用户apple

Apple平台安全性2020年春季2目錄Apple平台安全性簡介5對安全性的承諾5硬件安全性及生物識別7硬件安全性概覽7安全隔離區7專用AES引擎9TouchID和FaceID10在Mac和iPad中取消連接硬件咪高風13iPhone中的特快交通卡與省電模式13系統安全性14系統安全性概覽14亂數產生14安全開機15安全軟件更新21iOS及iPadOS中的OS完整性22macOS中的OS完整性23watchOS中的系統安全性27加密與資料保護29加密與資料保護概覽29Apple如何保護用户的個人資料29「Apple檔案系統」的角色30在iOS及iPadOS中的「資料保護」30macOS中的加密35密碼39認證及電子簽名41Keybag423App安全性44App安全性概覽44iOS和iPadOS中的App安全性45macOS中的App安全性48「備忘錄」App中的安全功能50「捷徑」App中的安全功能51服務安全性52服務安全性概覽52AppleID與管理式AppleID52iCloud54密碼管理56ApplePay60iMessage69商務聊天71FaceTime71尋找72接續互通74網絡安全性77網絡安全性概覽77TLS網絡安全性77虛擬私人網絡(VPN)78Wi-Fi安全性78藍牙安全性81「超寬頻」技術82單一登入82AirDrop安全性83Wi-Fi密碼共享84macOS中的「防火牆」84開發者套件85開發者套件概覽85HomeKit85HealthKit89CloudKit90SiriKit90DriverKit91ReplayKit91相機及ARKit924安全裝置管理93安全裝置管理概覽93配對模式93密碼設定管理93設定強制執行94流動裝置管理(MDM)95自動裝置註冊96AppleConfigurator296監管裝置96裝置功能限制97啟用鎖97「遺失模式」、遙距清除和遙距鎖定98共用的iPad98螢幕使用時間99Apple安全性與專用認證102Apple安全性與專用認證概覽102Apple安全性保證102詞彙表105文件版本記錄1085Apple平台安全性簡介Apple將安全性設計為平台的核心.
Apple建立了世界上最先進的流動作業系統,並以此為基礎,建立了符合流動裝置、手錶、桌上型電腦和家居不同需求的安全性結構.
每款Apple裝置都結合了硬件、軟件和服務,設計理念皆旨在互相配合,達至高度安全性和透明的用户體驗,以服務保障個人資料安全旳最終目標.
自訂安全性硬件是安全性功能的重要基礎.
軟件保護可確保作業系統和第三方App的安全.
各種服務提供的機制可讓裝置安全並及時地進行軟件更新,從而建立更安全的App生態系統,確保通訊和付款安全無虞外,更讓互聯網體驗更加安全.
Apple裝置不只保護裝置及其資料,更保護整個生態系統,包括用户在本機、網絡以及在關鍵互聯網服務上的一切行為.
我們所設計的產品不只簡單、直覺且功能強大,亦十分安全.
某些重要的安全性功能,例如硬件式的裝置加密,不會因為不小心而被停用.
其他功能(例如TouchID和FaceID)則讓裝置的保護更簡單且直覺,提升用户體驗.
而且因為許多安全性功能預設便已啟用,因此用户或IT部門無須進行繁複的設定.
本說明文件將詳細介紹Apple平台如何運用各種安全性技術與功能.
其亦協助機構在其本身的政策和程序中結合Apple平台安全性技術與功能,以滿足特定的安全性需求.
內容主要分為以下幾個主題:硬件安全性及生物識別:構成Apple裝置安全性基礎的硬件,包括SecureEnclave、專用的AES加密引擎、TouchID和FaceID.
系統安全性:整合式硬件和軟件功能,可確保Apple作業系統安全地啟動、更新和持續運作.
加密與資料保護:如裝置遺失或遭竊,或有未經授權的人員或程序嘗試使用或修改裝置時,對用户資料進行保護的架構和設計.
App安全性:各種提供安全App生態系統的軟件和服務,讓App安全運作而無損平台完整性.
服務安全性:Apple提供的各種服務,用於識別、密碼管理、付款、通訊、和尋找遺失的裝置.

網絡安全性:對傳輸中的資料提供安全認證和資料加密的業界標準網絡通訊協定.

開發者套件:為「家居」和「健康」提供安全及個人管理的程式框架,以及Apple裝置和服務功能對第三方App的延伸功能.
安全裝置管理:允許Apple裝置管理,防止在未經授權的情況下使用裝置,以及在裝置遺失或遭竊時可進行遙距清除的方式.
安全性與專用證書:ISO證書、加密編譯驗證、共同準則認證和機密商業解決方案(CSfC)計劃的相關資料.

對安全性的承諾Apple致力以最先進的私隱與安全性技術保護個人資料,以保障客户的安全,並採用全方位方式來保護企業環境中的公司資料.
Apple透過提供「Apple安全性獎金」(AppleSecurityBounty),獎勵研究人員為找出漏洞所付出的努力.
計劃和獎金類別的詳細資料,可於下列網站取得:https://developer.
apple.
com/security-bounty/.

6我們擁有一個專業的安全性團隊,專門為所有Apple產品提供支援.
團隊會為開發階段和已發佈的產品進行安全性審核和測試.
Apple團隊亦提供安全性工具和訓練,並積極監控新安全性問題的威脅及舉報.
Apple為「國際網絡安全應急論壇組織」(ForumofIncidentResponseandSecurityTeams,FIRST)的成員.
Apple不斷求進,在保障安全性和私隱上創造更多可能.
例如,「尋找」使用現有密碼原語來啟用突破性功能,對已離線的Mac進行分發式尋找,而無須向任何人(包括Apple)披露任何涉及用户身份或位置的資料.
為提升Mac韌體安全性,Apple將類比訊號用於分頁表來阻止對周邊裝置的不當存取,但在啟動程序中RAM尚未載入時即會開始.
而且隨着攻擊者的不當技術愈趨複雜,Apple使用自訂CPU指令來動態控制iPhone和iPad的記憶體執行權限來阻止洩漏,而其他流動裝置無法使用此指令.
如同研發新安全性功能般重要,新功能的設計亦是圍繞私隱和安全性而建立的.
為了充分利用我們平台與生俱來的強大安全性功能,我們建議機構審核其IT部門和安全性規則,以確保可充分使用到這些平台所提供的多重安全性技術.
如要深入了解如何向Apple回報問題以及訂閱安全性通知的相關資料,請參閱:回報安全性或私隱漏洞.

Apple相信私隱是基本的人權,並提供許多內置控制項目和選項,讓用户決定App可以如何使用其資料、於何時使用,以及可以使用哪些資料.
如要進一步了解Apple對私隱的處理手法、Apple裝置上的私隱控制,以及Apple私隱政策,請參閱:https://www.
apple.
com/hk/privacy.
附註:本說明文件適用於以下作業系統版本(另有說明除外):iOS13.
4、iPadOS13.
4、macOS10.
15.
4、tvOS13.
4和watchOS6.
2.
7硬件安全性及生物識別硬件安全性概覽安全的軟件需要內置於硬件的安全性基礎.
這就是Apple裝置(執行iOS、iPadOS、macOS、watchOS或tvOS)將安全性功能設計於矽晶片內的原因.
這包括可加強系統安全性功能的自訂CPU功能,以及專門用於安全性功能的矽晶片.
最關鍵的元素是「安全隔離區」副處理器,其可見於所有現代iOS、iPadOS、watchOS及tvOS裝置,以及所有配備AppleT2保安晶片的Mac電腦上.
「安全隔離區」為加密靜態資料、在macOS中安全開機及生物識別提供基礎.
所有現代的iPhone、iPad和配備T2保安晶片的Mac電腦都包括專用的AES硬件引擎,以在寫入及讀取檔案是加強直線速率加密.
這確保「資料保護」及「檔案保險箱」可保護用户的檔案,而無需向CPU或作業系統提供長壽命加密密鑰.
如需進一步了解哪些Apple硬件包含「安全隔離區」的資料,請參閱:安全隔離區概覽.
Apple裝置的安全開機確保底層的軟件未被改動,且在啟動過程中只會載入來自Apple的受信任作業系統軟件.
在iOS及iPadOS裝置中,安全性從名為BootROM的無法更改程式碼中開始,它在製造晶片時已完成設定,也就是硬件信任根.
在配備T2晶片的Mac電腦上,macOS安全開機的信任以T2晶片本身開始.
(T2和「安全隔離區」都會執行其本身的安全開機程序.
)「安全隔離區」會啟動在Apple裝置中的TouchID和FaceID,以提供安全的認證,同時讓用户的生物識別資料保持私密及安全.
這可讓用户享有較長及較複雜密碼的安全性,亦在多種情況下享受快捷驗證的便利.

Apple裝置的安全性功能透過矽晶片設計、硬件、軟件及Apple獨有服務組合而成.
安全隔離區安全隔離區概覽「安全隔離區」是安全副處理器,其包括硬件式的密鑰管理器,獨立於主處理器以提供多一層保障.
「安全隔離區」是特定版本iPhone、iPad、Mac、AppleTV、AppleWatch和HomePod的硬件功能,這些版本為:iPhone5s(或更新型號)iPadAir(或更新型號)配備T1晶片或AppleT2保安晶片的Mac電腦AppleTV第4代(或更新型號)AppleWatchSeries1(或更新型號)HomePod8密鑰資料會在「安全隔離區」晶片式系統(SoC)中加密,其包括亂數產生器.

即使裝置核心已遭入侵,「安全隔離區」亦會維持其加密編譯操作的完整性.
系統會透過將「安全隔離區」與應用程式處理器之間的通訊隔離到一個以中斷驅動的信箱和共享的記憶體資料緩衝區中,以對其進行嚴密監控.

「安全隔離區」處理器.
專用BootROM及反重播服務專用BootROM「安全隔離區」包含專用的「安全隔離區BootROM」.
類似於應用程式處理器BootROM,「安全隔離區BootROM」屬於無法更改的程式碼,用於為「安全隔離區」建立硬件信任根.
它也執行基於自訂L4系列微內核的「安全隔離區OS」.
此「安全隔離區OS」由Apple簽署,經由「安全隔離區BootROM」驗證,並透過個人化的軟件更新程序進行更新.
當裝置啟動時,「安全隔離區BootROM」會製作一個臨時記憶體保護密鑰,此密鑰與裝置的獨有識別碼(UID)配合使用,用來對裝置記憶體空間的「安全隔離區」部份進行加密.
除了在AppleA7以外,「安全隔離區」的記憶體也會透過記憶體保護密鑰來認證.
在A11(及以上版本)以及S4SoC上,會透過儲存在On-ChipSRAM中的記憶體保護密鑰和隨機數來認證,使用整合樹狀結構來避免重播安全性關鍵「安全隔離區」記憶體.

在iOS和iPadOS中,當檔案寫入資料卷宗時,將使用與「安全隔離區」的UID及反重播隨機數結合的密鑰對檔案進行加密.
在A9(及以上版本)SoC上,反重播隨機數會使用由硬件亂數產生器產生的熵.
反重播隨機數支援是根生於專用的非揮發性記憶體集成電路(IC)中.
在配備AppleT2保安晶片的Mac電腦中,「檔案保險箱」的階層以類似方式與「安全隔離區」的UID連結.
在配備A12(及以上版本)和S4SoC的裝置上,「安全隔離區」會與安全儲存區集成電路(IC)配對,以用於反重播計數器儲存.
安全儲存區IC的設計包含無法更改的ROM程式碼、硬件亂數產生器、加密引擎,以及物理篡改偵測.
為讀取和更新隨機數,「安全隔離區」和儲存區IC會利用安全通訊協定,以確保隨機數的獨佔存取權限.
反重播服務針對會標示反重播界限的事件資料,會使用「安全隔離區」上的反重播服務來撤銷,包括但不限於以下內容:變更密碼啟用或停用TouchID或FaceID新增或移除TouchID指紋或FaceID面容TouchID或FaceID重設新增或移除ApplePay卡清除所有內容和設定9專用AES引擎每部配備「安全隔離區」的Apple裝置都會有專用的AES-256加密引擎,其內置於快閃儲存空間與主系統記憶體間的DMA路徑中,可讓檔案加密具備高度效率.
在A9或以上版本A系列處理器上,快閃儲存子系統位於獨立的匯流排上,且透過DMA加密引擎獲得僅記憶體(其中包含用户資料)的存取權限.
「安全隔離區」會安全地產生其自己的密鑰(唯一識別碼(UID)、群組識別碼(GID)等),並在有需要時安全地清除密鑰.
這些密鑰是AES-256位元的密鑰,並以在製作過程中融入(UID)或編譯(GID)到「安全隔離區」中.
任何軟件或韌體都無法直接讀取;只能將UID或GID用作密鑰,以便查看由矽晶片中建置的專用AES引擎所執行加密或解密操作的結果.
應用程式處理器及「安全隔離區」都有其自己的UID及GID,且「安全隔離區」UID及GID只可由該「安全隔離區」專用的AES引擎使用.
UID和GID無法透過聯合測試工作群組(JTAG)或其他除錯介面來使用.
AES加密引擎支援在配備AppleT2保安晶片的Mac電腦上的DMA路徑上進行直線速率加密.
產生加密密鑰每個「安全隔離區」都會在製造過程中產生其自己的UID(獨有識別碼).
由於每部裝置的UID都是唯一的,且完全是在「安全隔離區」內產生,而非在裝置外的製造系統中產生,因此Apple或其供應商都無法存取或儲存UID.
這亦適用於AppleA8處理器後的SoC.
在「安全隔離區」上執行的軟件可利用UID來保護限定於特定裝置的密鑰.
UID允許資料以加密編譯方式與特定裝置綁定.
例如,用來保護檔案系統的密鑰階層便包含UID,因此如將內置SSD儲存空間實際從一部裝置移至另一部裝置,檔案則無法存取.
UID與裝置上的任何其他識別碼並不相關.
其他受保護的限定於特定裝置的密鑰包括TouchID或FaceID資料.
在未有連接到AppleT2保安晶片的裝置上的儲存空間不會獲此層次的加密.
例如,加至2019MacPro之透過USB連接的外置儲存空間裝置或基於PCIe的儲存空間都不會以T2晶片加密.
裝置層次為裝置群組識別碼(GID),此識別碼對同一類別裝置(例如使用AppleA8處理器的所有裝置)的所有處理器是通用的.
除了UID和GID外,所有其他在iOS及iPadOS裝置中的編譯密鑰都是由系統的亂數產生器(RNG)使用以CTR_DRBG為基礎的演算法製作.
系統熵是在啟動期間從時間變化,以及在裝置啟動後從中斷時間來產生.
在「安全隔離區」內產生的密鑰會使用其真正的硬件亂數產生器,透過以CTR_DRBG處理的多個環型振盪器製作而成.
安全清除資料安全清除儲存的密鑰與產生它們具有同等重要性.
在快閃儲存空間上執行此項操作尤其具挑戰性,例如耗損平衡可能意味着需要清除多個資料副本.
為了解決此問題,配備「安全隔離區」的裝置內置一種專門用於安全清除資料的功能,稱為「可抹除儲存空間」(EffaceableStorage).
此功能利用底層儲存技術(如NAND)直接在極低的層次上進行定址和清除小量區塊.
10TouchID和FaceIDTouchID和FaceID概覽密碼對Apple裝置的安全性至為重要,但用户需能夠快速取用他們的裝置,其每日的取用次數多達上百次.
生物識別認證提供了保留高強度密碼安全性的機會,而且因它無需手動輸入,所以甚至可將密碼加強,並同時提供以手指按壓或注視來快速解鎖的便捷.
TouchID和FaceID不會取代密碼,但在多數情況下,它們可讓用户更快速和簡便地進行取用.
TouchID安全性TouchID是指紋感應系統,有助於更快、更輕鬆地對支援的Apple裝置進行安全的存取.
此技術可從任何角度來讀取指紋,隨着感測器每次使用時識別出其他重疊的節點而持續擴大指紋圖,逐漸提高對用户指紋識別的能力.

配備TouchID感測器的Apple裝置可透過指紋解鎖.
TouchID不會取代系統對裝置密碼或用户密碼的需求,在裝置啟動、重新開機或在登出(在Mac上)後,仍會要求這些密碼.
在部份App中,TouchID亦可用來取代裝置密碼或用户密碼,例如在「備忘錄」App中解鎖受密碼保護的備忘錄、解鎖受鑰匙圈保護的網站,以及解鎖受支援的App的密碼.
但是,在部份情況下系統總是會要求裝置密碼或用户密碼.
例如更改現有的裝置密碼或用户密碼,或移除現有或建立新的指紋登記.
當指紋感測器偵測到手指觸碰時,它會觸發進階成像陣列來掃描手指,並將結果傳送到「安全隔離區」.
處理器與TouchID感測器之間的通訊是透過序列周邊介面匯流排來執行.
處理器會將資料轉送至「安全隔離區」,但處理器本身無法讀取這些資料.
資料會藉由區段密鑰進行加密與認證,該區段密鑰是透過為每個出廠的TouchID感測器和相應的「安全隔離區」配置共享密鑰來進行交涉.
共享密鑰安全性高、具隨機性,且每個TouchID感測器的共享密鑰都不同.
區段密鑰的交換會針對雙方使用AES密鑰封裝,並提供一個用來建立作業階段密鑰和使用AES-CCM傳輸加密的隨機密鑰.
在系統對其進行向量化處理以作分析時,光柵掃描結果會暫時存放在「安全隔離區」加密的記憶體中,然後便會被刪除.
此分析利用了皮下紋路流向角度的對應,這是一種有損性的程序,會在分析完成後刪除用來重建用户實際指紋的精細資料.
最後產生的節點圖會以一種只能由「安全隔離區」讀取的加密格式進行儲存,其中不含任何身份資料.
此資料絕對不會流出裝置,其不會傳送至Apple,也不會納入裝置備份中.
FaceID安全性只要看一眼,FaceID便會安全地解鎖支援的Apple裝置.
此技術透過原深感測鏡頭系統提供了直覺且安全的認證方式,它運用先進技術來精確對比臉部幾何結構.
FaceID使用神經網絡來判斷螢幕注視、配對和防止造假,讓用户可以藉由注視螢幕來解鎖手機.
FaceID會自動適應用户的外表變化,並嚴密保護用户生物識別技術資料的私隱與安全.

FaceID的設計用意為確認用户的螢幕注視、提供配對錯誤率低的穩固認證方式,並減少電子和物理性造假.

原深感測相機會在以下情況自動尋找用户的面孔:當用户拿起配備FaceID的Apple裝置或點按螢幕來喚醒時;當這些裝置嘗試取得用户的認證以顯示收到的通知時;或是當支援的App要求FaceID認證時.
當偵測到面孔時,FaceID會偵測用户的眼睛是否張開並注視裝置,確認螢幕注視及有解鎖意圖;針對輔助使用功能,當啟用「旁白」時會停用此功能,並可在需要時個別停用.

確認偵測到注視螢幕的面孔後,原深感測相機會發出並讀取超過30,000個紅外光點以形成面孔的深度圖,包含2D紅外影像.
此資料用於製作一系列的2D影像和深度圖,經過電子簽署後傳送到「安全隔離區」.
為了防止電子和物理性造假,原深感測相機會隨機排序截取到的一系列2D影像和深度圖,並發出裝置特定的隨機圖形.
更新SoC的一部份神經引擎(受「安全隔離區」保護)會將這些資料轉換為數學表徵,並將這個表示式與登記的面孔資料進行比對.

這個註冊的面孔資料本身是用户於各種姿勢下所截取的面部表情之數學表徵.

11TouchID、FaceID和密碼如要使用TouchID或FaceID,用户需將裝置設定必須為需要密碼以解鎖.
當TouchID或FaceID偵測到成功的配對時,用户的裝置便會自動解鎖,用户無須輸入裝置密碼.
這讓使用更長、更複雜的密碼變得更為實用,因為用户無須經常輸入密碼.
TouchID和FaceID並不會取代用户的密碼,而是在嚴密的界限和有限的時間內提供更簡便的方式來存取裝置.
這一點很重要,因為安全性高的密碼是構成用户的iOS、iPadOS、macOS或watchOS裝置加密保護資料的基礎.
當系統要求裝置密碼時用户可以在任何時候使用他們的密碼取代TouchID或FaceID,但系統在部份情況下不會批准生物識別.
以下敏感性安全操作總是要求輸入密碼:更新軟件清除裝置檢視或更改密碼設定安裝設定描述檔在Mac上的「系統偏好設定」解鎖「安全性與私隱」偏好設定面板在Mac上的「系統偏好設定」解鎖「用户與群組」偏好設定面板(如「檔案保險箱」已開啟)如你的裝置處於以下狀態,也需要使用密碼:裝置剛開機或重新啟動.
用户已從其Mac帳户登出(或未登入).
用户超過48小時未有解鎖裝置.
用户超過156小時(六日半)未有使用密碼解鎖裝置,且用户在4小時入未有使用生物識別解鎖裝置.
裝置收到了遙距鎖定指令.
透過同時按住音量按鈕和睡眠/喚醒2秒,然後按下「取消」來離開關機/緊急求助SOS後.
生物識別配對失敗五次後(雖然為兼顧可用性,該裝置可能會在數次失敗後要求輸入密碼取代生物識別).

當已在iPhone或iPad上啟用TouchID或FaceID,按下睡眠/喚醒按鈕時裝置會立即鎖定,每當裝置進入睡眠時也會鎖定.
每次喚醒裝置時,TouchID和FaceID便需要成功的配對(或是選擇輸入密碼).
人群中隨機一人可使用TouchID解鎖你iPhone的機率為五萬分之一,使用FaceID則為百萬分之一.
此機率會隨着登記多個指紋(五個指紋的機率增加為一萬分之一)或面孔(兩個面孔的機率增加為五十萬分之一)而增加.
為了進一步保護裝置,TouchID和FaceID皆只允許五次配對失敗,其後便需要輸入密碼才能存取裝置或帳户.
使用FaceID時,雙胞胎或長相與用户相似的兄弟姊妹配對錯誤率不盡相同,13歲以下孩童亦然(因為他們的獨特臉部特徵可能還尚未定型).
如用户對此存有疑慮,Apple建議使用密碼來認證.
面孔配對系統會在「安全隔離區」內利用專為此目的訓練的神經網絡進行面孔配對.
為了開發面孔配對神經網絡,Apple使用了超過十億張影像,其中包括在參與者知情同意下進行的研究中所收集的IR和深度圖.
然後Apple與世界各地的參與者合作,考量性別、年齡、種族和其他因素,讓具代表性的一群人參與其中.
我們視必要性擴大了研究範圍,以便為多元用户提供更高的準確度.
FaceID設計為可在用户戴着帽子、圍巾、眼鏡、隱形眼鏡和各式太陽眼鏡時使用.
此外,在室內、室外甚至是完全黑暗的環境下也都能正常使用.
專為偵測和抵制造假而訓練的一個額外神經網絡,可防範有心人士企圖以相片或面具解鎖裝置.
FaceID資料(包括用户面孔的數學表徵)經過加密,且僅供「安全隔離區」使用.

此資料絕對不會流出裝置,其不會傳送至Apple,也不會納入裝置備份中.
下列經儲存和加密的FaceID資料僅供「安全隔離區」在一般操作期間使用:12登記期間對用户的面孔進行計算所產生的數學表徵某幾次嘗試解鎖時對用户的面孔進行計算所產生的數學表徵(如果FaceID認為可用於增強未來配對效果)系統不會儲存一般操作期間捕捉的面孔影像,而是會在為了註冊或與登記的FaceID資料進行配對而計算了數學表徵後,立即捨棄這些面孔影像.
改進FaceID配對為了改善配對效能,以及跟進面孔和外貌的自然變化,FaceID會逐漸增強它所儲存的數學表徵.
成功配對時,如果新計算的數學表徵品質夠好,FaceID可能會在捨棄該資料前,使用它來進行有限次數的額外配對.
相反地,如果FaceID無法識別面孔,但是配對品質高於特定臨界值,且用户在失敗後立即輸入密碼,FaceID會再次捕捉面孔,並以新計算的數學表徵增強登記的FaceID資料.
如果用户停止用這筆新FaceID資料進行配對,以及在進行有限次數的配對後,系統便會捨棄這筆資料.
這些增強程序可讓FaceID跟進鬍子或妝容的顯着變化,同時將誤判而接受的情況減到最少.
解鎖裝置或用户帳户如TouchID或FaceID已停用,在裝置或帳户鎖定時,系統會捨棄保留在「安全隔離區」中最高「資料保護」類別的密鑰.
在用户輸入其密碼來解鎖裝置或帳户前,都無法存取該類別的檔案和「鑰匙圈」項目.

啟用TouchID或FaceID後,則不會在裝置或帳户鎖定時捨棄這些密鑰,而是透過提供給「安全隔離區」中TouchID或FaceID子系統的密鑰進行封裝.
當用户嘗試解鎖裝置或帳户時,如裝置偵測到成功的配對,它便會提供密鑰來解除封裝「資料保護」密鑰,裝置或帳户便會解鎖.
此流程藉由要求「資料保護」和TouchID或FaceID子系統合作來解鎖裝置,因此提供了額外的保護.
裝置重新啟動時,TouchID或FaceID解鎖裝置或帳户所需的密鑰便會消失;在需要密碼時,如符合條件,「安全隔離區」就會捨棄這些密鑰.
使用ApplePay安全地進行消費TouchID和FaceID也可以配搭ApplePay使用,方便用户在商店、App內和網絡上輕鬆且安全地進行購買.
如要使用FaceID授權店內付款,用户必須先按兩下側邊按鈕確認付款意圖,此按兩下的動作使用直接連結到「安全隔離區」的物理動作來取得用户的意圖,且可抵抗惡意的偽造程序.
用户之後便可使用FaceID進行授權,再將裝置靠近非接觸式付款讀卡機.
在FaceID驗證後可選擇需再次驗證的不同ApplePay付款方式,但用户無需再按兩下側邊按鈕.
如要在App內和網絡上付款,用户必須先按兩下側邊按鈕確認付款意圖,然後使用FaceID進行驗證以授權付款.
如果用户沒有在按兩下側邊按鈕後60秒內完成ApplePay交易,就必須再按兩下側邊按鈕重新確認付款意圖.
在使用TouchID的情況下,系統會以啟用TouchID感測器的動作以及成功配對用户指紋來確認付款意圖.
TouchID和FaceID的其他用途第三方App可使用系統提供的API來要求用户透過TouchID或FaceID或密碼進行驗證,且支援TouchID的App無需任何變更就可自動支援FaceID.
使用TouchID或FaceID時,App只會收到認證是否成功的通知,無法存取TouchID、FaceID或已登記用户的相關資料.
保護「鑰匙圈」項目TouchID或FaceID也可用來保護「鑰匙圈」項目,只有在「安全隔離區」配對成功或裝置密碼或帳户密碼正確時才將它們釋出.
要求以TouchID或FaceID或密碼解鎖鑰匙圈項目前,App開發者可透過API確認用户已設定密碼.
App開發者可執行以下操作:13要求認證API操作可以不再依賴App密碼或裝置密碼.
他們可以查詢用户是否已登記,以便允許在對安全性有高度要求的App中將TouchID或FaceID當作第二個驗證條件.
在「安全隔離區」內產生和使用可由TouchID或FaceID保護的ECC密鑰.
「安全隔離區」授權使用這些密鑰後,這些密鑰的相關操作會一律在「安全隔離區」內執行.
進行及允許購買用户也可對TouchID或FaceID進行設定,以核准從iTunesStore、AppStore和AppleBooks等購買項目,因此用户無須輸入AppleID密碼.
在iOS11或以上版本,或macOS10.
12.
5或以上版本上,透過簽署商店要求,受TouchID和FaceID保護的「安全隔離區」ECC密鑰可用來授權購買行為.
在Mac和iPad中取消連接硬件咪高風所有配備AppleT2保安晶片的可攜式Mac都有取消連接硬件的功能,可確保在機蓋合上時停用咪高風.
在配備T2晶片的13吋MacBookPro和MacBookAir電腦上,以及2019年可攜式15吋MacBookPro或更新型號,此取消連接功能內置於硬件.
取消連接可避免任何軟件(即使在macOS擁有根或核心權限,甚至是T2晶片上的軟件)在機蓋合上時與咪高風互動.
(鏡頭未有在硬件中取消連接,因在機蓋關閉時其視線會完全受阻.
)從2020年開始的iPad型號也備有取消連接硬件咪高風功能.
在符合MFI的保護套(包括Apple出售的保護套)連接到iPad並合上後,咪高風會在硬件上取消連接,從而無法將咪高風音訊資料提供給任何軟件,即使iPadOS備有根或核心權限,或韌體已損壞.
iPhone中的特快交通卡與省電模式如果iOS因為iPhone需要充電而未運作,電池中可能仍有足夠的電力以支援「特快交通卡」交易.
支援的iPhone裝置會自動對以下票證提供此功能:專為「特快交通卡」設計的交通卡已開啟「特快模式」的學生證按下側邊按鈕會顯示電力不足的圖像,以及表示可使用「特快交通卡」的文字.
與iOS運作時的情況相同,NFC控制器仍會執行「特快交通卡」交易,差別在於交易只會以觸覺通知表示.
螢幕不會顯示通知.

如果是由用户執行的標準關機,此功能則不會運作.
14系統安全性系統安全性概覽建於Apple硬件的獨有功能上,系統安全性的設計目標在於將Apple裝置上作業系統的安全性提升到最高,同時不犧牲可用性.
系統安全性包括啟動程序、軟件更新以及OS的持續操作.
安全開機在硬件開始並透過軟件建立信任鏈,當中每個步驟都會在切換控制前先確認下個步驟正確執行.
此安全性模式除了支援Apple裝置的預設啟動外,也支援iOS、iPadOS和macOS裝置上有關還原和更新的各個模式.
最新版本的iOS、iPadOS或macOS是最安全的.
軟件更新機制除了為Apple裝置提供定期更新,也只會提供來自Apple的良好已知軟件.
更新系統甚至可以阻止降級攻擊,讓攻擊者不能透過令裝置變回較舊的作業系統版本(攻擊者懂得如何入侵)來盜取用户資料.
最後,Apple裝置包括啟動及執行階段保護措施,讓其在持續操作時維持完整性.
這些保護措施在iOS、iPadOS或macOS裝置上截然不同,此乃建基於其支援的不同功能組和必須阻止的攻擊.
亂數產生加密編譯偽亂數產生器(CPRNG)是安全軟件的重要組件.
在此端,Apple提供於iOS、iPadOS、macOS、tvOS和watchOS核心中執行的受信任軟件CPRNG.
它負責從系統整合原始的熵,並在核心和用户空間中向消費者提供安全的亂數.
熵來源核心CPRNG來自裝置啟動時及整個使用週期的多個熵來源.
這些包括(視可用性而定):安全隔離區的硬件RGN啟動時所收集基於時間的抖動從硬件中斷收集的熵啟動時用於持續執行熵的種子檔案Intel隨機指示,即RDSEED和RDRAND(僅限macOS)核心CPRNG核心CPRNG是Fortuna衍生的設計,以256位元安全層級為目標.
它使用下列API為用户空間消費者提供高品質的亂數.
getentropy(2)系統呼叫隨機裝置,即是/dev/random核心CPRNG透過寫入隨機裝置接受用户供應的熵.
15安全開機iOS和iPadOS安全開機鏈啟動程序中每個步驟包含的元件都經過Apple加密編譯簽署以確保其完整性,且只有在驗證信任鏈後,才能繼續執行每個步驟.
這包含啟動程式、核心、核心延伸功能和基頻韌體.
此安全開機鏈有助於確保底層的軟件未經竄改.

開啟iOS或iPadOS裝置後,其應用程式處理器會立即執行唯讀記憶體(稱為BootROM)中的程式碼.
此類無法更改的程式碼(稱為硬件的信任根)在製造晶片時完成設定且已間接獲得信任.
BootROM程式碼包含AppleRootCA公用密鑰,用來驗證iBoot啟動程式是否經過Apple簽署,以決定是否允許其載入.
這是信任鏈中的第一步,當中的每個步驟都會確保下一個步驟經由Apple簽署.
當iBoot完成其任務後,便會驗證和執行iOS或iPadOS核心.
如為配備A9或較早A系列處理器的裝置,會載入額外的底層啟動程式(LLB)階段並由BootROM加以驗證,接着會載入並驗證iBoot.
視硬件而定,載入或驗證以下階段失敗的處理方式會有所不相同:BootROM無法載入LLB(較舊裝置):裝置韌體升級(DFU)模式LLB或iBoot:還原模式無論哪一種情況下,裝置都必須透過USB連接到iTunes(macOS10.
14或更早版本)或Finder(macOS10.
15或以上版本)並還原至出廠與設值.
「開機進度暫存器」(BPR)是「安全隔離區」用來在不同模式中限制用户資料存取的機制,其會在進入以下模式前更新:DFU模式:在配備AppleA12或較新SoC的裝置上透過BootROM設定還原模式:在配備AppleA10、S2或較新SoC的裝置上透過iBoot設定在具有流動數據連線功能的裝置上,基頻子系統也會利用其類似的安全開機程序,包含已簽署的軟件以及由基頻處理器驗證的密鑰.
「安全隔離區」副處理器也會利用安全開機程序,以確保其獨立的軟件已經過Apple驗證和簽署.
16macOS開機模式Mac電腦開機程序當已開啟配備AppleT2保安晶片的Mac電腦,晶片會執行來自唯讀記憶體的程式碼(稱為BootROM).
此類無法更改的程式碼(稱為硬件的信任根)是在製造晶片時完成設定並已為弱點稽核及間接獲得信任.
BootROM程式碼包含AppleRootCA公用密鑰,該公用密鑰用來驗證iBootBootloader是否經過Apple專用密鑰簽署,以決定是否允許其載入.
這是信任鏈中的第一步.
iBoot在T2晶片上驗證核心和核心延伸碼,隨後驗證IntelUEFI韌體.
一開始UEFI韌體和關聯的簽名只適用於T2晶片.
macOS安全開機鏈.
驗證後,UEFI韌體影像會映入T2晶片記憶體的一部份.
此記憶體經由增強的序列周邊介面(eSPI)可供IntelCPU使用.
當IntelCPU第一次啟動,它會經由eSPI(來自確認完整及映入記憶體的韌體副本(位於T2晶片))截取UEFI韌體.
信任鏈評估會使用UEFI韌體評估Boot.
efi(macOS的Bootloader)的簽名在IntelCPU上繼續執行.
內置Intel的macOS安全開機簽名會儲存為同用於iOS、iPadOS和T2晶片安全開機的Image4格式,而解讀Image4檔案的代碼與現時iOS和iPadOS安全開機導入的強化代碼相同.
Boot.
efi會驗證稱為immutablekernel的新檔案之簽名.
當已啟用安全開機,immutablekernel檔案代表啟動macOS所需的整套Apple核心延伸功能.
接手至immutablekernel時安全開機規則會終止,此後macOS安全政策(例如「系統完整保護」和簽署的核心延伸功能)會生效.
過程中如發生任何錯誤或失敗,Mac會進入「macOS還原」模式、AppleT2保安晶片還原模式,或AppleT2保安晶片DFU模式.
17Mac電腦開機模式概覽Mac電腦的一系列開機模式,能於開機時透過按下按鍵組合進入電腦,這些按鍵組合由UEFI韌體或開機磁碟識別.
除非安全性政策已在「開機安全性工具程式」中更改為「無安全性」,否則將無法使用部份開機模式(例如「單一用户模式」).
模式按鍵組合描述macOS開機無UEFI韌體接手至macOS開機磁碟(UEFI程式)再接手至macOS核心.
已啟用「檔案保險箱」的Mac在標準啟動時,macOS開機磁碟會顯示「登入視窗」介面的代碼,以取得密碼解鎖儲存空間.
開機管理程式Option()UEFI韌體會執行內置UEFI程式,向用户提供啟動裝置選擇介面.
目標磁碟模式(TMD)TUEFI韌體執行內置UEFI程式,透過FireWire、Thunderbolt、USB或三者的任何組合(根據Mac型號)將內置儲存裝置暴露為原始及基於區塊的儲存裝置.
單一用户模式Command()+SmacOS核心在launchd的引數向量中送-s旗標,然後launchd在「系統監視程式」App的TTY建立單一用户Shell.
附註:如果用户退出Shell,macOS會繼續啟動「登入」視窗.
RecoveryOSCommand()+RUEFI韌體在內置儲存裝置上從已簽署的磁碟影像(.
dmg)檔案載入最小化的macOS.
互聯網RecoveryOSOption()+Command()+R透過HTTP從互聯網下載已簽署的磁碟影像.
診斷DUEFI韌體在內置儲存裝置上從已簽署的磁碟影像檔案載入最小化的UEFI診斷環境.
互聯網診斷Option()+D透過HTTP從互聯網下載已簽署的磁碟影像.
Netboot(沒有AppleT2保安晶片的Mac電腦)NUEFI韌體從本機TFTP伺服器下載macOS開機磁碟,開機磁碟從相同的TFTP伺服器下載macOS核心,而macOS核心透過NFS或HTTP網絡分享裝載檔案系統.
啟動Windows無如使用「啟動切換」安裝Windows,UEFI韌體接手至Windows開機磁碟,再接手至Windows核心.
Mac電腦中的RecoveryOS和診斷環境RecoveryOS與macOS主體完全獨立,且所有內容儲存於稱為BaseSystem.
dmg的磁碟影像檔案.
同時亦有關聯的BaseSystem.
chunklist用來驗證BaseSystem.
dmg的完整性.
區塊列表是BaseSystem.
dmg的10MB區塊的一系列雜湊值.
UEFI韌體會評估區塊列表檔案的簽名,然後為BaseSystem.
dmg的區塊雜湊值進行逐個評估,以確保其與區塊列表顯示的簽署內容相符.
如果任何這些雜湊值不相符,會中止啟動本機的還原OS,而UEFI韌體則會嘗試從「互聯網還原」啟動.
如果成功完成驗證,UEFI韌體會將BaseSystem.
dmg作為Ramdisk裝載,並執行其內含的Boot.
efi.
UEFI韌體無需特別檢查Boot.
efi,而Boot.
efi亦無需檢查核心,因為OS所有內容(上述元件只是一小部份)已進行完整性檢查.
啟用本機診斷環境的程序與執行RecoveryOS大致相同.
已使用獨立的AppleDiagnostics.
dmg和AppleDiagnostics.
chunklist,但驗證方法與BaseSystem相同.
UEFI韌體執行的並非boot.
efi,而是dmg內稱為diags.
efi的檔案,該檔案負責呼叫一系列可與硬件互動並檢查錯誤的其他UEFI驅動程式.
18Mac電腦中的互聯網RecoveryOS和診斷環境如在執行本機還原或診斷環境時發生錯誤,UEFI韌體則會嘗試從互聯網下載影像.
此外,用户可在開機時使用特殊關鍵序列,來要求從互聯網上截取影像.
從「OS還原伺服器」下載的磁碟影像和區塊列表的完整性驗證方式,與從儲存裝置截取影像的方式相同.
「OS還原伺服器」透過HTTP連接,所有下載內容仍需進行完整性檢查(如上所述),這樣便不會輕易被控制網絡的攻擊者操控.
如果單一區塊無法通過完整性驗證,「OS還原伺服器」會重新要求11次才會放棄並顯示錯誤.
在Mac電腦上啟動MicrosoftWindows根據預設,支援安全開機的Mac電腦只信任Apple簽署的內容.
但是,為了改進「開機切換」安裝項目的安全性,Apple亦支援Windows安全開機.
UEFI韌體包含了MicrosoftWindowsProductionCA2011證書副本,用於認證MicrosoftBootloader.
附註:目前並未對MicrosoftCorporationUEFICA2011提供信任,允許Microsoft合作廠商簽署的程式碼驗證.
此UEFICA常用於驗證其他作業系統的Bootloader(如Linux變體)的確實性.
Windows安全開機支援並非預設啟用,而是透過「開機切換輔助程式」(BCA)啟用.
當用户執行BCA,macOS會在啟動時重新設定以信任Microsoft第一方簽署的程式碼.
BCA完成後,如果macOS在安全開機未能通過Apple第一方信任評估,UEFI韌體會嘗試根據UEFI安全開機格式來評估物體信任.
如通過信任評估,Mac會繼續並啟動Windows.
否則,Mac會進入「macOS還原」並告知用户信任評估失敗.
沒有AppleT2保安晶片的Mac電腦開機程序沒有AppleT2保安晶片的Mac電腦不支援安全開機.
因此UEFI韌體從未驗證的檔案系統載入macOS開機磁碟(boot.
efi),而開機磁碟從未驗證的檔案系統載入核心(prelinkedkernel).
為了保護啟動鏈的完整性,用户應啟用以下所有安全性機制:系統完整保護:預設啟用,以保護開機磁碟和核心,防止來自正在運行的macOS的惡意寫入.
檔案保險箱:可透過以下兩者啟用它:用户或流動裝置管理(MDM)的管理員.
它可以防止實體攻擊者使用目標磁碟模式來覆寫開機磁碟.
韌體密碼:可透過以下兩者啟用它:用户或流動裝置管理(MDM)的管理員.
它可以防止實體攻擊者執行其他啟動模式,例如RecoveryOS、「單一用户模式」或「目標磁碟模式」等會覆寫開機磁碟的模式.
它亦可防止透過攻擊者可能執行程式碼來覆寫開機磁碟的其他媒體啟動.
沒有AppleT2保安晶片的Mac電腦解鎖程序.
19開機安全性工具程式「開機安全性工具程式」概覽「開機安全性工具程式」替代了之前的「韌體密碼工具程式」.
在配備了AppleT2保安晶片的Mac電腦上,其會處理更大的安全性政策設定.
沒有配備T2晶片的Mac電腦會繼續使用「韌體密碼工具程式」.
啟動RecoveryOS以及從「工具程式」選單中選擇「開機安全性工具程式」便可取用工具程式.
將關鍵系統安全性政策控制項目(例如安全開機或SIP)置於RecoveryOS的好處是整個OS都會進行完整性檢查.
其確保任何闖入Mac的攻擊者代碼不可隨便假冒用户來達到進一步停用安全性政策的目的.
開機安全性工具程式.
現時,更改關鍵政策需要認證(即使處於還原模式).
此功能僅可在配備T2晶片的Mac電腦上使用.
首次開啟「開機安全性工具程式」時,其會提示用户輸入與現正啟動的macOS還原相關和來自原始macOS安裝的管理員密碼.
如沒有管理員,必須先建立一個管理員才能更改政策.
T2晶片需要正在啟動「macOS還原」的Mac電腦,以及經過「安全隔離區」支援憑證之驗證後,才能更改此政策.
安全性政策變更有兩項間接要求.
「macOS還原」必須:從直接連接至T2晶片的儲存裝置啟動,因為其他裝置上的分割區沒有綑綁至內置儲存裝置的「安全隔離區」支援憑證.
位處基於APFS的卷宗,因為僅在磁碟中「預開機」APFS卷宗上才會提供支援,來儲存「還原」憑證中傳送至「安全隔離區」的「認證」.
HFSplus格式的卷宗無法使用安全開機.
在配備了AppleT2保安晶片的Mac電腦上之「開機安全性工具程式」中才會顯示此政策.
雖然大部份使用個案不應要求更改安全開機規則,用户最終會控制其裝置的設定,並可按照需要,選擇在Mac上將安全開機功能停用或降級.
在此App內作出的安全開機規則變更,只會在Intel處理器驗證信任鏈的評估時套用.
「安全開機T2晶片」的選項總是有效.
安全開機規則可選用以下三項設定的其中之一:「完整安全性」、「中等安全性」及「無安全性」.
「無安全性」會徹底停用Intel處理器上的安全開機評估,且允許用户以其所想的任何方式開機.
20「完整安全性」開機規則「完整安全性」是預設選項,其行為與iOS和iPadOS相似.
當軟件已下載並準備安裝時,macOS不會使用軟件隨附的通用簽名,而是與用於iOS和iPadOS的相同Apple簽署伺服器溝通並要求新的「個人化」簽名.
當簽名包括了ECID(此處指專屬於T2晶片的獨有ID)作為簽署要求的一部份時便可稱為個人化.
簽署伺服器傳回的簽名是獨有的,並只可由該特定的T2晶片使用.
「完整安全性」政策生效時,UEFI韌體確保所給予的簽名並非只由Apple簽署,而是為此特定的Mac簽署,實質上將該版本的macOS與Mac相連.
相較於典型的通用簽名方式,使用線上簽署伺服器還提供了更好的保護以避免回復攻擊.
在通用的簽署系統中,安全性Epoch可能已捲動很多次,但從未見過最新韌體的系統並不知道.
例如,相信其現正處於安全性Epoch1的電腦,會接受安全性Epoch2的軟件,即使現時的實際安全性Epoch是5.
有了iOS和iPadOS類型的線上簽署系統,簽署伺服器可以拒絕為任何軟件製作簽名(最新安全性Epoch中的軟件除外).
另外,如攻擊者在安全性Epoch更變後發現漏洞,他們不能輕易從系統A的前一個Epoch取得漏洞軟件並將其套入系統B來進行攻擊.
來自較舊Epoch的漏洞軟件在系統A中個人化,使其無法轉移而不能用來攻擊系統B.
所有這些機制一起執行,更肯定地保證攻擊者不能故意將漏洞軟件置於電腦上來繞過最新軟件提供的保護.
但擁有Mac管理員用户名稱及密碼的用户仍總能選擇最適合其使用情況的安全性政策.

「中等安全性」開機規則「中等安全性」就像傳統的UEFI安全開機狀態,其中廠商(此處指Apple)會為代碼產生電子簽名,以證明來源為廠商.
這樣可以防止攻擊者插入未簽署的代碼.
我們將此簽名稱為「通用」簽名,因為其可以在任何Mac上,不限時長地用於那些現有「中等安全性」政策設定的Mac電腦.
iOS、iPadOS及T2晶片都不支援通用簽名.
通用簽名方案的限制與防止「回復攻擊」有關.
在回復攻擊中,攻擊者將舊有但合法並經正確簽署,且有已知漏洞的軟件置於系統上,然後利用這些漏洞來控制系統.
許多通用簽名系統根本不會試圖阻止回復攻擊.
會進行阻止的那些系統,經常透過使用「安全性版本」或「安全性Epoch」來執行.
此號碼通常被簽名遮蓋,且會在簽名完成驗證後被評估.
電腦需要安全和持續的儲存來紀錄其在簽署代碼中所見過最大的Epoch值,並且不允許任何Epoch更小的代碼(即使已正確地簽署).
想要回復Epoch的廠商會使用新Epoch(要較所有包含的以往發出的軟件大)來簽署軟件.
韌體在其安全儲存中偵測到比最新觀察的Epoch值更大的值時,會在儲存空間中更新Epoch值.
其後它會拒絕所有Epoch比最新儲存值小之以往簽署的代碼.
如系統沒有安全儲存,攻擊者可以輕易地自行回復Epoch值,繼而回復和利用軟件.
這解釋了為何許多執行Epoch的系統會將Epoch數目儲存在一次性可程式化熔絲式陣列中.
當熔絲燒盡時,便不能更改數值.
但是,此方式存在限制,攻擊者可以簡單地燃燒所有熔絲來使所有簽名無效,繼而永久地阻止作業系統啟動.

Apple通用簽名方案不包括安全性Epoch,因為那些系統並不靈活且經常導致嚴重的可用性問題.
完整安全性模式(預設的模式)可更佳地防止回復攻擊,且其行為與iOS和iPadOS非常相似.
想要利用防回復保護的用户應該保留預設的「完整安全性」政策.
但是,可能無法使用「完整安全性」模式的用户,亦可使用「中等安全性」模式.

媒體開機規則媒體開機規則只顯示於配備AppleT2保安晶片的Mac電腦上,且完全獨立於安全開機規則.
即使用户停用安全開機,亦不會更改以下預設動作:除直接連接至T2晶片的儲存裝置外,不允許從其他任何裝置開機.
以往,根據預設,Mac電腦可以透過外置裝置啟動.
此方式允許實際持有裝置的攻擊者從已啟動的卷宗執行任意程式碼.
檔案保險箱和安全開機等保護組合,讓其沒有已知的架構弱點,防止透過外置卷宗操作的攻擊者在不知道用户密碼的情況下取用用户資料.
但是,即使只執行臨時任意程式碼,也可讓攻擊者透過執行攻擊者控制的數據來利用Apple未知的弱點,藉此操控Mac.
因此建立任意程式碼可能會讓用户啟動遭到入侵,繼而讓用户資料遭到入侵.

Apple更改了政策,將外部開機預設為拒絕,並在配備T2晶片的Mac電腦上停用.
在沒有配備T2晶片的Mac電腦上,用户總是可以設定韌體密碼,以選用預設為拒絕的行為.
但是,韌體密碼並非眾所周知,而且使用度很低.
此政策變更後,Apple更改Mac的行為,以在預設情況下盡可能提供最好的保護,而非將責任交由用户選擇.

21韌體密碼保護macOS支援使用韌體密碼來防止在特定的Mac上無意修改韌體設定.
韌體密碼用來防止選取其他啟動模式,包括啟動RecoveryOS或單一用户模式、從未經授權的卷宗啟動、或啟動目標磁碟模式.
可在沒有配備AppleT2保安晶片的Mac電腦上透過RecoveryOS「韌體密碼工具程式」,以及在配備了T2晶片的Mac電腦上透過「開機安全性工具程式」來啟動韌體密碼的最基本模式.
在macOS的firmwarepasswd命令列工具中可使用進階選項(例如在每次啟動時的密碼提示功能).
如沒有AppleT2保安晶片的Mac電腦開機程序中所述,設定韌體密碼尤其重要,因其可減低沒有配備T2晶片的Mac電腦受到實體攻擊者攻擊的危險(例如在電腦室或辦公室環境).
韌體密碼可以阻止攻擊者啟動RecoveryOS,他們可在其中停用「系統完整保護」.
透過限制其他媒體啟動,攻擊者不能使用其他OS的特權碼來攻擊周邊韌體.
韌體密碼重設機制的存在是為了幫助忘記密碼的用户.
用户在開機時按下按鍵組合,會顯示指定型號的字串來提供給AppleCare.
AppleCare對一項經由統一資源識別碼(URI)簽署檢查的來源進行電子簽署.
如簽署已驗證且內容針對指定Mac,UEFI韌體會移除韌體密碼.
如用户想透過軟件方法親自移除其韌體密碼(而非依靠其他人),-disable-reset-capability選項已加至macOS10.
15的firmwarepasswd命令列工具.
在設定此選項前,用户必須確認是否忘記並需要移除密碼,用户必須承擔更換主機板(以達到此目的)的成本.
機構如要保護其Mac電腦以免受外來攻擊者及員工攻擊,必須在機構的系統上設定韌體密碼.
此動作可在裝置上完成(如下):配置時,手動使用firmwarepasswd命令列工具配備使用firmwarepasswd命令列工具的第三方管理工具使用流動裝置管理(MDM)安全軟件更新安全軟件更新概覽Apple會定期釋出軟件更新以解決新產生的安全性問題,同時提供新功能;這些更新通常會同時向所有受支援的裝置提供.
iOS和iPadOS裝置的用户於裝置上及透過iTunes(macOS10.
14或更早版本)或Finder(macOS10.
15或以上版本)接收更新通知.
macOS更新可於「系統偏好設定」中取得.
更新會經無線方式傳送,來迅速採用最新的安全性修正.
啟動程序有助於確保只安裝經Apple簽署的程式碼.
例如,系統軟件授權確保iOS和iPadOS裝置、或Mac電腦(已配備「開機安全性工具程式」中安全開機規則的完整安全性設定)上只能安裝Apple經常簽署的合法作業系統版本副本.
此系統防止iOS和iPadOS裝置降級至不含最新安全性更新的較舊版本,Apple亦可使用此系統來防止macOS中類似的降級.
如沒有此保護,攻擊者一旦有了裝置的擁有權,便會安裝較舊版本的iOS或iPadOS並利用較新版本中尚未修復的漏洞進行破壞.
另外,當裝置實體連接至Mac時,會下載並安裝iOS或iPadOS的完整副本.
但是如果採用無線(OTA)軟件更新,只會下載完成更新所需的元件(而非下載整套OS),以改善網絡效率.
此外,在執行macOS10.
13或以上版本並開啟「內容快取」的Mac上可以快取軟件更新,iOS和iPadOS裝置便無需透過互聯網重新下載所需的更新.
這些裝置仍需聯絡Apple伺服器以完成更新程序.
安全軟件更新程序在升級期間會連接至Apple安裝授權伺服器,當中包括以下資料:要安裝之安裝套件中的各部份加密編譯測量值列表(如iBoot、核心及OS影像檔)、隨機反重播的值(隨機數)以及裝置專屬的唯一晶片識別碼(ECID).

授權伺服器會將提供的測量值列表與允許安裝的版本進行比較,如找到相符項目,便會將ECID加入到測量值中並對結果進行簽署.
伺服器會將完整的一組已簽署資料傳遞至裝置,這是升級程序的一部份.
加入ECID可為要求的裝置「個人化」授權作業.
藉由只對已知的測量值授權和簽署,伺服器可確保更新的內容與Apple所提供的完全相同.
22啟動時間的信任鏈評估程序會驗證該次簽署是否來自Apple,並確認從儲存裝置載入之項目測量值在結合裝置的ECID後,是否與該簽名所涵蓋的內容相符.
這些步驟可確保授權是針對特定裝置進行,而且較舊版本的iOS、iPadOS或AppleT2保安晶片的韌體無法從一部裝置複製到另一部裝置上.
隨機數可阻止攻擊者儲存伺服器的回應,並阻止攻擊者使用該回應來破壞裝置,或以其他方式竄改系統軟件.
在配備「安全隔離區」的裝置上,「安全隔離區」副處理器也會使用系統軟件授權來確保軟件的完整性,並阻止降級的安裝作業.
iOS及iPadOS中的OS完整性iOS及iPadOS系統安全性概覽Apple所設計的iOS平台將安全性視為其核心訴求.
當我們開始製作盡可能是最佳的流動平台時,我們汲取數十年的經驗來建造一個全新的架構.
我們考量了有關桌面系統環境的安全性風險並在設計iOS時建立一套新方式來提升安全性.
我們開發並整合創新功能,以加強流動安全性,並預設保護整個系統.
因此,iOS及之後的iPadOS對流動裝置而言,在安全性上往前邁進了一大步.
核心完整保護iOS和iPadOS核心完成初始化後,會啟用核心完整保護(KIP)來防止核心和驅動程式碼被修改.
記憶體控制器提供受保護的實體記憶體區域(iBoot使用此實體記憶體區域來載入核心和核心延伸功能).
開機完成後,記憶體控制器會拒絕對受保護的實體記憶體區域進行寫入.
此外,應用程式處理器的「記憶體管理單元」(MMU)已設定為防止從受保護記憶體區域外的實體記憶體對應特權碼,以及防止核心記憶體區域內的實體記憶體進行可寫入對應.

用於啟用KIP的硬件會在開機程序完成後被鎖定,以防止重新設定.
自AppleA10和S4起的SoC可支援KIP.
AppleA11BionicSoC引入了新的硬件基元.
此基元包括快速限制討論串權限的CPU暫存器.
這些快速權限限制(或APRR)讓iOS和iPadOS可以從記憶體中移除執行權限,免卻系統呼叫的負荷和分頁表的分級解析或整理.

系統副處理器完整保護副處理器韌體處理許多關鍵系統操作,例如「安全隔離區」、影像感測器處理器和「動作」副處理器.
因此其安全性是整個系統安全性中的重要一環.
為防止副處理器韌體被修改,Apple使用稱為系統副處理器完整保護(SCIP)的機制,從AppleA12和S4SoC開始的SoC上可支援該機制.
SCIP和核心完整保護的運作方式非常相似:在開機時,iBoot會將每個副處理器的韌體載入受保護的記憶體區域(此記憶體區域是預先保留且與KIP區域隔離).
iBoot會設定每個副處理器的記憶體單元,以防止以下情況:受保護的記憶體區域部份外的可執行對應受保護的記憶體區域部份內的可寫入對應在開機時,如要設定「安全隔離區」的SCIP,系統會使用「安全隔離區」的作業系統.
開機程序完成後,用於啟用SCIP的硬件會被鎖定,以防止重新設定.
指標認證碼從AppleA12和S4SoC開始系統便支援指標認證碼(PAC),其被用於防止利用記憶體損毀漏洞進行的攻擊.
系統軟件和內置的App會使用PAC來防止修改函式指標和傳回地址(程式碼指標).
PAC使用五個秘密的128位元值來簽署核心指示和資料,且每個用户空間程序都有自己的B密鑰.
項目的Salt和簽署如下:23項目密鑰Salt函式傳回地址IB儲存地址函式指標IA0區塊調用函式IA儲存地址Objective-C方法快取IB儲存地址+類別+選擇器C++V-Table輸入項目IA儲存地址+雜湊值(雜湊方法名稱)計算Goto標籤IA雜湊值(函式名稱)核心討論串狀態GA用户討論串狀態暫存器IA儲存地址C++V-Table指標DA0簽名值儲存於64位元指標上方的未使用填充位元.
使用前系統會驗證簽名,亦會還原填充來確認指標地址可以執行.
驗證失敗會導致特殊值被設定(特殊值會讓地址無效),而其在iOS13和iPadOS13.
1中亦會中止.
此驗證增加了多種攻擊的難度,例如「返回導向程式設計」(ROP)攻擊會試圖操縱儲存在堆疊上的函式傳回地址,藉此惡意誘使裝置執行現有的程式碼.
自AppleA12和S4起的SoC可支援PAC.
頁面保護層iOS和iPadOS的頁面保護層(PPL)保護用户空間代碼,讓其不會在代碼簽名驗證完成後被修改.
其建立在KIP和APRR上,以謹慎管理分頁表權限覆寫,從而確認只有PPL可以更改包括用户代碼和分頁表的受保護頁面.
系統通過支援系統級代碼完整性執行(即使在遭到入侵的核心上)以大幅減少攻擊面.

macOS中的OS完整性macOS系統安全性概覽Apple設計的macOS平台,整體上更傾向使用具備安全性設計的軟件、硬件和服務,並讓設定、部署和管理更簡單.
macOS包括了資訊科技專員所需的重要安全性技術,以保護企業資料並在安全的企業網絡環境中整合.
Apple亦與標準機構合作,以確保合乎最新的安全性認證.
Mac韌體安全性UEFI韌體安全性概覽自2006年以來,具有Intel架構CPU的Mac電腦使用基於可延伸韌體介面(EFI)開發者套件(EDK)版本1或版本2的Intel韌體.
EDK2架構的代碼符合統一可延伸韌體介面(UEFI)的規範.
此章節將Intel韌體稱為UEFI韌體.
UEFI韌體是在Intel晶片上執行的首個代碼.
為了防止實體附加到儲存UEFI韌體的韌體儲存晶片上的攻擊,Mac電腦於2017年開始進行重新架構,以將信任植根於AppleT2保安晶片中儲存的UEFI韌體中.
在這些Mac電腦上,UEFI韌體的信任根特別針對T2韌體.
此設計依靠T2來保護UEFI韌體(以及整個安全開機)免受持續感染,其方式與透過iOS和iPadOS中的A系列SoC保護開機相同.
24針對未配備AppleT2保安晶片的Mac電腦,UEFI韌體的信任根是儲存韌體的晶片.
UEFI韌體更新由Apple數碼簽署,並在更新儲存之前由韌體驗證.
為了防止回捲攻擊,更新必須一律為比現有版本更新的版本.
但是,對Mac具有實體取用權的攻擊者可以使用硬件連接至韌體儲存晶片,並更新該晶片來包含惡意內容.
同樣地,如果在UEFI韌體的早期開機過程中發現漏洞(在對儲存晶片進行寫入限制之前),這也可能導致UEFI韌體持續感染.
這是大多數Intel架構的PC中常見的硬件結構限制,在所有沒有T2晶片的Mac電腦中都存在此限制.
為了解決此限制,Mac電腦重新設計以將信任根植於AppleT2保安晶片的UEFI韌體中.
在這些Mac電腦上,UEFI韌體的信任根特別針對T2韌體,如本節稍後的macOS開機章節中所述.
如要達至持續UEFI韌體感染,攻擊者將需要達到持續T2韌體感染.
Intel管理引擎(ME)UEFI韌體中儲存的一個子組件是Intel管理引擎(ME)韌體.
ME是Intel晶片中的獨立處理器和子系統,可用於遙距管理、受保護的音訊和影片,以及增強保安.
為了減少該攻擊面,Mac電腦執行自訂ME韌體,其中的大多數組件都已從其中刪除.
這樣可使MacME韌體小於Intel提供的預設最小構件.
因此,MacME韌體中不包含過去曾受到安全研究人員公開攻擊的許多組件(例如ActiveManagementTechnology).
ME的主要用途是只有Intel架構圖形的Mac電腦上的音訊和影片版權保護.
系統管理模式(SMM)Intel處理器具有特殊的執行模式,與正常操作不同.
其被稱為系統管理模式(SMM),原本引入來處理時間敏感的操作,例如電源管理.
但是,為了執行此類操作,Mac電腦歷史上一直使用稱為系統管理控制器(SMC)的特定微控制器.
SMC不再是獨立的微控制器,其已整合到AppleT2保安晶片中.
在支援安全開機的PC上,SMM充當了額外的受保護執行環境角色,可以授予對敏感性安全內容的獨有取用權,例如對儲存在UEFI韌體儲存晶片中的代碼和安全政策的寫入取用權.
因此,攻擊者通常會以特權升級的形式闖入SMM執行環境,以執行核心無法執行的操作,從而潛在損害安全開機.
在Mac電腦上,會盡可能少使用SMM執行環境,並且不會將其視為安全開機目的的安全界限.
因此,即使SMM被破壞,「安全開機」也不會受影響.
在T2晶片上,特權界限反而是晶片可以專門地執行的動作.
DMA保護為了在PCIe、FireWire、Thunderbolt和USB等高速介面上實現高吞吐量,電腦必須支援周邊裝置的直接記憶體存取(DMA).
即其必須能夠讀寫RAM,而無需IntelCPU的持續參與.
自2012年起,Mac電腦已執行了許多技術來保護DMA,從而獲得與任何PC比較最好、最全面的DMA保護.
導向式IO的Intel虛擬化技術(VT-d)是一項自2012年以來在Mac電腦上受支援的技術,該技術首先在OSX10.
9中使用,目的是防止核心的記憶體被惡意周邊裝置覆寫.
但是,惡意周邊裝置也可能在UEFI韌體執行時覆寫代碼和資料,以損害開機安全性.
macOS10.
12.
3更新了所有支援Vt-d的Mac電腦的UEFI韌體,以使用VT-d防禦惡意的FireWire和Thunderbolt周邊裝置.
它也會隔離周邊裝置,使其只能看到自己的記憶體範圍,而看不到其他周邊裝置的記憶體.
例如,在UEFI中執行的乙太網絡周邊裝置無法讀取儲存周邊裝置的記憶體.
在macOS10.
13中進一步改進了UEFI韌體中的DMA保護,以在UEFI韌體啟動順序中更早地進行初始化,以防止:PCIe匯流排上的惡意內部周邊裝置處理器由安全研究人員提出的一種「訊息信號中斷」(MSI)攻擊所有配備AppleT2保安晶片的Mac電腦都具有進一步改進的DMA保護,可以盡早執行初始化.
特別是,在任何RAM對UEFI韌體可用之前就已啟用保護.
這樣可以防止任何受損的PCIe匯流排零裝置(例如IntelME)在RAM可用時立即執行並可用DMA功能.
在macOS10.
15中,未配備T2晶片的Mac電腦也加入了此保護.
25OptionROMThunderbolt和PCIe裝置都可以實體連接到裝置的「OptionROM」(OROM).
(這通常不是真正的ROM,而是儲存韌體的可重新寫入晶片.
)在UEFI架構的系統,該韌體通常是UEFI驅動程式,由UEFI韌體讀取並執行.
執行的代碼應該初始化和設定從中取得的硬件,以便其餘的韌體可以使用該硬件.
此功能為必需,以便專用的第三方硬件可以在最早的開機階段載入和執行,例如從外置RAID陣列開機.
但是,由於OROM一般可被重新寫入,因此如果攻擊者覆寫合法的周邊裝置的OROM,則其代碼將在開機程序的早期執行,並且會篡改執行環境並破壞隨後載入的軟件的完整性.
同樣地,如果攻擊者將其惡意裝置引入系統,他們也將能執行惡意代碼.
在macOS10.
12.
3中,2011年之後出售的Mac電腦的行為已更改為預設情況下,除非按下特殊的組合鍵,否則在Mac開機時不會執行OROM.
此組合鍵可防止惡意OROM被無意中引入至macOS開機程序中.
「韌體密碼工具程式」的預設行為也會被更改,因此,當用户設定韌體密碼時,即使按下了組合鍵,OROM也無法執行.
這樣可以防止實體存在的攻擊者故意引入惡意OROM.
對於仍然需要在設定韌體密碼的同時執行OROM的用户,可以使用macOS中的firmwarepasswd指令行工具設定非預設選項.
OptionROM(OROM)Sandbox處理.
OROMSandbox在macOS10.
15中,UEFI韌體已更新,以包含用於對OROM進行Sandbox處理和取消權限的機制.
UEFI韌體一般以最高IntelCPU權限級別(稱為核心第0級(Ring0))執行所有代碼(包括OROM),並為所有代碼和資料提供一個共享的虛擬記憶體空間.
核心第0級也是macOS內核執行的權限級別,而較低的權限級別,即核心第3級(Ring3),是應用程式執行的位置.
OROMSandbox透過像內核一樣利用虛擬記憶體分離來取消OROM權限,然後使OROM在核心第3級中執行.
Sandbox進一步限制了OROM可以調用的介面(類似於內核中的系統調用篩選),以及OROM可以註冊為的裝置類型(類似於App白名單).
此設計的優勢在於,惡意OROM不能再於核心第0級記憶體中的任何位置直接寫入,而是局限於非常狹窄且定義明確的Sandbox介面.
此受限制的介面大副減少了攻擊面,並使攻擊者必須先逃脫Sandbox並提升權限.
26周邊韌體安全性Mac電腦具有許多內置的周邊處理器,專用於如網絡、圖形、電源管理或管理USB或Thunderbolt等資料匯流排的任務.
周邊韌體通常為單一用途,其功能遠不如IntelCPU強大.
但是,未執行足夠安全性的內置周邊裝置會成為攻擊者的目標,攻擊者會尋求更易於利用的目標,然後持續感染作業系統.
攻擊者感染了周邊處理器韌體後,攻擊者會針對IntelCPU上的軟件,或直接截取敏感資料(例如,乙太網絡裝置可以查看未加密的資料包內容).

Apple與第三方廠商進行戰略合作,(在可能的情況下)減少必要的周邊處理器數量,或避免需要韌體的設計.
但是,當需要韌體時,會努力確保攻擊者無法在該處理器上持久存在.
可以透過以下方式實現:透過在啟動時從IntelCPU下載已驗證的韌體之模式執行處理器透過確保周邊處理器實施其安全開機鏈,在每次開機時都會驗證其韌體Apple與廠商合作審核其實施項目,並加強其設計以包括所需的屬性,例如:確保最低加密強度強力撤銷已知的不良韌體停用除錯介面使用儲存在Apple控制的「硬件安全模組」(HSM)中的加密密鑰對韌體進行簽署近年來,Apple與部份外部廠商合作,採用帶有AppleT2保安晶片的iOS、iPadOS和Mac電腦所使用的「Image4」資料結構、驗證代碼和簽名基礎架構.
如果無記憶體操作或選擇記憶體加安全開機都不是選項,則設計會要求在對持久性記憶體進行更新之前,必須對韌體更新進行加密簽署和驗證.
強制性存取控制macOS也使用強制性取用控制.
這些策略設定了由開發人員建立且無法覆寫的安全限制.
此方法與自由取用控制不同,後者允許用户根據自己的喜好覆寫安全政策.
用户看不到強制取用控制,但它們是幫助啟用多個重要功能的基礎技術,其中包括Sandbox處理、分級保護控制、管理偏好設定、副檔名和「系統完整保護」.
系統完整保護OSX10.
11或更新版本包括稱為「系統完整保護」的系統級保護,該功能在特定的重要檔案系統位置上將組件限制為唯讀,以防止惡意代碼對其進行修改.
「系統完整保護」是特定於電腦的設定,當用户升級到OSX10.
11或更新版本時,該設定會預設為開啟;停用此功能會刪除對實體儲存裝置上所有分區的保護.
macOS將此安全政策應用於系統上執行的每個程序,無論其是在Sandbox中執行或是在管理權限下執行.
核心延伸功能不建議macOS使用核心延伸功能(KEXT).
KEXT危害作業系統的完整性和可靠性,用户應選擇不需延伸核心的解決方案.
macOS10.
15透過安裝及管理在用户空間(而非核心等級)運行的系統延伸功能,來支援開發者延伸macOS功能.
透過在用户空間運行,系統延伸功能提高了macOS的穩定性和安全性.
KEXT對整個作業系統有固有的完全存取權限,而在用户空間運行的延伸功能只被賦予執行其特定動作的必要權限.

開發者可以使用程式框架,包括DriverKit、EndpointSecurity和NetworkExtension,以寫入USB和人機介面驅動程式、端點安全性工具(如防止資料遺失或其他端點代理程式)、VPN及網絡工具,以上全部無需寫入KEXT.
第三方安全性代理程式只應在以下情況使用:代理程式可利用API,或有強大的路線圖傳至它們並傳離核心延伸功能.
27macOS仍提供核心延伸功能機制來讓程式碼動態載入核心,當中無需重新編譯或重新連結.
為改進安全性,需要用户同意來載入核心延伸功能(其於macOS10.
13安裝的同時或之後安裝).
這稱為用户允許的核心延伸功能載入.
亦需要管理員授權來允許核心延伸功能.
在以下情況核心延伸功能無需取得授權:在升級至macOS10.
13前已安裝在Mac上正取代先前允許的延伸功能使用在「macOS還原」開機時可用的spctl命令列工具來允許無需用户同意下載入允許使用流動裝置管理(MDM)設定來載入從macOS10.
13.
2起,用户可使用MDM來指定無需用户同意亦能載入的核心延伸功能列表.
此選項需要執行macOS10.
13.
2並於MDM註冊的Mac(其透過AppleSchoolManager、AppleBusinessManager或用户允許的MDM註冊).
watchOS中的系統安全性watchOS系統安全性概覽AppleWatch使用為iOS和iPadOS打造的安全性功能與技術來協助保護裝置上的資料,以及保護與已配對iPhone和互聯網的通訊.
這包含如「資料保護」與鑰匙圈存取控制等技術.
用户的密碼也會與裝置UID結合以建立加密密鑰.
將AppleWatch與iPhone配對是使用頻外(OOB)處理加以保護以交換公用密鑰,其後面並接着低耗電藍牙(BLE)連結共享密鑰.
AppleWatch會顯示動畫圖形,該動畫圖形是使用iPhone上的相機捕捉.
圖形包含已編碼的密鑰,用於BLE4.
1頻外配對.
如有需要,「標準BLE密鑰項目」(StandardBLEPasskeyEntry)會用作備用配對方式.
建立BLE作業階段並使用「藍牙核心規格」提供的最高層級安全通信協定加密後,AppleWatch和iPhone會使用改寫自Apple識別服務(IDS)的程序來交換密鑰,如iMessage概覽所述.
密鑰交換後,便會捨棄藍牙作業階段密鑰,且AppleWatch與iPhone間的所有通訊都會使用IDS進行加密,而加密後的藍牙、Wi-Fi與流動數據連結則提供第二加密層.
低耗電藍牙地址每15分鐘便會輪流替換,來為使用持續識別碼廣播的裝置減少本機被追蹤的風險.

為支援需要串流數據的App,會使用FaceTime一節提到的方式來提供加密,使用由已配對iPhone所提供的IDS服務或直接互聯網連線.
AppleWatch會為檔案與「鑰匙圈」項目導入以硬件加密的儲存空間與類別式保護,如本文件的「加密與資料保護」一節所述.
也會一併使用「鑰匙圈」項目的存取控制Keybag.
手錶與iPhone間通訊所使用的密鑰也會利用類別式保護來確保其安全性.
當AppleWatch不在藍牙範圍內時,可改為使用Wi-Fi或流動數據.
AppleWatch會自動加入其配對iPhone已加入過的Wi-Fi網絡(網絡的憑證必須在兩部裝置都位於連線範圍內時同步至AppleWatch).
接着在AppleWatch上,便可於「設定」App的Wi-Fi部份中設定個別網絡的「自動加入」動作.
如為先前未於任何裝置上加入過的Wi-Fi網絡,可在AppleWatch上於「設定」App的Wi-Fi部份中手動加入.
當AppleWatch和iPhone在範圍外時,AppleWatch會直接連接到iCloud和Gmail伺服器以截取「郵件」,而不是透過互聯網與配對的iPhone同步「郵件」資料.
針對Gmail帳户,用户需要在iPhone上「手錶」App的「郵件」部份中向Google認證.
從Google接收的OAuth代號會透過Apple識別服務(IDS)以加密格式傳送到AppleWatch,即可用來截取「郵件」.
此OAuth代號絕不會用來從配對的iPhone連接到Gmail伺服器.
如啟用手腕偵測功能,在用户將手錶從手腕取下後會自動鎖定裝置.
如停用手腕偵測功能,控制中心會提供鎖定AppleWatch的選項.
在AppleWatch鎖定時,用户只能透過輸入手錶的密碼才能使用ApplePay.
用户可以在iPhone上的AppleWatchApp中關閉手腕偵測.
此設定也可使用流動裝置管理(MDM)解決方案來強制執行.

28如正戴着手錶,也可使用已配對的iPhone來解鎖手錶.
這是使用在配對期間建立的密鑰進行認證連線來解鎖.
iPhone會傳送密鑰,而手錶會使用該密鑰來解鎖其資料保護密鑰.
iPhone無從得知手錶密碼,系統也不會傳輸手錶密碼.
此功能可在iPhone上使用AppleWatchApp關閉.
AppleWatch一次只能與一部iPhone配對.
在取消配對時,iPhone會傳遞指示以清除AppleWatch的所有內容和資料.
AppleWatch可設定為在當晚進行系統軟件更新.
如需深入了解如何儲存AppleWatch密碼以及在更新期間使用,請參閱:Keybag.
在已配對iPhone上啟用「尋找」也會在AppleWatch上使用「啟用鎖」.
「啟用鎖」可讓AppleWatch在遺失或被盜時,其他人無法輕易使用或出售.
「啟用鎖」需要用户的AppleID和密碼才能取消配對、清除或重新啟用AppleWatch.
AppleWatch配搭macOS的使用情況在macOS中以AppleWatch自動解鎖AppleWatch的用户可以用它來自動解鎖Mac.
低耗電藍牙(BLE)和點對點Wi-Fi使AppleWatch在確認兩個裝置靠近後可安全地解鎖Mac.
需要已設定雙重認證(TFA)的iCloud帳户方可執行.
啟用AppleWatch來解鎖Mac時,便會建立使用「自動解鎖識別身份」的安全連結.
Mac會建立一次性隨機解鎖密鑰,並透過該連結將密鑰傳輸至AppleWatch.
密鑰儲存於AppleWatch且只可在AppleWatch解鎖後才能取用.
解鎖代號並非用户密碼.
在解鎖操作期間,Mac會使用BLE與AppleWatch建立連線.
接着在初次啟用時,兩部裝置間會使用共享密鑰來建立安全連結.
Mac與AppleWatch之後會使用點對點Wi-Fi和安全密鑰(從安全連結所衍生)來判斷兩部裝置間的距離.
如裝置位於範圍內,便會使用安全連結來傳送預先共享的密鑰,以解鎖Mac.
順利解鎖後,Mac會將目前的解鎖密鑰取代為一次性使用的新解鎖密鑰,並將新解鎖密鑰透過該連結傳輸至AppleWatch.
透過AppleWatch允許啟用了以AppleWatch自動解鎖後,便可使用AppleWatch(或配合TouchID)來允許以下項目的授權及認證提示:要求授權的macOS和AppleApp要求認證的第三方App儲存的Safari密碼安全備註29加密與資料保護加密與資料保護概覽安全開機鏈、系統安全性及App保安功能都有助確保只有受信任的程式碼及App可在裝置上運行.
即使部份安全性基礎架構遭到破壞(例如,如遺失裝置或執行不受信任的程式碼),Apple裝置亦有額外的加密功能以保護用户資料.
這些功能對用户和IT管理員都大有助益,可隨時保護個人與企業的資料,並提供裝置遭竊或遺失時,立即遙距完全清除的方式.
iOS及iPadOS裝置使用名為「資料保護」的檔案加密方法,Mac電腦上的資料受名為「檔案保險箱」的卷宗加密技術保護.
兩個型號的密鑰管理階層都同樣根生於「安全隔離區」(在包含SEP的裝置上)的專屬矽晶片中,且兩個型號會運用專屬的AES引擎以支援直線速率加密,來確保永不需要向核心OS或CPU(其可能遭到入侵的地方)提供長壽命加密密鑰.
此外,作業系統核心會強制執行取用控制項目,以防止未經授權的資料取用.
這些控制項目通常以SandboxApp的形式(限制App可以取用的資料)以及強制執行資料保險箱的形式.
資料保險箱可以看作是倒置的Sandbox.
資料保險箱並沒有限制App可以進行的調用,而是限制了對受保護資料的取用(也是由核心強制執行,獨立於檔案加密),而不管發起程序本身是否經Sandbox處理.
Apple如何保護用户的個人資料除加密靜態資料外,Apple裝置也可使用各種技術(包括資料保險箱)協助防止App未經授權存取用户個人資料.
用户可以在iOS、iPadOS的「設定」,及macOS的「系統偏好設定」中查看哪些App有權存取特定資料,亦可授予或撤銷往後的任何存取權限.
下列項目獲強制取用權限:iOS、iPadOS及macOS:日曆、相機、通訊錄、咪高風、相片、提醒事項、語音識別iOS及iPadOS:藍牙、家居、媒體、「媒體」App及AppleMusic、動態與健身iOS和watchOS:健康macOS:輸入監察(例如,鍵盤筆劃)、提示、螢幕錄製(例如,靜態螢幕截圖及錄影)、系統偏好設定從iOS13.
4和iPadOS13.
4開始,所有第三方App都會自動在資料保險箱中保護其資料.
這有助於防止未經授權取用資料,即使是未經Sandbox處理的程序也是如此.
如果用户登入iCloud,依照預設便會向iOS和iPadOS中的App授予存取「iCloud雲碟」的權限.
用户可以在「設定」中控制每個App的iCloud存取權限.
此外,iOS和iPadOS所提供的取用限制可防止資料在流動裝置管理(MDM)解決方案和用户所安裝的App和帳户之間移動.
30「Apple檔案系統」的角色「Apple檔案系統」(APFS)是在設計時將加密納入考量的專利檔案系統.
APFS適用於所有Apple平台(iOS、iPadOS、macOS、tvOS和watchOS).
為快閃/SSD儲存進行最佳化,其特色為堅固的加密、寫入時複製後設資料、空間共享、檔案及目錄複製、隨拍、快速調整目錄大小、原子級安全存儲基元,和改進文件系統底層技術,以及獨有的寫入時複製設計,其使用I/O合併以提供最高表現並確保資料的可靠性.
APFS會按需要分配儲存空間.
當單一APFS容器有多個卷宗時,該容器的可用空間會被分享,並可按需要分配至任何獨立的卷宗.
每個卷宗只會使用整個容器中的一部份,所以可用空間為容器的總容量,減去容器中所有卷宗已使用的空間.
在macOS10.
15中,用於啟動Mac的APFS容器必須包括最少五個卷宗,其中的首三個會對用户隱藏:預開機卷宗:包含將容器中每個系統卷宗開機的所需資料VM卷宗:macOS用於交換檔案儲存空間還原卷宗:包含RecoveryOS系統卷宗:包含以下項目:所有啟動Mac必須的檔案所有macOS原生安裝的App(原置於/應用程式資料夾的App現置於/系統/應用程式)資料卷宗:包含可進變更的資料,例如:用户資料夾內的任何資料,包括相片、音樂、影片和文件用户安裝的App,包括AppleScript和Automator應用程式用户、機構或第三方App所安裝的自訂框架和服務程式用户所有並可寫入的位置,例如/應用程式、/資源庫、/用户、/卷宗、/usr/local、/private、/var和/tmp已為每個額外的「系統」卷宗建立「資料」卷宗.
「預開機」、VM和「還原」卷宗皆為共享且無法複製.
附註:依照預設,沒有程序可寫入「系統」卷宗,即使是Apple的系統程序.
在iOS及iPadOS中的「資料保護」「資料保護」概覽除了iOS和iPadOS中,Apple使用名為「資料保護」的技術,來保護裝置上快閃儲存空間中儲存的資料.

「資料保護」可讓裝置回應如來電之類的常見事件,也可以對用户資料啟用較高層次的加密.
「訊息」、「郵件」、「日曆」、「通訊錄」、「相片」和「健康」等主要系統App的資料值都會預設使用「資料保護」,而安裝於iOS7或以上版本和iPadOS13.
1上的第三方App可自動獲得此項保護.
實行「資料保護」是透過建構和管理密鑰階層來完成導入,並建立在每部iOS和iPadOS裝置的硬件加密技術上.
「資料保護」藉由將每個檔案指定給某個類別,進而對檔案逐一進行控制;可存取性則按照該類密鑰是否已解鎖.

隨着「Apple檔案系統」(APFS)的誕生,檔案系統現在可以依據範圍進一步細分密鑰(一個檔案的不同部份可擁有不同密鑰).
架構在iOS及iPadOS中,儲存空間分為兩個APFS卷宗:系統卷宗:系統內容儲存於「系統」卷宗內,用户資料則儲存在「資料」卷宗內.

31資料卷宗:每次在資料卷宗上製作檔案時,「資料保護」都會製作一個新的256位元密鑰(「檔案專屬」密鑰),並將其提供給硬件AES引擎,此引擎會用密鑰將寫入快閃儲存空間的檔案加密.
加密會採用XTS模式的AES128進行,該256位元檔案專屬密鑰會被分拆以提供128位元修改密鑰和128位元密碼密鑰.
建立及保護資料檔案的方式在配備A7、S2或S3SoC的裝置上,會使用AES-CBC.
初始化向量使用檔案的區塊偏移量進行計算,它使用檔案專屬密鑰的SHA-1雜湊進行加密.
依據每個檔案的可存取性情況,檔案(或範圍)專屬密鑰會使用其中一個類別密鑰進行封裝.
就像所有其他使用RFC3394的封裝一樣,這會使用NISTAES密鑰封裝來執行.
封裝的檔案專屬密鑰會儲存在檔案的後設資料中.
在配備「Apple檔案系統」格式的裝置可能支援檔案複製功能(使用寫入時複製技術的零成本複製).
複製檔案後,副本的每一半會各自獲得一個用於接受傳入寫入的新密鑰,以便透過新密鑰將新資料寫入媒體.
隨着時間推移,檔案可能會包含分別對應到不同密鑰的不同範圍(或片段).
但是組成同一個檔案的所有範圍都會受到相同的類別密鑰保護.

當打開檔案時,系統會使用檔案系統密鑰來解密其後設資料,以呈現封裝的檔案專屬密鑰以及表示其保護類別的記號.
檔案專屬(或範圍專屬)密鑰會使用類別密鑰來解除封裝,然後提供給硬件AES引擎,該引擎會在從快閃儲存空間中讀取檔案時,對檔案進行解密.
所有封裝檔案的密鑰處理都會在「安全隔離區」中進行;檔案密鑰永遠不會直接提供給IntelCPU.
在開機時,「安全隔離區」會與AES引擎進行協調以獲取臨時密鑰.
當「安全隔離區」解除封裝檔案密鑰時,它們會透過臨時密鑰來重新封裝,並傳送回應用程式處理器.
資料卷宗檔案系統中所有檔案的後設資料都使用隨機卷宗密鑰進行加密,該密鑰是在首次安裝iOS及iPadOS,或用户清除裝置時製作而成.
此密鑰被密鑰封裝密鑰加密及封裝,只有「安全隔離區」知道該密鑰封裝密鑰,以供長期儲存.
該密鑰封裝密鑰在用户每次清除裝置都會變更.
在A9(或更新)的SoCs,「安全隔離區」依靠反重播的隨機數支援的熵,以在其他資產之間取得可抺除性,以及保護其密鑰封裝密鑰.
與檔案或範圍專屬密鑰相同,資料卷宗的後設資料密鑰永遠不會被直接提供予應用程式處理器,「安全隔離區」會提供每次啟動時產生的臨時版本.
儲存時,系統會使用儲存在可抹除儲存空間中的「無法清除的密鑰」,對加密的檔案系統密鑰進行額外封裝.
此密鑰不會提供額外的資料機密性,而是可以視需求快速清除(由用户使用「清除所有內容和設定」選項來清除,或者由用户或管理員從流動裝置管理(MDM)解決方案、MicrosoftExchangeActiveSync或iCloud發出遙距清除指令來清除).
以此方式清除密鑰將會讓裝置上的所有檔案無法秘密地存取.

系統可能會使用檔案(或範圍)專屬密鑰來加密檔案的內容,該密鑰使用類別密鑰封裝並儲存在檔案的後設資料中,檔案後設資料接着又使用檔案系統密鑰進行加密.
類別密鑰使用硬件UID取得保護,而某些類別則透過用户密碼取得保護.
此階層架構同時提供了彈性與效能.
例如,更改檔案的類別只需要重新封裝其檔案專屬密鑰,更改密碼只需要重新封裝類別密鑰.
「資料保護」類別在iOS或iPadOS裝置上製作新檔案時,製作該檔案的App會替檔案指定一個類別.
每個類別使用不同的規則來決定資料何時可供存取.
基本類別和規則會在下面的章節中說明.
完整保護(NSFileProtectionComplete):類別密鑰會使用從用户密碼和裝置UID所衍生的密鑰加以保護.
用户鎖定裝置後不久(如「需要密碼」設定為「立即」,則為10秒),系統便會捨棄已解密的類別密鑰,如此一來只有在用户再次輸入密碼或使用TouchID或FaceID解鎖裝置時,才可以存取此類別中的所有資料.
未打開檔案的保護(NSFileProtectionCompleteUnlessOpen):裝置鎖定時可能需要寫入某些檔案.
其中一個不錯的例子是在背景下載的電郵.
此行為是藉由使用非對稱橢圓曲線加密技術(Curve25519的ECDH)來達成.
一般的檔案專屬密鑰則是使用One-PassDiffieHellmanKeyAgreement(如NISTSP800-56A中所述)所衍生的密鑰加以保護.
32該協議的臨時公用密鑰與封裝的檔案專屬密鑰一起儲存.
KDF是鏈結密鑰衍生函數(ApprovedAlternative1),如NISTSP800-56A的5.
8.
1節中所述.
AlgorithmID已忽略.
PartyUInfo和PartyVInfo則分別為臨時和靜態公用密鑰.
SHA-256則用於雜湊函數.
檔案一旦關閉,檔案專屬密鑰便會從記憶體中清除.
如要再次打開檔案,系統會使用「未打開檔案的保護」類別的專用密鑰和檔案的臨時公用密鑰來重新製作共享密鑰;該密鑰會用於解除封裝檔案專屬密鑰,然後再用來解密檔案.
首次用户認證前的保護(NSFileProtectionCompleteUntilFirstUserAuthentication):此類別與「完整保護」類別的行為方式相同,只是在鎖定裝置時,已解密的類別密鑰不會從記憶體中移除.
此類別中的保護和桌上型電腦完整卷宗的加密有類似的屬性,可防止資料因重新啟動而遭到攻擊.
對於未指定至「資料保護」類別的所有第三方App資料,這是預設類別.
無保護(NSFileProtectionNone):此類別密鑰僅受到UID的保護,並且儲存在可抹除儲存空間中.
因為解密該類別中檔案所需的所有密鑰都儲存在裝置上,因此這種加密方式只有在快速遙距清除時才具有效益.
即使未對檔案指定「資料保護」類別,此檔案仍會以加密形式儲存(就像iOS及iPadOS裝置上的所有資料一樣).
「資料保護」類別密鑰類別保護類型類別A:完整保護(NSFileProtectionComplete)類別B:未打開檔案的保護(NSFileProtectionCompleteUnlessOpen)類別C:首次用户認證前的保護(NSFileProtectionCompleteUntilFirstUserAuthentication)類別D:無保護(NSFileProtectionNone)存取還原模式中的受保護密鑰在配備AppleA10、A11和S3SoC的裝置上,無法從「還原模式」存取受用户密碼保護的類別密鑰.
A12和S4SoC將此保護擴展到「裝置韌體升級」(DFU)模式.
「安全隔離區AES」引擎配備可鎖定的軟件種子位元.
從UID建立密鑰時,這些種子位元會包含在密鑰衍生函數中以建立其他密鑰階層.
自AppleA10和S3SoC起,種子位元專門用於區分受用户密碼保護的密鑰.
種子位元是為了需要用户密碼的密鑰而設(包含資料保護「類別A」、「類別B」和「類別C」密鑰),而無需用户密碼的密鑰(包含檔案系統後設資料密鑰和「類別D」密鑰)則會清除種子位元.
在A12SoC上,如果應用程式處理器已進入DFU模式或「還原」模式,「安全隔離區BootROM」會鎖定密碼種子位元.
當密碼種子位元鎖定時,系統不會允許任何更改作業,以防存取受用户密碼保護的資料.

在AppleA10、A11、S3和S4SoC上,如果裝置已進入「還原」模式,則密碼種子位元會由「安全隔離區OS」鎖定.
「安全隔離區BootROM」和「安全隔離區OS」都會檢查「開機進度暫存器」(BPR)以安全地判定目前的模式.
此外,在配備A10或以上版本裝置上的iOS13及iPadOS13.
1或以上版本中,當裝置以「還原」模式開機時,會導致無法透過加密編譯技術取得裝置上的所有用户資料.
這透過導入額外的種子位元來達成,額外的種子位元的設定管理媒體密鑰的存取權限,而其媒體密鑰需存取在以「資料保護」加密的資料卷宗中所有檔案的後設資料(因此包括其內容).
此保護涵蓋所有類別(A、B、C、D)所保護的檔案,不止需要用户密碼的檔案.

在裝置進入DFU模式後進行還原,可讓裝置回到已知的正常狀態,該狀態可確保只會有未經修改且由Apple簽署的程式碼.
可透過手動方式進入DFU模式.
33請參閱以下關於如何將裝置於DFU模式的Apple支援文章:裝置文章iPhone、iPad、iPodtouch如你忘記iPhone、iPad或iPodtouch的密碼,或你的裝置已停用AppleTV還原你的AppleTV「鑰匙圈」資料保護及資料類別「鑰匙圈」資料保護概覽許多App需要處理密碼和其他簡短但較為敏感的資料位元,如密鑰和登入代號.
iOS及iPadOS「鑰匙圈」提供了儲存這些項目的安全方式.
「鑰匙圈」項目會使用兩種不同的AES-256-GCM密鑰進行加密:表格密鑰(後設資料)和列專屬密鑰(秘密密鑰).
鑰匙圈後設資料(kSecValue以外的所有屬性)會以後設資料密鑰加密來加速搜尋,而密碼值(kSecValueData)會以秘密密鑰加密.
後設資料密鑰受「安全隔離區」保護,但會從應用程式處理器中加入快取,以允許快速查詢鑰匙圈.
秘密密鑰一律需要在「安全隔離區」中來回傳遞.
鑰匙圈是以儲存在檔案系統中的SQLite資料庫的方式導入.
只有一個資料庫,且securityd服務程式會決定哪些鑰匙圈項目可供各個處理程序或App存取.
鑰匙圈存取API會產生對服務程式的呼叫,進而查詢App的「Keychain-access-groups」、「application-identifier」和「application-group」權限.
各個存取群組皆允許鑰匙圈項目在App間共享,而不會將存取權限限制於單一處理程序.
鑰匙圈項目只能在來自同一開發者的App間共享.
管理方式是要求第三方App使用存取群組,並使用透過AppleDeveloperProgram(Apple開發者計劃)或透過應用程式群組來為其分配前置碼.
對前置碼的要求和應用程式群組唯一性,是透過程式碼簽署、配置描述檔和AppleDeveloperProgram(Apple開發者計劃)強制執行.
系統用來保護「鑰匙圈」資料的類別結構,與檔案「資料保護」中使用的類別結構相似.
這些類別具有與檔案「資料保護」類別相同的行為,但使用的密鑰不同,所屬API的名稱也不同.
可用性檔案資料保護鑰匙圈資料保護未鎖定時NSFileProtectionCompletekSecAttrAccessibleWhenUnlocked鎖定時NSFileProtectionCompleteUnlessOpenN/A首次解鎖後NSFileProtectionCompleteUntilFirstUserAuthenticationkSecAttrAccessibleAfterFirstUnlock總是NSFileProtectionNonekSecAttrAccessibleAlways已啟用密碼時N/AkSecAttrAccessibleWhenPasscodeSetThisDeviceOnly利用背景重新整理服務的App可將kSecAttrAccessibleAfterFirstUnlock用於背景更新期間需要存取的鑰匙圈項目.
類別kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly的行為與kSecAttrAccessibleWhenUnlocked相同;不過只有在裝置已設定密碼時才能使用.
此類別只存在於系統Keybag中;它們:不會同步到iCloud鑰匙圈不會進行備份不會納入託管Keybag中34如密碼遭移除或重設,系統便會捨棄類別密鑰,這些項目也變得無法使用.

其他鑰匙圈類別都有對應的「僅限本裝置」項目,其在備份期間從裝置複製時一律受到UID保護,因此如還原到其他裝置,將會無法使用.
Apple依據所保護資料的類型和iOS及iPadOS需要這些資料的時間來選擇「鑰匙圈」類別,妥善地在安全性與可用性之間取得平衡.
例如,VPN證書必須隨時可供使用,這樣裝置才能保持連續的連線,但VPN證書被分類為「不可遷移」類別,因此無法將其移至另一部裝置.
「鑰匙圈」資料類別保護對於iOS及iPadOS所製作的「鑰匙圈」項目,將會執行下列類別保護:項目可存取Wi-Fi密碼首次解鎖後郵件帳户首次解鎖後MicrosoftExchangeActiveSync帳户首次解鎖後VPN密碼首次解鎖後LDAP、CalDAV、CardDAV首次解鎖後社交網絡帳户代號首次解鎖後「接手」廣播加密密鑰首次解鎖後iCloud代號首次解鎖後家人共享密碼已解鎖時Safari密碼已解鎖時Safari書籤已解鎖時iTunes備份解鎖時,不可遷移VPN證書總是,不可遷移Bluetooth密鑰總是,不可遷移Apple推播通知服務(APNs)代號總是,不可遷移iCloud證書和專用密鑰總是,不可遷移iMessage密鑰總是,不可遷移由設定描述檔所安裝的證書和專用密鑰總是,不可遷移SIMPIN總是,不可遷移「尋找」代號總是留言信箱總是「鑰匙圈」取用權限控制「鑰匙圈」可使用連線權限控制列表(ACL)來設定可存取性和認證需求的規則.
項目可以設定在哪些條件下必須由用户進行認證,方法是指定使用TouchID、FaceID或輸入裝置密碼進行認證,否則無法存取.
如要進一步限制項目存取權限,可指明TouchID或FaceID的登記內容在該項目加入後是否未經過更改.
此限制有助於防止攻擊者加入自己的指紋來存取鑰匙圈項目.
ACL會在「安全隔離區」中進行評估,而且只有符合其指定的限制條件時,才匯出到核心中.
35macOS中的加密當「檔案保險箱」已開啟時的內部卷宗加密在MacOSX10.
3或以上版本,Mac電腦會提供「檔案保險箱」,這是內部的加密功能來保護所有靜態資料.
「檔案保險箱」使用AES-XTS資料加演算法來保護在內置及可移除儲存空間裝置中的完整卷宗.
在配備AppleT2保安晶片的Mac電腦上,直接連接T2晶片的已加密內置儲存空間裝置會運用晶片的硬件安全性功能.
用户在Mac上開啟「檔案保險箱」功能後,在開機過程中系統會要求用户憑證.
沒有有效的登入憑證或加密編譯還原密鑰,內部APFS卷宗(在macOS10.
15,這包括「系統」及「資料」卷宗)仍會維持加密,且保護卷宗免受未經授權的存取,即使實體儲存空間裝置被移除並連接到其他電腦.
在配備T2晶片的Mac上的內部卷宗加密是透過建構和管理密鑰階層來完成導入,並建立在晶片的硬件加密技術上.
此管理密鑰階層的設計用意是同時達到四個目標:要求用户密碼進行解密保護系統免受針對從Mac上移除的儲存空間媒體的暴力密碼破解攻擊提供快捷及安全的方法以透過刪除必要的加密編譯材料來清除內容讓用户更改其密碼(加密編譯密鑰則用於保護其檔案),無需將整個卷宗重新加密當「檔案保險箱」已在macOS中開啟時的內部卷宗加密.
在配備T2晶片的Mac電腦上,所有「檔案保險箱」密鑰的處理作業會在「安全隔離區」中進行;系統永不會向IntelCPU直接提供加密密鑰.
所有APFS卷宗預設以卷宗密鑰製作.
卷宗及後設資料內容會以此卷宗密鑰加密,此卷宗密鑰使用類別密鑰封裝.
當「檔案保險箱」已開啟時,類別密鑰受用户密碼和硬件UID的組合保護.
這是在配備T2晶片的Mac電腦上預設的保護措施.
附註:可移除儲存空間裝置的加密不會使用AppleT2保安晶片的安全性功能,其加密方式與沒有配備T2晶片的Mac電腦的方式相同.
36當「檔案保險箱」已關閉時的內部卷宗加密如在配備AppleT2保安晶片的Mac上,「檔案保險箱」在初始「設定輔助程式」步驟中未有開啟,卷宗仍會維持加密,但卷宗密鑰只會由「安全隔離區」中的硬件UID保護.
當「檔案保險箱」已在macOS中關閉時的內部卷宗加密.
如稍後「檔案保險箱」被開啟(在檔案被加密後的即時步驟)反重播機制會防止舊密鑰(只以硬件UID為基礎)被用於解密卷宗.
卷宗之後會受用户密碼和之前提及的硬件UID的組合保護.
刪除「檔案保險箱」卷宗在刪除卷宗時,其卷宗密鑰會被「安全隔離區」安全刪除.
這可避免將來使用此密鑰進行存取(即使透過「安全隔離區」).
此外,所有卷宗密鑰都會以媒體密鑰封裝.
媒體密鑰不會提供額外的資料機密性,不過其設計目標是快捷及安全地刪除資料,因為如沒有此密鑰將不可能解密.
媒體密鑰位於「可抹除儲存空間」且其設計目標為可於有需要時被快速清除,例如,使用「尋找」,或在已於流動裝置管理(MDM)解決方案註冊後使用遙距清除.
「可抹除儲存空間」利用底層儲存技術(如NAND)直接在極低的層次上進行定址和清除小量區塊.
以此方式清除媒體密鑰將會透過加密編譯的方式讓裝置上的卷宗無法被存取.

阻止暴力密碼破解攻擊及惡意軟件如要阻止暴力密碼破解攻擊,在Mac開機時,在「登入視窗」或使用「目標磁碟模式」時只允許不多於30次的密碼嘗試,且在錯誤嘗試後會強制延長延後時間.
T2晶片中的「安全隔離區」副處理器會強制執行延遲.
如Mac在定時延遲期間重新啟動,延遲仍會強制執行,但計時器會從目前期間重新開始.
如要避免惡意軟件透過嘗試攻擊用户密碼所造成的永久資料損失,在用户成功登入Mac後,這些限制不會強制執行,但在重新開機後會再次執行.
如用盡30次嘗試,在使用「macOS還原」後可再獲10次嘗試機會.
但如那些機會亦已用盡,每個「檔案保險箱」還原機制(iCloud還原、「檔案保險箱」還原密鑰和機構密鑰)可提供60次額外嘗試機會,最多可提供180次額外機會.
一旦用盡那些機會,「安全隔離區」將不會執行任何解密卷宗或驗證密碼的要求,且裝置上的資料將不可還原.
如要在企業設定中保護資料,IT人員應使用流動裝置管理(MDM)定義及強制執行「檔案保險箱」設定原則.
機構有多個選項來管理加密的卷宗,包括機構還原密鑰、個人還原密鑰(其可選擇與MDM儲存以進行託管),或將它們組合.
密鑰轉換亦可設定為MDM中的原則.
密碼嘗試次數間的延遲嘗試強制延遲1-14無15-171分鐘37嘗試強制延遲18-205分鐘21-2615分鐘27-301小時管理「檔案保險箱」使用SecureToken在macOS10.
13或以上版本中的Apple檔案系統(APFS)會變更「檔案保險箱」加密密鑰的產生方式.
在CoreStorage卷宗上先前版本的macOS中,用於「檔案保險箱」加密步驟的密鑰會在用户或機構在Mac上開啟「檔案保險箱」時建立.
在APFS卷宗上的macOS中,密鑰會在建立用户,或在Mac用户首次登入時產生.
當加密密鑰產生時,其實作及儲存方式都是SecureToken的一部份.
特別的是,SecureToken是「密鑰加密密鑰」(KEK)的封裝版本,其受用户密碼保護.
部署APFS上的「檔案保險箱」時,用户可繼續:使用現有的工具和程序,例如託管予流動裝置管理(MDM)解決方案的「個人還原密鑰」(PRK)製作及使用「機構還原密鑰」(IRK)延遲「檔案保險箱」的啟用,直至用户登入或登出Mac使用Bootstrap代碼macOS10.
15帶來全新功能:Bootstrap代碼,用來協助將SecureToken授予流動帳户和裝置註冊時製作的可擇性管理員帳户(「受管理的管理員」).
可在使用AppleSchoolManager或AppleBusinessManager時的註冊過程中,以設定MDM管理方式來建立受管理的管理員.
使用macOS10.
15的新Bootstrap代碼功能的需求:使用AppleSchoolManager或AppleBusinessManager在MDM註冊MacMDM廠商支援附註:如本機用户帳户的製作被完全跳過,Bootstrap代碼就無法於設定時由macOS自動產生.
在macOS10.
15.
4或以上版本,如MDM解決方案支援Bootstrap代碼功能,在任何已啟用SecureToken的用户首次登入時會產生Bootstrap代碼供MDM解決方案託管.
如有需要,亦可使用profiles指令列工具產生Bootstrap代碼並供MDM解決方案託管.
當用户自行設定Mac當用户自行設定Mac時,IT部門不會配置實際裝置.
所有原則和設定都使用流動裝置管理(MDM)解決方案或設定管理工具來提供.
「設定輔助程式」用於製作初始本機管理員帳户,且該用户會被授予SecureToken.
如MDM解決方案支援Bootstrap代碼功能,並在MDM註冊過程中告知Mac,Mac會產生Bootstrap代碼且該代碼會由MDM解決方案託管.
如Mac已註冊到MDM解決方案中,根據可用的MDM功能,初始帳户可以是管理員帳户或本機帳户.
如用户降級至使用MDM的標準用户,用户會自動獲授SecureToken.
如用户已降級,從macOS10.
15.
4起便不會獲授Bootstrap代碼.
附註:如使用MDM全部跳過在「設定輔助程式」中的本機用户帳户建立,並以流動帳户取代,該目錄用户在登入時不會獲授SecureToken,亦不會獲授Bootstrap代碼.
如在Mac上沒有SecureToken用户,流動帳户仍可使用延遲啟用來啟用「檔案保險箱」,且在該次開啟「檔案保險箱」時用户會被授予SecureToken.
在macOS10.
15.
4或以上版本,用户在啟用SecureToken後,登入時會自動產生Bootstrap代碼並供MDM解決方案託管(如支援該功能).
38在上述任何情況中,因為首個及主要用户獲授SecureToken,其可使用延遲啟用來啟用「檔案保險箱」.
延遲啟用允許機構開啟「檔案保險箱」,但會將啟用延遲至有用户登入或登出該Mac.
如用户可跳過開啟「檔案保險箱」(可選擇的已定義次數),這亦可以自訂.
最終結果是Mac的主要用户(任何類型的本機用户或流動帳户)在以「檔案保險箱」加密時可以解鎖儲存空間裝置.
在已產生Bootstrap代碼且代碼由MDM解決方案託管的Mac電腦上,如受管理的管理員帳户在未來日期或時間登入,該Bootstrap代碼會用於自動授予SecureToken,這代表用户亦會啟用「檔案保險箱」,且可以解鎖「檔案保險箱」卷宗.
如要修改受管理的管理員帳户是否可以解鎖該卷宗,該用户可使用:fdesetupremove-user.
當Mac由機構配置將Mac提供給用户前由機構配置時,IT部門會設定該裝置.
在macOS設定輔助程式中建立的本機管理員帳户會用於配置或設定Mac,該帳户會獲授SecureToken.
在macOS10.
15中,如MDM解決方案支援Bootstrap代碼功能,在macOS設定過程中亦會產生Bootstrap代碼且該代碼會由MDM解決方案託管.
如受管理的管理員帳户在未來的日期或時間登入Mac,Bootstrap會被用來向受管理的管理員帳户自動授予SecureToken.
如Mac加入目錄服務並被設定來建立流動帳户,而且Mac上沒有Bootstrap代碼,目錄服務用户在首次登入時會獲提示現有SecureToken管理員的用户名稱和密碼,以向他們的帳户授予SecureToken.
需輸入用於設定Mac的本機管理員憑證.
如系統未有要求SecureToken,用户可按一下「略過」.
在macOS10.
13.
5或以上版本,如「檔案保險箱」不會配合流動帳户使用,有可能完全停止SecureToken對話.
如要停止SecureToken對話,請使用以下的鍵和值套用從MDM自訂設定的設定描述檔:設定值網域com.
apple.
MCX鍵cachedaccounts.
askForSecureTokenAuthBypass值True如MDM解決方案支援Bootstrap代碼功能,且Mac產生多於一個Bootstrap代碼,及代碼由MDM解決方案託管,「流動帳户」用户不會看見此提示.
反之他們會自動在登入時獲授SecureToken.
如在Mac上需要額外的本機用户而不是來自目錄服務的用户帳户,該等本機用户會在現有已啟用SecureToken的管理員於「系統偏好設定」>「用户與群組」製作額外用户時自動獲授SecureToken.
如需使用指令行製作本機用户,sysadminctl指令行工具可用於製作用户並為他們啟用SecureToken.
在這些情況下,以下用户可以解鎖已被「檔案保險箱」加密的卷宗:原有用於配置的本機用户任何在登入過程中使用對話提示互動,或使用Bootstrap代碼獲授SecureToken的額外目錄服務用户任何於「系統偏好設定」製作的新本機用户如要修改特定用户是否可以解鎖儲存空間裝置,用户可以使用fdesetupremove-user.
當使用上述其中一個工作流程時,SecureToken會由macOS管理,無需額外設定或編碼,其會成為實作詳細資料,而非需積極管理或堆疊的項目.
使用命令列工具命令列工具適用於管理Bootstrap代碼、「檔案保險箱」和SecureToken.
在macOS設定過程中,在流動裝置管理(MDM)解決方案告知Mac其支援該功能後,Bootstrap代碼通常會在Mac上產生,並由MDM解決方案託管.
但是,Bootstrap代碼亦可在已部署的Mac上產生.
例如,如果MDM解決方案在macOS10.
15初始部署後加入此功能的支援.
在macOS10.
15.
4或以上版本,如MDM解決方案支援Bootstrap代碼功能,在任何已啟用SecureToken的用户首次登入時會產生Bootstrap代碼並供MDM解決方案託管.
這樣會減少在裝置設定後使用profiles指令列工具來產生Bootstrap代碼並將其交由MDM解決方案託管的需要.
39profiles指令列工具有多個選項來與Bootstrap代碼互動sudoprofilesinstall-typebootstraptoken:此指令會產生新的Bootstrap代碼並將其交由MDM解決方案託管.
此指令要求現有的SecureToken管理員資料來於一開始產生Bootstrap代碼,該MDM代碼必須支援該功能,且Mac電腦的序號必須在AppleSchoolManager或AppleBusinessManager中出現,並在指定MDM解決方案中已註冊.
sudoprofilesremove-typebootstraptoken:在Mac和MDM解決方案移除現有的Bootstrap代碼.
sudoprofilesstatus-typebootstraptoken:回報MDM解決方案是否支援Bootstrap代碼功能,以及目前Mac上Bootstrap的狀態.
fdesetup命令列工具MDM設定或fdesetup命令列工具可用於設定「檔案保險箱」.
在macOS10.
15或以上版本,使用fdesetupto來透過提供用户名稱和密碼開啟「檔案保險箱」的方式已被淘汰,且在將來的作業系統均不會獲承認.
考慮以使用MDM的延遲啟用取代.
如要進一步了解fdesetup命令列工具,請執行「終端機」App,並輸入manfdesetup或fdesetuphelp以取得更多資料.
sysadminctl命令列工具sysadminctl命令列工具可讓Mac上的用户帳户用來指定以修改SecureToken的狀態.
這必須小心進行並只在必要時使用.
使用sysadminctl更改用户的SecureToken狀態總是需要由已啟用SecureToken的現有管理員的用户名稱和密碼(以互動方式或透過指令上合適的旗標).
sysadminctl和「系統偏好設定」可避免刪除在Mac上最後的管理員或已啟用SecureToken的用户.
如果製作額外本機用户使用sysadminctl來編碼,需要目前已啟用SecureToken管理員的憑證,以由使用互動選項,或直接透過-adminUser和帶有sysadminctl的-adminPassword旗標來提供已被SecureToken啟用的用户.
使用sysadminctl-h以獲得更多使用指示.
密碼密碼藉由設定裝置密碼,用户可以自動啟用「資料保護」.
iOS及iPadOS支援六位數、四位數和任意長度的英數字元密碼.
除了用於解鎖裝置外,密碼還為特定加密密鑰提供熵.
這表示攻擊者即使拿到裝置,在沒有密碼的情況下也無法存取特定保護類別中的資料.
密碼與裝置的UID之間有關聯性,所以只能在受攻擊的裝置上使用暴力破解法.
因此,iOS系統使用較大的反覆運算來延緩每次的嘗試.
反覆運算計數已經過測定,每次嘗試會耗時約80毫秒.
這意味着需要5年半以上的時間才能試完6位英數字元密碼(包含小寫字母和數字)的所有組合.
用户密碼的強度越高,加密密鑰就越堅固.
TouchID和FaceID可用來提升這樣的因果關係,因為它可以讓用户製作一個比實用密碼安全性更高的密碼.
這增加了對用於「資料保護」的加密密鑰進行保護的密碼強度,而且不會對一日中多次解鎖iOS或iPadOS裝置的用户體驗產生負面影響.
為了進一步阻止暴力密碼的破解攻擊,系統會延長在鎖定畫面上輸入無效密碼後的延遲時間.
如「設定」>「TouchID與密碼」>「清除資料」已開啟,裝置將會在嘗試輸入密碼錯誤10次後自動清除.
連續嘗試同一個錯誤密碼不會計入限制.
此設定還可透過支援此功能的流動裝置管理(MDM)解決方案和MicrosoftExchangeActiveSync作為管理規則,並可設定為較低的臨界值.
在配備「安全隔離區」的裝置上,「安全隔離區」副處理器會執行延遲.
如裝置在定時延遲期間重新啟動,延遲仍會執行,但計時器會從目前期間重新開始.
40將較長的密碼簡化如輸入較長的純數字密碼,鎖定畫面上會顯示數字鍵盤而非完整鍵盤.
與較短的英數字密碼相比,較長的數字密碼更便於輸入,而且可提供類似的安全性.
用户可在「設定」>「密碼」中的「密碼選項」中選取「自訂英數混合密碼」,來指定較長的英數字元密碼.

密碼嘗試次數間的延遲嘗試強制延遲1-4無51分鐘65分鐘7-815分鐘91小時安全地啟用數據連線為提升安全性並兼顧可用性,如用户最近未建立數據連線,則需要TouchID、FaceID或輸入密碼才能透過Lightning、USB或智慧型接點介面來啟用數據連線.
這可限制實體連接裝置(例如惡意充電器)的攻擊面,但仍可在合理的時間限制內使用其他配件.
如iOS或iPadOS裝置鎖定或終止配件的數據連線超過一小時,裝置便不會允許建立任何新數據連線,直到裝置解鎖.
在這一小時間,能允許的數據連線只有先前在裝置解鎖狀態下連接過的配件.
這些配件會在其上一次連接後被記住30日.
如此期間有未知配件嘗試開啟數據連線,將會停用所有透過Lightning、USB和智慧型接點的配件數據連線,直到裝置再次解鎖.
這一小時期間:可確保經常連接Mac或PC、配件或有線CarPlay的用户無需在每次連接裝置時輸入密碼.
這是必要的,因為配件生態系統並不會在建立數據連線前提供加密方面可靠的方式來識別配件.

此外,如果建立配件的數據連線超過三日,裝置會在鎖定後立即拒絕新的數據連線.
此用意為替不常使用此類配件的用户增加防護.
當裝置處於需要密碼以重新啟用生物識別認證的狀態時,透過Lightning、USB和智慧型接點的數據連線也會被停用.
用户可以在「設定」選擇重新啟用總是開啟的數據連線(設定部份輔助裝置自動執行此操作).

密碼的功能在配備AppleT2晶片的Mac電腦中,密碼與上述密碼的功能相似,除了所產生的密鑰是用於「檔案保險箱」,而非資料保護,macOS亦提供其他的密碼還原選項:iCloud還原「檔案保險箱」還原「檔案保險箱」機構密鑰41認證及電子簽名電子簽名及加密取用權限控制列表「鑰匙圈」資料由「取用權限控制列表」(ACL)分割及保護.
所以由第三方App儲存的憑證無法被其他身份的App取用,除非得到其用户明確允許.
在機構的各種App及服務中,此保護措施提供Apple裝置保護認證憑證的機制.
郵件在「郵件」App中,用户可以傳送經電子簽名及加密的訊息.
「郵件」會在附加在相容的智慧卡中PIV代碼上的電子簽名及加密證書上自動搜尋合適的RFC5322區分大小寫電郵地址標題或標題代用名稱.
如已設定的電郵帳户與附加在PIV代碼上的電子簽名,或加密證書上的電郵地址相符,「郵件」會在新增郵件視窗的工具列中自動顯示簽名按鈕.

如「郵件」有收件人的電郵加密證書,或可在MicrosoftExchange全域通訊清單(GAL)中找到其加密證書,解鎖圖像就會在新增郵件工具列上顯示.
鎖定圖像代表郵件會以收件人的公眾密鑰加密傳送.

每個訊息S/MIMEiOS、iPadOS及macOS支援每個訊息S/MIME.
這代表S/MIME用户可選擇預設總是簽署及加密每個訊息,或簽署及加密個別訊息.
配合S/MIME使用的身份可使用設定描述檔、流動裝置管理(MDM)解決方案、簡易證書註冊協定(SCEP)或MicrosoftActiveDirectory證書授權單位傳送到Apple裝置.
智慧卡macOS10.
12或以上版本包括對個人身份識別(PIV)卡的原生支援.
這些卡廣泛用於商業及政府部門來進行TFA、電子簽名及加密.
智慧卡包含一或多個數碼識別身份,其中包含一組公用及專用密鑰及相關證書.
使用個人身份識別碼(PIN)解鎖智慧卡會提供用於驗證、加密及簽署操作的專用密鑰的取用權限.
該證書會決定密鑰適用的項目、與密鑰相關的屬性,以及是否由CA驗證(簽署).
智慧卡可用於雙重認證.
解鎖卡的兩個元素為「用户所有」(該卡)及「用户所知」(PIN).
macOS10.
12或以上版本亦對智慧卡登入視窗驗證,及在Safari上對網站的用户端證書驗證提供原生支援.
其亦支援使用密鑰組(PKINIT)的Kerberos驗證來進行單一登入至支援Kerberos的服務.
如要進一止步了解智慧卡和macOS,請參閱Mac的部署參考中的智慧卡整合簡介.
加密的磁碟影像在macOS中,加密的磁碟影像用作安全容器,用户可在其中儲存或傳送敏感文件及其他檔案.
加密的磁碟影像使用位於「/應用程式/工具程式」中的「磁碟工具程式」製作.
磁碟影像可使用128位元或256位元AES加密來加密.
因為已裝載的磁碟影像被視為連接Mac的本機卷宗,用户可以複製、移動及開啟在其中儲存的檔案及資料夾.
如同「檔案保險箱」,磁碟影像會被實時加密及解密.
使用加密的磁碟影像,用户可透過將加密的磁碟影像儲存至可卸除式媒體來安全地交換文件、檔案及資料夾;將其以電郵訊息傳送;或將其儲存在遙距伺服器.
如需加密的磁碟影像的更多資料,請參閱:磁碟工具程式使用手冊.
在macOS中的「鑰匙圈架構」macOS提供一個資料庫,名為「鑰匙圈」,其可方便及安全地儲存用户名稱和密碼,包括數碼識別身份、加密密鑰及安全備註.
其可透過於「/應用程式/工具程式」開啟「鑰匙圈存取」App來取用.
使用鑰匙圈讓用户不需要輸入(甚至記住)每項資源的憑證.
系統已為每位用户建立初始的預設鑰匙圈,但用户可為特定用途建立其他鑰匙圈.

42除用户鑰匙圈外,macOS依靠多項系統級鑰匙圈以維持驗證不限於指定用户的資產,例如網絡憑證及公用密鑰基礎架構(PKI)識別.
其中一項鑰匙圈,「系統根」,為不可更改及儲存互聯網PKI根證書頒發機構(CA)的證書以執行一般程序如網上銀行及電子商務.
用户可以同樣部署內部配置的CA證書來管理Mac電腦以協助驗證內部網站及服務.
Keybag在iOS及iPadOS中的Keybag概覽檔案和「鑰匙圈」資料保護類別的密鑰會收集在Keybag中加以管理.
iOS及iPadOS使用下列Keybag:用户、裝置、備份、託管和「iCloud備份」.
用户Keybag用户Keybag是裝置一般操作中使用的封裝類別密鑰的儲存位置.
例如,輸入密碼後,會從用户Keybag中載入NSFileProtectionComplete並解除封裝.
這是儲存在「無保護」類別的二進位屬性列表(.
plist)檔案.

在配備A9之前版本SoC的裝置上,.
plist檔案內容會以保留在「可抹除儲存空間」的密鑰加密.
為了對Keybag提供更高的安全性,用户每次更改密碼時,系統都會清除並重新產生此密鑰.

在配備A9或以上版本的裝置上,.
plist檔案會包含密鑰,其密鑰代表Keybag儲存於由「安全隔離區」控制的反重播隨機數保護的鎖定空間.
「安全隔離區」會管理用户Keybag,並可用於查詢裝置的鎖定狀態.
只有當用户Keybag中的所有類別密鑰都可存取且已成功解除封裝,它才會報告裝置已解鎖.
裝置Keybag裝置Keybag是用來儲存操作相關裝置特定資料的封裝類別密鑰.
設定為共用的iOS及iPadOS裝置有時候需要存取憑證,才能讓用户登入,因此需要未受用户密碼保護的Keybag.
iOS及iPadOS不支援用户專屬檔案系統內容的加密編譯區分,即系統將使用來自裝置Keybag的類別密鑰來封裝檔案專屬密鑰.
不過,「鑰匙圈」會使用來自用户Keybag的類別密鑰來保護用户「鑰匙圈」中的項目.
在針對單一用户(預設設定)設定的iOS及iPadOS裝置上,裝置Keybag和用户Keybag是同一個,且受用户的密碼保護.
備份Keybag備份Keybag是在iTunes(在macOS10.
14或更早版本)或在Finder(在macOS10.
15或以上版本)進行加密備份時製作,其儲存在裝置進行備份的電腦中.
新Keybag是使用一組新的密鑰製作而成,備份的資料會以這些新密鑰來重新加密.
如前面所述,不可遷移的鑰匙圈項目仍會使用UID衍生的密鑰加以封裝,以使其可以還原至最初備份它們的裝置,但在其他裝置上則無法存取.
系統會使用在iTunes(在macOS10.
14或更早版本)或在Finder(在macOS10.
15或以上版本)中設定的密碼保護Keybag,其執行了一千萬次PBKDF2的反覆運算.
雖然反覆運算的次數很多,但Keybag並未與特定裝置綁定,因此理論上可嘗試在多部電腦上對備份Keybag進行暴力密碼破解攻擊.
而安全性夠高的密碼可以降低此威脅.
如用户選擇不加密備份,那麼無論檔案屬於哪一種「資料保護」類別都不會加密,但「鑰匙圈」仍會使用UID衍生的密鑰獲得保護.
這就是只有在設定備份密碼時,才能將「鑰匙圈」項目遷移到新裝置的原因.

43託管Keybag託管Keybag會用於iTunes同步和流動裝置管理(MDM).
此Keybag允許iTunes執行備份和同步,用户無須輸入密碼,它還允許MDM解決方案遙距清除用户密碼.
它儲存在用來與iTunes進行同步的電腦,或者遙距管理裝置的MDM解決方案上.
託管Keybag改善了裝置同步期間的用户體驗,在該期間可能需要存取所有類別的資料.
當使用密碼鎖定的裝置首次連接到iTunes時,會提示用户輸入密碼.
然後,裝置會製作託管Keybag,其中包含的類別密鑰與裝置上使用的完全相同,該Keybag由新產生的密鑰保護.
系統會將託管Keybag與用於保護它的密鑰分割到裝置和主機或伺服器上,其資料則以「首次用户認證前的保護」類別儲存在裝置上.
這就是重新啟動後首次使用iTunes進行備份之前,必須輸入裝置密碼的原因.
如果是進行無線(OTA)軟件更新,在一開始進行更新時,系統會提示用户輸入密碼.
這會用來安全地建立「一次性解鎖代號」,其會在更新後解鎖用户Keybag.
如未輸入用户的密碼,便無法產生此代號,且如用户密碼有所更改,任何先前產生的代號都會失效.
不同的「一次性解鎖代號」分別適用於手動和自動軟件更新安裝.
它們會使用「安全隔離區」中單純計數器目前值所衍生的密鑰、Keybag的UUID和「安全隔離區」的UID來進行加密.
在A9(或更早版本)SoC上,在「安全隔離區」中增加「一次性解鎖代號」計數器的數字會使任何現有的代號失效.
在使用代號時、重新啟動裝置的第一次解鎖後、(由用户或系統)取消軟件更新時或代號的規則計時器到期時,計數器都會遞增.
在A9(或以上)SoC上,一次性解鎖代號不再依靠計數器或「可抹除儲存空間」.
反之,它是由「安全隔離區」控制的反重播隨機數保護.
手動軟件更新的「一次性解鎖代號」會在20分鐘後到期.
在iOS13以下版本,此代號可從「安全隔離區」輸出,並寫入「可抹除儲存空間」中.
如裝置在20分鐘內未重新開機,規則計時器將計數器遞增.
在iOS13及iPadOS13.
1,代碼會儲存在由「安全隔離區」保護的鎖定空間.
系統會在以下情況偵測到有可用更新時執行自動軟件更新:已在iOS12(或以上版本)中設定自動更新或者用户在收到更新通知時選擇「稍後安裝」用户輸入密碼後,系統會產生「一次性解鎖代號」,在「安全隔離區」中效力長達8小時.
如果尚未執行更新,每次鎖定裝置時系統便會銷毀此「一次性解鎖代號」,並在每一次的後續解鎖時重新建立.
每次解鎖都會重計8小時.
8小時過後規則計時器會使「一次性解鎖代號」失效.
iCloud備份Keybag「iCloud備份」Keybag與備份Keybag類似.
此Keybag中的所有類別密鑰皆為非對稱式(與「未打開檔案的保護」資料保護類別一樣,使用Curve25519).
非對稱式Keybag也可用於「iCloud鑰匙圈」其相關鑰匙圈還原作業的備份中.
44App安全性App安全性概覽App是現代安全性架構最關鍵的元素之一.
雖然App可顯着提高用户的生產力,但如處理不當,也可能對系統安全性、穩定性和用户資料產生負面影響.
因此,Apple提供多層保護,確保App中沒有已知的惡意軟件,且未被竄改.
額外保護措施能加強與App取用用户資料的一致性.
這些安全性控制項目為App提供了穩定且安全的平台,讓成千上萬的開發者能夠為iOS、iPadOS及macOS提供數十萬款的App,而不會影響系統的完整性.
用户可以在其Apple裝置上存取這些App,無須過度擔心病毒、惡意軟件或未經授權的攻擊.
在iPhone、iPad和iPodtouch上,所有App需經由AppStore取得,且所有App都經過Sandbox技術限制,以提供最嚴格的控制項目.
在Mac上,許多App需經由AppStore取得,但Mac用户也可從互聯網下載和使用App.
為了安全支援互聯網下載,macOS會有更多層的控制項目.
首先,根據預設,在macOS10.
15或以上版本上,所有MacApp均需經由Apple公證才能啟動.
此要求可確保不需經由AppStore取得的App不存在已知的惡意軟件.
此外,macOS具有最先進的防毒保護功能,以封鎖惡意軟件,必要時更會移除.
作為跨平台的附加控制項目,Sandbox處理有助保護用户資料免遭App未經授權存取.
在macOS中,關鍵區域的資料本身已經沙盒化,這有助確保用户可控制所有App對「桌面」、「檔案」、「下載項目」和其他區域中的檔案存取,不論試圖存取的App本身是否已以Sandbox技術限制.
原生功能第三方的對應功能不獲批准的外掛模組列表,不獲批准的Safari延伸功能列表病毒/惡意軟件定義檔案隔離病毒/惡意軟件定義XProtect/Yara簽署病毒/惡意軟件定義MRT(惡意軟件移除工具)端點保護Gatekeeper端點保護.
在App上實施程式碼簽署來確保只執行受信任的軟件.
eficheck(對沒有AppleT2保安晶片的Mac電腦是必需的)端點保護–Rootkit偵測應用程式防火牆端點保護–防火牆封包過濾(pf)防火牆解決方案系統完整保護只有Apple可提供強制性存取控制只有Apple可提供KEXT排除列表只有Apple可提供強制性App程式碼簽署只有Apple可提供45原生功能第三方的對應功能App公證只有Apple可提供iOS和iPadOS中的App安全性iOS和iPadOSApp安全性概覽與其他流動平台不同,iOS及iPadOS不允許用户安裝來自網站可能有惡意性質且未經簽署的App,或者執行不受信任的App.
執行時,會在載入所有可執行記憶體頁面後對其進行程式碼簽署檢查,以確保App自安裝或上次更新後未遭修改過.
確認App來自核准的來源後,iOS及iPadOS會強制執行相關的安全措施,以防止該App危害其他App或系統的其他部份.
App程式碼簽署程序強制性程式碼簽署iOS及iPadOS核心啟動後,它將控制可執行哪些用户程序和App.
為了確保所有App均來自核准的已知來源且未經竄改,iOS及iPadOS會要求所有可執行的程式碼均使用Apple核發的證書進行簽署.
裝置所隨附的App(如「郵件」和Safari)則由Apple簽署.
第三方App也必須使用Apple核發的證書進行驗證和簽署.
強制性程式碼簽署將信任鏈的概念從OS延伸至App,並可防止第三方App載入未簽署的程式碼資源,或使用自行修改的程式碼.
開發者簽署其App的方式證書驗證如要在iOS或iPadOS裝置中開發並安裝App,開發者必須向Apple註冊並加入AppleDeveloperProgram(Apple開發者計劃).
Apple會先驗證每位開發者(無論是個人或企業)的真實身份,然後再核發證書.
開發者可使用該證書對App進行簽署,並將其提交至AppStore進行分發.
因此,AppStore中的所有App都是由身份可識別的個人或組織提交的,藉此阻止製作惡意App.
這些App都經過Apple嚴格審核,以確保它們一般可以如所述方式執行,且沒有明顯的程式錯誤或其他顯着的問題.
除了已討論過的技術外,此挑選過程還會讓用户對所購買的App的品質更加放心.
驗證動態資料庫iOS及iPadOS允許開發者將程式框架嵌入App中,以便供App本身或App內嵌入的延伸功能使用.
為了保護系統並防止其他App在其地址空間中載入第三方的程式碼,系統將會為啟動時程序所連結的所有動態資料庫執行程式碼簽署驗證.
此驗證過程透過團隊識別碼(TeamID)來達成,該識別碼截取自Apple核發的證書.
團隊識別碼是10個字元的英數字元字串,例如1A2B3C4D5F.
程式可透過連結到隨系統發佈的任何資料庫平台,或其程式碼簽署中具有相同團隊識別碼的資料庫平台來成為主要執行檔.
因為作為系統一部份發佈的可執行檔不具有團隊識別碼,所以它們只能連結到隨系統本身發佈的資料庫.
驗證企業級App企業也可以編寫供組織內部使用的內部App,並分發給員工.
企業和組織可以使用D-U-N-S編號申請加入AppleDeveloperEnterpriseProgram(ADEP,Apple開發者企業計劃).
Apple會在驗證申請者的身份和資格後核准其要求.
組織成為ADEP的成員後,便可以註冊以獲得一個配置描述檔,該描述檔允許內部App在其授權的裝置上執行.
46用户必須安裝配置描述檔才能執行內部App.
這可以確保只有組織要求的用户能夠將App載入到其iOS及iPadOS裝置上.
透過流動管理裝置(MDM)安裝的App會間接獲得信任,因為組織與裝置間的關係已建立.
在其他情況下,用户必須在「設定」中核准App的配置描述檔.
組織可以限制用户,不允許其核准來自未知開發者的App.
第一次啟動任何企業級App時,裝置必須從Apple收到允許執行App的肯定確認.
執行階段的安全性Sandbox處理所有第三方的App均會以Sandbox技術限制,因此在存取其他App儲存的檔案或對裝置進行變更時會受到限制.
Sandbox處理可以防止App收集或修改其他App儲存的資料.
每個App都有用於存放其檔案的唯一主目錄,主目錄是在安裝App時隨機指定的.
如果第三方的App需要存取除了本身資料以外的其他資料,只能透過iOS及iPadOS明確提供的服務來執行.
系統檔案和資源也會與用户的App保持區隔.
iOS及iPadOS的大部份操作與所有第三方的App一樣,以非特殊權限用户「mobile」的身份執行.
整個OS分割區都裝載為唯讀.
不必要的工具(如遙距登入服務)並未包含在系統軟件中,且API不允許App提升自己的特殊權限來修改其他App或iOS及iPadOS本身.
授權的使用系統使用宣告的授權來控制第三方App對用户資料與功能(如iCloud和延伸功能)的存取權限.
授權(Entitlement)是簽署到App中的成對密鑰值,允許對執行階段因素以外的內容(如UNIX用户ID)進行認證.
授權已經過電子簽署,因此無法更改.
系統App和服務程式廣泛使用授權來執行特定權限的操作,如果不使用授權,則需要以根用户身份執行程序.
這大幅降低了遭入侵的系統App或服務程式提升權限的可能性.
此外,App只能透過系統提供的API來執行背景處理.
這讓App能夠繼續執行,而不會降低效能或大幅影響電池續航力.
進一步保護地址空間佈局隨機化地址空間佈局隨機化(ASLR)可防止利用記憶體損壞錯誤的攻擊.
內置App會使用ASLR來確保啟動時隨機安排所有記憶體區域.
藉由隨機安排可執行檔程式碼、系統資源庫和相關程式設計結構的記憶體地址,便降低遭到許多複雜攻擊的可能性.
例如,「return-to-libc」攻擊試圖藉由操縱堆疊和系統資源庫的記憶體地址來誘使裝置執行惡意的程式碼.
隨機安排這些項目的位置便大幅增加執行攻擊的難度,尤其是對多部裝置的攻擊.
Xcode作為iOS或iPadOS開發環境,可自動編譯啟用了ASLR支援的第三方App.
ExecuteNeveriOS及iPadOS使用ARM的ExecuteNever(XN)功能來提供進一步的保護,該功能會將記憶體頁面標示為不可執行.
App如要使用標示為可寫入和可執行的記憶體頁面,須符合以下受嚴格控制的條件:核心會檢查Apple專屬的動態程式碼簽署授權是否存在.
即使如此,也只有單個mmap呼叫能用於要求一個可執行且可寫入的記憶體頁面(系統為其指定了隨機地址).
Safari將此功能用於JavaScriptJIT編譯器.
支援的延伸功能iOS及iPadOS讓App可透過延伸功能來對其他App提供功能.
延伸功能是具有特殊用途的已簽署可執行二進位程式碼,封裝在App內.
安裝期間,系統會自動偵測延伸功能,並讓使用相符系統的其他App使用這些延伸功能.
47延伸點支援延伸功能的系統區域稱為延伸點.
每個延伸點都提供API,並為該區域強制執行規則.
系統依據延伸點特定的比對規則來決定哪些延伸功能可供使用.
系統會自動視需要啟動延伸功能程序,並管理這些程序的生命週期.
授權可用來限制特定系統App的延伸功能可用性.
例如,「今日」顯示方式小工具只會在「通知中心」內顯示,而共享的延伸功能則只能從「共享」面板中使用.
延伸點的例子有「今日」小工具、「分享」、「動作」、「相片編輯」、「檔案提供者」和「自訂鍵盤」.
延伸功能的通訊方式延伸功能會在自己的地址空間中執行.
App與其啟動的延伸功能之間的通訊使用由系統架構所協調的程序間通訊.

它們無法存取彼此的檔案或記憶體空間.
延伸功能的設計旨在將它們彼此區隔、與包含該延伸功能的App區隔,並且與使用它們的App加以區隔.
與其他第三方App類似,延伸功能也以Sandbox技術限制,且擁有的容器會與包含App的容器隔開.
不過,延伸功能與其容器App對私隱控制具有相同的存取權限.
因此,如用户對App授予「通訊錄」的存取權限,該App中嵌入的延伸功能也會獲得此許可權,但由App啟動的延伸功能則不具有該許可權.
自訂鍵盤的使用方式自訂鍵盤是一種特殊類型的延伸功能,因為是由用户啟用並適用於整個系統.
一旦啟用後,該鍵盤延伸功能將會用於所有的文字欄位,但密碼輸入和任何安全文字顯示方式除外.
為了限制用户資料的傳送,在預設情況下自訂鍵盤是在一個十分受限的Sandbox中執行,該Sandbox會阻止連接網絡、阻止代表程序執行網絡操作的服務,並阻止可允許延伸功能暗中輸入資料的API.
自訂鍵盤的開發者可以要求其延伸功能擁有「開放存取」的權限,讓系統在得到用户的同意後在預設的Sandbox中執行延伸功能.
MDM及延伸功能對於在流動管理裝置(MDM)解決方案中註冊的裝置,文件和鍵盤延伸功能將遵循「受管理的開啟方式」規則.
例如,MDM解決方案可阻止用户將受管理App中的文件輸出到未受管理的「文件提供者」,或阻止他們在受管理的App中使用未受管理的鍵盤.
此外,App開發者可避免在其App中使用第三方的鍵盤延伸功能.
在App中採取「資料保護」iOS軟件開發套件(SDK)提供全套API,讓第三方和企業內部開發者能夠輕鬆地採用「資料保護」功能,有助於確保在App中享有最高層級的保護.
「資料保護」適用於檔案和資料庫API,包括NSFileManager、CoreData、NSData和SQLite.
「郵件」App資料庫(包括)、受管理的書籍、Safari書籤、App啟動影像和位置資料也將加密儲存,而加密密鑰會以用户裝置上的密碼進行保護.
「日曆」(不包括)、「通訊錄」、「提醒事項」、「備忘錄」、「訊息」和「相片」會導入「資料保護」授權的「首次用户認證前的保護」.
沒有選擇加入某個特定「資料保護」類別且由用户安裝的App預設會接受「首次用户認證前的保護」.
加入「App群組」指定開發者帳户所擁有的App和延伸功能在設定為「App群組」的一部份後,便可共享內容.
開發者可決定是否在AppleDeveloperPortal(Apple開發者入口網站)上製作適合的群組,並納入想要的App和延伸功能.
將App設定為「App群組」的一部份後,便可存取以下內容:只要安裝了App群組內的至少一個App,卷宗上共享的儲存容器就會一直保留在裝置上共享的偏好設定共享的「鑰匙圈」項目AppleDeveloperPortal(Apple開發者入口網站)可確保App群組ID(GID)在整個App生態系統中是唯一的.
48驗證配件MadeforiPhone,iPad,andiPodtouch(MFi)授權計劃允許經過審查的配件製造商存取iPodAccessoriesProtocol(iAP)和必要的支援硬件元件.
當MFi配件使用Lightning接頭或透過藍牙與iOS或iPadOS裝置進行通訊時,裝置會要求配件使用Apple提供的證書(裝置會對此憑證進行驗證)進行回應,以證明配件經過Apple授權.
然後,裝置會傳送一個質詢,配件必須使用已簽署的回應來回應.
這個過程完全由Apple提供給經核准配件製造商的自訂集成電路(IC)處理,而且對於配件本身是透明的.
配件可以要求存取不同的傳輸方式和功能;例如透過Lightning連接線存取數碼音訊串流,或透過藍牙存取位置資料.
認證集成電路會確保只有經過核准的配件才能取得對裝置的完全存取權限.
如果配件不支援認證,其存取權限僅限於類比音訊和一小部份的序列(UART)音訊播放控制.
AirPlay也會利用認證集成電路來驗證接收器已經過Apple核准.
AirPlay音訊和CarPlay視訊串流使用MFi-SAP(安全關聯通訊協定),此通訊協定使用AES-128在計數器(CTR)模式下對配件和裝置之間的通訊進行加密.
臨時密鑰則使用ECDH密鑰交換(Curve25519)進行交換,並使用認證電路的1024位元RSA密鑰來簽署,以作為端到端(STS)通訊協定的一部份.
macOS中的App安全性macOS的App安全性概覽MacOS上的App安全性由多層保護重疊組成.
在第一層中,用户可選擇是否只執行來自AppStore的已簽署和受信任的App.
此外,macOS的多層保護可確保從互聯網下載的App不含已知的惡意軟件.
其會提供具有偵測和移除惡意軟件的技術,並提供防止不受信任App存取用户資料的額外保護.
最後,macOS用户可以在一個認為合理的安全性模型內自由操作,甚至包括執行完全未經簽署和不受信任的代碼.

macOS中的App程式碼簽署程序Apple裝置附載的所有App均經Apple簽署,以確保App未被竄改或變更.
Apple會簽署Apple裝置附載的所有App.
在macOS10.
15中,所有在AppStore以外分發的App均須由開發者使用Apple核發的開發者ID證書(以及其專用密鑰)進行簽署,並由Apple進行公證,以在裝置的預設Gatekeeper設定下執行.
內部開發的App也應使用Apple核發的開發者ID簽署,以便用户可驗證其完整性.
在macOS上,程式碼簽署和公證工作是獨立進行,並可由不同操作者執行來達到不同的目標.
程式碼簽署是由開發者使用其開發者ID證書(由Apple核發)執行的,而驗證該簽署,可向用户證明開發者的軟件自建構和簽署以來,從未受到竄改.
軟件發佈鏈中的任何人都可以進行公證,來證明已向Apple提供代碼副本用作檢查惡意軟件,且未發現任何已知惡意軟件.
公證的輸出形式為票證,會儲存在Apple伺服器上,可選擇裝訂到App中(任何人皆可進行),而不會使開發者的簽署無效.
強制存取控制項目(MAC)需要有程式碼簽署才能啟用受系統保護的授權.
例如,如App需要透過防火牆存取,就必須使用適當的MAC授權進行程式碼簽署.
49Gatekeeper和執行階段保護GatekeepermacOS載有Gatekeeper技術,在預設情況下,可確保用户的Mac上只執行受信任的軟件.
當用户下載或開啟來自AppStore以外的App、外掛模組或安裝程式套裝時,Gatekeeper會驗證軟件是否來自已核實的開發者、是否經Apple公證不含已知的惡意內容,以及是否未經竄改.
首次開啟下載軟件前,Gatekeeper更會要求用户認可,確保用户不被誘騙,誤認作普通的資料檔案執行代碼.
根據預設,Gatekeeper確保所有下載軟件均由AppStore簽署,或由已註冊的開發者簽署經Apple公證.
AppStore審核流程和公證渠道均可確保App不包含已知惡意軟件.
因此,macOS中的所有軟件在首次開啟時,不論載入Mac上的方式為何,都會被檢查是否含有已知的惡意內容.
用户和組織可選擇只允許安裝來自AppStore的軟件.
此外,除非受流動裝置管理(MDM)解決方案的限制,否則用户可覆寫Gatekeeper的規則來開啟任何軟件.
組織可使用MDM來設定Gatekeeper設定,包括允許使用其他身份簽署的軟件.
必要時,也可完全停用Gatekeeper.
Gatekeeper可防止良性App發佈惡意外掛模組,即在用户不知情的情況下,在App使用時觸發載入惡意插件.
必要時,Gatekeeper會在一個隨機唯讀位置開啟App,防止自動載入與App共同分發的外掛模組.
執行階段保護系統檔案、資源和核心會與用户的App空間保持分隔.
AppStore中的所有App均以Sandbox技術限制,以限制存取其他App儲存的資料.
如來自AppStore的App需要存取另一個App的資料,則只能使用macOS提供的API和服務來存取.
防範惡意軟件XProtectmacOS包括名為Xprotect的最先進內置防毒技術,可針對惡意軟件的簽署進行偵測,此技術的使用支援對病毒和惡意軟件的最佳保護措施.
此系統使用Apple定期更新的YARA簽署.
Apple會監控是否有新的惡意軟件感染和病毒株,並自動更新簽署(獨立於系統更新),以助保護Mac電腦免受惡意軟件感染.
XProtect會自動偵測並阻止執行已知的惡意軟件.
在macOS10.
15或以上版本中,只要App屬於下列情況,XProtect便會就已知的惡意內容進行檢查:首次開啟已被更改當XProtect偵測到已知惡意軟件時,會立即封鎖該軟件,並通知用户可選擇將軟件移至「垃圾桶」.

惡意軟件移除工具如Mac遭惡意軟件入侵,macOS亦有技術來對病毒感染進行補救.
惡意軟件移除工具(MRT)是macOS中的引擎,根據Apple自動提供的更新(作為系統資料檔案自動更新和安全性更新的一部份)補救感染.
除了監控生態系統中的惡意軟件活動以便撤銷開發者ID(如適用)和發佈XProtect更新外,Apple更會核發MRT更新,如受影響系統設定為可接收自動安全性更新,便可在其中移除惡意軟件.
MRT會在收到更新資料後刪除惡意軟件,並在重新開機和登入後繼續檢查是否存在感染.
MRT不會自動重新啟動Mac.
自動安全性更新Apple會根據最新的威脅情報自動發佈XProtect和惡意軟件移除工具的更新.
根據預設,macOS會每日檢查這些更新.
如需更多自動安全性更新的相關資料,請參閱Apple支援文章:自動安全性更新.
50控制App對檔案的存取Apple認為在App處理用户資料上,用户應具有完全透明度、同意權和控制權.
在macOS10.
15中,系統即採用此模式,以確保所有App在存取「文件」、「下載項目」、「桌面」、「iCloud雲碟」或網絡卷宗中的檔案前必須獲得用户同意.
在macOS10.
13或以上版本中,如App需要存取整個儲存裝置的存取權限,就必須在「系統偏好設定」中明確加入.
此外,輔助使用和自動化功能亦需要用户許可,以確保在執行時不會繞過其他保護措施.
根據存取規則,用户可能會收到提示,或必須在「系統偏好設定」>「安全性與私隱」>「私隱」中更改設定:項目用户收到App的提示用户必須編輯系統私隱設定輔助使用整個內部儲存裝置的存取權限檔案和資料夾附註:包括:「文件」、「下載項目」、「桌面」、網絡卷宗或可移除卷宗自動化(Apple事件)保護用户「垃圾桶」中的項目不受使用「完整磁碟取用」的任何App影響,用户不會收到App存取的提示.
用户如要讓App存取檔案,必須將檔案從「垃圾桶」移到另一個位置.
如用户在Mac上啟用了「檔案保險箱」,系統會要求提供有效的憑證,才能繼續進行啟動程序和取得特殊啟動模式的存取權限.
如沒有有效的登入憑證或還原密鑰,即使將儲存裝置的實物移除並連接另一台電腦,整個卷宗仍會保持加密狀態,以防止未經授權的存取.
如要在企業設定中保護資料,IT人員應使用流動裝置管理(MDM)定義及強制執行「檔案保險箱」設定原則.
機構有多個選項來管理加密的卷宗,包括機構還原密鑰、個人還原密鑰(其可選擇與MDM儲存以進行託管),或將它們組合.
密鑰轉換亦可設定為MDM中的原則.
「備忘錄」App中的安全功能安全備註「備忘錄」App包含安全備註功能,可讓用户保護特定備忘錄的內容.
安全備註是以用户提供的密語進行端對端加密,為檢視iOS、iPadOS、macOS裝置和iCloud網站中的備忘錄所需.
每個iCloud帳户(包括「我的」裝置帳户)都可設定獨立的密語.
當用户加密備忘錄時,會從用户透過PBKDF2和SHA256製作的密語衍生16位元組密鑰.
備忘錄及其所有均使用AES-GCM加密.
系統會在CoreData和CloudKit中建立新記錄,以儲存已加密的備忘錄、、標籤和初始化向量.
建立新記錄後,原來未加密的資料會被刪除.
支援加密的包含影像、圖畫、表格、地圖和網站.
包含其他類型的備忘錄無法加密,不支援的無法加入安全備註.
如要檢視安全備註,用户必須輸入密語或使用TouchID或FaceID進行認證.
成功認證用户後,無論要檢視或製作安全備註,「備忘錄」都會開啟安全作業階段.
安全作業階段開啟時,用户無需額外的身份驗證即可檢視或保護其他備忘錄.
不過,安全作業階段僅會套用至使用已提供的密語保護的備忘錄.
對於受不同密語保護的備忘錄,用户仍然需要進行認證.
安全作業階段會在以下情況關閉:用户點一下「備忘錄」中的「現在鎖定」按鈕時「備忘錄」切換至背景超過3分鐘時(在macOS中為8分鐘)iOS或iPadOS裝置鎖51如要更改安全備註上的密語,用户必須輸入目前的密語,在更改密語時TouchID和FaceID會無法使用.
選擇新的密語後,「備忘錄」App會將同一帳户中,所有受之前密語加密的現有備忘錄密鑰重新包裝.
如用户連續三次輸入錯誤密語,「備忘錄」會顯示用户之前提供的提示訊息(如用户在設定時已提供).
如用户仍然不記得密語,可以在「備忘錄」設定中進行重新設定.
此功能可讓用户以新的密語製作新的安全備註,但將不允許他們查看先前保護的備註.
先前保護的備忘錄仍可以在想起舊的密語時檢視.
重設密語需要用户的iCloud帳户密語.
共享的備忘錄未使用密語進行端到端加密的備忘錄,可以與他人共享.
用户加入共享的備忘錄中的任何文字或均為CloudKit加密資料類型.
資產一律使用在CKRecord中加密的密鑰進行加密.
建立和修改日期等後設資料未經加密.
CloudKit管理參與者可加密及解密彼此資料的程序.
「捷徑」App中的安全功能在「捷徑」App中,捷徑會使用iCloud選擇性地同步到不同Apple裝置上.
你也可透過iCloud與其他用户分享捷徑.
捷徑會以加密格式儲存在本機.
自訂捷徑包羅萬象,類似於指令碼或程式.
從互聯網下載捷徑時,系統會警告用户該捷徑尚未被Apple審查,且會給予用户檢查捷徑的機會.
為了抵禦惡意捷徑,系統會下載最新的惡意軟件定義,以便執行捷徑時識別出惡意捷徑.

如從分享頁啟動,自訂捷徑也可在Safari中對網站執行用户指定的JavaScript.
為了抵禦惡意JavaScript(例如誘騙用户在社交媒體上執行會收集其資料的指令碼),JavaScript會針對惡意軟件定義進行認證.
用户第一次在網域上執行JavaScript時,系統會提示用户允許包含JavaScript的捷徑在該網域的目前網頁上執行.
52服務安全性服務安全性概覽Apple建立了一套強大的服務來協助用户更充份發揮裝置效能和提升生產力.
這些服務包括AppleID、iCloud、「使用Apple登入」、ApplePay、iMessage、FaceTime及「尋找」.
這些服務為雲端儲存及同步、認證、付款、訊息、通訊等提供強大效能,同時保護用户私隱及其資料的安全性.

附註:部份Apple服務和內容無法在所有國家或地區使用.
AppleID與管理式AppleIDAppleID與管理式AppleID概覽AppleID是一個帳户,用來登入Apple服務,如iCloud、iMessage、FaceTime、iTunesStore、AppStore、AppleTVApp、「書店」等.
對用户而言,安全地保護其AppleID以防止帳户遭未經授權取用,是十分重要的.
如要幫助我們保障安全,AppleID需要高強度密碼:長度必須最少為八個字元必須包括字母及數字連續的相同字元不得超過三個不能為常用的密碼我們鼓勵用户超越此規則,加入更多的字元和標點符號,來讓密碼變得更為安全.

在對帳户作出重要更改(例如密碼或帳單資料變更),或使用AppleID來在新裝置上登入時,Apple也會以電郵及/或推送通知通知用户.
如有任何異常情況,Apple會指示用户立即更改其AppleID密碼.
此外,Apple運用多種規則和程序,旨在保護用户的帳户.
這包括限制重試登入和密碼重設的次數、積極監視詐騙以協助在攻擊發生時進行識別,以及定期檢查規則,讓Apple可應用任何可能影響客户安全的新資料.
附註:「管理式AppleID」的密碼規則是由AppleSchoolManager或AppleBusinessManager中的管理員設定.
53使用AppleID進行雙重認證為協助用户進一步保護其帳户,Apple提供了雙重認證,為AppleID提供另一道安全防線.
其設計目標在於確保即使有其他人知道密碼,仍只有帳户的持有人可以取用帳户.
使用雙重認證,就只能在受信任的裝置上取用用户帳户,例如用户的iPhone、iPad、iPodtouch或Mac,或從其中一部受信任的裝置或受信任的電話號碼完成驗證後,再在其他裝置上取用.
如要在任何新裝置上首次登入,將需要兩項資料:AppleID密碼,以及顯示在用户信任裝置上,或傳送到信任電話號碼的六位數驗證碼.
透過輸入驗證碼,用户可確認他們信任新裝置且可安全登入裝置.
由於單靠密碼已不足以取用用户帳户,雙重認證能提升用户AppleID的安全性,以及他們透過Apple儲存的所有個人資料的安全性.
其會直接整合至iOS、iPadOS、macOS、tvOS、watchOS和Apple網站使用的認證系統.
當用户使用網頁瀏覽器登入Apple網站時,第二個驗證條件要求會傳送至聯繫到用户iCloud帳户的所有受信任裝置,要求批准此網頁階段.
如果用户從受信任的裝置上的瀏覽器登入Apple網站,他們就會在其正在使用裝置上看到本機代碼.
使用用户信任的裝置輸入該代碼來批准網頁階段.
帳户還原如用户忘記密碼,可透過使用受信任的裝置來重設AppleID密碼來將帳户還原.
如無法使用受信任的裝置,但用户知道密碼,可以使用受信任的電話號碼來透過SMS驗證進行認證.
此外,可將曾用過的密碼結合SMS驗證來重設AppleID,以便即時還原AppleID.
如這些方法皆不可用,用户必須依照帳户還原程序操作.
請參閱Apple支援文章:如果無法重設密碼,請復原AppleID.
使用AppleID進行雙重驗證自2013年開始,Apple也提供了類似的安全性方式,稱為雙重驗證.
在啟用雙重驗證後,必須以傳送到用户其中一部受信任裝置的臨時代碼驗證用户的身份.
系統在以下情況會要求雙重驗證:批准對AppleID帳户資料進行更改前;登入iCloud、iMessage、FaceTime或GameCenter前;以及在使用新裝置從iTunesStore、AppStore、AppleTVApp或AppleBooks進行購買前.
如用户忘記密碼或無法取用其受信任的裝置,也可以使用存放在安全位置、由14個字元組成的「還原密鑰」.
雖然我們大多鼓勵新用户使用雙重認證,但仍有部份情況建議使用雙重驗證取代.
管理式AppleID「管理式AppleID」功能類似於AppleID,但是由企業或教育機構所持有並控制.
機構可以重設密碼、限制購買和通訊(如FaceTime和「訊息」),以及為員工、職員、教師和學生設定以角色為基礎的權限.

「管理式AppleID」的部份服務已被停用(例如ApplePay、「iCloud鑰匙圈」、HomeKit和「尋找」).
檢查「管理式AppleID」「管理式AppleID」亦支援檢查,可讓機構遵守法律和私隱法規.
AppleSchoolManager管理員、管理者或教師可檢查特定「管理式AppleID」帳户.
檢查者只能監視組織階層中層級低於自己的帳户.
例如,教師可以監視學生;管理員可以檢查教師和學生;管理員可以檢查管理員、教師和學生.
在使用AppleSchoolManager要求檢查憑證時,系統會核發一個特殊帳户,其只能取用要求檢查的「管理式AppleID」.
檢查者可以讀取並修改用户儲存在iCloud或已啟用CloudKit功能的App中的內容.
每個審核取用的要求都會記錄在AppleSchoolManager中.
記錄會顯示誰是檢查者、檢查者要求取用的「管理式AppleID」、要求的時間,以及是否有執行檢查.
54「管理式AppleID」和個人裝置「管理式AppleID」也可以配搭個人持有的iOS裝置、iPadOS裝置和Mac電腦使用.
學生可以使用機構核發的「管理式AppleID」和額外的家用密碼(用作AppleID雙重認證程序的第二個元素)來登入iCloud.
在個人裝置上使用「管理式AppleID」時,會無法使用「iCloud鑰匙圈」,且機構可能會限制FaceTime或「訊息」等其他功能.
任何由學生在登入時製作的iCloud文件都會受審核,如本節前文所述.
iCloudiCloud概覽iCloud會儲存用户的通訊錄、日曆、相片、文件和更多項目,並在其所有裝置間自動保持最新的資料.
iCloud也可供第三方App用來儲存和同步文件以及開發者定義的App資料密鑰值.
用户可透過使用AppleID登入來設定iCloud,並選擇他們想要用的服務.
IT管理員可使用流動裝置管理(MDM)設定描述檔來停用部份iCloud功能、「iCloud雲碟」和「iCloud備份」.
該服務無法得知正在儲存的內容,並會以位元組集合的方式對所有檔案進行處理.

每個檔案都會區分為區塊,並由iCloud使用AES-128以及各區塊內容所衍生的密鑰,配合使用SHA-256的密鑰進行加密.
Apple會將這些密鑰與檔案的後設資料儲存在用户的iCloud帳户中.
加密的檔案區塊不會包含任何可識別用户的資料或密鑰,並使用Apple和第三方儲存服務(例如「亞馬遜雲端運算服務」或「Google雲端平台」)來儲存,但這些合作伙伴不會有密鑰可以解密你儲存在其伺服器上的資料.
iCloud雲碟「iCloud雲碟」會加入以帳户為基礎的密鑰來保護儲存在iCloud中的文件.
「iCloud雲碟」會將檔案內容分成區塊,並使用第三方服務儲存已加密的區塊.
不過,檔案內容密鑰是由記錄密鑰所封裝,與「iCloud雲碟」後設資料儲存在一起.
而這些記錄密鑰則由用户的「iCloud雲碟服務密鑰」保護,儲存在用户的iCloud帳户中.
用户可以藉由與iCloud進行認證來取用其iCloud文件後設資料,但他們也必須擁有「iCloud雲碟服務密鑰」才能顯示「iCloud雲碟」儲存空間中受保護的部份.
「iCloud雲碟」備份iCloud亦會每日透過Wi-Fi備份資料,包括裝置設定、App資料、「相機菲林」中的相片和影片,以及「訊息」App中的對話.
透過互聯網傳送內容時,iCloud會對其進行加密,以加密的格式儲存並使用安全代號進行認證,進而保護內容.
只有當裝置處於鎖定狀態、連接到電源且可透過Wi-Fi連接互聯網時,才會進行「iCloud備份」.
憑藉iOS及iPadOS中所使用的加密技術,「iCloud備份」經過精心設計,既可保護資料安全,又能兼顧增量、自發式的備份和還原動作.
如果檔案製作時採用「資料保護」類別,且無法在裝置鎖定時取用該類別檔案,其檔案專屬密鑰會使用「iCloud備份」Keybag中的類別密鑰進行加密,並會以其原始的加密狀態備份至iCloud.
所有檔案都會在傳送時加密,且在儲存時,會使用以帳户為基礎的密鑰(如CloudKit所述)加密.
「iCloud備份」Keybag包含「資料保護」類別的非對稱式(Curve25519)密鑰,當裝置被鎖定時,該密鑰無法被取用.

備份集儲存於用户的iCloud帳户中,由用户的檔案副本和「iCloud備份」Keybag組成.
「iCloud備份」Keybag受隨機密鑰保護,其也會與備份集一起儲存.
(用户的iCloud密碼不會用於加密,因此更改iCloud密碼不會使現有的備份資料失效.
)當用户的「鑰匙圈」資料庫備份至iCloud時,仍會受到與UID連結的密鑰保護.
這樣可讓「鑰匙圈」只能還原原先產生它的同一部裝置,這代表任何人(包括Apple)都無法讀取用户的「鑰匙圈」項目.
還原後,將會從用户的iCloud帳户取回備份的檔案、「iCloud備份」Keybag和Keybag的密鑰.
「iCloud備份」Keybag使用其密鑰進行解密,然後Keybag中的檔案專屬密鑰則用於解密備份集中的檔案,這些檔案會以新檔案寫入檔案系統,並根據其「資料保護」類別對其重新加密.
55「iCloud備份」內容以下內容使用「iCloud備份」來備份:已購買的音樂、電影、電視節目、App和書籍的相關記錄.
用户的「iCloud備份」包含用户裝置上現有已購買內容的相關資料,但不包括已購買內容本身.
當用户從「iCloud備份」還原時,系統會自動從iTunesStore、AppStore、AppleTVApp或AppleBooks下載用户已購買的內容.
部份類型的內容在部份國家或地區不會自動下載,且在內容已退款或商店不再提供內容時,可能無法取得先前的購買項目.
完整購買記錄會連繫至用户的AppleID.
用户裝置上的相片與影片.
請注意,如用户在iOS8.
1、iPadOS13.
1或OSX10.
10.
3(或以上版本)中開啟「iCloud相片」,其相片與影片便已儲存在iCloud中,因此不會包含在用户的「iCloud備份」中.
iOS8.
1或以上版本iPadOS13.
1OSX10.
10.
3或以上版本通訊錄、日曆行程、提醒事項和備忘錄裝置設定App資料主畫面和App整理方式HomeKit設定醫療檔案資料VisualVoicemail密碼(必須裝有備份期間所使用的SIM卡)iMessage、「商務聊天」、短訊(SMS)與MMS訊息(必須裝有備份期間所使用的SIM卡)如已啟用iCloud雲端「訊息」,iMessage、「商務聊天」、短訊(SMS)與MMS訊息都會從現有的「iCloud備份」中移除,改為儲存在「訊息」的端對端加密CloudKit容器中.
用户的「iCloud備份」會保留該容器的密鑰.
如果用户之後停用「iCloud備份」,該容器的密鑰就會變換,新密鑰只會儲存在「iCloud鑰匙圈」中(Apple和任何第三方均無法取用),且寫入該容器的新資料將無法以舊容器的密鑰解密.
用於在「iCloud備份」還原訊息的密鑰儲存在兩個位置:「iCloud鑰匙圈」和CloudKit中的備份.
如「iCloud備份」已啟用,則CloudKit中的備份已完成,且已無條件還原(不論用户是否還原iCloud備份).
CloudKit端對端的加密許多Apple服務都會使用端對端的加密,並配搭由「iCloud鑰匙圈」同步功能保護的「CloudKit服務密鑰」,於以下Apple支援文章中列出:iCloud安全性概覽.
對這些CloudKit容器而言,密鑰階層根生於「iCloud鑰匙圈」中,因此擁有與「iCloud鑰匙圈」相同的安全特徵:密鑰只能在用户的受信任裝置上使用,Apple或任何第三方均無法使用.
如失去「iCloud鑰匙圈」資料的存取權限,CloudKit中的資料就會重設,如果資料可以從受信任的本機裝置存取,便會重新上載至CloudKit.
如需更多資料,請前往:「iCloud鑰匙圈」的託管安全性.
iCloud雲端「訊息」也使用CloudKit端對端加密,並配搭由「iCloud鑰匙圈」同步功能保護的「CloudKit服務密鑰」.
如果用户已啟用「iCloud備份」,系統便會將用於iCloud雲端「訊息」容器的「CloudKit服務密鑰」備份至iCloud,如此一來,即使用户無法存取「iCloud鑰匙圈」和受信任裝置,仍可復原其訊息.
每當用户關閉「iCloud備份」,這個「iCloud服務密鑰」就會變換.
情況CloudKit端對端加密的用户還原選項可取用受信任的裝置可透過受信任的裝置或「iCloud鑰匙圈」還原功能來還原資料.
沒有受信任的裝置只能透過「iCloud鑰匙圈」還原功能來還原資料.
56情況CloudKit端對端加密的用户還原選項已啟用「iCloud備份」且可取用受信任的裝置可透過「iCloud備份」、取用受信任的裝置或「iCloud鑰匙圈」還原功能來還原資料.
已啟用「iCloud備份」且無法取用受信任的裝置可使用「iCloud備份」或「iCloud鑰匙圈」還原功能來還原資料.
已停用「iCloud備份」且可取用受信任的裝置可透過受信任的裝置或「iCloud鑰匙圈」還原功能來還原資料.
已停用備份且無受信任的裝置只能透過「iCloud鑰匙圈」還原功能來還原資料.
密碼管理密碼管理概覽iOS、iPadOS及macOS提供多種功能,讓用户可在使用密碼進行驗證的第三方App及網站安全且便利地進行輕鬆驗證.
管理密碼的最佳方式是不一定要使用密碼.
「使用Apple登入」讓用户無需製作及管理額外的帳户或密碼,就可以登入第三方App及網站.
並同時以其AppleID雙重認證來保障登入安全.
針對不支援「使用Apple登入」的網站,「自動高強度密碼」讓用户的裝置在網站和App自動製作、同步並輸入獨有的高強度密碼.
密碼會儲存至特別「自動填寫密碼」的「鑰匙圈」中,這個鑰匙圈由用户控制,且可在iOS及iPadOS前往「設定」>「密碼與帳户」>「網站與App密碼」進行管理.
在macOS上,已儲存的密碼可在Safari的「密碼」偏好設定中管理.
此同步系統也可以用來同步由用户手動製作的密碼.
使用Apple登入「使用Apple登入」是其他單一登入系統的一種私隱保護代替方案.
它提供了一鍵式登入的便利和效率,同時為用户提供了更高的透明度和對個人資料的控制權.
「使用Apple登入」讓用户使用其現有的AppleID設定帳户及登入至App和網站,並能給予用户對其個人資料擁有更多控制權.
App在設定帳户時,只能詢問用户的名稱和電郵地址,而且用户總是有選擇權:他們可以與App分享個人電郵地址,或選擇維持個人電郵地址的私隱,並改為使用Apple的全新私隱電郵轉送服務.
電郵轉送服務會分享一個獨有且匿名的電郵地址,該電郵地址會將郵件轉發到用户的個人地址,因此用户仍可以在保持一定程度的私隱和個人資料控制權的同時,收到來自開發人員的實用訊息.
「使用Apple登入」是專門針對安全性而設.
每位「使用Apple登入」的用户都需要已啟用雙重認證.
雙重認證不止有助保護用户的AppleID,也能保護他們使用App建立的帳户.
此外,Apple開發了私隱保護的反詐騙訊號並將其整合至「使用Apple登入」中,這可讓開發者放心他們所獲得的新用户是真實用户,而非機械人或程式帳户.

自動高強度密碼當「iCloud鑰匙圈」啟用時,iOS、iPadOS及macOS會在用户於Safari中的網站上註冊或變更密碼時,製作高強度和隨機的唯一密碼.
在iOS及iPadOS上,也可在App中使用「自動高強度密碼」.
用户必須選擇停止使用高強度密碼.
產生的密碼會儲存在鑰匙圈中,並在「iCloud鑰匙圈」啟用時在裝置間同步.
按照預設,iOS及iPadOS產生的密碼長度為20字元.
其中包括一個數字、一個大寫字元、兩個連字號和16個小寫字元.
這些產生的密碼皆為高強度,且包括71位元的熵.
密碼會根據經驗法則產生,其可判斷密碼欄位使用體驗是否適用於製作密碼.
如果經驗法則無法識別密碼內容是否適用於製作密碼,App開發者可以在文字欄位上設定UITextContentType.
newPassword,而網頁開發者則可以在元素中設定autocomplete="new-password".
57為確保產生的密碼與相關的服務相容,App及網站可提供規則.
開發者會使用UITextInputPasswordRules或元素中的passwordrules屬性來提供規則,然後裝置會產生可滿足這些規則的最高強度密碼.
自動填寫密碼「自動填寫密碼」會自動填寫儲存在鑰匙圈中的憑證.
「iCloud鑰匙圈」密碼管理員和「自動填寫密碼」提供以下功能:在App和網站中填寫憑證產生高強度密碼儲存在App和Safari中的網站之密碼以安全方式將密碼分享給用户的聯絡人提供密碼給附近要求憑證的AppleTV於App內產生及儲存密碼,以及向AppleTV提供密碼的功能只適用於iOS和iPadOS.
在App中「自動填寫密碼」iOS和iPadOS允許用户將已儲存的用户名稱和密碼輸入至App內與憑證相關的欄位中,其操作方式類似在Safari中「自動填寫密碼」.
在iOS和iPadOS中,用户可以透過點一下軟件鍵盤「快速輸入」列中的密鑰功能來操作.

在macOS中,針對使用MacCatalyst製作的App,在憑證相關欄位下會顯示「密碼」下拉式選單.
當某個App是使用相同的App與網站連繫機制(由apple-app-site-association檔案提供支援)與某個網站強烈連繫時,iOS和iPadOS「快速輸入」列以及macOS下拉式選單會直接向App建議憑證(如有任何憑證已儲存至「自動填寫密碼」的「鑰匙圈」).
這樣用户就可選擇向相同安全屬性的App提供Safari儲存的憑證,但App不需要採用API.
「自動填寫密碼」不會向App提供任何憑證資料,除非用户同意向App釋出憑證.
憑證列表是從App程序中提取或顯示.
當App和網站具有受信任關係,且用户已在App中提交憑證,iOS和iPadOS可能會提示用户將這些憑證儲存至「自動填寫密碼」的「鑰匙圈」供日後使用.
App取用已儲存的密碼iOS和iPadOSApp可使用以下兩個API與「自動填寫密碼」的「鑰匙圈」互動:SecRequestSharedWebCredentialSecAddSharedWebCredentialiOS、iPadOS和macOSApp可要求「自動填寫密碼」的「鑰匙圈」協助來使用ASAuthorizationPasswordProvider將用户登入.
「密碼」提供者及其要求可與「使用Apple登入」結合使用.
這樣,無論用户帳户是基於密碼的帳户或使用「使用Apple登入」製作,相同的API呼叫都可以協助用户登入App.
只有App開發者和網站管理員核准,且得到用户同意後,App才可取用已儲存的密碼.
App開發者藉由在其App中包含授權,讓系統知悉他們需要取用Safari已儲存的密碼.
授權會列出相關網站的完整網域名稱,且網站必須在其伺服器上放置一個檔案,列出經Apple核准App的唯一App識別碼.
在安裝帶有com.
apple.
developer.
associated-domains授權的App後,iOS和iPadOS會向每個列出的網站發出TLS要求,以索取以下其中一個檔案:apple-app-site-association.
well-known/apple-app-site-association如檔案中列出了要安裝之App的識別碼,iOS和iPadOS才會將網站和App標示為具有信任關係.
只有在具有信任關係的情況下,才會呼叫這兩個API並向用户發出提示,經用户同意後,才會將密碼核發給App、更新或刪除.
58密碼重用與強度審查在iOS、iPadOS和macOS中「自動填寫密碼」的「鑰匙圈」密碼列表指出用户儲存的密碼中,哪些密碼與其他網站重複使用,以及哪些密碼被視為弱密碼.
在多於一個服務中使用相同的密碼可能會使那些帳户容易受到憑證填充攻擊.
如某個服務被入侵且密碼洩漏,攻擊者可能會在其他服務上嘗試使用相同的憑證來破壞其他帳户.
如密碼易於被攻擊者猜中,系統會將其標記為弱密碼.
iOS、iPadOS和macOS會偵測用於製作易記密碼的常用模式,例如使用詞典中的單字、常用字元替換(例如使用「p4ssw0rd」代替「password」),在鍵盤上找到的模式(例如QWERTY鍵盤上的「q12we34r」)或重複的序列(例如「123123」).
這些模式常用於製作滿足服務最低密碼要求的密碼,但也經常被試圖強行使用密碼的攻擊者使用.
由於許多服務特別要求輸入四位或六位PIN碼,因此短密碼會使用不同規則來評估強度.
如PIN碼是最常見的PIN碼之一,或是遞增或遞減的序列(例如「1234」或「8765」),又或遵循重複模式(例如「123123」或「123321」),則會被視為弱密碼.
弱密碼及重用密碼會顯示在密碼列表中.
如果用户使用以前儲存的非常弱密碼(例如最常見的密碼之一)登入Safari網站,系統會向他們顯示警告,強烈鼓勵他們升級至「自動高強度密碼」.

傳送密碼給其他用户或裝置AirDrop當iCloud已啟用時,用户可使用AirDrop將已儲存的憑證傳送至其他裝置,包含儲存憑證的網站、其用户名稱和密碼.
無論用户的設定為何,透過AirDrop傳送憑證只會在「只限聯絡人」模式下進行.
在接收裝置上,用户同意後便會將憑證儲存在用户「自動填寫密碼」的「鑰匙圈」中.
AppleTV「自動填寫密碼」可用於在AppleTV上的App中填寫憑證.
當用户專注填寫tvOS上的用户名稱或密碼文字欄位時,AppleTV會開始透過低耗電藍牙(BLE)傳播「自動填寫密碼」要求.
附近的任何iPhone、iPad或iPodtouch都會顯示提示,邀請用户與AppleTV分享憑證.
以下是加密方式的建立方式:如裝置和AppleTV使用相同的iCloud帳户,就會自動進行裝置間的加密.
如裝置登入的iCloud帳户與AppleTV所用的不同,系統會提示用户透過使用PIN碼建立加密.
如要接收提示,必須解鎖iPhone並將其靠近與該AppleTV配對的「Siri遙控器」.
使用BLE連結加密技術建立加密的連線後,系統會將憑證傳送至AppleTV,並自動填入App上的相關文字欄位.
憑證提供者延伸功能在iOS和iPadOS中,用户可指定符合的第三方App,作為「密碼與帳户」設定中「自動填寫」的憑證提供者.
這個機制建立在延伸功能之上.
憑證提供者延伸功能必須提供選擇憑證的畫面,且可選擇性提供iOS和iPadOS有關已儲存憑證的後設資料,以便直接在「快速輸入」列上提供.
後設資料包括憑證的網站和連繫的用户名稱,但不包括其密碼.
用户選擇將密碼填入App中或Safari中的網站上時,iOS和iPadOS會與延伸功能通訊以取得密碼.
憑證後設資料存放在憑證提供者的Sandbox內,且App解除安裝時會自動移除.
59iCloud鑰匙圈iCloud鑰匙圈概覽「iCloud鑰匙圈」可讓用户在iOS和iPadOS裝置以及Mac電腦之間安全地同步其密碼,此資料不會提供給Apple.
除了強大的私隱保護和安全性,易用性和還原鑰匙圈的功能對「iCloud鑰匙圈」的設計和架構也具有重要影響.
「iCloud鑰匙圈」由兩項服務組成:「鑰匙圈」同步和「鑰匙圈」還原.
Apple設計的「iCloud鑰匙圈」和「鑰匙圈」還原可確保用户的密碼在下列情況下仍然受到保護:用户的iCloud帳户被盜.
外部攻擊者或員工危害了iCloud的安全性.
第三方取用用户帳户.
「鑰匙圈」同步當用户第一次啟用「iCloud鑰匙圈」時,裝置將建立信任圈並為自己製作同步身份.
同步身份包括專用密鑰和公用密鑰.
同步身份的公用密鑰會置於信任圈中,該信任圈已經過兩次簽署:第一次由同步身份的專用密鑰簽署,第二次由用户iCloud帳户密碼所衍生的非對稱橢圓密鑰(使用P-256)簽署.
連同信任圈一起儲存的還有參數(隨機密鑰和反覆運算次數),用於製作以用户iCloud密碼為基礎的密鑰.
已簽署的同步信任圈會置於用户的iCloud密鑰值儲存區域.
如果不知道用户的iCloud密碼,就無法對其進行讀取,如果沒有信任圈成員同步身份的專用密鑰,就無法對其進行有效修改.
當用户在其他裝置上開啟「iCloud鑰匙圈」時,「iCloud鑰匙圈」察覺用户之前在iCloud中建立了一個同步信任圈,而該裝置並非成員.
該裝置會製作其同步身份的成對密鑰組,然後製作應用程式票證以要求加入該信任圈.
該票證包括裝置的同步身份公用密鑰,系統將要求用户以其iCloud密碼進行認證.
橢圓密鑰產生參數會從iCloud取回並產生用於簽署應用程式票證的密鑰.
最終,應用程式票證會置於iCloud中.
當第一部裝置接收到應用程式票證時,它會詢問用户以確認新裝置正在要求加入同步信任圈.
用户輸入其iCloud密碼,應用程式票證則藉由配對專用密鑰的簽名進行驗證.
現在,產生了加入信任圈要求的用户可以加入.

用户核准將新裝置加入到信任圈後,第一部裝置會將新成員的公用密鑰加入到同步信任圈,並使用其同步身份和來自用户iCloud密碼的密鑰再次簽署.
新的同步信任圈會置於iCloud中,該信任圈的新成員會以類似方式進行簽名.
假設簽名信任圈有兩個成員,並且每個成員擁有與其配對的公用密鑰.
他們現在開始透過iCloud密鑰值儲存空間來將個別「鑰匙圈」項目交換,或儲存在CloudKit中,視乎哪個方式最適合該情況.
如果兩個信任圈成員擁有相同的項目,系統會同步最近期修改的項目.
如果另一個成員擁有該項目且修改日期相同,系統則會略過這些項目.
每個同步的項目都會經過加密,因此只能由用户信任圈中的裝置進行解密;其無法以任何其他裝置或Apple進行解密.
當新裝置加入同步信任圈時,將會重複該過程.
例如,當第三部裝置加入時,另外兩名用户的裝置上均會出現確認訊息.
用户可以從其中任何一部裝置來核准新成員.
每當有新的裝置加入,每部裝置都會與新裝置進行同步,以確保所有成員擁有相同的「鑰匙圈」項目.
但是整個「鑰匙圈」不會進行同步.
某些項目專屬於特定裝置(例如VPN身份),這些項目不會離開裝置.
系統只會同步具有kSecAttrSynchronizable屬性的項目.
Apple已經為Safari用户資料(包括用户名稱、密碼和信用卡卡號)以及Wi-Fi密碼和HomeKit加密密鑰設定了此屬性.
此外,依照預設,第三方App所加入的「鑰匙圈」項目不會進行同步.
將項目加入到「鑰匙圈」時,開發者必須設定kSecAttrSynchronizable屬性.
「iCloud鑰匙圈」還原「鑰匙圈」還原功能讓用户可以將其「鑰匙圈」交由Apple託管,但不允許Apple讀取密碼和「鑰匙圈」包含的其他資料.
即便用户只有一部裝置,「鑰匙圈」還原也可以提供安全網來防止資料遺失.
當使用Safari來為網絡帳户產生隨機且安全的密碼時,這尤其重要,因為這些密碼的唯一記錄位於「鑰匙圈」中.

60「鑰匙圈」還原包含兩大基本要素:輔助認證和安全託管服務,後者是Apple專為支援此功能而建立的服務.
用户的「鑰匙圈」會使用高強度密碼進行加密,只有在滿足一系列嚴格的條件時,託管服務才會提供「鑰匙圈」副本.

幾個可以建立高強度密碼的方式:如用户的帳户啟用了雙重認證,便會使用裝置密碼來還原託管的「鑰匙圈」.

如未設定雙重認證,則會要求用户提供六位數的密碼以製作「iCloud安全碼」.
或者,在不使用雙重認證的情況下,用户可自行指定較長的安全碼,或讓裝置以加密編譯方式製作隨機編碼,方便用户自行記錄和保存.

許多用户之後想將其「鑰匙圈」交由Apple託管.
過程為iOS、iPadOS或macOS裝置輸出用户的「鑰匙圈」副本,藉由密鑰加密封裝至非對稱式Keybag中,並將其放置在用户的iCloud密鑰值儲存區域中.
Keybag會以用户的「iCloud安全碼」和儲存託管記錄的硬件安全性模組(HSM)叢集公用密鑰進行封裝.
這會變成用户的「iCloud託管記錄」.
如果用户決定接受隨機加密編譯的安全碼,而不自行指定或使用四位數值,則不再需要託管記錄.
反而會使用「iCloud安全碼」來直接封裝隨機密鑰.
除建立安全碼外,用户必須註冊電話號碼.
這在「鑰匙圈」還原期間提供了第二層的身份認證.
用户將會收到短訊,必須回覆此短訊才能繼續還原程序.
「iCloud鑰匙圈」的託管安全性iCloud為「鑰匙圈」託管提供了安全的基礎架構,以確保只有經過授權的用户和裝置才能執行還原操作.
iCloud背後部署的是HSM叢集,可保護託管記錄.
如前文所述,叢集的每位成員都有一個密鑰,用來對其監管的託管記錄進行加密.
如要還原「鑰匙圈」,用户必須使用其iCloud帳户和密碼進行身份認證,且當訊息傳送至所註冊的電話號碼時,用户必須回覆.
回覆完成後,用户必須輸入其「iCloud安全碼」.
HSM叢集會使用「安全遙距密碼」(SRP)通訊協定來驗證用户是否知道其「iCloud安全碼」;安全碼本身不會傳送給Apple.
叢集的每個成員都會單獨驗證用户是否未超過截取記錄所允許的最多嘗試次數,如以下所述.
如果多數成員同意,叢集會將託管記錄解除封裝並將其傳送至用户的裝置.
然後,裝置會使用「iCloud安全碼」來將用於加密用户「鑰匙圈」的隨機密鑰解除封裝.
有了該密鑰,你便可解密從iCloud密鑰值儲存空間截取的「鑰匙圈」,並將其還原到裝置上.
iOS、iPadOS和macOS最多允許對託管記錄認證和取得10次.
多次嘗試失敗後,將會鎖定記錄,用户必須聯絡「Apple支援」才能進行更多次嘗試.
第10次嘗試失敗後,HSM叢集將銷毀託管記錄,且「鑰匙圈」將永久消失.
這種方式以犧牲「鑰匙圈」資料為代價,防止有心人士嘗試透過暴力密碼破解攻擊來取得記錄.
這些規則已寫入HSM韌體程式碼中.
允許更改韌體的管理取用卡已銷毀.
任何嘗試更改韌體或取用專用密鑰的操作,都會導致HSM叢集刪除專用密鑰.
萬一發生這種情況,受叢集保護的所有「鑰匙圈」持有人將會收到訊息,通知他們已失去其託管的記錄.
他們之後可以選擇重新註冊.
Safari與「iCloud鑰匙圈」的整合Safari可以產生加密編譯的高安全性隨機字串來用作網站密碼,然後將其儲存在「鑰匙圈」中並與其他裝置同步.

「鑰匙圈」項目會透過Apple伺服器在不同的裝置之間傳輸,但會嚴格進行加密,Apple和其他裝置均無法讀取其內容.
61ApplePayApplePay概覽使用ApplePay,用户可以使用支援的iOS裝置、iPad、Mac和AppleWatch來以簡單、安全又保密的方式,在商店、App和Safari的網頁上付款.
用户也可將具備ApplePay功能的交通卡加至「Apple銀包」.
這對用户來說很簡單,且在硬件和軟件方面皆整合了安全措施.
ApplePay的設計目標也在於保護用户的個人資料.
ApplePay不會收集任何可追蹤用户的交易資料.
付款交易只於用户、商户和發卡機構之間進行.
ApplePay組件SecureElementSecureElement是執行JavaCard平台,且符合業界標準和受認證的晶片,其符合金融業的電子付款要求.
SecureElementIC和Java卡平台已通過依照EMVCo安全性評估流程的認證.
成功完成安全性評估後,EMVCo會發出獨有的IC和平台證書.
SecureElementIC已按照「共同準則」的標準認證.
NFC控制器NFC控制器處理「近距離通訊」通訊協定並傳送應用程式處理器與SecureElement之間的通訊,以及SecureElement與銷售點終端機之間的通訊.
Apple銀包「Apple銀包」可用來加入和管理信用卡、扣帳卡和商店卡,以及使用ApplePay付款.
用户可以檢視其卡,且能同時檢視發卡機構提供的其他資料,例如發卡機構的私隱政策、近期交易,以及「Apple銀包」中的其他內容.
用户也可在以下位置將卡加入ApplePay:iOS和iPadOS上的「設定輔助程式」和「設定」用來設定AppleWatch的「手錶」App配備TouchID的Mac「系統偏好設定」中的「銀包與ApplePay」此外,用户也可用「Apple銀包」來加入和管理交通卡、獎勵卡、登機證、票證、禮品卡、學生證等.

安全隔離區在iPhone、iPad、AppleWatch和配備TouchID的Mac上,「安全隔離區」會管理認證程序並使付款交易生效.
在AppleWatch上,裝置必須解鎖,而用户必須按兩下側邊按鈕.
系統會偵測按兩下的動作並直接傳遞到SecureElement或「安全隔離區」(根據適用情況),不會經過應用程式處理器.
ApplePay伺服器ApplePay伺服器會管理信用卡、扣帳卡、交通卡和學生證在「銀包」中的設定和配置.
該伺服器亦會管理儲存在SecureElement中的「裝置帳户號碼」.
它們會與裝置和付款網絡或發卡機構伺服器進行通訊.
ApplePay伺服器也負責為App內的付款重新加密付款憑證.
62ApplePay使用SecureElement及NFC控制器的方式SecureElementSecureElement主控着一種特殊設計的Applet來管理ApplePay.
其中也包含經過付款網絡或發卡機構認證的Applet.
已加密的信用卡、扣帳卡和預付卡資料會從付款網絡傳送到這些Applet,期間會使用只有付款網絡或發卡機構和Applet的安全網域擁有的密鑰.
此資料會儲存在這些Applet中,並受到SecureElement的安全性功能保護.
在交易期間,終端機會經由專用硬件匯流排,透過近距離通訊(NFC)控制器直接與SecureElement進行通訊.
NFC控制器作為SecureElement的閘道,NFC控制器會確保所有非接觸式付款交易均使用接近該裝置的銷售點終端機進行.
NFC控制器只會將來自內場終端機的付款要求標示為非接觸式付款交易.
卡持有人使用TouchID、FaceID或密碼,或在已解鎖的AppleWatch上按兩下側邊按鈕來授權信用卡、扣帳卡或預付卡(包含商店卡)付款,SecureElement內由付款Applet準備的非接觸式付款回應便會由控制器專門傳送至NFC磁場.
因此,非接觸式付款交易的付款授權詳細資料會限制在本機NFC磁場內,且絕對不會向應用程式處理器暴露.
相反地,App內和網絡上付款的付款授權詳細資料會傳送至應用程式處理器,但在此之前會先由SecureElement將資料加密至ApplePay伺服器.
信用卡、扣帳卡及預付卡使用ApplePay配置信用卡、扣帳卡及預付卡概覽當用户加入信用卡、扣帳卡或預付卡(包含商店卡)到「Apple銀包」時,Apple會以安全的方式將卡資料及用户帳户和裝置的其他資料,傳送到發卡機構或發卡機構授權的服務供應商.
發卡機構會使用此資料來判斷是否要核准將該卡加入「Apple銀包」.
作為卡配置程序的一部份,ApplePay會使用三種伺服器端呼叫來傳送和接收與發卡機構或網絡之間的通訊:必填的欄位、卡檢查與連結和配置.
發卡機構或網絡會使用這些呼叫來驗證、核准卡以及將卡加入Apple「銀包」.
這些主從式架構作業階段皆使用TLSv1.
2進行加密.
完整卡號不會儲存在裝置或ApplePay伺服器上.
反之,系統會建立一個獨有的「裝置帳户號碼」,並對其加密,然後儲存在SecureElement中.
這個獨有的「裝置帳户號碼」會以Apple無法取用的方式加密.
「裝置帳户號碼」是獨有號碼,且與大部份信用卡或扣帳卡號不同,發卡機構或付款網絡可以防止將此號碼用於磁條卡、電話或網站.
SecureElement中的「裝置帳户號碼」永不會儲存於ApplePay伺服器上、也不會備份至iCloud,並會獨立於iOS、iPadOS、watchOS和配備TouchID的Mac電腦.
配搭AppleWatch使用的卡是使用iPhone上的AppleWatchApp或在發卡機構的iPhoneApp中配置給ApplePay.
將卡加入AppleWatch會要求手錶必須位於藍牙通訊範圍內.
卡會特別註冊以配搭AppleWatch使用且具有專屬的「裝置帳户號碼」,此資料會儲存在AppleWatch上的SecureElement內.
在使用相同iCloud帳户登入的裝置上執行「設定輔助程式」期間,已加入的信用卡、扣帳卡或預付卡(包含商店卡)會在卡列表中顯示.
只要至少在一部裝置上為啟用狀態,這些卡就會保留在這個列表上.
從所有裝置上移除卡7日後,該卡就會從此列表中移除.
此功能需要對該iCloud帳户啟用雙重認證.
手動將信用卡或扣帳卡加入ApplePay如要手動加入卡,需要提供姓名、卡號、到期日和CVV以執行配置程序.
從「設定」內、「銀包」App或AppleWatchApp,用户可以透過打字方式或使用裝置上的相機來輸入該資料.
當相機截取到卡資料時,Apple會嘗試填入姓名、卡號和到期日.
該相片並不會儲存在裝置上或相片圖庫中.
所有欄位均填妥後,「卡檢查」程序會驗證CVV以外的欄位.
所有資料然後會經過加密並傳送到ApplePay伺服器.
63如「卡檢查」程序傳回使用條款ID,Apple會下載發卡機構的使用條款及細則,並顯示給用户閱覽.
如果用户接受使用條款,Apple便會將所接受條款的ID連同CVV傳送至「連結」和「配置」程序.
此外,作為「連結」和「配置」程序的一部份,Apple會與發卡機構或網絡分享裝置的資料,如用户的iTunes和AppStore帳户活動的相關資料(例如用户是否在iTunes內有長期的交易記錄)、用户裝置的資料(例如電話號碼、裝置名稱及裝置型號,以及任何設定ApplePay所需的輔助Apple裝置),以及加入卡時的大約位置(如用户已啟用「定位服務」).
發卡機構會使用此資料來判斷是否要核准將該卡加入ApplePay.
「連結」和「配置」程序會產生兩個結果:裝置會開始下載代表信用卡或扣帳卡的「銀包」票證檔案.
裝置會開始將卡連繫至SecureElement.
票證檔案包含URL,可供下載卡圖片、與卡相關的後設資料(例如聯絡資料)、相關發卡機構App和支援的功能.
它也包含票證狀態,其中的資料包含SecureElement的個人化是否已完成、卡目前是否已遭發卡銀行停用,或在卡可以配搭ApplePay進行付款前,還需要進行哪些其他驗證.
從iTunesStore帳户將信用卡或扣帳卡加入ApplePay如要使用向iTunes登記的信用卡或扣帳卡,用户可能需要重新輸入其AppleID密碼.
系統會從iTunes取得卡號,並隨之啟動「卡檢查」程序.
如果卡符合使用ApplePay的資格,裝置會下載並顯示使用條款,並連帶條款ID和卡安全碼傳送至「連結」和「配置」程序.
iTunes帳户存檔的卡資料可能需要其他驗證.
從發卡機構的App加入信用卡或扣帳卡App註冊與ApplePay配搭使用時,系統便會為App和發卡機構伺服器建立密鑰.
這些密鑰用來加密傳送給發卡機構的卡資料,以避免資料遭Apple裝置讀取.
此配置流程類似於上述手動加入卡所使用的流程,但替代CVV所用的一次性密碼除外.
使用ApplePay進行其他驗證發卡機構有權決定信用卡或扣帳卡是否需要其他驗證.
視發卡機構提供的選項而定,用户可能有多種其他驗證選項,例如短訊、電郵、客户服務電話,或經核准的第三方App所提供的方法來完成驗證.
如使用短訊或電郵,用户需從發卡機構存檔的聯絡資料中選擇.
代碼被傳送後,用户必須將其輸入「銀包」、「設定」或AppleWatchApp中.
如使用客户服務或App驗證,發卡機構會執行其自有的通訊流程.
使用ApplePay授權付款在配備「安全隔離區」的裝置上,SecureElement只會在從「安全隔離區」接收到授權後,才會允許付款.
在iPhone或iPad上,此作業則包含確認用户已透過TouchID、FaceID或裝置密碼授權的動作.
TouchID或FaceID(如適用)為預設方法;但用户隨時都可以使用密碼.
在三次嘗試比對指紋失敗後,或是兩次嘗試配對面孔失敗後,會自動建議改用密碼;而嘗試失敗五次後,則必須輸入密碼.
當用户未設定或未針對ApplePay啟用TouchID或FaceID時,也需要輸入密碼.
如要在AppleWatch上進行付款,裝置必須使用密碼解鎖且必須按兩下側邊按鈕.
「安全隔離區」和SecureElement之間的通訊會在序列介面上進行,SecureElement會連接到NFC控制器,接着再連接到應用程式處理器.
即使未直接連接,「安全隔離區」和SecureElement也可以使用共享的密鑰組來安全地通訊,此密鑰組是在製造過程中配置的.
通訊的加密和認證是基於AES,兩端的通訊方皆會使用加密編譯隨機數來防止重播攻擊.
密鑰組是從「安全隔離區」內的UID密鑰和SecureElement的唯一識別碼產生.
密鑰組接着會安全地從「安全隔離區」傳送至工廠內的硬件安全性模組(HSM),其中包含所需的密鑰材料,再將密鑰組植入SecureElement.
64交易授權當用户授權交易時(包括直接與「安全隔離區」通訊的物理動作),「安全隔離區」會將認證類型的簽署資料和交易類型的詳細資料(非接觸式或App內付款)傳送至SecureElement,繫結至「授權隨機」(AR)值.
當用户首次配置信用卡並於ApplePay啟用時保存,便會在「安全隔離區」內產生AR,AR受「安全隔離區」的加密和反回捲機制的保護.
它會透過密鑰組安全地傳送到SecureElement.
在接收到新的AR值時,SecureElement會將任何先前加入過的卡標示為已刪除.
ApplePay中因交易而異的動態安全碼來自付款Applet的付款交易包含付款密碼及「裝置帳户號碼」.
這組密碼是一次性安全碼,計算方式是使用交易計數器和密鑰.
交易計數器會隨每筆交易遞增.
該密鑰是在個人化期間於付款Applet中配置,且付款網絡和/或發卡機構已知該密鑰.
視付款方案而定,也可能會使用其他資料來進行計算,包括:TerminalUnpredictableNumber(供NFC交易使用)ApplePay伺服器隨機數(供App內交易使用)這些安全碼會提供給付款網絡和發卡機構,供發卡機構驗證每筆交易.
這些安全碼的長度會視交易的類型而有所不同.
使用信用卡和扣帳卡在商店內以ApplePay付款如果iPhone或AppleWatch已開機且偵測到NFC磁場,便會向用户顯示要求的卡(如該卡已開啟自動選取功能),或顯示「設定」中管理的預設卡.
用户也可前往「銀包」App並選擇卡,或當裝置鎖定時:在配備TouchID的裝置上按兩下主畫面按鈕在配備FaceID的裝置上按兩下側邊按鈕接下來,在發送付款資料前,用户必須使用TouchID、FaceID或其密碼來授權.
當AppleWatch解鎖時,按兩下側邊按鈕來啟用付款的預設卡.
所有付款資料皆需經過用户認證才能發送.

用户認證完成後,在處理付款時便會使用「裝置帳户號碼」和因交易而異的動態安全碼.
無論是Apple或用户的裝置,皆不會將完整的實際信用卡或扣帳卡號碼傳送給商户.
Apple可能會接收到匿名的交易資料,如交易的大約時間和位置,這可協助改進ApplePay及其他的Apple產品和服務.
使用信用卡和扣帳卡在App內使用ApplePay付款ApplePay也可以用來在iOS、iPadOS及AppleWatchApp內進行付款.
當用户以ApplePay在App內付款時,Apple會收到加密的交易資料.
在該資料傳送給開發商或商户前,Apple會以開發者特定密鑰再次加密該交易.
ApplePay會保留匿名的交易資料,例如約略購買金額.
此資料無法用來追蹤用户,且絕不包含用户購買的商品資料.
當App起始ApplePay付款交易時,ApplePay伺服器會比商户先收到來自裝置的加密資料.
ApplePay伺服器接着會以商户特定密鑰將交易再次加密,才會將交易傳遞給商户.
當App要求付款時,會呼叫API以判別裝置是否支援ApplePay,以及用户是否有可在商户認可的付款網絡上進行付款之信用卡或扣帳卡.
App會要求取得任何所需的資料,以處理及完成交易,例如帳單和送貨地址,以及聯絡資料.
App接着會要求iOS、iPadOS或watchOS出示ApplePay表單,其會要求App的資料以及其他必要資料,例如要使用的卡.
此時,系統已向App提供城市、區和郵政編碼等資料以計算最終運費.
直到用户以TouchID、FaceID或裝置密碼授權付款,所要求的全部資料才會提供給App.
付款一經授權,ApplePay表單內出示的資料便會傳送給商户.
65App付款授權當用户授權付款時,系統會呼叫ApplePay伺服器以取得加密編譯隨機數,這與進行店內交易時NFC終端機傳回的數值類似.
隨機數和其他交易資料會傳遞到SecureElement以產生付款憑證,此付款憑證會以Apple密鑰進行加密.
當加密的付款憑證從SecureElement發出後,會傳遞到ApplePay伺服器,伺服器會解密憑證、比對憑證中的隨機數與原來由ApplePay伺服器發送的隨機數,然後使用與「商户ID」連繫的商户密鑰重新加密付款憑證.
接着付款會傳回裝置,透過API傳送回App.
App接下來會將付款憑證傳遞到商户系統進行處理.
商户便可以使用其專用密鑰解鎖付款憑證以進行處理.
連同來自Apple伺服器的簽名,這會允許商户驗證交易是針對此特定商户所進行的.
API會要求一個授權,此授權用來指定支援的「商户ID」.
App也可能包含要傳送至SecureElement進行簽署的其他資料(例如訂單號碼或客户身份),以確保交易無法轉移到其他客户.
此程序需由App開發者執行,其能指定PKPaymentRequest上的applicationData.
此資料的雜湊值會包含在加密的付款資料中.
商户接着會負責驗證其applicationData雜湊值是否與付款資料內包含的雜湊值相符.
使用信用卡和扣帳卡在網上以ApplePay付款用户可透過iPhone、iPad和AppleWatch使用ApplePay在網站上付款.
ApplePay交易也可在Mac上開始,並在使用相同iCloud帳户且啟用ApplePay的iPhone或AppleWatch上完成.
網絡上的ApplePay服務會要求所有參與的網站向Apple註冊.
Apple伺服器會執行網域名稱驗證並發出TLS用户端證書.
支援ApplePay的網站需要透過HTTPS來提供它們的內容服務.
針對每次付款交易,網站需要使用Apple發出的TLS用户端證書來向Apple伺服器取得安全且唯一的商户作業階段.
商户作業階段資料則會由Apple加以簽署.
商户作業階段簽名經過驗證後,網站便可查詢用户是否具有支援ApplePay的裝置,以及這些裝置上是否已啟用信用卡、扣帳卡或預付卡.
任何其他細節皆不會共享.
如果用户不想共享此資料,他們可以在iOS、iPadOS和macOS的Safari私隱設定中停用ApplePay查詢.
商户作業階段經過驗證後,所有安全性與私隱措施皆與用户在App內付款時相同.
如用户將付款相關資料從Mac傳送到iPhone或AppleWatch,ApplePay「接手」會使用端對端的加密Apple識別服務(IDS)通訊協定,在用户的Mac與授權裝置間傳輸付款的相關資料.
IDS會利用用户的裝置密鑰來執行加密,因此任何其他裝置皆無法解密此資料,而這些密鑰無法供Apple使用.
為ApplePay「接手」進行的裝置搜尋包含用户信用卡的類型與唯一識別碼,以及部份後設資料.
用户卡的特定裝置帳户號碼不會共享,且會安全地繼續保留在用户的iPhone或AppleWatch上.
Apple也會透過「iCloud鑰匙圈」安全地傳送用户最近使用的聯絡資料、送貨及帳單地址.
用户使用TouchID、FaceID或密碼,或在AppleWatch上按兩下側邊按鈕來授權付款後,針對每個網站商户證書進行專屬加密的付款代號就會安全地從用户的iPhone或AppleWatch傳輸到他們的Mac,然後傳遞到商户的網站.
只有鄰近的裝置可要求和完成付款.
鄰近位置是透過低耗電藍牙(BLE)廣播來加以判定.

ApplePay中的非接觸式票證如要將資料從支援的票證傳送至相容的NFC終端機,Apple使用Apple「銀包」的「增值服務」通訊協定(AppleVAS).
VAS通訊協定可在非接觸式終端機上導入,並使用NFC來與支援的Apple裝置進行通訊.
VAS通訊協定可間隔一小段距離使用,且可用來單獨出示非接觸式票證,或作為ApplePay交易的一部份.
將裝置拿近NFC終端機時,終端機會藉由發送票證要求來起始接收票證資料的程序.
如用户擁有帶有票證供應商識別碼的票證,系統會要求用户透過TouchID、FaceID或密碼授權使用.
票證資料、時間戳記及一次性隨機ECDHP-256密鑰會與票證供應商的公用密鑰一起使用,以便為票證資料衍生一個加密密鑰,並將此密鑰傳送至終端機.

在iOS12至iOS13中,用户在出示票證至商户的NFC終端機前可手動選擇票證.
在iOS13.
1或以上版本,票證供應商可設定手動選擇票證是否需要用户認證或無需認證.
66轉譯卡無法與ApplePay配搭使用只有在SecureElement使用與加入卡時相同的密鑰組和AR值出示授權時,才能使用加入到SecureElement的信用卡、扣帳卡和預付卡.
在接收到新的AR值時,SecureElement會將任何先前加入過的卡標示為已刪除.
這使OS在下列情況發出指令,讓「安全隔離區」將AR副本標示為無效,將卡轉譯為無法使用的狀態:方式裝置在密碼停用時iPhone、iPad、AppleWatch在密碼停用時Mac用户登出iCloud時iPhone、iPad、Mac、AppleWatch用户選擇「清除所有內容及設定」時iPhone、iPad、AppleWatch裝置從「還原模式」還原時iPhone、iPad、Mac、AppleWatch取消配對時AppleWatch停用、移除和清除卡用户可以使用「尋找」來將裝置設為「遺失模式」,藉此在iPhone、iPad及AppleWatch上停用ApplePay.
用户也可以使用「尋找」、iCloud.
com或直接在裝置上使用「銀包」App來清除ApplePay中的卡.
在AppleWatch上,可以使用iCloud設定、iPhone上的AppleWatchApp移除卡,或直接在手錶上移除卡.
在裝置上使用卡來進行付款的功能將會由發卡機構或個別付款網絡在ApplePay中停用或移除,即使裝置處於離線狀態且未連線至流動數據或Wi-Fi網絡也能進行.
用户也可致電其發卡機構來從ApplePay停用或移除卡.
此外,當用户透過「清除所有內容及設定」、使用「尋找」來清除整部裝置,或將裝置還原時,iOS、iPadOS和macOS裝置會指示SecureElement將所有卡標記為已刪除.
這會立即將卡更改為無法使用的狀態,直到可聯絡到ApplePay伺服器來從SecureElement完全清除卡為止.
除此之外,「安全隔離區」會將AR標示為無效,使先前登記的卡無法進行進一步的付款授權.
當裝置為在線狀態時,會嘗試聯絡ApplePay伺服器,以確保SecureElement中的所有卡皆已清除.
AppleCash在iOS11.
2或以上版本及watchOS4.
2或以上版本上,可在iPhone、iPad或AppleWatch上使用ApplePay向其他用户付款、收款和請款.
用户收款時,款項會加入AppleCash帳户中,且可在用户已用AppleID登入的合格裝置上,前往「銀包」或「設定」>「銀包與ApplePay」使用該款項.
如要使用個人對個人付款和AppleCash,用户必須在與AppleCash相容的裝置上登入自己的iCloud帳户,並為iCloud帳户設定雙重認證.
用户設定AppleCash時,用户加入信用卡或扣帳卡時提供的相同資料可能會與我們的合作銀行GreenDotBank和ApplePaymentsInc.
共享,ApplePaymentsInc.
是我們專為保護用户的私隱而成立的全資子公司,其儲存和處理資料的過程獨立於Apple與其餘子公司,且方法完全保密.
此資料只用於排解疑難、防範詐騙和法規用途.

用户間的請款和轉帳程序可從「訊息」App內啟動或要求Siri執行.
用户嘗試付款時,iMessage會顯示ApplePay表單.
系統一律會先使用AppleCash餘額.
如有必要,會從用户加入「銀包」App中的第二信用卡或扣帳卡提取額外款項.
「銀包」中的AppleCash卡可配搭ApplePay使用,以便在商店、App內和網絡上付款.
AppleCash帳户中的錢也可以轉帳到銀行帳户.
除了收取其他用户所付的款項,也可使用「銀包」App中的扣帳卡或預付卡為AppleCash帳户增值.
一旦交易完成,基於疑難排解、防範詐騙或法規目的,ApplePaymentsInc.
會儲存且可能使用用户的交易資料.
Apple與其餘子公司無從得知用户的付款、收款對象或使用AppleCash卡購物的地點.
67當用户透過ApplePay付款、將款項加入AppleCash帳户中,或轉帳至銀行帳户時,系統會呼叫ApplePay伺服器以取得加密編譯隨機數,這個隨機數與App中針對ApplePay傳回的數值類似.
隨機數和其他交易資料會傳遞到SecureElement以產生付款簽名.
付款簽名從SecureElement傳出時,其會傳遞至ApplePay伺服器.
ApplePay伺服器會透過付款簽名和隨機數驗證交易的認證、完整性和正確性.
接着就會啟動轉帳程序,並在交易完成時通知用户.
如果交易包含使用信用卡或扣帳卡為AppleCash增值、付款給另一位用户,或在AppleCash餘額不足時提供補充款項,那麼系統會產生一個加密付款憑證並傳送至ApplePay伺服器,這與在App和網站中用於ApplePay的憑證類似.
AppleCash帳户的餘額超過一定金額後,或當偵測到異常活動,系統就會提示用户驗證其身份.
社會安全碼或問題的回答(例如確認用户以前居住的街道名稱)等提供用於驗證用户身份的資料,都會以安全的方式傳輸給Apple的合作廠商,並使用其密鑰進行加密.
Apple無法解密這些資料.
AppleCard在「銀包」App中申請AppleCard在iOS12.
4或以上版本、macOS10.
14.
6或以上版本、watchOS5.
3或以上版本,AppleCard可配搭ApplePay在商店、App和網上進行付款.
如要申請AppleCard,用户必須在與ApplePay相容的iOS或iPadOS裝置上登入自己的iCloud帳户,並已為iCloud帳户設定雙重認證.
申請獲批後,AppleCard會立即在用户已用其AppleID登入的合資格裝置上之「銀包」App,或「設定」>「銀包與ApplePay」中可用.
申請AppleCard時,用户的身份資料將由Apple的身份服務供應商合作伙伴進行安全驗證,然後與GoldmanSachsBankUSA共享,以進行身份和信用評估.
申請過程中提供的社會安全碼或ID證件圖像之類的資料將安全地傳輸到Apple的身份服務供應商合作伙伴和/或使用其自有密鑰加密的GoldmanSachsBankUSA.
Apple無法解密這些資料.
在申請過程中提供的收入資料以及用於支付帳單的銀行帳户資料已安全地傳輸到GoldmanSachsBankUSA,並使用其密鑰進行加密.
銀行帳户資料儲存於「鑰匙圈」中.
Apple無法解密這些資料.
將AppleCard加入到「銀包」App時,可能會與Apple合作伙伴銀行GoldmanSachsBankUSA及ApplePaymentsInc.
共享用户加入信用卡或扣帳卡時相同的資料.
此資料只用於排解疑難、防範詐騙和法規用途.

用户可以在「銀包」App中向AppleCard要求實體卡.
用户收到實體卡後,需要以實體卡雙摺信封中的NFC標籤來啟用卡.
該標籤為每張卡獨有,不能用於啟用用户的其他卡.
或者,可以在「銀包」設定中手動啟用卡.
此外,用户也可以隨時透過「銀包」App選擇鎖定或解鎖實體卡.
AppleCard付款及Apple「銀包」票證詳細資料用户可以使用AppleCash和銀行帳户,透過iOS上的「銀包」App以AppleCard帳户付款.
可以將帳單付款安排為定期付款,也可以安排為在特定日期使用AppleCash和銀行帳户一次付款.
用户付款時將呼叫ApplePay伺服器以獲得類似於AppleCash的加密隨機數.
隨機數和付款設定詳情會傳遞到SecureElement以產生簽名.
付款簽名從SecureElement傳出時,其會傳遞至ApplePay伺服器.
付款的認證、完整性和正確性會由ApplePay伺服器透過簽名和隨機數驗證,並將訂單傳遞給GoldmanSachsBankUSA進行處理.
如要使用「銀包」App在票證中顯示AppleCard號碼的詳細資料,需要使用FaceID、TouchID或密碼進行用户身份驗證.
用户可以在卡資料部份中更換,並停用上一個選項.
68「銀包」App中的交通卡在許多世界市場上,用户可在支援的iPhone和AppleWatch型號上將支援的交通卡加入「銀包」App中.
視交通工具營運商而定,方法為從實體卡將餘額和定期票證轉移至其數碼「Apple銀包」代表票證中,或「銀包」App或從發卡機構的App配置新交通卡到「銀包」App中.
將交通卡加入「銀包」App後,用户只要把iPhone或AppleWatch靠近交通卡讀卡機就可以搭乘公共交通工具.
部份卡亦能用來付款.
加入的交通卡會與用户的iCloud帳户連繫.
如果用户加入超過一張卡至「銀包」App,Apple或交通卡發卡機構可能可以連繫卡之間的用户個人資料和相關帳户資料.
交通卡和交易都受到一組階層式加密編譯密鑰保護.

從實體卡轉移餘額到「銀包」App的過程中,用户必須輸入卡的特定資料.
用户也需要提供個人資料來證明卡持有人身份.
將票證從iPhone轉移至AppleWatch時,轉移過程中兩部裝置都必須處於線上狀態.
可透過「銀包」從信用卡、扣帳卡和預付卡或從交通卡發卡機構的App增值.
使用ApplePay時重新載入餘額的安全性,於「使用信用卡和扣帳卡透過ApplePay在App內付款」說明.
從交通卡發卡機構的App內配置交通卡的程序,於「從發卡機構的App加入信用卡或扣帳卡」中說明.
如系統支援從實體卡配置,交通卡發卡機構擁有認證實體卡和驗證用户所輸入的資料所需的加密編譯密鑰.
資料通過驗證後,系統可為SecureElement建立「裝置帳户號碼」,並在「銀包」App中啟用新加入且含有轉移餘額的票證.
在部份城市,完成從實體卡配置後,實體卡便會停用.
無論使用哪一種配置類型,如交通卡餘額儲存於裝置中,都會被加密並儲存到SecureElement中的指定Applet內.
交通營運商擁有密鑰,用於針對卡資料執行加密編譯操作以進行餘額交易.

依照預設,用户可享有流暢的「特快交通卡」體驗,無須使用TouchID、FaceID或密碼即可付款和乘搭公共交通工具.
如啟用了「特快模式」,便可利用鄰近的任何非接觸式讀卡機取得最近造訪過的車站、交易記錄和其他票券等資料.

用户如要啟用TouchID、FaceID或密碼認證要求,只需在「銀包與ApplePay」設定中停用「特快交通卡」即可.
與其他ApplePay卡相同,用户可藉由以下方式停用或移除交通卡:透過「尋找」遙距清除裝置透過「尋找」啟用「遺失模式」流動裝置管理(MDM)遙距清除指令從AppleID帳户頁面移除所有卡從iCloud.
com移除所有卡從「銀包」App移除所有卡在發卡機構的App中移除卡ApplePay伺服器會通知交通工具運營商停用這些卡.
如果用户從已上線的裝置移除交通卡,可將餘額加回以相同AppleID登入的裝置上來還原餘額.
如裝置離線、關閉電源或無法使用,就可能無法還原.

「銀包」中交通適用的信用卡和扣帳卡在部份城市,交通讀卡器接受以EMV卡支付乘車費用,當用户向這些讀卡器出示信用卡或扣帳卡時,就需要用户進行身份驗證,如同「使用信用卡和扣帳卡在商店內付款」一樣.
在iOS12.
3或以上版本中,可以為「特快交通」啟用「銀包」App中的部份現有EMV信用卡/扣帳卡,從而允許用户在支援的交通工具運營商付款,而無需TouchID、FaceID或密碼.
當用户設置EMV信用卡或扣帳卡時,將為「特快交通」啟用配置到「銀包」App中的第一張卡.
用户可以在「銀包」App中點一下卡正面的「更多」按鈕,然後透過設定「特快交通設定」>「無」來停用該卡的「特快交通」.
用户也可以透過在「銀包」App中選擇其他信用卡或扣帳卡作為他們的「特快交通」卡.
如要重新啟用或為「特快模式」選擇另一張卡,都必須使用TouchID、FaceID或密碼.
AppleCard和AppleCash均符合「特快交通」的資格.
69「銀包」App中的學生證在iOS12或以上版本中,參與方案的院校所屬教職員生可在支援的iPhone及AppleWatch上將其學生證加入「銀包」App中,以便進出校園設施及在接受其證件的地方付款.
用户透過證件發證機構或參與學校提供的App,將其學生證加入「銀包」中.
此操作的技術程序,與「從發卡機構的App加入信用卡或扣帳卡」中所述的程序相同.
此外,發卡機構的App必須支援對保護其學生證存取權限的帳户使用雙重認證.
最多可同時在以相同AppleID登入的任何兩部支援Apple裝置上設定同一張卡.
如將學生證加入「銀包」App,系統會預設開啟「特快模式」.
「特快模式」中的學生證可以無需使用TouchID、FaceID、密碼驗證或按兩下AppleWatch側邊按鈕,即可與接受方的終端機互動.
用户可以按一下「銀包」App中證件正面的「更多」按鈕,然後關閉「特快模式」來停用此功能.
重新啟用「特快模式」必須使用TouchID、FaceID或密碼.
可藉由以下方式停用或移除學生證:透過「尋找」遙距清除裝置透過「尋找」啟用「遺失模式」流動裝置管理(MDM)遙距清除指令從AppleID帳户頁面移除所有卡從iCloud.
com移除所有卡從「銀包」App移除所有卡在發卡機構的App中移除卡iMessageiMessage概覽Apple的iMessage是一項適用於iOS及iPadOS裝置、AppleWatch和Mac電腦的傳訊服務.
iMessage支援文字以及相片、聯絡人、位置資料和連結等,以及直接加到訊息上的,例如用手比讚圖像.
訊息會顯示在用户所有註冊的裝置上,這樣用户就可以在其他裝置上繼續對話.
iMessage充分使用了Apple推送通知服務(APNs).
Apple不會記錄訊息內容或,且其受端對端的加密服務保護,因此只有傳送者和接收者可以取用,Apple無法解密這些資料.
當用户開啟裝置上的iMessage時,裝置會產生加密和簽名密鑰組以配搭服務使用.
針對加密,NISTP-256曲線上有一個加密的RSA1280位元密鑰和一個加密的EC256位元密鑰.
針對簽名,系統會使用ECDSA256位元簽名密鑰.
專用密鑰將儲存在裝置的「鑰匙圈」中,並只有在首次解鎖後才能使用.
公用密鑰則會與裝置的APNs地址一起傳送至Apple識別服務(IDS),且公用密鑰會與用户的電話號碼或電郵地址連繫.
當用户啟用其他裝置來使用iMessage時,他們的加密方式和用來簽署的公用密鑰、APNs地址及所連繫的電話號碼都會加至目錄服務中.
用户亦可以加入更多電郵地址,系統會透過傳送確認連結來驗證這些電郵地址.
電話號碼則透過電訊商網絡和SIM卡進行驗證.
部份網絡需使用SMS進行驗證(如果SMS費用不是零,則會向用户顯示確認對話框).
除了iMessage之外,還有多個系統服務可能須進行電話號碼驗證,例如FaceTime和iCloud.
當有新裝置、電話號碼或電郵地址加入時,用户所有已註冊的裝置都會顯示一則提示訊息.

iMessage傳送和接收訊息的方式用户透過輸入地址或姓名來開始iMessage對話.
如果他們輸入電話號碼或電郵地址,裝置就會聯絡Apple識別服務(IDS)以截取與該地址連繫的所有裝置之公用密鑰和APNs地址.
如果用户輸入的是名字,裝置會先使用用户的「通訊錄」App來收集與該名字連繫的電話號碼和電郵地址,然後再從IDS取得公用密鑰和APNs地址.
70用户的外送訊息會針對接收者的每個裝置進行個別加密.
接收裝置的公用加密密鑰及簽名密鑰會從IDS取得.
針對每部接收裝置,傳送裝置會產生隨機88位元的值並將其作為HMAC-SHA256密鑰,以建立從傳送者與接收者公用密鑰與純文字衍生的40位元值.
88位元與40位元值的鏈結會產生128位元的密鑰,該密鑰會在CTR模式下使用AES來加密訊息.
接收者端會使用40位元的值來驗證解密純文字的完整性.
系統會對接收裝置的公用密鑰使用RSA-OAEP以加密每則訊息的AES密鑰.
加密訊息文字與加密訊息密鑰的組合接着會以SHA-1進行雜湊運算,而雜湊值會使用傳送裝置的專用簽署密鑰以ECDSA進行簽署.
從iOS13及iPadOS13.
1開始,裝置可使用ECIES加密取代RSA加密.
產生的訊息(每部接收裝置一則)是由加密訊息文字、加密訊息密鑰及傳送者的電子簽名所組成.
這些訊息會立即分送至APNs進行遞送.
時間戳記和APNs路由資料等後設資料則不會加密.
與APNs的通訊會使用前向安全TLS通道進行加密.
視iOS或iPadOS版本而定,APNs最多只可以轉送大小為4KB或16KB的訊息.
如訊息文字過長或隨附(例如相片),會使用AES在CTR模式下以隨機產生的256位元密鑰進行加密並上載至iCloud.
的AES密鑰、其統一資源識別碼(URI)和其加密表單的SHA-1雜湊值隨後會以iMessage內容的形式傳送給收件者,並透過一般的iMessage加密保護這些內容的機密性和完整性,如下圖所示.
iMessage傳送和接收訊息的方式.
對於群組對話,每位接收者與其裝置之間都會重複此過程.
接收方的每部裝置都會從APNs接收到一份訊息,且如有需要,裝置會從iCloud取得.
如傳送者的來電號碼或電郵地址與接收者的聯絡人相符,則會顯示一個名字.
與所有推送通知一樣,訊息在遞送後便會從APNs中刪除.
然而,與其他APNs通知不同的是,如裝置離線,iMessage訊息會排入佇列等待發送.
訊息最多可儲存30日.
71iMessage名稱和相片分享iMessage「名稱和相片分享」讓用户使用iMessage來分享「名稱和相片」.
用户可以選擇他們的個人卡片資料,或自訂名稱並包括他們選擇的任何圖像.
iMessage「名稱和相片」分享使用兩階段系統來分發名稱和相片.

資料分為多個欄位,每個欄位會分別加密和認證,並使用以下程序一起認證.
共有三個欄位:名稱相片相片檔案名稱資料製作的第一步是在裝置上隨機產生一個記錄128位元密鑰.
然後使用HKDF-HMAC-SHA256衍生此記錄密鑰,以製作三個子密鑰:密鑰1:密鑰2:密鑰3=HKDF(recordkey,"nicknames").
針對每個欄位,都會產生一個隨機的96位元IV,並使用AES-CTR和「密鑰1」加密資料.
然後,以HMAC-SHA256使用「密鑰2」計算訊息確認碼(MAC),並覆蓋欄位名稱、欄位IV和欄位密文.
最後,將個別欄位MAC值集合連接,並使用「密鑰3」以HMAC-SHA256計算它們的MAC.
256位元的MAC會與加密資料一起儲存.
此MAC的前128位元會用作RecordID.
然後,該加密記錄會儲存在CloudKit公用資料庫中的RecordID下.
此記錄永遠不會更改,當用户選擇更改名稱和相片時,每次都會產生一個新的加密記錄.
當用户1選擇與用户2分享名稱和相片時,他們將在iMessage承載資料中發送已加密的記錄密鑰以及recordID.
當用户2的裝置收到此iMessage承載資料時,它會注意到該承載資料包含「暱稱」、「相片」recordID和密鑰.
然後,用户2的裝置進入公共CloudKit資料庫,以記錄ID取得加密的「名稱」和「相片」,並將其發送到iMessage中.
取得資料後,用户2的裝置會解密承載資料並使用recordID本身驗證簽名.
如驗證通過,則會向用户2提供「姓名」和「相片」,他們可以選擇將資料添加到聯絡人中,或將其用於「訊息」.

商務聊天「商務聊天」是讓用户可使用「訊息」App來與商户通訊的傳訊服務.
只有用户可發起對話,而商户會收到難以識別該用户的識別碼.
商户不會收到用户的電話號碼、電郵地址或iCloud帳户資料.
當用户與Apple聊天時,Apple會收到與用户AppleID連繫的「商務聊天ID」.
用户保有是否要繼續通訊的控制權.
刪除「商務聊天」對話會將其從用户的「訊息」App中移除,並阻止商户繼續傳送訊息給用户.
傳送給商户的訊息會在用户裝置和Apple的傳訊伺服器之間分別加密.
Apple的傳訊伺服器會將這些訊息解密,再透過TLS轉送給商户.
商户的回覆會以類似的方式透過TLS傳送至Apple的傳訊伺服器,伺服器會重新加密訊息再傳送至用户的裝置.
如使用iMessage,訊息可排入佇列最多30日,等待傳送給離線的裝置.
FaceTimeFaceTime是Apple的視訊和語音通話服務.
與iMessage類似,FaceTime通話使用「Apple推送通知」(APNs)服務來與用户已註冊的裝置建立初始連線.
FaceTime通話的語音/視訊內容受到端對端的加密保護,因此只有傳送者和接收者可以取用.
Apple無法解密這些資料.
初始FaceTime連線是透過Apple伺服器基礎架構建立,這個基礎架構負責轉送用户已註冊的裝置之間的資料封包.

透過使用APNs通知與「用於NAT的作業階段周遊公用程式」(STUN)訊息來轉送連線,裝置會驗證其識別證書並為每個作業階段建立共享密鑰.
這個共享密鑰會使用「安全即時通訊協定」(SRTP),來為串流的媒體通道製作作業階段密鑰.
系統會以計數器模式和HMAC-SHA1使用AES-256來加密SRTP封包.
完成初始連線和安全性設定後,FaceTime便會使用STUN與「互聯網連接建立」(ICE)來建立裝置間的點對點連線(如適用).
72「群組FaceTime」延伸FaceTime的功能,可支援最多33位成員同時參與.
如同傳統的一對一FaceTime一樣,群組通話會在受邀成員的裝置之間進行端對端加密.
雖然「群組FaceTime」重複使用了許多一對一FaceTime的基礎架構和設計,不過「群組FaceTime」通話採用以Apple識別服務(IDS)所提供的確實性為基礎的全新密鑰建立機制.
這套通訊協定提供前向安全性,這表示即便用户的裝置遭入侵,也不會洩漏過去通話的內容.
作業階段密鑰使用AES-SIV封裝,並使用ECIES架構配搭臨時P-256ECDH密鑰來在成員間分發.
當有新電話號碼或電郵地址加入進行中的「群組FaceTime」通話時,使用中的裝置會建立新的媒體密鑰,且絕不會與新邀請的裝置分享先前用過的密鑰.
尋找「尋找」概覽「尋找」App將「尋找我的iPhone」和「尋找我的朋友」結合為iOS、iPadOS和macOS中的單一App.
「尋找」可以協助用户定位遺失裝置,甚至是離線的Mac.
在線上的裝置只需透過iCloud向用户報告位置.
「尋找」透過從遺失裝置傳送可被附近其他使用中的Apple裝置偵測到的短距離藍牙訊號,即可離線使用.
其後,附近的裝置可將偵測到的遺失裝置位置傳送到iCloud,讓用户可以在「尋找」App定位裝置,以上操作皆會保障所有參與用户的私隱和安全性.
「尋找」甚至可用於離線或睡眠中的Mac.
使用藍牙和世界各地正在使用的數以億計的iOS、iPadOS和macOS裝置,即使裝置無法連接到Wi-Fi或流動網絡,用户也可以找到遺失的裝置.
在「尋找」設定中啟用「離線尋找」的任何iOS、iPadOS或macOS裝置都可以作為「尋找裝置」.
這代表着該裝置可以使用藍牙偵測到另一部遺失的離線裝置,然後使用其網絡連接將大約位置報告給擁有者.
當裝置啟用了離線尋找功能時,這也代表了其他參與者也可以用相同的方式來找到它.
整個互動是以端到端加密、匿名,並針對提高電池和資料的效率而設計,因此對電池壽命、流動數據計劃的使用影響最少,並可保護用户私隠.

附註:「尋找」可能無法在部份國家或地區使用.
「尋找」中的端對端加密「尋找」建立在進階公用密鑰密碼學的基礎上.
在「尋找」設定中啟用了離線尋找功能後,會在裝置上直接產生一個ECP-224私人加密密鑰配對,標記為{d,P},其中d是專用密鑰,P是公用密鑰.
此外,一個256位元秘密SK0和一個計數器i被初始化為零.
該專用密鑰配對和秘密將永遠不會發送給Apple,並只使用「iCloud鑰匙圈」以端到端的加密方式在用户的其他裝置之間同步.
秘密和計數器用於透過以下遞迴構造得出目前對稱密鑰Ski:SKi=KDF(SKi-1,"update")基於密鑰SKi,使用(ui,vi)=KDF(SKi,"diversify")計算兩個大整數ui和vi.
然後,使用涉及兩個整數的仿射關係來衍生出表示為d的P-224專用密鑰和相應稱為P的公用密鑰,從而計算短期密鑰組:衍生的專用密鑰為di,其中di=ui*d+vi(以P-224曲線的模型為順序),相應的公用密鑰部份為Pi,並驗證Pi=ui*P+vi*G.
當裝置遺失並且無法連接到Wi-Fi或流動網絡(例如,放在公園長椅上的MacBook)時,它會開始在藍牙承載資料中有限的時間內定時廣播衍生的公鑰Pi.
透過使用P-224,公用密鑰代表可以放入單一藍牙承載資料中.
周圍的裝置可以透過將其位置加密至公用密鑰來幫助找到離線裝置.
大約每15分鐘,系統會使用遞增的計數器值和上述過程,將公用密鑰替換為新的公用密鑰,所以無法使用永久識別碼來追蹤用户.
衍生機制會防止將不同的公用密鑰Pi連接至同一部裝置.
73在「尋找」中尋找遺失裝置的位置啟用了離線尋找功能並處於藍牙範圍內之任何Apple裝置都可以偵測到此訊號並讀取當前的廣播密鑰Pi.
尋找裝置使用ECIES架構和廣播中的公用密鑰Pi,對其當前位置資料進行加密並將其轉送給Apple.
加密的位置會連繫至伺服器索引,該伺服器索引被計算為從藍牙承載資料獲取的P-224公用密鑰Pi的SHA-256雜湊.
Apple永遠不會獲得該解密密鑰,因此Apple無法讀取由尋找裝置加密的位置.
遺失裝置的擁有者可以重建索引並解密已加密的位置.

「尋找」找出裝置的方式.
在嘗試尋找遺失的裝置時,將為位置搜尋時段估算計數器值的預期範圍.
有了原始專用密鑰有P-224密鑰d和搜尋時段的計數器值範圍內的秘密值SKi的知識,擁有者便可以為整個搜尋時段內重建一組值{di,SHA-256(Pi)}.
然後,用於尋找遺失裝置的擁有者裝置可以使用一組索引值SHA-256(Pi)對伺服器執行查詢,並從伺服器下載加密的位置.
然後,「尋找」App使用配合的專用密鑰di在本機解密加密的位置,並在App中顯示遺失裝置的大概位置.
來自多個尋找器裝置的位置報告由擁有者的App合併來產生更精確的位置.
擁有者從「尋找」取得裝置位置的方式.
如用户在其裝置上啟用了「尋找我的iPhone」,當其將裝置升級至iOS13、iPadOS13.
1及macOS10.
15時,預設下會啟用離線尋找.
這樣可確保每位用户在遺失裝置時,都有最大機會找到其裝置.
但是,如果用户在任何時候不想再參與,可以在其裝置的「尋找」設定中停用離線尋找.
停用離線尋找後,該裝置將不會再作為尋找裝置,也無法被其他尋找裝置偵測.
但是,只要裝置可以連接到Wi-Fi或流動網絡,用户仍然可以找到該裝置.
74在「尋找」中保持用户及裝置匿名除了確保位置資料和其他資料完全加密之外,參與者的身份在彼此之間以及與Apple之間都保持私密.
尋找裝置傳送至Apple的流量之內容或標題中,不包括身份驗證資料.
故此,Apple不會知道尋找者身份或被尋找裝置的所有者身份.
此外,Apple不會記錄可能透露尋找者身份的資料,並且不會保留可讓任何人將尋找者與所有者連繫的任何資料.
裝置擁有者只會收到已解密並顯示在「尋找」App中的加密位置資料,而資料不會指出誰是找到裝置的尋找者.
在「尋找」中檢視離線裝置找到遺失的離線裝置時,用户會收到通知及電郵以知會其裝置已找到.
如要檢視遺失裝置的位置,用户可開啟「尋找」App並選擇「裝置」分頁.
「尋找」不會在裝置被找到之前的空白地圖上顯示該裝置,而是顯示一個地圖位置,其中包括大致的地址以及偵測到該裝置多久的相關資料.
如收到更多位置報告,目前的位置和時間戳記均會自動更新.
儘管用户無法在離線裝置上播放聲音或無法遙距刪除裝置,但他們可以使用位置資料來追溯其操作步驟,或採取其他措施來幫助他們還原裝置.
接續互通「接續互通」概覽「接續互通」運用iCloud、藍牙和Wi-Fi等技術,可讓用户從一部裝置到另一部裝置繼續活動、撥打和接聽電話、傳送和接收短訊,以及共享流動數據互聯網連線.
接手當用户的iOS、iPadOS和macOS裝置彼此接近時,用户可以使用「接手」功能,自動將正在處理的內容從一部裝置傳送到另一部裝置.
用户可以使用「接手」功能來切換裝置並立即繼續操作.

當用户在第二部支援「接手」功能的裝置上登入iCloud時,兩部裝置會透過APNs來建立頻外低耗電藍牙(BLE)4.
2配對.
各個訊息會採用與iMessage相似的加密方式.
裝置配對後,每部裝置都會產生對稱的256位元AES密鑰,並儲存在裝置的「鑰匙圈」中.
此密鑰可加密和認證BLE廣播,其會在GCM模式下使用AES-256並採用重播保護措施,將裝置目前的活動傳遞給其他已配對的iCloud裝置.
裝置首次接收到來自新密鑰的廣播時,會建立與起始裝置之間的BLE連線,並執行廣播加密密鑰的交換.
此連線使用標準的BLE4.
2加密方式以及將個別訊息加密的方式(與iMessage的加密方式類似)來進行保護.
在部份情況下,這些訊息會使用APNs而不是使用BLE傳送.
活動的承載資料會使用與iMessage相同的方式進行保護和傳輸.
在原生App和網站之間使用「接手」功能「接手」功能允許iOS、iPadOS或macOS的原生App繼續用户在由App開發者合法控制之網域中網頁的活動.
「接手」也允許原生App的用户活動在網頁瀏覽器繼續進行.
為了阻止原生App要求繼續取用非受開發者控制的網站,App必須證明擁有要繼續取用的網域之合法控制權.
對網站網域的控制是使用共用網頁憑證的機制來建立.
如需詳細資料,請參閱:App取用已儲存的密碼.
在允許App接受使用「接手」功能的用户活動前,系統必須驗證App的網域名稱控制.
使用「接手」功能傳送的網頁來源可以是任何採用了「接手」API的瀏覽器.
當用户檢視網頁時,系統會使用加密的「接手」廣播位元組來廣播網頁的網域名稱.
只有用户的其他裝置能夠解密該廣播位元組.

在接收裝置上,系統會偵測到已安裝的原生App接受了來自已廣播網域名稱的「接手」,並將該原生App圖像顯示為「接手」選項.
啟動後,原生App會接收完整的URL和網頁標題.
瀏覽器中的其他資料則不會傳送到原生App.
75相反地,如「接手」接收裝置未安裝相同的原生App,原生App可指定後援URL.
在此情況下,系統會將用户的預設瀏覽器顯示為「接手」App選項(如該瀏覽器已採用「接手」API).
要求使用「接手」時,系統會啟動瀏覽器並接收來源App提供的後援URL.
後援URL並不一定要限制為由原生App開發者控制的網域名稱.
使用「接手」傳送較龐大的資料除了使用「接手」的基本功能外,部份App可能會選擇使用支援傳送大量資料的API(透過Apple建立的點對點Wi-Fi技術,方式與AirDrop類似).
例如,「郵件」App會使用這些API來支援「接手」功能,以傳送可能包含較大附件的郵件草稿.
當App使用此功能時,兩部裝置間會開始交換,如同使用「接手」傳送一樣.
不過,在使用低耗電藍牙(BLE)收到初始承載資料後,接收裝置會透過Wi-Fi來啟用新的連線.
此連線會加密(使用TLS)以交換其iCloud身份證書.
證書中的識別標誌會針對每位用户的身份進行驗證.
其他承載資料會透過此加密的連線進行傳送,直到傳輸完成為止.

通用剪貼簿「通用剪貼簿」運用「接手」安全地跨裝置傳送用户的剪貼簿內容,因此他們可以在一部裝置上複製並在另一部裝置貼上.
剪貼簿內容會如其他「接手」資料一樣受到保護,並依照預設與「通用剪貼簿」分享,App開發者選擇不允許分享時不在此限.
無論用户是否已將剪貼簿內容貼至App中,App皆可取用剪貼簿資料.
透過「通用剪貼簿」,此資料取用會延伸至用户在其他裝置上執行的App(必須以iCloud登入裝置來建立此存取權限).
iPhone流動通話轉送Mac、iPad、iPodtouch或HomePod如連接與iPhone相同的Wi-Fi網絡,即可透過iPhone流動網絡連線來撥打和接聽電話.
設定會要求裝置使用相同的AppleID帳户同時登入iCloud和FaceTime.
收到來電時,會透過「Apple推送通知服務」(APNs)來通知所有已設定的裝置,每個通知都會使用與iMessage相同的端對端加密機制.
位於相同網絡上的裝置會顯示來電通知用户介面.
接聽電話時,會使用安全的點對點連線技術在兩部裝置間無縫傳輸iPhone的音訊.
在一部裝置上接聽來電時,會使用低耗電藍牙(BLE)短暫傳播來終止附近與iCloud配對的裝置鈴聲.
傳播位元組會使用與「接手」傳播相同的方式進行加密.
撥出的通話也將透過「Apple推送通知服務」轉送到iPhone,並以類似的方式透過安全的點對點連結在裝置間傳輸音訊.
用户可以在FaceTime設定中關閉「iPhone流動數據通話」來停用裝置的電話轉送功能.
iPhone訊息轉送「訊息轉送」會自動將iPhone上收到的SMS文字短訊傳送到用户已註冊的iPad、iPodtouch或Mac上.
每部裝置都必須使用相同的AppleID帳户登入iMessage服務.
當「訊息轉送」開啟時,如啟用了雙重認證,系統會自動在用户信任圈內的裝置上進行註冊作業.
否則,可在每部裝置上輸入由iPhone產生的隨機六位數驗證碼來進行註冊作業.
裝置完成連結後,iPhone便會加密傳入的SMS短訊並轉送至每部裝置,此作業使用的方式如iMessage部份所述.
回覆會以相同方式傳回到iPhone,且iPhone之後會使用電訊商的SMS傳輸機制以短訊來傳送回覆.
「訊息轉送」功能可在「訊息」設定中開啟或關閉.
即時熱點支援「即時熱點」的iOS及iPadOS裝置使用低耗電藍牙(BLE)來搜尋裝置並與其進行通訊,前提是裝置必須已使用相同的個人iCloud帳户或配合「家人共享」的帳户進行登入(在iOS13和iPadOS中).
與「即時熱點」相容且配備OSX10.
10或以上版本的Mac電腦,可使用相同的技術來搜尋支援「即時熱點」的iOS及iPadOS裝置,並與其進行通訊.
76預設當用户進入裝置上的Wi-Fi設定時,裝置會發出包含一個識別碼的BLE廣播,所有登入相同iCloud帳户的裝置均接受該識別碼.
該識別碼由與iCloud帳户連繫的DSID(DestinationSignalingIdentifier)產生,並會定期更新.
當其他登入相同iCloud帳户的裝置彼此接近且支援「個人熱點」時,這些裝置會偵測訊號並加以回應,以表示可使用「個人熱點」.
當不屬於「家人共享」成員的用户選擇將iPhone或iPad用作「個人熱點」時,會向該裝置傳送開啟「個人熱點」的要求.
而該要求會透過加密的連結(使用BLE加密方法)進行傳送;要求的加密方式與iMessage的加密方式類似.
裝置接着會透過相同的BLE連結,使用相同訊息專屬加密方式來回應「個人熱點」的連線資料.
對於屬於「家人共享」的用户,使用類似HomeKit裝置同步資料的機制來安全共享「個人熱點」連線資料.
具體來說,在用户之間共享熱點資料的連線,是以用户各自的裝置之特定Ed25519公用密鑰來進行身份驗證的ECDH(Curve25519)臨時密鑰保護.
建立「家人共享」時,使用的公用密鑰是以前使用IDS在「家人共享」的成員之間同步的公用密鑰.
77網絡安全性網絡安全性概覽除了Apple用於保護Apple裝置上所儲存資料的內置安全保護,也有許多措施可供企業組織採用並確保資料從裝置來回傳輸時安全無虞.
所有此等保護和措施都屬於網絡安全性.
用户必須能在全球各處存取公司網絡,因此很重要的一點是確保他們獲得授權,並讓資料在傳輸過程中獲得充分保護.
為了達成這些安全性目標,iOS、iPadOS及macOS將經過實證的技術和Wi-Fi及流動數據網絡連線的最新標準整合在一起.
這就是我們的作業系統使用標準網絡通訊協定,並使開發者能夠存取這些通訊協定,以進行受認證、已獲授權且已加密通訊的原因.
TLS網絡安全性iOS、iPadOS及macOS支援傳輸層安全性(TLSv1.
0、TLSv1.
1、TLSv1.
2、TLSv1.
3)和資料包傳輸層安全性(DTLS).
TLS協定同時支援AES-128和AES-256,且偏好使用提供前向安全性的加密套件.
互聯網App如Safari、「日曆」和「郵件」會自動使用此通訊協定在裝置和網絡服務之間建立加密的通訊通道.
高階API(如CFNetwork)讓開發者可以輕鬆在其App中採用TLS,而低階API(Network.
framework)則提供精細的控制.
CFNetwork不允許SSLv3,而使用WebKit的App(如Safari)也禁止進行SSLv3連線.
在iOS11或以上版本及macOS10.
13或以上版本中,除非受到用户信任,否則不再允許使用SHA-1證書進行TLS連線,也不允許使用RSA密鑰短於2048位元的證書.
在iOS10和macOS10.
12中,RC4對稱加密套件已淘汰.
依照預設,以SecureTransportAPI導入的TLS用户端或伺服器並不會啟用RC4加密套件,且當RC4是唯一的加密套件時,便無法連接.
為加強安全,應將需使用RC4的服務或App升級,以使用新型且安全的加密套件.
在iOS12.
1上,2018年10月15日以後從系統信任的根證書核發的證書,都必須記錄在受信任的CertificateTransparency記錄中,才允許用來進行TLS連線.
在iOS12.
2中,TLS1.
3針對Network.
framework和NSURLSessionAPI預設為啟用.
使用SecureTransportAPI的TLS用户端無法使用TLS1.
3.
App傳輸安全性「App傳輸安全性」提供預設連線的需求,以便App在使用NSURLConnection、CFURL或NSURLSessionAPI時,遵循安全連線的最佳做法.
依照預設,「App傳輸安全性」會將加密選取項目限制為僅包含提供前向安全性的套件,特別是GCM與CBC模式中的ECDHE_ECDSA_AES和ECDHE_RSA_AES.
App可針對各網域停用前向安全性要求,停用後便會將RSA_AES加入可用加密集中.
伺服器必須支援TLSv1.
2和前向安全性,且證書必須有效並使用SHA-256或更強算法,配合最少2048位元RSA密鑰或256位元橢圓曲線密鑰加以簽署.
不符合這些要求的網絡連線作業將會失敗,除非App覆寫「App傳輸安全性」.
無效證書會造成嚴重的作業失敗和連線中斷.
「App傳輸安全性」會自動套用到針對iOS9或以上版本和macOS10.
11或以上版本編譯的App.
78證書驗證檢查評估TLS證書的信任狀態是依據已建立的業界標準進行(如RFC5280所列),以及整合的新興標準,例如RFC6962(CertificateTransparency).
在iOS11或以上版本和macOS10.
13或以上版本,Apple裝置會定期更新吊銷以及受約束的證書的列表.
該列表由證書吊銷列表(CRL)整合,其由Apple信任的每個內置根證書頒發機構發佈以及其次級CA發行者發佈.
Apple有權將其他約束包括在此列表內.
當網絡API功能用於執行安全連接時,都會諮詢此資料.
如有過多來自CA的吊銷證書,信任評估可能會改為要求網上證書狀態回應(OCSP),如未有回應,信任評估將會失敗.
虛擬私人網絡(VPN)像是虛擬私人網絡的安全網絡,通常只需要最低限度的設定和配置來配搭iOS、iPadOS和macOS裝置使用.
這些裝置可配搭支援以下通訊協定和認證方式的VPN伺服器使用:透過共享密鑰、RSA證書、ECDSA證書、EAP-MSCHAPv2或EAP-TLS進行認證的IKEv2/IPSec使用來自AppStore合適用户端App的SSL-VPN透過MS-CHAPV2密碼進行用户認證,和透過共享密鑰(iOS、iPadOS和macOS)和RSASecurID或CRYPTOCard(只限macOS)進行機器認證的L2TP/IPSec透過密碼、RSASecurID或CRYPTOCard進行用户認證,並藉由共享密鑰和證書(只限macOS)進行機器認證的CiscoIPSeciOS、iPadOS和macOS支援以下VPN使用方式:隨選即用VPN:適用於使用證書式認證的網絡.
IT規則會使用VPN設定描述檔來指定哪些網域需要VPN連線.
個別AppVPN:適用於在更精確的基礎上完成建立VPN連線.
流動裝置管理(MDM)可為每個受管理的App和Safari中特定的網域指定連線.
這有助確保具安全考量的資料始終以安全的方式透過企業網絡進出,而用户的個人資料則不會進出公司網絡.
總是開啟VPN:可針對透過MDM解決方案管理的裝置設定此項,並使用AppleConfigurator2、AppleSchoolManager或AppleBusinessManager加以監管.
這可讓用户在連接流動數據與Wi-Fi網絡時,不需要手動開啟VPN即可啟用保護.
「總是開啟VPN」透過將所有IP流量回傳至組織,讓組織對裝置流量擁有完整的控制權.
預設通道的通訊協定IKEv2使用資料加密對流量傳輸進行安全保護.
組織可以監控並過濾傳入其裝置或自其裝置傳出的流量、保護組織網絡內的資料安全,並限制裝置的互聯網存取權限.

Wi-Fi安全性通訊協定安全性所有Apple平台支援業界水平的Wi-Fi驗證和加密通訊協定,以在連接以下的安全無線網絡時提供已驗證的存取和機密性:WPA2個人級WPA2企業級WPA2/WPA3切換模式WPA3個人級WPA3企業級WPA3企業級192位元安全性WPA2及WPA3會驗證每次連接,並提供128位元AES加密以確保無線傳送資料的機密性.
這可為用户提供最高等級的安全保障,在透過Wi-Fi網絡連線傳送和接收通訊時,確保用户的資料始終受到保護.
以下裝置支援WPA3:79iPhone7或更新型號iPad(第5代)或更新型號AppleTV4K或更新型號AppleWatchSeries3或更新型號2013年末或更新型號的Mac電腦,並配備802.
11ac或以上版本更新型號的裝置支援「WPA3企業級」192位元安全性的驗證,包括在連接相容無線連接點(AP)時支援256位元AES加密.
這可為無線傳輸提供更強的機密性保護.
iPhone11、iPhone11Pro、iPhone11ProMax及更新型號的iOS及iPadOS裝置支援「WPA3企業級」192位元安全性.
除保護以無線傳輸的資料,Apple平台擴充WPA2及WPA3層級保護,以透過802.
11w中定義的「管理訊框保護」(PMF)服務來單點發送與多點發送管理訊框.
PMF支援適用於下列裝置:iPhone6或更新型號iPadAir2或更新型號AppleTV第4代或更新型號AppleWatchSeries3或更新型號2013年末或更新型號的Mac電腦,並配備802.
11ac或以上版本Apple裝置支援802.
1X,因此可整合到各種RADIUS認證環境中.
支援的802.
1X無線認證方式包括EAP-TLS、EAP-TTLS、EAP-FAST、EAP-SIM、PEAPv0和PEAPv1.
已淘汰的通訊協定Apple裝置支援以下已淘汰的Wi-Fi驗證及加密通訊協定:開放WEP,使用40位元及104位元密鑰共享WEP,使用40位元及104位元密鑰動態WEP臨時密鑰完整性協定(TKIP)WPAWPA/WPA2切換模式這些通訊協定不再被視為安全,基於相容性、可靠性、效能及安全性原因,故強烈不建議使用.
它們只因向後相容而支援,且可能會在將來的軟件版本中移除.
強烈建議將所有Wi-Fi實作遷移到「WPA3個人級」或「WPA3企業級」,以盡量提供最穩固、安全及相容的Wi-Fi連接.
Wi-Fi私隱MAC地址隨機載入當Apple平台沒有與Wi-Fi網絡產生關聯,Apple平台會在執行Wi-Fi掃描時,使用隨機「媒體存取控制」(MAC)地址.
系統會執行這些掃描以尋找和連接已知的Wi-Fi網絡,或為使用地理圍欄的App提供「定位服務」協助,例如基於位置的提醒事項或在Apple「地圖」中定位.
請注意,在嘗試連接偏好的Wi-Fi網絡時進行的Wi-Fi掃描並不是隨機的.
80當裝置沒有與Wi-Fi網絡產生關聯或裝置的處理器處於睡眠狀態時,Apple平台在執行ePNO(enhancedPreferredNetworkOffload)掃描時,也會使用隨機MAC地址.
當裝置上針對會利用地理圍欄的App使用「定位服務」時(例如基於位置的提醒事項在判定裝置是否接近特定位置時),便會執行ePNO掃描.
此時因為裝置中斷某個Wi-Fi網絡的連線時會更改其MAC地址,即使裝置已連接流動網絡,Wi-Fi流量的被動觀察程式亦無法使用該地址持續追蹤裝置.
Apple已通知Wi-Fi製造商iOS及iPadOSWi-Fi掃描會使用隨機MAC地址,且Apple及製造商皆無法預測這些隨機MAC地址.
iPhone5或更新型號支援Wi-FiMAC地址隨機載入.
Wi-Fi訊框序列號碼隨機化Wi-Fi訊框包含序列號碼,其用於底層802.
11通訊協定以啟用有效率及可靠的Wi-Fi通訊.
因這些序列號碼根據傳送的訊框增加,其可用於在Wi-Fi掃描時,將傳送的資料與同一裝置傳送的其他訊框連繫.
為防止此事,Apple裝置在MAC地址變更至新的隨機地址時,都會將序列號碼隨機化.
這包括在裝置沒有綁定時,將每個新掃描要求的序列號碼隨機化.
以下裝置支援此隨機化:iPhone7或更新型號iPad(第5代)或更新型號AppleTV4K或更新型號AppleWatchSeries3或更新型號iMacPro(Retina5K,27吋,2017年)或更新型號MacBookPro(13吋,2018年)或更新型號MacBookPro(15吋,2018年)或更新型號MacBookAir(Retina,13吋,2018年)或更新型號Macmini(2018年)或更新型號iMac(Retina4K,21.
5吋,2019年)或更新型號iMac(Retina5K,27吋,2019年)或更新型號MacPro(2019年)或更新型號Wi-Fi連線及隱藏網絡連線Apple會產生隨機化的MAC地址,並用於AirDrop及AirPlay使用的「點對點Wi-Fi」連線.
隨機化的地址亦會用於iOS和iPadOS(使用SIM卡)的「個人熱點」,以及macOS上的「互聯網分享」.
每當這些網絡介面開始時,都會產生全新的隨機地址,且在有需要時會為每個介面獨立產生獨有的地址.

隱藏網絡Wi-Fi網絡會以其網絡名稱作識別,稱為服務集識別碼(SSID).
部份Wi-Fi網絡設定為將其SSID隱藏,令無線存取點無法廣播網絡的名稱,它們被稱為隱藏網絡.
iPhone6s或更新型號在網絡隱藏時會進行自動偵測.
如網絡已隱藏,iOS或iPadOS裝置會傳送包含SSID的探測要求(如網絡並非隱藏則不會).
這可避免裝置廣播用户連接過的曾隱藏網絡名稱,以進一步保障私隱.
為減少隱藏網絡構成的私隱問題,iPhone6s或更新型號在網絡隱藏時會進行自動偵測.
如網絡未有隱藏,iOS或iPadOS裝置不會傳送包含SSID的探測要求.
這可避免裝置向未有隱藏的網絡廣播名稱,以及確保裝置不會透露其在搜尋該等網絡.
81平台保護措施Apple的作業系統保護裝置免受網絡處理器韌體的漏洞影響,限制包括Wi-Fi在內的網絡控制器對應用程式處理器記憶體的存取.
使用USB或SDIO與網絡處理器互動時,網絡處理器無法起始「直接記憶體存取」(DMA)交易至應用程式處理器.
使用PCIe時,每個網絡處理器都位於其獨立的PCIe匯流排上.
各PCIe匯流排上的IOMMU會進一步限制網絡處理器,只容許對含有其網絡封包和控制結構的記憶體和資源進行DMA存取.
藍牙安全性在Apple裝置中有兩種藍牙:傳統藍牙和低耗電藍牙(BLE).
兩個版本的藍牙安全性都包括以下的獨特安全性功能:配對:製作一或多個共享秘密密鑰的過程綁定:儲存在配對過程中所製作密鑰的以供之後連接之用的動作,以便建立信任的裝置配對驗證:驗證兩部裝置有相同的密鑰加密:機密地傳送訊息訊息完整性:避免訊息偽造的保護措施安全簡單配對:避免被動式竊聽,並防止中間人(MITM)攻擊的保護措施藍牙4.
1版本將「安全連接」功能新增至BR/EDR物理傳送.
下面列出各類型藍牙的安全性功能:支援傳統藍牙低耗電藍牙配對P-256橢圓曲線FIPS核准演算法(AES-CMAC及P-256橢圓曲線)綁定配對資料儲存在iOS、iPadOS、macOS、tvOS及watchOS裝置中的安全位置配對資料儲存在iOS、iPadOS、macOS、tvOS及watchOS裝置中的安全位置驗證FIPS核准演算法(HMAC-SHA-256及AES-CTR)FIPS核准演算法加密在「控制器」中執行的AES-CCM加密技術在「控制器」中執行的AES-CCM加密技術訊息完整性AES-CCM用於保障訊息完整性AES-CCM用於保障訊息完整性安全簡單配對:避免被動式竊聽的保護措施EllipticCurveDiffie-HellmanExchange(ECDHE)EllipticCurveDiffie-HellmanExchange(ECDHE)安全簡單配對:防止中間人(MITM)攻擊的保護措施兩個用户的輔助數值法:數值比較或識別碼輸入兩個用户的輔助數值法:數值比較或識別碼輸入配對要求用户回應,包括非MITM配對模式Bluetooth4.
1或以上版本2015年末或更新型號的iMac2015年初或更新型號的MacBookProiOS9或以上版本iPadOS13.
1或以上版本macOS10.
12或以上版本tvOS9或以上版本watchOS2.
0或以上版本82支援傳統藍牙低耗電藍牙Bluetooth4.
2或以上版本iPhone6或更新型號iOS9或以上版本iPadOS13.
1或以上版本macOS10.
12或以上版本tvOS9或以上版本watchOS2.
0或以上版本低耗電藍牙私隱為協助保障用户私隱,BLE包括以下兩項功能:地址隨機載入和交換傳輸密鑰衍生.
地址隨機載入功能可以透過頻繁更改藍牙裝置的地址,減低對BLE裝置進行長時間追蹤的能力.
使用私隱功能的裝置如要重新連接已知的裝置,其裝置地址(被稱為私人地址)必須能讓該其他裝置解析.
私人地址是在配對過程中透過裝置的身份解析密鑰(IRK)所產生.
iOS13和iPadOS13.
1有能力在傳輸中衍生密鑰.
例如,使用BLE所產生的連結密鑰可用於產生「傳統藍牙」連結密鑰.
此外,Apple在支援「藍牙核心規格」4.
1版本中「安全連接」功能的裝置內的BLE支援加入「傳統藍牙」(請參閱「藍牙核心規格」5.
1).
「超寬頻」技術Apple設計的全新U1晶片將「超寬頻」技術用於空間感應,讓iPhone11、iPhone11Pro和iPhone11ProMax可以準確定位其他配備U11的Apple裝置.
「超寬頻」技術使用相同的技術來隨機化於其他支援Apple裝置上找到的資料:如其他支援的Apple裝置的MAC地址隨機載入Wi-Fi訊框序列號碼隨機化單一登入單一登入iOS和iPadOS支援透過單一登入(SSO)對企業網絡進行認證.
SSO配搭Kerberos型網絡使用,針對用户獲授權存取的服務對用户進行認證.
SSO可用於各種網絡活動,從安全的Safari區段到第三方的App.
同時還支援證書式認證(例如PKINIT).
macOS支援使用Kerberos驗證進入企業網絡.
App可以使用Kerberos來針對用户獲授權存取的服務對用户進行認證.
Kerberos亦可用於各種網絡活動,從安全的Safari區段和網絡檔案系統,到第三方的App.
支援證書式認證(PKINIT),不過仍需要App採用開發者API.
iOS、iPad和macOSSSO使用SPNEGO代號和HTTPNegotiate通訊協定,與Kerberos型認證閘道和支援Kerberos票證的WindowsIntegratedAuthentication系統配合使用.
SSO的支援以開放原始碼Heimdal專案為基礎.
iOS、iPadOS和macOS支援以下加密類型:AES-128-CTS-HMAC-SHA1-96AES-256-CTS-HMAC-SHA1-96DES3-CBC-SHA1ARCFOUR-HMAC-MD583Safari支援SSO,且使用標準iOS和iPadOS網絡連線API的第三方App也可進行設定來使用.
為設定SSO,iOS和iPadOS支援允許流動裝置管理(MDM)解決方案下推必要設定的設定描述檔承載資料.
其中包括:設定用户主要名稱(即ActiveDirectory用户帳户)和Kerberos領域設定,以及設定應允許哪些App和SafariWebURL使用SSO.
如要在macOS中設定Kerberos,請使用「票證檢視程式」取得票證,登入WindowsActiveDirectory網域,或使用kinit命令列工具.
可延伸單一登入App開發者可使用SSO延伸功能來提供他們自己的單一登入實作.
當原生或網上App需要使用一些身份供應商以作用户驗證時,SSO延伸功能就會啟動.
開發者可提供兩類型的延伸功能:重新導向至HTTPS的延伸功能,和詢問/回應機制(如Kerberos).
這允許可延伸單一登入支援OpenID、OAuth、SAML2和Kerberos認證計劃.
如要使用單一登入的延伸功能,App可使用AuthenticationServicesAPI,或可依靠作業系統所提供的URL截取機制.
WebKit和CFNetwork提供截取層級,其可啟用對任何原生或WebKitApp的單一登入無縫支援.
如要執行的單一登入延伸功能,必須透過流動裝置管理(MDM)描述檔安裝由管理員提供的設定.
此外,重新導向類型的延伸功能必須使用相關的域名承載資料,以證明其支援的識別身份伺服器知悉其存在.

作業系統隨附的唯一延伸功能為KerberosSSO延伸功能.
AirDrop安全性支援AirDrop的Apple裝置使用低功率藍牙(BLE)和Apple建立的點對點Wi-Fi技術,來向附近的裝置傳送檔案和資料,包括具有AirDrop功能並執行iOS7或以上版本的iOS裝置,以及執行OSX10.
11或以上版本的Mac電腦.
Wi-Fi無線電用來在裝置之間進行直接通訊,無需使用任何互聯網連線或無線存取點(AP).
在macOS中,此連接會使用TLS加密.
AirDrop的共享設定預設為「只限聯絡人」.
用户也可以選擇使用AirDrop與所有人進行共享,或者完全關閉此功能.
組織或部門可針對流動裝置管理(MDM)解決方案所控管的裝置和App,限制其AirDrop的使用權.
AirDrop操作AirDrop使用iCloud服務以協助用户驗證.
當用户登入到iCloud,一個2048位元RSA身份會儲存到裝置上,且在用户啟用AirDrop時,系統會根據連繫至用户AppleID的電郵地址和電話號碼建立簡短AirDrop識別身份雜湊值.
當用户選擇使用AirDrop共享項目時,發送裝置會透過BLE發出AirDrop訊號,其中包含用户的簡短AirDrop識別身份雜湊值.
附近處於喚醒狀態並開啟AirDrop的Apple裝置,會使用點對點Wi-Fi來偵測訊號並回應,因此,當有任何裝置發出回應時,發送裝置即可發現其識別身份.
在「只限聯絡人」模式下,接收裝置會將收到的簡短AirDrop識別身份雜湊值與裝置上「通訊錄」App中聯絡人的雜湊值進行比對.
如果找到相符的聯絡人,接收裝置便會透過點對點Wi-Fi來以裝置的識別身份資料予以回應.
如沒有相符的聯絡人,裝置將不會回應.
在「所有人」模式下,系統會使用整個相同的過程.
不過,即使接收裝置的「通訊錄」App中沒有相符的聯絡人,接收裝置也會回應.
發送裝置接着會使用點對點Wi-Fi來起始AirDrop連線,在此連線階段送出完整的識別身份雜湊值到接收裝置.
如果完整識別身份雜湊值與接收者「通訊錄」中已知聯絡人的雜湊值相符,接收者便會繼續以其完整識別身份雜湊值予以回應.
驗證雜湊值後,接收者的名稱和相片(如果「通訊錄」中有的話)便會顯示在傳送者的AirDrop分享頁中.
在iOS和iPadOS中,其會於「人員」或「裝置」中顯示.
未驗證或認證的裝置會在發送裝置的AirDrop的分享頁中,以剪影圖像和裝置名稱顯示,如「設定」>「一般」>「關於本機」>「名稱」所定義.
在iOS和iPadOS中,其位於AirDrop分享頁中的「其他人」部份.
84傳送方用户之後可選擇其要分享的對象.
在用户選擇後,發送裝置會與接收裝置建立一個加密(TLS)連線,此連線會交換彼此的iCloud識別身份證書.
證書中的識別身份會針對每位用户的「通訊錄」App進行驗證.
如已驗證證書,系統會要求接收方用户接受來自經識別的用户或裝置所傳送的內容.
如果選擇了多位接收者,則會針對每個目標重複此過程.
Wi-Fi密碼共享支援Wi-Fi密碼共享的iOS和iPadOS裝置所使用的機制與AirDrop類似,會將Wi-Fi密碼從一部裝置傳送至另一部.
當用户選擇了Wi-Fi網絡(要求者),且系統提示要求輸入Wi-Fi密碼時,Apple裝置會啟動低耗電藍牙(BLE)廣播,顯示需要Wi-Fi密碼.
附近處於喚醒狀態,且擁有所選Wi-Fi網絡的密碼之其他Apple裝置,會使用BLE連接提出要求的裝置.
擁有Wi-Fi密碼的裝置(提供者)需要要求者的「聯絡人」資料,且要求者必須使用類似AirDrop的機制證明其身份.
證明身份後,提供者會將密碼傳送給要求者用來加入網絡.
組識可使用流動裝置管理(MDM)解決方案來限制所管理的裝置或App的Wi-Fi密碼共享使用權.
macOS中的「防火牆」macOS包含內置的防火牆保護Mac以避免網絡存取和阻斷服務攻擊.
其可於「系統偏好設定」的「安全性與私隱」面版中設定,且其支援以下設定:封鎖所有傳入的連線,不論是任何App自動允許內置軟件接收傳入連線自動允許已下載及已簽署的軟件接收傳入連線根據用户指定的App加入或拒絕存取避免Mac回應ICMP探測和連接埠掃描請求85開發者套件開發者套件概覽Apple提供多種框架來讓第三方開發者擴展Apple服務.
這些框架的核心已內置用户安全性及私隱保護.
HomeKitHealthKitCloudKitSiriKitDriverKitReplayKit相機及ARKitHomeKitHomeKit身份HomeKit提供家居庭自動化的基礎架構,利用iCloud與iOS、iPadOS和macOS安全性來保護與同步私密資料,無須將其透露給Apple.
HomeKit身份與安全性是以Ed25519公用-專用密鑰組為基礎.
iOS、iPadOS和macOS裝置會為HomeKit的每位用户產生Ed25519密鑰組,這些密鑰組會變成他們的HomeKit身份,用於認證iOS、iPadOS和macOS裝置之間以及iOS、iPadOS和macOS裝置與配件之間的通訊.
該等密鑰(儲存於「鑰匙圈」,並只會納入已加密的「鑰匙圈」備份之中)會在使用「iCloud鑰匙圈」(如可用)的裝置間同步.
HomePod和AppleTV會使用以下敘述的「點一下來設定」或設定模式來接收密鑰.
密鑰會由iPhone使用Apple識別服務(IDS)分享給配對的AppleWatch.
與HomeKit配件的通訊HomeKit配件會產生其自己的Ed25519密鑰組,以用於與iOS、iPadOS和macOS裝置的通訊.
如將配件還原成原廠設定,便會產生新的密鑰組.
為了在iOS、iPadOS和macOS裝置與HomeKit配件之間建立關係,系統會使用「安全遙距密碼」(3072位元)通訊協定來交換密鑰,利用配件製造商所提供並由用户於iOS、iPadOS和macOS裝置上輸入的八位數代碼,然後使用CHACHA20-POLY1305AEAD與HKDF-SHA-512衍生密鑰來加密.
配件的MFi認證也會在設定期間進行驗證.
沒有MFi晶片的配件可以在iOS11.
3或以上版本上建立軟件認證的支援.
86當iOS、iPadOS和macOS裝置與HomeKit配件在使用期間進行通訊時,每個裝置會使用上述過程中交換的密鑰來認證另一個裝置.
每個區段都會使用端到端的通訊協定來建立,並使用以各個區段Curve25519密鑰為基礎的HKDF-SHA-512衍生密鑰來進行加密.
這同時適用於IP型與低耗電藍牙(BLE)配件.
針對支援廣播通知的BLE裝置,配件會由配對的iOS、iPadOS和macOS裝置透過安全的作業階段以廣播加密密鑰配置.
此密鑰會用於加密有關配件狀態變更的資料,這些資料是使用BLE廣播傳送通知.
廣播加密密鑰是一種HKDF-SHA-512衍生密鑰,資料會由CHACHA20-POLY1305AuthenticatedEncryptionwithAssociatedData(用於關聯資料的認證加密,AEAD)演算法進行加密.
廣播加密密鑰會定期由iOS、iPadOS和macOS裝置變更並使用iCloud同步至其他裝置,如「裝置和用户之間的資料同步」章節描述.
HomeKit本機資料儲存HomeKit會在用户的iOS、iPadOS和macOS裝置上儲存家居、配件、場景和用户的相關資料.
儲存的資料會透過自用户HomeKit身份密鑰所衍生的密鑰加上隨機數來進行加密.
此外,系統會使用「資料保護」類別的「首次用户認證前的保護」來儲存HomeKit資料.
HomeKit資料只會在加密的備份中進行備份,因此舉例來說,未加密的iTunes備份便不包含HomeKit資料.
裝置和用户之間的資料同步可以使用iCloud和「iCloud鑰匙圈」在同一名用户的iOS、iPadOS和macOS裝置間同步HomeKit資料.
同步期間,HomeKit資料會使用自用户HomeKit身份與隨機數衍生的密鑰來進行加密.
此資料在同步期間會以不透明二進位大型物件來處理.
最近的物件會儲存在iCloud中以啟用同步,但不會用於任何其他用途.
因為它是使用僅可於用户iOS、iPadOS和macOS裝置上取得的密鑰進行加密,因此它的內容在傳輸與iCloud儲存期間是無法存取的.
HomeKit資料也會在同一家居的多位用户間進行同步.
此處理會使用認證與加密,就像iOS、iPadOS和macOS裝置與HomeKit配件間使用的一樣.
認證是以Ed25519公用密鑰為基礎,當用户加入家居時,便會在裝置間交換這些密鑰.
在新用户加入家居後,所有進一步的通訊都會使用端到端的通訊協定與每一作業階段的密鑰進行認證和加密.

一開始在HomeKit中建立家居的用户或具有編輯權限的其他用户可以新增用户.
持有者的裝置會使用新用户的公用密鑰來設定配件,以便讓配件可認證和接受來自新用户的指令.
當具有編輯權限的用户新增用户時,系統便會將此程序委派至家居控制中樞以完成操作.
當用户登入iCloud時,便會自動執行配置AppleTV的程序以配搭HomeKit使用.
iCloud帳户需要啟用雙重認證.
AppleTV與持有者的裝置會透過iCloud交換臨時Ed25519公用密鑰.
當持有者的裝置與AppleTV連接相同區域網絡時,臨時密鑰會使用端到端的通訊協定與各區段的密鑰來保護區域網絡的連線.
此處理會使用認證與加密,就像iOS、iPadOS和macOS裝置與HomeKit配件間使用的一樣.
透過安全的區域網絡,持有者的裝置會將用户的Ed25519公用-專用密鑰組傳送至AppleTV.
這些密鑰之後會用來保護AppleTV與HomeKit配件間的通訊,還有AppleTV和其他iOS、iPadOS和macOS裝置(HomeKit家居的一部份)間的通訊.
如用户沒有多部裝置,且未有將其家居的存取權限授予其他用户,便不會將HomeKit資料同步至iCloud.
家居資料與AppApp對家居資料的存取權限是受用户的「私隱」設定所控制.
當App要求提供家居資料時(類似於「通訊錄」、「相片」和其他iOS、iPadOS和macOS資料來源),系統會要求用户會授予存取權限.
如用户核准,App便可存取房間的名稱、配件名稱、每個配件所在的房間,以及HomeKit開發者說明文件中所載明的其他資料,網址為:https://developer.
apple.
com/homekit/.
HomeKit和SiriSiri可用來查詢和控制配件,並可啟動場景.
匿名提供給Siri的家居配置資料會盡量最小化,以提供房間名稱、配件和指令識別所需的場景.
傳送給Siri的音訊可能與特定配件或指令相關,但此類Siri資料不會與其他Apple功能(如HomeKit)產生關聯.
87HomeKit網絡攝影機HomeKit中的網絡攝影機可直接將影片和音訊串流直接傳送至區域網絡上存取該串流的iOS、iPadOS和macOS裝置.
系統會使用在iOS、iPadOS和macOS裝置和網絡攝影機上隨機產生的密鑰來加密這些串流,並透過安全的HomeKit作業階段交換至攝影機.
當iOS、iPadOS或macOS裝置未連接區域網絡時,則會經由家居控制中樞將加密的串流傳遞至裝置.
家居控制中樞不會解密串流,且只扮演iOS、iPadOS和macOS裝置和網絡攝影機之間的中轉站角色.
App向用户顯示HomeKit網絡攝影機的影片畫面時,HomeKit會透過獨立的系統程序以安全方式轉譯影片影格,因此App無法存取或儲存影片串流.
此外,App無權從此串流截取螢幕隨拍.
HomeKit安全影片HomeKit提供安全且保密的端對端機制來錄製、分析,以及從HomeKit網絡攝影機上檢視影片,影片內容不會透露給Apple或任何第三方.
當網絡攝影機偵測到動作,影片片段會透過家居中樞和該網絡攝影機之間專用的區域網絡連線,直接傳送到用作家居控制中樞的Apple裝置.
區域網絡連線會以每一作業階段HKDF-SHA-512衍生的密鑰組加密,該密鑰組會透過家居控制中樞與網絡攝影機之間的HomeKit作業階段進行交涉.
HomeKit會在家居控制中樞上解密音訊和影片串流,並在本機分析影格,以了解是否有任何特別事件.
如偵測到特別事件,HomeKit會使用AES-256-GCM和隨機產生的AES-256密鑰來將影片片段加密.
HomeKit亦會為每個片段產生展示影格,且使用相同的AES-256密鑰加密這些展示影格.
已加密的展示影格,和音訊及影片資料會上載到iCloud伺服器.
每個片段的相關後設資料(包括加密密鑰)會以iCloud端對端加密上載到CloudKit.
當用户使用「家居」App檢視攝影機的片段,資料會從iCloud下載,亦會使用iCloud點對點解密在本機將用於解密串流的密鑰解除封裝.
已加密的影片內容會從伺服器串流,並且於檢視程式顯示影片內容前,在iOS裝置上進行本機解密.
每個影片片段段落可能會被分拆為子區段,每個子區段會使用它自己的獨有密鑰來加密內容串流.

HomeKit路由器支援HomeKit的路由器允許用户透過管理HomeKit配件對其區域網絡或互聯網的Wi-Fi存取權來改進其家居網絡的安全性.
它們亦支援PPSK驗證,所以配件可以使用該配件專屬的密鑰來加至Wi-Fi網絡,且可在需要時將配件撤銷.
此舉透過避免向配件透露主Wi-Fi密碼來改進安全性,並允許路由器安全地識別配件(即使配件更改其MAC地址).
使用「家居」App,用户可透過以下方式為配件群組設定取用限制:沒有限制:允許沒有限制地取用互聯網和區域網絡.
自動:這是預設設定.
根據由配件製造商向Apple提供的互聯網網站和本機連接埠列表來允許取用互聯網和區域網絡.
此列表包括配件正常運作所需的所有網站和連接埠.
(在有關列表可用前為「沒有限制」.
)限制家居權限:除了由HomeKit要求用以探索和控制來自區域網絡的配件之連接(包括來自家居控制中樞以支援遙控器)外,禁止取用互聯網或區域網絡.
PPSK是一個強大且專屬於配件的「WPA2個人級」密語,它是由HomeKit自動產生,並會在用户將配件從「家居」移除時撤銷.
當配件在已使用HomeKit路由器設定的「家居」中,透過HomeKit將配件加至該Wi-Fi網絡時,就會使用PPSK.
(在加入路由器前已加至該Wi-Fi網絡的配件會保留其現有憑證.
)作為額外的安全性措施,用户必須使用路由器製造商的App來設定HomeKit路由器,讓App可以驗證用户是否擁有路由器的取用權限,以及是否獲允許將路由器加至「家居」App.
HomeKit配件的iCloud遙距連線部份舊版HomeKit配件仍會要求直接與iCloud連接的權限,讓iOS、iPadOS和macOS裝置在無法使用藍牙或Wi-Fi通訊時遙距控制配件.
在可能的情況下,系統會傾向使用透過家居控制中樞的遙距存取(例如HomePod、AppleTV或iPad).
「iCloud遙距連線」仍支援舊版的裝置,且其經過精密設計,因此無須向Apple透露所傳送的配件種類、命令內容和通知內容,即可控制配件和傳送通知.
HomeKit不會透過「iCloud遙距連線」來傳送有關住家的資料.
88當用户使用iCloud遙距連線來傳送指令時,配件和iOS、iPadOS和macOS裝置會彼此認證,而資料會使用與區域連線相同的程序來進行加密.
通訊的內容會經過加密,且不會對Apple顯示.
透過iCloud設定地址的作業是基於在設定程序期間所註冊的iCloud識別碼.
支援iCloud遙距連線的配件會在配件的設定處理期間加以配置.
配置處理會在用户登入iCloud時開始.
接着,iOS、iPadOS和macOS裝置會要求配件使用「Apple認證副處理器」(內置於所有BuiltforHomeKit配件)來簽署詢問.
配件也會產生prime256v1橢圓曲線密鑰,而公用密鑰則會連同經簽署的詢問和認證副處理器的X.
509證書,一起傳送至iOS、iPadOS和macOS裝置.
這些會用來從iCloud配置伺服器要求配件的證書.
證書會由配件儲存,但不會包含配件的相關識別資料(除非該配件已獲授予HomeKitiCloud遙距連線存取權限).
執行配置的iOS及iPadOS裝置也會傳送Bag至配件,其中包含要連接iCloud遙距連線伺服器所需的URL和其他資料.
此資料不特定於任何用户或配件.
每個配件都會向iCloud遙距連線伺服器註冊所允許用户的列表.
這些用户已向將配件加入住家的用户取得控制配件的權限.
用户會取得由iCloud伺服器授予的識別碼並可對應到iCloud帳户,以從配件傳送通知訊息和回應.
同樣地,配件具有iCloud發出的識別碼,但這些識別碼難以識別且不會顯示有關配件本身的任何資料.

當配件連接至HomeKitiCloud遙距連線伺服器時,便會提供其證書與通行證.
通行證是從不同的iCloud伺服器中取得,且並非對每個配件都是唯一的.
當配件要求通行證時,其會在要求中包含製造商、型號和韌體版本.
此要求中並不會傳送任何用户識別或住家識別的資料.
為協助保障私隱,與通行證伺服器的連線不會經過認證.

配件會使用HTTP/2來連接至iCloud遙距連線伺服器,並以使用AES-128-GCM和SHA-256的TLSv1.
2加以保護.
配件會讓其與iCloud遙距連線伺服器的連線保持開啟,以便其接收傳入的訊息和將回應與外寄通知傳送給iOS、iPadOS和macOS裝置.
HomeKit電視遙控器配件第三方HomeKit「電視遙控器」配件可為使用「家居」App綁定的AppleTV提供人性介面裝置(HID)事件和Siri音訊.
HID事件在AppleTV與「遙控器」之間是透過安全的作業階段傳送.
當用户以「遙控器」上專用的Siri按鈕特地啟用咪高風時,具備Siri功能的「電視遙控器」會將音訊資料傳送到AppleTV.
其中的各個音訊分段會透過AppleTV與「遙控器」之間專用的區域網絡連線直接傳送到AppleTV.
區域網絡連線會以每一作業階段HKDF-SHA-512衍生密鑰組加密,該密鑰組會透過AppleTV與「電視遙控器」之間的HomeKit作業階段進行交涉.
HomeKit會在AppleTV上將各個音訊分段解密並轉送到SiriApp,且會以與所有Siri音訊輸入相同的私隱權保護措施處理.
HomeKit家居的AppleTV描述檔當HomeKit家居的用户將其描述檔加至家居的AppleTV擁有者,這會向用户提供其電視節目、音樂和Podcast的取用權限.
每位用户的設定在AppleTV使用的描述檔會使用iCloud端對端加密分享至擁有者的iCloud帳户.
資料由每位用户擁有,並會以唯讀的方式分享給擁有者.
家居的每位用户可以從「家居」App更改這些值,且擁有者的AppleTV會使用這些設定.
當設定開啟時,用户的iTunes帳户即適用於AppleTV上.
當設定關閉時,所有與該用户有關的帳户和資料都在AppleTV上刪除.
初始的CloudKit共享由用户的裝置啟動,用於建立安全CloudKit共享的代號會透過用於在家居的用户間同步資料的相同安全通道傳送.
89HealthKitHealthKit概覽HealthKit會儲存和整合來自健康與健身App及醫療機構的資料.
HealthKit也可直接用於健康與健身裝置,如相容的低耗電藍牙(BLE)心率監視器以及許多iOS裝置內置的動作副處理器.
所有與健康與建身App、醫療機構,和健康與健身裝置的HealthKit互動都需要用户的許可.
此資料會儲存在「資料保護」類別的「未打開檔案的保護」中.
裝置鎖定後10分鐘便會捨棄資料存取權限,當用户下次輸入密碼或使用TouchID或FaceID來解鎖裝置時,即可再次存取資料.
HomeKit也會彙總管理資料,如App的存取權限、連接HealthKit的裝置名稱及排程資料(用來在新資料可用時啟動App).
此資料會儲存在「資料保護」類別的「首次用户認證前的保護」中.
臨時日誌檔會儲存當裝置鎖定時產生的健康記錄(例如當用户從事運動時).
這些臨時日誌檔會儲存在「資料保護」類別的「未打開檔案的保護」中.
當裝置解鎖時,會將臨時日誌檔輸入主要的健康資料庫中,然後在合併作業完成時刪除.

健康資料可儲存在iCloud中.
「健康」資料的端對端加密需要iOS12或以上版本及雙重認證.
否則,用户的資料仍會在儲存與傳輸期間加密,但不會以端對端加密.
開啟雙重認證並更新至iOS12或以上版本後,用户的「健康」資料會轉移到端對端加密.
如用户使用iTunes(macOS10.
14或更早版本)或Finder(macOS10.
15或以上版本)備份裝置,只有在備份已加密的情況下才會儲存「健康」資料.
臨床健康記錄和健康資料完整性臨床健康記錄用户可以在「健康」App內登入支援的健康系統,以取得臨床健康記錄的副本.
將用户連接到健康系統時,用户需使用OAuth2用户端憑證進行驗證.
連線成功後,便會使用TLSv1.
3受保護的連線直接從醫療機構下載臨床健康記錄資料.
下載資料後,臨床健康記錄會安全地與其他「健康」資料一起儲存.

健康資料完整性儲存在資料庫中的資料包含追蹤每筆資料記錄出處的後設資料.
此後設資料包含App識別碼,可識別哪個App儲存了該記錄.
此外,選擇性的後設資料項目可包含記錄的電子簽署副本.
此用意是提供記錄(由受信任之裝置所產生)的資料完整性.
用於電子簽名的格式為RFC5652中所指定的加密編譯訊息語法(CryptographicMessageSyntax,CMS).
第三方App存取的健康資料對HealthKitAPI的存取是使用授權來控制,而App必須符合資料使用方式的限制.
例如,App不允許將健康資料用於廣告用途.
App也必須提供私隱權政策給用户,並詳述其對健康資料的使用方式.
App對健康資料的存取權限是受用户的「私隱」設定所控制.
當App要求存取健康資料時(類似於「通訊錄」、「相片」和其他iOS資料來源),系統會要求用户授予存取權限.
然而,使用健康資料時,App會獲得讀取和寫入資料的獨立存取權,以及各種類型健康資料的獨立存取權限.
用户可以在「設定」>「健康」>「資料存取及裝置」中檢視和撤銷他們授予存取健康資料的權限.
如App取得寫入資料的權限,便也可讀取其寫入的資料.
如App取得讀取資料的權限,便可讀取所有來源所寫入的資料.
然而,App無法判定其他App被授予的存取權限.
此外,App無法確切得知它們是否已獲得健康資料的讀取存取權限.
當App沒有讀取權限時,所有查詢並不會傳回資料,就如同空白資料庫傳回的回應一樣.
這可避免App藉由得知用户正在追蹤的資料類型,來推測用户的健康狀態.
90用户的醫療檔案「健康」App可讓用户選擇填寫「醫療檔案」表單和發生緊急醫療事故時所需的重要資料.
此資料是手動輸入或更新,並不會與健康資料庫中的資料進行同步.
你可點一下鎖定畫面上的「緊急服務」按鈕來檢視「醫療檔案」資料.
此資料會使用「資料保護」類型的「無保護」來儲存於裝置上,如此一來無須輸入裝置密碼即可存取.
「醫療檔案」是選擇性的功能,可讓用户決定如何同時在安全性和私隱考慮上取得平衡.
此資料會備份到「iCloud備份」,且不會使用CloudKit在裝置之間同步.
CloudKitCloudKit允許App開發者在iCloud中儲存密鑰值資料、結構資料和資產.
對CloudKit的存取是使用App授權來加以控制.
CloudKit同時支援公用和專用資料庫.
公用資料庫是由App的所有副本使用,通常用於一般資產,且並未加密.
專用資料庫則會儲存用户的資料.
如同使用「iCloud雲碟」一樣,CloudKit會使用以帳户為基礎的密鑰來保護存放在用户專用資料庫中的資料,就像其他iCloud服務,檔案會使用第三方的服務加以切割、加密並儲存.
CloudKit使用的是階層式密鑰(與「資料保護」類似).
檔案專屬密鑰是以CloudKit記錄密鑰加以封裝.
「記錄」密鑰則會依序由整個區域的密鑰加以保護,其受到用户的「CloudKit服務密鑰」保護.
「CloudKit服務密鑰」會存放在用户的iCloud帳户,且僅可在用户已向iCloud認證後才可使用.
CloudKit端對端的加密.
SiriKitSiri使用App的延伸機制來與第三方App進行通訊.
裝置上的Siri可取用用户的通訊錄資料及裝置的現時位置.
但在Siri向App提供受保護的資料前,Siri會檢查該App由用户控制的取用權限.
依據有關權限,Siri只會將原有話語片段中的相關部份傳至App的延伸功能.
例如,如果App沒有通訊錄的取用權,Siri將不會在用户要求(如「用『付款』App俾10蚊美金我媽媽」)中解析關係.
在這個例子,App只會看到文字字詞「我媽媽」.
但如果用户向App授予通訊錄資料的取用權限,該App會收到有關用户媽媽的已解析資料.
如果在訊息內文中參照某筆聯絡資料,例如「喺『訊息』App同媽媽講哥哥係最好」,不論App的權限,Siri將不會解析「哥哥」一詞.
已啟用SiriKit的App可以向Siri傳送指定App或指定用户的詞彙,例如用户的通訊錄名稱.
此資料允許Siri的語音辦認及自然語言理解為該App辦識詞彙,並連繫至隨機識別碼.
自訂資料在使用身份期間皆可使用,直至用户在「設定」停用該App的Siri整合,或解除安裝該已啟用SiriKit的App.
在話語「用『共乘』App載我去媽媽屋企」中,此要求需要從用户的通訊錄取用位置資料.
針對該請求,Siri會向App的延伸功能提供所需資料,不論用户對該App的位置或聯絡資料權限設定.
91DriverKitmacOS10.
15使用系統延伸功能協助開發者維持App的延伸功能,而無需要求核心延伸功能(「kexts」).
這可讓安裝變得更輕鬆,以及改進macOS的穩定性及安全性.
DriverKit是一款框架,允許開發者製作可讓用户安裝到Mac上的驅動程式.
內置於DriverKit的驅動程式會在用户的空間中執行,而非於核心延伸功能,其可協改進系統的安全性及穩定性.
用户只需下載App(當使用系統延伸功能或DriverKit時,安裝程式並非必須),延伸功能只會在要求時啟用.
這在許多情況下會取代kexts,其需要管理員特殊權限以於「/系統/資源庫」或「/資源庫」中進行安裝.

我們建議使用需核心延伸功能的裝置驅動程式、雲端儲存解決方案、網絡和安全性App之IT管理員移至建立在系統延伸功能的較新版本.
這些較新版本可以大幅降低Mac發生核心錯誤的機會,並縮小受攻擊的範圍.
這些新的延伸功能會在用户的空間執行,無需特殊權限以進行安裝,且會在套裝的App被移至「垃圾筒」時自動移除.
DriverKit框架提供C++級別IO服務、裝置配對、記憶體描述,以及分發佇列.
其亦會定義適合IO的編號、集合、字串類型,以及其他常用類型.
用户會配合家居指定驅動程式框架,如USBDriverKit和HIDDriverKit使用.
ReplayKitReplayKit影片錄製ReplayKit是允許開發者在其App中加入錄製與即時廣播功能的程式框架.
此外,它允許用户運用裝置的前鏡頭和咪高風來為其錄製的內容和廣播加上註解.
影片錄製錄製影片中打造的安全性層級有數層:權限對話框:在錄製開始前,ReplayKit會向用户提供同意提示,要求用户確認其錄製螢幕畫面、咪高風及前置相機的意圖.
系統會針對每個App處理程序顯示此提示一次,且如App停留在背景超過8分鐘,將會再次顯示.
螢幕與音訊截取:螢幕與音訊截取是在App的處理程序外、於ReplayKit的服務程式replayd中進行.
這會確保錄製的內容從不讓App處理程序存取.
App內螢幕與音訊截取:這允許App取得於權限對話框授權的影片及樣本緩衝.
影片製作與儲存:影片檔會直接寫入目錄,只有ReplayKit的子系統可存取,且從不讓任何App存取.
這樣可防止錄製內容未經用户同意而遭第三方使用.
終端用户預覽與共享:用户可使用ReplayKit提供的UI來預覽與共享影片.
UI會透過「iOS延伸功能」基礎架構跨處理序呈現,並可存取產生的影片檔.
ReplayKit廣播錄製影片中打造的安全性層級有數層:螢幕與音訊截取:廣播期間的螢幕與音訊截取機制與影片錄製相同,且會發生於replayd中.
廣播延伸功能:如要讓第三方服務參與ReplayKit廣播,它們需要建立兩個以com.
apple.
broadcast-services端點加以設定的新延伸功能:允許用户設定其廣播的UI延伸功能上載延伸功能,可處理上載影片與音訊資料至服務的後端伺服器此架構可確保託管的App對廣播的影片和音訊內容沒有權限,只有ReplayKit和第三方廣播延伸功能具有存取權限.
92廣播選擇器:透過廣播選擇器,用户可直接從App開始發送系統廣播(使用可從「控制中心」存取的相同系統定義UI).
系統會使用UIRemoteViewControllerSPI來導入UI,且其為位於ReplayKit程式框架中的延伸功能.
其為託管App的跨處理序延伸功能.
上載延伸功能:第三方廣播服務導入以在廣播期間處理影片和音訊內容的上載延伸功能會使用原始未編碼的樣本緩衝.
進行此處理模式期間,系統會將影片和音訊資料序列化,並透過直接XPC連線來即時傳遞至第三方的上載延伸功能.
影片資料完成編碼的方式是藉由從影片樣本緩衝截取IOSurface物件、以安全的方式編碼為XPC物件,再透過XPC傳送至第三方延伸功能,並安全地解碼回IOSurface物件.
相機及ARKitApple所設計的相機將私隱保護納入考量,且第三方App在取用「相機」前必須取得用户同意.
在iOS和iPadOS中,當用户向App授予「相機」取用權限,該App就可取用來自前置及背面相機的實時影像.
如App在使用相機時不公開狀態,其則不獲允許使用「相機」.
以相機拍攝的相片和影片可能包含其他資料,例如拍攝時間和位置、景深和取景框外的內容.
如用户不想「相機」App拍攝的相片和影片包含位置資料,用户可以隨時前往「設定」>「私隱」>「定位服務」>「相機」中進行控制.
如用户不想在分享相片或影片時包含位置資料,用户可以在分享頁中的「選項」選單關閉位置.

為改進用户AR體驗的定位,使用ARKit的App可使用來自其他相機的世界或面孔追蹤資料.
世界追蹤使用用户裝置上的演算法處理來自感測器的資料,以決定其位置來連繫至物理空間.
世界追蹤可啟用「地圖」中的「光學方位」等功能.
93安全裝置管理安全裝置管理概覽iOS、iPadOS、macOS及tvOS支援具彈性的安全性規則和易於實施與管理的設定.
透過這些原則和設定,可讓各機構保護公司資料並確保員工遵守企業要求,即使員工使用自己的裝置時也一樣(例如運用在「員工自攜裝置」(BYOD)計劃時).
公司可以使用密碼保護、設定描述檔、遙距清除和第三方流動裝置管理(MDM)解決方案等資源來管理裝置流通並協助確保公司的資料安全,甚至在員工使用私人裝置存取資料時,亦能保障安全.

在iOS13、iPadOS13.
1和macOS10.
15上,Apple裝置支援一項新的用户註冊選項,此選項是專為BYOD計劃而設計.
用户註冊讓用户在其裝置上享有更高的控制權,同時會將企業資料儲存於受加解密方式保護的獨立APFS卷宗上,從而提高企業資料的安全性.
此選項可在BYOD計劃的安全性、私隱和用户體驗上取得更佳的平衡.
配對模式iOS及iPadOS使用配對模式來從主機電腦控制裝置的存取權限.
配對會透過公用密鑰交換,以示在裝置與所連接的主機之間已建立信任關係.
iOS及iPadOS會使用這種信任關係來在與所連接的主機之間啟用附加功能,例如資料同步.
在iOS9或以上版本中,服務:需要配對的服務會等到裝置已用户解鎖後才會啟用除非裝置最近剛解鎖,否則服務不會啟動可能(例如相片同步)需要解鎖裝置才能進行配對程序需要用户解鎖裝置並接受來自主機的配對要求.
在iOS9或以上版本中,用户亦必須輸入密碼,然後主機和裝置會交換並儲存2048位元的RSA公用密鑰.
主機之後會獲得一組256位密鑰,可用於解鎖儲存在裝置上的託管Keybag.
在裝置將受保護的資料傳送到主機或啟動服務(iTunes或Finder同步、檔案傳送、Xcode開發等)前,需要使用交換的密鑰來啟動加密SSL作業階段.
如要將此加密作業階段用於所有通訊,裝置需透過Wi-Fi與主機連線,因此在這之前必須先透過USB配對.
配對也會啟用一些診斷功能.
在iOS9中,如配對記錄已超過六個月未使用,便會過期.
在iOS11或以上版本,這個時限縮短為30日.
部份服務(包括com.
apple.
pcapd)會限制為僅能透過USB執行.
此外,需要安裝Apple簽署的設定描述檔才能使用com.
apple.
file_relay服務.
在iOS11或以上版本中,AppleTV可使用「安全遙距密碼」通訊協定來以無線方式建立配對關係.
用户可以使用「重設網絡設定」或「重設定位服務與私隱」選項來清除信任的主機列表.

密碼設定管理依照預設,用户的密碼可定義為數值的PIN.
在配備TouchID或FaceID的iOS和iPadOS裝置上,密碼長度至少需有四位數.
因較長且複雜的密碼比較難以猜測或攻擊,建議使用此類密碼.

94管理員可以使用流動裝置管理(MDM)或ExchangeActiveSync,或是要求用户手動安裝設定描述檔,來強制實施複雜密碼要求和其他規則.
安裝macOS密碼規則承載資料時需要提供管理員密碼.
以下是一些密碼規則:允許簡易數值需要英數數值密碼最短長度複雜字元最短長度密碼最長使用期限密碼記錄自動鎖定逾時無需密碼的裝置鎖定時間嘗試失敗的次數上限允許TouchID或FaceID設定強制執行設定描述檔為XML檔案,可讓管理員分發設定資料到iOS、iPadOS、macOS及tvOS裝置.
在iOS、iPadOS及tvOS中,用户無法更改由已安裝的設定描述檔定義的設定.
如果用户刪除設定描述檔,亦會移除描述檔所定義的所有設定.
如此一來,管理員便可以藉由將規則與Wi-Fi和資料存取綁定的方式,來強制執行設定.
例如,提供電郵設定的設定描述檔也可以指定裝置密碼規則.
用户的密碼必須符合管理員的需求,否則無法存取郵件.

描述檔設定設定描述檔包含特定負載資料中的設定,並可進行指定,包括(但不限於):密碼規則對裝置功能的限制(例如停用相機)Wi-Fi設定VPN設定帳户設定LDAP目錄服務設定CalDAV日曆服務設定憑證和密鑰軟件更新描述檔簽署和加密設定描述檔可以簽署來驗證其來源及進行加密,以確保其正當性並保護內容.
iOS和iPadOS的設定描述檔是使用RFC3852中指定的加解密訊息語法(CMS)進行加密,並支援3DES和AES-128.
95描述檔安裝用户可使用AppleConfigurator2直接在裝置上安裝設定描述檔,或者可以使用Safari下載、藉由電郵傳送、在iOS及iPadOS上使用AirDrop或「檔案」App,又或者使用流動裝置管理(MDM)解決方案以無線方式傳送來取得設定描述檔.
用户在AppleSchoolManager或AppleBusinessManager中設定裝置時,裝置會下載並安裝用於MDM註冊的描述檔.
描述檔移除描述檔的移除方式是取決於它們的安裝方式.
下列步驟指示如何移除設定描述檔:1.
所有描述檔均可透過清除全部裝置資料來移除.
2.
如使用AppleSchoolManager或AppleBusinessManager為裝置指定描述檔,則可使用MDM解決方案移除,也可選擇由用户移除.
3.
如描述檔是透過MDM解決方案安裝,則可透過該MDM解決方案移除,或由用户移除註冊設定描述檔從MDM中取消註冊來移除.
4.
如描述檔是使用AppleConfigurator2安裝在受監管裝置上,AppleConfigurator2的監管實例可移除該描述檔.
5.
如描述檔是手動或使用AppleConfigurator2安裝在受監管裝置上,且該描述檔具有移除密碼承載資料,用户必須輸入移除密碼以移除該描述檔.
6.
其餘描述檔均可由用户移除.
透過設定描述檔安裝的帳户,可透過移除描述檔來移除.
MicrosoftExchangeActiveSync帳户(包括使用設定描述檔安裝的帳户)可透過MicrosoftExchangeServer核發,且只適用於帳户的遙距清除指令來移除.
在受監管的裝置上,設定描述檔也可以鎖定到裝置上,以徹底防範遭移除,或要求輸入密碼才能移除.
由於許多企業的用户皆持有專用的iOS及iPadOS裝置,可以移除將裝置綁定至MDM解決方案的設定描述檔,但這麼做也會移除所有受管理的設定資料、數據和App.
流動裝置管理(MDM)Apple作業系統支援流動裝置管理(MDM),使組織能安全地設定和管理規模化的Apple裝置部署.
MDM功能以設定描述檔、無線註冊和Apple推送通知服務(APNs)等現有的OS技術為基礎.
例如,APNs可用來喚醒裝置,以便其可透過安全連線與MDM解決方案直接進行通訊.
機密或所有權資料不會使用APNs傳輸.
使用MDM,IT部門便可以為企業環境中的Apple裝置註冊、以無線方式設定配置和更新設定、監控公司政策的遵守狀況、管理軟件更新政策,甚至可以遙距清除或鎖定受管理的裝置.
除iOS、iPadOS、macOS和tvOS支援的傳統裝置註冊外,新的註冊類型(用户註冊)亦已加至iOS13、iPadOS13.
1和macOS10.
15.
用户註冊是專為「員工自攜裝置(BYOD)」部署而設的MDM註冊,意思是裝置由個人擁有,但在受管理環境下使用.
用户註冊授予MDM解決方案的權限比不受監管裝置註冊的權限較為有限,且會使用加解密方式將用户和公司資料分隔.
註冊類型用户註冊:「用户註冊」專為用户持有的裝置而設,並會與「管理式AppleID」結合,以在裝置上建立用户身份.
「管理式AppleID」是「用户註冊」描述檔的一部份,用户必須認證成功以完成註冊.
「管理式AppleID」可與用户已登入的個人AppleID一起使用,兩者會互不相影響.
裝置註冊:「裝置註冊」可讓組織手動註冊裝置並管理裝置的多個使用層面,包括清除裝置的功能.
如用户移除MDM描述檔,便會移除受MDM解決方案管理的所有設定和App.
自動裝置註冊:「自動裝置註冊」可讓組織在將Apple裝置開箱後,即可馬上進行設定和管理(稱為零接觸部署).
這些裝置會成為受監管裝置,用户無法移除MDM描述檔.
「自動裝置註冊」是專為組織擁有的裝置而設計.
96自動裝置註冊在用户得到裝置前,公司可以在流動裝置管理(MDM)中自動註冊iOS、iPadOS、macOS及tvOS裝置,無需實際操作或準備.
在註冊服務後,管理員需登入服務網站,並將方案連接到其MDM解決方案.
接着便可透過MDM將他們購買的裝置指定給用户.
設定裝置期間,如果確實實施適當的安全措施,將能提高敏感資料的安全性.
例如:將用户認證納入Apple裝置啟用程序中「設定輔助程式」的初始設定流程提供具備有限存取權限的初步設定,及要求進行其他裝置設定以存取敏感資料指定使用户後,所有MDM專屬的設定、限制或控制項目便會自動安裝.
裝置與Apple伺服器之間所有傳輸中的通訊皆會透過HTTPS(TLS)加密.
藉由移除裝置上「設定輔助程式」中的特定步驟,用户的設定程序可以更加簡化,方便他們快速使用.
管理員也可以控制用户是否可從裝置上移除MDM描述檔,並確定裝置限制在裝置生命週期中皆會就緒.
裝置經開箱和啟用後,會於組織的MDM解決方案中註冊,且所有管理設定、App和書籍均依照MDM管理員的定義安裝.
AppleSchoolManager和AppleBusinessManagerAppleSchoolManager和AppleBusinessManager是專為IT管理員提供的服務,可讓組織部署直接向Apple或Apple授權的零售商和電訊商購買的Apple裝置.
如配搭流動裝置管理(MDM)解決方案使用,管理員、員工、職員及教師可以配置裝置設定及購買和分發App與書籍.
AppleSchoolManager使用聯合認證與學生資料系統(SISs)、SFTP和MicrosoftAzureAD結合,因此管理員可利用學校名冊和班級資料快速建立帳户.
購買後也可使用AppleConfigurator2,將已安裝iOS11或以上版本及tvOS10.
2或以上版本的裝置加入AppleSchoolManager或AppleBusinessManager.
AppleInc.
維持符合ISO/IEC27001和27018標準的證書,以讓Apple客户能夠履行其監管和合同義務.
這些證書為我們的客户提供了針對範圍內系統的Apple資料安全和私隱條例的獨立證明.
如需更多資料,請參閱Apple支援文章Apple互聯網服務認證.
附註:如要了解特定國家或地區是否可使用Apple計劃,請參閱Apple支援文章:適用於教育機構和企業的Apple計劃.
AppleConfigurator2AppleConfigurator2設計靈活安全,並以裝置為中心,使管理員可在一部Mac上設定多至數十部由USB連接的iOS、iPadOS和tvOS裝置,然後再交至用户,過程簡單快捷.
使用AppleConfigurator2,管理員可以更新軟件、安裝App和設定描述檔、重新命名和更改裝置的背景圖片、輸出裝置資料和文件等.

即使裝置不是從Apple、Apple授權經銷商或授權流動網絡電訊商購買,管理員也可使用AppleConfigurator2將iOS、iPadOS和tvOS裝置加到AppleSchoolManager或AppleBusinessManager.
當管理員設定已手動註冊的裝置時,裝置與其他已註冊的裝置一樣,同樣具有強制性監管和流動裝置管理(MDM)的註冊.
如裝置並非直接購買,用户有30日的臨時期限,將其從註冊、監管和MDM中移除.
30日的臨時期限會在裝置啟用後起計.
監管裝置在裝置設定期間,組織可設定要監管的裝置.
監管意味着裝置由機構所有,這樣會對其設定和限制提供額外的控制權.
透過AppleSchoolManager或AppleBusinessManager,可以在iOS、iPadOS、macOS和tvOS裝置以無線方式啟用監管,以作為流動裝置管理(MDM)註冊程序的一部份,或在iOS、iPadOS和tvOS裝置上使用AppleConfigurator2手動啟用.
在iOS、iPadOS和tvOS中,監管裝置需要先清除該裝置.
97下列是可受監督的裝置:配備iOS5或以上版本的iPhone、iPad和iPodtouch配備tvOS10.
2或以上版本的AppleTV在AppleSchoolManager或AppleBusinessManager中註冊後,下列裝置會自動受到監管:配備iOS13或以上版本的iOS裝置配備iPadOS13.
1或以上版本的iPad配備tvOS13或以上版本的AppleTV配備macOS10.
15或以上版本的Mac電腦裝置功能限制管理員可視情況啟用或停用「功能限制」,以防止用户存取特定App、服務或裝置功能.
系統會將取用限制承載資料(描述檔的一部份)傳送給裝置.
功能限制可套用至iOS、iPadOS、tvOS和macOS裝置.
iPhone上的某些功能限制可能會反映在配對的AppleWatch上.
啟用鎖通過管理啟用鎖,機構可以從其防盜功能中受益,同時使他們能夠從機構擁有的裝置中刪除啟用鎖.
在AppleSchoolManager或AppleBusinessManager中顯示並已註冊流動裝置管理(MDM)解決方案的iPhone、iPad、iPodtouch和Mac電腦上,可使用「啟用鎖」管理.
視乎裝置而定,你可以選擇開啟或允許「啟用鎖」.
開啟「啟用鎖」代表MDM解決方案(而非用户)會聯繫Apple伺服器來鎖定或解鎖裝置.
相反,允許「啟用鎖」可讓用户使用其iCloud帳户鎖定你擁有的裝置.
在iPhone、iPad和iPodtouch上開啟或停用啟用鎖AppleSchoolManager或AppleBusinessManager中的裝置隨時可透過MDM解決方案開啟「啟用鎖」,用户無法停用,亦無需用户在其裝置上啟用「尋找」.
這對擁有來自AppleSchoolManager或AppleBusinessManager的「管理式AppleID」之用户特別有用,因為「管理式AppleID」無法使用「尋找」服務.
開啟後,你可以按需要使用MDM遙距將裝置從「啟用鎖」移除,或者如果你實際取得該裝置時,你可以:在「啟用鎖」畫面輸入MDM啟用鎖略過代碼.
從AppleSchoolManager或AppleBusinessManager輸入建立裝置註冊代號(用於連接MDM解決方案到AppleSchoolManager或AppleBusinessManager)之「裝置管理員」的用户名稱和密碼.
在iPhone、iPad、iPodtouch和Mac上允許啟用鎖機構可以使用MDM解決方案來在受監管的裝置上允許啟用鎖.
這樣可讓你的機構獲得其防盜功能保護,同時在用户因任何原因(包括離開機構)而無法使用其AppleID完成認證時,仍可讓你略過功能.
因受監管裝置上「啟用鎖」預設為不允許,所以MDM解決方案可在「啟用鎖」開啟時儲存略過代碼.
此略過代碼可在當裝置需要清除並分配給新用户時,用來自動清除「啟用鎖」.
MDM解決方案可在下列情況下取得略過代碼,並允許用户在裝置上啟用「啟用鎖」:如MDM解決方案允許「啟用鎖」,且已開啟「尋找」,「啟用鎖」會在此時開啟.

在MDM解決方案允許「啟用鎖」時,「尋找」為關閉狀態,則會在下一次用户啟用「尋找」時啟用「啟用鎖」.

98在iOS和iPadOS中,略過代碼的有效期為裝置首次受監管後最多15日,或直至MDM解決方案取得該代碼,然後明確將該代碼清除.
如MDM解決方案未有在15日內取得略過代碼,該略過代碼將無法取得.
附註:在執行macOS10.
15的Mac電腦上,你不可以使用MDM開啟「啟用鎖」,但你可以防止用户在啟用「尋找」時開啟「啟用鎖」.
如果配備「AppleT2保安晶片」的Mac電腦正在使用「用户許可的MDM」,並已升級至macOS10.
15,「啟用鎖」亦會被預設為不允許.
在macOS10.
15的安裝(非升級)程序中管理「啟用鎖」,需將裝置加至AppleSchoolManager或AppleBusinessManager並註冊MDM.
略過代碼和還原密鑰MDM解決方案用於管理「啟用鎖」的略過代碼和還原密鑰對能不能清除「啟用鎖」十分關鍵.
必須定期保護及備份這些略過代碼和還原密鑰.
如有更換MDM廠商,請確保你已獲提供略過碼和還原密鑰的副本,或必須已經為所有已註冊的裝置清除「啟用鎖」.
「遺失模式」、遙距清除和遙距鎖定遺失模式如配備iOS9或以上版本的受監管iOS或iPadOS裝置遺失或失竊,MDM管理員可以在該裝置上遙距啟用「遺失模式」.
當「遺失模式」啟用時,目前的用户會被登出裝置且無法解鎖.
螢幕會顯示一則可由管理員自訂的訊息,例如顯示電話號碼,以便在尋獲裝置時致電.
當裝置設為「遺失模式」時,管理員可以要求裝置傳送其目前位置,且可選擇播放聲音.
當管理員關閉「遺失模式」時(這是離開此模式的唯一方式),用户會在鎖定畫面上看見此動作的通知訊息,或在主畫面上收到提示.
遙距清除和遙距鎖定管理員和用户可以遙距清除iOS、iPadOS和macOS裝置(只在Mac已啟用「檔案保險箱」時才能進行即時遙距清除).
藉由從可抹除儲存空間安全地刪除媒體密鑰,讓所有資料無法讀取,即可執行立即遙距清除.
遙距清除可由流動裝置管理(MDM)、MicrosoftExchangeActiveSync或iCloud起始.
在Mac上,電腦會傳送確認訊息並進行清除.
透過遙距鎖定,MDM會要求在Mac上輸入六位數密碼,所有用户會受到鎖定並無法進入,直到輸入該密碼為止.

當MDM或iCloud觸發遙距清除指令時,裝置會傳送確認通知並執行清除作業.
如透過MicrosoftExchangeActiveSync執行遙距清除,裝置會在執行清除之前登入MicrosoftExchange伺服器.
在兩種情況下,遙距清除無法執行:透過「用户註冊」安裝透過「用户註冊」安裝的帳户,請使用MicrosoftExchangeActiveSync用户也可以使用「設定」App來清除他們的iOS及iPadOS裝置.
如前面提到的,可以將裝置設定為在連續多次輸入密碼失敗後,自動清除裝置.
99共用的iPad共用的iPad概覽「共用的iPad」是在iPad部署中使用的一種多重用户模式.
其允許用户共用iPad,同時保持每個用户的文件和資料獨立.
每位用户可獲得專用和預留的儲存空間,這是以APFS卷宗形式建立,且受到用户的憑證保護.
「共用的iPad」要求使用由機構發行和擁有的管理式AppleID,並使用户能登入到設定為供多位用户使用的機構擁有的任何裝置.

用户資料會分割至個別的目錄,每個主目錄都位於其專屬的資料保護網域中,且受UNIX權限和Sandbox技術保護.
在iPadOS13.
4或以上版本,用户也可登入到暫時區段.
當用户登出暫時區段,其APFS卷宗會被刪除,且其保留的空間也會歸還到系統.
登入「共用的iPad」登入「共用的iPad」時,原始和聯合「管理式AppleID」均受支援.
首次使用聯合帳户時,用户會被導向至身份供應商(IdP)的登入出入口.
認證後,系統會為後備「管理式AppleID」核發一個短期有效的存取代號,登入程序則與原始「管理式AppleID」相似.
登入後,「共用的iPad」上的「設定輔助程式」會提示用户建立密碼(憑證),用於保護裝置本機資料和在日後進行登入畫面的認證.
就像單一用户裝置中,用户先使用其聯合帳户登入「管理式AppleID」一次,然後使用密碼來解鎖,在「共用的iPad上」,用户先使用其聯合帳户登入一次,之後便可使用已建立的密碼來解鎖.

當用户未經聯合認證登入時,系統會使用SRP通訊協定透過Apple的身份伺服器(IDS)對「管理式AppleID」進行認證.
如認證成功,則會授予一個該裝置特定的短暫存取代號.
如果用户先前使用過裝置,他們便已有使用相同憑證解鎖的本機用户帳户.
如果用户以前沒有使用過該裝置或正在使用暫時區段功能,則「共用的iPad」會提供新的UNIX用户Id,用於存儲用户個人資料的APFS卷宗以及本機鑰匙圈.
由於存儲空間是在製作APFS卷宗時為用户分配(保留),因此可能沒有足夠的空間來製作新卷宗.
在這種情況下,系統將識別其資料已完成同步到雲端的現有用户,並從裝置中逐出該用户,以允許新用户登入.
在不太可能發生的情況下,所有現有用户均未完成上載他們的雲端資料時,新用户會無法登入.
如要登入,新用户將需要等待一個用户的資料完成同步,或讓管理員強行刪除現有用户帳户,這樣會有遺失資料的風險.
如果裝置未連接互聯網(例如用户沒有Wi-Fi取用點),則可能會在有限日數內針對本機帳户進行認證.
在這種情況下,只有擁有先前已存在本機帳户或暫時區段的用户可以登入.
這個時限過後,即使本機帳户已存在,用户仍需於網上進行認證.
用户的本機帳户解鎖或建立後,如進行遙距認證,由Apple伺服器核發的短暫代號便會轉換為iCloud代號,以允許登入iCloud.
接着用户的設定會還原,且其文件和資料會從iCloud同步.
當用户的作業階段為作用中且裝置維持線上狀態時,文件和資料皆會在其製作或修改時儲存至iCloud.
此外,背景同步機制可確保變更會在用户登出後推送至iCloud,或其他使用NSURLSession背景作業階段的網絡服務.
該用户的背景同步作業完成後,系統會卸載其APFS卷宗,且如果用户沒有重新登入,就無法再次裝載卷宗.
暫時區段不會與iCloud同步資料,儘管暫時區段可以登入第三方同步服務(例如Box或Google雲端硬碟),但是在暫時區段結束時無法繼續同步資料.
登出「共用的iPad」用户登出「共用的iPad」時,系統會立即鎖定用户Keybag,並關閉所有App.
為了加快新用户登入的速度,iPadOS會暫時延遲部份的一般登出操作,並向新用户顯示登入視窗.
如果用户在這段期間(約30秒)登入,「共用的iPad」會執行延遲的清除,作為新用户登入帳户程序的一部份.
但是如果「共用的iPad」維持閒置狀態,便會觸發延遲的清除程序.
執行清除階段期間,「登入視窗」會重新啟動,就像是發生另一個登出操作.

暫時區段結束後,「共用的iPad」將執行完整的登出順序,並立即刪除暫時區段的APFS卷宗.
100螢幕使用時間「螢幕使用時間」是iOS12或以上版本、iPadOS、macOS10.
15或以上版本、以及部份watchOS中的功能,可讓用户了解和控制自己或子女的App和網絡用量.
雖然「螢幕使用時間」不是新的系統安全性功能,但了解「螢幕使用時間」如何在收集資料和裝置間共用的資料上保護安全性和私隱,仍然十分重要.

在「螢幕使用時間」中,用户有兩種類型:成人和兒童.
功能支援的OS檢視用量資料iOSiPadOSmacOS執行其他功能限制iOSiPadOSmacOS設定網絡用量限制iOSiPadOSmacOS設定App用量限制iOSiPadOSmacOSwatchOS設定停用時間iOSiPadOSmacOSwatchOS用户如要管理自己的裝置使用情況,可使用CloudKit端對端的加密,在與同一個iCloud帳户綁定的不同裝置上同步「螢幕使用時間」控制項目和用量資料.
用户的帳户必須啟用雙重認證(同步功能預設為關閉)才能使用此功能.

「螢幕使用時間」取代了iOS先前版本中的「功能限制」功能.
在iOS13、iPadOS13.
1和macOS10.
15中,如「螢幕使用時間」的用户和受管理子女的iCloud帳户啟用了雙重認證,他們的用量便會在裝置之間共享.
用户清除Safari瀏覽記錄或刪除App時,對應的用量資料也會從該裝置和所有同步的裝置上移除.
家長與「螢幕使用時間」家長也可使用iOS、iPadOS和macOS裝置上的「螢幕使用時間」來了解和控制小孩的使用情況.
如果家長是家庭組織者(在iCloud的「家人共享」中),便可檢視子女的用量資料和管理其「螢幕使用時間」設定.
當家長開啟「螢幕使用時間」時,子女會收到通知,且也可監看自己的使用情形.
家長為子女開啟「螢幕使用時間」時,可設定一組密碼,以便讓子女無法進行變更.
子女滿18歲時(以所在國家或地區為準)可關閉這個監控功能.
用量資料和配置設定使用端對端加密的Apple識別服務(IDS)通訊協定在家長和子女的裝置間傳輸.
加密的資料會暫時存放在IDS伺服器上,直到接收裝置讀取這筆資料(例如當iPhone、iPad或iPodtouch從關機變為開機狀態).
Apple無法讀取這些資料.
101「螢幕使用時間」分析如果用户開啟「分享iPhone與AppleWatch分析」,則系統只會收集下列匿名資料,讓Apple更了解「螢幕使用時間」的使用情況:是在「設定輔助程式」執行期間開啟「螢幕使用時間」,還是之後才在「設定」中開啟建立「類別」用量限制後的用量變更(90日內)是否已開啟「螢幕使用時間」是否已開啟「停用時間」使用「要求增加時間」需求的次數App限制的數量用户在「螢幕使用時間」設定中檢視用量的次數(根據用户類型和顯示方式類型(本機、遙距、小工具)分類)用户忽略限制的次數(根據用户類型分類)用户刪除限制的次數(根據用户類型分類)Apple不會收集特定App或網絡用量資料.
當用户在「螢幕使用時間」用量資料中看到App列表時,系統會直接從AppStore提取App圖像,其中不會保留來自這些要求的任何資料.
102Apple安全性與專用認證Apple安全性與專用認證概覽Apple對其硬件、軟件(包括作業系統和App)以及服務保持獨立的認證和證明,以為客户對Apple安全性和私隱條例提供獨立審查.
如有Apple安全性與專用認證的相關問題,請聯絡security-certifications@apple.
com.
硬件認證如需與硬件及連繫的韌體元件相關的公開認證,請參閱:AppleT2保安晶片的產品保安認證安全隔離區處理器的產品保安認證硬件認證如需與Apple作業系統相關的公開認證資料,請參閱:iOS的產品保安認證iPadOS的產品保安認證macOS的產品保安認證tvOS的產品保安認證watchOS的產品保安認證服務認證如需與Apple的互聯網服務相關的公開認證資料,請參閱:Apple互聯網服務認證Apple安全性保證Apple追求使用安全性認證的全面方法,從而為客户提供所有Apple平台的適當保證.
但是,並非所有技術領域都具有全球認可的全面安全性認證標準.
對於定義明確並得到全球認可的多項認證,Apple會根據每個主要的OS版本追求並取得年度認證.
為了涵蓋代表性不足領域,Apple積極參與新興安全標準的開發.
目標任務是推動Apple的硬件、軟件和服務獲得全球認可的全面安全性認證.
103硬件和軟件認證及驗證通過從矽片到操作系統、服務和App的整個平台全面開發和管理,Apple從認證重要組件入手,並在適當的情況下廣泛應用於多個平台.
這些重要組件之一就是對用於Apple已開發作業系統中的所有軟件和硬件加密模組部署的Corecrypto的驗證.
第二個此類重要組件是安全隔離區處理器的認證,其現已內嵌在許多Apple裝置中.
第三是在所附有TouchID的iPhone和Mac電腦中發現的SecureElement的認證.
這些硬件認證重要組件為更廣泛的平台安全性認證奠定了基礎.
加密編譯模組認證FIPS140-2/3(ISO/IEC19790)Apple作業系統中的加密編譯模組已經過加密編譯模組認證方案(CMVP)重複驗證,符合美國聯邦資料處理標準(FIPS)140-2規範(自2012年起的每個主要作業系統版本).
每次主要版本推出後,Apple會將所有模組提交至CMVP進行完整加密編譯模組驗證.
這些經過驗證的模組為Apple提供的服務提供了加密操作,並可供第三方App使用.
Apple每年為以軟件作為中心的模組取得安全層級1:「CoreCrypto模組(Intel)」及macOS適用的「CoreCryptoKernel模組(Intel)」,iOS、tvOS、watchOS以及Mac中內嵌AppleT2保安晶片的韌體為「CoreCrypto模組(ARM)」和「CoreCryptoKernel模組(ARM)」.
在2019年,Apple已獲得嵌入式硬件模組的FIPS安全層級2驗證,稱為「Apple安全隔離區處理器(SEP)安全密鑰存放區(SKS)加密編譯模組」,因此經政府核准可使用由SEP產生和管理的密鑰.
Apple將繼續致力為後續發佈每個主要OS實現更高級別的硬件模組.
FIPS140-3於2019年獲美國商務部核淮.
此版本的標準中最明顯的更改是ISO/IEC標準、ISO/IEC19790:2015和ISO/IEC24759:2017相關測試標準的使用.
CMVP已發起一個轉移方案,表示由2020年開始,將以FIPS140-3為基準驗證加密編譯模組.
Apple加密編譯模組目標在可行情況下以最快速度達到並轉移至FIPS140-3標準.
針對目前正在測試和驗證過程中的編譯模組,CMVP維持了兩個單獨的列表,其中可能包括相關建議的驗證資料.
對於在授權實驗室進行測試的編譯模組,「測試中的實施列表」中可能會列出該模組.
當實驗室提交模組供CMVP驗證後,編譯模組可能會出現在「處理中的模組列表」中.
如要在主要OS版本推出後立即查詢其驗證狀態,請先查看這兩個程序列表.
產品認證(共同準則ISO/IEC15408)共同準則(ISO/IEC15408)是許多機構用作執行IT產品安全性評估的基礎標準.
對於可以在國際共同準則認可協議(CCRA)下相互認可的認證,請參閱共同準則入口網站.
國家和私人驗證計劃也可以在CCRA外使用「共同準則」.
如同「共同準則」社群所聲明,其目標是建立一套國際認可的安全標準,以對資訊科技產品的保安能力提供清晰可靠的評估.
通過對產品符合安全標準的能力進行獨立評估,「共同準則」證書使客户對資訊科技產品的安全性更有信心,並可以做出更明智的決定.
通過共同準則認可協議(CCRA),成員國家和地區同意以相同的可信度認可資訊科技產品的認證.
成員數量隨「保護剖繪」(PP)的深度和廣度繼續逐年增長,以應對新興技術.
該協議允許產品開發者根據任何一項「授權計劃」進行單一認證.
以前的PP已被封存,並將被針對特定解決方案和環境的目標「保護剖繪」的開發所取代.
為了確保所有CCRA成員之間的相互認可,InternationalTechnicalCommunity(iTC)持續推動所有未來的PP開發和對「合作保護剖繪」(cPP)的更新,以上均是從開始就在多個計劃的參與下所開發.
針對IT產品評估的安全要求文件稱為「安全目標」(ST);為了獲得明確的保證,必須按照與評估相關的指引文件中的說明配置裝置.
透過使用「共同準則」標準獲得的保證是通過可以在「保護剖繪」(PP)或ST中指定的安全保證要求來表示.
評估保證級別(EAL)將常用的安全保證要求組合,並可能在PP和ST中指定以支持可比性.
104從2015年初開始,Apple開始根據新的「共同準則」重組要求的PP爭取認證.
自2015年,Apple的每個主要iOS版本已取得共同準則(ISO/IEC15408)認證,並擴展涵蓋範圍以納入由新「保護剖繪」(PP)提供的保證.
包括以下項目:流動裝置的iOS及iPadOS(iPhone和iPad)流動裝置認證MobileDeviceFundamentalProtectionProfile(平台認證)PP-ModuleforMDMAgent(平台的MDM管理)FunctionalPackageforTLS(所有來往平台的TLS通訊)PP-ModuleforVPNClient(使用IPSEC適用的IKEv2總是開啟VPN)ExtendedPackageforWirelessLANClients(受認證及已加密的無線網絡連線)App認證ApplicationSoftware(通訊錄)ExtendedPackageforWebBrowsers(Safari瀏覽器)Apple在專注於評估流動安全技術的科技社群中發揮了積極作用.
這些社群包括負責開發的internationalTechnicalCommunities(iTC)以及更新「合作保護剖繪」(cPPs).
Apple會依據目前可取得和開發中之版本的PP和cPP來持續評估和爭取認證.
針對北美市場的Apple平台認證通常由NationalInformationAssurancePartnership(NIAP)執行,此合作伙伴負責維護一系列正在評估但尚未認證的項目.
除了列出的一般平台證書之外,還發行了其他CC證書以為部份市場的特定安全要求提供證明.
服務認證AppleInc.
維持符合如ISO/IEC27001和27018標準的認證,以讓Apple客户能夠履行其監管和合同義務.
這些證書為我們的客户提供了針對範圍內系統的Apple資料安全和私隱條例的獨立證明.
Apple互聯網服務認證105詞彙表字詞定義可抹除儲存空間NAND儲存區中專門用於儲存加密編譯密鑰的區域,可以直接定址和安全清除.
如攻擊者實際持有裝置,可抹除儲存空間便無法提供保護,但其中的密鑰可以用作密鑰階層的一部份,以執行快速清除並提高安全性.
地址空間配置隨機載入(ASLR)iOS使用的一項技術,可讓透過軟件漏洞肆虐的惡意程式成功率大幅降低.
藉由確保記憶體地址和位移無法預測,入侵程式代碼便無法對這些值進行硬式編碼.
在iOS5或以上版本中,所有系統App和資料庫的位置也是隨機安排的,而所有第三方App均編譯為不受位置限制即可執行.
系統副處理器完整保護(SCIP)系統副處理器是位於與應用程式處理器相同SoC上的CPU.
系統軟件授權將內置硬件的加密編譯密鑰與網上服務合併,以確保只有來自Apple且合法、適當地支援裝置的軟件才會被提供,以及在升級時安裝.
指紋紋路角度對應從指紋的一部份截取,描述紋路走向和寬度的數學表徵.
流動裝置管理(MDM)一項讓用户遙距管理已註冊裝置的服務.
裝置一旦註冊,用户可透過網絡使用MDM服務來配置設定,以及在無需用户互動下執行其他操作.
記憶體控制器SoC中的子系統,負責控制SoC與其主記憶體之間的介面.
配置描述檔一個由Apple簽署的plist,其包含一組實體和授權,允許在iOS裝置上安裝並測試App.
開發「配置描述檔」會列出開發者選擇要用來臨機操作分發的裝置;分發「配置描述檔」中包含企業開發App的AppID.
唯一晶片識別碼(ECID)每部iOS裝置處理器中的一個64位元唯一識別碼.
在一部裝置上接聽來電時,會透過低耗電藍牙(BLE)4.
0短暫傳播來終止附近與iCloud配對的裝置鈴聲.
傳播位元組會使用與「接手」傳播相同的方式進行加密.
用作個人化程序的一部份,此識別碼並非機密.
唯一識別碼(UID)在製造過程便直接燒入每個處理器的256位元AES密鑰.
唯一識別碼無法由韌體或軟件讀取,只能由處理器的硬件AES引擎使用.
如要取得實際密鑰,攻擊者必須裝載極為複雜且昂貴的實體攻擊來入侵處理器的矽晶片.
UID與裝置上的任何其他識別碼(包含但不限於UDID)均無關聯.
密鑰封裝使用一個密鑰來加密另一個密鑰.
iOS依照RFC3394使用NISTAES密鑰封裝.
軟件種子位元「安全隔離區AES」引擎中的專屬位元,從UID產生密鑰時會附加至UID.
每個軟件種子位元都有對應的鎖定位元.
只要對應的鎖定位元尚未設定,「安全隔離區」BootROM和OS便可獨立變更每個軟件種子位元的值.
一旦設定鎖定位元,軟件種子位元和鎖定位元均無法修改.
「安全隔離區」重新啟動時,軟件種子位元和其鎖定位元會被重設.
媒體密鑰加密密鑰階層的一部份,其有助提供安全及即時的清除.
在iOS、iPadOS、tvOS和watchOS上,媒體密鑰會將資料卷宗上的後設資料封裝(因此不可能在沒有它的情況下取用所有檔案專屬密鑰,令受「資料保護」保護的檔案無法取用.
)在macOS上,媒體密鑰會將密鑰材料、所有後設資料,和受「檔案保險箱」保護卷宗上的資料封裝.
在這兩個情況中,清除媒體密鑰會令已加密的資料無法取用.
106字詞定義晶片式系統(SoC)一種集成電路(IC),可將多重元件整合到單片晶片上.
應用程式處理器、「安全隔離區」和其他副處理器是SoC的元件.
硬件安全模組(HSM)專門用來防止竄改的電腦,可保護並管理電子密鑰.
統一資源識別碼(URI)一個可識別網頁式資源的字元字串.
開機切換「開機切換」支援在Mac上安裝MicrosoftWindows.
開機進度暫存器(BPR)一組SoC硬件旗標,讓軟件可用來追蹤裝置進入的開機模式,例如DFU模式和還原模式.
「開機進度暫存器」旗標一旦設定就無法清除.
這可讓之後的軟件取得系統狀態的信任指標.
集成電路(IC)亦稱為微晶片.
群組識別碼(GID)類似UID,但同一類別中每個處理器的GID皆相同.
裝置韌體升級(DFU)模式裝置的BootROM程式碼在等待透過USB還原時所處的模式.
處於DFU模式時畫面為黑色,但在連接到正在執行iTunes的電腦時,便會顯示以下提示:「iTunes偵測到一部在還原模式中的(iPad、iPhone或iPodtouch).
如要與iTunes一同使用,你必須還原(iPad、iPhone或iPodtouch).
」資料保險箱一種由核心強制執行的機制,可以防止未經授權取用資料,而不管發出要求的App本身是否已經過Sandbox處理.
資料保護iOS的檔案和鑰匙圈保護機制.
也可以指App用來保護檔案和鑰匙圈項目的API.
檔案系統密鑰用於加密每個檔案後設資料的密鑰,包含其類別密鑰.
檔案系統密鑰會保存在可抹除儲存空間中以進行快速清除,而不視為機密.
檔案專屬密鑰256位元密鑰,用於在檔案系統上使用AES128-XTS加密檔案,該256位元會被分拆以提供128位元修改密鑰和128位元密碼密鑰.
檔案專屬密鑰由類別密鑰封裝,且儲存在檔案的後設資料內.
聯合測試工作群組(JTAG)程式設計師和電路開發者使用的標準硬件除錯工具.
還原模式還原模式是用於還原iOS裝置或AppleTV,如iTunes(只限iOS裝置)無法職別用户的裝置,或系統表示裝置處於還原模式,螢幕停留於Apple標誌數分鐘,且沒有顯示進度列,或顯示連接到iTunes的畫面.
鑰匙圈iOS和第三方App用來儲存和截取密碼、密鑰和其他敏感性憑證的基礎架構和API組.
AES進階加密標準.
AES加密引擎導入AES的專屬硬件元件.
AES-XTS在IEEE1619-2007中定義的AES模式,其為了加密儲存空間媒體.
APFSApple檔案系統.
Apple安全性獎金由Apple提供的獎勵,向報告影響現行最新作業系統及最新硬件(如適用)的漏洞的研究員提供.
Apple推送通知服務(APNs)由Apple提供的全球性服務,可傳送推送通知到iOS及iPadOS裝置.
Apple識別服務(IDS)Apple的iMessage公用密鑰、APNs地址、電話號碼和電郵地址的目錄,其用於查詢密鑰和裝置地址.
BootROM裝置在第一次啟動時,由處理器所執行的第一個程式碼.
作為處理器的其中一個必要部份,無論是Apple或攻擊者皆無法對其進行修改.
CKRecord這是包含儲存於或截取自CloudKit的成對密鑰值的字典.
DMA直接記憶存取能啟用硬件子系統以取用主記憶體.
ECDSA以橢圓曲線加密技術為基礎的電子簽名演算法.
107字詞定義EllipticCurveDiffie-HellmanExchange(ECDHE)配搭臨時密鑰的EllipticCurveDiffie-HellmanExchange.
ECDHE允許兩方同意一個密鑰,同時防止觀察兩方之間訊息的竊聽者發現該密鑰.
eSPI供同步序列通訊的增強序列週邊介面匯流排.
iBoot用來載入XNU的代碼,作為安全開機鏈的一部份.
視SoC是第幾代而定,iBoot可能由LLB載入或直接由BootROM載入.
Keybag用於儲存一組類別密鑰的資料結構.
每種類型(用户、裝置、系統、備份、託管或「iCloud備份」)的格式皆相同.
標題包含以下內容:版本(iOS12或以上版本中設定為四)、類型(系統、備份、託管或「iCloud備份」)、KeybagUUID、如果Keybag已簽署則包含HMAC,以及用於封裝類別密鑰的方式:與UID或PBKDF2,以及salt和反覆運算次數相配合.
類別密鑰列表:密鑰UUID、類別(所屬的檔案或鑰匙圈資料保護類別)、封裝類型(僅限UID衍生密鑰、UID衍生密鑰和密碼衍生密鑰)、封裝的類別密鑰,以及非對稱式類別的公用密鑰Low-LevelBootloader(LLB)在具有雙階段開機架構的Mac電腦上,由BootROM呼叫的代碼,接着會載入iBoot,作為安全開機鏈的一部份.
NAND非揮發性記憶體.
SSD控制器管理儲存媒體(固態磁碟)的硬件子系統.
T2DFU模式AppleT2保安晶片的裝置韌體升級模式.
Tangling用户的密碼轉換為加密編譯密鑰,並使用裝置UID強化的過程.
這可確保暴力密碼破解攻擊必須在指定裝置上才能執行,進而降低發生率,且可避免多部裝置同時受到攻擊.
Tangling演算法為PBKDF2,其使用AES密鑰配搭裝置UID,作為每次反覆運算的偽隨機函式(PRF).
UEFI韌體統一可延伸韌體介面,取代BIOS的技術以將韌體連接電腦的作業系統.
XNUiOS和macOS作業系統中央的核心.
預設為受信任的狀態,且會強制執行安全措施,例如程式碼簽署、Sandbox處理、授權檢查和ASLR.
108文件版本記錄日期摘要2020年4月已更新以適用於:iOS13.
4iPadOS13.
4macOS10.
15.
4tvOS13.
4watchOS6.
2更新:iPad咪高風取消連接已加到Mac和iPad中的硬件咪高風取消連接.
資料保險箱已加到Apple如何保護用户的個人資料.
使用Bootstrap代碼、用户設定、機構設定和命令列工具的更新項目.
防範惡意軟件中的惡意軟件移除工具增補項目.
共用的iPad概覽、登入「共用的iPad」和登出「共用的iPad」的更新.
新的Apple安全性與專用證書概覽主題.
Apple安全性與專用證書概覽和Apple安全性保證的更新.
2019年12月合併iOS安全性指南、macOS安全性概覽和AppleT2保安晶片概覽.
已更新以適用於:iOS13.
3iPadOS13.
3macOS10.
15.
2tvOS13.
3watchOS6.
1.
1私隱控制、Siri和Siri建議,以及Safari智慧型防追蹤已被移除.
請參閱https://www.
apple.
com/hk/privacy/以取得該等功能的最新資料.
2019年5月已更新適用於iOS12.
3支援TLS1.
3修訂AirDrop安全性的說明DFU與還原模式配件連線的密碼需求2018年11月已更新適用於iOS12.
1群組FaceTime109日期摘要2018年9月已更新適用於iOS12安全隔離區OS完整保護快速卡與省電模式DFU與還原模式HomeKit電視遙控器配件非接觸式票證學生證Siri建議Siri的捷徑「捷徑」App用户密碼管理螢幕使用時間安全性認證和計劃2018年7月已更新適用於iOS11.
4生物識別政策HomeKitApplePay商務聊天iCloud雲端「訊息」AppleBusinessManager2017年12月已更新適用於iOS11.
2ApplePayCash2017年10月已更新適用於iOS11.
1安全性認證和計劃TouchID/FaceID共享的備忘錄CloudKit端對端的加密TLS更新ApplePay、在網絡上使用ApplePay付款Siri建議共用的iPad2017年7月已更新適用於iOS10.
3安全隔離區檔案資料保護Keybag安全性認證和計劃SiriKitHealthKit網絡安全性藍牙共用的iPad遺失模式啟用鎖私隱控制110日期摘要2017年3月已更新適用於iOS10系統安全性「資料保護」類別安全性認證和計劃HomeKit、ReplayKit、SiriKitAppleWatchWi-Fi、VPN單一登入ApplePay、在網絡上使用ApplePay付款信用卡、扣帳卡及預付卡配置Safari建議2016年5月已更新適用於iOS9.
3管理式AppleIDApple^ID雙重認證Keybag安全性認證遺失模式、啟用鎖安全備註AppleSchoolManager共用的iPad2015年9月已更新適用於iOS9AppleWatch啟用鎖密碼原則TouchIDAPI支援A8上的資料保護使用AES-XTS自動軟件更新的Keybag認證更新企業級App的信任模型Safari書籤的資料保護App傳輸安全性VPN規格HomeKit的iCloud遙距存取ApplePay獎勵卡、ApplePay發卡機構的AppSpotlight裝置上索引編列iOS配對模式AppleConfigurator2功能限制111AppleInc.
2020AppleInc.
保留一切權利.
Apple、蘋果、Apple標誌、AirDrop、AirPlay、AppleMusic、ApplePay、AppleTV、AppleWatch、CarPlay、FaceID、FaceTime、FileVault、Finder、FireWire、Handoff、iMac、iMacPro、iMessage、iPad、iPadAir、iPhone、iPod、iPodtouch、iTunes、iTunesU、Keychain、Lightning、Mac、MacBook、MacBookAir、MacBookPro、macOS、Objective-C、OSX、QuickType、Safari、Siri、SiriRemote、Spotlight、TouchID、TrueDepth、watchOS和Xcode是AppleInc.
在美國及其他國家和地區註冊的商標.
AppleBooks、AppleWallet、HealthKit、HomeKit、HomePod、iPadOS、SiriKit和tvOS是AppleInc.
的商標.
AppleCare、AppStore、CloudKit、iCloud、iCloudDrive、iCloudKeychain和iTunesStore是AppleInc.
在美國及其他國家和地區註冊的服務標誌.
IOS是Cisco在美國及其他國家或地區的商標或註冊商標,且經過授權使用.
Bluetooth字標和標誌是BluetoothSIG,Inc.
擁有的註冊商標,Apple對於此類標誌的使用皆經過授權.
Java為Oracle和/或其分支機構的註冊商標.
UNIX是TheOpenGroup的註冊商標.
此處提及的其他產品和公司名稱可能為其各自公司的商標.
產品規格如有變更,恕不另行通知.