Glossar

AES (Advanced Encryption Standard)

Ein populärer globaler Verschlüsselungsstandard, der zur Verschlüsselung von Daten verwendet wird, um diese privat zu halten.

AES-XTS

Ein Modus von AES gemäß IEEE 1619-2007, der für die Verschlüsselung von Speichermedien konzipiert ist.

APFS (Apple File System)

Das Standarddateisystem für iOS, iPadOS, tvOS, watchOS und Mac-Computer mit macOS 10.13 (oder neuer). APFS ermöglicht eine starke Verschlüsselung, die gemeinsame Nutzung von Plattenspeicherbereichen, Snapshots (Schnappschüsse) für die Datensicherung und allgemeine Verbesserungen des Dateisystems.

Apple Business Manager

Ein webbasiertes Portal, das einfach in der Handhabung ist und IT-Administratoren die Möglichkeit bietet, Apple-Geräte, die ihre Organisation direkt bei Apple oder einem teilnehmenden autorisierten Apple-Vertriebspartner oder Anbieter erworben hat, schnell und effizient bereitzustellen. Geräte können automatisch in der organisationseigenen Lösung für die Mobilgeräteverwaltung (Mobile Device Management, MDM) registriert werden, ohne dass sie vor der Übergabe an die Benutzer in die Hand genommen und vorbereitet werden müssen.

Apple Identity Service (IDS)

Apple-Verzeichnis der öffentlichen iMessage-Schlüssel, APNS-Adressen, Telefonnummern und E-Mail-Adressen, die zur Überprüfung von Schlüsseln und Geräteadressen verwendet werden.

Apple Push-Benachrichtigungsdienst (APNS)

Ein globaler Dienst von Apple, der Push-Benachrichtigungen an Apple-Geräte sendet.

Apple School Manager

Ein webbasiertes Portal, das einfach in der Handhabung ist und IT-Administratoren die Möglichkeit bietet, Apple-Geräte, die ihre Organisation direkt bei Apple oder einem teilnehmenden autorisierten Apple-Vertriebspartner oder Anbieter erworben hat, schnell und effizient bereitzustellen. Geräte können automatisch in der organisationseigenen Lösung für die Mobilgeräteverwaltung (Mobile Device Management, MDM) registriert werden, ohne dass sie vor der Übergabe an die Benutzer in die Hand genommen und vorbereitet werden müssen.

Apple Security Bounty

Eine Belohnung von Apple für Personen, die auf eine Schwachstelle in zuletzt veröffentlichten Betriebssystemen und, sofern relevant, der neuesten Hardware hinweisen.

Autorisierung der Systemsoftware

Ein Prozess, der in die Hardware integrierte, kryptografische Schlüssel mit einem Online-Dienst kombiniert, um zu überprüfen, dass im Zuge eines Upgrades nur für die unterstützten Geräte geeignete und legitime Software von Apple bereitgestellt und installiert wird.

Bereitstellungsprofil

Eine von Apple signierte Liste von Eigenschaften (.plist-Datei), die Entitäten und Berechtigungen enthält, mit denen Apps auf einem iOS- oder iPadOS-Gerät installiert und geprüft werden können. Ein Bereitstellungsprofil für die Entwicklung führt alle Geräte auf, die der Entwickler für die Ad-Hoc-Verteilung ausgewählt hat. Ein Bereitstellungsprofil für die Verteilung enthält die App-ID einer firmenintern entwickelten App.

Boot Camp

Ein Mac-Dienstprogramm, das die Installation von Microsoft Windows auf unterstützten Mac-Computern ermöglicht.

Boot Progress Register (BPR)

Eine Reihe von System on Chip (SoC)-Hardwaremarkierungen, die von der Software verwendet werden können, um die Startmodi zu verfolgen, in denen sich das Gerät befindet (z. B. DFU-Modus und Wiederherstellungsmodus). Nachdem eine BPR-Markierung gesetzt wurde, kann sie nicht mehr entfernt werden. Hierdurch erhält spätere Software einen vertrauenswürdigen Indikator für den Status des Systems.

Boot-ROM

Der erste Code, den der Prozessor des Geräts am Beginn des Startvorgangs ausführt. Als integraler Bestandteil des Prozessors kann er weder von Apple noch von einem Angreifer modifiziert werden.

CKRecord

Ein Verzeichnis mit Schlüssel-Wert-Paaren für Daten, die in CloudKit gespeichert oder von dort abgerufen werden.

Codebasierter Schlüssel (PDK)

Der Verschlüsselungsschlüssel, der auf der Verknüpfung des Benutzerpassworts mit dem SKP-Langzeitschlüssel und der UID der Secure Enclave basiert.

Data Vault

Ein Mechanismus (vom Kernel durchgesetzt) für den Schutz gegen unautorisierten Zugriff auf Daten, unabhängig davon, ob sich die anfordernde App in der Sandbox befindet oder nicht.

Dateisystemschlüssel

Der Schlüssel, mit dem die Metadaten jeder Datei, einschließlich des Klassenschlüssels, verschlüsselt werden. Wird im Effaceable Storage gespeichert und ermöglicht eine schnelle Löschung und dient weniger der Vertraulichkeit.

Datensicherheit

Ein Schutzmechanismus für Dateien und Schlüsselbundobjekte auf unterstützten Apple-Geräten. Kann sich auch auf APIs beziehen, die Apps zum Schutz von Dateien und Schlüsselbundobjekten verwenden.

DFU-Modus (Device Firmware Upgrade)

Modus, bei dem der Boot-ROM des Geräts darauf wartet, über USB wiederhergestellt zu werden. Der Bildschirm bleibt im DFU-Modus schwarz, bis eine Verbindung zu einem Computer mit iTunes oder dem Finder hergestellt wird. Daraufhin wird die folgende Eingabeaufforderung angezeigt: „Finder (oder iTunes) hat ein Gerät (iPhone oder iPad) im Wiederherstellungsmodus erkannt. Der Benutzer muss dieses Gerät (iPhone oder iPad) wiederherstellen, damit es mit dem Finder (oder iTunes) verwendet werden kann.“

Direct Memory Access (DMA)

Eine Funktion, die Hardwaresubsystemen den direkten Zugriff auf den Hauptspeicher ermöglicht, indem die CPU umgangen wird.

Effaceable Storage (Auslöschbarer Speicher)

Ein bestimmter Bereich des NAND-Speichers, in dem kryptografische Schlüssel gespeichert werden und der direkt abgerufen und sicher gelöscht werden kann. Zwar bietet er keinen Schutz, wenn ein Angreifer direkt auf das Gerät zugreifen kann, die Schlüssel im Effaceable Storage können aber als Teil einer Schlüsselhierarchie verwendet werden und so eine schnelle Löschung und Forward Secrecy ermöglichen.

Elliptic Curve Diffie-Hellman Exchange Ephemeral (ECDHE)

Ein Austauschmechanismus für Schlüssel, der auf elliptischen Kurven basiert. ECDHE ermöglicht es zwei Parteien, einen geheimen Schlüssel so zu vereinbaren, dass Unbefugte, die Nachrichten zwischen zwei Parteien abfangen, diesen Schlüssel nicht entdecken.

Elliptic Curve Digital Signature Algorithm (ECDSA)

Ein Algorithmus für digitale Signaturen, der auf Kryptografie mit elliptischen Kurven basiert.

Enhanced Serial Peripheral Interface (eSPI)

Ein All-in-one-Bus, der für die synchrone serielle Kommunikation entwickelt wurde.

Exclusive Chip Identification (ECID)

Eine eindeutige 64-Bit-Kennung für jeden Prozessor im jeweiligen iPhone oder iPad.

Gatekeeper

In macOS eine Technologie, die dafür entwickelt wurde, dass auf dem Mac eines Benutzers nur vertrauenswürdige Software ausgeführt wird.

Gruppen-ID (GID)

Ähnlich der UID, aber für alle Prozessoren einer Klasse identisch.

Hardwaresicherheitsmodul (HSM)

Ein spezieller manipulationssicherer Computer, der digitale Schlüssel schützt und verwaltet.

HMAC

Ein Hash-basierter Code für die Nachrichtenauthentifizierung, der auf einer kryptografischen Hash-Funktion basiert.

iBoot

Der Stufe-2-Bootloader für alle Apple-Geräte. Code, der im Rahmen des sicheren Startvorgangs XNU lädt. Abhängig von der System on Chip (SoC)-Generation kann iBoot vom Low-Level-Bootloader (LLB) oder direkt vom Boot-ROM geladen werden.

Input/Output Memory Management Unit (IOMMU)

Eine Eingabe-Ausgabe-Speicherverwaltungseinheit. Das Subsystem in einem integrierten Chip, das den Zugriff von anderen Eingabe/Ausgabe- und Peripheriegeräten auf den Adressbereich steuert.

Integrierter Schaltkreis (IC)

Auch als Mikrochip bezeichnet.

Joint Test Action Group (JTAG)

Ein Standardwerkzeug für Hardwaredebugging, das von Programmierern und Schaltkreisentwicklern verwendet wird.

Key-Wrapping

Verschlüsseln eines ersten Schlüssels mit einem zweiten Schlüssel. iOS und iPadOS verwenden die Verschlüsselungsmethode NIST AES Key Wrapping gemäß RFC 3394 (weitere Informationen sind hier verfügbar https://www.ietf.org/rfc/rfc3394.txt; bitte beachte, dass es sich dabei um eine von Dritten betriebene Webseite handelt).

Keybag

Eine Datenstruktur, die zum Speichern von Klassenschlüsselsammlungen verwendet wird. Alle Keybag-Arten (User, Device, Backup, Escrow oder iCloud Backup) weisen dasselbe Format auf.

Ein Header mit: Version (eingestellt auf vier in iOS 12 und neueren Versionen), Typ (System, Backup, Escrow oder iCloud Backup), Keybag UUID, HMAC im Falle eines signierten Keybag, zum Verpacken der Klassenschlüssel verwendete Methode – verknüpft mit UID oder PBKDF2 und Anzahl der Salt- und Iteration-Parameter.

Eine Liste der Klassenschlüssel: Schlüssel-UUID; Klasse (Sicherheitsklasse der Datei- oder Schlüsselbunddaten), Verpackungstyp (nur UID-basierter Schlüssel; UID- und codebasierter Schlüssel), verpackter Klassenschlüssel und öffentlicher Schlüssel im Falle asymmetrischer Klassen.

Kryptografische AES-Engine

Eine dedizierte Hardwarekomponente zur Implementierung von AES.

Low-Level-Bootloader (LLB)

Code, der auf Mac-Computern mit einer zweiphasigen Boot-Architektur beim sicheren Starten aus dem Boot-ROM abgerufen wird und seinerseits iBoot lädt.

Medienschlüssel

Teil der Schlüsselhierarchie von Verschlüsselungen, der zum sicheren und sofortigen Löschen beiträgt. Bei iOS, iPadOS, tvOS und watchOS verpackt der Medienschlüssel die Metadaten auf dem Datenvolume (somit ist der Zugriff ohne diesen Schlüssel auf alle pro Datei erzeugten Schlüssel nicht möglich, und es ist auch nicht möglich, auf Dateien zuzugreifen, die mit dieser Datensicherheitstechnologie geschützt werden). Unter macOS verpackt der Medienschlüssel das Verschlüsselungsmaterial, alle Metadaten und die Daten auf dem FileVault-geschützten Volume. In beiden Fällen kann nach dem Löschen des Medienschlüssels nicht mehr auf verschlüsselte Daten zugegriffen werden.

Mobilgeräteverwaltung (Mobile Device Management, MDM)

Dienst, mit dem ein Administrator registrierte Geräte per Fernzugriff (remote) verwalten kann. Nach dem Registrieren eines Geräts können Admins den MDM-Dienst über das Netzwerk verwenden, um ohne Benutzerinteraktion Einstellungen zu konfigurieren und andere Aufgaben auf dem Gerät auszuführen.

NAND

Nicht flüchtiger Flash-Speicher.

Pro Datei erzeugter Schlüssel

Der Schlüssel wird von der Datensicherheit verwendet, um eine Datei im Dateisystem zu verschlüsseln. Der pro Datei erzeugte Schlüssel wird mit einem Klassenschlüssel verpackt und in den Metadaten der Datei gespeichert.

Ridge Flow Angle Mapping

Mathematische Darstellung der Ausrichtung und Breite der aus einem Fingerabdruck extrahierten Papillarleisten.

Schlüsselbund

Die Infrastruktur und eine Sammlung von APIs, die von Apple-Betriebssystemen und Apps anderer Anbieter genutzt werden, um Passwörter, Schlüssel und andere vertrauliche Anmeldedaten zu sichern und abzurufen.

Sealed Key Protection (SKP)

Eine Technologie der Datensicherheit, die Verschlüsselungsschlüssel mit Kennzahlen der auf dem System installierten Software und mit Schlüsseln schützt oder versiegelt, die nur in der Hardware verfügbar sind (wie beispielsweise die UID der Secure Enclave).

Secure Storage-Komponente

Dieser Chip ist mit einem unveränderlichem RO-Code, einem Hardwaregenerator für Zufallszahlen, kryptografischen Engines und einem Mechanismus zum Schutz vor physischer Manipulation ausgestattet. Auf unterstützten Geräten wird die Secure Enclave mit einer Secure Storage-Komponente gekoppelt, um die Anti-Replay-Wert zu speichern. Zum Lesen und Aktualisieren von Anti-Replay-Wert nutzen die Secure Enclave und der Secure-Storage-Chip ein sicheres Protokoll, das den exklusiven Zugriff auf die Anti-Replay-Wert sicherstellt. Von dieser Technologie existieren mehrere Generationen mit unterschiedlichen Sicherheitsgarantien.

sepOS

Die Firmware der Secure Enclave basiert auf einer von Apple angepassten Version des L4-Mikrokernels.

Software-Seed-Bits

Dedizierte Bits in der AES-Engine der Secure Enclave, die an die UID angefügt werden, wenn von der UID Schlüssel generiert werden. Jedes Software-Seed-Bit verfügt über ein entsprechendes Sperrbit. Boot-ROM und Betriebssystem der Secure Enclave können den Wert jedes Software-Seed-Bits unabhängig ändern, sofern nicht das zugehörige Sperrbit gesetzt wurde. Wurde das Sperrbit gesetzt, können weder das Software-Seed-Bit noch das Sperrbit geändert werden. Die Software-Seed-Bits und die zugehörigen Sperrbits werden zurückgesetzt, wenn die Secure Enclave neu gestartet wird.

Speichercontroller

Das Subsystem in einem System on Chip (SoC), das die Schnittstelle zwischen dem SoC und seinem Hauptspeicher steuert.

Speicherverwürfelung (Address Space Layout Randomization, ASLR)

Eine von Betriebssystemen verwendete Technik, die das erfolgreiche Ausnutzen von Softwarebugs erschwert. Da Speicheradressen und Segmentierung nicht vorhergesagt werden können, kann Exploit-Code diese Werte nicht hart codieren.

SSD-Controller

Ein Hardwaresubsystem zur Verwaltung der Speichermedien (Solid-State-Laufwerk).

System on Chip (SoC)

Ein integrierter Schaltkreis (IC), der mehrere Komponenten in einem einzigen Chip zusammenfasst. Der Anwendungsprozessor, die Secure Enclave und andere Coprozessoren sind Komponenten des SoC.

System-Coprozessor-Integritätsschutz (SCIP)

Ein Mechanismus von Apple, der Modifikationen der Coprozessor-Firmware verhindert.

Unified Extensible Firmware Interface (UEFI) Firmware

Eine technologische Verbesserung für BIOS, die bewirkt, dass die Firmware mit dem Betriebssystem eines Computers verbunden wird.

Uniform Resource Identifier (URI)

Eine Zeichenkette, mit der webbasierte Ressourcen identifiziert werden können.

Unique ID (UID)

Ein AES 256-Bit-Schlüssel, der bei der Fertigung in den Prozessor eingebrannt wird. Er kann weder von der Firmware noch von der Software gelesen werden und wird nur von der AES-Engine der Prozessorhardware verwendet. Um den eigentlichen Schlüssel zu erhalten, müsste ein potenzieller Angreifer einen extrem komplexen und kostenintensiven physischen Angriff auf den Chip des Prozessors ausführen. Die UID ist mit keiner anderen Kennung des Geräts verbunden. Dazu zählt auch die UDID, ohne darauf beschränkt zu sein.

Verknüpfung

Verfahren, mit dem der Code eines Benutzers in einen kryptografischen Schlüssel konvertiert wird, der mit der UID des Geräts zusätzlich gesichert wird. Dieser Prozess stellt sicher, dass Brute-Force-Angriffe auf dem jeweiligen Gerät durchgeführt werden müssen, sodass sie nicht von mehreren Geräten gleichzeitig ausgeführt werden können. Für die Verknüpfung wird der Algorithmus PBKDF2 benutzt, der AES mit der UID des Geräts als pseudozufällige Funktion (PRF) für jede Iteration verwendet.

Wiederherstellungsmodus

Dieser Modus wird für die Wiederherstellung vieler Apple-Geräte genutzt, damit der Benutzer das Betriebssystem neu installieren kann, falls es nicht erkannt wird.

xART

Eine Abkürzung für eXtended Anti-Replay Technology. Eine Reihe von Diensten, die der Secure Enclave verschlüsselten, permanenten Speicher mit Anti-Replay-Funktionen auf Basis der physischen Speicherarchitektur bereitstellen. Weitere Informationen findest du im Abschnitt der Secure Storage-Komponente.

XNU

Der Kernel im Zentrum der Apple-Betriebssysteme. Er wird als vertrauenswürdig eingestuft und setzt Sicherheitsmaßnahmen wie die Codesignierung, das Ausführen in einer Sandbox, das Überprüfen von Berechtigungen und Address Space Layout Randomization (ASLR) durch.

XProtect

In macOS eine integrierte Antivirustechnologie für die signaturbasierte Erkennung und Entfernung von Schadprogrammen.