Glosarium
- AES (Standar Enkripsi Lanjutan)
Standar enkripsi global populer yang digunakan untuk mengenkripsi data agar tetap pribadi.
- AES-XTS
Mode AES yang didefinisikan di IEEE 1619-2007 ditujukan untuk mengenkripsi media penyimpanan.
- akses memori langsung (DMA)
Fitur yang memungkinkan subsistem perangkat keras untuk mengakses memori utama secara langsung, melewati CPU.
- Algoritme Tanda Tangan Digital Kurva Eliptis (ECDSA)
Algoritme tanda tangan digital yang didasarkan pada kriptografi kurva elips.
- Antarmuka Periferal Serial yang Ditingkatkan (eSPI)
Bus semua dalam satu yang dirancang untuk komunikasi serial selaras.
- APFS (Apple File System)
Sistem file default untuk iOS, iPadOS, tvOS, watchOS, dan komputer Mac yang menggunakan macOS 10.13 atau lebih baru. APFS disertai dengan enkripsi kuat, berbagi ruang, snapshot, pembuatan ukuran direktori cepat, dan fundamental sistem file yang ditingkatkan.
- Apple Business Manager
Portal sederhana berbasis web untuk administrator TI yang menyediakan cara yang cepat dan sederhana bagi organisasi untuk menyebarkan perangkat Apple yang telah mereka beli secara langsung dari Apple atau dari Penjual Resmi Apple dan operator yang berpartisipasi. Mereka dapat secara otomatis mendaftarkan perangkat di solusi mobile device management (MDM) tanpa harus secara fisik menyentuh atau menyiapkan perangkat sebelum pengguna mendapatkannya.
- Apple School Manager
Portal sederhana berbasis web untuk administrator TI yang menyediakan cara yang cepat dan sederhana bagi organisasi untuk menyebarkan perangkat Apple yang telah mereka beli secara langsung dari Apple atau dari Penjual Resmi Apple dan operator yang berpartisipasi. Mereka dapat secara otomatis mendaftarkan perangkat di solusi mobile device management (MDM) tanpa harus secara fisik menyentuh atau menyiapkan perangkat sebelum pengguna mendapatkannya.
- Apple Security Bounty
Imbalan yang diberikan oleh Apple kepada peneliti yang melaporkan kerentanan yang memengaruhi sistem operasi rilis terbaru dan, jika relevan, perangkat keras terbaru.
- bit seeding perangkat lunak
Bit terdedikasi di Mesin AES Secure Enclave yang ditambahkan ke UID saat membuat kunci dari UID. Setiap bit seeding perangkat lunak memiliki bit kunci masing-masing. Sistem operasi dan ROM Boot Secure Enclave dapat mengubah nilai setiap bit seeding perangkat lunak secara terpisah selama bit kunci masing-masingnya belum diatur. Setelah bit kunci diatur, bit seeding perangkat lunak dan bit kunci tidak dapat dimodifikasi. Bit seeding perangkat lunak dan kuncinya diatur ulang setelah Secure Enclave di-boot ulang.
- Boot Camp
Utilitas Mac yang mendukung penginstalan Microsoft Windows di komputer Mac yang didukung.
- Bootloader Level Rendah (LLB)
Di komputer Mac dengan arsitektur boot dua tahap, LLB berisi kode yang diaktifkan oleh ROM Boot dan pada gilirannya memuat iBoot, sebagai bagian dari rantai boot aman.
- CKRecord
Kamus pasangan nilai kunci yang berisi data yang disimpan atau diambil dari CloudKit.
- Firmware Antarmuka Firmware Terpadu yang Dapat Diperluas (UEFi)
Teknologi pengganti untuk BIOS untuk menghubungkan firmware ke sistem operasi komputer.
- Gatekeeper
Di macOS, teknologi yang dirancang untuk membantu memastikan hanya perangkat lunak tepercaya yang dijalankan di Mac pengguna.
- HMAC
Kode pengesahan pesan berbasis hash yang berdasarkan pada fungsi hash kriptografis.
- iBoot
Boot loader tingkat 2 untuk semua perangkat Apple. Kode yang memuat XNU, sebagai bagian dari rantai boot aman. Tergantung generasi sistem pada keping (SoC), iBoot dapat dimuat oleh Bootloader Level Rendah atau secara langsung oleh ROM Boot.
- ID grup (GID)
Seperti UID, tapi bersifat umum untuk semua prosesor di satu kelas.
- ID unik (UID)
Kunci AES 256 bit yang ditanamkan ke setiap prosesor pada proses produksi. UID tidak dapat dibaca oleh firmware atau perangkat lunak, dan hanya digunakan oleh Mesin AES perangkat keras milik prosesor. Untuk mendapatkan kunci yang sebenarnya, penyerang harus melancarkan serangan fisik yang sangat rumit dan mahal pada silikon prosesor. UID tidak terkait dengan pengenal lain di perangkat termasuk, tapi tidak terbatas pada, UDID.
- Identifikasi Keping Eksklusif (ECID)
Pengenal 64 bit yang bersifat unik untuk prosesor di setiap iPhone atau iPad.
- Joint Test Action Group (JTAG)
Alat debug perangkat keras standar yang digunakan oleh pemrogram dan pengembang sirkuit.
- kantong kunci
Struktur data yang digunakan untuk menyimpan kumpulan kunci kelas. Setiap jenis (pengguna, perangkat, sistem, cadangan, eskrow, atau Cadangan iCloud) memiliki format yang sama.
Header berisi: Versi (diatur ke empat dalam iOS 12 atau lebih baru), Jenis (sistem, cadangan, eskrow, atau Cadangan iCloud), UUID Kantong Kunci, HMAC jika kantong kunci ditandatangani, dan metode yang digunakan untuk membungkus kunci kelas—dikaitkan dengan UID atau PBKDF2, bersama dengan jumlah salt dan iterasi.
Daftar kunci kelas: UUID Kunci, Kelas (file atau kelas Perlindungan Data Rantai Kunci yang digunakan), jenis pembungkusan (hanya kunci turunan UID, atau kunci turunan UID dan kunci turunan kode sandi), kunci kelas yang dibungkus, dan kunci publik untuk kelas asimetris.
- Komponen Penyimpanan Aman
Keping dirancang dengan kode RO tetap, pembuat nomor acak perangkat keras, mesin kriptografi, dan deteksi kerusakan fisik. Di perangkat yang didukung, Secure Enclave dipasangkan dengan Komponen Penyimpanan Aman untuk penyimpanan nilai anti-pemutaran ulang. Untuk membaca dan memperbarui nilai anti-pemutaran ulang, Secure Enclave dan keping penyimpanan menerapkan protokol aman yang membantu memastikan akses eksklusif ke nilai anti-pemutaran ulang. Terdapat beberapa generasi dari teknologi ini dengan jaminan keamanan yang berbeda.
- kunci media
Bagian hierarki kunci enkripsi yang membantu menyediakan penghapusan aman dan instan. Di iOS, iPadOS, tvOS, dan watchOS, kunci media membungkus metadata di volume data (dan karenanya tanpa akses ke semua kunci per file tidak akan mungkin, membuat file yang dilindungi dengan Perlindungan Data tidak dapat diakses). Di macOS, kunci media membungkus material kunci, semua metadata, dan data di volume yang dilindungi oleh FileVault. Dalam kedua kasus, penghapusan kunci media membuat data yang dienkripsi tidak dapat diakses.
- kunci per file
Kunci yang digunakan oleh Perlindungan Data untuk mengenkripsi file di sistem file. Kunci per file dibungkus oleh kunci kelas dan disimpan di metadata file.
- kunci sistem file
Kunci yang mengenkripsi setiap metadata file, termasuk kunci kelasnya. Kunci ini disimpan di Penyimpanan Dapat Dihapus untuk penghapusan cepat dapat dilakukan, bukan untuk kerahasiaan.
- Kunci turunan kode sandi (PDK)
Kunci enkripsi yang diturunkan dari pengaitan kata sandi pengguna dengan kunci SKP jangka panjang dan UID Secure Enclave.
- Layanan Identitas (IDS) Apple
Direktori kunci publik iMessage Apple, alamat APN, serta nomor telepon dan alamat email yang digunakan untuk mencari kunci dan alamat perangkat.
- Layanan Pemberitahuan Push Apple (APN)
Layanan global dari Apple yang mengirimkan pemberitahuan push ke perangkat Apple.
- Mesin kriptografis AES
Komponen perangkat keras khusus yang menerapkan AES.
- mobile device management (MDM)
Layanan yang memungkinkan administrator mengelola perangkat yang didaftarkan secara jarak jauh. Setelah perangkat didaftarkan, administrator dapat menggunakan layanan MDM melalui jaringan untuk mengonfigurasi pengaturan dan melakukan tugas lainnya di perangkat tanpa interaksi pengguna.
- Mode Pemulihan
Mode yang digunakan untuk memulihkan banyak perangkat Apple jika tidak mengenali perangkat pengguna sehingga pengguna dapat menginstal ulang sistem operasinya.
- Mode Peningkatan Firmware Perangkat (DFU)
Mode ketika kode ROM Boot perangkat menunggu untuk dipulihkan melalui USB. Layar menjadi hitam saat dalam mode DFU, tapi saat tersambung ke komputer yang menjalankan iTunes atau Finder, perintah berikut akan muncul: “Finder (atau iTunes) telah mendeteksi (iPhone atau iPad) dalam mode Pemulihan. Pengguna harus memulihkan (iPhone atau iPad) ini sebelum perangkat dapat digunakan dengan Finder (atau iTunes).”
- modul keamanan perangkat keras (HSM)
Komputer khusus tahan perusakan yang melindungi dan mengelola kunci digital.
- NAND
Memori kilat non-volatil.
- pembungkusan kunci
Dengan mengenkripsi satu kunci dengan kunci lain, iOS dan iPadOS menggunakan pembungkusan kunci NIST AES, sesuai dengan RFC 3394.
- pemetaan sudut alur kerutan
Representasi matematis dari arah dan lebar kerutan yang diekstrak dari bagian sidik jari.
- Pengacakan Tata Letak Ruang Alamat (ASLR)
Teknik yang diterapkan oleh sistem operasi untuk mempersulit eksploitasi oleh bug perangkat lunak. Dengan memastikan bahwa alamat dan ofset memori tidak dapat diprediksi, kode eksploitasi tidak dapat mengodekan paksa nilai ini.
- pengaitan
Proses pengubahan kode sandi pengguna menjadi kunci kriptografis dan diperkuat dengan UID perangkat. Proses ini membantu memastikan bahwa serangan brute-force harus dilakukan di perangkat tertentu, dan oleh karena itu, menjadi terbatas dan tidak dapat dilakukan secara paralel. Algoritme pengaitan adalah PBKDF2, yang menggunakan kunci AES dengan UID perangkat sebagai fungsi semu acak (PRF) untuk setiap iterasi.
- Pengenal Sumber Seragam (URI)
String karakter yang mengidentifikasi sumber berbasis web.
- pengesahan perangkat lunak sistem
Proses yang menggabungkan kunci kriptografis yang tersedia di perangkat keras dengan layanan online untuk memeriksa bahwa hanya perangkat lunak asli dari Apple, yang sesuai dengan perangkat yang didukung, disuplai dan diinstal saat pembaruan.
- pengontrol memori
Subsistem di sistem pada keping yang mengontrol antarmuka antara sistem pada keping dan memori utamanya.
- Pengontrol SSD
Subsistem perangkat keras yang mengelola media penyimpanan (solid-state drive).
- Penyimpanan Dapat Dihapus
Area khusus penyimpanan NAND, digunakan untuk menyimpan kunci kriptografis, yang dapat diakses secara langsung dan dihapus dengan aman. Meskipun tidak menyediakan perlindungan jika perangkat berada di tangan penyerang, kunci yang disimpan di Penyimpanan Dapat Dihapus dapat digunakan sebagai bagian dari hierarki kunci untuk memfasilitasi penghapusan cepat dan keamanan berkelanjutan.
- Perlindungan Data
Mekanisme perlindungan file dan rantai kunci untuk perangkat Apple yang didukung. Perlindungan Data juga dapat merujuk ke API yang digunakan app untuk melindungi file dan item rantai kunci.
- Perlindungan Integritas Koprosesor Sistem (SCIP)
Mekanisme yang digunakan oleh Apple yang dirancang untuk mencegah modifikasi firmware koprosesor.
- Perlindungan Kunci yang Disegel (SKP)
Teknologi di Perlindungan Data yang melindungi, atau menyegel, kunci enkripsi dengan pengukuran perangkat lunak sistem dan kunci yang hanya tersedia di perangkat keras (seperti UID Secure Enclave).
- Pertukaran Diffie-Hellman Kurva Eliptis Sementara (ECDHE)
Mekanisme pertukaran kunci berdasarkan kurva eliptis. ECDHE memungkinkan dua pihak untuk menyepakati kunci rahasia dengan cara yang mencegah kunci untuk ditemukan oleh pengintai yang mengawasi pesan antara kedua pihak.
- profil penyedia
Daftar properti (file .plist) yang ditandatangani Apple yang berisi kumpulan entitas dan hak yang memungkinkan app untuk diinstal dan diuji di perangkat iOS atau iPadOS. Profil penyedia pengembangan membuat daftar perangkat yang telah dipilih pengembang untuk distribusi ad hoc, dan profil penyedia distribusi berisi ID app dari app yang dikembangkan perusahaan.
- rantai kunci
Infrastruktur dan kumpulan API yang digunakan oleh sistem operasi Apple dan app pihak ketiga untuk menyimpan dan mengambil kata sandi, kunci, dan info pengesahan sensitif lainnya.
- Register Kemajuan Boot (BPR)
Kumpulan tanda pada perangkat keras di sistem pada keping (SoC) yang dapat digunakan perangkat lunak untuk melacak mode boot yang diaktifkan perangkat, seperti mode Peningkatan Firmware Perangkat (DFU) dan mode Pemulihan. Setelah diatur, tanda Register Kemajuan Boot tidak dapat dibersihkan. Ini memungkinkan perangkat lunak berikutnya untuk mendapatkan indikator tepercaya dari status sistem.
- ROM Boot
Kode paling pertama yang dijalankan oleh prosesor perangkat saat boot pertama. Sebagai bagian integral dari prosesor, ROM Boot tidak dapat diubah oleh Apple atau penyerang.
- sepOS
Firmware Secure Enclave, berdasarkan versi mikrokernel L4 khusus Apple.
- sirkuit terpadu (IC)
Juga disebut keping mikro.
- sistem pada keping (SoC)
Sirkuit terpadu (IC) yang menggabungkan beberapa komponen ke dalam satu keping. Prosesor Aplikasi, Secure Enclave, dan koprosesor lain merupakan komponen SoC.
- Unit Manajemen Memori Input/Output (IOMMU)
Unit manajemen memori input/output. Subsistem dalam keping terintegrasi yang mengontrol akses ke ruang alamat dari perangkat dan periferal input/output lainnya.
- Vault Data
Mekanisme—diberlakukan oleh kernel—untuk melindungi dari akses tanpa izin ke data terlepas dari apakah app yang meminta di-sandbox.
- xART
Singkatan dari Anti-Pemutaran Ulang yang Diperluas. Sekumpulan layanan yang menyediakan penyimpanan persisten yang dienkripsi dan disahkan untuk Secure Enclave dengan kemampuan anti-pemutaran ulang berdasarkan arsitektur penyimpanan fisik. Lihat Komponen Penyimpanan Aman.
- XNU
Kernel di pusat sistem operasi Apple. XNU diasumsikan sebagai tepercaya, dan memberlakukan tindakan pengamanan seperti penandatanganan kode, penggunaan mekanisme sandbox, pemeriksaan hak, dan Pengacakan Tata Letak Ruang Alamat (ASLR).
- XProtect
Di macOS, teknologi antivirus untuk deteksi berbasis tanda tangan dan penghapusan malware.