Beskytte nøkler i alternative oppstartsmoduser
Databeskyttelse er utviklet for å gi tilgang til brukerdata kun etter vellykket autentisering, og kun til den autoriserte brukeren. Databeskyttelsesklasser er utviklet for å støtte en rekke brukstilfeller, for eksempel muligheten til å lese og skrive noe data selv når en enhet er låst (men etter første opplåsing). Det finnes ytterligere tiltak for å beskytte tilgang til brukerdata under alternative oppstartsmoduser, for eksempel de som brukes for DFU-modus (Device Firmware Update), gjenopprettingsmodus, Apple-diagnostikk eller til og med under programvareoppdatering. Disse egenskapene er basert på en kombinasjon av maskinvare- og programvarefunksjoner, og de har blitt utvidet etter hvert som Apple-designede chiper har utviklet seg.
Funksjon | A10 | A11–A17 S3–S9 M1, M2, M3 |
Gjenoppretting: alle data-beskyttelsesklasser er beskyttet |
|
|
Alternative oppstarter av DFU-modus, Gjenoppretting og programvare-oppdateringer: databeskyttelse i klasse A, B og C |
|
|
Secure Enclave AES-motoren er utstyrt med låsbare programvare-seed-biter. Når nøkler opprettes fra UID-en, inkluderes disse seed-bitene i nøkkelderivasjonsfunksjonen for å opprette ytterligere nøkkelhierarkier. Hvordan seed-biten brukes, varierer i henhold til SoC-en:
Fra og med Apple A10- og S3-SoC-ene dedikeres en seed-bit for å skille nøkler som beskyttes av brukerens kode. Seed-biten settes for nøkler som krever brukerens kode (inkludert databeskyttelsesklasse A-, -klasse B- og -klasse C-nøkler), og fjernes for nøkler som ikke krever brukerens kode (inkludert filsystemmetadatanøkkelen og klasse D-nøkler).
I iOS 13 eller nyere og iPadOS 13.1 eller nyere på enheter med en A10 eller nyere, gjøres alle data kryptografisk utilgjengelig når enheter startes i diagnostikkmodus. Dette oppnås ved å introdusere en ekstra seed-bit der innstillingen styrer muligheten til å få tilgang til medienøkkelen, som selv er nødvendig for å få tilgang til metadataene (og derfor innholdet i alle filer) på datavolumet som er kryptert med databeskyttelse. Denne beskyttelsen gjelder filer som er beskyttet i alle klasser (A, B, C og D), ikke kun de som krevde brukerens kode.
På A12-SoC-er låser Secure Enclave oppstart-ROM kode-seed-biten hvis applikasjonsprosessoren er i DFU-modus (Device Firmware Upgrade) eller Gjenopprettingsmodus. Når kode-seed-biten er låst, tillates ingen operasjoner for å endre den. Dette er utviklet for å hindre tilgang til data som er beskyttet av brukerens kode.
Ved gjenoppretting av en enhet fra DFU-modus settes enheten tilbake i en kjent, fungerende tilstand der kun uendret, Apple-signert kode brukes. En enhet kan settes i DFU-modus manuelt.
Se følgende Apple-kundestøtteartikler om hvordan man setter en enhet i DFU-modus:
Enhet | Apple-kundestøtteartikkel |
|---|---|
iPhone, iPad | |
Apple TV | |
Mac med Apple-chip |