Ordliste
- administration af mobile enheder (MDM)
En tjeneste, der giver en administrator mulighed for at administrere tilmeldte enheder eksternt. Når en enhed er tilmeldt, kan administratoren benytte MDM-tjenesten til at konfigurere indstillinger og udføre andre opgaver på enheden via netværket, uden at brugeren skal gøre noget.
- AES (Advanced Encryption Standard)
En populær global krypteringsstandard, der bruges til at kryptere data, så uvedkommende ikke kan læse dem.
- AES-XTS
En funktion i AES, der er defineret i IEEE 1619-2007 med det formål at kryptere lagringsmedier.
- APFS (Apple File System)
Standardarkivsystemet til iOS, iPadOS, tvOS, watchOS og Mac-computere med macOS 10.13 og nyere versioner. APFS sørger for stærk kryptering, deling af plads, snapshots, hurtig størrelsesændring af biblioteker og forbedringer i det grundlæggende arkivsystem.
- APNs (Apple Push Notification service)
En tjeneste, som Apple tilbyder i hele verden, der sørger for push-notifikationer til Apple-enheder.
- Apple Business Manager
En overskuelig webbaseret portal til it-administratorer, der sætter organisationer i stand til på en hurtig og ensartet måde at implementere Apple-enheder, som organisationerne har købt direkte fra Apple eller via autoriserede Apple-forhandlere eller -udbydere, der deltager i programmet. De kan automatisk tilmelde enheder til deres løsning til administration af mobile enheder (MDM) uden at røre eller klargøre enhederne fysisk, før brugerne får dem.
- Apple School Manager
En overskuelig webbaseret portal til it-administratorer, der sætter organisationer i stand til på en hurtig og ensartet måde at implementere Apple-enheder, som organisationerne har købt direkte fra Apple eller via autoriserede Apple-forhandlere eller -udbydere, der deltager i programmet. De kan automatisk tilmelde enheder til deres løsning til administration af mobile enheder (MDM) uden at røre eller klargøre enhederne fysisk, før brugerne får dem.
- Apples sikkerhedsdusører
En belønning, der gives af Apple til brugere, som rapporterer sårbarheder, der berører de senest leverede operativsystemer og (hvis det er relevant) den nyeste hardware.
- arkivnøgle
Den nøgle, der bruges af Databeskyttelse til at kryptere et arkiv i arkivsystemet. Arkivnøglen pakkes med en klassenøgle og opbevares i arkivets metadata.
- arkivsystemnøgle
En nøgle, der krypterer hvert arkivs metadata, også arkivets klassenøgle. De opbevares i Effaceable Storage med henblik på hurtig sletning fremfor fortrolighed.
- ASLR (Address Space Layout Randomization)
En teknik, der benyttes af operativsystemer til at gøre det langt sværere at udnytte en fejl i softwaren. Den sørger for, at hukommelsesadresser og -forskydninger ikke kan forudsiges, og disse værdier kan derfor ikke kodes fast ind i ondsindet kode.
- Boot Camp
En hjælpeapp til Mac, der gør det muligt at installere Microsoft Windows på understøttede Mac-computere.
- Boot ROM
Den kode, der udføres af en enheds processor, når enheden startes. Det er en integreret del af processoren og kan ikke ændres, hverken af Apple eller af en person med ondsindede hensigter.
- BPR (Boot Progress Register)
Et sæt SoC-hardwareflag (System on Chip), som software kan bruge til at spore de startfunktioner, som enheden har anvendt, f.eks. DFU-funktion (Device Firmware Update) og gendannelsesfunktion. Når et BPR-flag er blevet sat, kan det ikke slettes. Det betyder, at efterfølgende software kan få en pålidelig indikation af systemets tilstand.
- CKRecord
En ordbog med parvise nøgler og værdier, som indeholder data, der er gemt i eller hentet fra CloudKit.
- Data Vault
En mekanisme, der håndhæves af kernen, og som beskytter mod uautoriseret adgang til data, uanset om den app, der sender anmodninger, selv afvikles i et isoleret miljø.
- Databeskyttelse
En mekanisme til beskyttelse af arkiver og nøglering på understøttede Apple-enheder. Mekanismen kan også referere til de API'er, som apps bruger til at beskytte arkiver og emner i nøgleringen.
- DFU-funktion (Device Firmware Upgrade)
En proces, hvor en enheds Boot ROM-kode venter på at blive gendannet via USB. Skærmen er sort under DFU-processen, men når der er oprettet forbindelse til en computer, hvor iTunes eller Finder er startet, vises en meddelelse i stil med denne: “Finder (eller iTunes) har fundet en (iPhone eller iPad), som er indstillet til gendannelse. Du skal gendanne denne (iPhone eller iPad), før du kan bruge den med Finder (eller iTunes).”
- direkte hukommelsesadgang (DMA)
En funktion, der sætter hardwaresubsystemer i stand til at få direkte adgang til hovedhukommelsen uden om CPU'en.
- ECDHE (Elliptic Curve Diffie-Hellman Exchange Ephemeral)
En mekanisme baseret på elliptiske kurver til udveksling af nøgler. ECDHE giver to parter mulighed for at blive enige om en hemmelig nøgle på en måde, der forhindrer, at nøglen bliver opdaget af en person, der holder øje med beskederne mellem de to parter.
- ECDSA (Elliptic Curve Digital Signature Algorithm)
En algoritme til digitale signaturer baseret på elliptisk kurvekryptografi.
- ECID (Exclusive Chip Identification)
Et processor-id på 64 bit, der er forskelligt på alle iPhone- og iPad-enheder.
- Effaceable Storage (sletbart lager)
Et særligt område af NAND-lagringspladsen, der bruges til opbevaring af kryptografiske nøgler, og som kan adresseres direkte og slettes på en sikker måde. Det yder ikke beskyttelse, hvis en person med ondsindede hensigter er i fysisk besiddelse af en enhed, men nøglerne i Effaceable Storage kan indgå i et nøglehierarki, der giver mulighed for hurtig sletning og fremadrettet sikkerhed.
- eSPI (Enhanced Serial Peripheral Interface)
En komplet bus, der er designet til synkron seriel kommunikation.
- Gatekeeper
En teknologi i macOS, der har til formål at sikre, at kun godkendt software afvikles på en brugers Mac.
- Gendannelsesfunktion
En funktion, der bruges til at gendanne mange Apple-enheder, hvis den ikke genkender brugerens enhed, så brugeren kan installere operativsystemet igen.
- godkendelse af systemsoftware
En proces, der kombinerer kryptografiske nøgler, der er indbygget i hardware, med en onlinetjeneste for at kontrollere, at kun gyldig software fra Apple, der passer til understøttede enheder, leveres og installeres på opgraderingstidspunktet.
- gruppe-id (GID)
Ligner UID, men er fælles for alle processorer i en klasse.
- hardwaresikkerhedsmodul (HSM)
En specialiseret computer, der kan modstå forsøg på modificering, og som beskytter og administrerer digitale nøgler.
- HMAC
En kode til godkendelse af beskeder, som genereres ud fra en hash-værdi og er baseret på en kryptografisk hash-funktion.
- iBoot
Indlæsningsfunktion til startfase 2 til alle Apple-enheder. Kode, der indlæser XNU som led i den sikre startkæde. Afhængigt af SoC-genereringen (System on Chip) bliver iBoot indlæst af LLB (Low Level Bootloader) eller direkte af Boot ROM.
- IDS (Apple Identity Service)
Apples bibliotek med offentlige iMessage-nøgler, APN-adresser samt telefonnumre og e-mailadresser, der bruges til at slå nøgler og enhedsadresser op.
- integreret kredsløb
Kaldes også en mikrochip.
- IOMMU (Input/Output Memory Management Unit)
En enhed, der administrerer input til og output fra hukommelsen. Et subsystem i en integreret chip, der styrer adgangen til adresseområdet fra interne og ydre I/O-enheder.
- JTAG (Joint Test Action Group)
Et standardværktøj til hardwarefejlfinding, som bruges af programmører og mikrochipudviklere.
- kombination af nøgler
Den proces, hvor en brugers kode omdannes til en kryptografisk nøgle og forstærkes med enhedens UID. Processen er med til at sikre, at et brute-force-angreb skal udføres mod en given enhed. Det sænker hastigheden og forhindrer parallelle angreb. Algoritmen til kombination af nøgler er PBKDF2, som bruger AES med en nøgle dannet ud fra enhedens UID som tilfældighedsgenerator til hver gentagelse.
- Komponent til sikker opbevaring
En chip designet med uforanderlig ROM-kode, en hardwarebaseret tilfældighedsgenerator, kryptografimoduler og registrering af fysisk manipulation. På understøttede enheder dannes par mellem Secure Enclave og en komponent til sikker opbevaring af værdien, der forhindrer genafspilning. Secure Enclave og chippen til opbevaring benytter en sikker protokol, der er med til at sikre eksklusiv adgang til værdierne, der forhindrer genafspilning, når disse værdier skal læses og opdateres. Der er flere generationer af denne teknologi med forskellige sikkerhedsgarantier.
- kortlægning af rillers vinkel og forløb
En matematisk gengivelse af retning og bredde på riller, der udgør en del af et fingeraftryk.
- Kryptografisk modul til AES
En dedikeret hardwarekomponent, der implementerer AES.
- LLB (Low-Level Bootloader)
På Mac-computere med startarkitektur i to trin indeholder LLB den kode, der startes af Boot ROM, og som derefter indlæser iBoot som led i den sikre startkæde.
- medienøgle
En del af det krypteringsnøglehierarki, der er med til at sørge for sikker og øjeblikkelig sletning. I iOS, iPadOS, tvOS og watchOS indpakker medienøglen metadataene på dataenheden (og dermed er det umuligt at få adgang til arkivnøgler uden medienøglen, så arkiver, der er beskyttet med Databeskyttelse, er utilgængelige). I macOS indpakker medienøglen nøglematerialet, alle metadata samt data på den enhed, der er beskyttet af FileVault. I begge tilfælde betyder sletning af medienøglen, at krypterede data bliver utilgængelige.
- NAND
Ikke-flygtig flash-hukommelse.
- Nøgle afledt af kode (PDK)
Den krypteringsnøgle, der er afledt af kombinationen af brugeradgangskoden, den langtidsholdbare SKP-nøgle og Secure Enclaves UID.
- nøgleindpakning
Kryptering af en nøgle sammen med en anden nøgle. iOS og iPadOS bruger NIST AES-nøgleindpakning i overensstemmelse med RFC 3394.
- nøglering
Den infrastruktur og det sæt API'er, som bruges af Apples operativsystemer og apps fra tredjeparter til at gemme og hente adgangskoder, nøgler og andre følsomme godkendelsesoplysninger.
- nøglesamling
En datastruktur, hvori der opbevares en samling klassenøgler. Hver type (bruger, enhed, system, sikkerhedskopi, depot og iCloud-sikkerhedskopi) har samme format.
En header, der indeholder: Version (indstillet til fire i iOS 12 og nyere versioner), type (system, sikkerhedskopi, depot eller iCloud-sikkerhedskopi), UUID til nøglesamling, en HMAC-kode, hvis nøglesamlingen er signeret, og den metode, der er brugt til indpakning af klassenøglerne: kombination med UID eller PBKDF2 sammen med saltnøglen og antallet af gentagelser.
En liste med klassenøgler: Nøglens UUID, klasse (hvilken klasse i Databeskyttelse til arkiver eller nøglering), indpakningstype (kun nøgle afledt af UID eller nøgle afledt af UID og kode), indpakket klassenøgle og en offentlig nøgle til asymmetriske klasser.
- programprofil
En egenskabsliste (.plist-arkiv) signeret af Apple, som indeholder et sæt egenskaber og berettigelser, der tillader, at apps installeres og testes på en iOS- eller iPadOS-enhed. En programprofil til udvikling indeholder en liste med de enheder, som en udvikler har valgt til ad hoc-distribution, og en programprofil til distribution indeholder id'et til en app udviklet af en virksomhed.
- SCIP (System Coprocessor Integrity Protection)
En mekanisme, som Apple bruger med det formål at forhindre modificering af hjælpeprocessorfirmwaren.
- Sealed Key Protection (SKP)
En teknologi i Databeskyttelse, der beskytter (eller forsegler) krypteringsnøgler med målinger fra systemsoftware og nøgler, der kun findes i hardware (f.eks. Secure Enclaves UID).
- sepOS
Secure Enclave-firmwaren, der er baseret på en Apple-tilpasset version af L4-mikrokernen.
- SoC (System on Chip)
Et integreret kredsløb (IC), der samler flere komponenter på en enkelt chip. App-processoren, Secure Enclave og andre hjælpeprocessorer er komponenter i en SoC.
- software seed bits
Dedikerede bits i Secure Enclave AES-modulet, som bliver føjet til UID, når der genereres nøgler fra UID. Hver software seed bit har en tilsvarende lock bit. Secure Enclave Boot ROM og operativsystemet kan uafhængigt af hinanden ændre værdien af hver software seed bit, så længe den tilsvarende lock bit ikke er blevet indstillet. Når lock bit er indstillet, kan hverken software seed bit eller lock bit ændres. Software seed bits og deres locks nulstilles, når Secure Enclave genstarter.
- SSD-styreenhed
Et subsystem til hardware, der håndterer lagringsmediet (Solid-State Drive).
- styreenhed til hukommelse
Subsystemet i en SoC (System on Chip), der styrer grænsefladen mellem SoC'en og dens hovedhukommelse.
- UEFi-firmware (Unified Extensible Firmware Interface)
En erstatningsteknologi til BIOS, der kan forbinde firmware med en computers operativsystem.
- UID (Unique ID)
En 256-bit AES-nøgle, der er brændt ind i hver processor under fremstillingen. Den kan ikke læses af firmware eller software, og den bruges kun af processorens AES-modul til hardware. En person med ondsindede hensigter, der vil have fat i nøglen, vil være nødt til at foranstalte et yderst sofistikeret og dyrt fysisk angreb på processorens silicium. UID har ikke forbindelse til nogen andre id'er på enheden, heller ikke UDID.
- URI (Uniform Resource Identifier)
En række tegn, der identificerer en ressource på internettet.
- xART
En forkortelse for eXtended Anti-Replay Technology. Et sæt tjenester, der sørger for krypteret og godkendt vedvarende lagringsplads til Secure Enclave med funktioner, der forhindrer genafspilning, baseret på lagringspladsens fysiske arkitektur. Se Komponent til sikker opbevaring.
- XNU
Kernen i hjertet af Apples operativsystemer. Den betragtes som godkendt, og den sørger for, at sikkerhedsforanstaltninger såsom kodesignering, afvikling i et isoleret miljø (“sandbox”), kontrol af berettigelse og ASLR (Address Space Layout Randomization) overholdes.
- XProtect
En antivirusteknologi i macOS til signaturbaseret registrering og fjernelse af malware.