom uľahčiť bežné úlohy ako napríklad online banking a e-biznis. Užívateľ môže podobným spôsobom nasadiť interne obstarané certifikáty CA spravovaným počítačom Mac a pomôcť tak overiť interné stránky a služby.

Keybagy

Prehľad keybagov v iOS a iPadOS Kľúče pre súbor a triedy Kľúčenky Data Protection (Ochrana dát) sú zhromažďované a spravované v keybagoch. iOS a iPadOS používajú tieto keybagy: užívateľ, zariadenie, záloha, úschova a iCloud Záloha.

Zabezpečenie platforiem Apple 61 Keybag užívateľa Keybag užívateľa je miesto, kam sa uchovávajú zabalené kľúče triedy používané počas bežných operácií zariadenia. Napríklad po zadaní kódu sa z keybagu užívateľa načíta a rozbalí NSFileProtectionComplete. Ide o súbor zoznamu vlastností (.plist) uchovávaný v triede Bez ochrany.

V prípade zariadení so SoC staršími ako A9 je obsah súboru .plist zašifrovaný pomocou kľúča uloženého v zmazateľnom úložisku. Na zvýšenie zabezpečenia keybagov sa tento kľúč vymaže a opätovne vygeneruje zakaždým, keď užívateľ zmení svoj kód.

V prípade zariadení s A9 alebo novšími SoC súbor .plist obsahuje kľúč, ktorého keybag je uložený v uzamknutom priestore chránenom elementom neopakovateľnosti Secure Enclave.

Secure Enclave spravuje keybag užívateľa a rieši požiadavky na stav uzamknutia zariadenia. Nahlási, že zariadenie je odomknuté, len ak sú prístupné všetky kľúče triedy v keybagu užívateľa a ak boli úspešne rozbalené.

Keybag zariadenia Keybag zariadenia slúži na uchovávanie zabalených kľúčov triedy používaných na operácie s dátami týkajúcimi na zariadenia. iOS a iPadOS zariadenie skonfigurované na zdieľané používanie niekedy potrebuje prístup k prihlasovacím údajom predtým, ako sa doň prihlásil nejaký užívateľ, a tak je potrebný keybag, ktorý nie je chránený kódom užívateľa.

iOS a iPadOS nepodporujú kryptografické oddelenie obsahu súborového systému podľa užívateľa, čo znamená, že systém využíva na zabalenie kľúčov pre súbor kľúče triedy z keybagu zariadenia. Kľúčenka však používa na ochranu položiek z Kľúčenky užívateľa kľúče triedy z keybagu užívateľa. Na iOS a iPadOS zariadeniach skonfigurovaných na používanie jedným užívateľom (predvolená konfigurácia) sú však keybag zariadenia a keybag užívateľa jedno a to isté a sú chránené kódom užívateľa.

Keybag zálohy Keybag zálohy sa vytvorí, keď sa v iTunes (v macOS 10.14 alebo staršom) alebo vo Finderi (v macOS 10.15 alebo novšom) vytvorí šifrovaná záloha a uloží sa na počítači, do ktorého sa dané zariadenie zálohuje. Vytvorí sa nový keybag s novou sadou kľúčov a zálohované dáta sa opätovne zašifrujú s týmito novými kľúčmi. Ako už bolo predtým vysvetlené, nemigrujúce položky Kľúčenky zostanú zabalené pomocou kľúče derivovaného z UID, vďaka čomu je možné ich obnoviť do zariadenia, z ktorého boli pôvodne zálohované, ale na inom zariadení budú nedostupné.

Keybag je chránený heslom nastaveným v iTunes (v macOS 10.14 alebo staršom) alebo Finderi (v macOS 10.15 alebo novšom), a prechádza 10 miliónmi iterácií PBKDF2. Napriek takémuto vysokému počtu iterácií tu nie je viazanosť na konkrétne zariadenie a tak útok brutálnou silou paralelne na mnohých počítačoch sa môže teoreticky na keybag zálohy vykonať. Túto hrozbu je možné minimalizovať výberom dostatočne silného hesla.

Ak sa užívateľ rozhodne zálohu nezašifrovať, súbory nebudú šifrované bez ohľadu na ich triedu Ochrany dát, hoci Kľúčenka zostane chránená pomocou kľúča derivovaného z UID. Toto je dôvod, prečo je možné migrovať položky Kľúčenky na nové zariadenie, len ak sa nastaví heslo zálohy.

Zabezpečenie platforiem Apple 62 Keybag úschovy Keybag úschovy sa používa na synchronizáciu iTunes a správu mobilných zariadení (MDM). Tento keybag umožňuje službe iTunes zálohovať a synchronizovať bez potreby zadávania hesla užívateľom a riešeniu MDM vzdialene vymazať kód užívateľa. Je uložený na počítači, ktorý sa používa na synchronizáciu s iTunes alebo na riešení MDM, ktoré vzdialene spravuje zariadenie.

Keybag úschovy vylepšuje užívateľský zážitok počas synchronizácie zariadenia, ktorá potenciálne vyžaduje prístup k všetkým triedam dát. Keď sa zariadenie uzamknuté kódom po prvýkrát pripojí k iTunes, užívateľ bude vyzvaný na zadanie kódu. Zariadenie následne vytvorí keybag úschovy obsahujúci rovnaké kľúče triedy, aké sú používané na zariadení, ktoré sú chránené novo vygenerovaným kľúčom. Keybag úschovy a kľúč, ktorý ho chráni, sú rozdelené medzi zariadenie a hostiteľa alebo server, pričom dáta sú uložené na zariadení v triede Chránené až do prvého overenia užívateľa. Je to dôvod, prečo musí byť pred prvým zálohovaním pomocou iTunes hneď po reštarte zadaný kód zariadenia.

V prípade aktualizácie softvéru bezdrôtovým spôsobom (OTA) bude užívateľ vyzvaný na zadanie kódu pri začatí aktualizácie. Slúži na zabezpečené vytvorenie jednorazového odomykacieho tokenu, ktorý po aktualizácii odomkne keybag užívateľa. Tento token nie je možné vygenerovať bez zadania kódu užívateľa a v prípade zmeny kódu užívateľa sa predtým vygenerovaný token stane neplatným.

Jednorazové odomykacie tokeny slúžia na inštaláciu softvérovej aktualizácie s dozorom alebo bez neho. Sú šifrované pomocou kľúča derivovaného od aktuálnej hodnoty monotónneho počítadla v Secure Enclave, UUID keybagu a UID Secure Enclave.

V prípade zariadení so SoC starším ako A9 navýšenie hodnoty počítadla jednorazového odomykacieho tokenu v Secure Enclave spôsobí zneplatnenie akékoľvek existujúceho tokenu. Hodnota počítadla sa navýši, keď sa použije token, po prvom odomknutí reštartovaného zariadenia, v prípade zrušenia softvérovej aktualizácie (či už užívateľom alebo systémom) alebo keď skončí platnosť časovača pravidiel tokenu.

Na SoC A9 (a novších) sa už jednorazový odomykací token nespolieha na počítadlá ani Zmazateľné úložisko. Namiesto toho je chránený elementom neopakovateľnosti ovládaným modulom Secure Enclave.

Platnosť jednorazového odomykacieho tokenu pre softvérové aktualizácie pod dozorom končí po 20 minútach. Pred iOS 13 sa tento token exportoval zo Secure Enclave a zapisoval do zmazateľného úložiska. Časovač pravidiel navýšil počítadlo, ak sa zariadenie nereštartovalo do 20 minút. V iOS 13 a iPadOS 13.1 sa token uchováva v zamknutom priestore chránenom Secure Enclave.

Softvérové aktualizácie bez dozoru prebiehajú, keď systém zistí, že je dostupná aktualizácia, a zároveň:

• Sú v iOS 12 (alebo novšom) nakonfigurované automatické aktualizácie alebo

• Keď je užívateľovi oznámená dostupnosť aktualizácie a rozhodne sa pre možnosť „Inštalovať neskôr“

Zabezpečenie platforiem Apple 63 Po zadaní kódu užívateľom sa vygeneruje jednorazový odomykací token, ktorý môže zostať platný v Secure Enclave až na 8 hodín. Ak ešte aktualizácia neprebehla, tento jednorazový odomykací token sa zničí pri každom zamknutí a opätovne sa vytvorí pri každom následnom odomknutí. Každé odomknutie reštartuje zmienenú 8-hodinovú lehotu. Časovač pravidiel po uplynutí 8 hodín jednorazový odomykací token zneplatní.

Keybag iCloud Zálohy Keybag iCloud Zálohy je podobný keybagu zálohy. Všetky kľúče triedy v tomto keybagu sú asymetrické (používajú Curve25519 rovnako ako trieda Ochrany dát Chránené až do otvorenia). Asymetrický keybag sa používa aj na zálohu v časti obnovenia Kľúčenky v iCloud Kľúčenke.

Zabezpečenie platforiem Apple 64 Zabezpečenie apiek

Prehľad zabezpečenia apiek Apky patria k najkritickejším prvkom modernej bezpečnostnej architektúry. Hoci apky poskytujú užívateľom úžasné možnosti zlepšenia produktivity, pri nesprávnom zaobchádzaní majú potenciál negatívne ovplyvniť bezpečnosť systému, stabilitu a užívateľské dáta.

Spoločnosť Apple preto poskytuje bezpečnostné vrstvy, ktorých úlohou je vylúčiť prítomnosť známeho malvéru a nepovolené úpravy kódu. Ďalšie vrstvy ochrany zaisťujú zabezpečený prístup apiek k užívateľským dátam. Tieto bezpečnostné prvky poskytujú stabilnú a bezpečnú platformu pre apky, ktorá umožňuje tisícom vývojárov vytvárať stovky tisícov apiek pre iOS, iPadOS a macOS bez ohrozenia integrity týchto systémov. Užívatelia môžu pristupovať k týmto apkám na Apple zariadeniach bez zbytočných obáv z vírusov, malvéru alebo neautorizovaných útokov.

Na iPhone, iPade a iPode touch je apky možné získať len z App Storu a všetky apky sú izolované v sandboxe, čo zaručuje ich najdôkladnejšiu kontrolu.

Na Macu je možné získať množstvo apiek z App Storu, ale užívatelia Macov môžu sťahovať a používať aj apky z internetu. S cieľom zaistiť bezpečné sťahovanie z internetu poskytuje macOS dodatočné kontrolné vrstvy. V prvom rade – predvolene v systéme macOS 10.15 a novších verziách – musia byť všetky apky pre Mac pred spustením formálne overené spoločnosťou Apple. Táto požiadavka zaisťuje, že apky neobsahujú známy malvér, aj keď nie sú poskytované cez . Okrem toho obsahuje macOS najmodernejšiu antivírusovú ochranu, ktorá dokáže blokovať malvér a v prípade potreby ho odstrániť.

Ďalším bezpečnostným mechanizmom využívaným na rôznych platformách je sandboxing, ktorý pomáha chrániť užívateľské dáta pred neautorizovaným prístupom apiek. Navyše sú v macOS dáta v kritických oblastiach izolované, čo zaručuje, že užívatelia majú po celý čas kontrolu nad prístupom všetkých apiek k súborom v priečinkoch Plocha, Dokumenty, Stiahnuté a ďalších oblastiach bez ohľadu na to, či sú samotné apky, ktoré sa o tento prístup snažia, izolované v sandboxe alebo nie.

Natívna funkcia Ekvivalent od nezávislých vývojárov

Zoznam neschválených pluginov, zoznam Definície vírusov/malvéru neschválených rozšírení Safari

Karanténa súborov Definície vírusov/malvéru

Podpisy XProtect/Yara Definície vírusov/malvéru

Zabezpečenie platforiem Apple 65 Natívna funkcia Ekvivalent od nezávislých vývojárov

Nástroj na odstránenie malvéru (Malware Removal Tool) Ochrana koncových bodov

Gatekeeper Ochrana koncových bodov. Vynucuje podpisovanie kódu apiek, takže je možné spúšťať len dôveryhodný softvér.

eficheck Ochrana koncových bodov – detekcia rootkitu (Nevyhnutné na počítačoch Mac, ktoré nie sú vybavené bezpečnostným čipom Apple T2.)

Aplikačný firewall Ochrana koncových bodov – firewally

Paketový filter (pf) Firewallové riešenia

Ochrana integrity systému Poskytuje len spoločnosť Apple

Povinná kontrola prístupu Poskytuje len spoločnosť Apple

Zoznam vylúčených rozšírení kernelu Poskytuje len spoločnosť Apple

Povinné podpisovanie kódu apiek Poskytuje len spoločnosť Apple

Formálne overenie apiek Poskytuje len spoločnosť Apple

Zabezpečenie apiek v systémoch iOS a iPadOS

Prehľad zabezpečenia apiek pre iOS a iPadOS Na rozdiel od iných mobilných platforiem systémy iOS a iPadOS neumožňujú užívateľom inštaláciu potenciálne škodlivých a nepodpísaných apiek z webových stránok ani spúšťanie nedôveryhodných apiek. Za chodu sa vykonáva kontrola podpisov kódu všetkých stránok pamäte so spustiteľným obsahom hneď po ich načítaní s cieľom zaistiť, že daná apka nebola od inštalácie alebo poslednej aktualizácie upravená.

Po overení, že daná apka pochádza zo schváleného zdroja, iOS a iPadOS vynútia bezpečnostné opatrenia brániace narúšaniu bezpečnosti iných apiek alebo ostatných častí systému.

Proces podpisovania kódu apiek

Povinné podpisovanie kódu Po spustení kernelu systému iOS alebo iPadOS tento kernel kontroluje, ktoré užívateľské procesy a apky sa môžu spúšťať. Aby bolo zaručené, že všetky apky pochádzajú zo známych a schválených zdrojov a že neboli upravované škodlivým spôsobom, musí byť všetok spustiteľný kód v iOS a iPadOS podpísaný pomocou certifikátu vystaveného spoločnosťou Apple. Apky dodávané so zariadeniami, ako napríklad Mail a Safari, sú podpísané spoločnosťou Apple. Apky tretích strán musia byť takisto overené a podpísané pomocou certifikátu vystaveného spoločnosťou Apple. Povinné podpisovanie kódu rozširuje koncepciu reťazca dôveryhodnosti z operačného systému na apky a zabraňuje apkám tretích strán načítavať nepodpísaný zdrojový kód alebo používať kód, ktorý sa dokáže sám upravovať.

Zabezpečenie platforiem Apple 66 Ako vývojári podpisujú svoje apky

Overovanie certifikátov Vývojár, ktorý chce vyvíjať a inštalovať apky pre iOS alebo iPadOS zariadenia, sa musí zaregistrovať v spoločnosti Apple a zapojiť sa do programu Apple Developer Program. Spoločnosť Apple overuje pred vydaním svojho certifikátu reálnu totožnosť každého vývojára, či už ide o jednotlivca alebo spoločnosť. Tento certifikát umožňuje vývojárom podpisovať apky a odosielať ich do App Storu na distribúciu. Výsledkom je, že všetky apky v App Store sú odosielané identifikovateľnými osobami alebo organizáciami, čo odrádza vývojárov od vytvárania škodlivých apiek. Okrem toho spoločnosť Apple kontroluje apky s cieľom zaistiť, že vo všeobecnosti fungujú v súlade s popisom a že neobsahujú bežné chyby ani iné viditeľné problémy. Tento kontrolný proces spolu s vyššie uvedenými technológiami poskytuje užívateľom záruku kvality kupovaných apiek.

Overovanie dynamických knižníc iOS a iPadOS umožňujú vývojárom zabudovať do apiek frameworky, ktoré môže využívať samotná apka a aj rozšírenia, ktoré sú jej súčasťou. Aby boli systém a ďalšie apky chránené pred načítaním kódu tretích strán v rámci adresného priestoru, systém vykonáva overovanie podpisov kódu všetkých dynamických knižníc, ktoré proces pripája v čase spustenia. Toto overovanie využíva identifikátor tímu (Team ID), ktorý sa extrahuje z certifikátu vystaveného spoločnosťou Apple. Identifikátor tímu je 10-znakový alfanumerický reťazec, napríklad 1A2B3C4D5F. Program môže pripájať ľubovoľné knižnice dodané so systémom alebo akékoľvek knižnice, ktorých podpis kódu obsahuje rovnaký identifikátor tímu ako hlavný spustiteľný modul. Keďže spustiteľné moduly dodané ako súčasť systému nemajú identifikátor tímu, môžu odkazovať len na knižnice dodané so samotným systémom.

Overovanie podnikových apiek Firmy môžu vytvárať vlastné interné apky na používanie v rámci organizácie a distribuovať ich svojim zamestnancom. Firmy a organizácie sa môžu prihlásiť do príslušného programu Apple Developer Enterprise Program (ADEP) s číslom D-U-N-S. Spoločnosť Apple schvaľuje žiadateľov po overení ich identity a spôsobilosti. Keď sa nejaká organizácia stane členom ADEP, môže sa zaregistrovať na získanie obstarávacieho profilu, ktorý umožňuje používanie jej vlastných interných apiek na zariadeniach, ktoré táto organizácia autorizuje.

Užívatelia musia mať na spúšťanie týchto interných apiek nainštalovaný obstarávací profil danej organizácie. Tieto apky tak môžu na svojich iOS a iPadOS zariadeniach načítavať len užívatelia, ktorým to umožní organizácia. Apky inštalované prostredníctvom správy mobilných zariadení (MDM) sú automaticky považované za dôveryhodné, keďže ich vzťah medzi organizáciou a zariadením už bol definovaný. V opačnom prípade musia užívatelia schváliť obstarávací profil danej apky v Nastaveniach. Organizácie môžu užívateľom obmedziť schvaľovanie apiek od neznámych vývojárov. Pri prvom spustení každej podnikovej apky musí zariadenie dostať pozitívne potvrdenie od spoločnosti Apple, že danú apku je povolené spúšťať.

Zabezpečenie platforiem Apple 67 Zabezpečenie procesov za chodu

Sandboxing Všetky apky tretích strán sú umiestnené do izolovaného priestoru, tzv. sandboxu, takže nemajú prístup k súborom uchovávaným inými apkami ani nemôžu vykonávať zmeny na zariadení. Sandboxing bráni apkám získavať a upravovať informácie uchovávané inými apkami. Každá apka má jedinečný domovský adresár, ktorý je náhodným spôsobom priradený apke po inštalácii. Ak apka tretej strany potrebuje pristupovať k iným ako vlastným informáciám, môže tak urobiť len pomocou služieb, ktoré na tento účel poskytuje systém iOS a iPadOS.

Pred apkami užívateľa sú chránené aj systémové súbory a zdroje. Väčšina súčastí systému iOS a iPadOS beží ako neprivilegované užívateľské „mobilné“ procesy. Platí to aj pre väčšinu apiek tretích strán. Celá partícia operačného systému je pripojená len na čítanie. Nástroje, ktoré nie sú nevyhnutné pre chod systému, napríklad služby vzdialeného prihlasovania, nie sú zahrnuté v systémovom softvéri a rozhrania API neumožňujú apkám eskalovať vlastné práva na úroveň, ktorá by im dovolila upravovať iné apky a systém iOS a iPadOS.

Používanie oprávnení Prístup apiek tretích strán k užívateľským dátam a funkciám, ako je napríklad iCloud a rozšíriteľnosť, je ovládaný pomocou deklarovaných oprávnení. Oprávnenia sú dvojice kľúčov a hodnôt, ktoré sú podpísané pre danú apku a umožňujú overovanie nad rámec faktorov za chodu, podobne ako ID užívateľa v systéme UNIX. Keďže oprávnenia sú digitálne podpísané, nie je možné ich meniť. V rozsiahlej miere ich používajú systémové apky a daemony na vykonávanie konkrétnych privilegovaných operácií, ktoré by inak vyžadovali spustenie procesu s oprávneniami na úrovni root. Zásadne sa tým znižuje riziko eskalácie oprávnenia napadnutou systémovou apkou alebo deamonom.

Apky môžu okrem toho spúšťať procesy na pozadí len prostredníctvom funkcií API poskytnutých systémom. Apkám to umožňuje pokračovať vo fungovaní bez znižovania ich výkonnosti alebo výrazného skrátenia výdrže batérie.

Ďalšie spôsoby ochrany

Address Space Layout Randomization Technológia Address Space Layout Randomization (Náhodné určenie štruktúry adresného priestoru, ASLR) chráni pred zneužívaním chýb súvisiacich s narušením pamäte. Vstavané apky používajú pri spustení technológiu ASLR na zaručenie náhodného rozloženia všetkých oblastí pamäte. Náhodné rozloženie adries spustiteľného kódu, systémových knižníc a súvisiacich programových konštruktov v pamäti znižuje pravdepodobnosť úspechu mnohých sofistikovaných metód zneužívania slabín systému. Príkladom sú útoky typu return-to-libc, ktoré sa pokúšajú spustiť škodlivý kód tak, že zmanipulujú pamäťové adresy zásobníka a systémovej knižnice. Náhodným pridelením adries sa spustenie takéhoto útoku zásadným spôsobom skomplikuje, predovšetkým pri snahe vykonať ho na viacerých zariadeniach. Xcode, vývojárske prostredie systémov iOS alebo iPadOS, automaticky kompiluje programy tretích strán so zapnutou podporou ASLR.

Zabezpečenie platforiem Apple 68 Funkcia Execute Never Ďalšou ochranou poskytovanou systémami iOS a iPadOS je používanie funkcie Execute Never (XN) architektúry ARM, ktorá označuje stránky pamäte ako nespustiteľné. Stránky pamäte označené ako zapisovateľné a zároveň spustiteľné môžu používať len apky v dôkladne kontrolovaných podmienkach: Kernel zisťuje prítomnosť oprávnenia podpisovania dynamického kódu špecifického pre spoločnosť Apple. Dokonca aj v tomto prípade je možné vykonať len jedno volanie mmap na spustiteľnú a zapisovateľnú stránku, ktorej je priradená náhodná adresa. Safari používa túto funkčnosť vo svojom JIT kompilátore JavaScriptu.

Podpora rozšírení iOS a iPadOS umožňujú apkám poskytovať funkcie pre iné apky prostredníctvom rozšírení. Rozšírenia sú podpísané spustiteľné binárne súbory s konkrétnym účelom zahrnuté v balíku apky. Počas inštalácie systém automaticky zisťuje rozšírenia a sprístupňuje ich iným apkám s využitím systému párovania.

Body rozšírení Systémová oblasť, ktorá podporuje rozšírenia, sa nazýva bod rozšírenia. Každé rozšírenie poskytuje rozhranie API a vynucuje pravidlá pre danú oblasť. Systém zisťuje dostupnosť rozšírení podľa priraďovacích pravidiel špecifických pre konkrétne body rozšírenia. Systém podľa potreby automaticky spúšťa procesy rozšírení a spravuje ich životný cyklus. Na obmedzenie dostupnosti rozšírení pre konkrétne systémové apky je možné používať oprávnenia. Napríklad widget zobrazenia Dnes sa zobrazuje len v Centre hlásení a rozšírenie na zdieľanie je dostupné len v paneli Zdieľanie. Medzi príklady bodov rozšírenia patria widgety Dnes, Zdieľať, Akcie, Úprava fotiek, Poskytovateľ súborov a Vlastná klávesnica.

Ako komunikujú rozšírenia Rozšírenia bežia vo svojom vlastnom adresnom priestore. Komunikácia medzi rozšírením a apkou, z ktorej bolo spustené, používa medziprocesovú komunikáciu sprostredkovanú frameworkom systému. Rozšírenie a apka nemajú navzájom prístup k súborom ani pamäťovým priestorom. Rozšírenia sú navrhnuté tak, aby boli izolované od iných rozšírení, od apiek, ktoré ich obsahujú, ako aj od apiek, ktoré ich používajú. Rovnako ako každá iná apka tretej strany bežia v sandboxe a ich kontajner je oddelený od kontajnera materskej apky. Zdieľajú však prístup k rovnakým ovládacím prvkom súkromia, ako má materská apka. Ak užívateľ udelí apke prístup ku kontaktom, bude sa to vzťahovať aj na rozšírenia, ktoré sú súčasťou tejto apky, ale nie na rozšírenia, ktoré táto apka aktivuje.

Ako sa používajú vlastné klávesnice Vlastné klávesnice sú špeciálnym typom rozšírenia, keďže sú povolené užívateľom pre celý systém. Po povolení bude rozšírenie klávesnice možné používať vo všetkých textových poliach okrem polí určených na zadávanie hesiel a všetkých polí so zabezpečených textom. S cieľom obmedziť prenos užívateľských dát bežia vlastné klávesnice štandardne vo veľmi reštriktívnom sandboxe blokujúcom prístup k sieti, k službám vykonávajúcim sieťové operácie v mene procesov a k funkciám API, ktoré by umožnili rozšíreniu získavať dáta zo zadávania na klávesnici. Vývojári vlastných klávesníc môžu požiadať o otvorený prístup pre svoje rozšírenia, čo po udelení súhlasu užívateľa umožní systému spustiť rozšírenie v predvolenom sandboxe.

Zabezpečenie platforiem Apple 69 MDM a rozšírenia Na zariadeniach zaregistrovaných v správe mobilných zariadení (MDM) sa na rozšírenia dokumentov a klávesníc vzťahujú pravidlá spravovaného výberu apiek na otvorenie (Managed Open In). Riešenie MDM dokáže napríklad zabrániť užívateľovi exportovať zo spravovanej apky dokument nespravovanému poskytovateľovi dokumentov, prípadne používať nespravovanú klávesnicu so spravovanou apkou. Okrem toho môžu vývojári apiek zakázať používanie rozšírení klávesníc tretích strán vo vlastných apkách.

Zavádzanie technológie Ochrana dát v apkách Vývojárska súprava Software Development Kit (SDK) pre iOS a iPadOS ponúka kompletnú zostavu rozhraní API, ktoré uľahčujú vývojárom tretích strán a podnikovým vývojárom zaviesť technológiu Ochrana dát a pomáha im tak zaručiť najvyššiu úroveň ochrany v apkách. Ochrana dát je dostupná pre súborové a databázové rozhrania API vrátane NSFileManager, CoreData, NSData a SQLite.

Databáza apky Mail (vrátane príloh), spravované knihy, záložky Safari, obrazy spúšťaných apiek a lokalizačné dáta sú taktiež ukladané v zašifrovanej podobe s kľúčmi chránenými kódom užívateľa pre dané zariadenie. Apky Kalendár (s výnimkou príloh), Kontakty, Pripomienky, Poznámky, Správy a Fotky využívajú oprávnenie Ochrany dát triedy Chránené do prvej autentifikácie užívateľa.

Apkám nainštalovaným užívateľom, ktoré nevyužívajú konkrétnu triedu ochrany dát, je automaticky pridelená trieda Chránené do prvej autentifikácie užívateľa.

Pripájanie k skupinám apiek Apky a rozšírenia vo vlastníctve rovnakého vývojárskeho účtu môžu zdieľať obsah, pokiaľ sú nastavené ako súčasť jednej skupiny apiek. Vývojár musí na vývojárskom portáli spoločnosti Apple vytvoriť príslušné skupiny a zahrnúť do nich požadovanú sadu apiek a rozšírení. Po ich nastavení ako súčasti skupiny apiek budú mať tieto apky prístup k nasledujúcim položkám:

• Zdieľaný úložný kontajner na oddiele, ktorý zostáva na zariadení, pokiaľ je na ňom nainštalovaná aspoň jedna apka z danej skupiny. • Zdieľané nastavenia • Zdieľané položky Kľúčenky

Vývojársky portál Apple zaisťuje jedinečnosť ID skupín apiek (GID) v rámci celého ekosystému apiek.

Overovanie príslušenstva Licenčný program „Vyrobené pre“ – Made for iPhone, iPad a iPod touch (MFi) poskytuje prevereným výrobcom príslušenstva prístup k protokolu iAP (iPod Accessories Protocol) a nevyhnutným podporným hardvérovým komponentom.

Zabezpečenie platforiem Apple 70 Keď MFi príslušenstvo komunikuje s iOS alebo iPadOS zariadením prostredníctvom Lightning konektora alebo cez Bluetooth, zariadenie požiada dané príslušenstvo o dôkaz, že bolo autorizované spoločnosťou Apple. Príslušenstvo pošle certifikát poskytnutý spoločnosťou Apple, ktorý zariadenie overí. Zariadenie následne odošle výzvu, na ktorú musí príslušenstvo odpovedať pomocou podpísanej odpovede. Tento proces je celý spracovávaný vlastným integrovaným obvodom (IO), ktorý poskytuje Apple schváleným výrobcom príslušenstva a ktorý je z pohľadu príslušenstva transparentný.

Príslušenstvo môže požiadať o prístup k rôznym metódam prenosu dát a funkciám, napríklad o prístup k digitálnym streamom zvuku cez Lightning kábel alebo o informácie o polohe poskytnuté cez Bluetooth. Autentifikačný IO zaistí, že plný prístup k zariadeniu získa len schválené príslušenstvo. Ak príslušenstvo nepodporuje autentifikáciu, jeho prístup bude obmedzený na analógový zvuk a malú podskupinu sériových ovládačov prehrávania zvuku (UART).

Okrem toho AirPlay pomocou autentifikačného IO overuje, či boli prijímače schválené spoločnosťou Apple. Streamovanie zvuku cez AirPlay a videa cez CarPlay využíva protokol MFi-SAP (Secure Association Protocol), ktorý šifruje komunikáciu medzi príslušenstvom a zariadením pomocou štandardu AES-128 v režime CTR. Prechodné kľúče sa vymieňajú použitím metódy výmeny kľúčov ECDH (Curve25519) a podpisujú pomocou 1024-bitového RSA kľúča autentifikačného IO ako súčasť protokolu Station-to-Station (STS).

Zabezpečenie apiek v systéme macOS

Prehľad zabezpečenia apiek pre macOS Zabezpečenie apiek v systéme macOS pozostáva z niekoľkých navzájom sa prekrývajúcich vrstiev, pričom prvou z nich je možnosť spúšťať len podpísané a dôveryhodné apky z App Storu. Okrem toho macOS vrství ochrany s cieľom zaistiť, že apky stiahnuté z internetu neobsahujú známy malvér. Ponúka technológie na zisťovanie a odstraňovanie malvéru a ponúka ďalšie ochrany určené na bránenie prístupu nedôveryhodných apiek k užívateľským dátam. V konečnom dôsledku si však užívatelia macOS môžu zvoliť bezpečnostný model, ktorý im najviac vyhovuje, dokonca aj spúšťať nepodpísaný a nedôveryhodný kód.

Proces podpisovania kódu apiek v systéme macOS Všetky apky z App Storu sú podpísané spoločnosťou Apple s cieľom zaistiť, že neboli nijako upravované ani pozmenené. Spoločnosť Apple podpisuje všetky apky dodávané spolu s Apple zariadeniami.

V systéme macOS 10.15 je možné s predvolenými nastaveniami Gatekeepera spúšťať apky distribuované mimo App Storu len vtedy, keď sú podpísané vývojárom pomocou certifikátu ID vývojára vystaveného spoločnosťou Apple (v kombinácii so súkromným kľúčom) a formálne schválené spoločnosťou Apple. Interné apky vyvíjané v rámci organizácie by mali byť takisto podpísané pomocou ID vývojára vystaveného spoločnosťou Apple, aby užívatelia mohli overiť ich integritu.

Zabezpečenie platforiem Apple 71 V macOS funguje podpisovanie kódu a formálne overenie nezávisle od seba, takže ho môžu vykonávať rôzne subjekty s rôznymi cieľmi. Podpisovanie kódu vykonáva vývojár pomocou certifikátu ID vývojára (vystaveného spoločnosťou Apple) a overenie tohto podpisu je dôkazom, že softvér daného vývojára nebol upravený od momentu, keď ho vývojár vytvoril a podpísal. Formálne overenie môže vykonať ktokoľvek v rámci distribučného reťazca softvéru a dokazuje, že spoločnosť Apple dostala kópiu tohto kódu na kontrolu malvéru a že v ňom nebol nájdený žiaden známy malvér. Výstupom formálneho overenia je tiket uložený na serveroch Apple, ktorý je možné zabudovať do apky (kýmkoľvek) bez straty platnosti podpisu vývojára.

Povinné riadenie prístupu MAC (Mandatory Access Controls) vyžaduje podpisovanie kódu na povolenie oprávnení chránených systémom. Napríklad kód apiek vyžadujúcich prístup cez firewall musí byť podpísaný pomocou príslušného oprávnenia MAC.

Gatekeeper a ochrana za chodu

Gatekeeper macOS obsahuje technológiu zvanú Gatekeeper, ktorá štandardne zaisťuje, že na Macu užívateľa je možné spúšťať len dôveryhodný softvér. Keď užívateľ stiahne a otvorí apku, plugin alebo inštalačný balík z umiestnenia iného ako App Store, Gatekeeper overí, či softvér pochádza od identifikovaného vývojára, či je formálne overený spoločnosťou Apple ako neobsahujúci známy škodlivý obsah a či nebol zmenený. Gatekeeper navyše pred prvým otvorením stiahnutého softvéru vyžaduje potvrdenie užívateľa, ktorého cieľom je vylúčiť možnosť, že užívateľ stiahol spustiteľný kód v domnení, že ide o dátový súbor.

Gatekeeper (pri používaní štandardných nastavení) je zárukou, že všetok stiahnutý softvér bol podpísaný App Storom alebo registrovaným vývojárom a formálne overený spoločnosťou Apple. Proces kontroly App Storom, ako aj procedúra formálneho overenia zaručujú, že apky neobsahujú žiaden známy malvér. Všetok softvér v systéme macOS je tak pri prvom otvorení kontrolovaný na prítomnosť známeho škodlivého softvéru bez ohľadu na spôsob, akým sa na Mac dostal.

Užívatelia a organizácie majú možnosť povoliť len softvér nainštalovaný z App Storu. Užívatelia môžu taktiež obísť pravidlá Gatekeepera a otvoriť akýkoľvek softvér, pokiaľ to nie je obmedzené riešením správy mobilných zariadení (MDM). Organizácie môžu využívať MDM na konfiguráciu nastavení Gatekeepera vrátane povolenia softvéru podpísaného alternatívnymi identitami. Gatekeeper je možné v prípade potreby vypnúť.

Gatekeeper chráni pred distribúciou škodlivých pluginov v neškodných apkách, kde používanie takejto apky spustí načítanie škodlivého pluginu bez vedomia užívateľa. V prípade potreby Gatekeeper otvára apky z náhodne vybraných umiestnení len na čítanie, čím bráni automatickému načítaniu pluginov distribuovaných spolu s apkou.

Ochrana za chodu Systémové súbory, zdroje a kernel sú izolované od priestoru apiek užívateľa. Všetky apky z App Storu sú umiestnené v sandboxe s cieľom obmedziť prístup k dátam uchovávaným inými apkami. Ak apka z App Storu potrebuje prístup k dátam z inej apky, môže to urobiť len s použitím funkcií API a služieb poskytovaných systémom macOS.

Zabezpečenie platforiem Apple 72 Ochrana proti malvéru

XProtect V macOS je vstavaná špičková antivírusová technológia nazývaná XProtect, ktorá deteguje malvér na základe signatúr. Jej používanie zaručuje podporu optimálnych postupov pri ochrane pred vírusmi a malvérom. Systém využíva signatúry YARA, ktoré spoločnosť Apple pravidelne aktualizuje. Apple monitoruje nové malvérové infekcie a útoky a automaticky aktualizuje signatúry bez ohľadu na aktualizácie systému, čím pomáha chrániť počítače Mac pred malvérovými infekciami. XProtect automaticky rozpoznáva známy malvér a blokuje jeho spúšťanie. V macOS 10.15 alebo novšom XProtect kontroluje prítomnosť známeho škodlivého obsahu v nasledujúcich situáciách:

• Pri prvom spustení apky • Pri úprave apky Keď XProtect zistí známy malvér, softvér sa zablokuje, incident bude nahlásený užívateľovi a zobrazí sa možnosť presunúť softvér do koša.

Nástroj na odstránenie malvéru (Malware Removal Tool) Pre prípad, že sa malvér dostane do Macu, je macOS vybavený technológiou na vyliečenie infekcií. Nástroj na odstránenie malvéru (MRT) je engine v systéme macOS, ktorý na základe aktualizácií automaticky doručovaných spoločnosťou Apple lieči infekcie. Tieto aktualizácie sú súčasťou automatických aktualizácií systému a zabezpečenia. Okrem toho, že spoločnosť Apple monitoruje malvérovú aktivitu v ekosystéme s cieľom odoberať ID vývojárov (v prípade potreby) a vydávať aktualizácie pre XProtect, vydáva navyše aktualizácie MRT na odstránenie malvéru z napadnutých systémov, ktoré sú nastavené na automatické bezpečnostné aktualizácie. MRT odstráni malvér po prijatí aktualizovaných informácií a vyhľadáva infekcie aj pri reštartovaní a prihlásení. MRT nereštartuje Mac automaticky.

Automatické bezpečnostné aktualizácie Spoločnosť Apple vydáva aktualizácie pre XProtect a nástroj na odstránenie malvéru na základe najnovších informácií o možných hrozbách. Štandardne macOS kontroluje tieto aktualizácie každý deň. Ďalšie informácie o automatických bezpečnostných aktualizáciách nájdete v článku podpory Apple Automatické bezpečnostné aktualizácie.

Kontrola prístupu apiek k súborom Spoločnosť Apple zastáva názor, že všetko, čo robia apky s užívateľskými dátami, musí byť pre užívateľa plne transparentné, pod kontrolou užívateľa a prebiehať výhradne so súhlasom užívateľa. V macOS 10.15 je tento model ešte viac posilnený na úrovni systému s cieľom zaistiť, že všetky apky musia pred prístupom k súborom v priečinkoch Dokumenty, Stiahnuté, Plocha a iCloud Drive alebo súborom na sieťových oddieloch získať súhlas užívateľa. Apky, ktoré vyžadujú prístup k celému úložisku zariadenia, musia byť od verzie macOS 10.13 alebo novšej výslovne pridané v Systémových nastaveniach. Povolenie užívateľa okrem toho vyžadujú aj funkcie prístupnosti a automatizácie s cieľom zaistiť, že nebude obídená ďalšia ochrana. V závislosti od pravidiel prístupu môže byť užívateľ vyzvaný alebo bude musieť zmeniť nastavenie v sekcii Systémové nastavenia > Bezpečnosť a súkromie > Súkromie:

Zabezpečenie platforiem Apple 73 Položka Užívateľ je vyzvaný apkou Užívateľ musí upraviť systémové nastavenia súkromia

Prístupnosť

Plný prístup k internému úložisku

Súbory a priečinky Poznámka: Zahŕňa: priečinky Plocha, Dokumenty, Stiahnuté, sieťové oddiely a odpojiteľné oddiely

Automatizácia (udalosti Apple)

Položky v koši užívateľa sú chránené pred všetkými apkami, ktoré využívajú Plný prístup k disku. Užívateľ nebude vyzývaný na poskytnutie prístupu apke. Ak užívateľ chce, aby mala apka prístup k súborom, je potrebné ju premiestniť z Koša na iné miesto.

Užívateľ, ktorý povolil na Macu FileVault, bude pred pokračovaním procesu štartovania musieť zadať platné prihlasovacie údaje a až potom získa prístup k špeciálnym režimom spúšťania. Bez platných prihlasovacích údajov alebo kľúča obnovy zostane celý oddiel zašifrovaný a chránený pred neoprávneným prístupom, dokonca aj pri pripojení fyzického úložného zariadenia k inému počítaču.

S cieľom ochrany dát v podnikovom prostredí by mala IT podpora definovať a presadiť konfiguračné pravidlá pre FileVault pomocou Správy mobilných zariadení (MDM). Organizácie môžu spravovať šifrované oddiely viacerými spôsobmi, napríklad pomocou kľúčov obnovy danej inštitúcie, osobných kľúčov obnovy (ktoré môžu byť prípadne zverené do úschovy MDM) alebo kombinácie oboch alternatív. Rotáciu kľúčov je v MDM možné nastaviť aj ako pravidlo.

Bezpečnostné funkcie v apke Poznámky

Zabezpečené poznámky Apka Poznámky obsahuje funkciu na zabezpečenie poznámok, ktorá umožňuje užívateľom chrániť obsah konkrétnych poznámok. Zabezpečené poznámky využívajú E2EE šifrovanie s použitím užívateľovho hesla, ktoré je potrebné zadať na zobrazenie poznámky na iOS, iPadOS a macOS zariadeniach a na webovej stránke iCloud. Každý iCloud účet (vrátane účtov na zariadení) môže mať samostatné heslo.

Keď užívateľ zabezpečí poznámku, z jeho hesla je odvodený 16-bajtový kľúč s využitím štandardov PBKDF2 a SHA256. Poznámka a všetky jej prílohy sa zašifrujú pomocou algoritmu AES-GCM. V komponentoch Core Data a CloudKit sa vytvoria nové záznamy na uloženie šifrovanej poznámky, prílohy, značky a vektora inicializácie. Po vytvorení nových záznamov sa pôvodné nešifrované dáta vymažú. Medzi prílohy, ktoré podporujú šifrovanie, patria obrázky, kresby, tabuľky, mapy a webové stránky. Poznámky obsahujúce iné typy príloh nie je možné zašifrovať a nepodporované prílohy nie je možné pridať do zabezpečených poznámok.

Zabezpečenie platforiem Apple 74 Na zobrazenie zabezpečenej poznámky musí užívateľ zadať svoje heslo alebo sa autentifikovať pomocou Touch ID či Face ID. Po úspešnej autentifikácii užívateľa apka Poznámky otvorí zabezpečenú reláciu na zobrazenie alebo vytvorenie zabezpečenej poznámky. Kým je zabezpečená relácia otvorená, užívateľ môže zobrazovať alebo zabezpečovať ďalšie poznámky bez ďalšej autentifikácie. Zabezpečená relácia sa však vzťahuje len na poznámky chránené poskytnutým heslom. Užívateľ sa bude naďalej musieť autentifikovať pre zobrazenie poznámok chránených iným heslom. Zabezpečená relácia sa ukončí v nasledujúcich prípadoch:

• Užívateľ klepne na tlačidlo Zamknúť v apke Poznámky • Apka Poznámky sa prepne do pozadia na viac ako 3 minúty (8 minút v macOS) • iOS alebo iPadOS zariadenie sa zamkne Pri zmene hesla zabezpečenej poznámky musí užívateľ zadať aktuálne heslo, keďže Touch ID a Face ID nie sú dostupné pri zmene hesla. Po výbere nového hesla apka Poznámky znovu zabalí kľúče všetkých existujúcich poznámok v rovnakom účte, ktoré boli zašifrované predošlým heslom.

Ak užívateľ nesprávne zadá heslo trikrát za sebou, apka Poznámky zobrazí pomôcku poskytnutú užívateľom, pokiaľ bola poskytnutá počas nastavovania. Ak si užívateľ stále nemôže spomenúť na heslo, môže ho resetovať v nastaveniach apky Poznámky. Táto funkcia umožňuje užívateľom vytvárať nové zabezpečené poznámky s novým heslom, ale neumožní im otvoriť predtým zabezpečené poznámky. Predtým zabezpečené poznámky bude možné otvoriť, len ak si užívateľ spomenie na staré heslo. Na resetovanie hesla bude potrebné heslo iCloud účtu.

Zdieľané poznámky Poznámky, ktoré nie sú zašifrované pomocou E2EE šifrovania s použitím hesla, je možné zdieľať s inými osobami. Zdieľané poznámky aj naďalej používajú šifrovaný dátový typ CloudKitu pre každý text alebo prílohy, ktoré užívateľ vloží do poznámky. Tento obsah sa vždy šifruje pomocou kľúča zašifrovaného v zázname CKRecord. Metadáta, ako napríklad dátum vytvorenia a úpravy, nie sú šifrované. Proces, pomocou ktorého môžu účastníci navzájom šifrovať a dešifrovať dáta, spravuje CloudKit.

Bezpečnostné funkcie v apke Skratky Skratky v apke Skratky je možné synchronizovať medzi Apple zariadeniami pomocou iCloudu. Prostredníctvom iCloudu je zároveň možné zdieľať skratky s inými užívateľmi. Skratky sú uchované lokálne v šifrovanej podobe.

Vlastné skratky sú všestranné a sú podobné skriptom alebo programom. Pri sťahovaní skratiek z internetu sa zobrazí upozornenie, že neboli skontrolované spoločnosťou Apple, a možnosť skratky preskúmať. S cieľom ochrany pred škodlivými skratkami sa stiahnu aktualizované definície malvéaru, takže bude možné rozpoznať škodlivé skratky za chodu.

Zabezpečenie platforiem Apple 75 Pomocou vlastných skratiek vyvolaných z menu zdieľania je taktiež možné spúšťať JavaScript špecifikovaný užívateľom na webových stránkach v Safari. S cieľom ochrany pred škodlivým JavaScriptom, ktorý dokáže napríklad oklamať užívateľa, aby spustil skript na webovej stránke sociálnych médií, ktorý bude následne zbierať jeho dáta, bude JavaScript overený porovnaním s vyššie uvedenými definíciami malvéru. Pri prvom spustení JavaScriptu na doméne užívateľom bude užívateľ vyzvaný na povolenie spustenia skratiek obsahujúcich JavaScript na aktuálnej webovej stránke pre danú doménu.

Zabezpečenie platforiem Apple 76 Zabezpečenie služieb

Prehľad zabezpečenia služieb Spoločnosť Apple vybudovala robustný súbor služieb, aby užívatelia získali zo svojich zariadení ešte viac úžitku a produktivity. Medzi tieto služby patria Apple ID, iCloud, Prihlásenie cez Apple, Apple Pay, iMessage, FaceTime a Nájsť.

Tieto služby poskytujú výkonné schopnosti cloudového úložiska a synchronizácie, autentifikácie, platieb, komunikácie cez správy a ďalšie, a zároveň ochranu súkromia užívateľov a ich dát.

Poznámka: Niektoré služby a obsah spoločnosti Apple nemusia byť dostupné vo všetkých krajinách alebo oblastiach.

Apple ID a spravované Apple ID

Prehľad o Apple ID a spravovanom Apple ID Apple ID je účet slúžiaci na prihlasovanie k Apple službám, ako sú iCloud, iMessage, FaceTime, iTunes Store, App Store, apka Apple TV, Book Store a ďalšie. Je dôležité, aby užívatelia udržiavali svoje Apple ID v bezpečí a predchádzali tak neoprávnenému prístupu k ich účtom. Na tento účel vyžadujú Apple ID silné heslá, ktoré:

• Musia mať dĺžku minimálne osem znakov • Musia obsahovať čísla aj písmená

• Nesmú obsahovať viac ako tri po sebe idúce identické znaky • Nesmú byť bežne používanými heslami Užívateľom sa odporúča, aby išli nad rámec týchto pokynov tak, že budú do svojich hesiel pridávať dodatočné znaky a interpunkciu, vďaka čomu budú ešte silnejšie.

Spoločnosť Apple okrem toho posiela svojim užívateľom emaily alebo automatické hlásenia, keď dôjde k zásadným zmenám ich účtov. Napríklad ak dôjde k zmene hesla alebo fakturačných údajov, prípadne ak bolo Apple ID použité na prihlásenie na novom zariadení. V prípade akýchkoľvek podozrení sa užívateľom odporúča okamžite zmeniť heslo Apple ID.

Okrem toho spoločnosť Apple využíva rôzne pravidlá a procedúry určené na ochranu ich účtov. Patrí sem obmedzenie počtu opakovaných pokusov o prihlásenie a resetovanie hesla, aktívny monitoring pokusov o podvody s cieľom pomôcť rozpoznať útoky na identitu, hneď ako nastanú, a pravidelné kontroly pravidiel, ktoré spoločnosti Apple umožňujú prispôsobiť sa novým informáciám, ktoré môžu ohroziť bezpečnosť užívateľov.

Zabezpečenie platforiem Apple 77 Poznámka: Pravidlá hesiel spravovaného Apple ID nastavuje správca v riešeniach Apple School Manager alebo Apple Business Manager.

Dvojfaktorová autentifikácia pomocou Apple ID S cieľom pomôcť užívateľom ešte lepšie zabezpečiť ich účty ponúka Apple dvojfaktorovú autentifikáciu, teda dodatočnú vrstvu zabezpečenia pre Apple ID. Je určená na to, aby zaistila, že do účtu bude mať prístup len jeho vlastník aj v prípade, že sa niekto dozvie jeho prístupové heslo. Vďaka dvojfaktorovej autentifikácii je prístup k účtu užívateľa možný len na dôveryhodných zariadeniach ako napríklad iPhone, iPad, iPod touch alebo Mac daného užívateľa, prípadne na iných zariadeniach po dokončení overenia z jedného z týchto dôveryhodných zariadení alebo dôveryhodného telefónneho čísla. Ak sa chcete po prvýkrát prihlásiť na nejakom novom zariadení, budú potrebné dve časti informácií: heslo Apple ID a šesťciferný overovací kód, ktorý sa zobrazí sa dôveryhodnom zariadení užívateľa alebo odošle na dôveryhodné telefónne číslo. Ak užívateľ zadá kód, potvrdí tým, že dôveruje tomuto novému zariadeniu a že je bezpečné sa na ňom prihlásiť. Keďže samotné heslo už nepostačuje na prístup k účtu užívateľa, dvojfaktorová autentifikácia vylepšuje zabezpečenie Apple ID užívateľa a všetkých informácií, ktoré uchováva v produktoch Apple. Integruje sa priamo s iOS, iPadOS, macOS, tvOS, watchOS zariadeniami a so systémami overenia používanými na webových stránkach Apple.

Keď sa užívateľ prihlási na webovej stránke Apple pomocou internetového prehliadača, požiadavka na druhý faktor sa odošle na všetky zariadenia priradené k iCloud účtu užívateľa s požiadavkou na schválenie webovej relácie. V prípadoch, keď sa užívateľ prihlasuje na stránku Apple z prehliadača na dôveryhodnom zariadení, kód sa mu zobrazí lokálne na zariadení, ktoré práve používa. Jeho zadaním sa schváli webová relácia pomocou dôveryhodného zariadenia užívateľa.

Obnova účtu Heslo účtu Apple ID možno v prípade zabudnutia resetovať pomocou dôveryhodného zariadenia. Ak nie je k dispozícii dôveryhodné zariadenie, no heslo je známe, užívateľ môže použiť dôveryhodné telefónne číslo na autentifikáciu prostredníctvom SMS overenia. Okrem toho je Apple ID možné okamžite obnoviť aj pomocou predchádzajúceho kódu zariadenia v spojení s SMS overením. Ak nie je možné použiť ani jeden z vyššie uvedených postupov, je potrebné prejsť procesom obnovy účtu. Viac informácií nájdete v článku podpory Apple Obnovenie účtu Apple ID, keď si nemôžete resetovať heslo.

Dvojkrokové overenie pomocou Apple ID Od roku 2013 spoločnosť Apple ponúka aj podobnú bezpečnostnú metódu pod názvom dvojkrokové overenie. Keď je zapnuté dvojkrokové overenie, identita užívateľa musí byť overená pomocou dočasného kódu odoslaného na niektoré z dôveryhodných zariadení užívateľa. Dvojkrokové overenie je vyžadované pred vykonaním zmien informácií o účte Apple ID, pred prihlásením do služieb iCloud, iMessage, FaceTime alebo a pred uskutočnením nákupu v iTunes Store, App Store, apke Apple TV alebo Apple Books na novom zariadení. Užívateľom sa poskytne aj 14-znakový kľúč obnovenia, ktorý je potrebné uložiť na bezpečné miesto pre prípad, že zabudnú svoje heslo alebo stratia prístup k svojim dôveryhodným zariadeniam. Hoci väčšine užívateľov sa odporúča používať dvojfaktorovú autentifikáciu, v niektorých situáciách sa naďalej odporúča dvojkrokové overenie.

Zabezpečenie platforiem Apple 78 Spravované Apple ID Spravované Apple ID v istom zmysle fungujú podobne ako Apple ID, ale vlastnia a ovládajú ich podniky alebo vzdelávacie organizácie. Tieto organizácie môžu resetovať heslá, obmedzovať nakupovanie a komunikáciu napríklad cez FaceTime a Správy, ako aj nastavovať pre zamestnancov, personál, učiteľov a študentov povolenia na základe rolí.

V prípade spravovaných Apple ID sú niektoré služby zakázané (napríklad Apple Pay, iCloud Kľúčenka, HomeKit a Nájsť).

Kontrola spravovaných Apple ID Spravované Apple ID podporujú aj kontrolu, čo umožňuje organizáciám dodržiavať právne smernice a predpisy na ochranu súkromia. Konkrétne spravované účty Apple ID môže kontrolovať správca alebo učiteľ v riešení Apple School Manager.

Kontrolóri môžu monitorovať len účty, ktoré sú v hierarchii organizácie pod nimi. Napríklad učitelia môžu monitorovať študentov, manažéri učiteľov a študentov a správcovia môžu kontrolovať manažérov, učiteľov a študentov.

Po vyžiadaní prihlasovacích údajov na kontrolu v Apple School Manageri sa vytvorí špeciálny účet, ktorý má prístup len k tým spravovaným Apple ID, pre ktoré bola vyžiadaná kontrola. Kontrolór smie následne čítať a upravovať obsah užívateľa uložený v iCloude alebo apkách s CloudKitom. Každá požiadavka na auditovací prístup sa zaznamenáva v riešení Apple School Manager. Záznamy ukážu, kto bol kontrolór, ku ktorému spravovanému Apple ID požiadal kontrolór o prístup, čas požiadavky a či bola kontrola vykonaná.

Spravované Apple ID a osobné zariadenia Spravované Apple ID je možné používať aj s iOS a iPadOS zariadeniami alebo počítačmi Mac v osobnom vlastníctve. Študenti sa prihlásia do iCloudu pomocou spravovaného Apple ID vydaného danou inštitúciou a dodatočného hesla na domáce použitie, ktoré slúži ako druhý faktor v procese dvojfaktorovej autentifikácie Apple ID. Pri používaní spravovaného Apple ID na osobnom zariadení nie je k dispozícii iCloud Kľúčenka a inštitúcia môže obmedziť aj iné funkcie, ako napríklad FaceTime alebo Správy. Je možné kontrolovať všetky iCloud dokumenty vytvorené študentmi po ich prihlásení, ako to už bolo vysvetlené v tejto sekcii.

iCloud

Prehľad iCloudu iCloud uchováva kontakty, kalendáre, fotky, dokumenty a ďalšie položky užívateľov a automaticky udržiava tieto informácie aktualizované na všetkých ich zariadeniach. iCloud môžu používať aj apky tretích strán na uchovávanie a synchronizáciu dokumentov, ako aj na kľúčové hodnoty pre dáta apiek, tak ako ich definujú vývojári. Užívatelia si môžu nastaviť iCloud prihlásením pomocou Apple ID a výberom služieb, ktoré chcú používať. Niektoré funkcie iCloudu, iCloud Drive a zálohu v iCloude môžu IT správcovia vypínať pomocou konfiguračných profilov správy mobilných zariadení (MDM). Služba nemá informácie o tom, čo sa uchováva, a s každým obsahom súborov zaobchádza rovnakým spôsobom, teda ako so zhlukom bajtov.

Zabezpečenie platforiem Apple 79 Každý súbor sa rozloží na menšie časti a zašifruje v iCloude pomocou AES-128 a kľúča derivovaného z obsahu každej tejto časti, s kľúčmi využívajúcimi SHA-256. Kľúče a metadáta súboru Apple ukladá v iCloud účte užívateľa. Šifrované časti súboru sa uchovávajú bez akýchkoľvek informácií identifikujúcich užívateľa a kľúčov, s využitím úložných služieb Apple a tretích strán ako napríklad Amazon Web Services alebo Google Cloud Platform. Títo partneri však nemajú kľúče na dešifrovanie užívateľských dát uložených na ich serveroch.

iCloud Drive iCloud Drive pridáva na ochranu dokumentov uložených v iCloude kľúče založené na účte. iCloud Drive rozdelí obsah súboru do blokov a zašifruje ich. Tieto šifrované bloky sa potom uchovávajú pomocou služieb tretích strán. Kľúče obsahu súborov sú však zabalené kľúčmi záznamov uloženými spolu s metadátami iCloud Drive. Tieto kľúče záznamov sú ďalej chránené kľúčom služby iCloudu Drive, ktorý sa následne ukladá v iCloud účte užívateľa. Užívatelia získajú prístup k metadátam svojich dokumentov na iCloude po overení v iCloude, ale musia mať aj kľúč služby iCloud Drive na odhalenie chránených častí úložiska iCloud Drive.

Záloha iCloud Drive iCloud navyše denne zálohuje informácie vrátane nastavení zariadenia, dát apiek, fotiek a videí v albume Fotoaparát a konverzácií v apke Správy cez Wi-Fi pripojenie. iCloud zabezpečuje tento obsah tak, že ho pri odosielaní cez internet zašifruje a uchováva v zašifrovanom formáte, a na autentifikáciu používa zabezpečené tokeny. iCloud Záloha prebieha, len keď je zariadenie zamknuté, pripojené k zdroju napájania a má Wi-Fi prístup k internetu. Z dôvodu šifrovania používaného v iOS a iPadOS je iCloud Záloha určená na uchovávanie zabezpečených dát, ale s umožnením postupného zálohovania a obnovovania bez dozoru.

Po vytvorení súborov v triedach Ochrany dát, ktoré nie sú dostupné, keď je zariadenie zamknuté, sa ich kľúče pre súbor zašifrujú pomocou kľúčov triedy z keybagu iCloud Zálohy a zálohujú na iCloud v ich pôvodnom, zašifrovanom stave. Všetky súbory sú počas prenosu zašifrované, a keď sa uchovávajú, sú zašifrované pomocou kľúčov založených na účte, tak ako je to popísané v časti CloudKit.

Keybag iCloud Zálohy obsahuje asymetrické (Curve25519) kľúče pre triedy Data Protection, ktoré nie sú prístupné na zamknutom zariadení. Zostava zálohy sa uchováva v užívateľskom iCloud účte a pozostáva z kópie súborov užívateľa a keybagu iCloud Zálohy. Keybag iCloud Zálohy je chránený náhodným kľúčom, ktorý sa takisto uchováva spolu so zostavou zálohy. (iCloud heslo užívateľa sa nepoužíva na šifrovanie, takže zmenou iCloud hesla nedôjde k znehodnoteniu existujúcich záloh.)

Zatiaľ čo databáza Kľúčenky užívateľa sa zálohuje do iCloudu, zostáva chránená zmiešaným kľúčom UID. Kľúčenke sa tým umožňuje obnovenie len na rovnaké zariadenie, z akého pochádzala, čo znamená, že položky Kľúčenky užívateľa nedokáže prečítať nikto iný vrátane spoločnosti Apple.

Pri obnovovaní sa z iCloud účtu užívateľa získajú zálohované súbory, keybag iCloud Zálohy a kľúč pre keybag. Keybag iCloud Zálohy sa dešifruje pomocou svojho kľúča a následne sa kľúče pre súbor v keybagu použijú na dešifrovanie súborov v zostave zálohy a tie sa zapíšu do súborového systému ako nové, čiže sa opätovne zašifrujú podľa svojej triedy Ochrany dát.

Zabezpečenie platforiem Apple 80 Obsah iCloud Zálohy Nasledujúci obsah sa zálohuje pomocou iCloud Zálohy:

• Záznamy pre zakúpenú hudbu, filmy, TV seriály, apky a knihy. iCloud Záloha užívateľa obsahuje informácie o zakúpenom obsahu nachádzajúcom sa na zariadení užívateľa, ale nie samotný zakúpený obsah. Keď užívateľ vykoná obnovenie z iCloud Zálohy, jeho zakúpený obsah sa automaticky stiahne z iTunes Storu, App Storu, apky Apple TV alebo Apple Books. Niektoré typy obsahu sa v niektorých krajinách alebo regiónoch nestiahnu automaticky a predošlé nákupy nemusia byť dostupné, ak už boli refundované alebo už nie sú v obchode dostupné. Celá história nákupov je priradená k Apple ID užívateľa. • Fotky a videá na zariadeniach užívateľa. Berte do úvahy, že keď užívateľ na zariadeniach so systémami iOS 8.1, iPadOS 13.1 alebo OS X 10.10.3 alebo novšími zapne iCloud Fotky, fotky a videá užívateľa sa už ukladajú na iCloud, takže nebudú súčasťou iCloud Zálohy. • iOS 8.1 alebo novší • iPadOS 13.1 • OS X 10.10.3 alebo novší • Kontakty, udalosti kalendára, pripomienky a poznámky • Nastavenia zariadenia • Dáta apiek • Plocha a organizácia apiek • Konfigurácia HomeKitu • Dáta zdravotného ID • Heslo pre Visual Voicemail (vyžaduje sa SIM karta, ktorá sa používala počas zálohy) • iMessage, Zákaznícky chat, textové (SMS) a MMS správy (vyžaduje sa SIM karta, ktorá sa používala počas zálohy) V prípade povolenia apky Správy v iCloude sa z existujúcej iCloud Zálohy odstráni iMessage, Zákaznícky čet, textové (SMS) a MMS správy a presunú sa do CloudKit kontajnera pre apku Správy so šifrovaním medzi koncovými zariadeniami. iCloud Záloha užívateľa si zachová k tomuto kontajneru kľúč. Ak užívateľ následne zakáže iCloud Zálohu, kľúč daného kontajnera sa zmení, nový kľúč bude uložený len v iCloud Kľúčenke (nedostupný pre spoločnosť Apple a tretie strany) a nové dáta zapísané v kontajneri nebude možné dešifrovať pomocou starého kľúča kontajnera.

Kľúč použitý na obnovenie správ v iCloud Zálohe sa umiestni na dve miesta – do iCloud Kľúčenky a záloha do CloudKitu. Záloha v CloudKite sa vykoná, keď je povolená iCloud Záloha a bezpodmienečne sa obnovuje bez ohľadu na to, či užívateľ obnovuje iCloud zálohu alebo nie.

Zabezpečenie platforiem Apple 81 E2EE šifrovanie v CloudKite Množstvo služieb spoločnosti Apple uvedených v článku podpory Apple Prehľad zabezpečenia iCloudu využíva E2EE šifrovanie pomocou kľúča služby CloudKit chráneného synchronizáciou iCloud Kľúčenky. Hierarchia kľúčov pre tieto kontajnery v CloudKite vychádza z iCloud Kľúčenky, takže má rovnaké charakteristiky zabezpečenia ako iCloud Kľúčenka – konkrétne, kľúče sú dostupné len na dôveryhodných zariadeniach užívateľov a spoločnosť Apple ani iné tretie strany k nim nemajú prístup. V prípade straty prístupu k dátam iCloud Kľúčenky sa dáta v CloudKite zresetujú. Ak sú tieto dáta dostupné z dôveryhodného lokálneho zariadenia, budú odoslané opäť do CloudKitu. Ďalšie informácie nájdete na stránke Zabezpečenie úschovy pre iCloud Kľúčenku.

E2EE šifrovanie v CloudKite použitím kľúča služby CloudKit chráneného synchronizáciou iCloud Kľúčenky okrem toho používa aj služba Správy v iCloude. Ak užívateľ povolil iCloud Zálohu, kľúč služby CloudKit používaný pre Správy v kontajneri iCloudu sa zálohuje v iCloude, takže užívatelia môžu obnoviť svoje správy dokonca aj v prípade straty prístupu k iCloud Kľúčenke a vlastným dôveryhodným zariadeniam. Keď užívateľ vypne iCloud Zálohu, kľúč služby iCloud bude zničený.

Situácia Možnosti obnovenia pre užívateľa v prípade šifrovania medzi koncovými zariadeniami CloudKit

Prístup k dôveryhodnému zariadeniu Obnovenie dát je možné s použitím dôveryhodného zariadenia alebo obnovenia iCloud Kľúčenky.

Bez dôveryhodných zariadení Obnovenie dát je možné len s použitím obnovenia cez iCloud Kľúčenku.

S povolenou iCloud Zálohou a prístupom Obnovenie dát je možné s použitím iCloud Zálohy, k dôveryhodnému zariadeniu dôveryhodného zariadenia alebo obnovenia iCloud Kľúčenky.

S povolenou iCloud Zálohou a bez prístupu Obnovenie dát je možné s použitím iCloud Zálohy alebo k dôveryhodnému zariadeniu obnovenia iCloud Kľúčenky.

So zakázanou iCloud Zálohou a prístupom Obnovenie dát je možné s použitím dôveryhodného k dôveryhodnému zariadeniu zariadenia alebo obnovenia iCloud Kľúčenky.

So zakázanou zálohou a bez prístupu k dôveryhodnému Obnovenie dát je možné len s použitím obnovenia cez zariadeniu iCloud Kľúčenku.

Zabezpečenie platforiem Apple 82 Správa kódov a hesiel

Prehľad správy kódov a hesiel iOS, iPadOS a macOS ponúkajú množstvo funkcií, vďaka ktorým je pre užívateľov jednoduché bezpečne a pohodlne sa overiť v apkách a na webových stránkach tretích strán, ktoré používajú na overenie heslá. Najlepší spôsob na správu hesiel je nemusieť ich používať. Funkcia Prihlásenie cez Apple umožňuje užívateľom prihlasovať sa do apiek a webových stránok tretích strán bez potreby vytvárania a spravovania dodatočného účtu alebo hesla, pričom prihlásenie je chránené dvojfaktorovou autentifikáciou Apple ID. V prípade stránok, ktoré nepodporujú Prihlásenie cez Apple, Automatické silné heslo umožňuje zariadeniam užívateľov pre stránky a apky automaticky vytvárať, synchronizovať a zadávať unikátne silné heslá. Heslá sa ukladajú do špeciálnej Kľúčenky Automatické vypĺňanie hesiel, nad ktorou má kontrolu a ktorú spravuje užívateľ. V iOS a iPadOS prejdite na Nastavenia > Heslá a účty > Heslá webstránok a apiek.

V macOS je možné spravovať uložené heslá v nastaveniach hesiel Safari. Tento systém synchronizácie je možné používať aj na synchronizáciu hesiel, ktoré boli manuálne vytvorené užívateľom.

Prihlásenie cez Apple Prihlásenie cez Apple je alternatíva voči iným systémom jednotlivého prihlásenia, ktorá berie do úvahy súkromie. Poskytuje pohodlie a efektivitu prihlásenia jedným klepnutím a poskytuje užívateľom väčšiu transparentnosť a kontrolu nad ich osobnými údajmi.

Prihlásenie cez Apple umožňuje užívateľom nastaviť si účet a prihlasovať sa do apiek a webstránok pomocou Apple ID, ktoré už majú, a poskytuje im viac kontroly nad ich osobnými informáciami. Apky si môžu pri nastavovaní účtu vyžiadať len meno a emailovú adresu užívateľa, a ten má vždy na výber: zdieľať s apkou svoju osobnú emailovú adresu alebo svoj osobný email ponechať súkromný a použiť namiesto toho novú službu Apple presmerovania na súkromný email. Táto služba emailového presmerovania zdieľa unikátnu, anonymizovanú emailovú adresu, ktorá presmerováva na osobnú adresu užívateľa, aby mohol od vývojára naďalej dostávať užitočnú korešpondenciu a zároveň si zachovať vysokú úroveň ochrany súkromia a kontroly nad svojimi osobnými údajmi.

Prihlásenie cez Apple je vytvorené so zreteľom na bezpečnosť. Každý užívateľ funkcie Prihlásenie cez Apple musí mať povolenú dvojfaktorovú autentifikáciu. Dvojfaktorová autentifikácia pomáha zabezpečiť nielen Apple ID užívateľa, ale aj účty, ktoré vytvoria vo svojich apkách. Okrem toho spoločnosť Apple vyvinula a zintegrovala do funkcie Prihlásenie cez Apple signálny systém proti podvodom, ktorý chráni súkromie a vývojárom poskytuje istotu, že noví užívatelia, ktorých získajú, sú skutoční ľudia a nie boty alebo skriptované účty.

Automatické silné heslá Keď je povolená iCloud Kľúčenka, iOS, iPadOS a macOS pri registrácii užívateľa na webovej stránke v Safari alebo pri zmene hesla vytvárajú silné, náhodné, unikátne heslá. V iOS a iPadOS je funkcia Automatické silné heslá dostupná aj v apkách. Ak užívatelia nechcú používať silné heslá, musia sa z ich používania odhlásiť. Vygenerované heslá sa ukladajú v kľúčenke a synchronizujú na všetkých zariadeniach s iCloud Kľúčenkou v prípade, že bola povolená.

Zabezpečenie platforiem Apple 83 V predvolenom nastavení majú heslá vygenerované iOS a iPadOS dĺžku 20 znakov. Obsahujú jednu číslicu, jedno veľké písmeno, dva spojovníky a 16 malých písmen. Tieto vygenerované heslá sú silné a obsahujú 17 bitov entropie.

Heslá sa generujú na základe heuristiky, ktorá zisťuje, či je pole hesla určené na vytvorenie hesla. Ak heuristika nerozpozná, že kontext hesla je určený na vytvorenie hesla, vývojári apky môžu pre svoje textové pole nastaviť UITextContentType.newPassword a weboví vývojári môžu pre svoje elementy nastaviť autocomplete="new-password".

Apky môžu poskytovať pravidlá s cieľom zaistiť, že generované heslá sú kompatibilné s príslušnými službami. Vývojári poskytujú tieto pravidlá pomocou UITextInputPasswordRules alebo atribútu passwordrules na svojich elementoch . Zariadenia následne generujú najsilnejšie heslá, aké dokážu, ktoré môžu spĺňať tieto pravidlá.

Automatické vypĺňanie hesiel Automatické vypĺňanie hesiel automaticky vypĺňa prihlasovacie údaje uložené v kľúčenke. Správca hesiel iCloud Kľúčenka a Automatické vypĺňanie hesiel poskytujú tieto funkcie:

• Vypĺňanie prihlasovacích údajov v apkách a na webových stránkach • Generovanie silných hesiel • Ukladanie hesiel v apkách a na webových stránkach v Safari • Zabezpečené zdieľanie hesiel s kontaktmi užívateľa • Poskytovanie hesiel Apple TV nachádzajúcemu sa v blízkosti, ktoré vyžaduje prihlasovacie údaje Generovanie a ukladanie hesiel v rámci apiek, ako aj poskytovanie hesiel Apple TV, je dostupné len v iOS a iPadOS.

Automatické vypĺňanie hesiel v apkách iOS a iPadOS umožňujú užívateľom zadávať užívateľské mená a heslá do polí na prihlasovacie údaje v apkách podobným spôsobom, akým funguje Automatické vypĺňanie hesiel v Safari. V iOS a iPadOS to užívatelia vykonajú klepnutím na možnosť „kľúč“ v lište QuickType na softvérovej klávesnici. V macOS sa v prípade apiek vytvorených pomocou Mac Catalyst zobrazí pod poľami na prihlasovacie údaje vyskakovacie menu Heslá.

Keď je nejaká apka silne prepojená s webovou stránkou s použitím rovnakého mechanizmu prepojenia apka-webová stránka a s využitím súboru apple-app-site-association, lišta QuickType v iOS a iPadOS, ako aj vyskakovacie menu v macOS, priamo ponúkajú prihlasovacie údaje pre apku, pokiaľ je nejaká príslušná časť uložená v Kľúčenke Automatického vypĺňania hesiel. Užívateľom to umožňuje poskytovať prihlasovacie údaje uložené cez Safari, v apkách s rovnakými bezpečnostnými vlastnosťami, avšak bez toho, aby museli apky prijať príslušné API.

Automatické vypĺňanie hesiel neposkytne žiadne informácie o prihlasovacích údajoch, až kým na to užívateľ nedá apke svoj súhlas. Zoznamy prihlasovacích údajov sa vložia alebo poskytnú mimo procesu apky.

Keď má apka a webová stránka dôveryhodný vzťah a užívateľ odošle v rámci apky prihlasovacie údaje, iOS a iPadOS môžu užívateľa vyzvať na ich uloženie do Kľúčenky Automatického vypĺňania hesiel na neskoršie použitie.

Zabezpečenie platforiem Apple 84 Prístup apiek k uloženým kódom Apky iOS a iPadOS dokážu interagovať s Kľúčenkou Automatického vypĺňania hesiel pomocou dvoch nasledujúcich API:

• SecRequestSharedWebCredential • SecAddSharedWebCredential Apky iOS, iPadOS a macOS môžu požiadať Kľúčenku Automatického vypĺňania hesiel o pomoc pri prihlasovaní užívateľa s použitím ASAuthorizationPasswordProvider. Poskytovateľa hesla a jeho požiadavku je možné použiť v spojení s funkciou Prihlásenie cez Apple, aby sa volali rovnaké API na pomoc užívateľovi s prihlásením do apky, a to bez ohľadu na to, či účet užívateľa používa heslo alebo bol vytvorený pomocou Prihlásenia cez Apple.

Apky majú prístup k uloženým heslám, len ak na to dajú súhlas vývojár apky a správca webovej stránky a ak s tým súhlasí aj užívateľ. Vývojári apiek vyjadrujú svoj zámer na prístup k heslám uloženým v Safari tak, že na to v svojej apke umiestnia oprávnenie. Oprávnenie uvádza plne kvalifikované názvy domén pridružených webových stránok a webové stránky musia na svoj server umiestniť súbor s uvedením unikátnych identifikátorov apiek schválených spoločnosťou Apple.

Keď sa nainštaluje apka s oprávnením domén com.apple.developer.associated, iOS a iPadOS vykonajú požiadavku TLS na každú uvedenú webovú stránku, a vyžiadajú si jeden z týchto súborov:

• apple-app-site-association • .well-known/apple-app-site-association Ak súbor uvádza identifikátor apky danej nainštalovanej apky, iOS a iPadOS označia webovú stránku, že má dôveryhodný vzťah. Iba v prípade dôveryhodného vzťahu bude výsledkom volaní týchto dvoch API výzva užívateľovi, ktorý musí vyjadriť súhlas pred uvoľnením hesiel apke, ako aj pred ich aktualizáciou či vymazaním.

Opätovné využívanie hesiel a audit sily hesiel Zoznam hesiel Kľúčenky Automatického vypĺňania hesiel v iOS, iPadOS a macOS ukazuje, ktoré uložené heslá užívateľa boli opätovne použité na iných webových stránkach, ako aj to, ktoré heslá sú považované za slabé.

Používanie rovnakého hesla vo viac ako jednej službe môže spôsobiť zraniteľnosť týchto účtov v zmysle útoku využívajúceho nahromadené zoznamy prihlasovacích údajov. V prípade narušenia nejakej služby a úniku hesiel môžu útočníci skúšať používať rovnaké prihlasovacie údaje v iných službách a napadnúť tak ďalšie účty.

Heslá sa označia ako slabé, ak ich môže útočník ľahko uhádnuť. iOS, iPadOS a macOS zisťujú bežné vzorce používané na vytváranie ľahko zapamätateľných hesiel ako napríklad slová nachádzajúce sa v slovníkoch a bežné nahradenia písmen (napríklad používanie termínov ako „h3sl0“ namiesto „heslo“), vzorce nachádzajúce sa na klávesnici (napríklad „q12we34r“ na klávesnici QWERTY) alebo opakujúce sa postupnosti (napríklad „123123“). Tieto vzorce sa často používajú na vytváranie hesiel, ktoré spĺňajú minimálne požiadavky hesiel pre služby, ale útočníci ich často používajú pri pokusoch o prelomenie hesla brutálnou silou.

Zabezpečenie platforiem Apple 85 Keďže mnoho služieb vyslovene vyžaduje štvor- alebo šesťciferný PIN kód, tieto krátke kódy sa hodnotia podľa iných pravidiel. PIN kódy sú považované za slabé, ak sú jednými z najčastejších PIN kódov, ak ide o vzostupnú alebo zostupnú postupnosť, ako napríklad „1234“ alebo „8765“, prípadne ak nasledujú opakujúci sa vzor, napríklad „123123“ alebo „123321“.

Slabé a opätovne používané heslá sú označené v zozname hesiel. Ak sa užívateľ prihlási do webovej stránky v Safari pomocou predtým uloženého hesla, ktoré je veľmi slabé (napríklad ide o jedno z bežne používaných hesiel), zobrazí sa varovanie s dôrazným odporúčaním, aby prešiel na Automatické silné heslo.

Odosielanie hesiel iným užívateľom alebo zariadeniam

AirDrop Keď je povolený iCloud, užívatelia môžu odosielať cez AirDrop do iného zariadenia uložené prihlasovacie údaje vrátane webových stránok, pre ktoré boli uložené, užívateľské meno a heslo. Odosielanie prihlasovacích údajov pomocou AirDropu vždy prebieha v režime Len kontakty, a to bez ohľadu na nastavenia užívateľa. Na prijímajúcom zariadení sa po súhlase užívateľa prihlasovacie údaje uložia v Kľúčenke užívateľa Automatického vypĺňania hesiel.

Apple TV Automatické vypĺňanie hesiel je dostupné na vypĺňanie prihlasovacích údajov aj v apkách na Apple TV. Keď užívateľ prejde v tvOS na textové pole užívateľského mena alebo hesla, Apple TV začne vysielať cez Bluetooth Low Energy (BLE) požiadavku na Automatické vypĺňanie hesiel.

iPhone, iPad alebo iPod touch v blízkosti zobrazí užívateľovi výzvu, aby zdieľal prihlasovacie údaje s Apple TV. Spôsob určovania metódy šifrovania:

• Ak zariadenie a Apple TV používajú rovnaký iCloud účet, šifrovanie medzi zariadeniami prebehne automaticky. • Ak je zariadenie prihlásené pomocou iného iCloud účtu než toho, ktorý je používaný zariadením Apple TV, užívateľ bude vyzvaný na vytvorenie šifrovaného pripojenia pomocou PIN kódu. Na prijatie tejto výzvy musí byť iPhone odomknutý a v tesnej blízkosti ovládača Remote spárovaného s daným Apple TV.

Po nadviazaní šifrovaného spojenia pomocou šifrovania pripojenia BLE sa prihlasovacie údaje odošlú do Apple TV a príslušné textové polia apky sa automaticky vyplnia.

Zabezpečenie platforiem Apple 86 Rozšírenia poskytovateľa prihlasovacích údajov V iOS a iPadOS môžu užívatelia v nastaveniach určiť apku tretej strany spĺňajúcu kritériá ako poskytovateľa prihlasovacích údajov na automatické vypĺňanie hesiel. Tento mechanizmus je založený na rozšíreniach. Rozšírenie poskytovateľa prihlasovacích údajov musí poskytnúť zobrazenie na výber prihlasovacích údajov a voliteľne môže poskytnúť systémom iOS a iPadOS metadáta o uložených prihlasovacích údajoch, takže môžu byť ponúknuté priamo na lište QuickType. K týmto metadátam patrí webová stránka daných prihlasovacích údajov a pridružené užívateľské meno, ale nie jeho heslo. iOS a iPadOS budú komunikovať s rozšírením s cieľom získať heslo, až keď sa užívateľ rozhodne ho vyplniť v apke alebo na webovej stránke v Safari. Metadáta prihlasovacích údajov sú uložené vo vnútri sandboxu poskytovateľa prihlasovacích údajov a po odinštalovaní apky sa automaticky odstránia.

iCloud Kľúčenka

Prehľad iCloud Kľúčenky iCloud Kľúčenka umožňuje užívateľom synchronizovať ich heslá medzi iOS a iPadOS zariadeniami a počítačmi Mac zabezpečeným spôsobom bez odhalenia týchto údajov spoločnosti Apple. Okrem silnej ochrany súkromia a zabezpečenia patrili medzi ďalšie ciele, ktoré zásadne ovplyvnili dizajn a architektúru iCloud Kľúčenky, aj jednoduchosť používania a možnosť obnovenia Kľúčenky. iCloud Kľúčenka pozostáva z dvoch služieb: synchronizácia Kľúčenky a obnovenie Kľúčenky.

Spoločnosť Apple navrhla iCloud Kľúčenku a obnovenie Kľúčenky tak, že heslá užívateľa budú chránené aj v nasledujúcich podmienkach:

• Napadnutie iCloud účtu užívateľa. • Napadnutie iCloudu vonkajším útočníkom alebo zamestnancom. • Prístup k užívateľským účtom treťou stranou.

Synchronizácia Kľúčenky Keď užívateľ po prvýkrát povolí iCloud Kľúčenku, zariadenie si vytvorí kruh dôveryhodnosti a synchronizačnú identitu. Synchronizačná identita sa skladá zo súkromného a verejného kľúča. Verejný kľúč synchronizačnej identity sa vloží do kruhu a kruh sa podpíše dvakrát: najprv súkromným kľúčom synchronizačnej identity a potom opäť asymetrickým eliptickým kľúčom (s použitím P-256) derivovaným z hesla iCloud účtu užívateľa. V rámci kruhu sa uchovávajú aj parametre (náhodný kód salt a iterácie) slúžiace na vytvorenie kľúča založeného na iCloud účte užívateľa.

Podpísaný synchronizačný kruh sa umiestni do oblasti úložiska hodnoty iCloud kľúča užívateľa. Nie je možné ho prečítať bez poznania iCloud hesla užívateľa a nie je možné ho platným spôsobom upravovať bez poznania súkromného kľúča synchronizačnej identity jeho člena.

Zabezpečenie platforiem Apple 87 Keď užívateľ zapne iCloud Kľúčenku na inom zariadení, iCloud Kľúčenka zistí, že užívateľ predtým vytvoril v iCloude synchronizačný kruh, ktorého nie je členkou. Zariadenie vytvorí pár kľúčov synchronizačnej identity a následne vytvorí tiket apky s cieľom požiadať o členstvo v kruhu. Tiket pozostáva z verejného kľúča zariadenia patriaceho synchronizačnej identite a užívateľ bude vyzvaný na overenie pomocou svojho iCloud účtu. Parametre generovania eliptického kľúča sa získajú z iCloudu a vygeneruje sa kľúč slúžiaci na podpísanie tiketu apky. Tiket apky sa nakoniec umiestni do iCloudu.

Keď prvé zariadenie zistí, že prišiel tiket apky, požiada užívateľa o potvrdenie, že nové zariadenie sa snaží pridať sa do synchronizačného kruhu. Užívateľ zadá svoje iCloud heslo a tiket apky sa overí ako podpísaný zhodným súkromným kľúčom. Odteraz sa užívatelia, ktorí vygenerovali požiadavku o pridanie do kruhu, doň budú môcť pridať.

Potom ako užívateľ schváli pridanie nového zariadenia do kruhu, prvé zariadenie pridá do synchronizačného kruhu verejný kľúč nového člena a opäť ho podpíše svojou synchronizačnou identitou a kľúčom derivovaným z iCloud hesla užívateľa. Nový synchronizačný kruh sa umiestni do iCloudu, kde ho podobne podpíše nový člen kruhu.

Teraz sa tam nachádzajú dvaja členovia podpisovacieho kruhu a každý z nich má verejný kľúč svojho partnera. Odteraz si začnú vymieňať jednotlivé položky Kľúčenky cez úložisko hodnôt iCloud kľúčov alebo ich ukladať v CloudKite, podľa toho, čo je pre danú situáciu vhodnejšie. Ak majú obaja členovia kruhu rovnakú položku, synchronizuje sa tá s najnovším dátumom úpravy. Položka sa vynechá v prípade, že ju má aj druhý člen a dátumy úpravy sú identické. Každá synchronizovaná položka je šifrovaná a dešifrovať sa dá len zariadením z kruhu dôveryhodnosti užívateľa. Nie je možné ju dešifrovať na žiadnom inom zariadení, ani spoločnosťou Apple.

Tento proces sa opakuje, keď sa do synchronizačného kruhu pridajú nové zariadenia. Keď sa doň napríklad pridá tretie zariadenie, na oboch ďalších zariadeniach užívateľa sa zobrazí potvrdenie. Užívateľ môže potvrdiť nového člena z ktoréhokoľvek z týchto zariadení. Keď sa pridávajú nové partnerské zariadenia, každý partner sa synchronizuje s tým novým, aby sa zaistilo, že všetci členovia majú rovnaké položky Kľúčenky.

Nesynchronizuje sa však celá Kľúčenka. Niektoré položky sú len pre dané konkrétne zariadenie (napríklad VPN identity) a nesmú opustiť zariadenie. Synchronizujú sa len položky s atribútom kSecAttrSynchronizable. Spoločnosť Apple nastavila tento atribút pre užívateľské dáta Safari (vrátane užívateľských mien, hesiel a čísel kreditných kariet), ako aj pre Wi-Fi heslá a šifrovacie kľúče HomeKitu.

V predvolenom nastavení sa navyše nesynchronizujú ani položky Kľúčenky pridané tretími stranami. Vývojári musia pri pridávaní položiek do Kľúčenky nastaviť atribút kSecAttrSynchronizable.

Obnovenie iCloud Kľúčenky Obnovenie Kľúčenky poskytuje užívateľom voliteľnú možnosť uschovať svoju Kľúčenku v Apple, a to bez toho, aby mala spoločnosť Apple možnosť načítať jej heslá a ďalšie dáta, ktoré obsahuje. Aj keď má užívateľ len jedno zariadenie, obnovenie Kľúčenky aj tak poskytuje bezpečnostnú sieť proti strate dát. Je to osobitne dôležité, keď sa Safari použije na vygenerovanie náhodných, silných hesiel pre webové účty, keďže jediný záznam týchto hesiel je vtedy v Kľúčenke.

Zabezpečenie platforiem Apple 88 Základom obnovenia Kľúčenky je sekundárna autentifikácia a zabezpečená služba úschovy vytvorená spoločnosťou Apple na podporu tejto funkcie. Kľúčenka užívateľa je zašifrovaná pomocou silného kódu a služba úschovy poskytuje kópiu Kľúčenky len v prípade, ak bude splnený súbor striktných podmienok.

Existuje niekoľko spôsobov na vytvorenie silného kódu:

• Keď je pre užívateľský účet zapnutá dvojfaktorová autentifikácia, kód zariadenia sa použije na obnovenie uschovanej Kľúčenky. • Ak dvojfaktorová autentifikácia nie je nastavená, užívateľ bude vyzvaný na vytvorenie bezpečnostného kódu pre iCloud tak, že zadá šesťciferný vstupný kód. Prípadne môžu užívatelia bez dvojfaktorovej autentifikácie uviesť svoj vlastný, dlhší kód alebo nechať svoje zariadenie vytvoriť kryptograficky náhodný kód, ktorý si môžu zaznamenať a uschovať pre seba. Mnoho užívateľov chce v ďalšom kroku uschovať svoju kľúčenku v Apple. Proces vyzerá tak, že iOS, iPadOS alebo macOS exportuje kópiu Kľúčenky užívateľa, zašifruje ju zabalenú pomocou kľúčov v asymetrickom keybagu a umiestni ju do oblasti úložiska hodnôt iCloud kľúčov užívateľa. Keybag je zabalený pomocou bezpečnostného kódu pre iCloud a verejného kľúča klastra hardvérového bezpečnostného modulu (HSM), ktorý obsahuje úschovný záznam. Stane sa iCloud úschovným záznamom užívateľa.

Ak sa užívateľ rozhodne prijať kryptograficky náhodný bezpečnostný kód namiesto zadania svojho vlastného alebo namiesto štvorcifernej hodnoty, nebude potrebný žiadny úschovný záznam. Namiesto toho sa na zabalenie náhodného kľúča použije priamo bezpečnostný kód pre iCloud.

Okrem vytvorenia bezpečnostného kódu si musí užívateľ aj zaregistrovať telefónne číslo. Poskytuje to sekundárnu úroveň autentifikácie počas obnovenia Kľúčenky. Užívateľ dostane SMS správu, na ktorú bude musieť pred spustením obnovenia odpovedať.

Zabezpečenie úschovy pre iCloud Kľúčenku iCloud poskytuje bezpečnú infraštruktúru pre úschovu Kľúčenky, ktorá zaručuje, že obnovenie môžu vykonávať len autorizovaní užívatelia a zariadenia. Za iCloudom sú topograficky umiestnené HSM klastre, ktoré chránia úschovné záznamy. Každý z nich má kľúč slúžiaci na zašifrovanie úschovných záznamov pod ich ochranou tak, ako to už bolo popísané.

Užívatelia sa musia pred obnovením Kľúčenky autentifikovať pomocou svojho iCloud účtu a hesla a odpovedať na SMS správu odoslanú na ich zaregistrované telefónne číslo. Po vykonaní tohto postupu musia užívatelia zadať svoj bezpečnostný kód pre iCloud. HSM klaster overí, či užívateľ pozná svoj bezpečnostný kód pre iCloud pomocou protokolu Secure Remote Password (SRP). Samotný kód sa neodosiela spoločnosti Apple. Každý člen klastra nezávisle overí, že užívateľ neprekročil maximálny počet povolených pokusov na získanie svojho záznamu tak, ako je to uvedené nižšie. Ak väčšina z nich súhlasí, klaster rozbalí úschovný záznam a odošle ho na zariadenie užívateľa.

Zabezpečenie platforiem Apple 89 Následne zariadenie použije bezpečnostný kód pre iCloud na rozbalenie náhodného kľúča slúžiaceho na zašifrovanie Kľúčenky užívateľa. Pomocou tohto kľúča sa Kľúčenka, získaná z iCloud úložiska hodnôt kľúčov, dešifruje a obnoví na zariadenie. iOS, iPadOS a macOS umožňujú len 10 pokusov na autentifikáciu a získanie úschovného záznamu. Po niekoľkých zlyhaných pokusoch sa záznam uzamkne a užívateľ bude musieť zavolať technickú podporu Apple a požiadať o ďalšie pokusy. Po 10. pokuse HSM klaster uzamkne úschovný záznam a Kľúčenka bude navždy stratená. Poskytuje to ochranu pred pokusom o získanie záznamu hrubou silou, čo bude mať za následok stratu dát Kľúčenky.

Tieto pravidlá sú vbudované vo firmvéri HSM. Karty administratívneho prístupu, ktoré umožňujú zmenu hardvéru, boli zničené. Akýkoľvek pokus o zmenu firmvéru alebo o prístup k súkromnému kľúču má za následok vymazanie súkromného kľúča HSM klastrom. Pokiaľ takáto situácia nastane, vlastník každej Kľúčenky chránenej klastrom dostane správu, že úschovný záznam bol stratený. Môže sa následne rozhodnúť ho opäť zaregistrovať.

Integrácia Safari s iCloud Kľúčenkou Safari dokáže automaticky generovať kryptograficky silné náhodné reťazce pre heslá webových stránok, ktoré sú uchované v Kľúčenke a synchronizujú sa s inými zariadeniami. Položky Kľúčenky sa prenášajú zo zariadenia na zariadenie, prechádzajú cez servery Apple, ale sú zašifrované takým spôsobom, že ani spoločnosť Apple, ani iné zariadenia nedokážu prečítať ich obsah.

Apple Pay

Prehľad Apple Pay Vďaka Apple Pay môžu užívatelia používať podporované iOS zariadenia, iPad, Mac a Apple Watch a platiť nimi jednoduchým, zabezpečeným a súkromným spôsobom v obchodoch, apkách a na internete cez Safari. Užívatelia môžu tiež pridávať do Apple Walletu dopravné karty podporujúce Apple Pay. Celý proces je pre užívateľov jednoduchý a má vstavané zabezpečenie v hardvéri aj softvéri.

Apple Pay tiež chráni osobné údaje užívateľa. Apple Pay nezhromažďuje žiadne informácie o transakciách, ktoré je možné spárovať s daným užívateľom. Platobné transakcie prebiehajú medzi užívateľom, predajcom a vydavateľom karty.

Komponenty Apple Pay

Secure Element Secure Element je certifikovaný procesor zodpovedajúci odvetvovým štandardom, ktorý funguje na platforme Java Card spĺňajúcej požiadavky finančného odvetvia ohľadom elektronických platieb. IC Secure Element a platforma kariet Java sú certifikované v súlade s hodnotením EMVCo Security Evaluation. Po úspešnom vykonaním bezpečnostného hodnotenia EMVCo vydáva pre IC unikátny a platformový certifikát.

IC Secure Element má certifikáciu vychádzajúcu zo štandardu Common Criteria.

Zabezpečenie platforiem Apple 90 NFC ovládač NFC ovládač spracúva protokoly technológie Near Field Communication a smeruje komunikáciu medzi procesorom apiek a Secure Elementom, ako aj medzi Secure Elementom a terminálom pri platobnej pokladni.

Apple Wallet slúži na pridávanie a spracovávanie kreditných a debetných kariet a kariet obchodov a na vykonávanie platieb pomocou Apple Pay. Užívatelia môžu zobrazovať svoje karty a môžu v Apple Wallet zobrazovať dodatočné informácie poskytované vydavateľom daných kariet ako napríklad pravidiel ochrany osobných údajov daného vydavateľa, nedávne transakcie a ďalšie. Užívatelia môžu tiež pridávať karty do Apple Pay v:

• Sprievodca nastavením a nastavenia pre iOS a iPadOS • Apka Watch pre Apple Watch • Wallet a Apple Pay v Systémových nastaveniach pre počítače Mac s Touch ID Okrem toho Apple Wallet umožňuje užívateľom pridávať a spravovať dopravné karty, vernostné karty, palubné vstupenky, lístky, darčekové karty, študentské identifikačné karty a mnohé ďalšie

Secure Enclave Na iPhone, iPade, Apple Watch a počítačoch Mac s Touch ID Secure Enclave spravuje proces autentifikácie a umožňuje spracovanie platobnej transakcie.

Na Apple Watch je potrebné zariadenie odomknúť a užívateľ musí dvakrát stlačiť bočné tlačidlo. Po rozpoznaní dvojitého stlačenia sa táto informácia odovzdá do Secure Elementu alebo Secure Enclave, a to priamo, bez prechodu cez procesor apiek.

Servery Apple Pay Servery Apple Pay spravujú nastavenie a obstarávanie kreditných, debetných, dopravných a študentských ID kariet v apke Wallet. Servery spravujú aj Čísla účtu zariadenia uložené v Secure Elemente. Komunikujú so zariadením a aj s platobnou sieťou alebo servermi vydavateľa karty. Servery Apple Pay majú na starosti aj opätovné zašifrovanie platobných prihlasovacích údajov pri platbách v rámci apiek.

Ako Apple Pay využíva Secure Element a NFC ovládač

Secure Element Secure Element obsahuje osobitne navrhnutý aplet na spravovanie Apple Pay. Obsahuje aj aplety certifikované platobnými sieťami alebo vydavateľmi kariet. Dáta kreditných, debetných alebo predplatených kariet sa zašifrované odošlú od platobnej siete alebo vydavateľa karty do týchto apletov pomocou kľúčov, ktoré sú známe len platobnej sieti alebo vydavateľovi kariet a bezpečnostnej doméne apletov. Tieto dáta sú uložené v týchto apletoch a sú chránené bezpečnostnými funkciami Secure Elementu. Terminál komunikuje počas transakcie priamo so Secure Elementom pomocou ovládača Near Field Communication (NFC) prostredníctvom vyhradenej hardvérovej zbernice.

Zabezpečenie platforiem Apple 91 NFC ovládač NFC ovládač funguje ako brána do Secure Elementu a tak zaručuje, že všetky bezkontaktné platobné transakcie sa vykonávajú cez platobný terminál nachádzajúci sa v tesnej blízkosti zariadenia. NFC ovládať označí ako bezkontaktné transakcie len tie požiadavky na platbu, ktoré prichádzajú z terminálu v jeho poli dosahu.

Po autorizácii platby cez kreditnú, debetnú alebo predplatenú kartu (vrátane kariet obchodov) jej držiteľom pomocou Touch ID, Face ID alebo kódu, prípadne pomocou odomknutých Apple Watch dvojitým stlačením bočného tlačidla, sa bezkontaktné odpovede pripravené platobnými apletmi v Secure Elemente výlučne nasmerujú ovládačom do NFC poľa. Následne sa podrobnosti platobnej autorizácie pre bezkontaktné platobné transakcie obmedzia len na NFC pole a nikdy nebudú dostupné pre procesor apiek. Údaje autorizácie platieb v rámci apiek a na webe sa naopak smerujú do procesora apiek, ale až po zašifrovaní Secure Elementom na server Apple Pay.

Kreditné, debetné a predplatené karty

Prehľad obstarávania kreditných, debetných a predplatených kariet s Apple Pay Keď užívateľ pridá do Apple Wallet kreditnú, debetnú alebo predplatenú kartu (vrátane kariet obchodov), Apple zabezpečeným spôsobom odošle údaje karty spolu s ďalšími údajmi o účte a zariadení užívateľa vydavateľovi karty alebo autorizovanému poskytovateľovi služieb takéhoto vydavateľa. Pomocou týchto údajov vydavateľ karty rozhodne o schválení pridania karty do Apple Walletu.

V rámci procesu obstarávania kariet Apple Pay používa tri volania na strane servera na odoslanie a prijatie komunikácie s vydavateľom karty alebo jej sieťou: Required Fields, Check Card a Link and Provision. Vydavateľ alebo sieť karty používajú tieto volania na overenie, schválenie a pridanie kariet do Apple Walletu. Tieto relácie typu klient-server sú šifrované pomocou TLS v1.2.

Plné čísla kariet sa neukladajú na zariadení ani na serveroch Apple Pay. Namiesto toho sa vytvorí a zašifruje unikátne Číslo účtu zariadenia, ktoré sa uloží do Secure Elementu. Toto unikátne Číslo účtu zariadenia sa zašifruje spôsobom, že spoločnosť Apple k nemu nemá prístup. Číslo účtu zariadenia je unikátne a odlišné od väčšiny čísel kreditných alebo debetných kariet. Vydavateľ alebo sieť karty môžu zabrániť jeho použitiu na magnetickom pásiku karty, cez telefón alebo na webových stránkach. Číslo účtu zariadenia v Secure Elemente sa nikdy neukladá ani na serveroch Apple Pay, ani sa nezálohuje na iCloud. Je izolované od iOS, iPadOS, watchOS a počítačov Mac s Touch ID

Karty na používanie s Apple Watch sa obstarávajú pre Apple Pay pomocou apky Apple Watch na iPhone alebo v rámci iPhone apky vydavateľa karty. Na pridanie karty do Apple Watch je potrebné, aby boli hodinky v dosahu komunikácie Bluetooth. Karty sú tak výslovne zaregistrované na používanie s Apple Watch a majú svoje vlastné Čísla účtu zariadenia, ktoré sa uchovávajú v Secure Elemente na Apple Watch.

Keď sa pridajú kreditné, debetné alebo predplatené karty (vrátane kariet obchodov), zobrazia sa v rámci Sprievodcu nastavením v zozname kariet na zariadeniach s prihláseným rovnakým iCloud účtom. Karty zostanú v tomto zozname dovtedy, kým budú aktívne aspoň na jednom zariadení. Zo zoznamu sa odstránia, keď budú odstránené zo všetkých zariadení po dobu minimálne 7 dní. Táto funkcia vyžaduje, aby bola na príslušnom iCloud účte zapnutá dvojfaktorová autentifikácia.

Zabezpečenie platforiem Apple 92 Manuálne pridávanie kreditných alebo debetných kariet do Apple Pay Ak chcete pridať kartu manuálne, v záujme zrýchlenia procesu obstarávania sa použije meno na karte, jej číslo, dátum exspirácie a kód CVV. V rámci apky Nastavenia, Wallet alebo Apple Watch môžu užívatelia vkladať tieto informácie tak, že ich zadajú alebo pomocou kamery na zariadení. Keď kamera zachytí informácie na karte, spoločnosť Apple sa pokúsi získať meno, číslo karty a dátum platnosti. Fotografia sa nikdy neukladá do zariadenia ani vo Fotoknižnici. Po vyplnení všetkých polí proces Check Card overí polia iné ako CVV. Zašifrované sa odošlú na server Apple Pay.

Ak sa pri procese Check Card vráti ID zmluvných podmienok, Apple stiahne a zobrazí užívateľovi zmluvné podmienky karty. Ak užívateľ prijme zmluvné podmienky, Apple odošle ID prijatých podmienok spolu s CVV číslom do procesu Link and Provision. Okrem toho v rámci súčasti procesu Link and Provision spoločnosť Apple zdieľa údaje zo zariadenia s vydavateľom karty alebo jej sieťou. Ide o informácie, ako sú aktivita iTunes a App Store účtov užívateľa (napríklad či má užívateľ dlhú históriu transakcií v rámci iTunes), informácie o zariadení užívateľa (napríklad telefónne číslo, názov a model zariadenia užívateľa plus prípadné sprievodné Apple zariadenie potrebné na nastavenie Apple Pay), ako aj približná lokalizácia užívateľa v čase, keď pridal kartu (pokiaľ má užívateľ povolené lokalizačné služby). Pomocou týchto údajov vydavateľ karty rozhodne o schválení pridania karty do Apple Pay.

V dôsledku procesu Link and Provision nastanú dve veci:

• Zariadenie začne sťahovať súbor pasu Wallet, ktorý reprezentuje kreditnú alebo debetnú kartu. • Zariadenie začne s previazaním karty s modulom Secure Element. Súbor pasu obsahuje URL na stiahnutie obrázku karty, metadáta o karte ako napríklad kontaktné údaje, príslušná apka vydavateľa a podporované funkcie. Okrem toho obsahuje stav pasu s informáciami, ako napríklad či bolo dokončené prispôsobovanie Secure Elementu, či karta nie je momentálne pozastavená jej vydavateľom alebo či nie je potrebné vykonať pred platením s Apple Pay dodatočné overovanie.

Pridávanie kreditných alebo debetných kariet z iTunes Store účtu do Apple Pay V prípade kreditnej alebo debetnej karty zaznamenanej v iTunes môže byť potrebné, aby užívateľ zadal svoje heslo Apple ID. Číslo karty sa preberie z iTunes a spustí sa proces Check Card. Ak je karta spôsobilá na používanie s Apple Pay, zariadenie stiahne a zobrazí Zmluvné podmienky a odošle ID podmienok spolu s bezpečnostným kódom karty do procesu Link and Provision. V prípade kariet z iTunes účtu môže byť potrebné aj ďalšie overenie.

Ako pridávať kreditné alebo debetné karty z apky vydavateľa Keď sa apka zaregistruje na používanie s Apple Pay, pre apku a server vydavateľa karty sa vytvoria kľúče. Tieto kľúče slúžia na zašifrovanie údajov karty, ktoré sa odosielajú vydavateľovi karty, čím sa zabráni možnosti čítať tieto informácie Apple zariadením. Proces obstarávania je podobný tomu, ktorý slúži na manuálne pridávanie kariet a ktorý bol popísaný vyššie. Výnimkou sú jednorazové heslá používané namiesto CVV čísla.

Zabezpečenie platforiem Apple 93 Dodatočné overovanie s Apple Pay O tom, či kreditná alebo debetná karta vyžaduje dodatočné overenie, rozhoduje vydavateľ karty. V závislosti od ponuky vydavateľa karty môže mať užívateľ pri dokončení overenia na výber rôzne možnosti dodatočného overenia, napríklad pomocou textovej správy, emailu, telefonátu zákazníckemu centru alebo metódu v schválenej apke tretích strán. V prípade textovej alebo emailovej správy si užívateľ vyberá z kontaktných údajov, ktoré má uvedené vo svojich záznamoch vydavateľ. Odošle sa na ne kód, ktorý je potrebné zadať v apkách Wallet, Nastavenia alebo Apple Watch. V prípade overenia cez zákaznícke centrum alebo apku vydavateľ implementuje svoj vlastný proces overovania.

Autorizácia platieb s Apple Pay V prípade zariadení so Secure Enclave umožní Secure Element vykonanie platby po tom, ako pre ňu získa autorizáciu zo Secure Enclave. Na iPhone alebo iPade to znamená potvrdenie, že užívateľ sa overil pomocou Touch ID, Face ID alebo kódu zariadenia. Pokiaľ je dostupné Touch ID alebo Face ID, ide o predvolenú metódu overenia, kedykoľvek je však možné použiť aj kód. Kód sa ponúkne automaticky po troch neúspešných pokusoch o zhodu s odtlačkom prsta alebo po dvoch neúspešných pokusoch o zhodu tváre. Po piatich neúspešných pokusoch bude potrebné zadať heslo. Heslo je potrebné aj v prípade, že nie je skonfigurované Touch ID alebo Face ID, alebo ak nie sú povolené na používanie s Apple Pay. V prípade platby cez Apple Watch musí byť zariadenie odomknuté pomocou kódu a je potrebné dvakrát stlačiť bočné tlačidlo.

Komunikácia medzi Secure Enclave a Secure Element prebieha cez sériové rozhranie, pričom Secure Element je pripojený k ovládaču NFC a ten je následne pripojený k procesoru apiek. Hoci Secure Enclave a Secure Element nie sú prepojené priamo, môžu komunikovať zabezpečeným spôsobom pomocou zdieľaného párovacieho kľúča obstaraného počas procesu výroby. Šifrovanie a autentifikácia komunikácie sú založené na AES, pričom obe strany používajú kryptografické elementy na ochranu pred útokmi na báze opakovateľnosti. Párovací kľúč sa vygeneruje vo vnútri Secure Enclave zo svojho UID kľúča a z unikátneho identifikátora Secure Element. Párovací kľúč sa následne zabezpečeným spôsobom prenesie v továrni zo Secure Enclave do hardvérového bezpečnostného modulu (HSM), ktorý má kľúčový materiál potrebný na následné vloženie párovacieho kľúča do Secure Elementu.

Autorizácia transakcií Keď užívateľ autorizuje transakciu, ktorej súčasťou je fyzické gesto oznámené priamo systému Secure Enclave, Secure Enclave odošle podpísané dáta o type autentifikácie a podrobnostiach o type transakcie (bezkontaktná alebo v rámci apiek) procesoru Secure Element, ktorý je previazaný s hodnotou Authorization Random (AR). AR sa generuje v Secure Enclave, keď užívateľ po prvýkrát obstará kreditnú kartu, a zostane tam, kým je zapnutá služba Apple Pay, chránené šifrovaním Secure Enclave a mechanizmom na ochranu pred návratom k starším verziám (anti-rollback). Zabezpečeným spôsobom sa doručí do Secure Elementu pomocou párovacieho kľúča. Pri prijatí novej hodnoty AR Secure Element označí všetky predtým pridané karty ako vymazané.

Zabezpečenie platforiem Apple 94 Dynamický bezpečnostný kód pre konkrétnu transakciu v Apple Pay Platobné transakcie s pôvodom v platobnom aplete obsahujú platobný kryptogram a Číslo účtu zariadenia. Tento kryptogram je jednorazový kód a vypočítava sa pomocou počítadla transakcií a kľúča. Počítadlo transakcií zvyšuje svoju hodnotu s každou novou transakciou. Kľúč sa obstaráva v platobnom aplete počas prispôsobovania a pozná ho platobná sieť alebo vydavateľ karty. V závislosti od platobnej schémy je možné iné dáta použiť aj pri výpočte vrátane:

• čísla Terminal Unpredictable Number (pre NFC transakcie), • elementu servera Apple Pay (pre transakcie v rámci apiek). Tieto bezpečnostné kódy sa poskytujú platobnej sieti a vydavateľovi karty, čo vydavateľovi umožňuje overiť každú transakciu. Dĺžka týchto bezpečnostných kódov sa môže líšiť v závislosti od typu transakcie.

Platenie pomocou kreditných a debetných kariet v obchodoch s Apple Pay Ak je zapnutý iPhone alebo Apple Watch a zistí pole NFC, ponúkne užívateľovi vyžiadanú kartu (ak je pre túto kartu zapnutý automatický výber) alebo predvolenú kartu. Tieto možnosti je možné spravovať v Nastaveniach. Užívateľ môže tiež prejsť do apky Wallet a kartu si vybrať tam, prípadne keď je zariadenie zamknuté:

• Dvakrát stlačiť tlačidlo Domov (na zariadeniach s Touch ID) • Dvakrát stlačiť bočné tlačidlo (na zariadeniach s Face ID) Následne sa musí užívateľ pred prenosom informácií autentifikovať pomocou Touch ID, Face ID alebo kódu. Keď sú Apple Watch odomknuté, predvolená karta sa aktivuje na platbu pomocou dvojitého stlačenia bočného tlačidla. Bez autentifikácie užívateľa sa neodošlú žiadne platobné informácie.

Po autentifikácii užívateľa sa pri spracovaní platby použije Device Account Number a dynamický bezpečnostný kód pre konkrétnu transakciu. Skutočné čísla kreditných alebo debetných kariet neodošle obchodníkovi ani spoločnosť Apple, ani zariadenie užívateľa. Apple môže dostávať anonymné informácie o transakcii ako napríklad jej približný čas a miesto, čo pomáha pri vylepšovaní Apple Pay a ďalších produktov a služieb Apple.

Platenie pomocou kreditných a debetných kariet v apkách s Apple Pay Apple Pay je tiež možné používať na vykonávanie platieb v rámci apiek iOS, iPadOS a Apple Watch. Keď užívatelia platia v rámci apiek pomocou Apple Pay, Apple dostane šifrované informácie o transakcii. Pred odoslaním týchto informácií vývojárovi alebo obchodníkovi Apple transakciu opätovne zašifruje pomocou kľúča konkrétneho vývojára. Apple Pay si ponechá anonymné informácie o transakcii ako napríklad približná suma nákupu. Tieto informácie nie je možné spárovať s konkrétnym užívateľom a nikdy neobsahujú to, čo užívateľ kupoval.

Zabezpečenie platforiem Apple 95 Keď apka iniciuje platobnú transakciu Apple Pay, servery Apple Pay dostanú zo zariadenia šifrovanú transakciu ešte predtým, ako ju dostane obchodník. Servery Apple Pay transakciu pred presmerovaním obchodníkovi následne opätovne zašifrujú pomocou kľúča konkrétneho obchodníka.

Keď apka vyžiada platbu, vyvolá API s cieľom zistiť, či zariadenie podporuje Apple Pay a či má užívateľ kreditné alebo debetné karty, ktoré môžu vykonávať platby v platobnej sieti prijatej obchodníkom. Apka si vyžiada akékoľvek informácie, ktoré potrebuje na spracovanie a vyplnenie transakcie, ako sú fakturačná a doručovacia adresa a kontaktné údaje. Apka následne požiada iOS, iPadOS alebo watchOS o poskytnutie hárka Apple Pay, ktorý vyžaduje informácie pre apku, ako aj ďalšie nevyhnutné informácie, napríklad ktorá karta sa má použiť.

Apka má celý čas k dispozícii údaje o meste, štáte a PSČ, aby bolo možné vypočítať finálnu cenu. Apke nebude poskytnutý celý súbor vyžadovaných informácií, až kým užívateľ neautorizuje platbu pomocou Touch ID, Face ID alebo kódu zariadenia. Po autorizácii platby sa informácie prítomné v hárku Apple Pay prenesú obchodníkovi.

Autorizácia platieb v apke Keď užívateľ autorizuje platbu, vykoná sa spojenie so servermi Apple Pay s cieľom získať kryptografický element podobný hodnote vrátenej NFC terminálom, aký sa používa na transakcie v obchodoch. Element sa spolu s inými dátami transakcie odošle do Secure Elementu s cieľom vygenerovať prihlasovacie údaje platby, ktoré sú zašifrované pomocou kľúča Apple. Keď vyjdú zo Secure Elementu šifrované prihlasovacie údaje platby, odošlú sa na servery Apple Pay, ktoré ich dešifrujú, overia element v prihlasovacích údajoch voči elementu, ktorý bol pôvodne odoslaný servermi Apple Pay, a opätovne zašifrujú prihlasovacie údaje platby pomocou kľúča obchodníka priradeného k ID obchodníka. Platba sa následne vráti do zariadenia, ktoré ju poskytne apke cez API. Apka ju následne odošle do systému obchodníka na spracovanie. Obchodník môže následne dešifrovať prihlasovacie údaje platby na spracovanie pomocou svojho súkromného kľúča. Toto spolu s podpismi od serverov Apple umožňuje obchodníkovi overiť, že transakcia bola určená pre tohto konkrétneho obchodníka.

API vyžadujú oprávnenie, ktoré špecifikuje podporované ID obchodníka. Apka môže zahrnúť na odoslanie na podpis Secure Elementom aj ďalšie dáta (napríklad číslo objednávky alebo identita zákazníka), čím zaistí, že transakcia nebude presmerovaná inému užívateľovi. Vykonáva to vývojár apky, ktorý môže špecifikovať applicationData na PKPaymentRequest. Hash týchto dát sa zahrnie v šifrovaných dátach platby. Obchodník je následne zodpovedný za overenie, že jeho hash applicationData je zhodný s obsahom dát platby.

Platenie pomocou kreditných a debetných kariet na webe s Apple Pay Apple Pay je možné používať na vykonávanie platieb na webových stránkach pomocou iPhonu, iPadu a Apple Watch. Transakcie Apple Pay je možné začínať aj na Macu a dokončovať na iPhone alebo Apple Watch podporujúcich Apple Pay, ktoré používajú rovnaký iCloud účet.

Zabezpečenie platforiem Apple 96 Apple Pay na webe vyžaduje, aby boli všetky zúčastnené strany zaregistrované v Apple. Servery Apple vykonávajú overenie názvu domény a vydajú klientský certifikát TLS. Webové stránky podporujúce Apple Pay musia svoj obsah poskytovať cez HTTPS. Pre každú platobnú transakciu musia webové stránky získať od serverov Apple zabezpečenú a unikátnu reláciu obchodníka pomocou klientského certifikátu TLS vydaného spoločnosťou Apple. Dáta relácie obchodníka sú podpísané spoločnosťou Apple. Po overení podpisu relácie obchodníka môže webová stránka zisťovať, či má užívateľ zariadenie podporujúce Apple Pay a či v ňom má zaregistrovanú kreditnú, debetnú alebo predplatenú kartu. Nezdieľajú sa žiadne iné údaje. Ak užívateľ nechce zdieľať tieto informácie, môže v nastaveniach súkromia Safari v iOS, iPadOS a macOS vypnúť požiadavky Apple Pay.

Po overení relácie obchodníka budú všetky opatrenia zabezpečenia a súkromia rovnaké, ako keď užívateľ platí cez apku.

Ak užívateľ prenáša informácie týkajúce sa platieb z Macu na iPhone alebo Apple Watch, Apple Pay Handoff protokol Apple Identity Service (IDS) so šifrovaním medzi koncovými zariadeniami – Macom užívateľa a autorizujúcim zariadením. IDS používa na zašifrovanie kľúče užívateľského zariadenia, takže tieto údaje nedokáže dešifrovať žiadne iné zariadenie a ku kľúčom nemá prístup ani spoločnosť Apple. Rozpoznanie zariadenia pre Apple Pay Handoff obsahuje typ a unikátny identifikátor kreditných kariet užívateľa, spolu s niektorými metadátami. Číslo účtu konkrétneho zariadenia karty užívateľa sa nezdieľa a zostane bezpečne uchované na iPhone alebo Apple Watch užívateľa. Apple tiež zabezpečeným spôsobom prenáša nedávno použitú kontaktnú, doručovaciu a fakturačnú adresu užívateľa cez iCloud Kľúčenku.

Keď užívateľ autorizuje platbu pomocou Touch ID, Face ID, kódu alebo dvojitým stlačením bočného tlačidla Apple Watch, platobný token unikátne zašifrovaný do každého certifikátu webovej stránky obchodníka sa zabezpečeným spôsobom prenesie z iPhonu alebo Apple Watch užívateľa do jeho Macu a následne sa doručí na webovú stránku obchodníka.

Požiadavku môžu vykonať a platbu dokončiť len zariadenia nachádzajúce sa vo vzájomnej tesnej blízkosti. Ich fyzická vzdialenosť sa určuje pomocou oznámení Bluetooth Low Energy (BLE).

Bezkontaktné karty v Apple Pay Na prenos dát z takýchto podporovaných kariet do kompatibilných terminálov NFC využíva Apple protokol Apple Wallet Value Added Services (Apple VAS). Protokol VAS je možné implementovať na bezkontaktných termináloch a na komunikáciu s podporovanými Apple zariadeniami používa NFC. Protokol VAS pracuje na krátke vzdialenosti a môže sa používať na nezávislé platenie bezkontaktnými kartami alebo ako súčasť transakcií Apple Pay.

Po podržaní zariadenia v blízkosti terminálu NFC terminál iniciuje prijatie informácií karty tak, že odošle požiadavku na kartu. Ak má užívateľ kartu s identifikátorom poskytovateľa karty, bude vyzvaný na autorizáciu jej použitia pomocou Touch ID, Face ID alebo kódu. Informácie karty, časový údaj a jednorazový náhodný kľúč ECDH P-256 sa spolu s verejným kľúčom poskytovateľa karty použijú na derivovanie šifrovacieho kľúča pre dáta karty, ktoré sa odošlú do terminála.

V iOS 12 až iOS 13 môžu užívatelia pred priblížením k terminálu NFC manuálne vybrať, ktorú bezkontaktnú kartu chcú použiť. V iOS 13.1 alebo novších môžu poskytovatelia kariet manuálne skonfigurovať vybrané karty, či majú alebo nemajú vyžadovať autorizáciu užívateľom.

Zabezpečenie platforiem Apple 97 Znemožnenie použiteľnosti kariet pomocou Apple Pay Kreditné, debetné alebo predplatené karty pridané do Secure Elementu je možné používať, len ak bude Secure Elementu predložená autorizácia s využitím rovnakého párovacieho kľúča a hodnoty AR, ako keď bola karta pridaná. Pri prijatí novej hodnoty AR Secure Element označí všetky predtým pridané karty ako vymazané. OS to umožňuje inštruovať modul Secure Enclave, aby znemožnil používanie kariet tak, že ich kópiu AR označí ako neplatnú v nasledujúcich scenároch:

Metóda Zariadenie

Keď je vypnutý kód iPhone, iPad, Apple Watch

Keď je vypnuté heslo Mac

Užívateľ sa odhlási z iCloudu iPhone, iPad, Mac, Apple Watch

Užívateľ vyberie nastavenie Vymazať celý obsah iPhone, iPad, Apple Watch a nastavenia

Zariadenie sa obnoví z režimu zotavenia iPhone, iPad, Mac, Apple Watch

Odpárovanie Apple Watch

Pozastavenie, odstránenie a vymazanie kariet Užívatelia môžu pozastaviť Apple Pay na iPhone, iPade a Apple Watch tak, že svoje zariadenia uvedú do režimu Stratené pomocou funkcie Nájsť môj. Užívatelia majú tiež možnosť odstrániť a vymazať svoje karty z Apple Pay pomocou Nájsť môj, iCloud.com alebo priamo na zariadeniach pomocou apky Wallet. Na Apple Watch je možné odstraňovať karty pomocou nastavení iCloudu, apky Apple Watch na iPhone alebo priamo na hodinkách. Možnosť vykonávať platby na zariadení pomocou kariet bude pozastavená alebo dokonca odstránená z Apple Pay vydavateľom karty alebo príslušnou platobnou sieťou, dokonca aj keď je zariadenie offline a nepripojené k mobilnej či Wi-Fi sieti. Užívatelia môžu navyše zavolať svojmu vydavateľovi karty a požiadať o jej pozastavenie alebo odstránenie z Apple Pay.

Okrem toho keď užívateľ vymaže celé zariadenie pomocou príkazu Vymazať celý obsah a nastavenia, funkcie Nájsť môj alebo úplného obnovenia zariadenia, iOS, iPadOS a macOS zariadenia požiadajú Secure Element o označenie všetkých kariet ako vymazaných. Okamžite to bude mať za následok zmenu stavu kariet na nepoužiteľné, a to až do možnosti kontaktovania serverov Apple Pay, ktoré karty úplne vymažú zo Secure Elementu. Secure Enclave nezávisle na tom označí AR ako neplatné, takže ďalšie autorizácie platieb predtým zaregistrovaných kariet nebudú možné. Keď bude zariadenie opäť online, pokúsi sa kontaktovať servery Apple Pay s cieľom zaistiť, že všetky karty v Secure Elemente sú vymazané.

Apple Cash V iOS 11.2 alebo novšom a watchOS 4.2 alebo novšom je možné používať Apple Pay na iPhone, iPade alebo Apple Watch na odosielanie, prijímanie a vyžiadanie peňazí od iných užívateľov. Keď užívateľ dostane peniaze, pridajú sa do účtu Apple Cash, ku ktorému je prístup cez apku Wallet alebo cez Nastavenia > Wallet a Apple Pay na každom spôsobilom zariadení, v ktorom je užívateľ pripojený pomocou svojho Apple ID.

Zabezpečenie platforiem Apple 98 Ak chcete používať platby medzi osobami a Apple Cash, užívateľ musí byť pripojený k svojmu iCloud účtu na zariadení kompatibilnom s Apple Cash a mať na iCloud účte nastavenú dvojfaktorovú autentifikáciu.

Keď užívateľ nastavuje Apple Cash, rovnaké informácie, ako keď užívateľ pridáva kreditnú alebo debetnú kartu, sa môžu zdieľať s našou partnerskou bankou Green Dot Bank a spoločnosťou Apple Payments Inc., ktorá je dcérskou spoločnosťou v našom plnom vlastníctve a bola vytvorená s cieľom chrániť súkromie užívateľov uchovávaním a spracovávaním informácií oddelene od ostatných spoločností Apple a spôsobom, aký ostatné spoločnosti Apple nepoznajú. Tieto informácie sa používajú výlučne na riešenie problémov, predchádzanie podvodom a zákonom stanovené účely.

Požiadavky na poslanie peňazí a prevody medzi užívateľmi sa iniciujú z apky Správy alebo požiadaním Siri. Keď sa užívateľ pokúsi odoslať peniaze, iMessage zobrazí hárok Apple Pay. Najprv sa vždy použije zostatok Apple Cash. V prípade potreby sa ďalšie prostriedky stiahnu z druhej kreditnej alebo debetnej karty, ktorú užívateľ pridal v apke Wallet.

Karta Apple Cash v apke Wallet sa dá používať s Apple Pay na vykonávanie platieb v obchodoch, apkách a na webe. Peniaze v účte Apple Cash je možné prevádzať aj na bankový účet. Okrem prijímania peňazí od iných užívateľov je možné peniaze pridávať aj do účtu Apple Cash z kreditnej, debetnej alebo predplatenej karty v apke Wallet.

Spoločnosť Apple Payments Inc. uchováva dáta transakcií užívateľa a po dokončení transakcie ich môže používať na riešenie problémov, prechádzanie podvodom a na zákonom stanovené účely. Ostatné spoločnosti Apple nevedia, komu užívateľ poslal peniaze či od koho ich dostal, ani kde vykonal nákup s kartou Apple Cash.

Keď užívateľ pošle peniaze pomocou Apple Pay, pridá prostriedky na účet Apple Cash alebo ich prevedie na bankový účet, budú sa volať servery Apple Pay s cieľom získať kryptografický element, ktorý je podobný hodnote vrátenej v rámci apiek pre Apple Pay. Element sa spolu s inými dátami transakcie odošle do Secure Elementu s cieľom vygenerovať podpis platby. Keď podpis platby príde zo Secure Elementu, bude poskytnutý serverom Apple Pay. Autentifikácia, integrita a správnosť transakcie overujú servery Apple Pay cez podpis platby a element. Následne sa iniciuje peňažný prevod a užívateľ bude upovedomený o dokončenej transakcii.

Ak je súčasťou transakcie kreditná alebo debetná karta na pridávanie peňazí do Apple Cash, odosielanie peňazí inému užívateľovi alebo poskytovanie dodatočných peňazí v prípade, že je zostatok Apple Cash nedostatočný, takisto sa vytvoria zašifrované prihlasovacie údaje platby a odošlú sa na servery Apple Pay podobným spôsobom ako v prípade Apple Pay v rámci apiek a webových stránok.

Keď zostatok účtu Apple Cash prekročí istú sumu alebo ak sa zistí nezvyčajná aktivita, užívateľ bude vyzvaný na overenie svojej identity. Informácie poskytnuté na overenie identity užívateľa, ako napríklad číslo sociálneho poistenia alebo odpovede na otázky (povedzme zadanie názvu ulice, kde žil užívateľ v minulosti), sa zabezpečeným spôsobom prenesú partnerskej spoločnosti Apple a zašifrujú pomocou ich kľúča. Apple nedokáže tieto dáta dešifrovať.

Zabezpečenie platforiem Apple 99

Aplikácia Apple Card v apke Wallet V iOS 12.4 alebo novšom, macOS 10.14.6 alebo novšom, watchOS 5.3 alebo novšom sa môže Apple Card používať spolu s Apple Pay na vykonávanie platieb v obchodoch, apkách a na webe.

Ak chce užívateľ požiadať o Apple Card, musí byť pripojený k svojmu iCloud účtu na iOS alebo iPadOS zariadení kompatibilnom s Apple Pay a mať na iCloud účte nastavenú dvojfaktorovú autentifikáciu. Po schválení aplikácie bude Apple Cash dostupná v apke Wallet alebo cez Nastavenia > Wallet a Apple Pay na každom spôsobilom zariadení, v ktorom je užívateľ pripojený pomocou svojho Apple ID.

Pri žiadaní o Apple Card sa informácie o identite užívateľa zabezpečeným spôsobom overia poskytovateľom identity spoločnosti Apple a následne zdieľajú s bankou Goldman Sachs Bank USA s cieľom ohodnotenia identity a spôsobilosti na pôžičku.

Informácie ako napríklad číslo sociálneho poistenia alebo dokument totožnosti poskytnuté počas žiadosti sa zabezpečeným spôsobom prenášajú zašifrované a so svojimi príslušnými kľúčmi poskytovateľom identity (partnerom Apple) alebo banke Goldman Sachs Bank USA. Apple nedokáže tieto dáta dešifrovať.

Prichádzajúce informácie poskytnuté počas žiadosti a informácie o bankovom účte používanom na zúčtovanie platieb sa zabezpečeným spôsobom prenášajú zašifrované spolu so svojím kľúčom do banky Goldman Sachs Bank USA. Informácie o bankovom účte sa uložia v Kľúčenke. Apple nedokáže tieto dáta dešifrovať.

Pri pridávaní karty Apple Card do apky Wallet môžu byť s Goldman Sachs Bank USA, partnerskou bankou spoločnosti Apple, a spoločnosťou Apple Payments Inc. zdieľané rovnaké informácie, ako keď užívateľ pridáva kreditnú alebo debetnú kartu. Tieto informácie sa používajú len na riešenie problémov, predchádzanie podvodom a na zákonom stanovené účely.

Fyzickú kartu je možné objednať v časti Apple Card apky Wallet. Po prijatí fyzickej karty užívateľom sa karta aktivuje pomocou NFC značky v dvakrát preloženej obálke fyzickej karty. Značka je unikátna pre každú kartu a nedá sa použiť na aktiváciu ďalšej karty užívateľa. Prípadne je možné kartu aktivovať v nastaveniach Walletu. Užívateľ sa môže navyše rozhodnúť kedykoľvek zamknúť alebo odomknúť fyzickú kartu v apke Wallet.

Platby Apple Card a podrobnosti bezkontaktnej karty Apple Wallet Platby na vykonanie z účtu Apple Card je možné vykonávať z apky Wallet na iOS pomocou funkcie Apple Cash a bankového účtu. Platby za účty je možné naplánovať pomocou Apple Cash a bankového účtu na opakovanie alebo ako jednorazové platby v stanovenom dátume. Keď užívateľ vykoná platbu, uskutoční sa volanie na servery Apple Pay s cieľom získania kryptografického elementu podobného Apple Cash. Element sa spolu s podrobnosťami nastavenia platby odošle do Secure Elementu s cieľom vygenerovať podpis. Keď podpis platby príde zo Secure Elementu, bude poskytnutý serverom Apple Pay. Autentifikácia, integrita a správnosť platby sa overia prostredníctvom podpisu a elementu od serverov Apple Pay a objednávka sa prepošle na spracovanie banke Goldman Sachs Bank USA.

Zobrazenie podrobností čísla Apple Card pomocou apky Wallet v bezkontaktnej karte vyžaduje autentifikáciu užívateľa pomocou Face ID, Touch ID alebo kódu. Užívateľ ju môže nahradiť v sekcii informácií o karte, čím sa zakáže predošlá karta.

Zabezpečenie platforiem Apple 100 Dopravné karty v apke Wallet Na mnohých globálnych trhoch môžu užívatelia pridávať podporované dopravné karty do apky Wallet na podporovaných modeloch iPhonu a Apple Watch. V závislosti od dopravného operátora to možno vykonať prenesením dopravnej karty a jej hodnoty z fyzického nosiča na jej digitálnu reprezentáciu v Apple Wallet alebo obstaraním novej dopravnej karty do apky Wallet z inej apky Wallet alebo z apky vydavateľa dopravnej karty. Po pridaní dopravných kariet do apky Wallet môžu užívatelia cestovať tak, že jednoducho podržia iPhone alebo Apple Watch pri dopravnej čítačke. Niektoré karty je možné používať aj na vykonávanie platieb.

Pridané dopravné karty sú pridružené k iCloud účtu. Ak užívateľ pridá do apky Wallet viac ako jednu kartu, spoločnosť Apple alebo vydavateľ dopravnej karty môžu byť schopní prepojiť medzi obomi kartami osobné údaje užívateľa a príslušné údaje z účtu. Dopravné karty a transakcie sú chránené sadou hierarchických kryptografických kľúčov.

Počas procesu prevodu zostatku z fyzickej karty do apky Wallet musia užívatelia zadať údaje danej karty. Užívatelia môžu byť tiež povinní poskytnúť osobné údaje ako dôkaz, že sú vlastníkmi danej karty. Počas prenosu kariet z iPhonu do Apple Watch musia byť obe zariadenia online.

Zostatok je možné dopĺňať z prostriedkov z kreditnej, debetnej alebo predplatenej karty cez apku Wallet alebo z apky vydavateľa dopravnej karty. Zabezpečenie opätovného načítania zostatku pri používaní Apple Pay je popísané v téme Platenie pomocou kreditných a debetných kariet v apkách pomocou Apple Pay. Proces obstarávania dopravných kariet z apiek vydavateľov dopravných kariet je popísaný v téme Ako pridávať kreditné alebo debetné karty z apky vydavateľa.

Ak je podporované obstarávanie z fyzickej karty, vydavateľ dopravnej karty má kryptografické kľúče potrebné na autentifikáciu fyzickej karty a overenie dát zadaných užívateľom. Po overení dát môže systém vytvoriť Číslo účtu zariadenia pre Secure Element a novo pridanú bezkontaktnú kartu aktivovať v apke Wallet spolu s prevedeným zostatkom. V niektorých mestách sa po dokončení procesu obstarania z fyzickej karty táto karta znehodnotí.

Keď sa na konci ľubovoľného typu obstarávania zostatok dopravnej karty uloží na zariadení, zašifruje sa a uchová v na to určenom aplete v Secure Elemente. Dopravný operátor má kľúče na vykonanie kryptografických operácií s dátami karty na transakcie so zostatkom.

V predvolenom nastavení môžu užívatelia využívať bezproblémový systém expresných dopravných kariet, ktorý im umožňuje platiť a cestovať bez potreby Touch ID, Face ID alebo kódu. K informáciám ako nedávno navštívené stanice, história transakcií a dodatočné lístky je možné získať prístup cez najbližšiu čítačku bezkontaktných kariet, ktorá podporuje funkciu expresných dopravných kariet. Užívatelia môžu v nastaveniach Wallet a Apple Pay zakázať expresnú kartu, čím povolia požiadavku autorizácie cez Touch ID, Face ID alebo kód.

Rovnako ako v prípade iných kariet Apple Pay môžu užívatelia nasledujúcimi spôsobmi pozastaviť alebo odstrániť dopravné karty:

• Vzdialeným vymazaním zariadenia pomocou funkcie Nájsť môj

• Zapnutím režimu Stratené pomocou funkcie Nájsť môj • Príkazom vzdialeného vymazania správy mobilných zariadení (MDM) • Odstránením všetkých kariet zo stránky Apple ID účtu

Zabezpečenie platforiem Apple 101 • Odstránením všetkých kariet z iCloud.com • Odstránením všetkých kariet z apky Wallet • Odstránením karty z apky vydavateľa Servery Apple Pay upovedomia dopravného operátora, že má tieto karty pozastaviť alebo vypnúť. Ak užívateľ odstráni dopravnú kartu z online zariadenia, zostatok bude možné obnoviť tak, že sa opäť pridá do zariadenia prihláseného s rovnakým Apple ID. Ak je zariadenie offline, vypnuté alebo nepoužiteľné, obnovenie nemusí byť možné.

Kreditné a debetné karty na dopravu v apke Wallet V niektorých mestách dopravné čítačky prijímajú EMV karty na platenie za cestovanie verejnou dopravou, pokiaľ užívateľ priloží k týmto čítačkám kreditnú alebo debetnú kartu. Autentifikácia užívateľa je tu potrebná, tak ako je to popísané v téme Platenie pomocou kreditných a debetných kariet v obchodoch.

V iOS 12.3 alebo novšom je možné povoliť v apke Wallet niektoré existujúce EMV kreditné/ debetné karty ako expresné karty, čo užívateľovi umožňuje platiť za cestu u podporovaných dopravných operátorov bez potreby Touch ID, Face ID alebo kódu. Keď užívateľ obstará EMV kreditnú alebo debetnú kartu, prvá karta obstaraná v apke Wallet sa zapne ako expresná karta. Užívateľ môže klepnúť na tlačidlo Viac v prednej časti karty v apke Wallet a zakázať pre túto kartu funkciu expresnej karty prejdením na Nastavenia režimu Expresná doprava > Žiadne. Užívateľ si môže zvoliť cez apku Wallet inú kreditnú alebo debetnú kartu ako expresnú kartu. Na opätovné zapnutie expresnej karty alebo výber inej karty je potrebné použiť Touch ID, Face ID alebo kód.

Apple Card a Apple Cash sú spôsobilé fungovať ako expresné karty.

Študentské ID karty v apke Wallet V iOS 12 alebo novšom môžu študenti, fakulta a personál na participujúcich univerzitách na podporovaných modeloch iPhonov a Apple Watch pridávať svoje študentské ID karty do apky Wallet a mať tak prístup k rôznym miestam a platiť všade, kde sú ich karty podporované.

Študenti pridávajú svoje študentské ID karty do apky Wallet prostredníctvom apky poskytnutej vydavateľom karty alebo participujúcou školou. Technický proces, pri ktorom to prebieha, je rovnaký ako ten, ktorý bol popísaný v téme Ako pridávať kreditné alebo debetné karty z apky vydavateľa. Okrem toho musia vydávajúce apky podporovať dvojfaktorovú autentifikáciu účtov, ktoré chránia prístup k ich študentským ID. Kartu je možné nastaviť naraz na dvoch podporovaných Apple zariadeniach podpísaných rovnakým Apple ID.

Keď sa pridá do apky Wallet študentská ID karta, expresný režim sa zapne ako predvolený. Študentské ID karty v expresnom režime interagujú s podporovanými terminálmi bez Touch ID, Face ID, autentifikácie kódom, ako aj bez dvojitého stlačenia bočného tlačidla v Apple Watch. Užívateľ môže klepnúť na tlačidlo Viac v prednej časti karty v apke Wallet a vypnutím expresného režimu túto funkciu zakázať. Na opätovné zapnutie expresného režimu je potrebné použiť Touch ID, Face ID alebo kód.

Študentské ID karty je možné zakázať alebo odstrániť nasledujúcimi akciami:

• Vzdialeným vymazaním zariadenia pomocou funkcie Nájsť môj

Zabezpečenie platforiem Apple 102 • Zapnutím režimu Stratené pomocou funkcie Nájsť môj • Príkazom vzdialeného vymazania správy mobilných zariadení (MDM) • Odstránením všetkých kariet zo stránky Apple ID účtu • Odstránením všetkých kariet z iCloud.com • Odstránením všetkých kariet z apky Wallet • Odstránením karty z apky vydavateľa

iMessage

Prehľad apky iMessage Apple iMessage je komunikačná služba pre iOS a iPadOS zariadenia, Apple Watch a počítače Mac. iMessage podporuje textové správy a prílohy ako napríklad fotky, kontakty, lokalizácie, odkazy a prílohy priamo v správe, napríklad ikona palca. Správy sa zobrazujú na všetkým zariadeniach zaregistrovaných užívateľom, takže v konverzácii je možné pokračovať na ktoromkoľvek zariadení užívateľa. iMessage zásadným spôsobom využíva službu Apple Push Notification (APNs). Apple nezaznamenáva obsah správ ani príloh chránených šifrovaním medzi koncovými zariadeniami, takže prístup k nim nemá nikto okrem odosielateľa a prijímateľa. Apple nedokáže tieto dáta dešifrovať.

Keď užívateľ zapne na zariadení iMessage, zariadenie vygeneruje šifrovanie a podpisujúce páry kľúčov, ktoré sa budú na zariadení používať. Na šifrovanie sa používa 1280-bitový kľúč RSA a 256-bitový kľúč EC s krivkou NIST P-256. Na podpisovanie sa používajú 256-bitové podpisovacie kľúče ECDSA. Súkromné kľúče sa ukladajú v Kľúčenke zariadenia a sú dostupné len pri prvom odomknutí. Verejné kľúče sa odošlú do služby Apple Identity Service (IDS), kde sa spárujú s telefónnym číslom alebo emailovou adresou užívateľa, spolu s APN adresou zariadenia

Keď užívatelia povolia na používanie s iMessage dodatočné zariadenia, do adresárovej služby sa pridajú ich šifrovanie a podpisovacie verejné kľúče, APN adresy a pridružené telefónne čísla. Užívatelia môžu tiež pridávať ďalšie emailové adresy, ktoré sa overia odoslaním potvrdzujúceho odkazu. Telefónne čísla sa potvrdia pomocou siete a SIM karty operátora. Pri niektorých sieťach je na to potrebné použiť SMS (užívateľovi sa zobrazí potvrdzovacie dialógové okno v prípade, že hodnota SMS nie je nula). Pre niekoľko systémových služieb okrem iMessage ako napríklad FaceTime a iCloud môže byť takisto vyžadované overenie pomocou telefónneho čísla. Pri pridaní nového zariadenia, telefónneho čísla alebo emailovej adresy zobrazia všetky užívateľove zariadenia výstražnú správu.

Ako iMessage odosiela a prijíma správy Užívatelia začnú novú iMessage konverzáciu zadaním adresy alebo mena. Ak zadajú telefónne číslo alebo emailovú adresu, zariadenie kontaktuje službu identít (IDS) s cieľom získať verejné kľúče a APN adresy pre všetky zariadenia prepojené s daným príjemcom. Ak užívateľ zadá meno, zariadenie najprv použije apku Kontakty užívateľa s cieľom získať telefónne čísla a emailové adresy priradené k danému menu a následne získa verejné kľúče a APN adresy z IDS.

Zabezpečenie platforiem Apple 103 Vychádzajúce správy užívateľa sa šifrujú individuálne pre každé z užívateľských zariadení. Verejné šifrovacie a podpisovacie kľúče prijímajúcich zariadení sa získavajú z IDS. Pre každé prijímajúce zariadenie vygeneruje odosielajúce zariadenie náhodnú 88-bitovú hodnotu, ktorú použije ako kľúč HMAC-SHA256 s cieľom skonštruovať z verejného kľúča a obyčajného textu a odosielateľa 40-bitovú hodnotu. Zreťazenie 88-bitovej a 40-bitovej hodnoty vytvára 128-bitový kľúč, ktorý spolu so sebou zašifruje správy v režime CTR s použitím AES. 40-bitová hodnota sa používa na strane príjemcu na overenie dešifrovaného čistého textu. AES kľúč pre konkrétnu správu je zašifrovaný pomocou RSA- OAEP do verejného kľúča prijímajúceho zariadenia. Kombinácia textu zašifrovanej správy a kľúča zašifrovanej správy sa následne zhashuje s SHA-1 a hash bude podpísaný ECDSA pomocou súkromného podpisovacieho kľúča zariadenia. Od iOS 13 a iPadOS 13.1 môžu zariadenia používať šifrovanie ECIES namiesto RSA.

Výsledné správy – jedna pre každé prijímajúce zariadenie – pozostávajú zo zašifrovaného textu správy, kľúča zašifrovanej správy a digitálneho podpisu odosielateľa. Následne sa odošlú do APN na doručenie. Metadáta, ako napríklad časový údaj a smerovacie informácie pre APN, nie sú šifrované. Komunikácia s APN je šifrovaná TLS kanálom typu forward- secret.

APN dokážu presmerovať len správy do veľkosti 4 kB alebo 16 kB v závislosti od verzie iOS alebo iPadOS. Ak je text správy príliš dlhý alebo ak je priložená príloha ako napríklad fotka, príloha sa zašifruje pomocou AES v režime CTR s náhodne vygenerovaným 256-bitovým kľúčom a odošle sa do iCloudu. AES pre prílohu, jeho identifikátor Uniform Resource Identifier (URI) a SHA-1 hash jej zašifrovanej verzie sa následne odošlú príjemcovi ako obsah iMessage, pričom jej dôvernosť a integrita budú chránené bežným šifrovaním iMessage, tak ako je to znázornené v nasledujúcom diagrame.

Ako iMessage odosiela a prijíma správy.

Zabezpečenie platforiem Apple 104 V prípade skupinových konverzácií sa tento proces zopakuje pre každého príjemcu a jeho zariadenia.

Na strane príjemcu každé zariadenie získa svoju kópiu od APN a v prípade potreby dostane prílohu z iCloudu. Prichádzajúce telefónne číslo alebo emailová adresa odosielateľa sa spáruje s kontaktmi príjemcu, aby sa dalo prípadne zobraziť meno.

Rovnako ako pri push hláseniach sa správa po doručení vymaže z APN. Na rozdiel od iných hlásení APN sa však iMessage správy zaradia do poradia na doručenie pre zariadenia offline. Správy sú uchovávané po dobu 30 dní.

Zdieľanie mien a fotiek v iMessage Zdieľanie mien a fotiek v iMessage umožňuje užívateľom zdieľať mená a fotky pomocou apky iMessage. Užívateľ môže vybrať informácie z vizitky Ja alebo si prispôsobiť meno a zahrnúť akýkoľvek obrázok podľa svojho výberu. Zdieľanie mien a fotiek v iMessage používa na distribúciu mena a fotky dvojstupňový systém.

Dáta sa podrozdelia do polí, pričom každé z nich bude zašifrované a autentifikované samostatne a ďalej autentifikované spolu počas procesu vysvetleného nižšie. Sú tu tri polia:

• Meno • Fotka • Názov súboru fotky Prvým krokom vytvárania dát je náhodné vygenerovanie 128-bitového kľúča na zariadení. Tento kľúč záznamu sa následne derivuje pomocou HKDF-HMAC-SHA256 s cieľom vytvorenia troch podkľúčov: Kľúč 1:Kľúč 2:Kľúč 3 = HKDF(record key, “nicknames”). Pre každé pole sa vygeneruje náhodný 96-bitový IV a dáta sa zašifrujú pomocou AES- CTR a Kľúča 1. Následne sa vypočíta kód autentifikácie správy (MAC) s HMAC-SHA256 pomocou Kľúča 2 a zahrnie názov poľa, pole IV a text šifry poľa. Následne sa zostava jednotlivých MAC hodnôt zreťazí a vypočíta sa ich MAC s HMAC-SHA256 pomocou Kľúča 3. 256-bitová MAC sa uchováva spolu so šifrovanými dátami. Prvých 128 bitov tejto MAC sa používa ako RecordID.

Tento zašifrovaný záznam sa následne uchová vo verejnej databáze CloudKitu pod položkou RecordID. Tento záznam sa nikdy nemutuje, a keď sa užívateľ rozhodne zmeniť svoje meno a fotku, zakaždým sa vygeneruje nový zašifrovaný záznam. Keď sa užívateľ 1 rozhodne zdieľať svoje meno a fotku s užívateľom 2, kľúč záznamu sa odošle spolu s položkou recordID vo vnútri objemu dát iMessage, ktorý je šifrovaný.

Keď zariadenie užívateľa 2 prijme objem dát iMessage, zistí, že objem dát obsahuje recordID prezývky a fotku a kľúč. Zariadenie užívateľa 2 následne použije verejnú CloudKit databázu na získanie zašifrovaného mena a fotky pod ID záznamu a odošle ich do iMessage.

Po ich prijatí zariadenie užívateľa 2 dešifruje objem dát a overí podpis pomocou samotného recordID. V prípade úspešného overenia sa užívateľovi 2 zobrazí meno a fotka a môže sa rozhodnúť pridať ich do svojich kontaktov alebo ich použiť pre Správy.

Zabezpečenie platforiem Apple 105 Zákaznícky čet Zákaznícky čet je služba na komunikáciu správami, ktorá umožňuje užívateľom komunikovať s firmami pomocou apky Správy. Konverzáciu môžu iniciovať len užívatelia a firma dostane od užívateľa len nezrozumiteľný identifikátor. Firma nezíska od užívateľa telefónne číslo, emailovú adresu ani informácie o jeho iCloud účte. Keď užívateľ konverzuje s Apple, spoločnosť Apple dostane ID zákazníckeho četu pridružené k Apple ID užívateľa. Užívatelia majú kontrolu nad tým, či chcú komunikovať. Vymazaním konverzácie Zákazníckeho četu sa odstráni z apky Správy a daná firma bude mať zablokované odosielanie ďalších správ tomuto užívateľovi.

Správy odosielané danej firme sú individuálne šifrované medzi zariadením užívateľa a komunikačnými servermi Apple. Komunikačné servery Apple tieto správy dešifrujú a presmerujú ich do danej firmy cez TLS. Podobne sa odosielajú cez TLS odpovede do komunikačných serverov Apple, ktoré následne opätovne zašifrujú správy do zariadenia užívateľa. Rovnako ako pri iMessage sa správy zaraďujú do poradia pre zariadenia offline maximálne na 30 dní.

FaceTime FaceTime je služba na vykonávanie audio a video hovorov spoločnosti Apple. Podobne ako pri iMessage, aj hovory FaceTime využívajú na vytvorenie počiatočného pripojenia so zariadeniami, na ktorých je zaregistrovaný užívateľ, službu Apple Push Notification (APN). Audio/video obsah FaceTime hovorov je chránený šifrovaním medzi koncovými zariadeniami, takže prístup k nim nemá nikto okrem odosielateľa a prijímateľa. Apple nedokáže tieto dáta dešifrovať.

Počiatočné FaceTime pripojenie sa vytvára pomocou infraštruktúry serverov Apple, ktorá presmeruje dátové pakety medzi zaregistrovanými zariadeniami užívateľov. Zariadenia overia svoje certifikáty identity pomocou hlásení APN a správ Session Traversal Utilities for NAT (STUN) cez presmerované pripojenie a následne vytvoria pre každú reláciu zdieľaný kľúč. Zdieľaný kľúč sa použije na derivovanie kľúčov relácie pre mediálne kanály streamované pomocou protokolu Secure Real-time Transport Protocol (SRTP). SRTP pakety sú šifrované pomocou AES-256 v režime počítadla a HMAC-SHA1. Následne po počiatočnom pripojení a bezpečnostnom nastavení FaceTime používa na vytvorenie pripojenia so šifrovaním medzi koncovými zariadeniami STUN a Internet Connectivity Establishment (ICE), pokiaľ je to možné.

Skupinový FaceTime rozširuje FaceTime na podporu až 33 súbežných účastníkov. Rovnako ako pri klasických hovoroch FaceTime medzi dvomi užívateľmi sú tieto hovory takisto šifrované medzi koncovými zariadeniami pozvaných užívateľov. Hoci skupinový FaceTime preberá veľkú časť infraštruktúry a dizajnu FaceTime hovorov medzi dvoma užívateľmi, skupinové FaceTime hovory používajú nový mechanizmus vytvárania kľúčov, ktorý je postavený na autenticite poskytovanej službou identít (IDS). Tento protokol poskytuje štandard forward secrecy, čo znamená, že obsah predošlých hovorov neunikne ani v prípade úspešného útoku na zariadenie užívateľa. Kľúče relácie sú zabalené pomocou AES-SIV a distribuujú sa medzi účastníkov pomocou konštrukcie ECIES pomocou prechodných kľúčov P-256 ECDH.

Keď sa do prebiehajúceho skupinového FaceTime hovoru pridá nové číslo alebo emailová adresa, aktívne zariadenia vytvoria nové kľúče médií a nikdy nebudú zdieľať predtým použité kľúče s novo pozvanými zariadeniami.

Zabezpečenie platforiem Apple 106 Nájsť

Prehľad služby Nájsť Apka Nájsť kombinuje apky Nájsť môj iPhone a Nájsť priateľov do jednej apky v systémoch iOS, iPadOS a macOS. Služba Nájsť dokáže pomôcť užívateľom nájsť stratené zariadenia, dokonca aj offline Mac. Online zariadenie dokáže jednoducho nahlásiť užívateľovi svoju polohu cez iCloud. Ak je zariadenie offline, služba Nájsť vysiela z tohto zariadenia Bluetooth signály krátkeho dosahu, ktoré dokážu zachytiť iné Apple zariadenia používané v jeho blízkosti. Okolité zariadenia potom prenášajú polohu chýbajúceho zariadenia do iCloudu, takže užívatelia ho môžu nájsť v apke Nájsť. Súkromie a bezpečnosť všetkých zainteresovaných užívateľov sú po celý čas chránené. Služba Nájsť funguje dokonca aj na Macu, ktorý je offline a zároveň spí.

Vďaka používaniu technológie Bluetooth a stovkám miliónov iOS, iPadOS a macOS zariadení aktívne používaných na celom svete, môže užívateľ lokalizovať stratené zariadenie, aj keď sa nedokáže pripojiť k Wi-Fi alebo mobilnej sieti. Ako „zariadenie nálezcu“ môže fungovať každé iOS, iPadOS alebo macOS zariadenie s povoleným „offline hľadaním“ v nastaveniach Nájsť môj. Znamená to, že zariadenie dokáže rozpoznať prítomnosť iného strateného zariadenia v stave offline pomocou technológie Bluetooth a následne použiť svoje sieťové pripojenie na nahlásenie vlastníkovi jeho približnej lokalizácie. Keď má zariadenie zapnuté offline hľadanie, znamená to tiež, že ho môžu nájsť rovnakým spôsobom aj iní účastníci. Celá táto interakcia je šifrovaná medzi koncovými zariadeniami, anonymná a navrhnutá tak, aby bola šetrná voči batérii a prenosu dát, takže má minimálny vplyv na životnosť batérie a spotrebu v rámci programu mobilných dát, a takisto je chránené súkromie užívateľa.

Poznámka: Služba Nájsť nemusí byť dostupná vo všetkých krajinách alebo oblastiach.

Šifrovanie medzi koncovými zariadeniami (E2EE) v apke Nájsť Apka Nájsť je postavená na základe kryptografie pokročilého verejného kľúča. Keď je v nastaveniach apky Nájsť povolené offline hľadanie, súkromný šifrovací kľúč EC P-224 {d,P} sa vygeneruje priamo na zariadení, pričom d je súkromný kľúč a P verejný kľúč.

Navyše sa tajný 256-bitový SK0 a počítadlo i inicializujú na nulu. Tento pár súkromných kľúčov sa nikdy neodošle do spoločnosti Apple a synchronizuje sa len medzi inými zariadeniami užívateľa. Navyše je šifrovaný medzi koncovými zariadeniami pomocou iCloud

Kľúčenky. Tajný prvok a počítadlo slúžia na derivovanie aktuálneho symetrického kľúča SKi

pomocou tejto rekurzívnej konštrukcie: SKi = KDF(SKi-1, “update”)

Na základe kľúča SKi sa dve celé čísla ui a vi vypočítajú s (ui,vi) = KDF(SKi, “diversify”). Obe súčasti P-224, súkromný kľúč označený d a príslušný verejný kľúč označovaný ako P, sa následne derivujú pomocou afinného vzťahu obsahujúceho dané dve celé čísla a vypočítajú

krátkodobý pár kľúčov: derivovaný súkromný kľúč je di, kde di = ui * d + vi (modulo poradie

krivky P-224) a príslušná verejná časť je Pi a overuje Pi = ui*P + vi*G.

Zabezpečenie platforiem Apple 107 Keď sa zariadenie stratí a nemôže sa pripojiť k Wi-Fi alebo mobilnej sieti – napríklad MacBook zabudnutý na lavičke v parku – začne pravidelne na obmedzený čas vysielať

v objeme dát Bluetooth derivovaný verejný kľúč Pi. Používaním P-224 sa reprezentácia verejného kľúča môže zmestiť do jedného objemu dát Bluetooth. Okolité zariadenia môžu následne pomôcť v nájdení offline zariadenia tak, že zašifrujú svoju lokalizáciu do verejného kľúča. Približne každých 15 minút sa verejný kľúč nahradí novým, ktorý je odvodený pomocou vyššie popísaného procesu využívajúceho zvýšenú hodnotu počítadla, takže užívateľa nie je možné sledovať na základe trvalého identifikátora. Derivačný

mechanizmus zabraňuje, aby mohli byť rôzne verejné kľúče Pi pridružené k rovnakému zariadeniu.

Lokalizovanie stratených zariadení v apke Nájsť Všetky Apple zariadenia v dosahu Bluetooth, ktoré majú zapnuté offline hľadanie, dokážu

tento signál rozpoznať a prečítať aktuálny vysielací kľúč Pi. Zariadenia, ktoré nájdu stratené zariadenie, zašifrujú svoju aktuálnu polohu a presmerujú tieto informácie spoločnosti

Apple pomocou konštrukcie ECIES a verejného kľúča Pi z vysielania. Zašifrovaná poloha je priradená k indexu servera, čo sa vypočítava ako hash SHA-256 verejného kľúča P-224

Pi získaného z objemu dát Bluetooth. Spoločnosť Apple nikdy nemá dešifrovací kľúč a nedokáže prečítať polohu zašifrovanú nálezcom. Vlastník strateného zariadenia dokáže rekonštruovať index a dešifrovať zašifrovanú polohu.

Ako apka Nájsť lokalizuje zariadenia.

Zabezpečenie platforiem Apple 108 Pri pokuse o nájdenie strateného zariadenia sa na obdobie hľadania jeho polohy odhadne očakávaný rozsah hodnôt počítadla. Vďaka znalosti pôvodného súkromného kľúča P-224 d

a tajných hodnôt SKi v rozsahu hodnôt počítadla obdobia hľadania môže následne vlastník

rekonštruovať sadu hodnôt {di, SHA-256(Pi)} na celé obdobie hľadania. Vlastník zariadenia použitého na nájdenie strateného zariadenia môže následne odoslať požiadavky na server

pomocou súpravy indexových hodnôt SHA-256(Pi) a stiahnuť zo servera zašifrované polohy. Apka Nájsť následne lokálne dešifruje zašifrované polohy pomocou zhodných súkromných

kľúčov di a zobrazí v apke približnú polohu strateného zariadenia. Hlásenia o polohe z viacerých zariadení-nálezcov sa skombinujú v apke vlastníka a vygenerujú presnejšiu polohu.

Ako získa vlastník polohu zariadenia z apky Nájsť.

Ak má užívateľ na svojom zariadení zapnutú funkciu Nájsť môj iPhone, offline hľadanie je povolené v predvolenom nastavení po upgradovaní zariadenia na iOS 13, iPadOS 13.1 a macOS 10.15. Týmto sa zaistí, že každý užívateľ má najlepšiu možnú šancu lokalizovať svoje zariadenie v prípade jeho straty. Ak sa však užívateľ kedykoľvek rozhodne nepoužívať túto funkciu, offline hľadanie môže vypnúť v nastaveniach apky Nájsť na svojom zariadení. Keď je offline hľadanie vypnuté, zariadenie už nefunguje ako nálezca ani nie je nájditeľné inými zariadeniami-nálezcami. Užívateľ však bude môcť naďalej nájsť svoje zariadenie, pokiaľ sa toto bude môcť pripojiť k Wi-Fi alebo mobilnej sieti.

Udržiavanie užívateľov a zariadení v anonymite v apke Nájsť Okrem zaistenia, že lokalizačné informácie a ďalšie dáta sú plne šifrované, zostáva identita účastníkov dôverná jednak medzi nimi samými, ako aj voči spoločnosti Apple. Komunikácia odosielaná spoločnosti Apple zariadeniami-nálezcami neobsahuje v hlavičkách žiadne informácie na autentifikáciu. Vďaka tomu Apple nevie, kto je nálezcom ani koho zariadenie bolo nájdené. Apple navyše nezaznamenáva informácie, ktoré by mohli odhaliť identitu nálezcu, a neuchováva žiadne informácie, ktoré by komukoľvek umožnili spojiť nálezcu a vlastníka. Vlastník zariadenia dostane len zašifrované lokalizačné informácie, ktoré sa dešifrujú a zobrazia v apke Nájsť bez akejkoľvek informácie o tom, kto zariadenie našiel.

Zabezpečenie platforiem Apple 109 Zobrazenie offline zariadení v apke Nájsť Keď sa podarí lokalizovať stratené zariadenie, užívateľ dostane hlásenie a emailovú správu s oznámením, že zariadenie bolo nájdené. Ak chce užívateľ zobraziť lokalizáciu strateného zariadenia, otvorí apku Nájsť a vyberie kartu Zariadenia. Namiesto zobrazenia zariadenia na prázdnej mape, ako by to bolo pred jeho nájdením, zobrazí Nájsť lokalizáciu na mape s približnou adresou a informáciou, ako dávno bolo zariadenie zistené. Ak sa získajú ďalšie hlásenia, aktuálna poloha a časový údaj sa budú automaticky aktualizovať. Hoci užívateľ nemôže na offline zariadení vzdialene prehrať zvuk ani ho vymazať, môže tieto lokalizačné informácie použiť na odsledovanie svojho pohybu, pri ktorom zariadenie stratil, ako aj vykonať ďalšie opatrenia na jeho znovuzískanie.

Kontinuita

Prehľad Kontinuity Kontinuita využíva technológie ako iCloud, Bluetooth a Wi-Fi a umožňuje užívateľom pokračovať vo vykonávaní činností pri prechode z jedného zariadenia na druhé, telefonovať, odosielať a prijímať textové správy a zdieľať mobilné internetové pripojenie.

Handoff Keď sú blízko seba iOS, iPadOS a macOS zariadenia užívateľa, vďaka Handoffu môže užívateľ automaticky preniesť to, na čom pracuje z jedného zariadenia na druhé. Handoff umožňuje užívateľovi prechádzať medzi zariadeniami a okamžite pokračovať v práci.

Keď sa užívateľ prihlási do iCloudu na druhom zariadení podporujúcom Handoff, obe zariadenia vytvoria pripojenie Bluetooth Low Energy (BLE) 4.2 s párovaním mimo pásma pomocou APN. Jednotlivé správy sa budú šifrovať podobne ako správy v iMessage. Po spárovaní zariadení každé z nich vygeneruje symetrický 256-bitový kľúč AES, ktorý sa uchováva v Kľúčenke užívateľa. Tento kľúč dokáže zašifrovať a autentifikovať BLE oznámenia, ktorými sa komunikuje aktuálna aktivita zariadenia iným zariadeniam spárovaným cez iCloud pomocou AES-256 v režime GCM s opatreniami na ochranu proti opakovateľnosti.

Keď zariadenie po prvýkrát dostane oznámenie z nového kľúča, vytvorí BLE pripojenie so zariadením-pôvodcom a vykoná výmenu šifrovacích kľúčov oznámenia. Toto pripojenie je zabezpečené pomocou štandardného šifrovania BLE 4.2, ako aj šifrovania jednotlivých správ podobného spôsobu šifrovania iMessage. V niektorých situáciách sa tieto správy odosielajú pomocou APN a nie BLE. Objem dát aktivity je chránený rovnakým spôsobom ako iMessage.

Handoff medzi natívnymi apkami a webovými stránkami Handoff umožňuje natívnym apkám iOS, iPadOS alebo macOS pokračovať v aktivite užívateľa na webovej stránke pri doménach, ktoré sú legitímne pod kontrolou vývojára apky. Umožňuje tiež pokračovať v aktivite užívateľa v natívnej apke vo webovom prehliadači.

Zabezpečenie platforiem Apple 110 Apka musí preukázať legitímnu kontrolu nad webovou doménou, s ktorou chce pokračovať, aby sa dalo zabrániť snahe natívnych apiek pokračovať s webovými stránkami, ktoré nie sú pod kontrolou ich vývojára. Kontrola nad doménou webovej stránky sa vytvorí pomocou mechanizmu pre zdieľané prihlasovacie údaje webov. Podrobnosti nájdete v článku Prístup apiek k uloženým kódom. Predtým, ako systém povolí apke prijať aktivitu užívateľa cez Handoff, musí overiť kontrolu tejto apky nad názvom jej domény.

Zdrojom Handoffovej webovej stránky môže byť akýkoľvek prehliadač, ktorý prijal API Handoffu. Keď užívateľ prezerá webovú stránku, systém oznámi názov jej domény v šifrovaných bajtoch Handoff oznámenia. Bajty oznámenia dokážu dešifrovať len ďalšie zariadenia užívateľa.

Na prijímajúcom zariadení systém zistí, že nainštalovaná natívna apka prijíma Handoff z oznámeného názvu domény, a zobrazí ikonu tejto natívnej apky ako možnosť Handoffu. Po spustení získa natívna apka plnú URL a názov webovej stránky. Z prehliadača natívnej apky sa neprenesú žiadne iné informácie.

V opačnom smere môže natívna apka špecifikovať náhradnú URL v prípade, že zariadenie prijímajúce Handoff nemá nainštalovanú rovnakú natívnu apku. V takom prípade systém zobrazí predvolený prehliadač užívateľa ako možnosť apky Handoffu (pokiaľ daný prehliadač prijal API Handoffu). V prípade požiadavky o Handoff sa prehliadač spustí a dostane náhradnú URL poskytnutú zdrojovou apkou. Nie je tu žiadna požiadavka, že náhradná URL sa musí obmedziť na názvy domén kontrolované vývojárom natívnej apky.

Preberanie väčších dát cez Handoff Okrem používania základnej funkcie Handoffu môžu niektoré apky používať API, ktoré podporujú odosielanie väčšieho množstva dát cez Wi-Fi technológiu medzi koncovými zariadeniami od spoločnosti Apple (podobným spôsobom ako AirDrop). Napríklad apka Mail používa tieto API na podporu Handoff preberania konceptov emailových správ, ktoré môžu obsahovať veľké prílohy.

Keď apka používa túto funkciu, výmena medzi dvomi zariadeniami sa začína rovnako ako v Handoffe. Avšak po prijatí prvotného objemu dát pomocou technológie Bluetooth Low Energy (BLE) prijímajúce zariadenie spustí nové pripojenie cez Wi-Fi. Toto pripojenie bude šifrované (pomocou TLS) a budú si vymieňať certifikáty identít iCloud. Identita v certifikátoch sa overí v zmysle identity užívateľa. Cez toto šifrované pripojenie sa budú odosielať ďalšie dáta objemu dát, až do dokončenia prenosu.

Univerzálna schránka Univerzálna schránka využíva Handoff na zabezpečený prenos obsahu schránky užívateľa medzi zariadeniami, takže môže položky kopírovať a vkladať z jedného zariadenia na druhé. Obsah je chránený rovnakým spôsobom ako ostatné dáta Handoffu a v predvolenom nastavení sa zdieľa pomocou Univerzálnej schránky, pokiaľ sa vývojár nerozhodne toto zdieľanie zakázať.

Apky majú prístup k dátam schránky bez ohľadu na to, či užívateľ vložil obsah schránky do danej apky. Vďaka univerzálnej schránke sa prístup týchto dát rozširuje aj na iné zariadenia (určené ich prihlásením do ich iCloudu).

Zabezpečenie platforiem Apple 111 Presmerovanie mobilných hovorov iPhonu Ak je Mac, iPad, iPod touch alebo HomePod užívateľa na rovnakej Wi-Fi sieti ako jeho iPhone, tieto zariadenia môžu vykonávať a prijímať telefónne hovory pomocou mobilného pripojenia na iPhone. Konfigurácia vyžaduje, aby boli zariadenia prihlásené do iCloudu a FaceTimu pomocou rovnakého účtu Apple ID.

Pri prichádzajúcom hovore o tom budú upovedomené všetky skonfigurované zariadenia pomocou služby Apple Push Notification (APN), pričom každé takéto oznámenie používa rovnaké šifrovanie medzi koncovými zariadeniami ako iMessage. Zariadenia, ktoré sú na rovnakej sieti, zobrazia užívateľské rozhranie hlásenia o prichádzajúcom hovore. Po reakcii na hovor sa audio signál bezproblémovo prenáša z iPhonu užívateľa pomocou zabezpečeného pripojenia medzi koncovými zariadeniami.

Po prijatí hovoru na jednom zo zariadení spárovaných cez iCloud je zvonenie okolitých zariadení zastavené krátkym oznamovacím signálom cez nízkoenergetické rozhranie Bluetooth (BLE) 4.0. Bajty oznamovacieho signálu sú šifrované rovnakou metódou ako bajty oznámení funkcie Handoff.

Odchádzajúce hovory sa takisto presmerujú na iPhone pomocou APN a audio sa podobným spôsobom prenáša cez zabezpečené spojenie medzi koncovými zariadeniami. Užívatelia môžu zakázať presmerovanie hovorov na zariadení tak, že vypnú možnosť Mobilné hovory na iPhone v nastaveniach FaceTime.

Presmerovanie textových správ iPhonu Služba Presmerovanie správ automaticky odosiela SMS správy prijaté na iPhone na zaregistrovaný iPad, iPod touch alebo Mac užívateľa. Každé zariadenie musí byť prihlásené do služby iMessage pomocou rovnakého účtu Apple ID. Keď je Presmerovanie správ zapnuté, registrácia je automatická na zariadeniach v rámci kruhu dôveryhodnosti užívateľa, musí byť však zapnutá dvojfaktorová autentifikácia. Inak sa registrácia overí na každom zariadení zadaním náhodného šesťciferného číselného kódu vygenerovaného iPhonom.

Po prepojení zariadení iPhone zašifruje prichádzajúce SMS správy a prepošle ich do každého zariadenia s využitím metód popísaných v prípade iMessage. Odpovede sa odošlú späť do iPhonu pomocou rovnakej metódy a následne iPhone odošle odpoveď ako textovú správu pomocou mechanizmu prenosu SMS správ operátora. Presmerovanie správ je možné zapnúť alebo vypnúť v nastaveniach apky Správy.

Instant Hotspot iOS a iPadOS zariadenia podporujúce funkciu Instant Hotspot používajú na vyhľadávanie a komunikáciu so všetkými zariadeniami, ktoré sú prihlásené do rovnakého iCloud účtu alebo účtov používaných s Rodinným zdieľaním (v systéme iOS 13 a iPadOS), nízkoenergetické rozhranie Bluetooth (BLE). Kompatibilné počítače Mac s OS X 10.10 alebo novším používajú rovnakú technológiu na objavovanie iOS a iPadOS zariadení s funkciou Instant Hotspot a komunikáciu s nimi.

Keď užívateľ prejde na zariadení do nastavení Wi-Fi, zariadenie začne vysielať BLE hlásenie obsahujúce identifikátor, na ktorom sa zhodujú všetky zariadenia prihlásené do rovnakého iCloud účtu. Tento identifikátor sa generuje z DSID (Destination Signaling Identifier), ktorý je pripútaný k iCloud účtu a ktorý sa pravidelne rotuje. Keď sú v blízkosti iné zariadenia prihlásené do rovnakého iCloud účtu, ktoré podporujú funkciu Osobný hotspot, zistia tento signál a odpovedajú oznámením dostupnosti na používanie funkcie Instant Hotspot.

Zabezpečenie platforiem Apple 112 Keď si užívateľ, ktorý nie je členom rodinného zdieľania, vyberie pre osobný hotspot iPhone alebo iPad, do daného zariadenia sa odošle požiadavka na zapnutie osobného hotspotu. Požiadavka sa odošle cez pripojenie šifrované pomocou BLE šifrovania a požiadavka je zašifrovaná podobným spôsobom, aký využíva na šifrovanie iMessage. Zariadenie následne odpovie cez rovnaké BLE pripojenie pomocou rovnakého šifrovania pre konkrétnu správu s informáciami pripojenia osobného hotspotu.

Informácie o pripojení k osobnému hotspotu sú s užívateľmi, ktorí sú členmi rodinného zdieľania, zabezpečeným spôsobom zdieľané pomocou podobného mechanizmu, aký na synchronizáciu informácií používajú HomeKit zariadenia. Konkrétne je spojenie, prostredníctvom ktorého sú informácie o hotspote zdieľané medzi užívateľmi, zabezpečené pomocou prechodného kľúča ECDH (Curve25519) autentifikovaného pomocou príslušných verejných kľúčov Ed25519 špecifických pre zariadenia jednotlivých užívateľov. Tieto verejné kľúče boli vopred synchronizované medzi členmi rodinného zdieľania pomocou služby IDS pri vytvorení rodinného zdieľania.

Zabezpečenie platforiem Apple 113 Zabezpečenie sietí

Prehľad zabezpečenia sietí Okrem vstavaných zabezpečení používa spoločnosť Apple na ochranu dát uložených na Apple zariadeniach mnoho opatrení, ktoré môžu používať organizácie na zabezpečenie informácií pri ich prenose do zariadenia a z neho. Všetky tieto zabezpečenia a opatrenia sú súčasťou zabezpečenia sietí.

Užívatelia musia byť schopní mať prístup ku korporátnym sieťam kdekoľvek na svete, takže je dôležité zaistiť, že sú na to autorizovaní a že ich dáta sú počas prenosov chránené. Na splnenie týchto bezpečnostných cieľov iOS, iPadOS a macOS zariadenia integrujú pre Wi-Fi a mobilné dátové pripojenia overené technológie a najnovšie štandardy. Práve preto naše operačné systémy používajú štandardné sieťové protokoly pre overenú, autorizovanú a šifrovanú komunikáciu, a poskytujú k nim prístup aj vývojárom.

Zabezpečenie sietí TLS iOS, iPadOS a macOS podporujú štandard Transport Layer Security (TLS v1.0, TLS v1.1, TLS v1.2, TLS v1.3) a Datagram Transport Layer Security (DTLS). TLS protokol podporuje AES-128 aj AES-256 a preferuje šifrové zostavy s možnosťou forward secrecy. Internetové apky ako napríklad Safari, Kalendár, Mail automaticky používajú tento protokol na povolenie kanála šifrovanej komunikácie medzi zariadením a sieťovými zariadeniami. API vysokej úrovne (napríklad CFNetwork) vývojárom uľahčujú používať v ich apkách TLS, zatiaľ čo API nízkej úrovne (Network.framework) poskytujú ďalej doladenú ochranu. CFNetwork nepovoľuje SSLv3 a apky, ktoré používajú WebKit (napríklad Safari), majú zakázané vytvárať SSLv3 pripojenie.

V iOS 11 alebo novšom a macOS 10.13 alebo novšom sa už certifikáty SHA-1 pre pripojenia TLS nepovoľujú, pokiaľ nie sú pre užívateľa dôveryhodné. Nepovolené sú aj kľúče RSA kratšie ako 2048 bitov. Symetrická šifrová zostava RC4 je v iOS 10 a macOS 10.12 neodporúčaná. V predvolenom nastavení klienti TLS alebo servery implementované s API SecureTransport nemajú povolené šifrové zostavy RC4 a nedokážu sa pripojiť v prípade, že jedinou dostupnou šifrovou zostavou je RC4. Na zvýšenie zabezpečenia by mali byť služby alebo apky vyžadujúce RC4 upgradované na používanie moderných a bezpečných šifrových zostáv. V iOS 12.1 musia byť pred povolením pripojení TLS certifikáty vydané po 15. októbri 2018 zaznamenávané od koreňového certifikátu s dôveryhodnosťou od systému v dôveryhodnom denníku Certificate Transparency. V iOS 12.2 je TLS 1.3 povolené v predvolenom nastavení pre API Network.framework a NSURLSession APIs. Klienti TLS používajúci API SecureTransport nemôžu používať TLS 1.3.

Zabezpečenie platforiem Apple 114 Zabezpečenie transportu apiek Zabezpečenie transportu apiek poskytuje predvolené požiadavky na pripojenie, aby apky dodržiavali pre zabezpečené pripojenia pri používaní API NSURLConnection, CFURL alebo NSURLSession overené postupy. V predvolenom nastavení Zabezpečenie transportu apiek obmedzuje výber šifier tak, aby boli možné len zostavy poskytujúce forward secrecy, a to konkrétne: ECDHE_ECDSA_AES a ECDHE_RSA_AES v režime GCM alebo CBC. Apky môžu zakázať požiadavku forward secrecy podľa domény, pričom v takomto prípade sa RSA_AES pridá do sady dostupných šifier.

Servery musia podporovať TLS v1.2 a forward secrecy a certifikáty musia byť platné a podpísané pomocou štandardu SHA-256 alebo silnejšieho a minimálne 2048-bitovým kľúčom RSA alebo 256-bitovým kľúčom eliptickej krivky.

Sieťové pripojenia, ktoré nespĺňajú tieto požiadavky, zlyhajú okrem prípadov, keď Zabezpečenie transportu apiek prepíše daná apka. Neplatné certifikáty majú vždy za následok tvrdé zlyhanie a absenciu spojenia. Zabezpečenie transportu apiek sa automaticky používa na apky, ktoré sú kompilované pre iOS 9 alebo novší a macOS 10.11 alebo novší.

Kontrola platnosti certifikátov Overovanie dôveryhodnosti certifikátov TLS sa vykonáva v súlade s overenými štandardmi tohto odvetvia, tak ako je to uvedené v normách RFC 5280, a využíva vytvárané normy, ako napríklad RFC 6962 (Certificate Transparency). V iOS 11 alebo novšom a macOS 10.13 alebo novšom sa zariadenia Apple pravidelne aktualizujú o aktuálny zoznam odvolaných a obmedzených certifikátov. Tento zoznam sa vytvára zo zoznamov odvolaných certifikátov (CRL), ktoré zverejňuje každá vstavaná koreňová certifikačná autorita, ktorú spoločnosť Apple považuje za dôveryhodnú, ako aj ich podradení vydavatelia CA. Zoznam môže obsahovať aj ďalšie obmedzenia podľa rozhodnutia spoločnosti Apple. Tieto informácie sa konzultujú vždy, keď sa sieťová funkcia API použije na vytvorenie zabezpečeného pripojenia. Keď pochádza od CA príliš veľa odvolaných certifikátov na to, aby mohli byť uvádzané jednotlivo, hodnotenie dôveryhodnosti môže namiesto toho vyžadovať odpoveď o stave certifikátu (OCSP), a keď odpoveď nie je dostupná, hodnotenie dôveryhodnosti zlyhá.

Siete typu Virtual Private Network (VPN) Zabezpečené sieťové služby ako napríklad virtuálne privátne siete väčšinou potrebujú na spoluprácu s iOS, iPadOS a macOS zariadeniami len minimálne nastavenie a konfiguráciu. Tieto zariadenia pracujú so servermi VPN, ktoré podporujú tieto protokoly a metódy overenia:

• IKEv2/IPSec s overením pomocou zdieľaného tajomného elementu, certifikátov RSA, certifikátov ECDSA, EAP-MSCHAPv2 alebo EAP-TLS • SSL-VPN s použitím príslušnej klientskej apky z App Store • L2TP/IPSec s overením užívateľa pomocou hesla a overením zariadenia pomocou zdieľaného tajomného elementu MS-CHAPV2 (iOS, iPadOS a macOS) a RSA SecurID alebo CRYPTOCard (len macOS)

Zabezpečenie platforiem Apple 115 • Cisco IPSec s overením užívateľa pomocou hesla, RSA SecurID alebo CRYPTOCard a overenie zariadenia pomocou zdieľaného tajomného elementu a certifikátov (len macOS) iOS, iPadOS a macOS podporujú nasledujúce:

• VPN na požiadanie: Pre siete, ktoré vyžadujú overenie pomocou certifikátov. Pravidlá IT určujú, ktoré domény vyžadujú pripojenie VPN pomocou konfiguračného profilu VPN. • Per App VPN: Na uľahčenie pripojení VPN na oveľa detailnejšom základe. Riešenia správy mobilných zariadení (MDM) dokážu určiť pripojenie pre každú spravovanú apku a v Safari aj pre konkrétne domény. Pomáha to zaistiť, že zabezpečené dáta vždy prichádzajú aj vychádzajú z korporačnej siete, a že osobné užívateľské dáta nie. • Vždy zapnuté VPN: Konfigurácia je možná v prípade zariadení spravovaných cez riešenie MDM a pod dozorom apky Apple Configurator 2, Apple School Manager alebo Apple Business Manager. Odstraňuje sa tým pre užívateľov potreba zapnúť VPN s cieľom ochrany počas pripájania k mobilným a Wi-Fi sieťam. Always-on VPN poskytuje organizácii plnú kontrolu nad komunikáciou zariadenia tak, že presmeruje celú IP komunikáciu späť do organizácie. Predvolený smerovací protokol IKEv2 zabezpečuje prenos informácií pomocou šifrovania dát. Organizácia môže monitorovať a filtrovať komunikáciu zo svojich zariadení a do nich, zabezpečiť dáta v rámci svojej siete a obmedziť prístup zariadenia na internet.

Zabezpečenie Wi-Fi

Zabezpečenie protokolov Všetky platformy Apple podporujú tieto overovacie a šifrovacie protokoly Wi-Fi sietí na zabezpečenie overeného prístupu a utajenia pri pripájaní k zabezpečeným bezdrôtovým sieťam:

• WPA2 Personal • WPA2 Enterprise • WPA2/WPA3 Transitional • WPA3 Personal • WPA3 Enterprise

• WPA3 Enterprise 192-bitové zabezpečenie Každé pripojenie overujú WPA2 a WPA3 a 128-bitové šifrovanie AES zaručuje dôvernosť dát pri bezdrôtovom prenose. Užívateľom to poskytuje najvyššiu úroveň istoty, že ich dáta sú pri odosielaní a prijímaní komunikácie cez sieťové pripojenie Wi-Fi chránené. WPA3 je podporované na týchto zariadeniach:

• iPhone 7 alebo novší • iPad 5. generácia alebo novší • Apple TV 4K alebo novšie • alebo novšie • Počítače Mac z konca roka 2013 a novšie podporujúce siete 802.11ac alebo novšie

Zabezpečenie platforiem Apple 116 Novšie zariadenia podporujú overenie pomocou 192-bitového zabezpečenia WPA3 Enterprise vrátane podpory pre 256-bitové šifrovanie v prípade pripájania ku kompatibilným prístupovým bodom. Poskytuje to ešte vyššiu ochranu dôverných informácií odosielaných cez bezdrôtové siete. 192-bitové zabezpečenie WPA3 Enterprise je podporované na iPhone 11, iPhone 11 Pro, iPhone 11 Pro Max a novších verziách iOS a iPadOS zariadení.

Okrem ochrany dát odosielaných cez bezdrôtové siete platformy Apple rozširujú ochranu na úrovni WPA2 a WPA3 pre správu jednosmerových a viacsmerových rámcov cez službu Protected Management Frame (PMF) definovanú štandardom 802.11w. Podpora pre PMF je dostupná na týchto zariadeniach:

• iPhone 6 alebo novší • iPad Air 2 alebo novší • Apple TV 4. generácia (alebo novšie) • Apple Watch series 3 alebo novšie • Počítače Mac z konca roka 2013 a novšie podporujúce siete 802.11ac alebo novšie Vďaka podpore pre 802.1X je možné zariadenia Apple integrovať so širokou škálou overovacích prostredí RADIUS. Medzi podporované metódy bezdrôtového overenia 802.1X patria EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0 a PEAPv1.

Zastarané protokoly Produkty Apple podporujú tieto zastarané protokoly Wi-Fi pre overenie a šifrovanie:

• WEP Open so 40-bitovým a 104-bitovým kľúčom • WEP Shared so 40-bitovým a 104-bitovým kľúčom • Dynamic WEP • Temporal Key Integrity Protocol (TKIP) • WPA • WPA/WPA2 Transitional Tieto protokoly už nie sú považované za bezpečné a ich používanie zásadne neodporúčame z dôvodu kompatibility, spoľahlivosti, výkonnosti a bezpečnosti. Sú podporované len za účelom spätnej kompatibility a v budúcich softvérových verziách môže byť táto podpora odstránená.

Zásadne odporúčame, aby všetky implementácie sietí Wi-Fi prešli na štandard WPA3 Personal alebo WPA3 Enterprise a používali tak čo najrobustnejšie, najbezpečnejšie a najkompatibilnejšie Wi-Fi pripojenie.

Zabezpečenie platforiem Apple 117 Súkromie Wi-Fi

Randomizácia MAC adries Platformy Apple používajú počas vyhľadávania Wi-Fi sietí randomizovanú adresu Media Access Control (MAC), keď nie sú pridružené k žiadnej Wi-Fi sieti. Takéto vyhľadávanie je možné vykonávať s cieľom nájdenia a pripojenia k známej Wi-Fi sieti alebo pomoci pre lokalizačné služby pre apky využívajúce geofence ako napríklad pripomienky založené na polohe alebo úprava polohy v Apple Mapách. Wi-Fi vyhľadávania, ktoré prebehnú počas pokusu o pripojenie k preferovanej Wi-Fi sieti, nie sú randomizované.

Platformy Apple používajú randomizované MAC adresy aj pri vykonávaní vyhľadávania typu Preferred Network Offload (ePNO) v prípade, že zariadenie nie je pridružené k žiadnej Wi-Fi sieti alebo je jeho procesor v stave spánku. ePNO vyhľadávania sa spúšťajú, keď zariadenie používa geofence ako napríklad pripomienky založené na polohe, ktoré zisťujú, či sa zariadenie nachádza v blízkosti konkrétnej polohy.

Keďže MAC adresa zariadenia sa takto po odpojení z Wi-Fi siete mení, nie je možné ju použiť na trvalé sledovanie zariadenia pasívnymi pozorovateľmi Wi-Fi komunikácie, a to dokonca aj keď je zariadenie pripojené k mobilnej sieti. Spoločnosť Apple informovala výrobcov zariadení Wi-Fi, že vyhľadávania Wi-Fi na iOS a iPadOS zariadeniach používajú randomizované MAC adresy a že spoločnosť Apple ani výrobcovia nedokážu tieto randomizované MAC adresy zisťovať.

Podpora randomizácie MAC adries na Wi-Fi sieťach je dostupná na iPhonoch 5 alebo novších.

Randomizácia čísel sekvencií Wi-Fi rámov Wi-Fi rámy obsahujú číslo sekvencie používané protokolom nízkej úrovne 802.11 na povolenie efektívnej a spoľahlivej Wi-Fi komunikácie. Keďže tieto čísla sekvencií sa pri každom prenesenom ráme navýšia, dajú sa používať na korelovanie informácií prenesených počas vyhľadávaní Wi-Fi s inými rámami prenesenými rovnakým zariadením.

S cieľom ochrany pred takýmito praktikami Apple zariadenia pri každej zmene MAC adresy na novú randomizovanú adresu zároveň randomizujú čísla sekvencií. Znamená to aj randomizáciu čísel sekvencií pre každú novú požiadavku na vyhľadávanie, ktorá bola začatá, keď ešte zariadenie nebolo pridružené. Táto randomizácia je podporovaná na týchto zariadeniach:

• iPhone 7 alebo novší • iPad 5. generácia alebo novší • Apple TV 4K alebo novšie • Apple Watch series 3 alebo novšie • iMac Pro (Retina 5K, 27-palcový, 2017) alebo novší • MacBook Pro (13-palcový, 2018) alebo novší • MacBook Pro (15-palcový, 2018) alebo novší • MacBook Air (Retina, 13-palcový, 2018) alebo novší • (2018) alebo novší • iMac (Retina 4K, 21,5-palcový, 2019) alebo novší

Zabezpečenie platforiem Apple 118 • iMac (Retina 5K, 27-palcový, 2019) alebo novší • (2019) alebo novší

Wi-Fi pripojenia a skryté siete

Pripojenia Apple generuje randomizované MAC adresy pre pripojenia Peer-to-Peer Wi-Fi používané pre AirDrop a AirPlay. Randomizované adresy sa používajú aj pre osobný hotspot na iOS a iPadOS zariadeniach (s kartou SIM) a zdieľanie internetu na macOS.

Nové, náhodné adresy sa generujú vždy pri spustení týchto sieťových rozhraní a pre každé rozhranie sa podľa potreby vygenerujú unikátne adresy.

Skryté siete Wi-Fi sa identifikujú podľa ich názvu siete známeho ako Service Set Identifier (SSID). Niektoré Wi-Fi siete sú skonfigurované tak, aby skrývali svoje SSID, takže prístupový bod nevysiela ich názov. Tieto siete sú známe ako skryté. iPhone 6s a novšie modely automaticky zisťujú, že sieť je skrytá. Ak je sieť skrytá, iOS alebo iPadOS zariadenie odošle vyhľadávaciu požiadavku, v ktorej je zahrnuté SSID – a nie inak. Týmto sa zariadeniu zakáže vysielanie názvu inak skrytých sietí, ku ktorým bol užívateľ pripojený, čím sa ďalej zvyšuje súkromie.

S cieľom minimalizácie tohto problému so súkromím, aký predstavujú skryté siete, iPhone 6s a novšie modely automaticky zisťujú, či je sieť skrytá. Ak je sieť skrytá, iOS alebo iPadOS zariadenie vo svojej vyhľadávacej požiadavke nezahrnie SSID. Vďaka tomu zariadenie nebude vysielať názvy už známych skrytých sietí a tým zaistí, že neodhalí fakt, že tieto siete vyhľadáva.

Ochrany platformy Operačné systémy Apple poskytujú sieťovým ovládačom vrátane Wi-Fi ovládačov obmedzený prístup k pamäti procesora apiek, s cieľom ochrany zariadenia pred zraniteľnosťami vo firmvéri sieťových procesorov.

• Keď sa na rozhranie so sieťovým procesorom používa USB alebo SDIO, sieťový procesor nemôže iniciovať do procesora apiek transakcie typu Direct Memory Access (DMA).

• Keď sa používa PCIe, každý sieťový procesor je na vlastnej izolovanej zbernici PCIe. IOMMU na každej zbernici PCIe ešte viac obmedzuje prístup procesora DMA výlučne k pamäti a zdrojom obsahujúcim jeho sieťové pakety a ovládacie štruktúry.

Zabezpečenie Bluetooth V zariadeniach Apple sú dva typy Bluetooth sietí – Bluetooth Classic a Bluetooth Low Energy (BLE). Bezpečnostný model Bluetooth pre obe verzie obsahuje tieto špecifické vlastnosti:

• Párovanie: Proces vytvárania jedného alebo viacerých zdieľaných tajných kľúčov • Pripútavanie: Činnosť uloženia kľúčov vytvorených počas párovania na ich použitie počas následných pripojení, s cieľom vytvoriť dôveryhodný pár zariadení. • Autentifikácia: Overenie, že obe zariadenia majú rovnaké kľúče

Zabezpečenie platforiem Apple 119 • Šifrovanie: Dôvernosť správ • Integrita správ: Ochrana pred falšovaním správ • Zabezpečené jednoduché párovanie: Ochrana pred pasívnym odpočúvaním a pred útokmi typu man-in-the-middle (MITM) Bluetooth verzia 4.1 pridala do fyzického transportu BR/EDR funkciu Secure Connections.

Bezpečnostné funkcie pre každý typ pripojenia Bluetooth sú uvedené nižšie:

Podpora Bluetooth Classic Bluetooth Low Energy

Párovanie Eliptická krivka P-256 Algoritmy schválené FIPS (AES- CMAC a eliptická krivka P-256)

Pripútavanie Párovacie informácie sa ukladajú na Párovacie informácie sa ukladajú na iOS, iPadOS, macOS, tvOS a watch​ iOS, iPadOS, macOS, tvOS a watch​ OS zariadeniach v zabezpečenom OS zariadeniach v zabezpečenom umiestnení umiestnení

Autentifikácia Algoritmy schválené FIPS (HMAC- Algoritmy schválené FIPS SHA-256 a AES-CTR)

Šifrovanie Kryptografia AES-CCM vykonávaná Kryptografia AES-CCM vykonávaná v ovládači v ovládači

Integrita správ Na integritu správ sa používa AES- Na integritu správ sa používa AES- CCM CCM

Zabezpečené jednoduché Elliptic Curve Diffie-Hellman Elliptic Curve Diffie-Hellman párovanie: Ochrana pred pasívnym Exchange (Diffieho-Hellmanova Exchange (Diffieho-Hellmanova odpočúvaním metóda výmeny kľúčov s využitím metóda výmeny kľúčov s využitím eliptických kriviek, ECDHE) eliptických kriviek, ECDHE)

Zabezpečené jednoduché Dve číselné metódy so Dve číselné metódy so párovanie: Ochrana pred útokmi zaangažovaním užívateľa: zaangažovaním užívateľa: typu man-in-the-middle (MITM) porovnanie čísel alebo zadanie kódu porovnanie čísel alebo zadanie kódu Párovania vyžadujú reakciu užívateľa vrátane všetkých režimov iných ako MITM

Bluetooth 4.1 alebo novší iMac z konca roka 2015 alebo novší iOS 9 alebo novší MacBook Pro zo začiatku roka 2015 iPadOS 13.1 alebo novší alebo novší macOS 10.12 alebo novší tvOS 9 alebo novší watchOS​ 2.0 alebo novší

Bluetooth 4.2 alebo novší iPhone 6 alebo novší iOS 9 alebo novší iPadOS 13.1 alebo novší macOS 10.12 alebo novší tvOS 9 alebo novší watchOS​ 2.0 alebo novší

Súkromie režimu Bluetooth Low Energy BLE používa na zaistenie súkromia užívateľa nasledujúce dve funkcie – randomizáciu adries a medzitransportnú deriváciu kľúča.

Zabezpečenie platforiem Apple 120 Randomizácia adries je funkcia, ktorá znižuje možnosť sledovať BLE zariadenie v istom časovom úseku tak, že pravidelne mení adresu Bluetooth zariadenia. Ak sa chce zariadenie využívajúce funkciu súkromia opäť pripojiť k známym zariadeniam, jeho adresa známa ako súkromná adresa musí byť druhým zariadením zistiteľná. Súkromná adresa sa generuje pomocou kľúča rozpoznávania identity (IRK), ktorý sa vymení počas procedúry párovania.

iOS 13 a iPadOS 13.1 sú schopné derivovať spájacie kľúče v rámci transportov. Napríklad spájací kľúč generovaný BLE sa môže použiť na derivovanie spájacieho kľúča režimu Bluetooth Classic. Okrem toho spoločnosť Apple pridala Bluetooth Classic do podpory BLE pre zariadenia s funkciou Secured Connections, ktorá bola uvedená do Bluetooth Core Specification 4.1 (pozri Bluetooth Core Specification 5.1).

Technológia Ultra Wideband Nový procesor U1 vyvinutý spoločnosťou Apple‑používa technológiu Ultra Wideband na priestorové zisťovanie, vďaka čomu dokáže iPhone 11, iPhone 11 Pro a iPhone 11 Pro Max presne lokalizovať ďalšie Apple zariadenia s procesormi U1. Technológia Ultra Wideband používa na randomizáciu dát rovnakú technológiu, aká sa nachádza v iných podporovaných Apple zariadeniach:

• Randomizácia MAC adries ako v ostatných podporovaných Apple zariadeniach • Randomizácia čísel sekvencií Wi-Fi rámov

Jednorazové prihlásenie

Jednorazové prihlásenie iOS a iPadOS zariadenia podporujú overovanie v podnikových sieťach pomocou jednotlivého prihlásenia Single sign-on (SSO). SSO spolupracuje so sieťami na báze Kerberos a overuje užívateľov v službách, ku ktorým majú oprávnený prístup. SSO je možné používať na rôzne sieťové aktivity, od zabezpečených relácií Safari až po apky tretích strán. Podporovaná je aj autentifikácia na základe certifikátov (ako napríklad PKINIT).

macOS podporuje autentifikáciu v podnikových sieťach pomocou technológie Kerberos. Apky môžu používať Kerberos na overovanie užívateľov v službách, ku ktorým majú oprávnený prístup. Kerberos je možné používať aj na rôzne sieťové aktivity, od zabezpečených relácií Safari a autentifikácie sieťového súborového systému až po apky tretích strán. Je podporovaná autentifikácia na základe certifikátov (PKINIT), no vyžaduje sa prijatie API vývojára danou apkou.

iOS, iPadOS a macOS SSO využívajú na spoluprácu s autentifikačnými bránami Kerberos a systémami Windows Integrated Authentication podporujúcimi tikety Kerberos, tokeny SPNEGO a negociačný protokol HTTP. Podpora SSO je založená na projekte otvorených zdrojov Heimdal.

V iOS, iPadOS a macOS sú podporované tieto typy šifrovania:

• AES-128-CTS-HMAC-SHA1-96 • AES-256-CTS-HMAC-SHA1-96 • DES3-CBC-SHA1 • ARCFOUR-HMAC-MD5

Zabezpečenie platforiem Apple 121 Safari podporuje SSO a apky tretích strán, ktoré používajú štandardné sieťové API z iOS a iPadOS, je takisto možné skonfigurovať tak, aby mohli SSO používať. Na konfiguráciu SSO používajú iOS a iPadOS objem dát konfiguračného profilu, ktorý umožňuje riešeniam správy mobilných zariadení (MDM) uplatniť potrebné nastavenia. Patrí sem hlavné meno užívateľa (teda užívateľský účet Active Directory) a nastavenia sféry Kerberos, ako aj skonfigurovanie, ktoré apky a URL web adresy Safari budú mať povolené používanie SSO.

V macOS je na konfiguráciu Kerberosu potrebné získať tikety pomocou Ticket Vieweru, prihlásiť sa do domény Windows Active Directory alebo použiť nástroj príkazového riadka kinit.

Rozšíriteľné Jednotlivé prihlásenie Vývojári apiek môžu poskytnúť svoju vlastnú implementáciu jednotlivého prihlásenia pomocou rozšírení SSO. Rozšírenia SSO sa použijú, keď nejaká natívna alebo webová apka potrebuje použiť niektorého poskytovateľa identity na overenia užívateľa. Vývojári môžu poskytnúť dva typy rozšírení: tie, ktoré presmerujú na HTTPS, a tie, ktoré používajú mechanizmus výzvy/odpovede, ako napríklad Kerberos. Umožňuje to schémam autentifikácie OpenID, OAuth, SAML2 a Kerberos, aby boli podporované rozšíriteľným jednotlivým prihlásením.

Ak chcete používať rozšírenie jednotlivého prihlásenia, apka môže použiť buď API AuthenticationServices alebo sa môže spoliehať na mechanizmus zachytenia URL ponúkaný operačným systémom. WebKit a CFNetwork poskytujú vrstvu zachytenia, ktorá umožňuje bezproblémovú podporu jednorazového prihlásenia na akejkoľvek natívnej alebo WebKit apke. Na použitie rozšírenia jednotlivého prihlásenia musí byť nainštalovaná konfigurácia poskytnutá správcom cez profil správy mobilných zariadení (MDM). Okrem toho musia rozšírenia typu presmerovania používať objem dát Priradené domény, aby mohli dokázať, že server identity, ktorý podporujú, si je vedomý ich existencie.

Jediné rozšírenie poskytované s operačným systémom je rozšírenie SSO Kerberos.

Zabezpečenie AirDropu Apple zariadenia, ktoré podporujú AirDrop, používajú na odosielanie súborov a informácií zariadeniam v blízkosti (vrátane iOS zariadení s iOS 7 alebo novším a počítačov Mac s OS X 10.11 s funkciou AirDrop) technológiu Bluetooth Low Energy (BLE) a Wi-Fi technológiu pripojenia peer-to-peer od spoločnosti Apple. Vysielač Wi-Fi slúži na priamu komunikáciu medzi zariadeniami bez použitia internetového pripojenia alebo bezdrôtového prístupového bodu (AP). V macOS je takéto pripojenie šifrované pomocou TLS.

AirDrop je predvolene nastavený na zdieľanie Len s kontaktmi. Užívatelia si tiež môžu vybrať používanie AirDropu na zdieľanie s kýmkoľvek alebo úplne funkciu vypnúť. Organizácie môžu obmedziť používanie AirDropu pre zariadenia alebo apky pod dohľadom pomocou riešenia správy mobilných zariadení (MDM).

Fungovanie AirDropu AirDrop používa služby iCloud s cieľom pomôcť užívateľom pri autentifikácii. Keď sa užívateľ prihlási do iCloudu, na zariadení sa uloží 2048-bitová identita RSA, a keď užívateľ povolí AirDrop, vytvorí sa krátka identita AirDrop na základe emailových adries a telefónnych čísel pridružených k Apple ID užívateľa.

Zabezpečenie platforiem Apple 122 Keď užívateľ vyberie ako metódu zdieľania nejakej položky AirDrop, odosielajúce zariadenie vyšle cez rozhranie BLE signál AirDrop, ktorý obsahuje krátky hash identity AirDrop užívateľa. Iné Apple zariadenia, ktoré sa nachádzajú v blízkosti a ktoré nie sú v režime spánku a majú zapnutý AirDrop, signál rozpoznajú a v režime peer-to-peer Wi-Fi odpovedia, takže odosielajúce zariadenie dokáže rozpoznať identitu každého odpovedajúceho zariadenia.

V režime Len kontakty sa prijatý krátky hash identity AirDrop porovná s hashmi ľudí v apke Kontakty prijímajúceho zariadenia. Ak sa nájde zhoda, prijímajúce zariadenie odpovie cez peer-to-peer Wi-Fi so svojimi informáciami o identite. Ak sa nenájde zhoda, zariadenie neodpovie.

V režime Ktokoľvek sa použije rovnaký všeobecný proces. Prijímajúce zariadenie však odpovie aj v prípade, ak sa v apke Kontakty zariadenia nenájdu žiadne zhody.

Odosielajúce zariadenie následne iniciuje AirDrop pripojenie pomocou peer-to-peer Wi-Fi, a pomocou tohto pripojenia odošle prijímajúcemu zariadeniu dlhý hash identity. Ak je dlhý hash identity zhodný s hashom osoby známej v Kontaktoch prijímateľa, prijímajúci odpovie takisto dlhými hashmi identity.

Ak sa hashe overia, v AirDrop hárku zdieľania odosielateľa sa zobrazí rodné meno a fotka prijímateľa (ak sa nachádzajú v Kontaktoch). V iOS a iPadOS sa zobrazia v sekcii „Ľudia“ alebo „Zariadenia“. Zariadenia, ktoré nebudú overené alebo autentifikované, sa zobrazia v AirDrop hárku zdieľania s ikonou siluety a názvom zariadenia, tak ako je to definované v Nastaveniach > Všeobecné > Informácie > Názov. V iOS a iPadOS sú nahradené sekciou „Ostatní ľudia“ v AirDrop hárku zdieľania.

Odosielajúci užívateľ si následne môže vybrať, s kým chce zdieľať. Po výbere užívateľa odosielajúce zariadenie iniciuje šifrované (TLS) pripojenie s prijímajúcim zariadením, s ktorým si vymení iCloud certifikáty identity. Identita v certifikáte sa overí s apkou Kontakty každého užívateľa.

V prípade overenia certifikátov bude prijímajúci užívateľ vyzvaný na prijatie prichádzajúceho prenosu od identifikovaného užívateľa alebo zariadenia. Ak boli vybraní viacerí prijímatelia, tento proces sa zopakuje pre každú destináciu.

Zdieľanie hesiel Wi-Fi iOS a iPadOS zariadenia, ktoré podporujú zdieľanie hesiel Wi-Fi, využívajú na odosielanie Wi-Fi hesiel z jedného zariadenia na druhé mechanizmus podobný AirDropu.

Keď užívateľ vyberie Wi-Fi sieť (žiadateľ) a bude vyzvaný na zadanie Wi-Fi hesla, Apple zariadenie spustí oznámenie typu Bluetooth Low Energy (BLE), ktoré oznamuje, že potrebuje Wi-Fi heslo. Ďalšie Apple zariadenia, ktoré sú zobudené, nachádzajú sa v tesnej blízkosti a majú heslo pre vybranú Wi-Fi sieť, sa pripoja k žiadajúcemu zariadeniu pomocou BLE.

Zariadenie, ktoré má Wi-Fi heslo (poskytovateľ), si od žiadateľa vyžiada informácie z apky Kontakty a žiadateľ bude musieť dokázať svoju identitu pomocou podobného mechanizmu ako v AirDrope. Po dokázaní identity odošle poskytovateľ heslo, ktoré je následne možné použiť na pripojenie k danej sieti.

Organizácie môžu obmedziť používanie zdieľania hesla Wi-Fi pre zariadenia alebo apky pod dohľadom pomocou riešenia správy mobilných zariadení (MDM).

Zabezpečenie platforiem Apple 123 Firewall v macOS macOS obsahuje vstavaný firewall na ochranu Macu pred sieťovým prístupom a útokmi typu denial-of-service. Dá sa skonfigurovať v paneli predvolieb Bezpečnosť a súkromie v Systémových nastaveniach, a podporuje nasledujúce konfigurácie:

• Blokovanie všetkých prichádzajúcich pripojení bez ohľadu na dané apky • Automatické povolenie vstavanému softvéru prijímať prichádzajúce pripojenia • Automatické povolenie stiahnutému a podpísanému softvéru prijímať prichádzajúce pripojenia • Pridanie alebo odmietnutie prístupu podľa apiek špecifikovaných užívateľom • Zabránenie Macu odpovedať na pokusy ICMP a požiadavky na skenovanie portov

Zabezpečenie platforiem Apple 124 Vývojárske sady

Prehľad vývojárskych sád Spoločnosť Apple poskytuje rôzne frameworky, ktoré vývojárom tretích strán umožňujú rozširovať služby Apple. Tieto frameworky kladú dôraz na zabezpečenie a súkromie užívateľov. Sú to:

• HomeKit • HealthKit • CloudKit • SiriKit • DriverKit • ReplayKit • Kamera a ARKit

HomeKit

Identita v HomeKite HomeKit poskytuje infraštruktúru na automatizáciu domácnosti, ktorá na ochranu a synchronizáciu súkromných dát tak, aby ich spoločnosť Apple nedokázala odhaliť, využíva zabezpečenie iCloudu a systémov iOS, iPadOS a macOS.

Zabezpečenie HomeKitu a identita v HomeKite sú založené na pároch verejných a súkromných kľúčov Ed25519. Pár kľúčov Ed25519 pre HomeKit sa generuje na iOS, iPadOS a macOS zariadení pre každého užívateľa a stane sa jeho identitou v HomeKite. Používa sa na autentifikáciu komunikácie medzi iOS, iPadOS a macOS zariadeniami a komunikácie medzi iOS, iPadOS a macOS zariadeniami a príslušenstvom.

Kľúče, ktoré sú uložené v Kľúčenke a ktoré sú zahrnuté len v zašifrovaných zálohách Kľúčenky, sa synchronizujú medzi zariadeniami pomocou iCloud Kľúčenky, keď je táto služba dostupná. HomePod a Apple TV získavajú kľúče pomocou postupu „tap-to-setup“ (nastavenie klepnutím) alebo režimu nastavenia popísaných nižšie. Kľúče sú zdieľané z iPhonu na spárované Apple Watch pomocou služby Apple IDS.

Zabezpečenie platforiem Apple 125 Komunikácia s HomeKit príslušenstvom HomeKit príslušenstvo generuje na komunikáciu s iOS, iPadOS a macOS zariadeniami svoj vlastný pár kľúčov Ed25519. Ak príslušenstvo obnovíte na pôvodné (továrenské) nastavenia, bude vygenerovaný nový pár kľúčov.

Na vytvorenie prepojenia medzi iOS, iPadOS a macOS zariadením a HomeKit príslušenstvom sa kľúče vymenia pomocou protokolu Secure Remote Password (3072-bitov) využívajúceho osemciferný kód poskytnutý výrobcom príslušenstva, ktorý užívateľ zadá na iOS alebo iPadOS zariadení. Kľúč je potom zašifrovaný pomocou algoritmu CHACHA20-POLY1305 AEAD s kľúčmi odvodenými pomocou HKDF-SHA-512. Počas nastavovania sa overuje aj MFi certifikácia príslušenstva. Príslušenstvo bez MFi čipu môže využívať podporu softvérovej autentifikácie, ktorá je súčasťou systému iOS 11.3 a novších verzií.

iOS, iPadOS a macOS zariadenia komunikujúce s HomeKit príslušenstvom sa počas používania navzájom autentifikujú pomocou kľúčov vymenených v súlade s vyššie uvedeným procesom. Každá relácia je ustanovená pomocou protokolu Station-to-Station a šifruje sa kľúčmi odvodenými pomocou HKDF-SHA-512 na základe kľúčov Curve25519 platných len pre danú reláciu. Platí to pre príslušenstvo komunikujúce prostredníctvom IP adries a aj pre príslušenstvo komunikujúce cez nízkoenergetické rozhranie Bluetooth (BLE).

V prípade BLE zariadení, ktoré podporujú vysielanie hlásení, je spárovaným iOS, iPadOS alebo macOS zariadením príslušenstvu poskytnutý šifrovací kľúč vysielania cez zabezpečenú reláciu. Tento kľúč slúži na šifrovanie dát týkajúcich sa zmien stavu príslušenstva, ktoré sú hlásené pomocou BLE oznámení. Šifrovací kľúč vysielania je odvodený pomocou HKDF-SHA-512 a dáta sú šifrované pomocou algoritmu CHACHA20- POLY1305 (Authenticated Encryption with Associated Data, AEAD). iOS, iPadOS a macOS zariadenia pravidelne menia šifrovací kľúč vysielania a synchronizujú ho s inými zariadeniami cez iCloud tak, ako je to uvedené v časti Synchronizácia dát medzi zariadeniami a užívateľmi.

Lokálne úložisko dát HomeKitu HomeKit uchováva dáta o domácnostiach, príslušenstve, scénach a užívateľoch na iOS, iPadOS a macOS zariadení užívateľa. Uchovávané dáta sú šifrované pomocou kľúčov odvodených z kľúčov identity v HomeKite a náhodného čísla. Dáta HomeKitu sa navyše uchovávajú pomocou triedy Data Protection Chránené až do prvej autentifikácie užívateľa. Dáta HomeKitu sú zálohované len v šifrovaných zálohách, takže napríklad nešifrované zálohy v iTunes neobsahujú dáta HomeKitu.

Synchronizácia dát medzi zariadeniami a užívateľmi Dáta HomeKitu je možné synchronizovať medzi iOS, iPadOS a macOS zariadeniami užívateľa pomocou iCloudu a iCloud Kľúčenky. Dáta HomeKitu sú počas synchronizácie šifrované pomocou kľúčov odvodených z identity užívateľa v HomeKite a náhodného čísla. S týmito dátami sa počas synchronizácie narába ako s nepriehľadným zhlukom dát, takzvaným blobom. Najnovší blob je uchovaný v iCloude a okrem synchronizácie sa nepoužíva na žiaden iný účel. Keďže je šifrovaný pomocou kľúčov, ktoré sú dostupné len na iOS, iPadOS a macOS zariadeniach užívateľa, jeho obsah je počas prenosu a uchovávania v iCloude neprístupný.

Zabezpečenie platforiem Apple 126 Dáta HomeKitu sa synchronizujú aj medzi viacerými užívateľmi rovnakej domácnosti. Tento proces využíva rovnakú autentifikáciu a šifrovanie, aké sa používajú medzi iOS, iPadOS a macOS zariadeniami a HomeKit príslušenstvom. Autentifikácia je založená na verejných kľúčoch Ed25519, ktoré si zariadenia vymenia po pridaní užívateľa do domácnosti. Po pridaní nového užívateľa do domácnosti sa všetka ďalšia komunikácia autentifikuje a šifruje pomocou protokolu Station-to-Station a kľúčmi platnými len pre danú reláciu.

Nových užívateľov môže pridávať užívateľ, ktorý vytvoril v HomeKite danú domácnosť, prípadne iný užívateľ s právami na upravovanie domácnosti. Zariadenie vlastníka domácnosti konfiguruje príslušenstvo pomocou verejného kľúča nového užívateľa, takže príslušenstvo môže nového užívateľa autentifikovať a prijímať od neho príkazy. Keď nového užívateľa pridá užívateľ s právami na upravovanie domácnosti, celý proces je delegovaný na centrum domácnosti, ktoré dokončí operáciu.

Proces prípravy Apple TV na používanie v HomeKite sa vykoná automaticky, keď sa užívateľ prihlási do iCloudu. iCloud účet musí mať zapnutú dvojfaktorovú autentifikáciu. Apple TV a zariadenie užívateľa si cez iCloud vymenia dočasné verejné kľúče Ed25519. Keď je zariadenie užívateľa a Apple TV pripojené k rovnakej lokálnej sieti, na zabezpečenie spojenia cez lokálnu sieť pomocou protokolu Station-to-Station a kľúčov platných len na danú reláciu budú použité dočasné kľúče. Tento proces využíva rovnakú autentifikáciu a šifrovanie, aké sa používajú medzi iOS, iPadOS a macOS zariadeniami a HomeKit príslušenstvom. Zariadenie užívateľa prenesie cez toto zabezpečené lokálne pripojenie páry verejno-súkromných kľúčov Ed25519 do Apple TV. Tieto kľúče sa následne použijú na zabezpečenie komunikácie medzi Apple TV a HomeKit príslušenstvom, a takisto medzi Apple TV a ďalšími iOS, iPadOS a macOS zariadeniami, ktoré sú súčasťou HomeKit domácnosti.

Ak užívateľ nemá viacero zariadení a neposkytne ďalším užívateľom prístup do domácnosti, v iCloude nebudú synchronizované žiadne dáta HomeKitu.

Dáta a apky Domácnosti Prístup apiek k dátam domácnosti je ovládaný nastaveniami súkromia užívateľa. Keď apky požiadajú o dáta domácnosti, užívateľovi sa zobrazí výzva na udelenie prístupu, podobne ako pri žiadosti o prístup k dátam z apiek Kontakty, Fotky a ďalších zdrojov dát na iOS, iPadOS a macOS zariadení. Po schválení užívateľom získajú apky prístup k názvom miestností, názvom príslušenstva, informáciám o umiestnení príslušenstva v jednotlivých miestnostiach a ďalším informáciám, ktorú sú uvedené v dokumentácii pre vývojárov HomeKitu: https://developer.apple.com/homekit/.

HomeKit a Siri Siri je možné používať na odosielanie žiadostí príslušenstvu, ovládanie príslušenstva a aktivovanie scén. Siri sú anonymne poskytované len minimálne informácie o konfigurácii domácnosti nevyhnutné na rozpoznávanie príkazov, napríklad názvy miestností, príslušenstva a scén. Audio odosielané do Siri môže označovať konkrétne príslušenstvo alebo príkazy, tieto dáta Siri však nie sú prepojené s inými funkciami Apple (napríklad HomeKit).

Zabezpečenie platforiem Apple 127 IP kamery v HomeKite IP kamery v HomeKite streamujú zvuk alebo video priamo do iOS, iPadOS a macOS zariadení pristupujúcich k streamu v lokálnej sieti. Streamy sú šifrované pomocou náhodne generovaných kľúčov na iOS, iPadOS a macOS zariadení a IP kamere. Výmena kľúčov s kamerou prebieha cez zabezpečenú reláciu HomeKitu. Keď iOS, iPadOS alebo macOS zariadenie nie je v lokálnej sieti, prenos šifrovaných streamov do zariadení je sprostredkovaný cez centrum domácnosti. Centrum domácnosti streamy nešifruje a funguje len ako prostredník medzi iOS, iPadOS a macOS zariadením a IP kamerou. Keď apka zobrazí užívateľovi video z IP kamery v HomeKite, HomeKit vykresľuje snímky videa zabezpečeným spôsobom z oddeleného systémového procesu, takže daná apka nemôže pristupovať k videostreamu ani ho uchovávať. Apky navyše nemôžu ani zachytávať snímky obrazovky z takéhoto streamu.

Zabezpečené video v HomeKite HomeKit poskytuje súkromný a pomocou E2EE šifrovania zabezpečený mechanizmus na nahrávanie, analýzu a prezeranie videoklipov z IP kamier v HomeKite, ktorý zaručuje, že k obsahu týchto videí nemôže pristupovať Apple ani žiadna iná tretia strana. Keď IP kamera zachytí pohyb, videoklipy sú odosielané priamo na Apple zariadenie nastavené ako centrum domácnosti prostredníctvom vyhradeného lokálneho sieťového pripojenia medzi centrom domácnosti a danou IP kamerou. Spojenie cez lokálnu sieť je šifrované pomocou páru kľúčov relácie odvodených pomocou algoritmu HKDF-SHA-512 negociovaných cez reláciu HomeKitu medzi centrom domácnosti a IP kamerou. HomeKit dešifruje streamy zvuku a obrazu v centre domácnosti a lokálne analyzuje snímky videa všetkých významných udalostí. Ak je detegovaná významná udalosť, HomeKit zašifruje videoklip pomocou algoritmu AES-256-GCM s náhodne generovaným AES-256 kľúčom. HomeKit zároveň vygeneruje pre každý klip titulnú snímku, pričom tieto titulné snímky sú zašifrované použitím rovnakého AES-256 kľúča. Zašifrovaná titulná snímka je spolu s dátami zvuku a obrazu odoslaná na servery služby iCloud. Súvisiace metadáta pre jednotlivé klipy, ktoré obsahujú šifrovací kľúč, sú odoslané do CloudKitu a zabezpečené pomocou E2EE šifrovania v iCloude.

Pri prezeraní klipov z kamery v apke Domácnosť sú tieto dáta stiahnuté z iCloudu a kľúče potrebné na dešifrovanie streamov sú lokálne rozbalené pomocou E2EE šifrovania v iCloude. Šifrované video je streamované zo serverov a pred zobrazením v prehliadači lokálne dešifrované na iOS zariadení. Relácie jednotlivých videoklipov môžu byť rozdelené na menšie časti, pričom dátový stream každej z týchto častí je zašifrovaný pomocou vlastného jedinečného kľúča.

Routery v HomeKite Routery podporujúce HomeKit umožňujú užívateľom spravovať Wi-Fi prístup HomeKit príslušenstva k lokálnej sieti a internetu a pomáhajú tak posilniť zabezpečenie domácej siete. Zároveň podporujú PPSK autentifikáciu, takže príslušenstvo je možné pridávať do Wi- Fi siete pomocou kľúčov špecifických pre konkrétne príslušenstvo. Platnosť týchto kľúčov je v prípade potreby možné zrušiť. Keďže príslušenstvo nevidí hlavné heslo Wi-Fi siete a router zároveň dokáže bezpečne identifikovať príslušenstvo, aj keď sa zmení jeho MAC adresa, táto metóda prispieva k posilneniu zabezpečenia domácej siete.

Užívatelia môžu pomocou apky Domácnosť nastaviť nasledujúce obmedzenia prístupu pre skupiny príslušenstva:

Zabezpečenie platforiem Apple 128 • Bez obmedzenia: Neobmedzený prístup k internetu a lokálnej sieti. • Automatický: Predvolené nastavenie. Umožňuje pristupovať k internetu a lokálnej sieti na základe zoznamu internetových stránok a lokálnych portov poskytnutých spoločnosťou Apple a výrobcom príslušenstva. Tento zoznam obsahuje všetky stránky a porty, ktoré príslušenstvo potrebuje na správne fungovanie. (Ak takýto zoznam nie je k dispozícii, platí pravidlo Bez obmedzenia.) • Obmedziť na domácnosť: Prístup k internetu a lokálnej sieti je zakázaný s výnimkou pripojení vyžadovaných HomeKit príslušenstvom na vyhľadávanie a ovládanie príslušenstva z lokálnej siete (vrátane pripojení z centra domácnosti s cieľom podpory ovládania na diaľku). PPSK sú silné heslá typu WPA2 Personal špecifické pre konkrétne príslušenstvo, ktoré sú automaticky generované HomeKitom a po odstránení príslušenstva z domácnosti je ich platnosť zrušená. PPSK sa použije pri pridaní príslušenstva do Wi-Fi siete pomocou HomeKitu v domácnosti vybavenej HomeKit routerom. (Príslušenstvo pridané do Wi-Fi siete pred pridaním routera si zachová pôvodné prihlasovacie údaje.)

Ďalšie bezpečnostné opatrenie spočíva v povinnosti užívateľa konfigurovať router v HomeKite pomocou apky jeho výrobcu. Apka výrobcu dokáže overiť, či má užívateľ prístup k routeru a či ho môže pridať do apky Domácnosť.

Vzdialený prístup HomeKit príslušenstva k iCloudu Niektoré staršie HomeKit príslušenstvo aj naďalej vyžaduje priame pripojenie k iCloudu s cieľom ovládať príslušenstvo na diaľku pomocou iOS, iPadOS a macOS zariadení v prípade, keď nie je dostupná komunikácia cez Bluetooth alebo Wi-Fi. Ak je to možné, užívatelia by mali preferovať vzdialený prístup cez centrum domácnosti (napríklad HomePod, Apple TV alebo iPad).

Vzdialený prístup k iCloudu je na starších zariadeniach aj naďalej podporovaný a bol dôkladne navrhnutý tak, aby bolo možné ovládať príslušenstvo a odosielať hlásenia bez odhaľovania informácií o príslušenstve a odosielaných príkazoch alebo hláseniach spoločnosti Apple. HomeKit neodosiela informácie o domácnosti cez vzdialený prístup k iCloudu.

Keď užívateľ odošle príkaz pomocou vzdialeného prístupu k iCloudu, príslušenstvo a iOS, iPadOS a macOS zariadenie sa navzájom autentifikujú a dáta sa zašifrujú pomocou rovnakej procedúry, aká sa používa pre lokálne pripojenia. Obsah tejto komunikácie je šifrovaný a pre spoločnosť Apple nie je viditeľný. Adresovanie cez iCloud vychádza z identifikátorov iCloudu zaregistrovaných počas procesu nastavovania.

Zabezpečenie platforiem Apple 129 Príslušenstvo, ktoré podporuje vzdialený prístup k iCloudu, je obstarávané počas procesu nastavovania daného príslušenstva. Proces obstarávania sa začína prihlásením užívateľa do iCloudu. Následne iOS a iPadOS zariadenie požiada príslušenstvo o podpísanie výzvy pomocou koprocesora Apple Authentication Coprocessor vstavaného do všetkého príslušenstva typu Built for HomeKit. Príslušenstvo zároveň vygeneruje kľúče využívajúce eliptickú krivku prime256v1 a do iOS a iPadOS zariadenia sa odošle verejný kľúč spolu s podpísanou výzvou a certifikátom X.509 overovacieho koprocesora. Použijú sa na vyžiadanie certifikátu pre príslušenstvo od obstarávacieho iCloud servera. Certifikát je uchovaný príslušenstvom a neobsahuje žiadne informácie umožňujúce jeho identifikáciu, len informáciu o udelení prístupu k vzdialenému prístupu k iCloudu. iOS a iPadOS zariadenie, ktoré zabezpečuje obstarávanie, zároveň odošle príslušenstvu bag obsahujúci URL adresy a ďalšie informácie potrebné na pripojenie k serveru vzdialeného prístupu k iCloudu. Tieto informácie nie sú špecifické pre žiadneho užívateľa ani príslušenstvo.

Každé príslušenstvo registruje zoznam povolených užívateľov na serveri vzdialeného prístupu k iCloudu. Týmto užívateľom bola osobou, ktorá príslušenstvo pridala do domácnosti, udelená možnosť ovládať príslušenstvo. iCloud server pridelí užívateľom identifikátor, takže môžu byť spárovaní s iCloud účtom s cieľom doručovania hlásení a odpovedí z príslušenstva. Podobne má aj príslušenstvo identifikátory vydávané iCloudom, ale tieto identifikátory sú nepriehľadné a neposkytujú žiadne informácie o samotnom príslušenstve.

Keď sa príslušenstvo pripojí k serveru vzdialeného prístupu HomeKitu k iCloudu, predloží svoj certifikát a pas. Pas sa získava z odlišného iCloud servera a nie je jedinečný pre každé príslušenstvo. Súčasťou žiadosti príslušenstva o pas je výrobca a model príslušenstva a verzia firmvéru. V žiadosti nie sú odosielané informácie identifikujúce užívateľa ani domácnosť. S cieľom ochrany súkromia nie je pripojenie k serveru pasov autentifikované.

Príslušenstvo sa pripája k serveru vzdialeného prístupu k iCloudu pomocou protokolu HTTP/2 zabezpečeného pomocou TLS v1.2 s algoritmom AES-128-GCM a SHA-256. Príslušenstvo udržiava spojenie so serverom vzdialeného prístupu k iCloudu otvorené, aby mohlo prijímať prichádzajúce správy a odosielať odpovede a odchádzajúce hlásenia do iOS, iPadOS a macOS zariadení.

Príslušenstvo HomeKit TV Remote Príslušenstvo HomeKit TV Remote tretích strán poskytuje dizajnu ľudského rozhrania (HID) udalosti a audio zo Siri pridruženému Apple TV pridanému pomocou apky Domácnosť. HID udalosti sa odosielajú cez zabezpečenú reláciu medzi Apple TV a diaľkovým ovládačom. Keď užívateľ aktivuje na diaľkovom ovládači mikrofón pomocou tlačidla vyhradeného pre Siri, ovládač TV Remote podporujúci Siri odošle dáta audia do Apple TV. Snímky audia sú odosielané priamo do Apple TV cez vyhradené lokálne sieťové spojenie medzi Apple TV a diaľkovým ovládačom. Lokálne sieťové spojenie je šifrované pomocou páru kľúčov odvodeného len pre danú reláciu pomocou algoritmu HKDF-SHA-512 negociovaných cez reláciu HomeKitu medzi Apple TV a ovládačom TV Remote. HomeKit dešifruje snímky audia na Apple TV a preposiela ich službe Siri, ktorá ich spracuje s rovnakou úrovňou ochrany súkromia, akú využíva všetok audio vstup v Siri.

Zabezpečenie platforiem Apple 130 Profily Apple TV pre HomeKit domácnosti Keď užívateľ HomeKit domácnosti pridá svoj profil na Apple TV vlastníka domácnosti, Apple TV udelí danému užívateľovi prístup k TV seriálom, hudbe a podcastom vlastníka. Nastavenia jednotlivých užívateľov týkajúce sa používania ich profilov na Apple TV sú zdieľané s iCloud účtom vlastníka a zabezpečené použitím E2EE šifrovania v iCloude. Dáta budú vo vlastníctve jednotlivých užívateľov a s vlastníkom budú zdieľané len na čítanie. Každý užívateľ domácnosti môže meniť tieto hodnoty v apke Domácnosť a Apple TV vlastníka bude tieto nastavenia používať.

Po zapnutí nastavenia bude iTunes účet užívateľa sprístupnený na Apple TV. Po vypnutí nastavenia bude z Apple TV vymazaný celý účet a dáta patriace danému užívateľovi. Počiatočná relácia zdieľania v CloudKite je spustená zariadením užívateľa a token na vytvorenie zabezpečenej relácie zdieľania v CloudKite sa odošle cez rovnaký zabezpečený kanál, aký sa používa na synchronizáciu dát medzi užívateľmi domácnosti.

HealthKit

Prehľad HealthKitu HealthKit uchováva a agreguje dáta zo zdravotných a tréningových apiek a dáta zo zdravotníckych inštitúcií. HealthKit okrem toho spolupracuje so zdravotnými a tréningovými zariadeniami, ako sú napríklad kompatibilné BLE monitory srdcovej frekvencie a pohybový koprocesor vstavaný do mnohých iOS zariadení. Na všetku interakciu HealthKitu so zdravotnými a tréningovými apkami, zdravotníckymi inštitúciami a tréningovými zariadeniami sa vyžaduje súhlas užívateľa. Tieto dáta sú uchovávané v triede Data Protection Chránené až do otvorenia. Prístup k dátam sa preruší po 10 minútach od uzamknutia zariadenia a dáta budú opäť prístupné pri ďalšom odomknutí zariadenia zadaním hesla alebo použitím Touch ID či Face ID.

HealthKit okrem toho agreguje aj dáta správy, napríklad povolenia prístupu pre apky, názvy zariadení pripojených k HealthKitu a informácie týkajúce sa plánovania, ktoré slúžia na spúšťanie apiek po zverejnení nových dát. Tieto dáta sú uchovávané v triede Data Protection Chránené až do prvej autentifikácie užívateľa. Zdravotné záznamy, ktoré sa generujú na zamknutom zariadení, napríklad keď užívateľ cvičí, sú uchované v dočasných súboroch. Dočasné súbory sú uchovávané v triede Data Protection Chránené až do otvorenia. Po odomknutí zariadenia sa dočasné súbory naimportujú do primárnych zdravotných databáz a po zlúčení sa vymažú.

Zdravotné dáta je možné uchovávať v iCloude. E2EE šifrovanie zdravotných dát vyžaduje systém iOS 12 alebo novší a dvojfaktorovú autentifikáciu. Ak tieto podmienky nie sú splnené, užívateľské dáta budú počas uchovávania a prenosu šifrované, ale nie pomocou E2EE šifrovania. Po zapnutí dvojfaktorovej autentifikácie a aktualizácii na iOS 12 alebo novší budú dáta apky Zdravie migrované na E2EE šifrovanie.

Ak užívateľ zálohuje svoje zariadenie pomocou iTunes (v macOS 10.14 alebo staršom) alebo Finderu (macOS 10.15 alebo novší), dáta apky Zdravie sa uložia, len ak je záloha šifrovaná.

Zabezpečenie platforiem Apple 131 Integrita zdravotných záznamov a dát apky Zdravie

Klinické zdravotné záznamy Užívatelia sa v apke Zdravie môžu prihlásiť do podporovaných zdravotných systémov a získať kópiu svojich zdravotných záznamov. Pri pripájaní užívateľa do zdravotného systému sa užívateľ autentifikuje pomocou klientských prihlasovacích údajov OAuth 2. Po pripojení sa dáta zdravotných záznamov stiahnu priamo z danej zdravotnej inštitúcie cez pripojenie chránené protokolom TLS v1.3. Zdravotné záznamy budú po stiahnutí uchovávané zabezpečeným spôsobom spolu s ostatnými dátami apky Zdravie.

Integrita dát apky Zdravie Dáta uchovávané v databáze zahŕňajú metadáta na sledovanie pôvodu každého dátového záznamu. Medzi tieto metadáta patrí identifikátor apky, ktorý identifikuje, ktorá apka daný záznam uchovala. Okrem toho môže voliteľná položka metadát obsahovať digitálne podpísanú kópiu daného záznamu. Cieľom je zabezpečiť integritu dát pre záznamy generované dôveryhodným zariadením. Formát používaný pre digitálny podpis je Cryptographic Message Syntax (CMS) špecifikovaný v štandarde RFC 5652.

Prístup apiek tretích strán k zdravotným dátam Prístup k rozhraniu API HealthKitu je ovládaný pomocou oprávnení a apky sa musia prispôsobiť obmedzeniam týkajúcich sa používania dát. Apky napríklad nesmú používať zdravotné dáta na reklamné účely. Apky sú zároveň povinné poskytnúť užívateľom zásady ochrany osobných údajov s podrobnými informáciami o používaní zdravotných dát.

Prístup apiek k zdravotným dátam je ovládaný nastaveniami súkromia užívateľa. Keď apky požiadajú o zdravotné dáta, užívateľovi sa zobrazí výzva na udelenie prístupu, podobne ako pri žiadosti o prístup k dátam z apiek Kontakty, Fotky a ďalších zdrojov dát na iOS, iPadOS a macOS zariadení. V prípade zdravotných dát však bude apkám udeľovaný samostatný prístup na čítanie a zapisovanie dát, ako aj samostatný prístup pre každý typ zdravotných dát. Užívatelia si môžu prezerať a odvolávať povolenia udelené na prístup k zdravotným dátam v Nastavenia > Zdravie > Prístup k dátam a zariadenia.

Ak bude apkám udelené povolenie na zapisovanie dát, budú môcť čítať zapisované dáta. Ak bude apkám udelené povolenie na čítanie dát, budú môcť čítať dáta zapísané všetkými zdrojmi dát. Apky však nemôžu zistiť, aký prístup bol udelený iným apkám. Navyše apky nedokážu zistiť, či im bol udelený prístup na čítanie zdravotných dát. Keď apka nemá udelený prístup na čítanie, všetky jej žiadosti sa vrátia bez dát – rovnakú odpoveď by vrátila aj prázdna databáza. Apkám to bráni odhadovať zdravotný stav užívateľa na základe informácií o typoch dát, ktoré užívateľ sleduje.

Zdravotné ID Užívatelia môžu v apke Zdravie vyplniť formulár Zdravotné ID s informáciami, ktoré môžu byť nápomocné v prípade závažných zdravotných problémov. Tieto informácie sa zadávajú a aktualizujú manuálne a nie sú synchronizované s informáciami v zdravotných databázach.

Zabezpečenie platforiem Apple 132 Informácie v Zdravotnom ID je možné zobraziť po klepnutí na tlačidlo SOS na zamknutej obrazovke. Tieto informácie sú uchované na zariadení v triede Data Protection Bez ochrany, takže na ich zobrazenie nie je potrebné zadávať heslo zariadenia. Zdravotné ID je voliteľná funkcia, ktorá umožňuje užívateľom nájsť vyhovujúci kompromis medzi bezpečnosťou a ochranou súkromia. Tieto dáta sú zálohované v iCloud Zálohe a nie sú synchronizované medzi zariadeniami pomocou CloudKitu.

CloudKit CloudKit umožňuje vývojárom apiek uchovávať v iCloude dáta hodnôt kľúčov, štruktúrované dáta a ďalší obsah. Prístup ku CloudKitu je ovládaný pomocou oprávnení apky. CloudKit podporuje verejné aj súkromné databázy. Verejné databázy sú používané všetkými kópiami apky, najčastejšie pre všeobecný obsah, a nie sú šifrované. Súkromné databázy slúžia na uchovanie dát užívateľov.

CloudKit, rovnako ako iCloud Drive, využíva na ochranu informácií uchovaných v súkromnej databáze užívateľa kľúče založené na účte a podobne ako v prípade iných služieb iCloudu sa zo súborov vytvárajú bloky, ktoré sú šifrované a uchovávané pomocou služieb tretích strán. CloudKit využíva hierarchiu kľúčov podobnú technológii Data Protection. Kľúče pre jednotlivé súbory sú zabalené pomocou kľúčov záznamov CloudKitu. Kľúče záznamov sú chránené celozónovým kľúčom, ktorý je chránený užívateľovým kľúčom služby CloudKit. Kľúč služby CloudKit je uchovaný v iCloud účte užívateľa a je dostupný len po autentifikácii užívateľa v iCloude.

E2EE šifrovanie v CloudKite.

SiriKit Siri využíva na komunikáciu s apkami tretích strán systém rozšírení apiek. Služba Siri na zariadení môže pristupovať ku kontaktným údajom užívateľa a aktuálnej polohe zariadenia. Predtým, ako Siri poskytne nejakej apke chránené dáta, skontroluje povolenia prístupu apky, ktoré sú ovládané užívateľom. Na základe týchto povolení Siri poskytne rozšíreniu apky len príslušný fragment pôvodného výroku užívateľa. Keď apka nemá prístup ku kontaktným údajom, Siri nebude môcť vyriešiť vzťah v požiadavkách užívateľa, ako napríklad „Pay my mother 10 dollars using Payment App“ (Zaplať mojej mame 10 dolárov pomocou apky používanej na platby). V takomto prípade daná apka uvidí len doslovný výraz „mojej mame“.

Zabezpečenie platforiem Apple 133 Ak však užívateľ tejto apke poskytol prístup ku kontaktným údajom, apke budú doručené identifikované informácie o matke užívateľa. Ak bol odkaz na vzťah vyslovený v tele správy, napríklad „Tell my mother on MessageApp that my brother is awesome“ (Povedz mojej mame cez MessageApp, že môj brat je super), Siri neidentifikuje pojem „môj brat“ bez ohľadu na povolenia apky.

Apky podporujúce SiriKit môžu službe Siri posielať slovník špecifický pre apku alebo užívateľa, ako napríklad mená kontaktov užívateľa. Tieto informácie umožňujú službe Siri rozpoznávať reč a porozumieť prirodzenej reči s cieľom rozpoznať slovník danej apky a sú prepojené s náhodným identifikátorom. Tieto vlastné informácie budú dostupné, kým sa daný identifikátor používa alebo kým užívateľ nezakáže integráciu danej apky so Siri v Nastaveniach, prípadne kým neodinštaluje apku podporujúcu SiriKit.

V prípade výroku ako napríklad „Get me a ride to my mom’s home using RideShareApp“ (Zavez ma k mame domov cez apku RideShareApp) budú dáta o polohe vyžiadané z kontaktov užívateľa. Siri poskytne požadované informácie rozšíreniu apky bez ohľadu na nastavenia užívateľových povolení pre polohu alebo kontaktné údaje pre danú apku len v prípade vyššie uvedenej žiadosti.

DriverKit macOS 10.15 využíva systémové rozšírenia s cieľom pomôcť vývojárom udržiavať rozšírenia vo vnútri svojich apiek namiesto požiadaviek na rozšírenia kernelu (tzv. „kexty“). Uľahčuje to inštaláciu a zvyšuje stabilitu a zabezpečenie systému macOS. DriverKit je framework, ktorý umožňuje vývojárom vytvárať ovládače zariadení, ktoré užívateľ inštaluje na svoj Mac. Ovládače zabudované v DriverKite bežia v priestore užívateľa, a nie ako rozšírenia kernelu, čo zvyšuje bezpečnosť a stabilitu systému.

Užívateľ si jednoducho stiahne apku (pri používaní systémových rozšírení alebo DriverKitu inštalátory nie sú potrebné) a rozšírenie sa povolí až na základe vyžiadania. Tieto rozšírenia v mnohých prípadoch nahrádzajú kexty, ktorých inštalácia v umiestneniach /System/Library alebo /Library vyžaduje práva správcu.

IT správcovia, ktorí používajú ovládače zariadení, riešenia cloudových úložísk, sieťové funkcie a bezpečnostné apky vyžadujúce rozšírenia kernelu, by mali prejsť na novšie verzie založené na systémových rozšíreniach. Tieto novšie verzie zásadne znižujú možnosť kernelovej paniky na Macoch a zároveň zmenšujú plochu pre možné útoky. Tieto nové rozšírenia bežia v priestore užívateľa, nepotrebujú špeciálne práva na inštaláciu a po odstránení apky, v ktorej balíku sú obsiahnuté, budú automaticky odstránené.

Framework DriverKit poskytuje triedy C++ pre vstupnovýstupné služby, prepájanie zariadení, pamäťové deskriptory a poradia odosielania. Okrem toho definuje príslušné typy pre čísla, zbierky, reťazce a ďalšie bežné typy. Užívateľ ich využíva s frameworkami ovládačov špecifickými pre danú rodinu, napríklad USBDriverKit a HIDDriverKit.

ReplayKit

Nahrávanie filmov v ReplayKite ReplayKit je framework, ktorý umožňuje vývojárom pridávať do apiek funkcie nahrávania a živého vysielania. Navyše umožňuje užívateľom anotovať vlastné nahrávky a vysielania pomocou prednej kamery a mikrofónu zariadenia.

Zabezpečenie platforiem Apple 134 Nahrávanie filmov Vo funkcii nahrávania filmov je vstavaných niekoľko vrstiev zabezpečenia:

• Dialógové okno povolení: Pred spustením nahrávania ReplayKit zobrazí užívateľovi upozornenie, v ktorom užívateľ potvrdí svoj zámer nahrávať obrazovku a používať mikrofón a prednú kameru. Toto upozornenie sa zobrazí raz pre každý proces apky a znovu sa zobrazí, keď apka ostane skrytá na pozadí viac ako 8 minút. • Zachytávanie obrazovky a audia: Zachytávanie obrazovky a audia prebieha mimo procesu apky v deamone replayd ReplayKitu. Proces apky tak nikdy nemá prístup k nahrávanému obsahu. • Zachytávanie obrazovky a audia v apke: Umožňuje apke získavať video a vzorkovacie buffery, čo je ošetrené dialógovým oknom povolení. • Vytváranie a ukladanie filmov: Súbor filmu sa zapisuje do adresára, ktorý je prístupný len pre podsystémy ReplayKitu a nikdy nie je prístupný pre žiadne apky. Tento mechanizmus bráni používaniu nahrávok tretími stranami bez súhlasu užívateľa. • Náhľad a zdieľanie koncovým užívateľom: Užívateľ má možnosť prezerať si náhľady filmov a zdieľať ich cez užívateľské rozhranie vytvorené ReplayKitom. Užívateľské rozhranie sa prezentuje mimo procesu cez infraštruktúru rozšírení systému iOS a má prístup k vygenerovanému súboru filmu.

Vysielanie v ReplayKite Vo funkcii nahrávania filmov je vstavaných niekoľko vrstiev zabezpečenia:

• Zachytávanie obrazovky a audia: Mechanizmus zachytávania obrazovky a audia počas vysielania je rovnaký ako mechanizmus nahrávania filmov a prebieha v deamone replayd. • Rozšírenia na vysielanie: Služby tretích strán môžu využívať vysielanie v ReplayKite až po vytvorení dvoch nových rozšírení, ktoré sú nastavené s koncovým bodom com.apple. broadcast-services: • Rozšírenie užívateľského rozhrania, ktoré užívateľovi umožňuje nastaviť vlastné vysielanie • Rozšírenie na odosielanie, ktoré má na starosti odosielanie dát videa a audia na backendové servery služby. Takáto architektúra zaisťuje, že hosťujúce apky nemajú žiadne práva v zmysle vysielaného videa a audia – prístup k nim má len ReplayKit a rozšírenia na vysielanie tretích strán.

• Výber vysielania: Vďaka výberu vysielania užívateľ spustí systémové vysielania priamo zo svojej apky použitím rovnakého systémom definovaného užívateľského rozhrania, aké je prístupné s využitím Ovládacieho centra. Užívateľské rozhranie sa implementuje s využitím UIRemoteViewController SPI a ide o rozšírenie, ktoré beží vo frameworku ReplayKit. Nachádza sa mimo procesu hosťujúcej apky. • Rozšírenie na odosielanie: Rozšírenie na odosielanie, ktoré vysielacie služby tretích strán implementujú na spracovanie video a audio obsahu počas vysielania, používa nespracované a nekódované vzorkovacie buffery. V tomto režime sa dáta videa a audia serializujú a v reálnom čase odovzdávajú rozšíreniu na odosielanie tretích strán cez priame XPC spojenie. Dáta videa sú bezpečne zakódované ako XPC objekt extrahovaním objektu IOSurface zo vzorkovacieho bufferu videa, odoslaním cez XPC do rozšírenia tretej strany a zabezpečenýým dešifrovaním späť na objekt IOSurface.

Zabezpečenie platforiem Apple 135 Kamera a ARKit Spoločnosť Apple navrhla kamery so zreteľom na súkromie a apky tretích strán musia na prístup ku Kamere získať súhlas užívateľa. V iOS a iPadOS môžu apky, ktorým užívateľ udelí prístup ku Kamere, pristupovať k obrazu z prednej a zadnej kamery v reálnom čase. Apky nesmú používať kameru bez jasnej indikácie, že sa kamera používa.

Fotky a videá nasnímané kamerou môžu obsahovať aj iné informácie, ako napríklad kedy a kde boli nasnímané, informácie o hĺbke poľa a oblastí zachytených mimo rámca fotky alebo videa. Ak užívateľ nechce, aby fotky a videá nasnímané pomocou Kamery obsahovali polohu, môže to zmeniť ak prejde na Nastavenia > Súkromie > Lokalizačné služby > Kamera. Ak užívateľ nechce, aby fotky a videá obsahovali polohu počas zdieľania, môže v menu Možnosti v menu zdieľania vypnúť polohu.

Na lepšie umiestnenie užívateľského zážitku s rozšírenou realitou môžu apky, ktoré používajú ARKit, používať aj informácie sledujúce okolité prostredie alebo tvár z druhej kamery. Sledovanie prostredia využíva na spracovanie informácií z týchto senzorov s cieľom určiť ich relatívnu polohu vo fyzickom priestore algoritmy na zariadení užívateľa. Vďaka sledovaniu prostredia je možné používať ďalšie funkcie, ako napríklad Optický smer v apke Mapy.

Zabezpečenie platforiem Apple 136 Zabezpečená správa zariadení

Prehľad zabezpečenej správy zariadení iOS, iPadOS, macOS a tvOS podporujú flexibilné bezpečnostné pravidlá a konfigurácie, ktoré sa jednoducho presadzujú a spravujú. Ich prostredníctvom môžu organizácie chrániť korporačné informácie a zaistiť, že zamestnanci dodržiavajú požiadavky podniku, dokonca aj keď používajú vlastné zariadenia, napríklad ako súčasť programu „bring your own device“ (Prines si vlastné zariadenie, BYOD).

Ochrana heslom, konfiguračné profily, vzdialené vymazanie a správa mobilných zariadení (MDM) tretích strán sú prostriedky, ktoré môžu organizácie používať na spravovanie flotíl zariadení a zabezpečenie korporačných dát, a to aj v prípade, keď zamestnanci pristupujú k dátam zo svojich osobných zariadení.

Počnúc systémami iOS 13, iPadOS 13.1 a macOS 10.15 podporujú Apple zariadenia možnosť registrácie nových užívateľov navrhnuté špeciálne pre programy BYOD. Registrácie užívateľov poskytujú užívateľom viac autonómie na ich vlastných zariadeniach a zlepšujú zabezpečenie podnikových dát tak, že ich uchovávajú na samostatnom, kryptograficky chránenom APFS oddiele. Poskytuje to lepšiu rovnováhu medzi bezpečnosťou, súkromím a užívateľskou skúsenosťou v programoch BYOD.

Model párovania iOS a iPadOS využívajú model párovania na ovládanie prístupu k zariadeniam z hostiteľského počítača. Párovaním sa vytvorí dôveryhodný vzťah medzi zariadením a jeho pripojeným hostiteľom zabezpečený výmenou verejných kľúčov. iOS a iPadOS využívajú túto známku dôvery na povolenie ďalších funkcií realizovaných s pripojeným hostiteľom, napríklad synchronizáciu dát. V iOS 9 alebo novšom:

• Služby, ktoré vyžadujú párovanie, nemôžu byť spustené až do odomknutia zariadenia užívateľom • Služby sa nespustia, pokiaľ zariadenie nebolo nedávno odomknuté • Služby (napríklad synchronizácia fotiek) môžu pred spustením vyžadovať odomknutie zariadenia

Zabezpečenie platforiem Apple 137 Proces párovania vyžaduje, aby užívateľ odomkol zariadenie a prijal žiadosť o párovanie od hostiteľa. V iOS 9 alebo novšom musí užívateľ takisto zadať svoj kód a následne si hostiteľ aj zariadenie vymenia a uložia 2048-bitové RSA verejné kľúče. Hostiteľovi bude následne poskytnutý 256-bitový kľúč, ktorý dokáže odomknúť keybag úschovy uložený na zariadení. Vymenené kľúče slúžia na spustenie šifrovanej SSL relácie, ktorú zariadenie vyžaduje pred odoslaním chránených dát hostiteľovi alebo pred spustením služby (synchronizácia iTunes alebo Finder, prenosy súborov, vývoj v Xcode atď.). Aby bolo možné využívať túto šifrovanú reláciu na všetku komunikáciu, zariadenie vyžaduje pripojenia od hostiteľa cez Wi-Fi, takže musí byť predtým spárované cez USB. Vďaka párovaniu je taktiež možné využívať diagnostiku. Keď sa v iOS 9 záznam párovania nepoužíval viac ako 6 mesiacov, jeho platnosť vyprší. V iOS 11 alebo novšom sa tento časový úsek skrátil na 30 dní.

Niektoré služby vrátane com.apple.pcapd sú obmedzené len na používanie cez USB. Služba com.apple.file_relay navyše vyžaduje inštaláciu konfiguračného profilu podpísaného spoločnosťou Apple. V iOS 11 alebo novšom môže Apple TV použiť protokol Secure Remote Password na bezdrôtové vytvorenie párovacieho vzťahu.

Užívateľ môže vyčistiť zoznam dôveryhodných hostiteľov pomocou možností Resetovať sieťové nastavenia alebo Resetovať polohu a súkromie.

Správa nastavení kódov a hesiel Štandardne je kód užívateľa možné definovať ako číselný PIN kód. Na iOS a iPadOS zariadeniach s Touch ID alebo Face ID je minimálna dĺžka kódu štyri číslice. Keďže dlhšie a komplexnejšie kódy je ťažšie uhádnuť a lepšie odolávajú útokom, je odporúčané ich používať.

Správcovia môžu presadzovať požiadavky na komplexnejšie kódy a ďalšie pravidlá pomocou správy mobilných zariadení (MDM) alebo protokolu Microsoft Exchange ActiveSync, prípadne tak, že budú od užívateľov vyžadovať manuálnu inštaláciu konfiguračných profilov. Na inštaláciu objemu dát pravidiel pre kódy je v macOS potrebné zadať heslo správcu. Medzi pravidlá kódov patria napríklad:

• Povolenie jednoduchej hodnoty • Vyžadovanie alfanumerickej hodnoty • Minimálna dĺžka kódov a hesiel • Minimálny počet komplexných znakov

• Maximálny vek kódov a hesiel • História kódov a hesiel • Časový limit automatického uzamknutia • Doba odkladu uzamknutia zariadenia • Maximálny počet nesprávnych pokusov • Povolenie Touch ID alebo Face ID

Zabezpečenie platforiem Apple 138 Vynútenie konfigurácií Konfiguračný profil je XML súbor, ktorý správcovi umožňuje distribuovať konfiguračné informácie do iOS, iPadOS, macOS a tvOS zariadení. V systémoch iOS, iPadOS a tvOS užívatelia nemôžu meniť väčšinu nastavení definovaných nainštalovaným konfiguračným profilom. Ak užívateľ vymaže konfiguračný profil, budú zároveň odstránené aj všetky nastavenia definované profilom. Správcovia tak môžu vynucovať nastavenia pripútaním pravidiel pre prístup k Wi-Fi a dátam. Napríklad konfiguračný profil, ktorý poskytuje konfiguráciu emailov, môže zároveň špecifikovať pravidlá pre kódy zariadení. Užívatelia tak nebudú mať prístup k emailom, pokiaľ ich kód nebude spĺňať požiadavky správcu.

Nastavenia profilu Konfiguračný profil obsahuje v konkrétnych objemoch dát množstvo nastavení, ktoré je možné špecifikovať, vrátane nasledujúcich:

• Pravidlá kódov a hesiel • Obmedzenia funkcií zariadenia (napríklad zakázanie kamery) • Nastavenia Wi-Fi • Nastavenia VPN • Nastavenia účtov • Nastavenia adresárovej služby LDAP • Nastavenia služby kalendára CalDAV • Prihlasovacie údaje a kľúče • Aktualizácie softvéru

Podpisovanie a šifrovanie profilov Pôvod konfiguračných profilov je možné overovať pomocou podpisovania a šifrovanie zaručí ich integritu a ochráni ich obsah. Konfiguračné profily pre iOS a iPadOS sú šifrované pomocou štandardov Cryptographic Message Syntax (CMS) špecifikovaných v norme RFC 3852, s podporou štandardov 3DES a AES-128.

Inštalácia profilu Užívatelia môžu inštalovať profily priamo na svojich zariadeniach pomocou Apple Configuratora 2. Profily je taktiež možné sťahovať v Safari, odosielať ako prílohy v emailových správach, prenášať cez AirDrop alebo apku Súbory na iOS a iPadOS zariadeniach, prípadne ich bezdrôtovo posielať pomocou riešenia správy mobilných zariadení (MDM). Keď užívateľ nastaví zariadenie v Apple School Manageri alebo Apple Business Manageri, zariadenie si stiahne a nainštaluje profil na registráciu v MDM.

Odstránenie profilu Odstraňovanie konfiguračných profilov záleží od spôsobu, akým boli nainštalované. Odstránenie konfiguračného profilu je demonštrované na nasledujúcom postupe:

1. Všetky profily je možné odstrániť vymazaním všetkých dát zo zariadenia.

Zabezpečenie platforiem Apple 139 2. Ak bol profil priradený zariadeniu pomocou Apple School Managera alebo Apple Business Managera, dá sa odstrániť pomocou riešenia MDM a voliteľne aj užívateľom. 3. Ak bol profil nainštalovaný riešením MDM, je možné ho odstrániť daným konkrétnym riešením MDM alebo užívateľom, ak odstráni konfiguračný profil na registráciu, čím zruší registráciu v MDM. 4. Ak bol profil nainštalovaný na zariadení pod dohľadom pomocou Apple Configuratora 2, profil môže odstrániť dohliadajúca inštancia Apple Configuratora 2. 5. Ak bol profil nainštalovaný na zariadení pod dohľadom manuálne alebo pomocou Apple Configuratora 2 a obsahuje objem dát odstraňovacieho hesla, užívateľ musí na odstránenie profilu zadať odstraňovacie heslo. 6. Všetky ostatné profily môžu byť odstránené užívateľom. Účet nainštalovaný konfiguračným profilom je možné odstrániť tak, že sa odstráni daný profil. Účet Microsoft Exchange ActiveSync, vrátane účtov nainštalovaných pomocou konfiguračného profilu, je možné odstrániť cez Microsoft Exchange Server tak, že sa odošle príkaz na vzdialené vymazanie účtu. Na zariadeniach pod dohľadom je možné uzamknúť konfiguračné profily na zariadení a tým úplne zabrániť ich odstráneniu, prípadne povoliť ich odstránenie len po zadaní kódu. Keďže množstvo podnikových užívateľov má vlastné iOS a iPadOS zariadenia, konfiguračné profily, ktoré pripútajú zariadenie k MDM profilu je možné odstraňovať, zároveň však budú odstránené aj všetky informácie, dáta a apky zo spravovanej konfigurácie.

Správa mobilných zariadení (MDM) Operačné systémy spoločnosti Apple podporujú správu mobilných zariadení (MDM), ktorá organizáciám umožňuje zabezpečeným spôsobom konfigurovať a spravovať nasadenie Apple zariadení vo väčšom meradle. Možnosti MDM vychádzajú z existujúcich technológií operačných systémov, ako sú napríklad konfiguračné profily, bezdrôtová registrácia a služba Apple Push Notification service (APNs). Služba APNs sa používa napríklad na zobudenie zariadenia, takže môže komunikovať so svojím riešením MDM priamo cez zabezpečené pripojenie. Služba APNs neprenáša žiadne dôverné ani chránené informácie.

IT oddelenia firiem môžu pomocou MDM registrovať Apple zariadenia v podnikovom prostredí, bezdrôtovo konfigurovať a aktualizovať ich nastavenia, monitorovať dodržiavanie pravidiel korporácie, spravovať pravidlá aktualizácie softvéru a dokonca na diaľku vymazať alebo zamknúť spravované zariadenia.

Okrem tradičných registrácií zariadení podporovaných iOS, iPadOS, macOS a tvOS, bol v iOS 13, iPadOS 13.1 a macOS 10.15 pridaný nový typ registrácie: Registrácia užívateľa. Registrácie užívateľa sú registrácie MDM výslovne cielené na nasadenia typu „Bring Your Own Device“ (BYOD), pri ktorých je zariadenie v osobnom vlastníctve, ale používa sa v spravovanom prostredí. Na rozdiel od registrácie zariadení bez dohľadu sú pri registrácii užívateľa riešeniu MDM udelené obmedzené práva a poskytnuté kryptografické oddelenie užívateľských a korporačných dát.

Zabezpečenie platforiem Apple 140 Typy registrácie • Registrácia užívateľa: Registrácia užívateľa je navrhnutá pre zariadenia vo vlastníctve užívateľa a je integrovaná so spravovaným Apple ID s cieľom stanoviť na zariadení identitu užívateľa. Spravované Apple ID sú súčasťou profilu na registráciu užívateľa a užívateľ sa musí na dokončenie registrácie úspešne autentifikovať. Spravované Apple ID je možné používať spolu s osobným Apple ID, pomocou ktorého sa už užívateľ prihlásil, pričom tieto Apple ID medzi sebou nijako nekomunikujú. • Registrácia zariadenia: Registrácia zariadenia umožňuje organizáciám manuálne registrovať zariadenia a spravovať množstvo rôznych aspektov ich používania vrátane možnosti vymazať zariadenia. Ak užívateľ odstráni MDM profil, všetky nastavenia a apky spravované MDM riešením budú takisto vymazané. • Automatizovaná registrácia zariadenia: Automatizovaná registrácia zariadenia umožňuje organizáciám konfigurovať a spravovať Apple zariadenia od momentu, keď sa zariadenia vyberú z originálneho balenia (označuje sa aj ako „zero-touch“ nasadenie). Takéto zariadenia sa stanú spravovanými zariadeniami a MDM profil nie je možné odstrániť užívateľom. Automatizovaná registrácia zariadenia je určená pre zariadenia vo vlastníctve organizácie.

Automatizovaná registrácia zariadenia Organizácie môžu automaticky registrovať iOS, iPadOS, macOS a tvOS zariadenia v správe mobilných zariadení (MDM) bez potreby fyzického kontaktu so zariadením alebo prípravy zariadení pred distribúciou užívateľom. Po registrácii v niektorej zo služieb sa správcovia prihlásia na webovej stránke danej služby a prepoja program s riešením MDM. Zariadenia, ktoré zakúpili, je následne možné priradiť užívateľom cez MDM. Počas konfigurácie zariadení je možné zvýšiť úroveň zabezpečenia citlivých dát dodržiavaním vhodných bezpečnostných opatrení. Napríklad:

• Vyžadovať autentifikáciu užívateľov ako súčasť procedúry počiatočného nastavovania v Sprievodcovi nastavením počas aktivácie • Poskytnúť predbežnú konfiguráciu s obmedzeným prístupom a vyžadovať ďalšiu konfiguráciu zariadenia pred prístupom k citlivým dátam Po priradení užívateľa sa automaticky nainštalujú konfigurácie, obmedzenia alebo ovládanie špecifikované v MDM. Všetka komunikácia medzi zariadeniami a servermi spoločnosti Apple je počas prenosu šifrovaná cez HTTPS (TLS).

Proces nastavovania je pre užívateľov možné ešte viac zjednodušiť odstránením konkrétnych krokov v Sprievodcovi nastavením na zariadeniach, takže užívatelia ich budú môcť rýchlo nastaviť začať používať. Správcovia môžu tiež ovládať, či užívateľ môže alebo nemôže odstrániť MDM profil zo zariadenia, a zaistiť, že obmedzenia zariadenia ostanú v platnosti počas celého životného cyklu zariadenia. Po rozbalení a aktivácii sa zariadenie môže zaregistrovať v MDM riešení organizácie a všetky nastavenia správy, apky a knihy sa nainštalujú tak, ako je definované správcom MDM.

Zabezpečenie platforiem Apple 141 Apple School Manager a Apple Business Manager Apple School Manager a Apple Business Manager sú služby pre správcov IT určené na nasadzovanie Apple zariadení, ktoré organizácia zakúpila priamo od spoločnosti Apple alebo prostredníctvom predajcov a operátorov autorizovaných spoločnosťou Apple. Keď sa zariadenie používa s riešením správy mobilných zariadení (MDM), správcovia, zamestnanci, personál a učitelia môžu konfigurovať jeho nastavenia a kupovať a distribuovať apky a knihy. Apple School Manager sa integruje so študentskými informačnými systémami (SISs), SFTP a riešením Microsoft Azure AD pomocou zjednotenej autentifikácie, takže správcovia môžu rýchlo vytvárať účty so školskými rozvrhmi a triedami.

Zariadenia so systémom iOS 11 alebo novším a tvOS 10.2 alebo novším je po zakúpení možné pridávať do riešení Apple School Manager a Apple Business Manager aj pomocou Apple Configuratora 2.

Spoločnosť Apple Inc. je držiteľom certifikácií v súlade s normami ISO 27001 a 27018, aby svojim zákazníkom umožnila plniť ich regulačné a zmluvné záväzky. Tieto certifikácie poskytujú našim zákazníkom nezávislé osvedčenie o postupoch spoločnosti Apple v oblasti zabezpečenia informácií a ochrany osobných údajov v prípade systémov, ktorých sa tieto postupy týkajú. Viac informácií nájdete v článku podpory Apple Certifikácie internetových služieb spoločnosti Apple.

Poznámka: Ak chcete zistiť, či je niektorý program spoločnosti Apple dostupný pre konkrétnu krajinu alebo región, prečítajte si nasledujúci článok podpory Apple Dostupnosť programov Apple pre vzdelávanie a biznis.

Apple Configurator 2 Apple Configurator 2 ponúka flexibilný, bezpečný a na zariadenie orientovaný dizajn, ktorý umožňuje správcom rýchlo a jednoducho konfigurovať jedno alebo viacero iOS, iPadOS a tvOS zariadení pripojených k Macu cez USB pred ich distribúciou užívateľom. Pomocou Apple Configuratora 2 môže správca aktualizovať softvér, inštalovať apky a konfiguračné profily, premenovávať a meniť plochu na zariadeniach, exportovať informácie o zariadení a dokumenty a vykonávať ďalšie úlohy.

Správcovia môžu navyše pomocou Apple Configuratora 2 pridávať iOS, iPadOS a tvOS zariadenia do Apple School Managera alebo Apple Business Managera, a to aj v prípade, že tieto zariadenia neboli zakúpené priamo od spoločnosti Apple, autorizovaného predajcu Apple alebo autorizovaného mobilného operátora. Keď správca nastaví zariadenie, ktoré bolo zaregistrované manuálne, bude sa správať ako bežné zaregistrované zariadenie s povinným dohľadom a registráciou v správe mobilných zariadení (MDM). V prípade zariadení, ktoré neboli zakúpené priamo, má užívateľ 30-dňovú prechodnú lehotu na odstránenie zariadenia z registrácie, dohľadu a MDM. 30-dňová prechodná lehota začína po aktivácii zariadenia.

Zabezpečenie platforiem Apple 142 Dohľad nad zariadením Organizácia môže počas nastavenia zariadenia skonfigurovať dohľad nad zariadením. Dohľad znamená, že zariadenie je vo vlastníctve organizácie, ktorá zabezpečuje dodatočnú kontrolu nad jeho konfiguráciou a obmedzeniami. Vďaka riešeniam Apple School Manager alebo Apple Business Manager je možné zapnúť dohľad cez bezdrôtovú sieť ako súčasť procesu registrácie v správe mobilných zariadení (MDM) pre iOS, iPadOS, macOS a tvOS zariadenia, prípadne ho zapnúť manuálne pomocou Apple Configuratora 2 pre iOS, iPadOS a tvOS zariadenia. Na iOS, iPadOS a tvOS zariadeniach je podmienkou pre vykonávanie dohľadu nad zariadením jeho vymazanie.

Dohľad je možné vykonávať nad nasledujúcimi zariadeniami:

• iPhone, iPad a iPod touch so systémom iOS 5 alebo novším • Apple TV so systémom tvOS 10.2 alebo novším Nad nasledujúcimi zariadeniami je možné vykonávať dohľad automaticky po registrácii v Apple School Manageri alebo Apple Business Manageri:

• iOS zariadenia so systémom iOS 13 alebo novším • iPad so systémom iPadOS 13.1 alebo novším • Apple TV so systémom tvOS 13 alebo novším • Počítače Mac so systémom macOS 10.15 alebo novším

Obmedzenia zariadení Správcovia môžu zapnúť obmedzenia (prípadne ich vypnúť) a zabrániť tak užívateľom v prístupe ku konkrétnym apkám, službám alebo funkciám zariadenia. Obmedzenia sú do zariadení odosielané v objeme dát obmedzení, ktorý je súčasťou konfiguračného profilu. Obmedzenia je možné aplikovať na iOS, iPadOS, macOS a tvOS zariadenia. Niektoré obmedzenia z iPhonu môžu byť zrkadlené aj na Apple Watch.

Zámok aktivácie Správa Zámku aktivácie umožňuje organizáciám využívať hlavnú výhodu tejto funkcie, ktorou je odrádzanie od odcudzenia zariadení, a zároveň im poskytuje možnosť odstrániť Zámok aktivácie zo zariadení v ich vlastníctve. Správu Zámku aktivácie je možné používať na iPhonoch, iPadoch, iPodoch touch a počítačoch Mac, ktoré sa zobrazujú v Apple School Manageri alebo Apple Business Manageri a sú registrované v riešení správy mobilných zariadení (MDM).

V závislosti od konkrétneho zariadenia sa organizácia môže rozhodnúť Zámok aktivácie zapnúť alebo povoliť. So zapnutým Zámkom aktivácie bude servery Apple so žiadosťou o zamknutie alebo odomknutie zariadenia kontaktovať riešenie MDM (nie užívateľ). S povoleným Zámkom aktivácie môžu zariadenia vo vlastníctve organizácie zamykať priamo užívatelia pomocou svojich iCloud účtov.

Zabezpečenie platforiem Apple 143 Zapnutie a vypnutie Zámku aktivácie na iPhone, iPade a iPode touch Zámok aktivácie je na zariadeniach v Apple School Manageri alebo Apple Business Manageri možné kedykoľvek zapnúť pomocou riešenia MDM. Pri tomto spôsobe používania Zámku aktivácie ho užívatelia nemôžu vypnúť na zariadeniach a zároveň nemusia zapínať službu Nájsť.

Toto nastavenie je užitočné predovšetkým v prípade užívateľov, ktorí používajú spravované Apple ID z Apple School Managera alebo Apple Business Managera, pretože spravované Apple ID nemôžu používať službu Nájsť. V prípade potreby je zariadenie možné odstrániť zo Zámku aktivácie na diaľku prostredníctvom riešenia MDM. Ak má organizácia fyzický prístup k zariadeniu, môže navyše:

• Na obrazovke zámku aktivácie zadať kód riešenia MDM na obídenie Zámku aktivácie. • Zadať užívateľské meno a heslo správcu zariadenia z Apple School Managera alebo Apple Business Managera, ktorý vytvoril token registrácie zariadenia prepájajúci riešenie MDM s Apple School Managerom alebo Apple Business Managerom.

Povolenie Zámku aktivácie na iPhone, iPade, iPode touch a Macu Organizácie môžu na zariadeniach pod dohľadom povoliť Zámok aktivácie pomocou riešenia MDM. Môžu tak využívať hlavnú výhodu tejto funkcie, odrádzanie od odcudzenia, a zároveň si ponechať možnosť obísť Zámok aktivácie pre prípad, keď sa užívateľ z nejakého dôvodu nedokáže autentifikovať pomocou svojho Apple ID (napríklad po opustení organizácie).

Keďže Zámok aktivácie je na zariadeniach pod dohľadom štandardne zakázaný, po jeho zapnutí môže kľúč na jeho obídenie uchovať riešenie MDM. Tento kód na obídenie je možné použiť na automatické odstránenie Zámku aktivácie, keď je potrebné zariadenie vymazať a priradiť novému užívateľovi. Riešenie MDM môže získať kód na obídenie a umožniť užívateľovi povoliť Zámok aktivácie na zariadení za základe nasledujúcich podmienok:

• Po zapnutí služby Nájsť v riešení MDM umožňujúcom používanie Zámku aktivácie bude zámok aktivácie okamžite zapnutý. • Po vypnutí služby Nájsť v riešení MDM umožňujúcom používanie Zámku aktivácie bude Zámok aktivácie zapnutý, keď užívateľ najbližšie aktivuje službu Nájsť. V systéme iOS a iPadOS sú kódy na obídenie k dispozícii15 dní po prvom začatí dohľadu nad zariadením, prípadne kým ich riešenie MDM explicitne nezíska a priamo nevymaže. Ak riešenie MDM nezíska kód na obídenie do 15 dní, neskôr ho už nebude možné získať.

Poznámka: Na počítačoch Mac so systémom macOS 10.15 nie je možné zapnúť Zámok aktivácie pomocou MDM. Je však možné zabrániť v jeho zapnutí užívateľom, ktorí zapli službu Nájsť. Zámok aktivácie je taktiež štandardne zakázaný na počítačoch Mac s bezpečnostným čipom Apple T2, ktoré používajú MDM schválené užívateľom a boli upgradované na macOS 10.15. Spravovanie Zámku aktivácie v nových inštaláciách (nie upgradoch zo starších verzií systému) systému macOS 10.15 vyžaduje pridanie zariadenia do Apple School Managera alebo Apple Business Managera a registráciu v MDM.

Zabezpečenie platforiem Apple 144 Kódy na obídenie a kľúče obnovy Kódy na obídenie a kľúče obnovy, ktoré riešenie MDM používa na správu Zámku aktivácie, sú nevyhnutné pri odstraňovaní Zámku aktivácie. Je preto potrebné ich zabezpečiť a pravidelne zálohovať. Pri zmene dodávateľa riešenia MDM je kritické uchovať si ich kópiu alebo odstrániť Zámok aktivácie zo všetkých registrovaných zariadení.

Režim Stratené, vzdialené vymazanie a vzdialené zamknutie

Režim Stratené Ak dôjde ku strate alebo odcudzeniu iOS alebo iPadOS zariadenia pod dohľadom so systémom iOS 9 alebo novším, správca MDM na ňom môže na diaľku aktivovať režim Stratené. Po aktivácii režimu Stratené dôjde k odhláseniu aktuálneho užívateľa a zariadenie nebude možné odomknúť. Na obrazovke sa zobrazí správa (jej obsah môže správca upraviť), napríklad telefónne číslo, na ktoré je potrebné zavolať v prípade nájdenia zariadenia. Po prechode zariadenia do režimu Stratené môže správca požiadať zariadenie o odoslanie jeho aktuálnej polohy a voliteľne prehrať zvuk na zariadení. Keď správca vypne režim Stratené, čo je jediný spôsob ako tento režim opustiť, užívateľ bude informovaný o tejto akcii prostredníctvom správy na zamknutej obrazovke alebo upozornenia na ploche.

Vzdialené vymazanie a vzdialené zamknutie iOS, iPadOS a macOS zariadenia je možné na diaľku vymazať správcom alebo užívateľom (okamžité vzdialené vymazanie je k dispozícii len v prípade, keď je na Macu zapnutý FileVault). Okamžité vzdialené vymazanie je možné dosiahnuť zabezpečeným odstránením kľúča médií z umiestnenia Vymazateľné úložisko, čím sa všetky dáta stanú nečitateľné. Príkaz na vzdialené vymazanie je možné spustiť pomocou správy mobilných zariadení (MDM), protokolu Microsoft Exchange ActiveSync alebo pomocou iCloudu. Mac po prijatí príkazu na vzdialené vymazanie odošle potvrdenie o jeho prijatí a vykoná vymazanie. Pri používaní vzdialeného zamknutia MDM vyžaduje, aby sa na Macu používal šesťciferný kód, ktorý uzamkne počítač pred každým užívateľom až do jeho zadania.

Keď príkaz na vzdialené vymazanie spustí MDM alebo iCloud, zariadenie odošle potvrdenie o jeho prijatí a vykoná vymazanie. Pri vzdialenom vymazaní prostredníctvom protokolu Microsoft Exchange ActiveSync zariadenie najprv overí túto akciu na serveri Microsoft Exchange a potom vykoná vymazanie. Vzdialené vymazanie nie je možné v dvoch situáciách:

• Ak sa na zariadení používa registrácia užívateľa • Cez protokol Microsoft Exchange ActiveSync, keď bol účet nainštalovaný pomocou Registrácie užívateľa Užívatelia môžu vymazať iOS a iPadOS zariadenia vo svojom vlastníctve aj pomocou apky Nastavenia. Zariadenia je taktiež možné nastaviť na automatické vymazanie po sérii neúspešných pokusov o zadanie kódu.

Zabezpečenie platforiem Apple 145 Zdieľaný iPad

Prehľad funkcie Zdieľaný iPad Zdieľaný iPad je režim pre viacerých užívateľov určený na nasadenie iPadu. Umožňuje viacerým užívateľom používať jeden iPad, pričom dokumenty a dáta jednotlivých užívateľov budú oddelené. Každý užívateľ získa svoje vlastné súkromné vyhradené úložisko, ktoré je implementované ako APFS oddiel chránený prihlasovacími údajmi užívateľa. Zdieľaný iPad vyžaduje spravované Apple ID, ktoré vydáva a vlastní organizácia, a ktoré umožňujú užívateľom prihlasovať sa na ľubovoľných zariadeniach vo vlastníctve organizácie nastavených pre viacerých užívateľov. Dáta užívateľov sú rozdelené do samostatných adresárov, pričom každý z nich má vlastné domény ochrany dát chránené povoleniami UNIX a sandboxom. V systéme iPadOS 13.4 a novších verziách sa užívatelia môžu prihlásiť aj do dočasnej relácie. Po odhlásení užívateľa z dočasnej relácie bude príslušný APFS oddiel vymazaný a vyhradené miesto bude pridelené späť systému.

Prihlásenie na zdieľanom iPade Pri prihlasovaní do zdieľaného iPadu sú podporované natívne aj zjednotené spravované Apple ID. Pri prvom použití zjednoteného účtu bude užívateľ presmerovaný na portál prihlásenia poskytovateľa identity (IdP). Po autentifikácii bude vydaný krátkodobý prístupový token na zabezpečenie spravovaných Apple ID a proces prihlasovania bude pokračovať podobne ako pri prihlasovaní s natívnymi spravovanými Apple ID. Po prihlásení Sprievodca nastavením na zdieľanom iPade vyzve užívateľa na vytvorenie kódu (prihlasovacích údajov), ktoré slúžia na zabezpečenie lokálnych dát na zariadení a na autentifikáciu na prihlasovacej obrazovke. Podobne ako na zariadení s jedným užívateľom, kde sa musí užívateľ jednorazovo prihlásiť do svojho spravovaného Apple ID pomocou zjednoteného účtu a potom zariadenie odomknúť pomocou kódu, na zdieľanom iPade sa užívateľ jednorazovo prihlási pomocou zjednoteného účtu a ďalej už bude používať svoj kód.

Keď sa užívateľ prihlási bez zjednotenej autentifikácie, spravované Apple ID sa overí pomocou serverov identity spoločnosti Apple (IDS) s využitím protokolu SRP. V prípade úspešnej autentifikácie bude vydaný krátkodobý prístupový token špecifický pre dané zariadenie. Ak užívateľ už používal dané zariadenie, má vytvorený lokálny užívateľský účet, ktorý bude môcť odomknúť pomocou svojich prihlasovacích údajov.

Ak užívateľ ešte nepoužíval dané zariadenie alebo vytvoril dočasnú reláciu, zdieľaný iPad poskytne nové ID užívateľa systému UNIX, APFS oddiel na uchovanie osobných dát užívateľa a lokálnu kľúčenku. Keďže úložisko pre užívateľa je alokované (rezervované) pri vytváraní APFS oddielu, je možné, že na zariadení nebude dostatok voľného miesta na vytvorenie nového oddielu. V takom prípade systém nájde užívateľa, ktorého dáta už sú synchronizované v cloude, a odstráni ho zo zariadenia, aby sa nový užívateľ mohol prihlásiť. Ak by nastala nepravdepodobná situácia, keď nie je dokončená synchronizácia dát žiadneho z existujúcich užívateľov, prihlasovanie nového užívateľa zlyhá. Nový užívateľ bude pred prihlásením musieť počkať na dokončenie synchronizácie dát niektorého z existujúcich užívateľov, prípadne bude musieť správca nútene vymazať existujúci užívateľský účet. Pri takomto zásahu správcu však hrozí strata dát.

Zabezpečenie platforiem Apple 146 Ak zariadenie nie je pripojené na internet (napríklad keď užívateľ nemá prístup k Wi-Fi sieti), užívatelia sa po obmedzený čas (niekoľko dní) môžu autentifikovať v lokálnych účtoch. V takýchto prípadoch sa budú môcť prihlásiť len užívatelia, ktorí už majú na zariadení vytvorený lokálny účet, prípadne užívatelia využívajúci dočasné relácie. Po uplynutí časového limitu sa budú musieť užívatelia autentifikovať online, aj keď už mali vytvorené lokálne účty na zariadení.

Po odomknutí alebo vytvorení lokálnych účtov užívateľov a po ich autentifikácii na diaľku bude krátkodobý token vydaný spoločnosťou Apple konvertovaný na iCloudový token, ktorý umožňuje prihlasovanie do iCloudu. Následne sa obnovia nastavenia užívateľov a ich dokumenty a dáta sa zosynchronizujú z iCloudu.

Kým je relácia užívateľa aktívna a zariadenie zostáva online, dokumenty a dáta sa budú počas vytvárania alebo úprav priebežne uchovávať v iCloude. Mechanizmus synchronizácie na pozadí navyše zaisťuje, že zmeny sa po odhlásení užívateľa odošlú do iCloudu alebo iných webových služieb použitím relácie NSURLSession na pozadí. Po dokončení synchronizácie užívateľa na pozadí sa APFS oddiel daného užívateľa odpojí a nebude ho možné opäť pripojiť prihlásenia užívateľa.

Dáta z dočasných relácií nie sú synchronizované s iCloudom. Dočasná relácia sa dokáže prihlásiť do služieb tretích strán na synchronizáciu dát, napríklad Box alebo Disk Google, po ukončení dočasnej relácie však nebude možné pokračovať v synchronizácii dát.

Odhlásenie zo zdieľaného iPadu Keď sa užívateľ odhlási zo zdieľaného iPadu, užívateľský keybag daného užívateľa sa okamžite zamkne a všetky apky sa zatvoria. Aby sa nový užívateľ mohol čo najrýchlejšie prihlásiť, systém iPadOS odloží niektoré bežné akcie prebiehajúce pri odhlásení a zobrazí novému užívateľovi prihlasovacie okno. Ak sa v stanovenom čase (približne 30 sekúnd) prihlási ďalší užívateľ, zdieľaný iPad vykoná ako súčasť prihlasovania do nového užívateľského účtu oneskorené vyčistenie. Oneskorené vyčistenie sa spustí aj v prípade, keď bude zdieľaný iPad nečinný. Počas fázy čistenia sa prihlasovacie okno reštartuje, akoby došlo k ďalšiemu odhláseniu.

Po ukončení dočasnej relácie zdieľaný iPad vykoná úplné odhlásenie a okamžite vymaže APFS oddiel dočasnej relácie.

Čas pred obrazovkou Čas pred obrazovkou je funkcia v systéme iOS 12 a novšom, iPadOS a systéme macOS 10.15 alebo novšom a je súčasťou niektorých funkcií watchOS. Táto funkcia umožňuje užívateľom lepšie porozumieť spôsobu, akým používajú apky a webové stránky, a kontrolovať ich používanie. Užívatelia môžu zároveň sledovať tieto informácie a kontrolovať používanie apiek a webových stránok u vlastných detí. Hoci Čas pred obrazovkou nie je nová systémová bezpečnostná funkcia, je dôležité pochopiť, ako Čas pred obrazovkou chráni zabezpečenie a súkromie dát, ktoré sú zhromažďované a zdieľané medzi jednotlivými zariadeniami.

V Čase pred obrazovkou existujú dva typy užívateľov: dospelí užívatelia a deti.

Zabezpečenie platforiem Apple 147 Funkcia Podporovaný operačný systém

Zobrazenie dát o používaní iOS iPadOS macOS

Vynútenie dodatočných obmedzení iOS iPadOS macOS

Nastavenie limitov používania webu iOS iPadOS macOS

Nastavenie limitov pre apky iOS iPadOS macOS watchOS​

Konfigurácia odpočinku iOS iPadOS macOS watchOS​

Užívatelia, ktorý spravujú používanie svojho vlastného zariadenia, môžu synchronizovať nastavenia a dáta o používaní Času pred obrazovkou medzi zariadeniami priradenými k rovnakému iCloud účtu pomocou E2EE šifrovania v CloudKite. V účte užívateľa musí byť zapnutá dvojfaktorová autentifikácia (synchronizácia je štandardne vypnutá). Čas pred obrazovkou nahrádza funkciu Obmedzenia z predchádzajúcich verzií iOS.

V systéme iOS 13, iPadOS 13.1 a macOS 10.15 užívatelia Času pred obrazovkou a spravované deti automaticky zdieľajú dáta o používaní medzi zariadeniami, pokiaľ je v ich iCloud účte zapnutá dvojfaktorová autentifikácia. Keď užívateľ vyčistí históriu Safari alebo vymaže apku, príslušné dáta o používaní budú zároveň odstránené zo zariadenia a všetkých synchronizovaných zariadení.

Rodičia a Čas pred obrazovkou Rodičia môžu používať Čas pred obrazovkou na iOS, iPadOS a macOS zariadeniach svojich detí. Umožňuje im to lepšie pochopiť spôsob, akým sú tieto zariadenia používané, a ovládať ich. Ak je rodič organizátorom rodiny (v iCloud rodinnom zdieľaní), môže si prezerať dáta o používaní a spravovať nastavenia Času pred obrazovkou pre svoje deti. Deti sú vždy informované o zapnutí Času pred obrazovkou rodičmi a zároveň môžu samy monitorovať vlastné používanie zariadenia. Rodičia si pri zapnutí Času pred obrazovkou pre deti nastavia kód, ktorý bude deťom brániť vo vykonávaní zmien. Po dosiahnutí 18 rokov (v závislosti od krajiny alebo regiónu) môžu deti tento monitoring vypnúť.

Dáta o používaní a nastavenia sa prenášajú medzi zariadeniami rodiča a dieťaťa pomocou protokolu Apple Identity Service (IDS) zabezpečeného E2EE šifrovaním. Šifrované dáta je možné nakrátko uložiť na serveroch IDS, až kým nebudú prečítané prijímajúcim zariadením (napríklad do zapnutia iPhonu, iPadu alebo iPodu touch, pokiaľ boli vypnuté). Spoločnosť Apple nedokáže prečítať tieto dáta.

Zabezpečenie platforiem Apple 148 Analytika Času pred obrazovkou Keď užívateľ zapne zdieľanie analytiky iPhonu a hodiniek, budú zhromažďované nasledujúce anonymizované dáta, ktoré spoločnosti Apple umožnia lepšie porozumieť spôsobu, akým sa používa Čas pred obrazovkou:

• Či bol Čas pred obrazovkou zapnutý v Sprievodcovi nastavením alebo neskôr v Nastaveniach • Zmena v používaní položky Kategória po vytvorení limitu pre danú kategóriu (do 90 dní) • Či je Čas pred obrazovkou zapnutý • Či je zapnutý Odpočinok • Počet použití požiadavky Požiadať o viac času • Počet limitov pre apky • Počet zobrazení informácií o používaní v nastaveniach času pred obrazovkou, typ na užívateľa a na zobrazenie (lokálne, vzdialené, widget) • Koľkokrát užívatelia ignorujú limit, typ na užívateľa • Koľkokrát užívatelia vymažú limit, typ na užívateľa Spoločnosť Apple nezbiera žiadne údaje o používaní konkrétnych apiek ani webových stránok. Ikony apiek v zozname apiek v informáciách o používaní Času pred obrazovkou sú získavané priamo z App Storu, ktorý neuchováva žiadne dáta z týchto žiadostí.

Zabezpečenie platforiem Apple 149 Certifikácie spoločnosti Apple v oblasti zabezpečenia a ochrany súkromia

Prehľad certifikácií spoločnosti Apple v oblasti zabezpečenia a ochrany súkromia Spoločnosť Apple podrobuje poskytovaný hardvér, softvér (vrátane operačných systémov a apiek) a služby nezávislým certifikáciám a atestáciám. Zákazníci tak majú k dispozícii nezávislé hodnotenie postupov spoločnosti Apple v oblasti zabezpečenia a ochrany súkromia. V prípade akýchkoľvek otázok týkajúcich sa certifikácií zabezpečenia a ochrany súkromia nás kontaktujte na adrese [email protected].

Certifikácie hardvéru Informácie o verejných certifikáciách súvisiacich s hardvérovými a príslušnými firmvérovými komponentmi nájdete na stránkach:

• Certifikácie zabezpečenia týkajúce sa bezpečnostného čipu Apple T2 • Certifikácie zabezpečenia týkajúce sa procesora Secure Enclave

Certifikácie softvéru Informácie o verejných certifikáciách súvisiacich s operačnými systémami spoločnosti Apple nájdete na stránkach:

• Certifikácie zabezpečenia produktov so systémom iOS

• Certifikácie zabezpečenia produktov so systémom iPadOS • Certifikácie zabezpečenia produktov so systémom macOS • Certifikácie zabezpečenia produktov so systémom tvOS • Certifikácie zabezpečenia produktov so systémom watchOS

Certifikácie služieb Informácie o verejných certifikáciách súvisiacich s internetovými službami spoločnosti Apple nájdete na stránke:

• Certifikácie internetových služieb spoločnosti Apple

Zabezpečenie platforiem Apple 150 Záruka zabezpečenia produktov Apple Certifikácie zabezpečenia sú súčasťou komplexného prístupu spoločnosti Apple k zabezpečeniu a poskytujú zákazníkom patričnú záruku bezpečnosti na všetkých platformách Apple. Komplexné a globálne akceptované štandardy certifikácie zabezpečenia však zatiaľ neboli prijaté vo všetkých technických oblastiach. Spoločnosť Apple sa pri vydaní hlavných verzií operačných systémov každoročne usiluje o udelenie viacerých dobre definovaných a globálne akceptovaných certifikácií. V záujme pokrytia nedostatočne zastúpených oblastí sa spoločnosť Apple aktívne zapája do vývoja vznikajúcich štandardov zabezpečenia. Jej cieľom je raziť cestu pre komplexnú a globálne akceptovanú certifikáciu zabezpečenia naprieč všetkým hardvérom, softvérom a službami spoločnosti Apple.

Certifikácie a validácie hardvéru a softvéru V rámci komplexného vývoja a správy celých platforiem od kremíkových čipov po operačné systémy, služby a apky využíva spoločnosť Apple stavebné bloky certifikácie, ktoré sa podľa možnosti dajú uplatniť na viacerých platformách. Jedným z týchto blokov je validácia kódu corecrypto. Používa sa pri nasadzovaní všetkých softvérových a hardvérových kryptografických modulov v operačných systémoch vyvinutých spoločnosťou Apple. Druhým stavebným blokom je certifikácia modulu Secure Enclave Processor, ktorý je v súčasnej dobe súčasťou mnohých Apple zariadení. Tretím je certifikácia modulu Secure Element používaného vo všetkých iPhonoch a počítačoch Mac s Touch ID. Tieto hardvérové stavebné bloky certifikácie tvoria základy pre širšie certifikácie zabezpečenia platforiem.

Overenie šifrovacích modulov FIPS 140-2/3 (ISO/IEC 19790) Šifrovacie moduly v operačných systémoch spoločnosti Apple boli vždy po vydaní hlavnej verzie operačných systémov od roku 2012 opakovane overené v rámci akreditačného programu Cryptographic Module Validation Program (CMVP) ako vyhovujúce normám U.S. Federal Information Processing Standards (FIPS) 140-2. Spoločnosť Apple odosiela tieto moduly agentúre CMVP na plné kryptografické overenie vždy po vydaní hlavnej verzie operačného systému. Takto overené moduly zabezpečujú kryptografické operácie pre služby poskytované spoločnosťou Apple a sú k dispozícii aj pre apky tretích strán.

Spoločnosť Apple každý rok dosahuje Bezpečnostnú úroveň 1 pre softvérové moduly: „CoreCrypto Module on Intel“ a „CoreCrypto Kernel Module on Intel“ pre macOS, „CoreCrypto Module on ARM“ a „CoreCrypto Kernel Module on ARM“ pre iOS, iPadOS, tvOS, watchOS a firmvér na vstavanom bezpečnostnom čipe Apple T2 na Macu.

V roku 2019 spoločnosť Apple dosiahla Bezpečnostnú úroveň 2 FIPS pre vstavané hardvérové moduly identifikované ako „Apple Secure Enclave Processor (SEP) Secure Key Store (SKS) Cryptographic Module“, takže kľúče generované a spravované pomocou SEP je možné používať na účely schválené štátnymi orgánmi. Spoločnosť Apple bude podľa potreby pokračovať v úsilí o dosahovanie najvyššej úrovne pre hardvérový modul v každej ďalšej hlavnej verzii operačných systémov.

Zabezpečenie platforiem Apple 151 Norma FIPS 140-3 bola schválená ministerstvom obchodu USA v roku 2019. Najvýraznejšia zmena v tejto verzii je používanie štandardov ISO/IEC, ISO/IEC 19790:2015 a súvisiaceho testovacieho štandardu ISO/IEC 24759:2017. Agentúra CMVP iniciovala program prechodu a oznámila, že od roku 2020 budú šifrovacie moduly overované na základe normy FIPS 140- 3. Šifrovacie moduly spoločnosti Apple sa budú snažiť splniť a prejsť na normu FIPS 140-3 čo najskôr, ako to bude prakticky možné.

Šifrovacie moduly, ktoré práve prechádzajú procesom testovania a validácie, sa v rámci CMVP evidujú v dvoch samostatných zoznamoch, ktoré môžu obsahovať informácie o navrhovaných validáciách. Šifrovacie moduly testované v akreditovanom laboratóriu môžu byť uvedené v zozname Implementation Under Test List (zoznam testovaných implementácií). Po odovzdaní do programu CMVP na validáciu sa šifrovací modul môže objaviť s zozname Modules in Process List (zoznam spracovávaných modulov). Ak krátko po vydaní hlavnej verzie operačného systému potrebujete zistiť stav overenia šifrovacích modulov, pozrite sa najprv do týchto dvoch zoznamov.

Certifikácie produktov (Common Criteria ISO/IEC 15408) Common Criteria (ISO/IEC 15408) je štandard, ktorý mnohé organizácie využívajú ako základ pri vyhodnocovaní zabezpečenia IT produktov.

Informácie o certifikáciách, ktoré môžu byť navzájom uznávané v rámci medzinárodnej dohody Common Criteria Recognition Arrangement (CCRA), nájdete na stránke Common Criteria Portal. Štandard Common Criteria môžu okrem CCRA využívať aj národné a súkromné validačné schémy.

Deklarovaným cieľom komunity Common Criteria je medzinárodne uznávaný súbor bezpečnostných štandardov umožňujúci transparentné a spoľahlivé vyhodnocovanie zabezpečenia produktov v oblasti informačných technológií. Certifikácia Common Criteria poskytuje nezávislé hodnotenie spôsobilosti produktu spĺňať bezpečnostné štandardy, čo dáva zákazníkom väčšiu dôveru v bezpečnosť IT produktu a umožňuje im vykonávať informované rozhodnutia.

Prostredníctvom dohody Common Criteria Recognition Arrangement (CCRA) sa členské krajiny a oblasti dohodli na vzájomnom uznávaní certifikácie IT produktov s rovnakou úrovňou dôveryhodnosti. Členská základňa sa spolu s šírkou a hĺbkou profilov ochrany (Protection Profiles, PPs) každoročne rozrastá a priebežne pokrýva novovznikajúce technológie. Táto dohoda umožňuje vývojárom produktu získať jedinú certifikáciu v rámci ktorejkoľvek z autorizačných schém.

Staršie PP profily sú postupne archivované a nahrádzané novými cielenými profilmi ochrany, ktoré sa zameriavajú na konkrétne riešenia a prostredia. V rámci spoločného úsilia všetkých členov CCRA o dosiahnutie priebežného vzájomného uznania sa medzinárodná technická komunita (International Technical Community, iTC) snaží smerovať všetok vývoj PP profilov v budúcnosti ku kolaboratívnym profilom ochrany (Collaborative Protection Profiles, cPP), do vývoja ktorých boli od počiatku zapojené viaceré schémy.

Dokumenty obsahujúce požiadavky na zabezpečenie, ktorých splnenie sa vyhodnocuje pri IT produktoch, sa nazývajú bezpečnostný cieľ (Security Target, ST). Zariadenie, ktoré chce získať uvedené osvedčenie, musí byť skonfigurované v súlade s príslušnými pokynmi v dokumente.

Zabezpečenie platforiem Apple 152 Toto osvedčenie získané splnením štandardov Common Criteria je vyjadrené pomocou požiadaviek na záruku zabezpečenia, ktoré môžu byť špecifikované v PP profiloch alebo bezpečnostnom cieli. Bežne používané súbory požiadaviek sú zoskupené v úrovniach hodnotenia záruk (Evaluation Assurance Levels, EAL) a na zaistenie vzájomnej porovnateľnosti môžu byť špecifikované v PP profiloch a bezpečnostnom cieli.

Spoločnosť Apple sa začala usilovať o certifikácie v rámci tejto novej štruktúry Common Criteria s vybranými PP profilmi začiatkom roka 2015. Od roku 2015 získala spoločnosť Apple certifikáty Common Criteria (ISO/IEC 15408) pre každé hlavné vydanie iOS a rozšírila pokrytie na záruky, ktoré pokrývajú nové PP profily. Patria medzi ne:

iOS a iPadOS na mobilných zariadeniach (iPhone a iPad)

• Certifikácia mobilných zariadení • Profil základnej ochrany mobilných zariadení (certifikácia platformy) • PP-modul pre agenta MDM (MDM správa platformy) • Funkčný balík pre TLS (všetka TLS komunikácia z platformy a do nej) • PP-modul pre VPN klienta (Vždy zapnuté VPN, IKEv2, IPSEC) • Rozšírený balík pre klientov bezdrôtovej LAN (overený a šifrovaný bezdrôtový prístup)

• Certifikácia apiek • Aplikačný softvér (Kontakty) • Rozšírený balík pre webové prehliadače (prehliadač Safari) Spoločnosť Apple prevzala aktívnu úlohu v technických komunitách, ktoré sa sústredia na vyhodnocovanie zabezpečenia mobilných technológií. Patrí medzi ne aj komunita iTC, ktorá je zodpovedná za vývoj a aktualizáciu cPP profilov. Spoločnosť Apple predbežne vyhodnocuje plnenie aktuálnych a vyvíjaných PP a cPP profilov a usiluje sa získať príslušné certifikáty.

Certifikáciu platforiem spoločnosti Apple pre severoamerický trh vo všeobecnosti vykonáva organizácia National Information Assurance Partnership (NIAP), ktorá zároveň vedie zoznam aktuálne vyhodnocovaných projektov, ktoré zatiaľ nie sú certifikované. Okrem uvedených všeobecných certifikátov platforiem boli spoločnosti Apple udelené ďalšie certifikáty CC, ktorých cieľom je demonštrovať požiadavky na zabezpečenie špecifické pre niektoré trhy.

Certifikácie služieb Spoločnosť Apple Inc. je držiteľom certifikácií v súlade s normami ISO 27001 a 27018, aby svojim zákazníkom umožnila plniť ich regulačné a zmluvné záväzky. Tieto certifikácie poskytujú našim zákazníkom nezávislé osvedčenie o postupoch spoločnosti Apple v oblasti zabezpečenia informácií a ochrany osobných údajov v prípade systémov, ktorých sa tieto postupy týkajú.

• Certifikácie internetových služieb spoločnosti Apple

Zabezpečenie platforiem Apple 153 Glosár

Termín Definícia

Address Space Layout Randomization (Náhodné Technika využívaná systémom iOS, ktorá výrazne určenie štruktúry adresného priestoru, ASLR) sťažuje úspešné zneužitie softvérovej chyby. Vďaka tomu, že pamäťové adresy a offsety sú nepredvídateľné, nie je možné ich napevno zakódovať do škodlivého kódu zneužívajúceho slabiny systému. V iOS 5 alebo novšom je umiestnenie všetkých systémových apiek a knižníc určované náhodným spôsobom, a podobne všetky apky tretích strán sa kompilujú ako spustiteľné súbory nezávislé od pamäťovej pozície.

AES Advanced Encryption Standard (Pokročilý šifrovací štandard).

AES krypto systém Vyhradený hardvérový komponent využívajúci AES.

AES-XTS Režim AES definovaný v norme IEEE 1619-2007 určený na prácu so šifrovacími úložnými médiami.

APFS Apple File System.

Apple Identity Service (Služba identít, IDS) Adresár spoločnosti Apple obsahujúci verejné kľúče iMessage, adresy APNs a telefónne čísla a emailové adresy, ktoré sa používajú na vyhľadávanie kľúčov a adries zariadení.

Apple Security Bounty (Bezpečnostná odmena Apple) Odmena poskytovaná spoločnosťou Apple výskumníkom, ktorí nahlásia bezpečnostné slabiny v najnovších verziách operačných systémov a v niektorých prípadoch aj najnovšom hardvéri.

Autorizácia systémového softvéru Kombinuje kryptografické kľúče vstavané do hardvéru a online služby s cieľom zaistiť, že v čase upgradovania bude stiahnutý a nainštalovaný len legitímny softvér od spoločnosti Apple, vhodný pre podporované zariadenia.

Boot Camp Boot Camp podporuje inštaláciu systému Microsoft Windows na Macu.

Boot Progress Register (Register priebehu spúšťania, Zostava hardvérových značiek SoC, ktoré môže softvér BPR) používať na sledovanie režimov spustenia, v ktorých sa zariadenie nachádza, ako napríklad režim DFU a režim zotavovania. BPR po nastavení nie je možné vynulovať. Vďaka tomu môže neskôr spustený softvér získať dôveryhodný indikátor o stave systému.

CKRecord Slovník obsahujúci páry kľúčov a hodnôt, ktorý obsahuje dáta uložené v CloudKite alebo dáta z neho získané.

Zabezpečenie platforiem Apple 154 Termín Definícia

Data Protection (Ochrana dát) Mechanizmus ochrany súborov a Kľúčenky pre iOS. Môže tiež označovať rozhranie API, ktoré apky používajú na ochranu súborov a položiek Kľúčenky.

Dátový trezor Kernelom vynútený mechanizmus určený na ochranu pred neautorizovaným prístupom k dátam bez ohľadu na to, či apka, ktorá žiada o prístup k dátam, beží v sandboxe.

Device Firmware Upgrade (Upgrade firmvéru Režim, v ktorom kód štartovacej ROM čaká na zariadenia, DFU) zotavenie cez USB. Obrazovka je v režime DFU čierna, ale po pripojení k počítaču so spustenou apkou iTunes sa zobrazí nasledujúca výzva: „iTunes zistil (iPhone, iPad alebo iPod touch) v režime zotavenia. Užívateľ musí tento (iPhone, iPad alebo iPod touch) pred použitím s iTunes obnoviť.“

DMA Priamy prístup k pamäti umožňuje hardvérovým podsystémom prístup k hlavnej pamäti.

ECDSA Algoritmus digitálneho podpisu založený na šifrovaní s využitím eliptických kriviek.

Elliptic Curve Diffie-Hellman Exchange (Diffieho- Diffieho-Hellmanova metóda výmeny kľúčov s využitím Hellmanova metóda výmeny kľúčov s využitím eliptických kriviek a prechodných kľúčov. ECDHE eliptických kriviek, ECDHE) umožňuje dvom stranám dohodnúť sa na tajnom kľúči spôsobom, ktorý bráni zisteniu kľúča tretej strane sledujúcej komunikáciu medzi obomi stranami.

eSPI Vylepšená sériová periférna zbernica na synchrónnu sériovú komunikáciu.

Exclusive Chip Identification (Jedinečný identifikátor 64-bitový identifikátor, ktorý je unikátny pre procesor čipu, ECID) v každom iOS zariadení. Po prijatí hovoru na jednom zo zariadení spárovaných cez iCloud je zvonenie okolitých zariadení zastavené krátkym oznamovacím signálom cez nízkoenergetické rozhranie Bluetooth (BLE) 4.0. Bajty oznamovacieho signálu sú šifrované rovnakou metódou ako bajty oznámení funkcie Handoff. Keďže sa používa ako súčasť prispôsobenia, táto metóda nie je považovaná za tajnú.

Firmvér UEFI Unified Extensible Firmware Interface je technológia, ktorá nahradila BIOS a slúži na pripojenie firmvéru k operačnému systému zariadenia.

Group ID (ID skupiny, GID) Ekvivalent UID, ktorý je spoločný pre všetky procesory danej triedy.

Hardware security module (Hardvérový modul Špecializovaný počítač odolný voči neoprávnenej zabezpečenia, HSM) manipulácii, ktorý chráni a spravuje digitálne kľúče.

iBoot Kód, ktorý načítava XNU v rámci postupnosti zabezpečeného štartovania. V závislosti od generácie SoC môže byť iBoot načítaný z LLB alebo priamo štartovacou ROM.

Zabezpečenie platforiem Apple 155 Termín Definícia

Inicializačné softvérové bity Vyhradené bity v AES systéme Secure Enclave, ktoré sa počas generovania kľúčov z UID pripájajú k UID. Každý inicializačný softvérový bit má priradený zamykací bit. Boot ROM modulu Secure Enclave a operačný systém môžu nezávisle meniť hodnoty jednotlivých inicializačných softvérových bitov, pokiaľ nebol nastavený príslušný zamykací bit. Po nastavení zamykacieho bitu nebude možné upravovať ani inicializačný softvérový bit, ani zamykací bit. Inicializačné softvérové bity a príslušné zamykacie bity sa po reštartovaní modulu Secure Enclave resetujú.

Integrovaný obvod (IO) Známy tiež ako mikroprocesor.

Joint Test Action Group (Spoločná akčná testovacia Štandardný hardvérový nástroj na riešenie problémov skupina, JTAG) používaný programátormi a vývojármi obvodov.

Keybag Dátová štruktúra používaná na uchovávanie zbierky kľúčov triedy. Všetky typy (užívateľ, zariadenie, systém, záloha, úschova alebo iCloud Záloha) majú rovnaký formát. Hlavička obsahuje nasledujúce položky: Verzia (v iOS 12 alebo novšom nastavená na štyri), Typ (systém, záloha, úschova alebo iCloud Záloha), Keybag UUID, HMAC ak je keybag podpísaný a metóda používaná na zabalenie kľúčov triedy – zmiešanie s UID alebo PBKDF2, spolu s vlastnosťami salt a počítaním iterácií. Zoznam kľúčov tried: UUID kľúča, Trieda (trieda Data Protection súboru alebo kľúčenky), typ zabalenia (len kľúč odvodený z UID alebo kľúč odvodený z UID a kľúč odvodený z kódu), zabalený kľúč triedy a verejný kľúč pre asymetrické triedy

Kľúč médií Súčasť hierarchie šifrovacích kľúčov. Umožňuje vykonať bezpečné a rýchle vymazanie zariadenia. Kľúč médií v systémoch iOS, iPadOS, tvOS a watch​OS zabalí metadáta na dátovom oddiele (bez tohto kľúča nie je možné pristupovať ku kľúčom jednotlivých súborov, takže súbory chránené mechanizmom Data Protection sú neprístupné). V systéme macOS kľúč médií zabalí dáta tajných kľúčov, všetky metadáta a dáta na oddiele chránenom FileVaultom. V oboch vyššie uvedených prípadoch bude mať vymazanie kľúča médií za následok stratu prístupu k šifrovaným dátam.

Kľúč súborového systému Kľúč, ktorý zašifruje metadáta jednotlivých súborov vrátane príslušných kľúčov triedy. Uchováva sa vo vymazateľnom úložisku, ktoré umožňuje jeho rýchle vymazanie za cenu nižšieho utajenia.

Kľúčenka Infraštruktúra a sada API používané iOS a apkami tretích strán na uchovávanie a získavanie hesiel, kľúčov a ďalších citlivých údajov.

Low-Level Bootloader (Nízkoúrovňový spúšťací Na počítačoch Mac s dvojstupňovou architektúrou zavádzač, LLB) spúšťania sa takto označuje kód, ktorý je vyvolaný spúšťacou ROM a ktorý následne načíta iBoot ako súčasť postupnosti zabezpečeného štartovania.

NAND Stála pamäť typu flash.

Zabezpečenie platforiem Apple 156 Termín Definícia

Obstarávací profil Súbor .plist podpísaný spoločnosťou Apple, ktorý obsahuje sadu elementov a oprávnení umožňujúcich inštaláciu a testovanie apiek na iOS zariadení. Vývojársky obstarávací profil obsahuje zoznam zariadení, ktoré vývojár vybral na distribúciu ad hoc, a distribučný obstarávací profil obsahuje ID apky vyvinutej podnikom.

Per-file key (Individuálny kľúč súboru) 256-bitový kľúč slúžiaci na zašifrovanie súboru v súborovom systéme s použitím AES128-XTS, pričom 256-bitové šifrovanie sa rozdelí a bude poskytovať 128-bitový dolaďovací kľúč a 128-bitový šifrovací kľúč. Kľúč pre konkrétny súbor je zabalený kľúčom triedy a uchováva sa v metadátach súboru.

Radič pamäte Podsystém v SoC, ktorý ovláda rozhranie medzi SoC a jeho hlavnou pamäťou.

Radič SSD Hardvérový podsystém, ktorý spravuje úložné médiá (SSD jednotky).

Režim T2 DFU Režim Upgrade firmvéru zariadenia pre bezpečnostný procesor Apple T2.

Režim zotavovania Režim zotavovania slúži na obnovenie iOS zariadenia alebo Apple TV, pokiaľ iTunes (len pre iOS zariadenia) nerozpozná zariadenie užívateľa alebo ak oznámi, že je v režime zotavovania, ak je obrazovka zamrznutá na logu Apple počas niekoľkých minút bez indikátora priebehu alebo ak sa zobrazí obrazovka pripojenia k iTunes.

Ridge flow angle mapping (Uhlové mapovanie Matematická reprezentácia smerovania a šírky línií papilárnych línií) získaných z časti odtlačku prsta.

Služba Apple Push Notification (Apple push hlásenia, Celosvetová služba poskytovaná spoločnosťou APNs) Apple, ktorá doručuje push hlásenia na iOS a iPadOS zariadenia.

Správa mobilných zariadení (MDM) Služba, ktorá užívateľovi umožňuje na diaľku spravovať zaregistrované zariadenia. Po registrácii zariadenia môže užívateľ využívať službu MDM cez sieť na konfiguráciu nastavení a vykonávanie ďalších úloh na zariadení bez interakcie s užívateľom.

System Coprocessor Integrity Protection (Ochrana Systémové koprocesory sú procesory umiestnené na integrity systémových koprocesorov, SCIP) rovnakom SoC čipe ako aplikačný procesor.

System on Chip (Systém na čipe, SoC) Integrovaný obvod (IO), ktorý na jednom čipe obsahuje viacero komponentov. Aplikačný procesor, Secure Enclave a ďalšie koprocesory sú komponentmi SoC.

Štartovacia ROM Úplne prvý kód spúšťaný procesorom zariadenia pri prvom spustení. Je integrálnou súčasťou procesora a jeho úprava nie je možná ani spoločnosťou Apple, ani útočníkom.

Uniform Resource Identifier (Uniformný identifikátor Reťazec znakov, ktorý identifikuje prostriedok prostriedkov, URI) umiestnený na webe.

Zabezpečenie platforiem Apple 157 Termín Definícia

Unique ID (Jedinečný identifikátor, UID) 256-bitový AES kľúč, ktorý sa pri výrobe vypáli do každého procesora. Firmvér ani softvér ho nedokáže prečítať a používa ho výlučne AES systém hardvéru procesora. Na získanie samotného kľúča by útočník musel vykonať komplikovaný a drahý fyzický útok na silikónovú štruktúru procesora. UID nie je spojené so žiadnym iným identifikátorom na zariadení vrátane UDID.

Vymazateľné úložisko Vyhradená oblasť NAND úložiska slúžiaca na uchovávania šifrovacích kľúčov, na ktorú možno priamo odkazovať a vymazať ju zabezpečeným spôsobom. Hoci neposkytuje ochranu v prípade, že útočník má zariadenie fyzicky k dispozícii, kľúče uchovávané vo vymazateľnom úložisku je možné použiť ako súčasť hierarchie kľúčov umožňujúcej rýchle vymazanie a zvýšenie zabezpečenia.

XNU Kernel v srdci operačných systémov iOS a macOS. Považuje sa za dôveryhodný a vynucuje bezpečnostné opatrenia ako podpisovanie kódu, sandboxing, kontrola oprávnení a ASLR.

Zabalenie kľúča Zašifrovanie jedného kľúča druhým kľúčom. iOS používa metódu balenia kľúčov NIST AES podľa štandardu RFC 3394.

Zmiešavanie Proces, pri ktorom sa prístupový kód užívateľa zmení na šifrovací kľúč a posilní pomocou UID zariadenia. V prípade útoku na zariadenie tak musí byť použitá hrubá sila, čo obmedzí frekvenciu útokov a znemožní vykonávanie paralelných útokov. Zmiešavací algoritmus PBKDF2 využíva v každej iterácii pseudonáhodnú funkciu (PRF) tvorenú AES kódom kľúčovaným pomocou UID zariadenia.

Zabezpečenie platforiem Apple 158 História revízií dokumentu

Dátum Zhrnutie

Apríl 2020 Aktualizované pre: • iOS 13.4 • iPadOS 13.4 • macOS 10.15.4 • tvOS 13.4 • watchOS​ 6.2 Aktualizácie: • Odpájanie mikrofónu iPadu pridané do časti Hardvérové odpojenie mikrofónu na Macu a iPade. • Dátové trezory pridané do časti Ako spoločnosť Apple chráni osobné informácie užívateľov. • Aktualizácie v častiach Používanie BootStrap Tokenu, Nastavenie užívateľa, Nastavenie organizácie a Nástroje príkazového riadka. • Pridané informácie o nástroji na odstránenie malvéru v časti Ochrana proti malvéru. • Aktualizácie v časti Prehľad funkcie Zdieľaný iPad, Prihlásenie na zdieľanom iPade a Odhlásenie zo zdieľaného iPadu. • Nová téma Prehľad certifikácií spoločnosti Apple v oblasti zabezpečenia a ochrany súkromia. • Aktualizácie v časti Prehľad certifikácií spoločnosti Apple v oblasti zabezpečenia a ochrany súkromia a Záruka zabezpečenia produktov Apple.

December 2019 Zlúčenie dokumentov Bezpečnostná príručka pre iOS, Bezpečnostný prehľad macOS a prehľad bezpečnostného procesora Apple T2 Aktualizované pre: • iOS 13.3 • iPadOS 13.3 • macOS 10.15.2 • tvOS 13.3 • watchOS​ 6.1.1 Časti týkajúce sa ovládacích prvkov súkromia, Siri a návrhov Siri a inteligentnej prevencie pred sledovaním v Safari boli odstránené. Najnovšie informácie o týchto funkciách nájdete na stránke https://www.apple.com/ privacy/.

Zabezpečenie platforiem Apple 159 Dátum Zhrnutie

Máj 2019 Aktualizované pre iOS 12.3 • Podpora pre TLS 1.3 • Prepracovaný popis pre zabezpečenie AirDropu • Režim DFU a režim zotavenia • Požiadavky hesiel pre pripojenia príslušenstva

November 2018 Aktualizované pre iOS 12.1 • Skupinový FaceTime

September 2018 Aktualizované pre iOS 12 • Secure Enclave • Ochrana integrity OS • Expresná karta v režime Rezerva • Režim DFU a režim zotavenia • Príslušenstvo HomeKit TV Remote • Bezkontaktné karty • Študentské ID karty • Návrhy Siri • Skratky v Siri • Apka Skratky • Správa užívateľských hesiel • Čas pred obrazovkou • Bezpečnostné certifikáty a programy

Júl 2018 Aktualizované pre iOS 11.4 • Biometrické pravidlá • HomeKit • Apple Pay • Zákaznícky čet • Správy v iCloude • Apple Business Manager

December 2017 Aktualizované pre iOS 11.2 • Apple Pay Cash

Október 2017 Aktualizované pre iOS 11.1 • Bezpečnostné certifikáty a programy • Touch ID/Face ID • Zdieľané poznámky • E2EE šifrovanie v CloudKite • Aktualizácia TLS • Apple Pay, platby cez Apple Pay na internete • Návrhy Siri • Zdieľaný iPad

Zabezpečenie platforiem Apple 160 Dátum Zhrnutie

Júl 2017 Aktualizované pre iOS 10.3 • Secure Enclave • Ochrana dát súborov • Keybagy • Bezpečnostné certifikáty a programy • SiriKit • HealthKit​ • Zabezpečenie sietí • Bluetooth • Zdieľaný iPad • Režim Stratené • Zámok aktivácie • Ovládanie súkromia

Marec 2017 Aktualizované pre iOS 10 • Zabezpečenie systému • Triedy ochrany dát • Bezpečnostné certifikáty a programy • HomeKit, Replay​Kit, SiriKit • Apple Watch • Wi-Fi, VPN • Jednorazové prihlásenie • Apple Pay, platby cez Apple Pay na internete • Obstarávanie kreditných, debetných a predplatených kariet • Návrhy Safari

Máj 2016 Aktualizované pre iOS 9.3 • Spravované Apple ID • Dvojfaktorová autentifikácia pre Apple ID • Keybagy • Bezpečnostné certifikáty • Režim Stratené, Zámok aktivácie • Zabezpečené poznámky • Apple School Manager • Zdieľaný iPad

Zabezpečenie platforiem Apple 161 Dátum Zhrnutie

September 2015 Aktualizované pre iOS 9 • Zámok aktivácie pre Apple Watch • Pravidlá pre heslá • Podpora API pre Touch ID • Ochrana dát na A8 používa AES-XTS • Keybagy pre softvérové aktualizácie bez dozoru • Aktualizácie certifikátov • Model dôveryhodnosti pre podnikové apky • Ochrana dát pre záložky Safari • Zabezpečenie transportu apiek • Špecifikácie VPN • Vzdialený prístup k iCloudu pre HomeKit • Vernostné karty Apple Pay, apka vydavateľa karty Apple Pay • Indexácia Spotlightu na zariadení • Model párovania iOS • Apple Configurator 2 • Obmedzenia

Zabezpečenie platforiem Apple 162 Apple Inc. © 2020 Apple Inc. Všetky práva vyhradené.

Apple, logo Apple, AirDrop, AirPlay, Apple Music, Apple Pay, Apple TV, Apple Watch, CarPlay, Face ID, FaceTime, FileVault, Finder, FireWire, Handoff, iMac, iMac Pro, iMessage, iPad, iPad Air, iPhone, iPod, iPod touch, iTunes, iTunes U, Keychain, Lightning, Mac, MacBook, MacBook Air, MacBook Pro, macOS, Objective-C, OS X, QuickType, Safari, Siri, , Spotlight, Touch ID, TrueDepth, watchOS a Xcode sú ochranné známky spoločnosti Apple Inc. registrované v USA a ďalších krajinách.

Apple Books, Apple Wallet, HealthKit, HomeKit, HomePod, iPadOS, SiriKit a tvOS sú ochranné známky spoločnosti Apple Inc.

AppleCare, App Store, CloudKit, iCloud, iCloud Drive, iCloud Kľúčenka a iTunes Store sú známky služieb spoločnosti Apple Inc. registrované v USA a ďalších krajinách.

IOS je ochranná známka alebo registrovaná ochranná známka spoločnosti Cisco v USA a ďalších krajinách a používa sa na základe licencie.

Značka slova a logá Bluetooth® sú registrované ochranné známky spoločnosti Bluetooth SIG, Inc. a každé používanie takýchto značiek spoločnosťou Apple je na základe licencie.

Java je registrovaná ochranná známka spoločnosti Oracle alebo jej partnerov.

UNIX® je registrovaná ochranná známka organizácie The Open Group.

Ďalšie tu uvádzané názvy produktov a spoločností môžu byť ochranné známky ich príslušných spoločností. Produktové špecifikácie sa môžu zmeniť bez predchádzajúceho upozornenia.

Apple One Way Cupertino, CA 95014 apple.com

SL028-00205

Zabezpečenie platforiem Apple 163