Sichere Softwareaktualisierungen
Sicherheit ist ein Prozess. Der verlässliche Start der ab Werk installierten Betriebssystemversion allein reicht nicht aus – es muss einen Mechanismus geben, der den schnellen und sicheren Empfang der aktuellsten Sicherheitsupdates ermöglicht. Apple veröffentlicht in regelmäßigen Abständen Softwareaktualisierungen, um neu erkannte Sicherheitslücken zu schließen. Benutzer von iPhone- und iPad-Geräten erhalten Benachrichtigungen zu Aktualisierungen auf dem jeweiligen Gerät. Benutzer von Mac-Computern können verfügbare Aktualisierungen in den Systemeinstellungen finden. Die Aktualisierungen werden drahtlos bereitgestellt, um Sicherheitslücken so schnell wie möglich schließen zu können.
Sicherheit beim Aktualisierungsprozess
Der Aktualisierungsprozess verwendet denselben hardwarebasierten Vertrauensanker, der auch vom sicheren Startvorgang benutzt wird, um sicherzustellen, dass nur von Apple signierter Code installiert wird. Mit der Autorisierung der Systemsoftware stellt der Aktualisierungsvorgang sicher, dass sich nur legitime Kopien von Betriebssystemversionen, die aktiv von Apple signiert werden, auf iPhone- und iPad-Geräten oder auf Mac-Computern installieren lassen, auf denen im Startsicherheitsdienstprogramm die Einstellung „Volle Sicherheit“ als Richtlinie für sicheres Starten konfiguriert ist. Auf Grundlage dieser Sicherheitsmaßnahmen ist Apple in der Lage, die Signierung älterer Betriebssystemversionen mit bekannten Schwachstellen zu stoppen, was zum Verhindern von Downgrade-Angriffen beiträgt.
Um die Sicherheit bei der Softwareaktualisierung weiter zu erhöhen, wird außerdem, wenn ein zu aktualisierendes Gerät physisch mit einem Mac verbunden ist, eine vollständige Kopie von iOS oder iPadOS heruntergeladen und installiert. OTA-Softwareaktualisierungen (Over The Air) laden aber anstelle des vollständigen Betriebssystems nur die für die Aktualisierung benötigten Komponenten, wodurch die Netzwerkeffizienz verbessert wird. Außerdem können Softwareaktualisierungen auf einem Mac mit macOS 10.13 (oder neuer), auf dem die Option für das Inhaltscaching aktiviert ist, zwischengespeichert werden, damit iPhone- und iPad-Geräte die erforderliche Aktualisierung nicht erneut über das Internet laden müssen. (Sie müssen allerdings immer noch eine Verbindung zu Apple-Servern herstellen, um den Aktualisierungsprozess abzuschließen.)
Personalisierter Aktualisierungsprozess
Bei Aktualisierungen (bei Upgrades ebenso wie bei Updates) wird eine Verbindung zum Apple-Server für die Installationsautorisierung hergestellt, der eine Liste kryptografischer Kennzahlen für jeden Bestandteil des Installationspakets, der installiert werden soll (z. B. iBoot, Kernel und Image des Betriebssystems), einen Anti-Replay-Zufallswert (Nonce) und die eindeutige ECID (Exclusive Chip Identification) enthält.
Der Autorisierungsserver vergleicht die Liste der Kennzahlen mit den Versionen, deren Installation erlaubt ist, und fügt bei einem Treffer die ECID zu den Kennzahlen hinzu und signiert das Ergebnis. Der Server überträgt beim Aktualisierungsvorgang einen kompletten signierten Datensatz an das Gerät. Mit der hinzugefügten ECID wird die Autorisierung für das anfragende Gerät „personalisiert“. Indem nur bekannte Kennzahlen autorisiert und signiert werden, stellt der Server sicher, dass die Aktualisierung genau in der von Apple vorgesehenen und bereitgestellten Weise vorgenommen wird.
Die „Chain of Trust“-Evaluierung beim Start überprüft, ob die Signatur von Apple stammt und ob die Kennzahl des vom Speichergerät geladenen Objekts in Kombination mit der ECID des Geräts von der Signatur abgedeckt wird. Mit diesen Schritten wird sichergestellt, dass die Autorisierung gerätespezifisch ist und dass keine älteren Versionen eines Betriebssystems oder einer Firmware von einem Gerät auf ein anderes kopiert werden können. Die Nonce verhindert, dass ein Angreifer die Antwort des Servers sichern und sie dafür verwenden kann, ein Gerät zu manipulieren oder die Systemsoftware anderweitig zu verändern.
Die Personalisierung ist ein Grund dafür, dass eine Netzwerkverbindung mit Apple immer eine Aktualisierung aller Geräte mit Apple Chips einschließlich Intel-basierter Mac-Computer mit Apple T2 Security Chip erfordert.
Bei Geräten mit Secure Enclave nutzt diese Hardware auf ähnliche Weise die Autorisierung der Systemsoftware, um die Herkunft und Echtheit der Software zu überprüfen und die Installation eines älteren Betriebssystems zu verhindern.