Glossario
- Accesso diretto alla memoria (DMA)
Funzionalità che consente ai sottosistemi hardware di accedere direttamente alla memoria principale a prescindere dalla CPU.
- AES (Advanced Encryption Standard)
Noto standard per la codifica dei dati che consente di mantenere private le informazioni.
- AES-XTS
Modalità di AES definita nell’IEEE 1619-2007 ideata per la codifica dei supporti di archiviazione.
- APFS (Apple File System)
Il file system di default per iOS, iPadOS, tvOS, watchOS e per i Mac con macOS 10.13 o versioni successive. APFS fornisce una codifica sicura, condivisione dello spazio, istantanee, dimensionamento rapido delle directory e funzionalità fondamentali migliorate.
- Apple Business Manager
Un portale web di facile utilizzo pensato per gli amministratori IT. Offre un metodo rapido ed efficiente per la distribuzione dei dispositivi che le organizzazioni acquistano direttamente da Apple o da un rivenditore o gestore autorizzato. Le organizzazioni possono registrare automaticamente i dispositivi in una soluzione di gestione dei dispositivi mobili (MDM) senza doverli toccare o preparare materialmente prima di consegnarli agli utenti.
- Apple Identity Service (IDS)
Directory Apple contenente le chiavi pubbliche di iMessage, gli indirizzi APN nonché i numeri di telefono e gli indirizzi e‑mail utilizzati per cercare le chiavi e gli indirizzi dei dispositivi.
- Apple School Manager
Un portale web di facile utilizzo pensato per gli amministratori IT. Offre un metodo rapido ed efficiente per la distribuzione dei dispositivi che le organizzazioni acquistano direttamente da Apple o da un rivenditore o gestore autorizzato. Le organizzazioni possono registrare automaticamente i dispositivi in una soluzione di gestione dei dispositivi mobili (MDM) senza doverli toccare o preparare materialmente prima di consegnarli agli utenti.
- ASLR (Address Space Layout Randomization)
Tecnica adottata dai sistemi operativi per rendere la riuscita di un attacco da parte di un bug software molto più difficile. Dato che gli indirizzi e gli offset della memoria sono imprevedibili, questi valori non possono essere fissati nel codice di exploit.
- Autorizzazione software di sistema
Un processo che unisce le chiavi di codifica integrate nell’hardware a un servizio in linea per verificare che con la nuova versione venga fornito e installato unicamente software valido di Apple, appropriato per i dispositivi supportati.
- Bit seed del software
Bit dedicati nel motore AES di Secure Enclave che vengono applicati all’UID quando vengono generate chiavi da quest’ultimo. Ogni bit seed del software ha un bit di blocco corrispondente. La ROM di avvio di Secure Enclave e il sistema operativo possono modificare indipendentemente il valore di ogni bit seed del software solo se il bit di blocco corrispondente non è stato impostato. Una volta che il bit di blocco è stato impostato, non è possibile modificare né il bit seed del software né il bit di blocco. I bit seed del software e i rispettivi blocchi vengono ripristinati quando Secure Enclave si riavvia.
- Boot Camp
Utility del Mac che supporta l’installazione di Microsoft Windows sui computer Mac supportati.
- Boot ROM
Il primo codice eseguito dal processore di un dispositivo al momento dell’avvio. In quanto parte integrante del processore, non può essere alterato né da Apple né da un malintenzionato.
- Bootloader di livello inferiore
Sui computer Mac con un’architettura di avvio a due fasi, il bootloader di livello inferiore contiene il codice invocato dalla ROM di avvio e che a sua volta carica iBoot nell’ambito della procedura di avvio sicura.
- Bus eSPI (Enhanced Serial Peripheral Interface)
Bus all-in-one progettato per le comunicazioni seriali sincrone.
- Chiave del file system
Chiave che codifica i metadati di ciascun file, inclusa la relativa chiave di classe. È conservata nella Effaceable Storage per consentire un’inizializzazione veloce più che per garantirne la riservatezza.
- Chiave derivata dal codice
Chiave di codifica derivata dalla combinazione tra la password dell’utente, la chiave SKP a lungo termine e l’UID di Secure Enclave.
- Chiave multimediale
Parte della gerarchia delle chiavi di codifica che aiuta a fornire un’inizializzazione sicura e immediata. Su iOS, iPadOS, tvOS e watchOS, la chiave multimediale cifra i metadati sul volume di dati (quindi, senza di essa, l’accesso a tutte le chiavi per file è impossibile e tutti i file protetti dalla protezione dati sono inaccessibili). In macOS, la chiave multimediale cifra i contenuti delle chiavi, tutti i metadati e i dati sul volume protetto da FileVault. In ogni caso, la cancellazione della chiave multimediale rende inaccessibili i dati codificati.
- Chiave per file
La chiave utilizzata dalla protezione dati per codificare un file sul file system. La chiave per file è cifrata da una chiave di classe e archiviata nei metadati del file.
- Cifratura della chiave
Codificare una chiave con un’altra. iOS e iPadOS utilizzano l’algoritmo di cifratura chiavi NIST AES, come da RFC 3394.
- Circuito integrato
Detto anche microchip.
- CKRecord
Dizionario delle coppie chiave-valore che contengono dati salvati o recuperati da CloudKit.
- Componente Secure Storage
Un chip progettato con un codice immutabile di sola lettura, un generatore di numeri casuali hardware, motori crittografici e un sistema di rilevamento di manomissione fisica. Sui dispositivi supportati, Secure Enclave è abbinato a un componente di archiviazione sicura per l’archiviazione dei valori anti-replay. Per leggere e aggiornare i valori anti-replay, Secure Enclave e il chip di archiviazione impiegano un protocollo sicuro che aiuta a garantire un accesso esclusivo ai valori anti-replay. Esistono varie generazioni di questa tecnologia, ognuna con differenti capacità di sicurezza.
- Controller della memoria
Sottosistema nel SoC che controlla l’interfaccia tra il SoC e la relativa memoria principale.
- Controller SSD
Sotto-sistema hardware che gestisce il supporto di archiviazione (SSD).
- Data vault
Un meccanismo, implementato dal kernel, che ha lo scopo di proteggere dall’accesso non autorizzato ai dati, indipendentemente dal fatto che l’app che li richiede sia in sandbox.
- Derivazione
Processo tramite il quale il codice di un utente viene trasformato in una chiave crittografica e rinforzato con l’UID del dispositivo. Questo processo aiuta a garantire che un eventuale attacco di forza bruta debba essere effettuato direttamente sul dispositivo, e quindi sia limitato per numero di tentativi possibili e non eseguibile in parallelo. L’algoritmo di derivazione è PBKDF2, che utilizza la codifica AES basata sull’UID del dispositivo come funzione pseudo casuale per ciascuna iterazione.
- ECDSA (Elliptic Curve Digital Signature Algorithm)
Un algoritmo di firma digitale basato sulla crittografia a curva ellittica.
- ECID (Identificatore unico del processore)
Identificatore a 64 bit specifico del processore in ciascun dispositivo iPhone o iPad.
- Effaceable Storage
Area dedicata della memoria NAND utilizzata per memorizzare chiavi di codifica; può essere interrogata direttamente e cancellata in maniera sicura. Anche se non costituisce una protezione quando il malintenzionato è materialmente in possesso del dispositivo, le chiavi conservate nella Effaceable Storage possono essere utilizzate nell’ambito di una gerarchia di chiavi per consentire un’inizializzazione veloce e aumentare così la sicurezza.
- Firmware UEFi (Unified Extensible Firmware Interface)
Tecnologia che sostituisce il BIOS per connettere il firmware al sistema operativo di un computer.
- Gatekeeper
Una tecnologia disponibile con macOS per aiutarti a garantire che sul Mac di un utente venga eseguito unicamente software attendibile.
- Gestione dei dispositivi mobili (MDM)
Servizio che consente a un amministratore di gestire da remoto i dispositivi registrati. Dopo che un dispositivo è registrato, l’amministratore può utilizzare il servizio MDM sulla rete per configurare le impostazioni ed eseguire altre attività sul dispositivo senza l’interazione dell’utente.
- GID
Identificatore per i gruppi di dispositivi, simile all’UID, ma comune a tutti i processori all’interno di una classe.
- HMAC
Un codice di autenticazione dei messaggi basato su hash che fa uso di una funzione hash crittografica.
- iBoot
Bootloader di seconda fase per tutti i dispositivi Apple. Codice che carica XNU nell’ambito della procedura di avvio sicura. A seconda della generazione del SoC, iBoot può essere caricato dal bootloader di livello inferiore o direttamente dalla ROM di avvio.
- ID unico (UID)
Chiave AES a 256 bit impressa in ciascun processore nella fase di fabbricazione. Non può essere letta dal firmware o dal software ed è utilizzata solo dal motore AES hardware del processore. Per ottenere la chiave effettiva, un hacker dovrebbe sferrare un attacco fisico altamente sofisticato e costoso contro il chip del processore. L’UID non è collegato a nessun altro identificatore sul dispositivo, nemmeno all’UDID.
- JTAG (Joint Test Action Group)
Strumento standard per il debug dell’hardware utilizzato dai programmatori e dagli sviluppatori di circuiti.
- Keybag
Struttura di dati utilizzata per conservare una raccolta di chiavi di classe. Ogni tipo (Utente, Dispositivo, Sistema, Backup, Escrow o Backup iCloud) ha lo stesso formato, ossia:
Un’intestazione contenente: versione (impostata su quattro in iOS 12 o versione successiva), tipo (sistema, backup, escrow o backup di iCloud), UUID della keybag, HMAC se la keybag è firmata e il metodo usato per la cifratura delle chiavi della classe, vincolato all’UID o PBKDF2 e insieme al salt e al conteggio delle iterazioni.
Un elenco delle chiavi di classe: UUID delle chiavi, classe (quale classe di protezione dei dati del portachiavi o del file), tipo di cifratura (solo chiave derivata da UID; chiave derivata da UID e chiave derivata da codice di accesso), chiave della classe cifrata e una chiave pubblica per le classi asimmetriche.
- Mappatura angolare del disegno papillare
Rappresentazione matematica della direzione e dell’ampiezza delle creste estrapolate da una porzione di impronta digitale.
- Modalità DFU (Device Firmware Upgrade)
Modalità in cui il codice Boot ROM del dispositivo attende di essere recuperato via USB. Lo schermo è nero, ma alla connessione con un computer su cui è installato iTunes o il Finder compare il seguente messaggio: “iTunes (o il Finder) ha rilevato un (iPhone o iPad) in modalità di recupero. L’utente deve ripristinare (iPhone o iPad) prima di usarlo con il Finder o con iTunes”.
- Modalità di recupero
Una modalità utilizzata per ripristinare qualsiasi dispositivo, consentendo all’utente di reinstallare il sistema operativo.
- Modulo di sicurezza hardware (HSM)
Computer specializzato anti‑manomissione che protegge e gestisce le chiavi digitali.
- Motore di codifica AES
Componente hardware dedicato che implementa l’AES.
- NAND
Memoria flash non volatile.
- Portachiavi
Infrastruttura e set di API utilizzati dai sistemi operativi Apple e dalle app di terze parti per archiviare e recuperare password, chiavi e altre credenziali sensibili.
- Profilo di provisioning
File di proprietà (.plist) firmato da Apple contenente un set di entità e autorizzazioni che permettono di installare e testare app su un dispositivo iOS o iPadOS. Un profilo di provisioning di sviluppo elenca i dispositivi scelti dallo sviluppatore per la distribuzione personalizzata, mentre il profilo di provisioning di distribuzione contiene l’ID di un’app sviluppata dall’azienda.
- Programma di bug bounty sulla sicurezza di Apple (Apple Security Bounty)
Riconoscimento dato da Apple ai ricercatori che segnalano una vulnerabilità riscontrata nell’ultimo sistema operativo e, se pertinente, nell’hardware più recente.
- Protezione dei dati
Meccanismo di protezione dei file e del portachiavi per i dispositivi Apple supportati. Può anche riferirsi alle API utilizzate dalle app per proteggere i file e gli elementi del portachiavi.
- Protezione dell’integrità dei coprocessori di sistema (SCIP)
Un meccanismo adoperato da Apple progettato per impedire la modifica del firmware dei coprocessori.
- Protezione SKP (Sealed Key Protection)
Tecnologia per la protezione dei dati che difende le chiavi di codifica sigillandole attraverso misurazioni del software di sistema e chiavi disponibili sono nell’hardware (come l’UID di Secure Enclave).
- Registro di avanzamento dell’avvio (BPR)
Insieme di marcatori hardware del SoC che il software può utilizzare per tenere traccia delle modalità di avvio intraprese dal dispositivo, come la modalità DFU o la modalità di recupero. Una volta che un marcatore del registro di avanzamento dell’avvio è impostato, non può essere eliminato. Questo consente al software successivo di ottenere un indicatore attendibile dello stato del sistema.
- Scambio su curve ellittiche Diffie‑Hellman con chiavi effimere (ECDHE)
Un meccanismo per lo scambio di chiavi basato sulle curve ellittiche. ECDHE consente a due parti di accordarsi su una chiave segreta in un modo che impedisce alla chiave di essere scoperta da un soggetto che intercetta i messaggi scambiati dalle due parti.
- sepOS
Il firmware di Secure Enclave, basato su una versione personalizzata da Apple del microkernel L4.
- Servizio di notifiche push di Apple (APN)
Servizio fornito da Apple che trasmette notifiche push ai dispositivi Apple in tutto il mondo.
- SoC (System on Chip)
Circuito integrato che riunisce vari componenti su un singolo chip. Il processore per le applicazioni, Secure Enclave e altri coprocessori sono componenti del SoC.
- Unità per la gestione della memoria di input/output
Un’unità per la gestione della memoria di input/output. Un sottosistema in un chip integrato che controlla l’accesso allo spazio degli indirizzi da altri dispositivi e periferiche di input/output.
- URI (Uniform Resource Identifier)
Stringa di caratteri che identifica una risorsa web.
- xART (eXtended Anti-Replay Technology)
Abbreviazione di eXtended Anti-Replay Technology. Insieme di servizi che fornisce un’archiviazione codificata, autenticata e persistente a Secure Enclave, con capacità anti replay basate sull’architettura fisica dell’archiviazione. Consulta “Componente Secure Storage”.
- XNU
Kernel alla base dei sistemi operativi Apple. È considerato attendibile e applica misure di sicurezza come la firma del codice, il sandboxing, la verifica delle autorizzazioni e la ASLR (Address Space Layout Randomization).
- XProtect
Tecnologia antivirus integrata in macOS per il rilevamento e la rimozione del malware basati su firme.