Glosario
- acceso directo a memoria (DMA):
función que permite que los subsistemas de hardware accedan a la memoria principal directamente, saltándose la CPU.
- AES (Estándar de encriptación avanzada):
un conocido estándar de encriptación global usado para encriptar datos y garantizar su privacidad.
- AES-XTS:
un modo de AES definido en IEEE 1619-2007 para encriptar los soportes de almacenamiento.
- aleatorización del espacio de direcciones (ASLR):
técnica que emplean los sistemas operativos para que sea mucho más complicado conseguir aprovecharse de una vulnerabilidad de seguridad en el software. Al garantizar la impredecibilidad de las direcciones y los desplazamientos de la memoria, el código de ataque no puede incrustar esos valores en el código fuente.
- algoritmo de firma digital de curva elíptica (ECDSA):
algoritmo de firma digital basado en criptografía de curva elíptica.
- almacén seguro de datos:
mecanismo aplicado por el kernel para proteger frente a accesos no autorizados a los datos independientemente de si la app que solicita el acceso está aislada en una zona protegida.
- almacenamiento borrable:
área del almacenamiento NAND dedicada, utilizada para almacenar claves criptográficas, que se pueden identificar directamente y borrar de forma segura. Aunque no ofrezca protección si un atacante dispone del dispositivo físicamente, las claves almacenadas en el almacenamiento borrable se pueden usar como parte de una jerarquía de claves para facilitar el borrado rápido y la consiguiente seguridad.
- APFS (sistema de archivos de Apple):
el sistema de archivos por defecto para iOS, iPadOS, tvOS, watchOS y ordenadores Mac con macOS 10.13 o posterior. APFS incluye encriptación de alta seguridad, uso compartido de espacio, instantáneas, reajuste rápido del tamaño del directorio y mejoras en los fundamentos del sistema de archivos.
- Apple Business Manager:
portal sencillo basado en web para administradores de TI que permite a las organizaciones implementar de manera rápida y optimizada dispositivos Apple que hayan comprado directamente de Apple o de un operador o distribuidor de Apple autorizado participante en el programa. Pueden inscribir automáticamente dispositivos en su solución de gestión de dispositivos móviles (MDM) sin tener que tocarlos físicamente ni prepararlos antes de que los usuarios los reciban.
- Apple School Manager:
portal sencillo basado en web para administradores de TI que permite a las organizaciones implementar de manera rápida y optimizada dispositivos Apple que hayan comprado directamente de Apple o de un operador o distribuidor de Apple autorizado participante en el programa. Pueden inscribir automáticamente dispositivos en su solución de gestión de dispositivos móviles (MDM) sin tener que tocarlos físicamente ni prepararlos antes de que los usuarios los reciban.
- autorización del software del sistema:
proceso que combina las claves criptográficas integradas en el hardware con un servicio en línea para comprobar que solo se proporciona y se instala el software legítimo de Apple, adecuado para los dispositivos compatibles, a la hora de actualizar.
- bits semilla de software:
bits dedicados en el motor AES de Secure Enclave que se añaden al UID al generar claves a partir del UID. Cada bit semilla de software tiene un bit de bloqueo correspondiente. El sistema operativo y la ROM de arranque de Secure Enclave pueden cambiar independientemente el valor de cada bit semilla de software siempre que no se haya establecido el bit de bloqueo correspondiente. Una vez establecido el bit de bloqueo, ni este ni el bit semilla de software se podrán modificar. Los bits semilla de software y sus bloqueos se restablecen cuando se reinicia Secure Enclave.
- Boot Camp:
utilidad de Mac que permite instalar Microsoft Windows en ordenadores Mac compatibles.
- Cargador de arranque de bajo nivel (LLB)
En ordenadores Mac con una arquitectura de arranque de dos fases, el LLB contiene el código al que invoca la ROM de arranque y que, a su vez, carga iBoot como parte de la cadena de arranque seguro.
- circuito integrado (IC):
también conocido como microchip.
- CKRecord:
un diccionario de pares de clave‑valor que contiene los datos guardados en u obtenidos de CloudKit.
- clave de contenido:
parte de la jerarquía de claves de encriptación que contribuye a proporcionar un método de borrado seguro e instantáneo. En iOS, iPadOS, tvOS y watchOS, la clave de contenido encapsula los metadatos del volumen de datos (y, por consiguiente, sin ellos el acceso a todas las claves por archivo es imposible, lo que hace que los archivos con Protección de datos sean inaccesibles). En macOS, la clave de contenido encapsula el material de las claves, todos los metadatos y los datos situados en el volumen protegido por FileVault. En cualquiera de los casos, el borrado de la clave de contenido hace que los datos encriptados sean inaccesibles.
- clave del sistema de archivos:
clave que encripta los metadatos de cada archivo, incluida la clave de clase correspondiente. Se guarda en el almacenamiento borrable para facilitar el borrado rápido, en lugar de la confidencialidad.
- clave derivada del código (PDK):
clave de encriptación obtenida al intrincar la contraseña del usuario con la clave SKP a largo plazo y el UID de Secure Enclave.
- clave por archivo:
clave usada por Protección de datos para encriptar un archivo en el sistema de archivos. La clave por archivo se encapsula mediante una clave de clase y se almacena en los metadatos del archivo.
- componente de almacenamiento seguro:
un chip diseñado con código de ROM inmutable, un generador de números aleatorios de hardware, motores criptográficos y detección de manipulaciones físicas. En dispositivos compatibles, Secure Enclave se asocia con un componente de almacenamiento seguro para el almacenamiento del valor de antirreproducción. Para leer y actualizar los valores de antirreproducción, Secure Enclave y el chip de almacenamiento emplean un protocolo seguro que ayuda a garantizar el acceso exclusivo a los valores de antirreproducción. Existen varias generaciones de esta tecnología con diferentes garantías de seguridad.
- controlador de memoria:
el subsistema de un sistema en un chip que controla la interfaz que conecta el sistema en un chip con su memoria principal.
- controlador SSD:
subsistema de hardware que gestiona el soporte de almacenamiento (disco duro de estado sólido).
- correspondencia de ángulos del patrón de arrugas:
representación matemática de la dirección y la anchura de las arrugas extraída de una porción de una huella digital.
- encapsulación de claves:
encriptación de una clave con otra clave. iOS y iPadOS utilizan la encapsulación de claves AES del Instituto Nacional de Estándares y Tecnología (NIST), de acuerdo con la publicación RFC 3394.
- firmware de la interfaz de firmware extensible unificada (UEFI):
tecnología que sustituye a la BIOS para conectar el firmware al sistema operativo de un ordenador.
- Gatekeeper:
en macOS, una tecnología diseñada para ayudar a garantizar que solo se ejecute software de confianza en el Mac de un usuario.
- gestión de dispositivos móviles (MDM):
un servicio que permite a un administrador gestionar de forma remota los dispositivos inscritos. Una vez que se inscribe un dispositivo, el administrador puede usar el servicio MDM a través de la red para configurar ajustes y realizar otras tareas en el dispositivo sin la interacción del usuario.
- grupo de acción de pruebas conjuntas (JTAG):
herramienta estándar de depuración de hardware, que usan programadores y desarrolladores de circuitos.
- HMAC:
código de autenticación de mensajes basado en una función de hash criptográfico.
- iBoot:
cargador de arranque de fase 2 para todos los dispositivos Apple. Código que carga XNU como parte de la cadena de arranque seguro. En función de la generación del sistema en un chip (SoC), iBoot puede cargarse mediante el cargador de arranque de bajo nivel o directamente mediante la ROM de arranque.
- ID de grupo (GID):
como el UID, pero común a todos los procesadores de una clase.
- identificador único (UID):
clave AES de 256 bits que se graba en cada procesador durante el proceso de fabricación. Ni el firmware ni el software la pueden leer y solamente la usa el motor AES del hardware del procesador. Para obtener la clave real, un atacante tendría que crear un ataque físico muy sofisticado y caro contra el procesador. El UID no está relacionado con ningún otro identificador del dispositivo como, por ejemplo, el UDID.
- identificador único del dispositivo (ECID):
Identificador de 64 bits único en el procesador de cada iPhone o iPad.
- identificador uniforme de recursos (URI):
cadena de caracteres que identifica un recurso basado en web.
- intercambio de claves efímeras de Diffie‑Hellman de curva elíptica (ECDHE):
mecanismo de intercambio de claves basado en curvas elípticas. ECDHE permite que dos partes acuerden una clave secreta, de forma que se imposibilite que un tercero que esté observando los mensajes entre las dos partes descubra la clave.
- interfaz de periféricos serie mejorada (eSPI):
bus único diseñado para la comunicación síncrona en serie.
- llavero:
la infraestructura y un conjunto de API usadas por los sistemas operativos de Apple y por apps de terceros para almacenar y recuperar contraseñas, claves y otras credenciales delicadas.
- modo de actualización del firmware del dispositivo (DFU):
modo en el que el código de la ROM de arranque de un dispositivo espera su recuperación mediante USB. Al estar en el modo DFU, la pantalla está en negro; sin embargo, tras conectarse a un ordenador en el que se ejecuta iTunes o el Finder, se muestra el siguiente mensaje: “El Finder (o iTunes) ha detectado un (iPhone o iPad) en modo de recuperación. El usuario debe restaurar este (iPhone o iPad) para poder usarlo en el Finder (o iTunes)”.
- modo de recuperación:
un modo de recuperación para restaurar muchos dispositivos Apple si no reconoce el dispositivo del usuario, de modo que el usuario pueda reinstalar el sistema operativo.
- módulo de seguridad de hardware (HSM):
ordenador especializado en seguridad a prueba de manipulaciones que protege y gestiona claves digitales.
- motor criptográfico AES:
un componente de hardware dedicado que implementa AES.
- NAND:
memoria flash no volátil.
- perfil de datos:
una lista de propiedades (archivo .plist) firmada por Apple que contiene una serie de entidades y autorizaciones que permiten instalar y probar apps en un dispositivo iOS o iPadOS. Un perfil de datos de desarrollo contiene una lista de dispositivos seleccionados por un desarrollador para realizar una distribución a medida, y un perfil de datos de distribución contiene el ID de app de una app desarrollada por una empresa.
- protección de clave sellada (SKP):
tecnología de Protección de datos que protege (o sella) las claves de encriptación con medidas de software del sistema y claves disponibles solo en el hardware (como el UID de Secure Enclave).
- protección de datos:
mecanismo de protección de archivos y del llavero para dispositivos Apple compatibles. También puede referirse a las API que utilizan las apps para proteger los archivos y los ítems del llavero.
- protección de la integridad del coprocesador del sistema (SCIP):
mecanismo que utiliza Apple diseñado para impedir la modificación del firmware del coprocesador.
- recompensa de seguridad de Apple:
una bonificación que ofrece Apple a los investigadores que comunican una vulnerabilidad que afecta a la versión de sistema operativo más reciente y, si corresponde, al hardware más reciente.
- registro de progreso de arranque (BPR):
conjunto de indicadores de hardware del sistema en un chip (SoC) que el software puede usar para registrar los modos de arranque que el dispositivo ha utilizado, como el modo de actualización del firmware del dispositivo (DFU) y el modo de recuperación. Cuando se establece un indicador del registro de progreso de arranque, ya no se puede borrar. De este modo, un software posterior podrá obtener un indicador de confianza del estado del sistema.
- repositorios de claves:
estructura de datos que se utiliza para almacenar un conjunto de claves de clase. Cada tipo (usuario, dispositivo, sistema, copia de seguridad, custodia o copia de seguridad en iCloud) tiene el mismo formato.
Una cabecera que contiene: la versión (cuatro en iOS 12 o posterior); el tipo (sistema, copia de seguridad, custodia o copia de seguridad en iCloud); el UUID del repositorio de claves; un código HMAC si el repositorio de claves está firmado; el método usado para la encapsulación de las claves de clase: vinculado al UID o PBKDF2, junto con la sal y el recuento de iteraciones.
Una lista de claves de clase: el UUID de las claves; la clase (qué clase de Protección de datos de archivo o de llavero); el tipo de encapsulación (solo clave derivada del UID; la clave derivada del UID y la clave derivada del código); y la clave pública para clases asimétricas.
- ROM de arranque:
el primer código que ejecuta el procesador de un dispositivo al encenderse por primera vez. Como parte integral del procesador, ni Apple ni un intruso lo pueden modificar.
- sepOS:
el firmware de Secure Enclave, basado en una versión personalizada por Apple del microkernel L4.
- servicio de identidad (IDS) de Apple:
directorio de Apple de claves públicas de iMessage, direcciones del APNs, números de teléfono y direcciones de correo electrónico que se usan para buscar las claves y las direcciones de los dispositivos.
- servicio de notificaciones push de Apple (APNs):
servicio ofrecido por Apple a nivel mundial que envía notificaciones push a los dispositivos Apple.
- sistema en un chip (SoC):
circuito integrado (IC) que incorpora varios componentes en un único chip. El procesador de aplicaciones, Secure Enclave y otros coprocesadores son componentes del SoC.
- unidad de gestión de memoria de entrada/salida (IOMMU):
unidad de gestión de memoria de entrada/salida. Subsistema en un chip integrado que controla el acceso al espacio de direcciones desde otros periféricos y dispositivos de entrada/salida.
- vinculación:
proceso mediante el cual el código de un usuario se convierte en una clave criptográfica y se fortalece con el UID del dispositivo. Este proceso ayuda a garantizar que un ataque de fuerza bruta se deba realizar en un dispositivo determinado y, por lo tanto, la velocidad esté limitada y el ataque no se pueda realizar en paralelo. El algoritmo de vinculación es PBKDF2, que usa AES cifrado con el UID del dispositivo como la función pseudoaleatoria (PRF) para cada iteración.
- xART:
abreviatura de tecnología antirreproducción ampliada. Conjunto de servicios que proporcionan almacenamiento persistente encriptado y autenticado para Secure Enclave con funciones antirreproducción basadas en la arquitectura de almacenamiento físico. Consulta Componente de almacenamiento seguro.
- XNU:
kernel ubicado en el corazón de los sistemas operativos de Apple. Se presupone que es de confianza, y refuerza las medidas de seguridad tales como la firma de código, el aislamiento, la comprobación de las autorizaciones y la aleatorización del espacio de direcciones (ASLR).
- XProtect:
en macOS, una tecnología antivirus integrada para la detección y eliminación mediante firmas de software malicioso.