ios-sikkerhed ios 8.3 og nyere versioner Juni 2015

Størrelse: px
Starte visningen fra side:

Download "ios-sikkerhed ios 8.3 og nyere versioner Juni 2015"

Transkript

1 ios-sikkerhed ios 8.3 og nyere versioner Juni 2015

2 Indhold Side 4 Side 5 Side 9 Side 17 Side 25 Side 29 Introduktion Systemsikkerhed Sikker startkæde Godkendelse af systemsoftware Secure Enclave Touch ID Kryptering og databeskyttelse Sikkerhedsfunktioner i hardware Beskyttelse af arkivdata Adgangskoder Databeskyttelsesklasser Databeskyttelse af nøglering Adgang til adgangskoder, der er arkiveret af Safari Nøglesamlinger FIPS Appsikkerhed Signering af appkode Sikkerhed under programafvikling Udvidelser Appgrupper Databeskyttelse i apps Tilbehør HomeKit HealthKit Apple Watch Netværkssikkerhed SSL, TLS VPN Wi-Fi Bluetooth Log ind en gang (Single Sign-on) AirDrop-sikkerhed Internettjenester Apple-id imessage FaceTime icloud icloud-nøglering Siri Kontinuitet Spotlight-forslag 2

3 Side 41 Side 47 Side 48 Side 49 Styring af enheder Adgangskodebeskyttelse Model for pardannelse i ios Krævet konfiguration MDM (Mobile Device Management) Programmet til tilmelding af enheder (DEP) Apple Configurator Enhedsbegrænsninger Begrænsninger kun for overvågede enheder (Supervised) Ekstern sletning Find min iphone og Aktiveringslås Håndtering af Anonymitet Lokalitetstjenester Adgang til personlige data Politik med hensyn til beskyttelse af kunders identitet Konklusion Fokus på sikkerhed Ordliste 3

4 Introduktion Software Databeskyttelsesklasse Isoleret appmiljø (sandbox) Brugerpartition Apple designede ios-platformen med sikkerhed som et centralt element. Da vi besluttede at skabe den bedst mulige mobile platform, byggede vi en helt ny arkitektur på grundlag af mange års erfaring. Vi havde sikkerhedsrisiciene ved skrivebordsmodeller for øje og etablerede en helt ny indgangsvinkel til sikkerhed i designet af ios. Vi udviklede og indbyggede nyskabende funktioner, der som standard øger mobilsikkerheden og beskytter hele systemet. Det betyder, at ios udgør et kvantespring inden for sikkerhed for mobile enheder. Alle ios-enheder kombinerer software, hardware og tjenester, der har til formål at arbejde sammen for at give den maksimale sikkerhed og en transparent brugeroplevelse. ios beskytter ikke blot enheden og dens data i hvile, men hele økosystemet, både det, som brugerne foretager sig lokalt, på netværket og med vigtige tjenester på internettet. Hardware og firmware Partition til operativsystem Krypteret arkivsystem Secure Enclave Kerne Enhedsnøgle Gruppenøgle Apple-rodcertifikat Secure Element Kryptografisk modul Diagram over sikkerhedsarkitekturen i ios, som giver et visuelt overblik over de forskellige teknologier, der er beskrevet i dette dokument. ios og ios-enheder indeholder avancerede sikkerhedsfunktioner, men de er samtidig lette at bruge. Mange af disse funktioner er aktiveret som standard, så it-afdelingerne ikke behøver at foretage omfattende konfigurationer. Vigtige sikkerhedsfunktioner som enhedskryptering kan ikke konfigureres, så brugerne kan ikke slå dem fra ved en fejl. Andre funktioner, f.eks. Touch ID, forbedrer brugeroplevelsen ved at gøre det enklere og mere intuitivt at sikre enheden. Dette dokument indeholder detaljer om, hvordan sikkerhedsteknologi og -funktioner er implementeret på ios-platformen. Det hjælper også organisationer med at kombinere ios-platformens sikkerhedsteknologi og -funktioner med deres egne strategier og procedurer med henblik på at opfylde deres særlige sikkerhedsbehov. Dokumentet er inddelt i følgende emneområder: Systemsikkerhed: Den integrerede og sikre software og hardware, der udgør platformen til iphone, ipad og ipod touch. Kryptering og databeskyttelse: Den arkitektur og det design, der beskytter brugerdata, hvis enheden bliver væk eller stjålet, eller hvis en uautoriseret person forsøger at bruge eller modificere den. Appsikkerhed: De systemer, der gør det muligt at afvikle apps sikkert uden at bringe platformens integritet i fare. Netværkssikkerhed: Netværksprotokoller, der er standard i branchen, og som leverer sikker godkendelse og kryptering af data under overførsler. Internettjenester: Apples netværksbaserede infrastruktur til beskeder, synkronisering og sikkerhedskopiering. Styring af enheder: Metoder, der forhindrer uautoriseret brug af enheden og gør det muligt at slette den eksternt, hvis den bliver væk eller stjålet. Håndtering af Anonymitet: Funktioner i ios, der kan bruges til at styre adgangen til Lokalitetstjenester og brugerdata. 4

5 Systemsikkerhed Skift til DFU-funktionen (Device Firmware Upgrade) Når en enhed gendannes, efter den er skiftet til DFU-funktionen, går den tilbage til en kendt, gyldig status, hvor der er sikkerhed for, at kun umodificeret kode signeret af Apple er til stede. Det er muligt at skifte manuelt til DFU-funktionen: Slut først enheden til en computer med et USB-kabel, og hold derefter både knappen Hjem og knappen Vågeblus til/fra nede. Slip efter 8 sekunder knappen Vågeblus til/fra, mens knappen Hjem fortsat holdes nede. Bemærk: Der vises ikke noget på skærmen, mens DFU-funktionen er aktiv på enheden. Hvis Apple-logoet vises, blev knappen Vågeblus til/fra holdt nede for længe. Systemsikkerheden er designet, så både software og hardware er sikret i alle kernekomponenter i alle ios-enheder. Også startprocessen, softwareopdateringer og Secure Enclave er omfattet. Denne arkitektur er et centralt element for sikkerheden i ios og forringer aldrig enhedens brugervenlighed. Den tætte integration mellem hardware og software i ios-enheder sikrer, at hver komponent i systemet er godkendt, og at systemet som helhed er valideret. Fra første start over softwareopdateringer til ios til apps fra tredjeparter analyseres og kontrolleres hvert trin for at sikre, at hardware og software arbejder sammen optimalt og bruger ressourcerne korrekt. Sikker startkæde (secure boot chain) Hvert trin i startprocessen indeholder komponenter, der er signeret kryptografisk af Apple for at sikre integriteten, og som først går videre, når godkendelseskæden er verificeret. Det omfatter bootloader-programmerne, kernen, kerneudvidelserne og mobilkommunikationssoftwaren (baseband). Når en ios-enhed tændes, udfører dens programprocessor straks kode fra den skrivebeskyttede hukommelse, der kaldes Boot ROM. Denne uforanderlige kode, som er tillidsroden i hardwaren, defineres under chipfremstillingen og er implicit godkendt. Boot ROM-koden indeholder den offentlige Apple Root CA-nøgle, som bruges til at kontrollere, at LLB (Low-Level Bootloader) er signeret af Apple, før indlæsningen af den tillades. Det er det første trin i den tillidskæde, hvor hvert trin sikrer, at det næste trin er signeret af Apple. Når LLB er færdig med sine opgaver, kontrollerer og afvikler LLB bootloader-programmet på næste trin, iboot, som igen kontrollerer og afvikler ios-kernen. Denne sikre startkæde hjælper med at sikre, at software på laveste niveau ikke modificeres, og sørger for, at ios kun afvikles på godkendte Apple-enheder. Også til enheder med mobiladgang benytter mobilkommunikationssystemet (baseband) sin egen lignende proces med sikker systemstart, hvor softwaren og nøglerne er signeret og godkendt af mobilkommunikationsprocessoren. Til enheder med en A7-processor eller en nyere processor i A-serien benytter Secure Enclave-hjælpeprocessoren også en sikker startproces, der sikrer, at dens særskilte software er godkendt og signeret af Apple. Hvis et af trinnene i startprocessen ikke kan indlæses eller ikke kan godkende den næste proces, afbrydes starten, og skærmen Opret forbindelse til itunes vises på enheden. Dette kaldes gendannelsesfunktionen. Hvis Boot ROM ikke er i stand til at indlæse eller godkende LLB, skiftes til DFU-funktionen (Device Firmware Upgrade). I begge tilfælde skal der oprettes forbindelse fra enheden til itunes via USB, og standardindstillingerne skal gendannes på enheden. Du kan få flere oplysninger om, hvordan du skifter manuelt til gendannelsesfunktionen, i https://support.apple.com/ da-dk/ht

6 Godkendelse af systemsoftware Apple frigiver regelmæssigt softwareopdateringer for at imødegå potentielle sikkerhedsproblemer og samtidig levere nye funktioner. Opdateringerne stilles til rådighed for alle understøttede enheder på samme tid. Brugerne modtager meddelelser om ios-opdateringer på enheden og via itunes, og opdateringer leveres trådløst, så de nyeste sikkerhedsrettelser hurtigt kan installeres. Startprocessen, der er beskrevet ovenfor, hjælper med at sikre, at kun kode signeret af Apple kan installeres på en enhed. ios bruger en proces kaldet System Software Authorization (godkendelse af systemsoftware) til at forhindre, at enheder nedgraderes til en ældre version, hvor de nyeste sikkerhedsopdateringer mangler. Hvis det var muligt at nedgradere, kunne en person med ondsindede hensigter, som kommer i besiddelse af en enhed, installere en ældre version af ios og udnytte en sårbarhed, der er blevet fjernet i den nyere version. På en enhed med en A7-processor eller en nyere processor i A-serien benytter Secure Enclave-hjælpeprocessoren også godkendelse af systemsoftware til at sikre processorsoftwarens integritet og forhindre nedgraderinger. Se Secure Enclave nedenfor. ios-softwareopdateringer kan installeres ved hjælp af itunes eller trådløst via OTA (Over The Air) på enheden. Med itunes hentes og installeres en komplet kopi af ios. Ved softwareopdateringer via OTA hentes kun de komponenter, der kræves for at fuldføre en opdatering, i stedet for hele ios. Det sker af hensyn til netværkseffektiviteten. Det er også muligt at opbevare softwareopdateringer i bufferen på en lokal netværksserver, der afvikler buffertjenesten i OS X Server, så ios-enhederne ikke behøver at oprette adgang til Apple-servere for at hente de nødvendige opdateringsdata. Under en ios-opgradering opretter itunes (eller enheden selv i tilfælde af OTAsoftwareopdateringer) forbindelse til Apples godkendelsesserver til installering og sender en liste med kryptografiske målinger for hvert af de elementer i installeringspakken, der skal installeres (f.eks. LLB, iboot, kerne og OS-billede), en tilfældig værdi, der forhindrer genafspilning (nonce), og enhedens entydige id (ECID). Godkendelsesserveren holder den modtagne liste med målinger op mod de versioner, det er tilladt at installere, og hvis den finder et match, føjer den ECID til målingen og signerer resultatet. Serveren overfører et komplet sæt signerede data til enheden som led i opgraderingen. Tilføjelsen af ECID personliggør godkendelsen af den enhed, der sender anmodningen. Da godkendelse og signering kun sker for kendte målinger, sikrer serveren, at opdateringerne foretages præcis, som Apple har fastlagt. Evalueringen i tillidskæden på starttidspunktet kontrollerer, at signaturen stammer fra Apple, og at målingen for det emne, der indlæses fra disken, sammen med enhedens ECID modsvarer det, som signaturen dækker. Disse trin sikrer, at godkendelsen sker for en bestemt enhed, og at en gammel iosversion ikke kan kopieres fra en enhed til en anden enhed. Nonce-værdien forhindrer en person med ondsindede hensigter i at opsnappe serverens svar og bruge det til at modificere en enhed eller ændre systemsoftwaren. Secure Enclave Secure Enclave (sikker enklave) er en hjælpeprocessor, der er indbygget i Apples A7-processor eller en nyere processor i A-serien. Den bruger sin egen sikre startproces og individuelle softwareopdatering, der adskiller sig fra programprocessorens. Den leverer alle kryptografiske funktioner til administration af nøgler til Data Protection (databeskyttelse) og opretholder databeskyttelsen, også selvom kernen er blevet angrebet. 6

7 Den sikre enklave bruger krypteret hukommelse og indeholder en tilfældighedsgenerator. Dens mikrokerne er baseret på L4-familien med Apples modifikationer. Kommunikationen mellem den sikre enklave og programprocessoren er begrænset til en interruptstyret postkasse og fælles databuffere i hukommelsen. Hver sikre enklave forsynes under fremstillingen med dens egen entydige id (UID - Unique ID), som andre dele af systemet ikke har adgang til, og som Apple ikke kender. Når enheden starter, oprettes en midlertidig nøgle, som kombineres med dette UID og bruges til at kryptere den sikre enklaves del af enhedens hukommelsesområde. De data, der arkiveres i arkivsystemet af den sikre enklave, krypteres med en nøgle kombineret med UID og en tæller, der modvirker genafspilning. Den sikre enklave har ansvaret for at behandle fingeraftryksdata fra sensoren til Touch ID og fastlægge, om et fingeraftryk matcher et registreret fingeraftryk og derefter tillade adgang eller køb på brugerens vegne. Kommunikationen mellem processoren og sensoren til Touch ID sker via en seriel busgrænseflade til eksterne enheder. Processoren sender dataene videre til den sikre enklave, men kan ikke selv læse dem. De krypteres og godkendes med en sessionsnøgle, der forhandles med enhedens fælles nøgle, som stilles til rådighed for sensoren til Touch ID og den sikre enklave. Udvekslingen af sessionsnøglen bruger AES-nøgleindpakning, hvor begge parter leverer en tilfældig nøgle, der fastlægger sessionsnøglen, og bruger AES-CCM-transportkryptering. Touch ID Touch ID er det system til registrering af fingeraftryk, der gør sikker adgang til enheden hurtigere og nemmere. Denne teknologi læser fingeraftryksdata fra alle vinkler og lærer mere om en brugers fingeraftryk med tiden, fordi sensoren konstant udvider fingeraftrykskortet, efterhånden som flere overlappende detaljer identificeres for hver brug. Touch ID betyder, at det er nemmere for brugerne at benytte lange og komplekse adgangskoder, fordi de ikke behøver at indtaste dem så tit. Touch ID eliminerer også det upraktiske ved en adgangskodebaseret lås, ikke ved at erstatte den, men ved at give sikker adgang til enheden i henhold til gennemtænkte grænser og tidsmæssige betingelser. Touch ID og adgangskoder Brugere, der vil benytte Touch ID, skal indstille deres enhed, så der kræves en adgangskode for at låse den op. Når Touch ID scanner og genkender et tilmeldt fingeraftryk, låses enheden op, uden at enhedens adgangskode skal angives. Adgangskoden kan altid bruges i stedet for Touch ID, og den kræves stadig i følgende situationer: Enheden er lige blevet tændt eller genstartet Enheden har ikke været låst op i mere end 48 timer Enheden har modtaget en ekstern kommando til låsning Efter fem forgæves forsøg på at matche et fingeraftryk Ved indstilling af eller tilmelding af nye fingre til Touch ID Når Touch ID er slået til, låses enheden straks, når der trykkes på knappen Vågeblus til/fra. Ved sikkerhed, der kun er baseret på en adgangskode, indstiller mange brugere en frist inden låsning for ikke at skulle indtaste en adgangskode, hver gang enheden skal bruges. Med Touch ID låses enheden, hver gang den går på vågeblus, og ved afbrydelse af vågeblus kræves et fingeraftryk eller alternativt adgangskoden. Touch ID kan trænes til at genkende op til fem forskellige fingre. Hvis en enkelt finger er tilmeldt, er chancen for et tilfældigt match med en anden person 1 til Touch ID tillader imidlertid kun fem forgæves fingeraftryksforsøg, før brugeren er nødt til at skrive en adgangskode for at få adgang. 7

8 Andre anvendelsesmuligheder for Touch ID Touch ID kan også konfigureres til at godkende indkøb fra itunes Store, App Store og ibooks Store, så brugerne ikke behøver at indtaste en adgangskode til deres Apple-id. Når de vælger at godkende et køb, udveksles godkendelsestokens mellem enheden og butikken. Tokenet og den kryptografiske nonce-værdi opbevares i den sikre enklave. Nonce-værdien er signeret med en nøgle fra den sikre enklave, som deles af alle enheder og itunes Store. Herudover kan apps fra tredjeparter bruge system-api er til at bede brugeren om at legitimere sig vha. Touch ID eller en adgangskode. Appen informeres kun om, hvorvidt legitimeringen lykkedes. Den kan ikke få adgang til Touch ID eller de data, der er knyttet til det tilmeldte fingeraftryk. Emner i nøgleringen kan også beskyttes med Touch ID, så de kun frigives af den sikre enklave, hvis et fingeraftryk eller adgangskoden til enheden matcher. Appudviklere har også API er til kontrol af, om en bruger har indstillet en adgangskode, og de kan derfor godkende emner i nøgleringen eller låse dem op ved at bruge Touch ID. Touch ID-sikkerhed Fingeraftrykssensoren bliver først aktiv, når den kapacitive stålring omkring knappen Hjem registrerer en finger. Det får det avancerede billedbehandlingsarray til at scanne fingeren og sende scanningen til den sikre enklave. Rasterscanningen på 88 x 88 pixel og 500 ppi opbevares midlertidigt i et krypteret hukommelsesområde i den sikre enklave, mens den vektoriseres forud for analysen, hvorefter den kasseres. Under analysen sammenlignes vinklen og forløbet på riller i underhuden. Under denne proces kasseres data om meget små detaljer, der ellers kunne bruges til at rekonstruere brugerens ægte fingeraftryk. Resultatet af processen er et kort med detaljer. Det opbevares uden identitetsoplysninger i krypteret format, der kun kan læses af den sikre enklave og aldrig sendes til Apple eller sikkerhedskopieres i icloud eller itunes. Oplåsning af en ios-enhed med Touch ID Hvis Touch ID er slået fra, når en enhed låses, kasseres de nøgler til databeskyttelsesklassen Complete, som opbevares i den sikre enklave. Der er ikke adgang til arkiverne og emnerne i nøgleringen i denne klasse, før brugeren låser enheden op ved at indtaste sin adgangskode. Når Touch ID er slået til, kasseres nøglerne ikke, når enheden låses. De pakkes i stedet med en nøgle, der er tildelt Touch ID-subsystemet i den sikre enklave. Hvis Touch ID genkender fingeraftrykket, når en bruger forsøger at låse enheden op, leverer Touch ID nøglen til udpakning af databeskyttelsesnøglerne, og enheden låses op. Processen giver ekstra beskyttelse, fordi subsystemerne til databeskyttelse og Touch ID skal samarbejde om at låse enheden op. De nøgler, som Touch ID skal bruge til at låse enheden op, går tabt, hvis enheden genstartes, og de kasseres af den sikre enklave efter 48 timer eller efter fem mislykkede forsøg på Touch ID-genkendelse. 8

9 Kryptering og databeskyttelse Både den sikre startkæde, signeringen af kode og sikkerheden under programafviklingen bidrager til at sikre, at kun godkendt kode og godkendte apps kan afvikles på en enhed. ios omfatter yderligere krypterings- og databeskyttelsesfunktioner, der har til formål at beskytte brugerdata, også i situationer, hvor andre dele af sikkerhedsinfrastrukturen er blevet svækket (f.eks. på en enhed med ikke-godkendte modifikationer). Dette indebærer store fordele for både brugere og it-administratorer. Personlige oplysninger og virksomhedsdata er under konstant beskyttelse, og hvis en enhed stjæles eller bliver væk, kan den øjeblikkeligt slettes fuldstændigt eksternt. Sikkerhedsfunktioner i hardware De kritiske aspekter ved mobile enheder er hastighed og energieffektivitet. Kryptografiske funktioner er komplekse og kan give problemer med ydeevnen eller batteritiden, hvis funktionerne ikke designes og implementeres med disse prioriteter for øje. Alle ios-enheder har et dedikeret modul til AES 256-kryptering, der er indbygget i DMA-stien mellem flashlageret og den primære systemhukommelse, hvilket gør krypteringen af arkiver yderst effektiv. Enhedens entydige id (UID) og enhedens gruppe-id (GID) er AES 256-bit nøgler, der blev brændt (UID) eller kompileret (GID) ind i programprocessoren og den sikre enklave under fremstillingsprocessen. Ingen software eller firmware kan læse dem direkte. Software og firmware kan kun se resultatet af den kryptering eller afkryptering, som udføres af de dedikerede AES-moduler, der er implementeret i silicium med UID eller GID som nøgle. Herudover kan den sikre enklaves UID og GID kun bruges af det AESmodul, som er dedikeret til den sikre enklave. UIDerne er forskellige for hver enhed og er ikke registreret af Apple eller nogen af Apples leverandører. GID erne er fælles for alle processorer i en klasse med enheder (f.eks. alle enheder, der bruger Apples A8-processor), og de bruges til opgaver, der ikke er kritiske for sikkerheden, f.eks. levering af systemsoftware under installering og gendannelse. Nøglernes indbygning i silicium hjælper med at forhindre, at de modificeres eller omgås, eller at der oprettes adgang til dem uden om AES-modulet. Der er heller ikke adgang til UID og GID fra JTAG eller andre fejlfindingsgrænseflader. UID gør det muligt at knytte data kryptografisk til en bestemt enhed. Det udnyttes f.eks. af det nøglehierarki, som beskytter arkivsystemet. Det omfatter UID, så der ikke er adgang til arkiverne, hvis hukommelseskredsene flyttes fysisk fra en enhed til en anden. UID er ikke forbundet med andre id er på enheden. 9

10 Slet alt indhold og indstillinger Muligheden Slet alt indhold og indstillinger i Indstillinger sletter alle nøglerne i Effaceable Storage, så der ikke længere er kryptografisk adgang til nogen brugerdata på enheden. Det er derfor en ideel metode til at sikre, at alle personlige oplysninger er fjernet fra en enhed, før den overdrages til en anden person eller indleveres til reparation. Vigtigt: Brug ikke Slet alt indhold og indstillinger, før enheden er sikkerhedskopieret, da de slettede data ikke kan gendannes på nogen måde. Alle andre kryptografiske nøgler end UID og GID dannes af systemets tilfældighedsgenerator ved hjælp af en algoritme baseret på CTR_DRBG. Systemets entropi skabes af tidsmæssige variationer under start og efterfølgende, når enheden er startet, også af interrupttider. Nøgler, der genereres i den sikre enklave, bruger dens ægte tilfældighedsgenerator til hardware på grundlag af flere ringoscillatorer, der efterbehandles med CTR_DRBG. Sikker sletning af arkiverede nøgler er lige så vigtigt som dannelsen af nøglerne. Det kan især være en udfordring i forbindelse med et flashlager, hvor slidudjævning kan betyde, at flere kopier af data skal slettes. Denne udfordring håndteres på iosenheder med en funktion, der er specifikt beregnet til sikker sletning af data, og som kaldes Effaceable Storage (sletbart lager). Funktionen benytter den underliggende lagringsteknologi (f.eks. NAND) til at adressere et lille antal blokke på meget lavt niveau og slette dem. Beskyttelse af arkivdata Ud over de funktioner til hardwarekryptering, der er indbygget i ios-enheder, bruger Apple en teknologi til databeskyttelse ved navn Data Protection til yderligere beskyttelse af data, der opbevares i flashhukommelsen på enheden. Databeskyttelsen sætter enheden i stand til at reagere på almindelige begivenheder som indgående telefonopkald, men den gør det også muligt at kryptere brugerdata på højt niveau. Vigtige systemapps, f.eks. Beskeder, Mail, Kalender, Kontakter, Fotos og data fra Sundhed, bruger som standard databeskyttelsen, og apps fra tredjeparter, som installeres på ios 7 og nyere versioner, får automatisk denne beskyttelse. Databeskyttelsen implementeres ved, at et hierarki med nøgler opbygges og administreres, og den bygger på de teknologier til hardwarekryptering, der er integreret i alle iosenheder. Databeskyttelse styres pr. arkiv. Hvert arkiv tildeles til en klasse, og adgangen til arkivet bestemmes af, om klassenøglerne er blevet låst op. Oversigt over arkitekturen Hver gang, der oprettes et arkiv i datapartitionen, opretter databeskyttelsen en ny 256- bit nøgle (arkivnøglen). Nøglen overdrages til AES-modulet i hardwaren, som bruger nøglen til at kryptere arkivet, når det skrives til flashhukommelsen med AES CBC-funktionen. Initialiseringsvektoren beregnes med blokforskydningen ind i arkivet, som er krypteret med arkivnøglens værdi fra SHA-1-hashing. Arkivnøglen pakkes med en af flere mulige klassenøgler, afhængigt af i hvilke situationer der skal være adgang til arkivet. Som ved alle andre indpakninger sker det ved hjælp af NIST AES-nøgleindpakning i overensstemmelse med RFC Den indpakkede arkivnøgle opbevares i arkivets metadata. Når et arkiv åbnes, afkrypteres dets metadata med arkivsystemnøglen og viser den indpakkede arkivnøgle og en notation til den klasse, der beskytter arkivet. Arkivnøglen pakkes ud med klassenøglen og overdrages derefter til AES-modulet til hardware, som afkrypterer arkivet, mens det læses fra flashhukommelsen. Metadata til alle arkiver i arkivsystemet krypteres med en tilfældig nøgle, som oprettes, når ios installeres første gang, eller når enheden slettes af en bruger. Arkivsystemnøglen opbevares i Effaceable Storage. Eftersom denne nøgle opbevares på enheden, bruges den ikke til at opretholde datafortroligheden. Dens formål er derimod, at den hurtigt kan slettes ved behov (af brugeren med indstillingen Slet alt indhold og indstillinger eller af en bruger eller administrator, der afsender en ekstern slettekommando fra en Mobile Device Management-server (MDM), Exchange ActiveSync eller icloud). Når nøglen slettes på denne måde, ophæves al kryptografisk adgang til alle arkiver. 10

11 Hardwarenøgle Arkivsystemnøgle Adgangskodenøgle Klassenøgle Arkivmetadata Arkivnøgle Arkivindhold Overvejelser om adgangskoder Hvis der skal indtastes en lang adgangskode, der kun består af tal, vises en numerisk blok på låseskærmen i stedet for hele tastaturet. Det kan være nemmere at indtaste en lang numerisk adgangskode i stedet for en kortere alfanumerisk adgangskode og samtidig opnå stort set samme sikkerhed. Indholdet af et arkiv krypteres med en særskilt nøgle pr. arkiv, der pakkes med en klassenøgle og opbevares i et arkivs metadata, som på sin side krypteres med arkivsystemnøglen. Klassenøglen beskyttes med hardwarens UID og for nogle klasser også med brugerens adgangskode. Dette hierarki er både fleksibelt og effektivt. Således skal arkivnøglen blot pakkes om, hvis et arkivs klasse ændres, mens en ændring af adgangskoden kun kræver, at klassenøglen pakkes om. Adgangskoder Når brugeren indstiller en adgangskode til enheden, aktiveres databeskyttelsen automatisk. ios understøtter alfanumeriske adgangskoder på fire cifre og med en vilkårlig længde. Ud over at låse enheden op sørger adgangskoden for entropi til visse krypteringsnøgler. Det betyder, at en person med ondsindede hensigter, som er i besiddelse af enheden, ikke kan få adgang til data i bestemte beskyttelsesklasser uden adgangskoden. Adgangskoden er kombineret med enhedens UID, så det er nødvendigt at udføre bruteforce-angreb direkte på den fysiske enhed. Et stort antal gentagelser bruges til at gøre hvert forsøg langsommere. Antallet af gentagelser er kalibreret, så hvert forsøg tager ca. 80 millisekunder. Det betyder, at det vil tage mere end 5 ½ år at prøve med alle kombinationer af en alfanumerisk adgangskode på seks tegn med både små bogstaver og tal. Jo stærkere brugerens adgangskode er, des stærkere bliver krypteringsnøglen. Touch ID kan bruges til at forbedre ligningen ved at lade brugeren oprette en langt stærkere adgangskode, end det normalt ville være praktisk muligt. Det øger det effektive omfang af entropi, som beskytter de krypteringsnøgler, der bruges til databeskyttelse, uden at det bliver besværligt for brugeren at låse en ios-enhed op flere gange om dagen. Brute-force-angreb på adgangskoder gøres endnu mere besværlige, ved at iosgrænsefladen øger tidsforsinkelsen, når der er indtastet en ugyldig adgangskode på låseskærmen. Brugeren kan vælge, at enheden automatisk skal slettes, hvis adgangskoden indtastes forkert efter 10 forsøg i træk. Denne indstilling er også tilgængelig som en administrativ politik via Mobile Device Management (MDM) og Exchange ActiveSync og kan indstilles til en lavere grænse. På en enhed med en A7-processor eller en nyere processor i A-serien udføres nøglefunktionerne af den sikre enklave, som også sørger for, at der går 5 sekunder mellem hvert forgæves oplåsningsforsøg i træk. Det er en ekstra forhindring for brute-force-angreb i tillæg til de sikkerhedsforanstaltninger, som ios sørger for. Databeskyttelsesklasser Når der oprettes et nyt arkiv på en ios-enhed, tildeles det en klasse af den app, som opretter det. Hver klasse benytter forskellige strategier til at afgøre, hvornår der er adgang til dataene. De grundlæggende klasser og strategier er beskrevet i følgende afsnit. 11

12 Fuldstændig beskyttelse (NSFileProtectionComplete): Klassenøglen beskyttes med en nøgle, der er afledt af brugerens adgangskode og enhedens UID. Kort efter brugeren har låst en enhed (10 sekunder, hvis Bed om adgangskode er indstillet til Straks), kasseres den krypterede klassenøgle, hvorved adgangen til alle data i klassen fjernes, indtil brugeren indtaster adgangskoden igen eller låser enheden op ved hjælp af Touch ID. Beskyttet, hvis ikke åben (NSFileProtectionCompleteUnlessOpen): Det kan være nødvendigt at skrive visse arkiver, mens enheden er låst. Et godt eksempel er et bilag, der hentes i baggrunden. Denne funktionsmåde opnås ved at bruge asymmetrisk elliptisk kurvekryptografi (ECDH over Curve25519). Den sædvanlige arkivnøgle beskyttes af en nøgle, der er dannet ved hjælp af en One-Pass Diffie-Hellman-nøgleaftale, som er beskrevet i NIST SP A. Den midlertidige offentlige nøgle til aftalen opbevares sammen med den indpakkede arkivnøgle. KDF er Concatenation Key Derivation Function (godkendt alternativ 1) som beskrevet under i NIST SP A. AlgorithmID er udeladt. PartyUInfo og PartyVInfo er henholdsvis den midlertidige og den statiske offentlige nøgle. SHA-256 bruges som hashing-funktion. Så snart arkivet lukkes, slettes arkivnøglen fra hukommelsen. Når arkivet skal åbnes igen, oprettes den fælles hemmelighed ( shared secret ) igen ved hjælp af den private nøgle til klassen NSFileProtectionCompleteUnlessOpen (Beskyttet, hvis ikke åbent) og arkivets midlertidige offentlige nøgle. Dets hash-værdi bruges til at pakke arkivnøglen ud, og derefter afkrypteres arkivet med arkivnøglen. Beskyttet indtil første brugergodkendelse (NSFileProtectionCompleteUntilFirstUserAuthentication): Denne klasse fungerer på samme måde som NSFileProtectionComplete (Fuldstændig beskyttelse) bortset fra, at den afkrypteres klassenøgle ikke fjernes fra hukommelsen, når enheden låses. Beskyttelsen i denne klasse har stort set samme egenskaber som fuld diskbeskyttelse på skrivebordscomputere og beskytter data mod angreb, der omfatter genstart af enheden. Det er standardklassen til alle data i apps fra tredjeparter, som ikke er tildelt en anden databeskyttelsesklasse. Ingen beskyttelse (NSFileProtectionNone): Denne klassenøgle er kun beskyttet med UID og opbevares i Effaceable Storage. Eftersom alle de nøgler, der skal bruges til at afkryptere arkiver i denne klasse, opbevares på enheden, er den eneste fordel ved krypteringen, at enheden hurtigt kan slettes eksternt. Selvom et arkiv ikke tildeles en databeskyttelsesklasse, opbevares det stadig i krypteret format (det gælder alle data på en ios-enhed). 12

13 Komponenter i et emne i nøgleringen Ud over adgangsgruppen indeholder hvert emne i nøgleringen administrative metadata (f.eks. tidsstemplerne oprettet og sidst opdateret ). Det indeholder også SHA-1 hash-værdier til de attributter, der bruges i forespørgsler om emnet (f.eks. kontonavn og servernavn), så det er muligt at foretage opslag uden at afkryptere de enkelte emner. Endelig indeholder det også krypteringsdata, som omfatter følgende: Versionsnummer Adgangskontrollistedata (ACL er) En værdi, der angiver emnets beskyttelsesklasse Emnenøgle, der er pakket med beskyttelsesklassenøglen Ordbog med attributter, der beskriver emnet (som overføres til SecItemAdd), kodet som en binær plist (egenskabsliste) og krypteret med emnenøglen Krypteringen er AES 128 GCM (Galois/ Counter Mode). Adgangsgruppen indgår i attributterne og beskyttes med det GMAC-mærke, der blev beregnet under krypteringen. Databeskyttelse af nøglering Mange apps skal kunne håndtere adgangskoder og andre korte, men følsomme datasekvenser, f.eks. nøgler og log ind-tokens. Med nøgleringen i ios kan disse emner opbevares på en sikker måde. Nøgleringen er implementeret som en SQLite-database i arkivsystemet. Der er kun en database, da securityd-dæmonen bestemmer, hvilke emner i nøgleringen hver proces eller app har adgang til. API er til nøgleringsadgang afsender kald til dæmonen, som sender forespørgsler om appens værdi for keychain-access-groups og berettigelsen application-identifier. Adgangsgrupper gør det muligt at dele emner i nøgleringen mellem apps i stedet for, at adgangen begrænses til en enkelt proces. Emner i nøgleringen kan kun deles mellem apps fra samme udvikler. Det styres med et krav om, at apps fra tredjeparter bruger adgangsgrupper med et præfiks, de har fået tildelt via ios Developer Program (via programgrupper i ios 8). Præfikskravet og programgruppernes forskellighed opretholdes ved hjælp af kodesignering, programbeskrivelser og ios Developer Program. Data i nøgleringe beskyttes med en klassestruktur, som ligner den, der bruges til beskyttelse af arkivdata. Disse klassers funktionsmåde ligner den for klasserne til beskyttelse af arkivdata, men deres nøgler er forskellige, og klasserne indgår i API er med andre navne. Tilgængelighed Beskyttelse af arkivdata Beskyttelse af data i nøglering Når låst op NSFileProtectionComplete ksecattraccessiblewhenunlocked Når låst NSFileProtectionCompleteUnlessOpen Ikke aktuelt Efter enheden er låst op første gang NSFileProtectionCompleteUntilFirstUserAuthentication ksecattraccessibleafterfirstunlock Altid NSFileProtectionNone ksecattraccessiblealways Adgangskode slået til Ikke aktuelt ksecattraccessible- WhenPasscodeSetThisDeviceOnly Apps, som benytter opdateringstjenester i baggrunden, kan bruge ksecattraccessibleafterfirstunlock til emner i nøgleringen, der skal være adgang til under opdateringer i baggrunden. Klassen ksecattraccessiblewhenpasscodesetthisdeviceonly er kun tilgængelig, når enheden er konfigureret med en adgangskode. Emner i denne klasse findes kun i nøglesamlingen System. De synkroniseres ikke med icloud-nøgleringen, de sikkerhedskopieres ikke, og de medtages ikke i nøglesamlinger af typen Kontrakt. Hvis adgangskoden fjernes eller nulstilles, bliver emnerne ubrugelige, fordi klassenøglerne kasseres. Andre nøgleringsklasser har en modpart af typen Kun denne enhed, hvor et emne altid beskyttes med UID, når det kopieres fra enheden under en sikkerhedskopiering, så det er ubrugeligt, hvis det gendannes på en anden enhed. Apple har nøje afvejet sikkerhed og anvendelighed og valgt nøgleringsklasser, som afhænger af den type oplysninger, der skal sikres, og det tidspunkt, hvor ios har brug for dem. Et VPN-certifikat skal f.eks. altid være tilgængeligt, så enhedens forbindelse ikke afbrydes, men det er klassificeret som ikke-flytbart, så det ikke kan flyttes til en anden enhed. 13

14 Til emner i nøgleringen, som oprettes af ios, benyttes følgende klassebeskyttelse: Emne Wi-Fi-adgangskoder Tilgængeligt Efter enheden er låst op første gang -konti Exchange-konti VPN-adgangskoder LDAP, CalDAV, CardDAV Tokens til sociale netværkskonti Annonceringskrypteringsnøgler til Handoff icloud-token Adgangskode til deling i hjemmet Token til Find min iphone Telefonsvarer itunes-sikkerhedskopiering Safari-adgangskoder VPN-certifikater Bluetooth -nøgler Token til Apples tjeneste til push-beskeder Certifikater og privat nøgle til icloud imessage-nøgler Certifikater og private nøgler installeret af konfigurationsbeskrivelse PIN-kode til SIM Efter enheden er låst op første gang Efter enheden er låst op første gang Efter enheden er låst op første gang Efter enheden er låst op første gang Efter enheden er låst op første gang Efter enheden er låst op første gang Efter enheden er låst op første gang Når låst op Altid Altid Når låst op, ikke-flytbart Når låst op Altid, ikke-flytbart Altid, ikke-flytbart Altid, ikke-flytbart Altid, ikke-flytbart Altid, ikke-flytbart Altid, ikke-flytbart Altid, ikke-flytbart Adgangskontrol for nøglering Nøgleringe kan bruge adgangskontrollister (ACL) til at indstille strategier for tilgængelighed og godkendelseskrav. Emner kan fastlægge betingelser for brugerens tilstedeværelse ved at angive, at der ikke er adgang til emnerne, medmindre brugeren legitimerer sig vha. Touch ID eller ved at indtaste enhedens adgangskode. Adgangskontrollister evalueres i den sikre enklave og frigives kun til kernen, hvis deres angivne betingelser er opfyldt. Adgang til adgangskoder, der er arkiveret af Safari ios-apps kan bruge følgende to API er til at interagere med emner i nøgleringen, som er arkiveret af Safari, med henblik på automatisk udfyldelse af adgangskoder: SecRequestSharedWebCredential SecAddSharedWebCredential Adgangen tillades kun, hvis både appudvikleren og webstedsadministratoren har godkendt den, og brugeren har givet sit samtykke. Appudviklere viser deres intention om at få adgang til adgangskoder, som er arkiveret af Safari, ved at indsætte en berettigelse i deres app. Berettigelsen angiver de tilknyttede websteders fuldstændige domænenavn (FQDN). Webstederne skal placere et arkiv signeret af CMS på deres server, som indeholder en liste med de entydige app-id er til de apps, webstederne har godkendt. Når en app med berettigelsen com.apple.developer.associated-domains installeres, sender ios 8 en TLS-anmodning om arkivet /apple-app-site-association til hvert af webstederne på listen. Hvis signaturen kommer fra en identitet, der er gyldig for domænet og godkendt af ios, og arkivet indeholder app-id et på den app, der skal installeres, 14

15 definerer ios en godkendt relation mellem webstedet og appen. Der kræves en godkendt relation, før kald til disse to API er medfører, at brugeren bliver bedt om at give sit samtykke, før adgangskoder frigives til appen eller opdateres eller slettes. Nøglesamlinger Nøglerne til klasserne til beskyttelse af data i såvel arkiver som nøgleringe indsamles og administreres i nøglesamlinger ( keybags ). ios bruger disse fire nøglesamlinger: System, Sikkerhedskopi, Kontrakt og icloud-sikkerhedskopi. Nøglesamlingen System er det sted, hvor de indpakkede klassenøgler, som bruges under den normale drift af enheden, opbevares. Når der f.eks. indtastes en adgangskode, indlæses nøglen til NSFileProtectionComplete fra nøglesamlingen System og pakkes ud. Det er en binær plist (egenskabsliste), der opbevares i klassen Ingen beskyttelse, hvis indhold er krypteret med en nøgle, der opbevares i Effaceable Storage. Fremadrettet sikkerhed til nøglesamlinger sikres ved, at denne nøgle slettes og dannes igen, hver gang en bruger skifter adgangskode. Kerneudvidelsen AppleKeyStore administrerer nøglesamlingen System og kan besvare forespørgsler om en enheds låsestatus. Den meddeleler kun, at enheden er låst op, hvis der er adgang til alle klassenøglerne i nøglesamlingen System, og de er pakket ud uden fejl. Nøglesamlingen Sikkerhedskopi oprettes, når itunes tager en krypteret sikkerhedskopi og arkiverer den på den computer, som enheden blev sikkerhedskopieret til. Der oprettes en ny nøglesamling med et nyt sæt nøgler, og de sikkerhedskopierede data omkrypteres med de nye nøgler. Som beskrevet tidligere er ikke-flytbare emner i nøgleringen pakket med den nøgle, der er afledt af UID. Det betyder, at de kan gendannes på den enhed, de oprindeligt blev sikkerhedskopieret fra, og at der ikke kan fås adgang til dem på en anden enhed. Nøglesamlingen beskyttes med den adgangskode, der er indstillet i itunes og behandlet med gennemløb af PBKDF2. På trods af dette store antal gentagelser er der ingen sammenkædning med en specifik enhed, og der er derfor i teorien risiko for et bruteforce-angreb på nøglesamlingen Sikkerhedskopi parallelt på mange computere. Denne trussel kan mindskes med en tilstrækkelig stærk adgangskode. Hvis en bruger vælger ikke at kryptere en itunes-sikkerhedskopi, krypteres de sikkerhedskopierede arkiver ikke uanset deres databeskyttelsesklasse, men nøgleringen er fortsat beskyttet med en nøgle afledt af UID. Det er årsagen til, at emner i nøgleringen kun kan flyttes til en ny enhed, hvis der er indstillet en adgangskode til sikkerhedskopien. Nøglesamlingen Kontrakt bruges til itunes-synkronisering og MDM. Denne nøglesamling giver itunes mulighed for at sikkerhedskopiere og synkronisere, uden at brugeren skal indtaste en adgangskode, og det sætter en MDM-server i stand til at slette en brugers adgangskode eksternt. Den opbevares på den computer, der bruges til at synkronisere med itunes, eller på den MDM-server, som administrerer enheden. Nøglesamlingen Kontrakt giver en bedre brugeroplevelse under synkronisering af enheden, hvor der kan være behov for at få adgang til alle typer data. Første gang en adgangskodebeskyttet enhed opretter forbindelse til itunes, bliver brugeren bedt om at indtaste en adgangskode. Enheden opretter derefter en nøglesamling af typen Kontrakt, der indeholder de samme klassenøgler, som bruges på enheden. Nøglesamlingen beskyttes med en ny, genereret nøgle. Nøglesamlingen Kontrakt og den nøgle, der beskytter den, fordeles mellem enheden og værten eller serveren, mens dataene opbevares på enheden i klassen Beskyttet indtil første brugergodkendelse. Det er derfor, at adgangskoden til enheden skal indtastes, før brugeren kan sikkerhedskopiere med itunes første gang efter en genstart. 15

16 En særlig variant af en nøglesamling af typen Kontrakt, som kaldes Kontraktarkiv ( stash keybag), bruges under softwareopdatering til at give opdateringsprocessen adgang til arkiver og emner i nøgleringen med et hvilket som helst databeskyttelsesniveau. Der kræves adgang, efter enheden er genstartet under opdateringen, for at afvikle dataflyttefunktioner, som udfører opgaver som at opdatere databaseskemaer, generere nye emneeksempler eller endda opgradere databeskyttelsesniveauerne. Hvis softwareopdateringen sker via OTA, bliver brugeren bedt om at indtaste sin adgangskode, når opdateringen startes. Den bruges til at indstille et sikkert flag i nøglesamlingen System, som bevirker, at der oprettes en nøglesamling af typen Kontraktarkiv i hukommelsen, mens enheden er låst op. Når brugeren er klar til at udføre opdateringen, hvilket kun kan gøres, mens enheden er låst op, skrives nøglesamlingen Kontraktarkiv til disken og beskyttes af en nøgle i Effaceable Storage. Når opdateringen sker med itunes fra en parret vært med en gyldig nøglesamling af typen Kontrakt, bliver brugerne bedt om at låse deres enhed op, før opdateringen starter, for at gøre det muligt at skrive nøglesamlingen Kontraktarkiv til disken, mens enheden er låst op. Når dataflyttefunktionerne, afvikles, indlæses nøglesamlingen Kontraktarkiv og giver adgang til nøglerne til databeskyttelsesklasserne. På det tidspunkt slettes nøglesamlingen Kontraktarkiv fra disken, og den nøgle, der beskytter den, fjernes fra Effaceable Storage for at sikre, at den ikke kan bruges igen. Når dataflytteprocessen afsluttes, kasseres de nøgler, som normalt kun findes, mens enheden er låst op, og enheden får statussen Efter enheden er låst op første gang. Hvis det ikke var muligt at oprette en nøglesamling af typen Kontraktarkiv inden opdateringen, vises instruktionen Skub for at opgradere, efter enheden er genstartet, og brugeren skal indtaste sin adgangskode for at fuldføre opdateringsprocessen. Nøglesamlingen icloud-sikkerhedskopi ligner nøglesamlingen Sikkerhedskopi. Alle klassenøglerne i denne nøglesamling er asymmetriske (vha. Curve25519 ligesom databeskyttelsesklassen Beskyttet, hvis ikke åben), så icloud-sikkerhedskopieringen kan udføres i baggrunden. For alle databeskyttelsesklasser undtagen Ingen beskyttelse gælder, at de krypterede data læses fra enheden og sendes til icloud. De tilhørende klassenøgler beskyttes af icloud-nøgler. Ligesom ved en ikke-krypteret itunes-sikkerhedskopi er klassenøglerne til nøgleringen pakket med en nøgle, der er afledt af UID. Der bruges også en asymmetrisk nøglesamling til sikkerhedskopien i forbindelse med gendannelse af icloud-nøgleringen. FIPS De kryptografiske moduler i ios 8 er ved at blive godkendt med hensyn til overholdelse af den amerikanske standard FIPS (Federal Information Processing Standards) Level 1. Processen har til formål at godkende integriteten for kryptografiske funktioner til apps fra Apple og tredjeparter, som benytter de kryptografiske tjenester i ios korrekt. Der findes oplysninger om tidligere godkendelser og status i forbindelse med ios 8 i https://support.apple.com/da-dk/ht

17 Appsikkerhed Apps er et af de mest kritiske elementer i en moderne sikkerhedsarkitektur til mobile enheder. Apps kan give brugerne fantastiske fordele med hensyn til produktivitet, men hvis de ikke håndteres korrekt, kan de have en negativ indflydelse på systemsikkerhed, stabilitet og brugerdata. ios indeholder derfor flere beskyttelseslag for at sikre, at apps er signeret og godkendt, og at de afvikles i et isoleret miljø ( sandbox ) for at beskytte brugerdataene. Disse elementer skaber en stabil og sikker platform til apps, så tusindvis af udviklere kan levere hundredtusindvis af apps til ios uden at skade systemintegriteten. Brugerne kan benytte disse apps på deres ios-enheder uden unødig frygt for virus, malware og angreb fra uautoriserede personer. Signering af appkode Efter ios-kernen er startet, styrer den, hvilke brugerprocesser og apps der kan afvikles. For at sikre, at alle apps kommer fra en kendt og godkendt kilde og ikke er blevet modificeret, kræver ios, at al programkode skal signeres med et certifikat udstedt af Apple. Apps, der følger med enheden, f.eks. Mail og Safari, er signeret af Apple. Apps fra tredjeparter skal også godkendes og signeres ved hjælp af et certifikat udstedt af Apple. Obligatorisk kodesignering udvider begrebet tillidskæde fra operativsystemet til apps og forhindrer apps fra tredjeparter i at indlæse ikke-signerede koderessourcer eller benytte selvmodificerende kode. Før udviklere kan udvikle og installere apps på ios-enheder, skal de registrere sig hos Apple og tilmelde sig ios Developer Program. Hver udviklers rigtige identitet i den virkelige verden, hvad enten det er en enkeltperson eller en virksomhed, skal godkendes af Apple, før udvikleren får udstedt et certifikat. Certifikatet giver udviklerne mulighed for at signere apps og sende dem til App Store, så de kan blive distribueret. Det betyder, at alle apps i App Store er indsendt af en person eller organisation, der kan identificeres, hvilket forebygger udviklingen af ondsindede apps. Appene er også blevet gennemgået af Apple for at sikre, at de fungerer som beskrevet og ikke indeholder åbenlyse fejl eller andre problemer. Ud over den teknologi, der allerede er beskrevet, giver denne kuratering kunderne tillid til kvaliteten af de apps, de køber. ios 8 tillader, at udviklere integrerer frameworks i deres apps, som kan bruges af appen selv eller af udvidelser, som er integreret i appen. For at beskytte systemet og andre apps mod, at der indlæses kode fra tredjeparter i deres adresseområde, foretager systemet kodesignaturgodkendelse af alle de dynamiske biblioteker, som en proces henviser til på starttidspunktet. Godkendelsen gennemføres ved hjælp af team-id et, som udtrækkes fra certifikatet, der er udstedt af Apple. Et team-id er en alfanumerisk streng på 10 tegn, f.eks. 1A2B3C4D5F. Et program kan henvise til et hvilket som helst platformbibliotek, der følger med systemet, eller mod et bibliotek med samme team-id i dets kodesignatur som hovedprogramarkivet. Eftersom de programarkiver, der følger med systemet, ikke har et team-id, kan de kun henvise til biblioteker, som følger med systemet. Virksomheder har også mulighed for at udvikle interne apps til brug i deres egen organisation og distribuere dem til deres medarbejdere. Virksomheder og organisationer kan ansøge om medlemskab af ios Developer Enterprise Program (idep) med deres D-U-N-S-nummer. Apple godkender ansøgere efter at have bekræftet deres identitet 17

18 og berettigelse. Når en organisation er blevet medlem af idep, kan den registrere sig for at få en programbeskrivelse, der tillader, at interne apps afvikles på enheder, som den godkender. Programbeskrivelsen skal være installeret hos brugerne, før de kan afvikle de interne apps. Derved sikres, at kun organisationens godkendte brugere er i stand til at indlæse appene på deres ios-enheder. Interne apps tjekker også på afviklingstidspunktet, at signaturen er gyldig. Apps med et udløbet eller tilbagekaldt certifikat kan ikke afvikles. I modsætning til nogle andre mobile platforme tillader ios ikke, at brugerne installerer potentielt ondsindede ikke-signerede apps fra websteder eller afvikler kode, der ikke er godkendt. Under programafviklingen foretages kontrol af kodesignaturer for alle programsider i hukommelsen for at sikre, at en app ikke er blevet modificeret, efter den blev installeret eller sidst blev opdateret. Sikkerhed under programafvikling Efter at have bekræftet, at en app stammer fra en godkendt kilde, benytter ios sikkerhedsforanstaltninger til at forhindre appen i at kompromittere andre apps eller resten af systemet. Alle apps fra tredjeparter afvikles i et isoleret miljø ( sandbox ), der forhindrer dem i at få adgang til arkiver, som andre apps har oprettet, og i at foretage ændringer af enheden. Derved forhindres, at apps indsamler eller ændrer oplysninger, som andre apps har arkiveret. Hver app har sit eget hjemmebibliotek til sine arkiver. Det tildeles efter en tilfældighedsalgoritme, når appen installeres. Hvis en app fra en tredjepart har behov for at få adgang til andre oplysninger end sine egne, gør den det udelukkende ved hjælp af tjenester i ios. Systemarkiver og -ressourcer skærmes også mod brugerens apps. Størstedelen af ios afvikles som brugeren mobile, der ikke har nogen særlige tilladelser. Det samme gør alle apps fra tredjeparter. Hele partitionen med operativsystemet er aktiveret som skrivebeskyttet. Unødvendige værktøjer, f.eks. tjenesterne til ekstern log ind, indgår ikke i systemsoftwaren, og API er tillader ikke, at apps eskalerer deres tilladelser for at ændre andre apps eller ios selv. Adgang fra apps fra tredjeparter til brugeroplysninger og funktioner som icloud og udvidelsesmuligheder styres ved hjælp af erklærede berettigelser. Berettigelser er parvise nøgler og værdier, som indgår i appens signatur og tillader godkendelse ud over programafviklingsfaktorer, f.eks. unix-bruger-id. Eftersom berettigelser er signeret digitalt, kan de ikke ændres. Berettigelser bruges i vidt omfang af systemapps og -dæmoner til at udføre bestemte, priviligerede funktioner, som ellers skulle udføres som root. Det giver en langt mindre risiko for, at et systemprogram eller en systemdæmon, som er blevet kompromitteret, eskalerer sine tilladelser. Apps kan desuden kun udføre opgaver i baggrunden via systemets API er. Det gør, at apps kan blive ved med at fungere uden at forringe ydeevnen eller forkorte batteritiden voldsomt. ASLR (Address Space Layout Randomization) forhindrer, at fejl, der ødelægger hukommelsen, kan udnyttes. Indbyggede apps bruger ASLR til at sikre en tilfældig placering af alle hukommelsesområder, når de startes. Tilfældig placering af hukommelsesadresserne til programkode, systembiblioteker og relaterede programmeringskonstruktioner mindsker sandsynligheden for mange avancerede angreb. Eksempelvis forsøger et return-to-libc-angreb at narre en enhed til at udføre ondsindet kode ved at manipulere hukommelsesadresserne i stakken og systembibliotekerne. Når de placeres tilfældigt, er det langt sværere at foretage et angreb, især på flere enheder samtidig. Xcode, der er udviklingsmiljøet i ios, kompilerer automatisk programmer fra tredjeparter med ASLR-understøttelse slået til. 18

19 Yderligere beskyttelse opnås ved, at ios bruger ARM-funktionen Execute Never (XN), som markerer hukommelsessider som ikke-programsider. Hukommelsessider, der både er markeret med skriveadgang og som programsider, kan kun bruges af apps under yderst kontrollerede betingelser: Kernen undersøger, om den Apple-mærkede berettigelse dynamisk kodesignering er til stede. Selv da kan der kun foretages et enkelt mmapkald for at anmode om en programside, der er skriveadgang til, og som er tildelt en tilfældig adresse. Safari bruger denne funktionalitet til sin JavaScript JIT-compiler. Udvidelser ios giver ved hjælp af udvidelser apps mulighed for at stille funktionalitet til rådighed for andre apps. Udvidelser er signerede binære programarkiver til bestemte formål, som er indpakket i en app. Systemet registrerer automatisk udvidelser på installeringstidspunktet og gør dem tilgængelige for andre apps ved hjælp af et sammenligningssystem. Et systemområde, der understøtter udvidelser, kaldes et udvidelsespunkt. Hvert udvidelsespunkt stiller API er til rådighed og håndhæver politikker for området. Systemet afgør ud fra særlige sammenligningsregler for udvidelsespunktet, hvilke udvidelser der er tilgængelige. Systemet starter automatisk udvidelsesprocesser efter behov og administrerer deres levetid. Berettigelser kan bruges til at begrænse udvidelsernes tilgængelighed til bestemte systemprogrammer. Den widget, der viser oversigten I dag, findes f.eks. kun i Meddelelsescenter, og en udvidelse vedrørende deling er kun tilgængelig fra vinduet Deling. Der er følgende udvidelsespunkter: I dag -widgets, Del, Specielle handlinger, Fotoredigering, Dokumentudbyder og Specielt tastatur. Udvidelser afvikles i deres eget adresseområde. Kommunikation mellem udvidelsen og den app, den blev aktiveret fra, bruger kommunikation mellem processer med systemets framework som mægler. De har ikke adgang til hinandens arkiver eller hukommelsesområder. Udvidelser er designet, så de er isoleret i forhold til hinanden, til de apps, de er indeholdt i, og til de apps, der bruger dem. De afvikles i et isoleret miljø ( sandbox ) og har en beholder, der er adskilt fra den indeholdende apps beholder. De har imidlertid samme adgang til anonymitetsindstillinger som den app, de er indeholdt i. Det betyder, at hvis en bruger tildeler en app adgang til Kontakter, udvides tildelingen til de udvidelser, der er integreret i appen, men ikke til de udvidelser, som appen aktiverer. Specielle tastaturer er en særlig type udvidelser, fordi de aktiveres af brugeren til hele systemet. Når udvidelsen er aktiveret, bruges den til alle tekstfelter, undtagen indtastning af adgangskoder og sikre tekstoversigter. Af hensyn til anonymiteten afvikles specielle tastaturer som standard i et meget restriktivt isoleret miljø, der blokerer adgang til netværket, til tjenester, som udfører netværksfunktioner på vegne af en proces, og til API er, der ville give udvidelsen mulighed for at tilegne sig indtastede data. Udviklere af specielle tastaturer kan anmode om åben adgang for deres udvidelse, så systemet kan lade udvidelsen blive afviklet i det isolerede standardmiljø, hvis brugeren giver sit samtykke. For enheder, der er underlagt administrationen af mobile enheder, gælder, at dokumentog tastaturudvidelser overholder administrerede Åbn i -regler. MDM-serveren kan f.eks. forhindre en bruger i at eksportere et dokument fra en administreret app til en ikke-administreret dokumentudbyder eller bruge et ikke-administreret tastatur til en administreret app. Derudover kan appudviklere forhindre brugen af tastaturudvidelser fra tredjeparter i deres app. 19

20 Appgrupper Apps og udvidelser, der ejes af en given udvikler, kan dele indhold, når de konfigureres som en del af en appgruppe. Det er udviklerens ansvar at oprette de relevante grupper på Apple Developer Portal og inkludere det ønskede sæt apps og udvidelser. Når apps er konfigureret som en del af en appgruppe, har de adgang til følgende: En fælles container til arkivering på disken, som bevares på enheden, så længe mindst en app fra gruppen er installeret Fælles indstillinger Fælles emner i nøgleringen Apple Developer Portal garanterer, at alle appgruppe-id er er forskellige i hele økosystemet til apps. Databeskyttelse i apps ios Software Development Kit (SDK) omfatter et komplet sæt API er, der gør det let for tredjepartsudviklere og interne udviklere at benytte databeskyttelse og hjælpe med at sikre det højst mulige beskyttelsesniveau i deres apps. Databeskyttelse er tilgængeligt for API er til arkiver og databaser, herunder NSFileManager, CoreData, NSData og SQLite. Appen Mail (inkl. bilag), administrerede bøger, startbilleder til apps og lokalitetsdata opbevares også krypteret med nøgler, der beskyttes af brugerens adgangskode på enheden. Kalender (ekskl. bilag), Kontakter, Påmindelser, Noter, Beskeder og Fotos implementerer Beskyttet indtil første brugergodkendelse. Brugerinstallerede apps, som ikke tilvælger en bestemt databeskyttelsesklasse, tildeles som standard Beskyttet indtil første brugergodkendelse. Tilbehør MFi-licensprogrammet (Made for iphone, ipod touch og ipad) giver godkendte producenter af tilbehør adgang til ipod Accessories Protocol (iap) og de nødvendige hardwarekomponenter, der understøtter det. Når MFi-tilbehør kommunikerer med en ios-enhed via et Lightning-stik eller Bluetooth, beder enheden tilbehøret om at bevise, at det er godkendt af Apple, ved at svare med et certifikat fra Apple, som enheden derefter godkender. Derefter sender enheden en udfordring, som tilbehøret skal besvare med et signeret svar. Denne proces håndteres udelukkende af et særligt integreret kredsløb, som Apple stiller til rådighed for godkendte producenter af tilbehør. Det egentlige tilbehør skal ikke foretage sig noget. Tilbehør kan anmode om adgang til forskellige transportformer og funktioner, f.eks. adgang til digitale lydstreams via Lightning-kablet eller lokalitetsoplysninger leveret via Bluetooth. Et integreret kredsløb til godkendelse sikrer, at kun godkendte enheder får fuld adgang til enheden. Hvis noget tilbehør ikke beviser, at det er godkendt, er dets adgang begrænset til analog lyd og en lille del af det serielle (UART) betjeningspanel til lydafspilning. AirPlay bruger også det integrerede kredsløb til godkendelse til at bekræfte, at modtagerne er godkendt af Apple. AirPlay-lyd og CarPlay-videostreams benytter MFi-SAP (Secure Association Protocol), som krypterer kommunikationen mellem tilbehøret og enheden ved hjælp af AES-128 CTR. Midlertidige nøgler udveksles via ECDH-nøgleudveksling (Curve25519) og signeres ved hjælp af det integrerede godkendelseskredsløbs 1024-bit RSA-nøgle som en del af STS-protokollen (Station-To-Station). 20

ios-sikkerhed ios 9.0 og nyere versioner September 2015

ios-sikkerhed ios 9.0 og nyere versioner September 2015 ios-sikkerhed ios 9.0 og nyere versioner September 2015 Indhold Side 4 Side 5 Side 10 Side 18 Side 27 Side 31 Introduktion Systemsikkerhed Sikker startkæde (secure boot chain) Godkendelse af systemsoftware

Læs mere

ios-sikkerhed ios 9.3 og nyere versioner Maj 2016

ios-sikkerhed ios 9.3 og nyere versioner Maj 2016 ios-sikkerhed ios 9.3 og nyere versioner Maj 2016 Indhold Side 4 Side 5 Side 10 Side 19 Side 29 Side 33 Introduktion Systemsikkerhed Sikker start (secure boot chain) Godkendelse af systemsoftware Secure

Læs mere

!!! Oversigt over anvendelse af ios i virksomheder. Anvendelsesmodeller

!!! Oversigt over anvendelse af ios i virksomheder. Anvendelsesmodeller !!! Oversigt over anvendelse af ios i virksomheder ipad og iphone kan ændre din virksomhed, og hvordan dine ansatte arbejder. De kan øge produktiviteten betydeligt og give dine medarbejdere frihed og fleksibilitet

Læs mere

Første indstilling af ipad

Første indstilling af ipad Første indstilling af ipad Hvordan indstilles en helt ny ipad til elever i 3.- 8. klasse i Rudersdal kommune Ibrugtagningsvejledning - ver. 2.2, side 1 Ny elev-ipad Rudersdal Den udleverede ipad er et

Læs mere

Boot Camp Installerings- & indstillingshåndbog

Boot Camp Installerings- & indstillingshåndbog Boot Camp Installerings- & indstillingshåndbog Indholdsfortegnelse 3 Introduktion 3 Hvad du har brug for 4 Oversigt over installering 4 Trin 1: Søg efter opdateringer 4 Trin 2: Klargør Mac til Windows

Læs mere

Lumia med Windows Phone

Lumia med Windows Phone Lumia med Windows Phone Født til jobbet microsoft.com/da-dk/mobile/business/lumia-til-erhverv/ 103328+103329_Lumia-Brochure+10reasons_danish.indd 1 19.11.2014 14.43 Office 365 på arbejde Giv dine medarbejdere

Læs mere

Boot Camp Installerings- og indstillingsvejledning

Boot Camp Installerings- og indstillingsvejledning Boot Camp Installerings- og indstillingsvejledning Indholdsfortegnelse 3 Introduktion 4 Oversigt over installering 4 Trin 1: Søg efter opdateringer 4 Trin 2: Klargør Mac til Windows 4 Trin 3: Installer

Læs mere

BlackBerry Internet Service. Version: 4.5.1. Brugervejledning

BlackBerry Internet Service. Version: 4.5.1. Brugervejledning BlackBerry Internet Service Version: 4.5.1 Brugervejledning Publiceret: 2014-01-08 SWD-20140108172804123 Indhold 1 Kom godt i gang...7 Om meddelelelsesserviceplanerne for BlackBerry Internet Service...7

Læs mere

LEIF SMIDT. Introduktion

LEIF SMIDT. Introduktion LEIF SMIDT Introduktion IOS 9 - Oktober 2015 Kapitel 1 Nyheder Den nok største nyhed er Proactive, som er en ny interaktiv søgefunktion, der supplerer Spotlight Search. Proactive er lokaliseret ved at

Læs mere

Mobil og tablets. Vejledning. Opsætning af ipad IT-AFDELINGEN. Af: Anders C. H. Pedersen E-mail: Achp@norddjurs.dk Revideret: 12.

Mobil og tablets. Vejledning. Opsætning af ipad IT-AFDELINGEN. Af: Anders C. H. Pedersen E-mail: Achp@norddjurs.dk Revideret: 12. Af: Anders C. H. Pedersen E-mail: Achp@norddjurs.dk Revideret: 12. november 2014 IT-AFDELINGEN Vejledning Mobil og tablets Opsætning af ipad Norddjurs Kommune. Torvet 3. 8500 Grenå Tlf.: 89 59 10 00. www.norddjurs.dk

Læs mere

ipad udrulning på folkeskolerne i Thisted Kommune

ipad udrulning på folkeskolerne i Thisted Kommune ipad udrulning på folkeskolerne i Thisted Kommune I denne præsentation Gennemgang af regler Opsætning af ipad Tilslutning til Thisted Skoler MDM (Mobile Device Management) Oprette AppleID Oprette Google

Læs mere

Mac OS X v10.5 Leopard Installerings- og indstillingsvejledning

Mac OS X v10.5 Leopard Installerings- og indstillingsvejledning Mac OS X v10.5 Leopard Installerings- og indstillingsvejledning Hvis Mac OS X v10.3 eller en nyere version allerede er installeret på computeren: Alt, du behøver at gøre, er at opdatere til Leopard. Se

Læs mere

Boot Camp Installerings- & indstillingshåndbog

Boot Camp Installerings- & indstillingshåndbog Boot Camp Installerings- & indstillingshåndbog Indholdsfortegnelse 3 Introduktion 3 Hvad du har brug for 4 Oversigt over installering 4 Trin 1: Søg efter opdateringer 4 Trin 2: Klargør Mac til Windows

Læs mere

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted). Brugervilkår og andre gode ting, som du bør vide for at være sikker online. Sikkerhed er alles ansvar En del af IKEA ånden er "jeg gør min del, du gør din del, og sammen gør vi en masse." Dette gælder

Læs mere

Tylstrup Skole. Indhold

Tylstrup Skole. Indhold Indhold Grundlæggende opsætning af ipad... 2 Installation af Skolekom App ( ALLE Ipad brugere skal installere denne )... 9 Installation af Find my iphone... 16 Oprettelse af Apple-id... 23 1 Grundlæggende

Læs mere

IPAD VEJLEDNING INDHOLD

IPAD VEJLEDNING INDHOLD 1 IPAD VEJLEDNING INDHOLD FØRSTEGANGSOPSÆTNING...2 TILGÅ DET TRÅDLØSE NETVÆRK...4 OPSÆTNING AF E-MAIL...5 E-MAIL-FUNKTIONER...6 KALENDERFUNKTIONER...7 INSTALLER NYE PROGRAMMER...8 FÅ MERE UD AF DIN IPAD...10

Læs mere

Sådan opretter du en backup

Sådan opretter du en backup Excovery Guide Varighed: ca. 15 min Denne guide gennemgår hvordan du opretter en backup med Excovery. Guiden vil trinvist lede dig igennem processen, og undervejs introducere dig for de grundlæggende indstillingsmulighed.

Læs mere

ThinkVantage Fingerprint Software

ThinkVantage Fingerprint Software ThinkVantage Fingerprint Software Ophavsret Lenovo 2009. RETTIGHEDER BEGRÆNSET FOR USA'S MYNDIGHEDER: Vores produkter og/eller tjenester leveres med BEGRÆNSEDE RETTIGHEDER. Brug, kopiering eller offentliggørelse

Læs mere

Novell Filr 1.0.2 Quick Start til mobilapp

Novell Filr 1.0.2 Quick Start til mobilapp Novell Filr 1.0.2 Quick Start til mobilapp September 2013 Novell Quick Start Novell Filr giver dig nem adgang til alle dine filer og mapper via skrivebordet, browseren eller en mobilenhed. Derudover kan

Læs mere

Opstartsvejledning til ipad. Tinderhøj Skole

Opstartsvejledning til ipad. Tinderhøj Skole Opstartsvejledning til ipad Tinderhøj Skole Den første skærm når du starter din ipad Sæt fingeren på pilen og træk den til højre. Vælg sprog En ipad kommer med mulighed for at vælge mange forskellige sprog.

Læs mere

Mac OS X 10.6 Snow Leopard Installerings- og indstillingsvejledning

Mac OS X 10.6 Snow Leopard Installerings- og indstillingsvejledning Mac OS X 10.6 Snow Leopard Installerings- og indstillingsvejledning Læs dette dokument, før du installerer Mac OS X. Det indeholder vigtige oplysninger om installering af Mac OS X. Systemkrav Når du skal

Læs mere

ipad for let øvede, modul 10 ipad og Computer

ipad for let øvede, modul 10 ipad og Computer 17112014AS ipad for let øvede modul 10 ipad og computer Indledning I dette modul gennemgås nogle af de muligheder, der er for samspil mellem computeren og ipad'en. På ipad'en findes app'en itunes Store.

Læs mere

Panda Antivirus + Firewall 2007 NYT Titanium Kom godt i gang Vigtigt! Læs venligst grundigt afsnittet i denne guide om online registrering. Her findes nødvendige oplysninger for maksimal beskyttelse af

Læs mere

Advarsel: Den private nøglefil skal beskyttes.

Advarsel: Den private nøglefil skal beskyttes. Symantecs vejledning om optimal sikkerhed med pcanywhere Dette dokument gennemgår sikkerhedsforbedringerne i pcanywhere 12.5 SP4 og pcanywhere Solution 12.6.7, hvordan de vigtigste dele af forbedringerne

Læs mere

Sikkerhed på Android. Der kan være forskelle i fremgangsmåden på de forskellige Android modeller.

Sikkerhed på Android. Der kan være forskelle i fremgangsmåden på de forskellige Android modeller. Sikkerhed på Android Der kan være forskelle i fremgangsmåden på de forskellige Android modeller. Opdatering af telefonen Det er vigtigt at holde telefonen opdateret med den nyeste software, da eventuelle

Læs mere

Denne brugsanvisning gælder for følgende modeller:

Denne brugsanvisning gælder for følgende modeller: AirPrint vejledning Denne brugsanvisning gælder for følgende modeller: HL-340CW/350CDN/350CDW/370CDW/380CDW DCP-905CDW/900CDN/900CDW MFC-930CW/940CDN/9330CDW/9340CDW Version A DAN Definitioner af bemærkninger

Læs mere

Politik om cookies. Introduktion Om cookies

Politik om cookies. Introduktion Om cookies Introduktion Om cookies Politik om cookies De fleste hjemmesider, du besøger, bruger cookies for at forbedre din brugeroplevelse ved at sætte webstedet i stand til at 'huske' dig enten under hele dit besøg

Læs mere

INDHOLDSFORTEGNELSE. ipad - Apples geniale tablet... Forord. KAPITEL ET... 7 Hurtigt i gang med din ipad. KAPITEL TO... 25 Safari på internettet

INDHOLDSFORTEGNELSE. ipad - Apples geniale tablet... Forord. KAPITEL ET... 7 Hurtigt i gang med din ipad. KAPITEL TO... 25 Safari på internettet INDHOLDSFORTEGNELSE ipad - Apples geniale tablet... Forord KAPITEL ET... 7 Hurtigt i gang med din ipad Aktivér din ipad... 8 Opdater til ios 8... 9 Sluk og tænd din ipad... 10 Sæt din ipad på vågeblus...

Læs mere

Version 8.0. BullGuard. Backup

Version 8.0. BullGuard. Backup Version 8.0 BullGuard Backup 0GB 1 2 INSTALLATIONSVEJLEDNING WINDOWS VISTA, XP & 2000 (BULLGUARD 8.0) 1 Luk alle åbne programmer, bortset fra Windows. 2 3 Følg instrukserne på skærmen for at installere

Læs mere

Din brugermanual HTC TOUCH DIAMOND2 http://da.yourpdfguides.com/dref/3022573

Din brugermanual HTC TOUCH DIAMOND2 http://da.yourpdfguides.com/dref/3022573 Du kan læse anbefalingerne i brugervejledningen, den tekniske guide eller i installationsguiden. Du finder svarene til alle dine spørgsmål i HTC TOUCH DIAMOND2 i brugermanualen (information, specifikationer,

Læs mere

Din brugermanual NOKIA 6630 http://da.yourpdfguides.com/dref/822852

Din brugermanual NOKIA 6630 http://da.yourpdfguides.com/dref/822852 Du kan læse anbefalingerne i brugervejledningen, den tekniske guide eller i installationsguiden. Du finder svarene til alle dine spørgsmål i i brugermanualen (information, specifikationer, sikkerhedsråd,

Læs mere

Klon en ipad. - en vejledning til klon af ipad

Klon en ipad. - en vejledning til klon af ipad Klon en ipad - en vejledning til klon af ipad Indholdsfortegnelse 1. Hvorfor klone en ipad 2. Installer itunes 3. Klargør en Master ipad 4. Husk at begrænse 5. Backup af Master ipad 6. Husk at... 7. Opdater

Læs mere

Retningslinjer for Ipads GRÅSTEN FRISKOLE Version 2.0 side 1 af 11 Gældende fra 1.11.2014

Retningslinjer for Ipads GRÅSTEN FRISKOLE Version 2.0 side 1 af 11 Gældende fra 1.11.2014 side 1 af 11 Gældende fra 1.11.2014 Retningslinjer for Gråsten Friskole Side 1 side 2 af 11 Gældende fra 1.11.2014 Indhold Introduktion... Retningslinjer for Gråsten Friskole Side 32 ipad-sættet... 3 Ejerskab

Læs mere

Sådan afbrydes forbindelsen Når du vil afslutte CallPilot-sessionen, skal du trykke 83 for at afbryde forbindelsen eller lægge røret på.

Sådan afbrydes forbindelsen Når du vil afslutte CallPilot-sessionen, skal du trykke 83 for at afbryde forbindelsen eller lægge røret på. POSTKASSE-LOGON Du skal bruge et adgangsnummer (ring op til lokal 7600) til CallPilot Multimedia Messaging, et postkassenummer (7 + værelsesnummer) og en adgangskode for at logge på postkassen. 137 + værelsesnummer

Læs mere

ipad hos EUC Syd - alt hvad du skal vide for at sætte din ipad op

ipad hos EUC Syd - alt hvad du skal vide for at sætte din ipad op ipad hos EUC Syd - alt hvad du skal vide for at sætte din ipad op ipad hos EUC Syd alt hvad du skal vide for at sætte din ipad op Denne vejledning hjælper dig med at sætte din ipad op til brug mod IT-Center

Læs mere

Konfigurere arbejds- eller skolemailkonti, der bruger Office 365

Konfigurere arbejds- eller skolemailkonti, der bruger Office 365 Konfigurere arbejds- eller skolemailkonti, der bruger Office 365 Bruge Outlook til Android-appen BEMÆRK Outlook til Android kræver en enhed, der kører Android 4.0 eller nyere. Appens tilgængelighed varierer,

Læs mere

Brugervejledning - til internetbaseret datakommunikation med Nets ved hjælp af HTTP/S-løsningen

Brugervejledning - til internetbaseret datakommunikation med Nets ved hjælp af HTTP/S-løsningen Nets Denmark A/S Lautrupbjerg 10 P.O. 500 DK 2750 Ballerup T +45 44 68 44 68 F +45 44 86 09 30 www.nets.eu Brugervejledning - til internetbaseret datakommunikation med Nets ved hjælp af HTTP/S-løsningen

Læs mere

Opgradere fra Windows Vista til Windows 7 (brugerdefineret installation)

Opgradere fra Windows Vista til Windows 7 (brugerdefineret installation) Opgradere fra Windows Vista til Windows 7 (brugerdefineret installation) Hvis du ikke kan opgradere computeren, som kører Windows Vista, til Windows 7, så skal du foretage en brugerdefineret installation.

Læs mere

STOFA VEJLEDNING ONLINEDISK INSTALLATION

STOFA VEJLEDNING ONLINEDISK INSTALLATION STOFA VEJLEDNING ONLINEDISK INSTALLATION I denne vejledning gennemgås installation af Stofa OnlineDisk samt opsætning, brugerflade og OnlineDisk Webportalen. Trin 1 Information om Stofa OnlineDisk Stofa

Læs mere

Boot Camp Installations- & indstillingshåndbog

Boot Camp Installations- & indstillingshåndbog Boot Camp Installations- & indstillingshåndbog Indholdsfortegnelse 4 Introduktion 5 Hvad du har brug for 6 Oversigt over installation 6 Trin 1: Søg efter opdateringer. 6 Trin 2: Åbn Boot Camp-assistent.

Læs mere

Kvikstart til Novell Messenger 3.0.1 til mobilenheder

Kvikstart til Novell Messenger 3.0.1 til mobilenheder Kvikstart til Novell Messenger 3.0.1 til mobilenheder Maj 2015 Novell Messenger 3.0.1 og senere er tilgængelig til din understøttede ios-, Android- BlackBerry-mobilenhed. Da du kan være logget på Messenger

Læs mere

Toshiba EasyGuard i brug:

Toshiba EasyGuard i brug: Toshiba EasyGuard: i brug Toshiba EasyGuard i brug: portégé m400 DEN ULTRABÆRBARE TABLET PC, DER KLARER DET HELE. Toshiba EasyGuard indeholder en række funktioner, der hjælper mobile erhvervskunder med

Læs mere

TEKNISK ARTIKEL MERE END DATASIKKERHED MERE END DATASIKKERHED

TEKNISK ARTIKEL MERE END DATASIKKERHED MERE END DATASIKKERHED TEKNISK ARTIKEL MERE END DATASIKKERHED MERE END DATASIKKERHED TECH-2005-09-Data-Security-DK 1 TPM (TRUSTED PLATFORM MODULE, PÅLIDELIGT PLATFORMSMODUL) REPRÆSENTERER DET NYESTE INDEN FOR SIKKERHEDSTEKNOLOGIER.

Læs mere

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Startvejledning

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Startvejledning Microsoft Windows 7 / Vista / XP / 2000 / Home Server Startvejledning ESET Smart Security leverer avanceret beskyttelse af din computer mod skadelig kode. Baseret på ThreatSense -scanningsmotoren, som

Læs mere

Mobil Print/Scan vejledning til Brother iprint&scan

Mobil Print/Scan vejledning til Brother iprint&scan Mobil Print/Scan vejledning til Brother iprint&scan Version I DAN Definitioner af bemærkninger Vi bruger følgende typografi til bemærkninger i hele brugsanvisningen: angiver driftsmiljøet, betingelser

Læs mere

Mobil Print/Scan vejledning til Brother iprint&scan

Mobil Print/Scan vejledning til Brother iprint&scan Mobil Print/Scan vejledning til Brother iprint&scan Version G DAN Definitioner af bemærkninger Vi bruger følgende ikoner i hele brugsanvisningen: Bemærkninger fortæller, hvordan du skal reagere i en given

Læs mere

Automatisk og obligatorisk tilslutning. Hvis du blev tilmeldt Digital Post inden 1. november 2014. Mulighed for fritagelse

Automatisk og obligatorisk tilslutning. Hvis du blev tilmeldt Digital Post inden 1. november 2014. Mulighed for fritagelse Automatisk og obligatorisk tilslutning 1. november 2014 blev det lovpligtig at være tilsluttet Digital Post fra det offentlige. Denne dato skete der derfor en automatisk og obligatorisk tilslutning for

Læs mere

Politik om cookies. Introduktion Om cookies

Politik om cookies. Introduktion Om cookies Introduktion Om cookies Politik om cookies De fleste hjemmesider, du besøger, bruger cookies for at forbedre din brugeroplevelse ved at sætte webstedet i stand til at 'huske' dig enten under hele dit besøg

Læs mere

Toshiba EasyGuard i brug:

Toshiba EasyGuard i brug: Toshiba EasyGuard i brug Toshiba EasyGuard i brug: tecra a5 Få mobil produktivitet i helt nye dimensioner. Toshiba EasyGuard indeholder en række funktioner, der hjælper mobile erhvervskunder med at opfylde

Læs mere

Digital Signatur Infrastrukturen til digital signatur

Digital Signatur Infrastrukturen til digital signatur Digital Signatur Infrastrukturen til digital signatur IT- og Telestyrelsen December 2002 Resumé: I fremtiden vil borgere og myndigheder ofte have brug for at kunne kommunikere nemt og sikkert med hinanden

Læs mere

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Indhold F-Secure Anti-Virus for Mac 2015 Indhold Kapitel 1: Introduktion...3 1.1 Administrer abonnement...4 1.2 Hvordan sikrer jeg, at min computer er beskyttet...4 1.2.1

Læs mere

Web Connect vejledning

Web Connect vejledning Web Connect vejledning Version 0 DAN Omfattede modeller Denne brugsanvisning gælder for følgende modeller: ADS-2500W og ADS-2600W Definitioner af bemærkninger Vi bruger følgende ikon gennem hele brugsanvisningen:

Læs mere

KOM I GANG MED IPAD MINI

KOM I GANG MED IPAD MINI Tryk pilen mod højre 1 Tryk på den nedadgående pilespids 2 Scroll nedad med fingeren indtil du kommer til Dansk og tryk på Dansk 3 Tryk på Vis mere 4 Scroll nedad med fingeren indtil du kommer til Danmark

Læs mere

BullGuard Premium Protection... 2. Installation af BullGuard Premium Protection... 2. Ny BullGuard-bruger... 2

BullGuard Premium Protection... 2. Installation af BullGuard Premium Protection... 2. Ny BullGuard-bruger... 2 Indhold BullGuard Premium Protection... 2 Installation af BullGuard Premium Protection... 2 Ny BullGuard-bruger... 2 Hvis du allerede har produktet Internet Security 2013 installeret... 3 Aktiver Premium-tjenester...

Læs mere

Brugermanual til MOBI:DO Make på Android

Brugermanual til MOBI:DO Make på Android Brugermanual til MOBI:DO Make på Android Introduktion Med MOBI:DO Make kan du oprette guides, som kan ses i MOBI:DO. En guide virker som en guide der fører brugeren hele vejen igennem en arbejdsopgave.

Læs mere

BESTILLING AF NEMID. For at bestille ny NemID vælger du www.nets-danid.dk. Vælg Bestil NemID medarbejdersignatur.

BESTILLING AF NEMID. For at bestille ny NemID vælger du www.nets-danid.dk. Vælg Bestil NemID medarbejdersignatur. BESTILLING AF NEMID For at bestille ny NemID vælger du www.nets-danid.dk Vælg Bestil NemID medarbejdersignatur. CVR nummeret trækker automatisk adressen fra CVR registeret, så den skal IKKE ændres. Bekræft

Læs mere

Brugermanual til MOBI:DO Make på ipad

Brugermanual til MOBI:DO Make på ipad Brugermanual til MOBI:DO Make på ipad Introduktion Med MOBI:DO Make kan du oprette guides, som kan ses i MOBI:DO. En guide virker som en checkliste, der fører brugeren hele vejen igennem en arbejdsopgave.

Læs mere

TIL MAC. Startvejledning. Klik her for at overføre den seneste version af dette dokument

TIL MAC. Startvejledning. Klik her for at overføre den seneste version af dette dokument TIL MAC Startvejledning Klik her for at overføre den seneste version af dette dokument ESET Cyber Security Pro yder avanceret beskyttelse til din computer mod skadelig kode. Med basis i ThreatSense-scanningsprogrammet,

Læs mere

Windows 8 trinvis opgraderingsvejledning FORTROLIG 1/53

Windows 8 trinvis opgraderingsvejledning FORTROLIG 1/53 Windows 8 trinvis opgraderingsvejledning FORTROLIG 1/53 Indhold 1. 1. Windows 8 installationsproces 2. Systemkrav 3. Forberedelser 2. 3. 4. 5. Ren 6. 1. Personlige indstillinger 2. Trådløst 3. Brugerdefinerede

Læs mere

HTC ONE og HTC ONE mini

HTC ONE og HTC ONE mini HTC ONE og HTC ONE mini Her er en guide til softwareopdatering af HTC ONE og HTC ONE mini, opsætning og sletning af e-mail, skift af adgangskode og signatur, nulstilling ved bortkomst, samt opsætning af

Læs mere

Opsætning af ipad. med IOS7

Opsætning af ipad. med IOS7 Opsætning af ipad med IOS7 27-11-2013 Forord Tillykke med din nye ipad. Denne manual beskriver opsætningen af ipad i forbindelse med adgang til Aabenraa Kommunes systemer. Side 2 af 28 Indhold Hvor kan

Læs mere

DIGITAL SIGNATUR l OUTLOOK 2010

DIGITAL SIGNATUR l OUTLOOK 2010 DIGITAL SIGNATUR l OUTLOOK 2010 For at kunne bruge signeret og krypteret e-mail i Outlook skal der være et digitalt certifikat installeret på den gældende computer. Certifikatet kan enten være et privat

Læs mere

Indhold SAMSUNG GALAXY SIII... 1

Indhold SAMSUNG GALAXY SIII... 1 SAMSUNG GALAXY SIII Her er en guide til softwareopdatering af SAMSUNG GALAXY SIII, opsætning og sletning af e-mail, skift af adgangskode og signatur, nulstilling ved bortkomst, samt opsætning af skærmlås.

Læs mere

AirPrint vejledning. Denne brugsanvisning gælder til følgende modeller.

AirPrint vejledning. Denne brugsanvisning gælder til følgende modeller. AirPrint vejledning Denne brugsanvisning gælder til følgende modeller. DCP-J3W/J5W/J7W/J55DW/J75DW, MFC-J85DW/ J450DW/J470DW/J475DW/J650DW/J870DW/J875DW Version 0 DAN Definitioner af bemærkninger Vi bruger

Læs mere

NYT Panda Antivirus 2007 Kom godt i gang Vigtigt! Læs venligst grundigt afsnittet i denne guide om online registrering. Her findes nødvendige oplysninger for maksimal beskyttelse af din PC. Afinstaller

Læs mere

Google Cloud Print vejledning

Google Cloud Print vejledning Google Cloud Print vejledning Version A DAN Definitioner af bemærkninger Vi bruger følgende stil til bemærkninger gennem hele brugsanvisningen: Bemærkninger fortæller, hvordan du skal reagere i en given

Læs mere

INDHOLDSFORTEGNELSE. Godt i gang med Android tablet... Indledning. KAPITEL ET... De første trin med din Android-enhed. KAPITEL TO...

INDHOLDSFORTEGNELSE. Godt i gang med Android tablet... Indledning. KAPITEL ET... De første trin med din Android-enhed. KAPITEL TO... INDHOLDSFORTEGNELSE Godt i gang med Android tablet... Indledning KAPITEL ET... De første trin med din Android-enhed Første gang... 8 Tilknyt Google-konto... 9 Sikkerhedskopiering... 10 Hjemmeskærmen...

Læs mere

GB-HD9604T-PL / GB-HD9716T-PL. Kom godt i gang

GB-HD9604T-PL / GB-HD9716T-PL. Kom godt i gang GB-HD9604T-PL / GB-HD9716T-PL Kom godt i gang Copyright GolBong Danmark 2015 Generelt Tillykke med dit GolBong HD netværksoptager. Denne Kom godt i gang-vejledning, gennemgår hvordan du forbinder og kommer

Læs mere

Sådan indstiller du din ipad første gang

Sådan indstiller du din ipad første gang Sådan indstiller du din ipad første gang Betjeningsvejledning - ver. 1.2, Side 1 Rudersdal Ny lærer-ipad Du får udleveret en ipad som lån fra kommunen. Denne vejledning gennemgår i en række skærmbilleder,

Læs mere

SÅDAN GØR DU DIN IPAD KLAR TIL SKOLEBRUG

SÅDAN GØR DU DIN IPAD KLAR TIL SKOLEBRUG 1)TILSLUT IPAD EN TIL HJEMMETS TRÅDLØSE NETVÆRK Åbn Indstillinger Sørg for at punktet Wifi er aktiveret. Vælg hjemmets trådløse netværk ved at trykke på navnet. Udfyld adgangskoden når du bliver spurgt,

Læs mere

Toshiba EasyGuard i brug: Portégé M300

Toshiba EasyGuard i brug: Portégé M300 Den ultimative og robuste all-in-one ultrabærbare pc. Toshiba EasyGuard består af en række funktioner, der hjælper erhvervskunder med at opfylde deres behov for større datasikkerhed, avanceret systembeskyttelse

Læs mere

GUIDE TIL CLOUD DRIVE

GUIDE TIL CLOUD DRIVE GUIDE TIL CLOUD DRIVE Dette er en guide du kan anvende til nemt at komme effektivt i gang med at anvende Cloud Drive Indholdsfortegnelse 1. Tilgængelige Cloud Drive klienter 2. Guide til Windows klienten

Læs mere

// Mamut Business Software Installationsguide: Basis

// Mamut Business Software Installationsguide: Basis // Mamut Business Software Installationsguide: Basis Introduktion Indhold Denne guide forenkler installationen og førstegangsopstarten af Mamut Business Software. Hovedfokus i denne guide er enkeltbrugerinstallationer.

Læs mere

Online Banking Sikkerhedsvejledning Internet-version

Online Banking Sikkerhedsvejledning Internet-version Online Banking Sikkerhedsvejledning Internet-version Indhold Introduktion til Sikkerhedsvejledningen... 2 Sikkerhedsvejledningen... 2 Sikker brug af internettet... 2 Sikkerhedsløsninger i Online Banking...

Læs mere

Honda MaRIS Pay & Go. Politik for cookies og beskyttelse af personlige oplysninger

Honda MaRIS Pay & Go. Politik for cookies og beskyttelse af personlige oplysninger Honda MaRIS Pay & Go Politik for cookies og beskyttelse af personlige oplysninger Honda anerkender vigtigheden af retskaffen og ansvarlig brug af dine personlige oplysninger. Denne politik for cookies

Læs mere

Hvad er KRYPTERING? Metoder Der findes to forskellige krypteringsmetoder: Symmetrisk og asymmetrisk (offentlig-nøgle) kryptering.

Hvad er KRYPTERING? Metoder Der findes to forskellige krypteringsmetoder: Symmetrisk og asymmetrisk (offentlig-nøgle) kryptering. Hvad er KRYPTERING? Kryptering er en matematisk teknik. Hvis et dokument er blevet krypteret, vil dokumentet fremstå som en uforståelig blanding af bogstaver og tegn og uvedkommende kan således ikke læses

Læs mere

AirPrint vejledning. Version 0 DAN

AirPrint vejledning. Version 0 DAN irprint vejledning Version 0 DN Definitioner af bemærkninger Vi bruger følgende ikon i hele brugsanvisningen: Bemærk! Bemærkninger fortæller dig, hvordan du skal reagere i en given situation, eller giver

Læs mere

Skyfillers Online Backup. Kundemanual

Skyfillers Online Backup. Kundemanual Skyfillers Online Backup Kundemanual Kundemanual Indhold Opsætning... 2 Installation... 2 Download software... 2 Installation under Windows... 2 Installation under Mac OS X... 3 Log ind... 3 Tilpas kontoindstillinger...

Læs mere

Symantec - Data Loss Prevention

Symantec - Data Loss Prevention Symantec beskyttelse af data/dokumenter Beskrivelsen af Symantecs bud på tekniske løsninger. I beskrivelsen indgår tre følgende løsninger fra Symantec: - Data Loss Prevention - Disk eller ekstern device

Læs mere

Indhold. ipad introduktion 2 SORØ PRIVATSKOLE. Kære forældre

Indhold. ipad introduktion 2 SORØ PRIVATSKOLE. Kære forældre ipad introduktion ipad introduktion 2 Kære forældre Nu er vi ved at være klar til at udlevere ipads til eleverne i indskolingen. Det er vores ambition, at ipads i løbet af ganske kort tid vil være et vigtigt

Læs mere

1. Introduktion 2. Om os

1. Introduktion 2. Om os Fortrolighedspolitik 1. Introduktion Atchik udvikler fantastiske spil med sjov og underholdning for alle. Hos Atchik respekterer vi personlige oplysninger for enhver, der bruger vores spil, website(s)

Læs mere

Vejledning til firmwareopdatering

Vejledning til firmwareopdatering Modelnummer Vejledning til firmwareopdatering Denne manual forklarer, hvordan man opdaterer maskinens controller-firmware og PDL-firmware. Du kan downloade disse opdateringer fra vores hjemmeside. Om firmware-pakken

Læs mere

Mobil og tablets. Vejledning. Synkroniser Norddjurs e-mail og kalender på ipad og iphone med MobileIron IT-AFDELINGEN

Mobil og tablets. Vejledning. Synkroniser Norddjurs e-mail og kalender på ipad og iphone med MobileIron IT-AFDELINGEN Af: Anders C. H. Pedersen Mail: Achp@norddjurs.dk Revideret: 24. juni 2014 IT-AFDELINGEN Vejledning Mobil og tablets Synkroniser Norddjurs e-mail og kalender på ipad og iphone med MobileIron Norddjurs

Læs mere

AirPrint vejledning. Denne dokumentation gælder for inkjet-modeller. Version 0 DAN

AirPrint vejledning. Denne dokumentation gælder for inkjet-modeller. Version 0 DAN AirPrint vejledning Denne dokumentation gælder for inkjet-modeller. Version 0 DAN Omfattede modeller Denne brugsanvisning gælder til følgende modeller. MFC-J450DW Definitioner af bemærkninger Vi bruger

Læs mere

PRODUKTINDEKS. S3 support 26. Vil jeg få en fejlmelding på min S3, hvis der opstår problemer? 27. Vil jeg modtage teknisk support på min ipad mini?

PRODUKTINDEKS. S3 support 26. Vil jeg få en fejlmelding på min S3, hvis der opstår problemer? 27. Vil jeg modtage teknisk support på min ipad mini? OFTE STILLEDE SPØRGSMÅL PRODUKTINDEKS Apparat Generelt 1. Hvad er S3 scannerens positionering? 2. Hvad måler S3 scanneren? 3. Hvad er forskellen på S2 Everest og S3? 4. Hvilke dele følger med S3 scanneren?

Læs mere

BESKYT DIN VIRKSOMHED UANSET HVOR DEN FØRER DIG HEN. Protection Service for Business

BESKYT DIN VIRKSOMHED UANSET HVOR DEN FØRER DIG HEN. Protection Service for Business BESKYT DIN VIRKSOMHED UANSET HVOR DEN FØRER DIG HEN Protection Service for Business VI LEVER I EN MOBIL VERDEN Wi-fi I dag bruger vi flere forskellige enheder via flere forbindelser end nogensinde før.

Læs mere

LUDUS Web Installations- og konfigurationsvejledning

LUDUS Web Installations- og konfigurationsvejledning LUDUS Web Installations- og konfigurationsvejledning Indhold LUDUS Web Installations- og konfigurationsvejledning... 1 1. Forudsætninger... 2 2. Installation... 3 3. Konfiguration... 9 3.1 LUDUS Databasekonfiguration...

Læs mere

Skyfillers Hosted BlackBerry. Kundemanual

Skyfillers Hosted BlackBerry. Kundemanual Skyfillers Hosted BlackBerry Kundemanual Kundemanual Indhold Opsætning... 2 Enterprise aktivering... 2 BlackBerry 10... 2 BlackBerry Version 6.x eller nyere... 2 BlackBerry Version 4.x og 5.x... 3 Manuel

Læs mere

ESET CYBER SECURITY til Mac Startvejledning. Klik her for at overføre den nyeste version af dette dokument

ESET CYBER SECURITY til Mac Startvejledning. Klik her for at overføre den nyeste version af dette dokument ESET CYBER SECURITY til Mac Startvejledning Klik her for at overføre den nyeste version af dette dokument ESET Cyber Security yder avanceret beskyttelse til din computer mod skadelig kode. Med basis i

Læs mere

Opsætning af MobilePBX med Kalenderdatabase

Opsætning af MobilePBX med Kalenderdatabase Opsætning af MobilePBX med Kalenderdatabase Dette dokument beskriver hvorledes der installeres Symprex Exchange Connector og SQL Server Express for at MobilePBX kan benytte kalenderadadgang via database

Læs mere

Novell Vibe Quick Start til mobilenheder

Novell Vibe Quick Start til mobilenheder Novell Vibe Quick Start til mobilenheder Marts 2015 Introduktion Din Vibe-administrator kan deaktivere mobiladgang til Novell Vibe-webstedet. Hvis du ikke har adgang til Vibemobilgrænsefladen som beskrevet

Læs mere

En open source løsning til bibliotekernes publikumspc ere

En open source løsning til bibliotekernes publikumspc ere En open source løsning til bibliotekernes publikumspc ere Dokument: bibos installationsvejledning bibos version: 2.1.0.1 released 25. oktober 2013 Senest redigeret: 5. februar 2014 af Niels Schmidt Petersen,

Læs mere

Brug af Office 365 på din iphone eller ipad

Brug af Office 365 på din iphone eller ipad Brug af Office 365 på din iphone eller ipad Startvejledning Se mail Konfigurer din iphone eller ipad til at sende og modtage e-mail fra dit Office 365-konto. Se din kalender, uanset hvor du er Du kan altid

Læs mere

Brugerkontrolmetoder i ELMS 1.1

Brugerkontrolmetoder i ELMS 1.1 Brugerkontrolmetoder i ELMS 1.1 2012-12-21 Kivuto Solutions Inc. [FORTROLIGT] INDHOLDSFORTEGNELSE OVERSIGT...1 KONTROLMETODER...2 Integreret brugerkontrol (IUV)...2 Shibboleth (og identitetsprogrammer

Læs mere

Indhold LG NEXUS 4... 1

Indhold LG NEXUS 4... 1 LG NEXUS 4 Her er en guide til softwareopdatering af LG NEXUS 4, opsætning og sletning af e-mail, skift af adgangskode og signatur, nulstilling ved bortkomst, samt opsætning af skærmlås. Indhold LG NEXUS

Læs mere