hexj9 |
2021-02-27 14:57 |
苹果在上周推出了新版的 “平台安全指南”。这份指南中,苹果全面讲述了有关 iOS14、iPadOS 14、macOS Big Sur、tvOS 14、watchOS 7 等平台的最新安全特性。
苹果在十年前首次推出了平台安全指南,主要用来描述苹果在安全方面的投入和做法,初期的安全指南只是一份很短的文件。随着时间的累计,这份指南得到不断的更新和丰富。而本次苹果升级的 “安全指南”,是有史以来最大的一次更新。这次更新,苹果为企业和开发者提供了非常详细和全面的说明,帮助他们使用相关的技术和功能来保护用户的设备和数据。 具体来说,本次更新内容主要分为以下几个主题:
- 硬件安全性和生物识别:构成苹果设备安全性根基的硬件包括安全隔区、专用 AES 加密引擎、触控 ID 和面容 ID。
- 系统安全性:包括集成的硬件和软件功能,针对苹果设备操作系统的安全启动、更新和持续运行而提供。
- 加密和数据保护:一种对用户数据进行保护的架构和设计。在设备丢失或被盗,或有未授权人员或进程尝试使用或修改设备时,能够保护设备上的用户数据。
- App 安全性:提供安全的 App 生态系统并确保 App 安全运行且不破坏平台完整性。
- 服务安全性:针对苹果相关的软件服务,主要用于身份认证、密码管理、支付、通信以及查找丢失设备。
- 网络安全性:针对传输中的数据提供安全认证和加密的行业标准联网协议。
- 开发者套件:安全私密的家庭和健康管理框架,以及苹果设备和第三方 App 服务功能的扩展框架。
- 安全设备管理:允许对苹果设备进行管理、防止未经授权的使用以及在设备丢失或被盗时启用远程擦除的方法。
- 安全和隐私认证:ISO 认证、加密验证、通用标准认证和涉密项目商业解决方案 (CSfC) 计划的信息。
而目前,IT之家从苹果处了解到了关于此次平台安全指南重要更新的背景和一些重点信息。 在很多网友的印象中,苹果很少会与外界就平台安全方面的问题做系统性的分享。而随着 M1 芯片在 Mac 平台上的使用,苹果已经能够在旗下几乎所有设备中都采用自主研发的芯片,随之在安全策略方面也有所变动,因此眼下正是外界了解苹果平台安全策略的良好契机。 安全,从芯片层级做起 在介绍中,苹果首先以 iPhone 的安全策略为例来讲解自身的安全理念。在 iPhone 上,苹果的思考是,怎样从最基础、最根本的层级来重新建构安全体系,然后,他们的结论是,从芯片的层面开始做起。 具体来说,苹果给自己设定了几个目标: 第一个是要让设备拥有一种内置的强大安全防护能力,默认情况下就可以时刻保护终端的安全。 第二个是终端必须拥有广泛的使用基数,这样安全的样本才有意义。而目前苹果拥有 10 亿部 iPhone 的使用基数,这显然已经不是问题。 至于打造安全能力的理念,苹果表示,所有的设计都是要以用户为核心。为此,苹果特别以 Touch ID 指纹识别这个功能为例,做了详细介绍。 在早年的 iPhone 中,苹果打造的是静态的数据保护系统,这个系统已经非常先进,涉及到非常多层级的保护,比如可以让设备在上锁的情况下去下载和加密数据。但是苹果后来发现,虽然他们在数据保护方面做了很大投入,但仍然有大量的用户并没有得到保护。因为这些用户经常需要对设备进行解锁,久而久之就会觉得设置密码太麻烦了,所以很多用户,特别是一些企业用户就会主动放弃设置密码。
了解到这个现象,苹果就思考如何找到更好的方法来处理这个问题,后来,我们就看到苹果在 iPhone 5s 这代产品上推出了 Touch ID。由此可见,强大的安全性和出色的便捷性并非鱼和熊掌不可兼得。 而关于 Touch ID,它的安全保障其实需要非常多的投入,因为生物特征识别需要众多关键因素到位,包括精准的传感器、强大的数据保护架构、以及支持这些技术的芯片,同时还要有软件让这一系列功能可以运行,做法非常复杂。无论是 Touch ID 还是 Face ID,都是要通过硬件、软件和服务进行深层级的集成,才有办法实现出色的安全效果。 苹果做到的关键,是因为他们从最基础的芯片层级一路向上打造。因此我们看到,自研芯片(Apple Silicon)正在成为苹果越来越重要的关键词,因为这不仅仅可以为苹果带来更统一、更自主的硬件生态和强大的性能,更能带来更完整的安全防护体系,从这一点看,Apple Silicon 的意义十分重大。 通常,芯片在设备里被叫做 SoC,SoC 通常会包含众多独立的元件,而苹果自研 SoC 里有非常多的元件是和安全有关的,包括很多定制的 SoC 或者子系统。 苹果称,正是因为需要从这样基础的层级就开始着手安全性设计,所以他们在推出一个设备之前好几年,就要开始做安全相关的规划。 利用 SoC 中众多服务于安全的子元件,苹果就可以让他们执行非常多的关键操作,执行这些操作时,会和 SoC 中的主要 CPU 区隔开来,避免任何危害操作系统的行为影响到整个子系统的安全功能。 其中最重要的部件要数安全隔区了。安全隔区就是一个独立于主处理器外的安全协处理器,其中包括基于硬件的密钥管理器,还可以保护和存储来自用户的生物识别数据,从而提供额外的安全性保护。
事实上,从 iPhone 5s 开始的 Touch ID 拥有很强的安全性,很大程度上就是得益于安全隔区功能。 除了这些,在苹果芯片中还有很多其他的安全元件。 例如为为安全隔区建立硬件信任根的 Boot ROM,同时,每台搭载安全隔区的苹果设备都具有专用的 AES-256 加密引擎,内置于闪存与主系统内存之间的 DMA 路径中,可以实现高效的文件加密。 这些元件都可以实现很多关键的安全功能,比如安全开机、安全启动,还有对设备上的用户数据的加密,以及保护设备密码的元件、系统完整性保护的措施等等。
|
|