حماية المفاتيح في أنماط التمهيد البديلة
تم تصميم حماية البيانات لتوفير الوصول إلى بيانات المستخدم بعد المصادقة الناجحة فقط، وللمستخدم المُعتمَد فقط. وتم تصميم فئات حماية البيانات لدعم مجموعة متنوعة من حالات الاستخدام، مثل القدرة على قراءة بعض البيانات وكتابتها حتى عندما يكون الجهاز مقفلاً (ولكن بعد إلغاء القفل لأول مرة). يتم اتخاذ خطوات إضافية لحماية الوصول إلى بيانات المستخدم أثناء أنماط التمهيد البديلة مثل تلك التي يتم استخدامها في نمط تحديث البرنامج الثابت للجهاز (DFU) أو نمط الاسترداد أو تشخيصات Apple أو حتى أثناء تحديث البرامج. وتستند هذه الإمكانات إلى مزيج من ميزات المكونات المادية والبرامج، وقد تم توسيعها مع تطور السيليكون الذي صممته Apple.
الميزة | A10 | A11 إلى A17 S3 إلى S9 M1 و M2 و M3 |
الاسترداد: محمي بكل فئات حماية البيانات |
|
|
أنماط التمهيد البديلة لكل من نمط DFU والاسترداد وتحديثات البرامج: حماية البيانات من الفئة A و B و C |
|
|
تم تزويد محرك Secure Enclave AES بوحدات بت جذرية برمجية قابلة للقفل. عند إنشاء المفاتيح من UID، يتم تضمين وحدات البت الجذرية هذه في دالة اشتقاق المفتاح لإنشاء تسلسلات هرمية إضافية للمفاتيح. تختلف طريقة استخدام البت الجذري وفقًا للنظام الموجود على الشريحة:
بدءًا من SoCs من فئة Apple A10 و S3، تم تخصيص بت جذري لتمييز المفاتيح المحمية برمز دخول المستخدم. يتم تعيين البت الجذري للمفاتيح التي تتطلب رمز دخول المستخدم (بما في ذلك مفاتيح الفئة A والفئة B والفئة C لحماية البيانات)، ومسحه للمفاتيح التي لا تتطلب رمز دخول المستخدم (بما في ذلك مفتاح بيانات تعريف نظام الملفات ومفاتيح الفئة D).
في iOS 13 أو أحدث و iPadOS 13.1 أو أحدث على الأجهزة التي تحتوي على A10 أو أحدث، يتم جعل جميع بيانات المستخدم غير قابلة للوصول إليها بطريقة مشفرة عند تمهيد الأجهزة في نمط التشخيصات. ويتم تحقيق ذلك من خلال إدخال بت جذري إضافي يتحكم إعداده في القدرة على الوصول إلى مفتاح الوسائط، وهو ضروري بحد ذاته للوصول إلى بيانات التعريف (وبالتالي المحتويات الخاصة بجميع الملفات) الموجودة على وحدة تخزين البيانات المشفرة باستخدام حماية البيانات. تشمل هذه الحماية الملفات المحمية في جميع الفئات (A و B و C و D)، وليس فقط تلك التي تتطلب رمز دخول المستخدم.
في A12 SoCs، تقوم Boot ROM في Secure Enclave بقفل البت الجذري لرمز الدخول إذا كان معالج التطبيقات قد دخل في نمط ترقية البرنامج الثابت للجهاز (DFU) أو وضع الاسترداد. عند قفل البت الجذري لرمز الدخول، لا يُسمح بإجراء أي عملية لتغييره. وهذا يمنع الوصول إلى البيانات المحمية برمز دخول المستخدم.
تؤدي استعادة الجهاز بعد دخوله إلى وضع DFU إلى إعادته إلى حالة جيدة معروفة مع التأكد من وجود رمز موقع من قِبل Apple غير معدّل فقط. يمكن الدخول في وضع DFU يدويًا.
راجع مقالات دعم Apple التالية حول كيفية وضع جهاز في وضع DFU:
الجهاز | مقال دعم Apple |
|---|---|
iPhone و iPad | |
Apple TV | |
Mac مزود بسيليكون Apple |