نظرة عامة على أمن المكونات المادية
لكي يكون البرنامج آمنًا، يجب أن يرتكز على المكونات المادية التي تتضمن أمنًا مدمجًا. ولهذا السبب تتمتع أجهزة Apple—المثبت عليها iOS و iPadOS و macOS و tvOS و watchOS—بإمكانات أمنية مصممة برقاقات. تتضمن هذه الإمكانات وحدة المعالجة المركزية (CPU) التي تدعم ميزات أمان النظام، وكذلك السيليكون الإضافي المخصص لوظائف الأمان. علمًا بأن المكونات المادية التي تركز على الأمن تتبع مبدأ دعم الوظائف المحدودة والمُحدّدة بدقة لتقليل الأجزاء المعرضة للهجوم إلى أدنى حد. وتتضمن هذه المكونات ذاكرة ROM للتمهيد، والتي تشكل جذر ثقة في المكونات المادية للتمهيد الآمن، ومحركات AES مخصصة للتشفير وفك التشفير بطريقة فعالة وآمنة، فضلاً عن Secure Enclave. Secure Enclave عبارة عن مكون في نظام Apple على شريحة (SoC) يتم تضمينه في جميع أجهزة iPhone و iPad و Apple Watch و Apple TV و HomePod الحديثة وعلى أجهزة Mac المزودة برقاقات Apple وكذلك المزودة بشريحة Apple T2 الأمنية. ويتبع Secure Enclave نفسه المبدأ ذاته الذي يتبعه تصميم نظام SoC، إذ يحتوي على ROM للتمهيد المنفصل خاص به ومحرك AES. يوفر Secure Enclave كذلك الأساس لإنشاء المفاتيح الضرورية لتشفير البيانات غير النشطة وتخزينها بأمان، كما أنه يحمي بيانات المقاييس الحيوية ويُقيّمها بالنسبة إلى كل من بصمة الوجه وبصمة الإصبع.
يجب أن يكون تشفير التخزين سريعًا وفعالاً. في الوقت نفسه، لا يمكنه كشف البيانات (أو مادة المفاتيح) التي يستخدمها لإنشاء علاقات مفتاحية مشفرة. ويقوم محرك AES المادي بحل هذه المشكلة عن طريق إجراء التشفير وإلغاء التشفير على الخط بسرعة أثناء كتابة الملفات أو قراءتها. توفر قناة خاصة من Secure Enclave مادة مفاتيح ضرورية لمحرك AES دون كشف هذه المعلومات لمعالج التطبيقات (أو وحدة المعالجة المركزية) أو نظام التشغيل العام. ويساعد ذلك على ضمان أن تقوم حماية البيانات وتقنيات خزنة الملفات من Apple بحماية ملفات المستخدمين دون الكشف عن مفاتيح التشفير طويلة الأجل.
صممت Apple التمهيد الآمن لحماية أدنى مستويات البرامج من العبث وللسماح بتحميل برامج نظام التشغيل الموثوقة فقط من Apple عند بدء التشغيل. يبدأ التشغيل الآمن بتعليمات برمجية ثابتة تسمى Boot ROM يتم وضعها في أثناء تصنيع شريحة Apple SoC وتُعرف باسم جذر الثقة في المكونات المادية. على أجهزة كمبيوتر Mac المزودة بشريحة T2، تبدأ الثقة في التمهيد الآمن لـ macOS بشريحة T2. (تقوم كل من شريحة T2 و Secure Enclave كذلك بتنفيذ عمليات التشغيل الآمن الخاصة بهما باستخدام ذاكرة ROM للتشغيل منفصلة لكل منهما — ويُعد هذا تمثيلاً دقيقًا لكيفية تشغيل شرائح A-series و M1 و M2 بشكل آمن).
يعالج Secure Enclave كذلك بصمة الإصبع وبيانات الوجه من مستشعرات بصمة الوجه وبصمة الإصبع على أجهزة Apple. وهذا يوفر مصادقة آمنة مع الحفاظ على خصوصية وأمن بيانات المستخدم البيومترية. كما يتيح ذلك للمستخدمين الاستفادة من أمن رموز المرور وكلمات السر الأطول والأكثر تعقيدًا، مع سهولة المصادقة السريعة للوصول أو الشراء في العديد من الحالات.