Ordlista

AES (Advanced Encryption Standard)

En populär global krypteringsstandard som används till att kryptera data för att hålla dem privata.

AES-krypteringsmotor

En dedikerad maskinvarukomponent som implementerar AES.

AES-XTS

Ett läge för AES definierat i IEEE 1619-2007 och avsett att användas vid kryptering av lagringsmedier.

APFS (Apple File System)

Det förvalda filsystemet för iOS, iPadOS, tvOS, watchOS och Mac-datorer med macOS 10.13 eller senare. APFS har stark kryptering, utrymmesdelning, ögonblicksbilder, snabb beräkning av katalogstorlek och förbättrade filsystemsgrunder.

APNs (Apples tjänst för pushnotiser)

En världsomspännande tjänst från Apple som levererar pushnotiser till Apple-enheter.

Apple Business Manager

En enkel, webbaserad portal för IT-administratörer som gör att organisationer snabbt och smidigt kan driftsätta Apple-enheter som organisationen har köpt direkt av Apple eller via auktoriserade Apple-återförsäljare och operatörer som deltar. De kan automatiskt registrera enheter i sin MDM-lösning utan att behöva förbereda eller ens röra vid själva enheterna innan användarna får dem.

Apple School Manager

En enkel, webbaserad portal för IT-administratörer som gör att organisationer snabbt och smidigt kan driftsätta Apple-enheter som organisationen har köpt direkt av Apple eller via auktoriserade Apple-återförsäljare och operatörer som deltar. De kan automatiskt registrera enheter i sin MDM-lösning utan att behöva förbereda eller ens röra vid själva enheterna innan användarna får dem.

Apples säkerhetsbelöning

En belöning som ges av Apple till personer som rapporterar en sårbarhet som påverkar de senast levererade operativsystemen och (om det är relevant) den senaste maskinvaran.

ASLR (Address Space Layout Randomization)

En teknik som operativsystem använder för att göra det svårare att utnyttja eventuella buggar i programvaran. Genom att se till att minnesadresser och -förskjutningar är oförutsägbara förhindras skadlig kod från att hårdkoda dessa värden.

auktorisering av systemprogramvara

En process som kombinerar kryptografiska nycklar inbyggda i maskinvaran med en webbtjänst för att kontrollera att endast legitim programvara från Apple, lämplig för de enheter som stöds, tillhandahålls och installeras vid uppgradering.

Boot Camp

Ett Mac-verktyg som stöder installation av Microsoft Windows på Mac-datorer som stöds.

Boot ROM (startminne)

Den första kod som körs av enhetens processor när den startar. Eftersom den är integrerad i processorn kan den inte ändras, varken av Apple eller någon annan.

BPR (Boot Progress Register)

En samling SoC-maskinvaruflaggor som programvara kan använda till att spåra de startlägen som enheten befinner sig i, som DFU-läge (Device Firmware Update) och återställningsläge. När en BPR-flagga (Boot Progress Register) anges kan den inte rensas efteråt. Det här gör det möjligt för senare programvaror att få en tillförlitlig indikator för systemets status.

CKRecord

En ordbok med nyckelvärdepar som innehåller data som har sparats till eller hämtats från CloudKit.

Dataskydd

En mekanism för skydd av filer och nyckelringar på Apple-enheter som stöds. Det kan också syfta på de API:er som appar använder till att skydda filer och nyckelringsobjekt.

Datavalv

En mekanism – driven av kärnan – som ger skydd mot obehörig tillgång till data vare sig appen som skickar begäran själv körs i en sandlåda eller inte.

DFU-läge (Device Firmware Upgrade)

Ett läge där enhetens Boot ROM-kod väntar på att återskapas via USB. Skärmen är svart i DFU-läge, men vid anslutning till en dator med iTunes eller Finder visas följande meddelande: ”Finder (eller iTunes) har upptäckt en (iPhone eller iPad) i återhämtningsläge. Användaren måste återställa denna (iPhone eller iPad) innan den kan användas med Finder (eller iTunes).”

DMA (Direct Memory Access)

En funktion som tillåter att maskinvarudelsystem kommer åt huvudminnet direkt och förbigår processorn.

ECDHE (Elliptic Curve Diffie-Hellman Exchange Ephemeral)

En mekanism för nyckelutbyte som baseras på elliptiska kurvor. Med ECDHE kan två parter komma överens om en hemlig nyckel på ett sätt som förhindrar att nyckeln upptäcks av någon som avlyssnar meddelandena mellan de båda parterna.

ECDSA (Elliptic Curve Digital Signature Algorithm)

En digital signeringsalgoritm som baseras på elliptisk kurvkryptografi.

ECID (Exclusive Chip Identification)

En 64-bitars identifierare som är unik för processorn i varje iPhone eller iPad.

eSPI (Enhanced Serial Peripheral Interface)

En allt-i-ett-buss som är utformad för asynkron seriell kommunikation.

Fast UEFI (Unified Extensible Firmware Interface)-programvara

En ersättningsteknik för BIOS för anslutning av fast programvara till en dators operativsystem.

filnyckel

Den nyckel som används av dataskydd till att kryptera en fil i filsystemet. Filnyckeln paketeras av en klassnyckel och sparas i filens metadata.

filsystemsnyckel

Den nyckel som krypterar varje fils metadata, inklusive dess klassnyckel. Den förvaras i det raderingsbara lagringsutrymmet för möjlighet till snabb radering snarare än konfidentialitet.

Gatekeeper

En teknik i macOS som är utformad för att säkerställa att endast betrodd programvara körs på en användares Mac.

grupp-ID (GID)

Som UID, men gemensamt för alla processorer i en klass.

HMAC

En hashbaserad meddelandeautentiseringskod som bygger på en kryptografisk hashfunktion.

HSM-modul (Hardware Security Module)

En specialiserad, manipuleringssäker komponent som skyddar och hanterar digitala nycklar.

iBoot

Steg 2-startinläsare för alla Apple-enheter. Kod som läser in XNU som en del av den säkra startsekvensen. Beroende på SoC (System on Chip)-generation kan iBoot läsas in av LLB (Low-Level Bootloader) eller direkt av startminnet (Boot ROM).

IDS (Apple Identity Service)

Apples katalog över publika iMessage-nycklar, APNs-adresser samt telefonnummer och e-postadresser som används till att söka efter nycklar och enhetsadresser.

integrerad krets (IC)

Kallas också mikrochip.

Integritetsskydd för systemcoprocessor (SCIP)

En mekanism Apple använder som är utformad för att förhindra ändring av coprocessorns fasta programvara.

IOMMU (Input/Output Memory Management Unit)

En enhet för hantering av inmatning/utmatning och minne. Ett delsystem på en integrerad krets som styr åtkomsten till adressutrymme från andra I/O-enheter och tillbehör.

JTAG (Joint Test Action Group)

Ett vanligt felsökningsverktyg för maskinvara som används av programmerare och kretsutvecklare.

LLB (Low Level Bootloader)

I Mac-datorer med en startarkitektur i två steg innehåller LLB den kod som anropas av Boot ROM, och som i sin tur läser in iBoot, som en del av den säkra startsekvensen.

Lösenkodshärledd nyckel (PDK)

Krypteringsnyckeln som härleds genom att användarens lösenord knyts till den långvariga SKP-nyckeln och UID:t för Secure Enclave

MDM (Mobile Device Management)

En tjänst som administratören kan använda till att fjärrhantera registrerade enheter. När en enhet är registrerad kan administratören använda MDM-tjänsten via nätverket till att konfigurera inställningar och utföra andra åtgärder på enheten utan att enhetsanvändaren behöver göra något.

medienyckel

En del av krypteringsnyckelhierarkin som bidrar till att utföra en säker och direkt radering. I iOS, iPadOS, tvOS och watchOS paketeras metadata på datavolymen med medienyckeln (utan den blir all åtkomst till enskilda filnycklar omöjlig, vilket innebär att filer som skyddas med dataskydd blir oåtkomliga). I macOS paketerar medienyckeln nyckelskapningsmaterialet, alla metadata och data på den FileVault-skyddade volymen. I båda fallen blir alla krypterade data oåtkomliga om medienyckeln raderas.

minnesstyrenhet

Undersystemet i SoC som styr gränssnittet mellan SoC och dess huvudminne.

NAND

Icke-flyktigt flash-minne.

nyckelgenerering

Den process då en användares lösenkod görs om till en kryptografisk nyckel och förstärks med enhetens UID. Denna process gör att automatiserade intrångsförsök måste utföras på en given enhet, vilket begränsar hur ofta angreppen kan utföras och förhindrar att de utförs parallellt. Algoritmen för nyckelgenerering är PBKDF2. Den använder AES krypterad med enhetens UID som PRF-funktion (pseudorandom function) för varje iteration.

nyckelpaketering

Kryptering av en nyckel med en annan. iOS och iPadOS använder NIST AES-nyckelpaketering i enlighet med RFC 3394.

nyckelring

Den infrastruktur och den uppsättning API:er som används av operativsystem från Apple och tredjepartsappar till att lagra och hämta lösenord, nycklar och andra känsliga inloggningsuppgifter.

nyckelsamling

En datastruktur som används till att lagra en samling klassnycklar. Varje typ (användare, enhet, system, säkerhetskopiering, deponering samt iCloud-säkerhetskopiering) har samma format.

En rubrik som innehåller: Version (angett till fyra i iOS 12 eller senare), Typ (system, säkerhetskopia, deponering eller iCloud-säkerhetskopiering), nyckelsamlingens UUID, ett HMAC om nyckelsamlingen är signerad och den metod som används för paketering av klassnycklarna – tillsammans med UID eller PBKDF2, eller tillsammans med salt och iterationsantal.

En lista över klassnycklar: Nyckelns UUID, Klass (dataskyddsklass för filer eller nyckelring), typ av paketering (endast UID-härledd nyckel, UID-härledd nyckel och lösenkodshärledd nyckel), paketerad klassnyckel och en publik nyckel för asymmetriska klasser.

programvarustartbitar

Dedikerade bitar i Secure Enclaves AES-motor som bifogas i UID:t när nycklar genereras från UID:t. Varje programvarustartbit har en motsvarande låsbit. Secure Enclaves Boot ROM och operativsystem kan oberoende av varandra ändra värdet för varje programvarustartbit så länge som dess motsvarande låsbit inte har ställts in. När låsbiten har ställts in kan varken programvarustartbiten eller låsbiten ändras. Programvarustartbitar och deras lås nollställs när Secure Enclave startar om.

Raderingsbart lagringsutrymme

Ett dedikerat NAND-lagringsutrymme för lagring av kryptografiska nycklar, som kan anropas direkt och raderas säkert. Det ger inget skydd mot angripare som har fysisk tillgång till enheten. Däremot kan nycklarna i det raderingsbara lagringsutrymmet användas i nyckelhierarkier för snabb radering och förebyggande säkerhet.

ridge flow angle mapping

En matematisk representation av riktningen och bredden på de linjer som extraheras från en del av ett fingeravtryck.

sepOS

Den fasta maskinvaran för Secure Enclave, baserad på en Apple-anpassad version av L4-mikrokärnan.

SKP (Sealed Key Protection)

En teknik i dataskyddet som skyddar, eller förseglar, krypteringsnycklar med åtgärder i programvaran i systemet och nycklar som bara finns i maskinvaran (som UID:t för Secure Enclave).

SoC (System on Chip)

En integrerad krets (IC) där flera komponenter är samlade på en krets. Approcessorn, Secure Enclave och andra coprocessorer är komponenter i SoC.

SSC (Secure Storage Component)

En krets utformad med statisk RO-kod, en maskinvarubaserad slumptalsgenerator, kryptografimotorer och detektering av fysisk manipulering. På enheter som stöds parkopplas Secure Enclave med en integrerad krets för säker lagring av anti-replay-värde (SSC). Secure Enclave och lagringskretsen läser och uppdaterar alla anti-replay-värden genom ett säkert protokoll som endast ger tillgång till anti-replay-värden. Det finns flera generationer med den här tekniken med olika säkerhetsgarantier.

SSD-styrenhet

Ett maskinvarudelsystem som hanterar lagringsmediet (solid-state drive).

tillhandahållandeprofil

En egenskapslista (.plist-fil) som är signerad av Apple och innehåller en uppsättning entiteter och behörigheter som tillåter att appar installeras och testas på en iOS- eller iPadOS-enhet. En tillhandahållandeprofil för utveckling listar de enheter som utvecklaren har valt för specialdistribution, och en tillhandahållandeprofil för distribution innehåller app-ID:t för en företagsutvecklad app.

UID (unikt ID)

En 256-bitars AES-nyckel som bränns in i processorn vid tillverkningen. Den kan inte läsas av fast programvara eller programvara och den används endast av processorns maskinvarubaserade AES-motor. För att komma åt den faktiska nyckeln måste en angripare utföra ett mycket avancerat och kostsamt fysiskt angrepp mot processorkretsen. UID:t har inget samband med någon annan identitetsmärkning på enheten, inklusive men inte begränsat till UDID:t.

URI (Uniform Resource Identifier)

En teckensträng som identifierar en webbaserad resurs.

xART

En förkortning av eXtended Anti-Replay Technology. En uppsättning tjänster som tillhandahåller krypterad, autentiserad bestående lagring för Secure Enclave med anti-replay-funktioner baserade på den fysiska lagringsarkitekturen. Se SSC (Secure Storage Component).

XNU

Kärnan i operativsystemen från Apple. Den förutsätts vara betrodd och den kräver säkerhetsåtgärder som kodsignering, sandlåda, behörighetskontroller och ASLR (Address Space Layout Randomization).

XProtect

En antivirusteknik i macOS för signaturbaserad upptäckt och borttagning av sabotageprogram.

Återställningsläge

Ett läge som används till att återställa många Apple-enheter om användarens enhet inte kan identifieras så att användaren kan ominstallera operativsystemet.