PDF《iOS 安全保护》

iOS 安全保护 iOS 12.

1

2018 年11 月2目录 第5页介绍 第6页系统安全性 安全启动链 系统软件授权 安全隔区 操作系统完整性保护 触控 ID 面容 ID 第12 页 加密和数据保护 硬件安全性功能 文件数据保护 密码 数据保护类 钥匙串数据保护 密钥包 第20 页 应用安全性 应用代码签名 运行时进程安全性 扩展项 应用组 应用中的数据保护 配件 HomeKit SiriKit HealthKit ReplayKit 安全备忘录 共享备忘录 Apple Watch 第30 页 网络安全性 TLS VPN 无线局域网 蓝牙 单点登录 隔空投送 安全性 无线局域网密码共享 第36 页Apple Pay Apple Pay 组件 Apple Pay 如何使用安全元件 Apple Pay 如何使用 NFC 控制器 信用卡、 借记卡和储值卡预置 支付授权 交易专用动态安全码

3 在商店中使用信用卡和借记卡付款 在应用内使用信用卡和借记卡付款 在网站上使用信用卡和借记卡付款 免接触式凭证 Apple Pay Cash 交通卡 学生证 暂停使用、 移除和抹掉付款卡 第44 页 互联网服务 Apple ID iMessage 信息 商务聊天 FaceTime 通话 iCloud iCloud 钥匙串 Siri Safari 建议、 搜索中的 Siri 建议、 查询、 # 图像、 新闻 应用以及不支持 新闻 应用的国家或地区的 新闻 小组件 Safari 浏览器智能防跟踪功能 第55 页 用户密码管理 应用访问已存储密码的权限 自动强密码 将密码发送给其他人或设备 凭证提供程序扩展 第57 页 设备控制 密码保护 iOS 配对模型 配置执行 移动设备管理 (MDM) 共用的 iPad Apple 校园教务管理 Apple 商务管理 设备注册 Apple Con?gurator

2 监督 访问限制 远程擦除 丢失模式 激活锁 屏幕使用时间 第63 页 隐私控制 定位服务 访问个人数据 隐私政策 第64 页 安全性认证和计划 ISO

27001 和ISO

27018 认证 加密验证 (FIPS 140-2) 通用标准认证 (ISO 15408) 涉密项目商业解决方案 (CSfC) 安全性配置指南

4 第66 页Apple 安全性奖金 第67 页 结束语 安全性承诺 第68 页 术语表 第70 页 文稿修订记录

5 Apple 设计的 iOS 平台以安全性为核心. 着手于开发一流的移动平台时, 我们充分利用 了数十年积累的丰富经验, 力求打造出全新的架构. 在深入思考桌面系统环境中的诸多 安全性隐患后, 我们在 iOS 的设计中建立了一个全新的安全保护机制. 我们开发并整合 了一系列有助于增强移动环境安全性的创新功能, 它们会在默认情况下为整个系统提供 保护. 这一切使得 iOS 在移动设备安全领域迈出了更深远的一步. 软件、 硬件和服务在每台 iOS 设备上紧密联系、 共同工作, 旨在为用户提供最高的安全 性和透明的使用体验. iOS 不仅保护设备和其中的静态数据, 还保护整个生态系统, 包括用户在本地、 网络上以及使用互联网核心服务执行的所有操作. iOS 和iOS 设备不但提供先进的安全性功能, 而且还易于使用. 很多安全性功能在默认 情况下均处于启用状态, 因此 IT 部门无需执行大量的配置操作. 而设备加密等关键的安 全性功能是不可配置的, 因此可以避免用户在无意中停用这些功能. 面容 ID 等其他功能 让设备安全性变得更简单直观, 从而增强了用户体验. 本文详细介绍了安全性技术和功能如何在 iOS 平台中得以实现. 在本文的帮助下, 各个 公司能够将 iOS 平台安全性技术和功能与自身的政策和规程结合在一起, 从而满足公司 的特定安全性需求. 本文主要分为以下几个主题: ? 系统安全性: iPhone、 iPad 和iPod touch 上安全的一体化软硬件平台. ? 加密和数据保护:一种对用户数据进行保护的架构和设计. 在设备丢失或被盗, 或有 未授权人员尝试使用或修改设备时, 能够保护设备上的用户数据. ? 应用安全性:确保应用安全运行, 同时又不破坏平台完整性的系统. ? 网络安全性:针对传输中的数据提供安全认证和加密的行业标准联网协议. ? Apple Pay : Apple 推行的安全支付方式. ? 互联网服务: Apple 用来提供信息通信、 同步和备份服务的网络基础架构. ? 用户密码管理:密码访问限制和访问来自其他授权来源的密码. ? 设备控制:允许对 iOS 设备进行管理、 防止未经授权的使用以及在设备丢失或被盗时 启用远程擦除的方法. ? 隐私控制: iOS 中可用于控制 定位服务 和用户数据访问权限的功能. ? 安全性认证和计划: ISO 证书、 加密验证、 通用标准认证和涉密项目商业解决方案 (CSfC) 信息. 介绍 设备密钥 群组密钥 Apple 根证书 加密引擎 内核 操作系统分区 安全隔区 安全元件 用户分区 (加密) 数据保护类 应用沙盒 文件系统 软件 硬件和 固件 iOS 安全性架构图以直观的

图表形式概述了 本文要探讨的各类技术.

6 系统安全性旨在确保每台 iOS 设备的所有核心组件都能为软件和硬件提供安全保护. 这包括启动过程、 软件更新和安全隔区. 此架构是 iOS 安全体系的核心, 并且不会影响 设备的正常使用. iOS 设备的硬件、 软件和服务实现了紧密集成, 可确保系统的每个组件均获得信任, 并对系统进行整体验证. 从初始启动到 iOS 软件更新, 再到第三方应用, 每个步骤都经 过分析和审查, 确保硬件和软件以最优化的方式协同工作, 并以恰当的方式使用资源. 安全启动链 启动过程每个步骤包含的组件都经 Apple 加密签名以确保其完整性, 只有在验证信任 链后, 每个步骤才能继续. 这些组件包括引导载入程序、 内核、 内核扩展项和基带固件. 这一安全启动链有助于确保软件的最底层不被篡改. iOS 设备开机后, 其应用程序处理器会立即执行只读内存 (称为 Boot ROM) 中的代 码. 这些不可更改的代码 (称为硬件信任根) 是在制造芯片时设好的, 为隐式受信任代 码. Boot ROM 代码包含 Apple Root CA 公钥, 该公钥用于验证 iBoot 引导载入程 序是否经过 Apple 签名, 以决定是否允许其载入. 这是信任链中的第一步, 信任链中的 每个步骤都确保下一步骤获得 Apple 的签名. iBoot 完成任务后, 会验证和运行 iOS 内核. 对于搭载 A9 或更早 A 系列处理器的设备, Boot ROM 还会载入和验证底层引 导载入程序 (LLB), 之后会依次载入和验证 iBoot. 如果 Boot ROM 载入 LLB (在较旧设备上) 或iBoot (在较新设备上) 失败, 会导致 设备进入 DFU 模式. 如果 LLB 或iBoot 无法载入或验证下一步, 启动过程会暂停, 设备显示屏会显示连接到 iTunes 屏幕. 这被称为恢复模式. 出现任一情况, 设备都必 须通过 USB 连接到 iTunes, 并恢复为出厂默认设置. 安全隔区使用启动进程寄存器 (BPR) 来限制不同模式中对用户数据的访问, 在进入以 下模式前会对 BPR 进行更新: ? 恢复模式:由搭载 Apple A

10、 S2 和更新版本片上系统 (SoC) 的设备上的 iBoot 设定 ? DFU 模式:由搭载 A12 SoC 的设备上的 Boot ROM 设定 有关更多信息, 请参阅本白皮书的 加密和数据保护 部分. 对于可接入蜂窝移动网络的设备, 基带子系统也使用其类似的安全启动过程, 包括已签 名的软件以及由基带处理器验证的密钥. 安全隔区协处理器还会使用安全启动过程, 以确保其单独的软件经过 Apple 验证和签 名. 请参阅本白皮书的 安全隔区 部分. 有关手动进入恢复模式的更多信息, 请访问: support.apple.com/zh-cn/HT201263 系统软件授权 Apple 会定期发布软件更新以解决新出现的安全性问题, 并提供全新功能;

此类更新会 同时提供给所有支持的设备. 用户会在设备上和 iTunes 中看到 iOS 更新通知, 更新通 过无线方式发送, 旨在鼓励用户尽快应用最新的安全性修复. 系统安全性 进入设备固件升级 (DFU) 模式 进入 DFU 模式 (也称为恢复模式) 后恢复设 备, 可使设备恢复到已知的正常状态, 该状态 下只存在未修改的 Apple 签名的代码. 可通 过以下方式手动进入 DFU 模式. 首先, 使用 USB 连接线将设备连接到电脑. 然后根据设备执行以下操作: iPhone X 或后续机型、 iPhone

8 或iPhone

8 Plus. 按下并快速松开调高音量按 钮. 按下并快速松开调低音量按钮. 按住侧边 按钮, 然后再次按下调低音量按钮.

5 秒后松 开侧边按钮, 继续按住调低音量按钮直到出现 恢复模式屏幕. iPhone

7 或iPhone

7 Plus. 同时按住侧 边按钮和调低音量按钮. 松开侧边按钮, 继续 按住调低音量按钮直到出现恢复模式屏幕. iPhone 6s 及旧款机型、 iPad 或iPod touch. 同时按住主屏幕按钮和顶部 (或侧边) 按钮. 松开顶部 (或侧边) 按钮, 继续按住主屏幕按钮直到出现恢复模式屏幕. 注:设备进入 DFU 模式时, 屏幕上不会显示 任何内容. 如果出现 Apple 标志, 表示按住 侧边按钮或睡眠 / 唤醒按钮的时间过长.

7 前述启动过程有助于确保设备上只能安装 Apple 签名的代码. 为避免设备降级为缺少最 新安全性更新的早期版本, iOS 采用了名为 系统软件授权 的过程. 如果可以将设备降 级, 攻击者一旦有了设备的控制权, 便会安装早期版本的 iOS, 并利用旧版本中未修复 的漏洞来进行破坏. 对于搭载安全隔区的设备, 安全隔区协处理器还会利用 系统软件授权 来确保软件的完 整性, 并防止降级安装. 请参阅本白皮书的 安全隔区 部分. iOS 软件更新可通过 iTunes 安装, 也可采用无线 (OTA) 方式直接在设备上安装. 如果 通过 iTunes 安装更新, 系统会下载并安装完整的 iOS 副本. 如果采用 OTA 方式安装 软件更新, 系统将仅下载完成更新所需的组件, 而不是下载整个操作系统, 这样可有效提 升网络效率. 此外, 软件更新可以缓存到运行 macOS High Sierra 且启用了 内容缓 存 的Mac 上, 这样 iOS 设备便无需通过互联网重新下载必要的更新. iOS 设备仍需 联系 Apple 服务器来完成更新过程. 在iOS 升级过程中, iTunes (若采用 OTA 软件更新方式, 则为设备本身) 会连接到 Apple 安装授权服务器, 并向其发送以下数据:要安装的安装包各部分 (例如, iBoot、 内核及操作系统映像) 的加密测量值列表、 一个随机的反重放值 (随机数) 以及设备的唯 一专有芯片 ID (ECID). 授权服务器将提供的测量值列表与允许安装的版本进行比较, 如果找到匹配项, 就会将 ECID 添加到测量值并对结果进行签名. 作为升级过程的一部分, 服务器会将完整的一组 已签名数据传递给设备. 添加 ECID 可为请求设备 个性化 授权. 通过仅对已知测量值 授权和签名, 服务器可确保更新的内容即为 Apple 所提供的内容. 启动时信任链评估会验证签名是否来自 Apple, 并结合设备的 ECID 验证从磁盘载入的 项目测量值是否与该签名认可的内容相匹配. 这些步骤可确保针对特定设备进行授权, 并且旧版 iOS 无法从一台设备拷贝到另一台设备. 随机数可防止攻击者存储服务器的响 应和利用该响应来破坏设备或通过其他方式篡改系统软件. 安全隔区 安全隔区是片上系统 (SoC) 内集成的协处理器. 它使用加密内存, 并包含一个硬件随机 数生成器. 安全隔区为数据保护密钥管理........