Donanım güvenliğine genel bakış
Yazılımın güvenli olması için güvenliğin yerleşik olduğu bir donanım üzerinde bulunması gerekir. Bu nedenle iOS, iPadOS, macOS, tvOS ve watchOS çalıştıran Apple aygıtları, Silicon’a tasarlanmış güvenlik yeteneklerine sahiptir. Bu yeteneklere, sistem güvenliği özelliklerine güç veren bir CPU ile güvenlik işlevlerine ayrılmış ek Silicon da dahildir. Güvenlik odaklı donanım, saldırı zeminini en aza indirmek için sınırlı ve ayrı bir şekilde tanımlanmış işlevleri destekleme ilkesine uyar. Bu bileşenler arasında güvenli başlatma için bir donanım güven kökü oluşturan Boot ROM, verimli ve güvenli şifreleme ve şifre çözme işlemleri için özel AES motorları ve Secure Enclave sayılabilir. Secure Enclave; tüm yeni iPhone, iPad, Apple Watch, Apple TV ve HomePod aygıtlarında ve Apple Silicon yongalı Mac’lerin yanı sıra Apple T2 güvenlik yongasına sahip olanlarda da bulunan Apple yongadaki sistem (SoC) üzerinde bulunan bir bileşendir. Secure Enclave de kendisine ayrılmış Boot ROM ve AES Motoru olması açısından SoC ile aynı tasarım ilkesine uyar. Secure Enclave; aygıtta duran verileri şifreleme için gereken anahtarların güvenli bir şekilde oluşturulması ve saklanması işlevlerinin temelini oluşturmasının yanı sıra Face ID ve Touch ID biyometrik verilerini de korur ve değerlendirir.
Depolama alanı şifrelemesinin hızlı ve verimli olması gerekir. Aynı zamanda şifreleme anahtarı oluşturma ilişkilerini kurmak için kullandığı verileri (veya anahtar oluşturma malzemelerini) de asla ifşa edemez. AES donanım motoru, dosyalar yazılırken veya okunurken aynı anda hızlı şifreleme ve şifre çözme işlemleri gerçekleştirerek bu sorunu çözer. Secure Enclave’in özel bir kanalı, gerekli anahtar oluşturma malzemelerini AES motoruna sağlar ve bu bilgileri uygulama işlemcisine (veya CPU’ya) ya da genel olarak işletim sistemine göstermez. Bu, Apple’ın Veri Koruma ve FileVault teknolojilerinin, uzun ömürlü şifreleme anahtarlarını ifşa etmeden kullanıcı dosyalarını korumasını sağlamaya yardımcı olur.
Apple, güvenli başlatmayı en alt düzey yazılımları değiştirilmeye karşı koruyacak ve başlangıçta yalnızca Apple’ın güvenilir işletim sistemi yazılımlarının yüklenmesine izin verecek şekilde tasarlamıştır. Güvenli başlatma, Boot ROM denilen ve donanım güven kökü olarak da bilinen, Apple SoC’nin üretimi sırasında eklenen değişmez kodda başlar. T2 yongasına sahip Mac bilgisayarlarında macOS güvenli başlatma güveni T2 ile başlar. (Hem T2 yongası hem de Secure Enclave kendi ayrı Boot ROM’larını kullanarak kendi güvenli başlatma işlemlerini de çalıştırır. Bu, A serisi, M1 ve M2 yongalarının güvenli başlatma işlemlerine tıpatıp benzer.)
Secure Enclave, Apple aygıtlarındaki Face ID ve Touch ID sensörlerinden gelen yüz ve parmak izi verilerini de işler. Böylece, kullanıcının biyometrik verileri gizli ve güvenli tutulurken güvenli kimlik doğrulama da sağlanır. Bu, kullanıcıların uzun ve karmaşık parolaların sunduğu güvenlikten, çoğu durumda, erişim veya satın almalar için hızlı kimlik doğrulama kolaylığı ile yararlanmalarını da sağlar.