Защита ключей в других режимах загрузки
Функция защиты данных предоставляет доступ к пользовательским данным только после успешной аутентификации и только авторизованному пользователю. Классы защиты данных поддерживают различные ситуации, например возможность чтения и записи некоторых данных, даже когда устройство заблокировано (но после первой разблокировки). Дополнительные меры принимаются для защиты доступа к пользовательским данным в других режимах загрузки, например режимах, используемых для обновления прошивки устройства (DFU), восстановления, диагностики Apple или даже обновления программного обеспечения. Эти возможности основаны на сочетании аппаратных и программных функций и расширялись по мере развития чипов Apple.
Функция | A10 | A11–A17 S3–S9 M1, M2, M3 |
Восстановление: данные всех классов защиты защищены | ||
Режимы обновления прошивки устройства (DFU), восстановления и обновления программного обеспечения: защищены данные класса A, B и C |
AES-модуль Secure Enclave имеет блокируемые программные начальные биты. При создании ключей из UID функция формирования ключа использует эти начальные биты для создания дополнительных иерархий ключей. Использование начального бита зависит от системы на кристалле:
Начиная с систем на кристалле Apple A10 и S3 начальный бит предназначен для идентификации ключей, защищенных с помощью код-пароля пользователя. Начальный бит устанавливается для ключей, которым требуется код-пароль пользователя (включая ключи с классами защиты данных A, B и C), и очищается для ключей, которым не требуется код-пароль пользователя (включая ключ метаданных файловой системы и ключи класса D).
В iOS 13 или новее и iPadOS 13.1 или новее на устройствах с A10 или новее при загрузке устройств в режиме диагностики все пользовательские данные становятся криптографически недоступными. Это достигается путем использования дополнительного начального бита, настройка которого определяет возможность доступа к ключу носителя, который необходим для доступа к метаданным и, следовательно, к содержимому всех файлов на томе данных, который зашифрован с помощью функции защиты данных. Эта защита распространяется на файлы всех классов защиты (A, B, C и D), а не только на те, которым требуется код-пароль пользователя.
В системах на кристалле A12 загрузочное ПЗУ Secure Enclave блокирует начальный бит код-пароля, если процессор приложений переходит в режим обновления прошивки устройства (DFU) или Режим восстановления. Если начальный бит код-пароля заблокирован, все операции по его изменению запрещены. Эта мера направлена на то, чтобы предотвратить доступ к данным, защищенным с помощью код-пароля пользователя.
При восстановлении устройства после перехода в режим DFU выполняется возврат в известное исправное состояние, в котором гарантированно присутствует только неизмененный код, который подписан компанией Apple. Переход в режим DFU можно выполнить вручную.
См. следующие статьи службы поддержки Apple, посвященные переводу устройства в режим DFU:
Устройство | Статья службы поддержки Apple |
---|---|
iPhone, iPad | |
Apple TV | |
Компьютер Mac с чипом Apple |