Ordliste

Address Space Layout Randomization (ASLR)

En teknikk som brukes av operativsystemer for å gjøre det mye vanskeligere å misbruke en programvarefeil. Den sørger for at adresser og plasseringer i minnet er uforutsigbare, slik at misbrukskode ikke kan hardkode disse verdiene.

AES (Advanced Encryption Standard (avansert krypteringsstandard))

En populær global krypteringsstandard som brukes til å kryptere data for å beskytte dem.

AES kryptografimotor

En dedikert maskinvarekomponent som implementerer AES.

AES-XTS

En modus av AES definert i IEEE 1619-2007 som er ment å fungere til å kryptere lagringsmedier.

APFS (Apple File System)

Standard filsystem for iOS, iPadOS, tvOS, watchOS og Macer med macOS 10.13 eller nyere. APFS har sterk kryptering, plassdeling, øyeblikksbilder, rask endring av katalogstørrelser og forbedrede grunnleggende filsystemfunksjoner.

Apple Business Manager

En enkel, nettbasert portal for IT-administratorer som gjør det raskt og effektivt å rulle ut Apple-enheter som organisasjonen har kjøpt direkte fra Apple eller fra en deltakende Apple-autorisert forhandler eller operatør. De kan rulle ut enheter automatisk i MDM-løsningen uten å måtte fysisk berøre eller klargjøre enhetene før brukerne får dem.

Apple Identity Service (IDS)

Apples katalog for offentlige iMessage-nøkler, APNs-adresser og telefonnumre og e-postadresser som brukes til å slå opp nøklene og enhetsadressene.

Apple School Manager

En enkel, nettbasert portal for IT-administratorer som gjør det raskt og effektivt å rulle ut Apple-enheter som organisasjonen har kjøpt direkte fra Apple eller fra en deltakende Apple-autorisert forhandler eller operatør. De kan rulle ut enheter automatisk i MDM-løsningen uten å måtte fysisk berøre eller klargjøre enhetene før brukerne får dem.

Apples pushvarslingstjeneste (APNs)

En verdensomspennende tjeneste fra Apple som leverer pushvarslinger til Apple-enheter.

Boot Camp

Et Mac-verktøy som støtter installasjon av Microsoft Windows på støttede Macer.

Boot Progress Register (BPR)

Et sett med System on Chip-maskinvareflagg (SoC-maskinvareflagg) som programvare kan bruke til å spore oppstartsmodusene enheten er i, for eksempel Device Firmware Update-modus (DFU-modus) og gjenopprettingsmodus. Når et Boot Progress Register-flagg er satt, kan det ikke fjernes. Dette gjør det mulig for senere programvare å få en pålitelig indikator om systemets tilstand.

CKRecord

En ordbok med nøkkelverdipar som inneholder data arkivert til eller hentet fra CloudKit.

Databeskyttelse

En mekanisme for fil- og nøkkelringbeskyttelse for støttede Apple-enheter. Begrepet kan også brukes om API-er som benyttes av apper til å beskytte filer og nøkkelringobjekter.

Datahvelv

En mekanisme, som håndheves av kjernen, for å beskytte mot uautorisert tilgang til data uavhengig av om appen som sender forespørselen, selv bruker sandkasseteknologi.

DFU-modus (Device Firmware Upgrade)

En modus der oppstart-ROM-koden til en enhet venter på å bli gjenopprettet via USB. Skjermen er svart når enheten er i DFU-modus, men når den kobles til en datamaskin som har iTunes eller Finder, vises denne teksten: «Finder (eller iTunes) har oppdaget en (iPad eller iPhone) i gjenopprettingsmodus. Brukeren må gjenopprette denne (iPhone eller iPad) før den kan brukes sammen med Finder (eller iTunes).»

Direkte minnetilgang (DMA)

En funksjon som gir maskinvareundersystemer direkte tilgang til hovedminnet uten å gå via prosessoren.

Effaceable Storage

Et eget område med NAND-lagringsplass, som brukes til å lagre krypteringsnøkler, og som man kan få direkte tilgang til og som kan slettes på en sikker måte. Det gir riktignok ikke beskyttelse hvis en utenforstående har fått tak i den fysiske enheten, men nøkler som oppbevares i Effaceable Storage kan brukes som en del av et nøkkelhierarki for å legge til rette for rask sletting og «forward security».

Elliptic Curve Diffie-Hellman Exchange Ephemeral (ECDHE)

En mekaniske for nøkkelutveksling basert på elliptiske kurver. ECDHE gjør det mulig for to parter å enes om en hemmelig nøkkel på en måte som hindrer at nøkkelen oppdages av en tyvtitter som ser meldingene mellom de to partene.

Elliptic Curve Digital Signature Algorithm (ECDSA)

En digitalsignaturalgoritme basert på elliptisk kurve-kryptografi.

Enhanced Serial Peripheral Interface (eSPI)

En alt-i-ett-databuss for synkron seriekommunikasjon.

Exclusive Chip Identification (ECID)

En 64-bit-ID som er unik for prosessoren i hver iPhone eller iPad.

filsystemnøkkel

Nøkkelen som krypterer metadataene til de enkelte filene, inkludert klassenøkkelen. Den oppbevares i Effaceable Storage for å legge til rette for rask sletting i større grad enn for konfidensialitet.

Gatekeeper

En teknologi i macOS som bidrar til å sørge for at kun godkjent programvare kjøres på en brukers Mac.

Gjenopprettingsmodus

En modus brukes til å gjenopprette mange Apple-enheter hvis den ikke gjenkjenner brukerens enhet, slik at brukeren kan installere operativsystemet igjen.

godkjenning av systemprogramvare

En prosess som kombinerer kryptografiske nøkler innebygd i maskinvaren med en nettjeneste for å sikre at kun godkjent programvare fra Apple, som er riktig for støttede enheter, leveres og installeres på oppgraderingstidspunktet.

gruppe-ID (GID)

Samme som UID, men felles for alle prosessorer i klassen.

HMAC

En hash-basert meldingsautentiseringskode basert på en kryptografisk hash-funksjon.

iBoot

Trinn to-bootloader for alle Apple-enheter. Kode som laster XNU, som en del av den sikre oppstartssekvensen. Avhengig av System on Chip-generasjonen (SoC-generasjonen), kan iBoot lastes av Low Level Bootloader eller direkte av oppstart-ROM.

Input/Output Memory Management Unit (IOMMU)

En minneadministreringsenhet for inndata og utdata. Et undersystem i en integrert brikke som kontrollerer tilgangen til adresseområdet fra andre inn-/utdataenheter og eksterne enheter.

integrering

Prosessen der en brukers kode gjøres om til en krypteringsnøkkel og styrkes med enhetens UID. Denne prosessen bidrar til å sikre at et brute-force-angrep må utføres på en gitt enhet, noe som gjør at omfanget begrenses, og at angrepet ikke kan utføres parallelt. Integreringsalgoritmen er PBKDF2, og den bruker AES-nøkkel sammen med enhets-UID-en som PRF (pseudorandom function) for hver iterasjon.

integrert krets (IC)

Kalles også for mikrobrikke.

Joint Test Action Group (JTAG)

Standardverktøy for feilsøking av maskinvare som brukes av programmerere og brikkeutviklere.

klargjøringsprofil

En egenskapslistefil (.plist-fil) signert av Apple som inneholder et sett med entiteter og rettigheter som gjør det mulig å installere og teste apper på en iOS-enhet. En klargjøringsprofil for utvikling inneholder en liste over enhetene som en utvikler har valgt for ad hoc-distribusjon, og en klargjøringsprofil for distribusjon inneholder app-ID-en til en bedriftsutviklet app.

Kodeavledet nøkkel (PDK)

Krypteringsnøkkelen som er avledet fra integreringen av brukerens passord med den langvarige SKP-nøkkelen og UID-en til Secure Enclave.

Komponent for sikker lagring

Brikken er designet med uforanderlig RO-kode, en maskinvarebasert generator for tilfeldige tall, kryptografimotorer og gjenkjenning av fysisk manipulasjon. I støttede enheter kobles Secure Enclave sammen med en komponent for sikker lagring for lagring av anti-repetisjonsverdien. For å lese og oppdatere anti-repetisjonsverdier bruker Secure Enclave og brikken for sikker lagring en sikker protokoll som bidrar til å sørge for eksklusiv tilgang til anti-repetisjonsverdiene. Det finnes flere generasjoner av denne teknologien, alle med forskjellig sikkerhetsnivå.

Low-Level Bootloader (LLB)

På Macer med en to-trinns oppstartsarkitektur, inneholder LLB koden som aktiveres av oppstart-ROM, som så laster iBoot, som en del av den sikre oppstartssekvensen.

maskinvaresikkerhetsmodul (Hardware security module, HSM)

En manipulasjonsbestandig spesialmaskin som verner og administrerer digitale nøkler.

MDM (Mobile Device Management)

En tjeneste som lar en administrator fjernadministrere registrerte enheter. Når en enhet er registrert, kan administratoren bruke MDM-tjenesten over nettverket til å konfigurere innstillinger og utføre andre oppgaver på enheten uten brukermedvirkning.

medienøkkel

En del av hierarkiet av krypteringsnøkler som bidrar til å gi sikker og umiddelbar sletting. I iOS, iPadOS, tvOS og watchOS pakker medienøkkelen metadataene på datavolumet (og uten dem blir tilgang til alle filspesifikke nøkler umulig, og alle filer som er beskyttet med Databeskyttelse, blir dermed utilgjengelige). I macOS pakker medienøkkelen nøkkelmaterialet, alle metadata og data på volumet som er beskyttet med FileVault. I begge tilfeller blir krypterte data utilgjengelige når medienøkkelen slettes.

minnekontroller

Undersystemet i System on Chip (SoC) som kontrollerer grensesnittet mellom SoC og hovedminnet.

NAND

Ikke-flyktig flashminne.

nøkkeletui

En datastruktur som brukes til å lagre en samling klassenøkler. De ulike typene (bruker, enhet, system, sikkerhetskopiering, deponering og iCloud-sikkerhetskopiering) har samme format.

En topptekst som inneholder: Versjon (satt til fire i iOS 12 eller nyere), type (system, sikkerhetskopiering, deponering eller iCloud-sikkerhetskopiering), Nøkkeletui-UUID, en HMAC hvis nøkkeletuiet er signert og metoden som brukes for å pakke inn klassenøklene: integrering i UID eller PBKDF2, sammen med salt- og iterasjonsnummer.

En liste over klassenøkler: Nøkkel-UUID; Klasse (hvilken databeskyttelsesklasse for fil eller nøkkelring), innpakningstype (kun UID-avledet nøkkel; UID-avledet nøkkel og kodeavledet nøkkel), innpakket klassenøkkel og en offentlig nøkkel for asymmetriske klasser.

nøkkelinnpakning

Kryptering av én nøkkel med en annen nøkkel. iOS og iPadOS bruker NIST AES-nøkkelinnpakning i henhold til RFC 3394.

nøkkelring

Infrastrukturen og et API-sett som brukes av operativsystemer fra Apple og tredjepartsapper til å lagre og gjenfinne passord, nøkler og andre sensitive akkreditiver.

Oppstart-ROM

Den første koden som kjøres av enhetsprosessoren når enheten startes opp for første gang. Den er en integrert del av prosessoren og kan ikke endres verken av Apple eller av utenforstående.

opptegning av mønsterlinjer

En matematisk framstilling av retningen og bredden på linjene som trekkes ut fra en del av et fingeravtrykk.

per-fil-nøkkel

Nøkkelen som brukes av databeskyttelse til å kryptere en fil på filsystemet. Per-fil-nøkkelen pakkes med en klassenøkkel og lagres i filens metadata.

programvare-seed-biter

Dedikerte bits i Secure Enclave AES-motoren som legges til UID når nøkler genereres fra UID. Hver programvare-seed-bit har en korresponderende lås-bit. Secure Enclave oppstart-ROM og operativsystem kan uavhengig endre verdien av hver programvare-seed-bit så lenge den tilsvarende lås-biten ikke er satt. Når lås-biten er satt, kan verken programvare-seed-biten eller lås-biten endres. Programvare-seed-biter og deres låser nullstilles når Secure Enclave-starter på nytt.

Sealed Key Protection (SKP)

En teknologi i Databeskyttelse som beskytter, eller forsegler, krypteringsnøkler med målinger av programvaren på systemet og nøklene som kun er tilgjengelige i maskinvaren (for eksempel UID-en i Secure Enclave).

sepOS

Secure Enclave-firmwaren, basert på en Apple-tilpasset versjon av L4-mikrokjernen.

Sikkerhetsbelønning fra Apple

En belønning gitt av Apple til personer som rapporterer en sårbarhet som påvirker de nyeste operativsystemene og, der det er relevant, den nyeste maskinvaren.

SSD-kontroller

Et maskinvareundersystem som administrerer lagringsmediene (solid-state drive).

System Coprocessor Integrity Protection (SCIP)

En mekanisme som Apple bruker, som er utviklet for å hindre modifisering av koprosessorfirmware.

System on Chip (SoC)

En integrert krets (IC) der flere komponenter kombineres på én brikke. Applikasjonsprosessoren, Secure Enclave og andre koprosessorer er komponenter i SoC-en.

Unified Extensible Firmware Interface-firmware (UEFI)

En erstatningsteknologi for BIOS for å koble firmware til en datamaskins operativsystem.

Uniform Resource Identifier (URI)

En tegnrekke som identifiserer en nettbasert ressurs.

unik ID (UID)

En 256-bit AES-nøkkel som brennes inn i prosessoren under produksjonen. Den kan ikke leses av firmware eller programvare og brukes kun av prosessorens maskinvarebaserte AES-motor. For å få tak i den faktiske nøkkelen, må en utenforstående utføre et svært avansert og kostbart fysisk angrep mot prosessoren. UID-en er ikke knyttet til noen annen ID på enheten, inkludert, men ikke begrenset til UDID-en.

xART

En forkortelse av eXtended Anti-Replay Technology. Et sett med tjenester som sørger for kryptert, autentisert og varig lagring for Secure Enclave med anti-repetisjonsegenskaper basert på den fysiske lagringsarkitekturen. Se komponent for sikker lagring.

XNU

Kjernen som er hjertet i operativsystemene til Apple. Det antas at den er godkjent, og den iverksetter sikkerhetstiltak som for eksempel kodesignering, sandkasseteknologi, rettighetskontroll og Address Space Layout Randomization (ASLR).

XProtect

En antivirusteknologi i macOS for signaturbasert gjenkjenning og fjerning av skadelig programvare.