ios-sikkerhed ios 9.0 og nyere versioner September 2015
Indhold Side 4 Side 5 Side 10 Side 18 Side 27 Side 31 Introduktion Systemsikkerhed Sikker startkæde (secure boot chain) Godkendelse af systemsoftware Secure Enclave Touch ID Kryptering og databeskyttelse Sikkerhedsfunktioner i hardware Beskyttelse af arkivdata Adgangskoder Databeskyttelsesklasser Databeskyttelse af nøglering Adgang til adgangskoder, der er arkiveret af Safari Nøglesamlinger Appsikkerhed Udvidelser Tilbehør HomeKit HealthKit Netværkssikkerhed TLS VPN Bluetooth Apple Pay Betalingsgodkendelse 2
Side 38 Side 50 Side 56 Side 57 Side 58 Side 60 Internettjenester imessage Siri Kontinuitet Styring af enheder Adgangskodebeskyttelse MDM (Mobile Device Management) Programmet til tilmelding af enheder (DEP) Enhedsbegrænsninger Begrænsninger kun for enheder under tilsyn Ekstern sletning Håndtering af Anonymitet Politik med hensyn til beskyttelse af kunders identitet Konklusion Ordliste Dokumentrevisionshistorie 3
Introduktion Kerne Enhedsnøgle Gruppenøgle element som giver et visuelt overblik over de forskellige Systemsikkerhed: Den integrerede og sikre software og hardware, der udgør Kryptering og databeskyttelse: Den arkitektur og det design, der beskytter Appsikkerhed: Netværkssikkerhed: Apple Pay: Internettjenester: Styring af enheder: Metoder, der forhindrer uautoriseret brug af enheden og gør det Håndtering af Anonymitet: 4
Systemsikkerhed Skift til DFU-funktionen tilbage til en kendt, gyldig status, hvor Sikker startkæde (secure boot chain) er det første trin i den tillidskæde, hvor hvert trin sikrer, at det næste trin er signeret hvordan du skifter manuelt til gendannelsesfunktionen, i 5
Godkendelse af systemsoftware System Software Authorization (godkendelse af systemsoftware) til at forhindre, at enheder nedgraderes
Secure Enclave Touch ID Touch ID og adgangskoder 7
Andre anvendelsesmuligheder for Touch ID Touch ID-sikkerhed
Oplåsning af en ios-enhed med Touch ID giver ekstra beskyttelse, fordi subsystemerne til databeskyttelse og Touch ID skal
Kryptering og databeskyttelse Sikkerhedsfunktioner i hardware Slet alt indhold og indstillinger i Indstillinger sletter alle nøglerne i
Beskyttelse af arkivdata Oversigt over arkitekturen bruger eller administrator, der afsender en ekstern slettekommando fra en Mobile Device Hardwarenøgle Arkivsystemnøgle Adgangskodenøgle Klassenøgle Arkivmetadata Arkivnøgle Arkivindhold
Overvejelser om adgangskoder Hvis der skal indtastes en lang nemmere at indtaste en lang numerisk adgangskode i stedet for en kortere alfanumerisk adgangskode og samtidig Forsinkelser mellem adgangskodeforsøg Adgangskoder Databeskyttelsesklasser Fuldstændig beskyttelse (NSFileProtectionComplete
Beskyttet, hvis ikke åben (NSFileProtectionCompleteUnlessOpen Beskyttet indtil første brugergodkendelse (NSFileProtectionCompleteUntilFirstUserAuthentication Ingen beskyttelse (NSFileProtectionNone Databeskyttelse af nøglering
Komponenter i et emne i nøgleringen emne i nøgleringen administrative metadata Versionsnummer En værdi, der angiver emnets beskyttelsesklasse beskyttelsesklassenøglen emnet (som overføres til SecItemAdd), Data i nøgleringe beskyttes med en klassestruktur, som ligner den, der bruges til Tilgængelighed Beskyttelse af arkivdata Databeskyttelse af nøglering Ikke aktuelt Efter enheden gang Altid ksecattraccessiblealways Adgangskode Ikke aktuelt ksecattraccessibleafterfirstunlock til emner i nøgleringen, der skal Klassen ksecattraccessiblewhenpasscodesetthisdeviceonly Emne Tokens til sociale netværkskonti Telefonsvarer Tilgængeligt Altid Altid
Adgangskontrol for nøglering tilstedeværelse ved at angive, at der ikke er adgang til emnerne, medmindre Adgangskontrollister evalueres i den sikre enklave og frigives kun til kernen, hvis deres Adgang til adgangskoder, der er arkiveret af Safari SecRequestSharedWebCredential SecAddSharedWebCredential Nøglesamlinger Nøglesamlingen System indlæses nøglen til NSFileProtectionComplete fra nøglesamlingen System
Nøglesamlingen Sikkerhedskopi Nøglesamlingen beskyttes med den adgangskode, der er indstillet i itunes og behandlet Nøglesamlingen Kontrakt beskytter den, fordeles mellem enheden og værten eller serveren, mens dataene Dette token kan ikke genereres uden at indtaste brugerens adgangskode, og alle
Nøglesamlingen icloud-sikkerhedskopi i
Appsikkerhed Signering af appkode
Sikkerhed under programafvikling
Udvidelser
Appgrupper Databeskyttelse i apps Tilbehør
HomeKit HomeKit-identitet Kommunikation med HomeKit-tilbehør Lokal datalagring Datasynkronisering mellem enheder og brugere 22
Hjemmedata og apps Siri Ekstern adgang til icloud til HomeKit-tilbehør 23
HealthKit Sundhedsdata 24
Dataintegritet Adgang fra apps fra tredjeparter Nødinfo Apple Watch 25
bevægelsesheuristik til at forsøge at lukke enheden automatisk kort efter, at den er
Netværkssikkerhed er det vigtigt at sørge for, at de er godkendt, og at deres data beskyttes under TLS App Transport Security 27
VPN Wi-Fi
Bluetooth i Log ind en gang (Single Sign-On)
AirDrop-sikkerhed
Apple Pay Komponenter i Apple Pay Secure Element: NFC-kontrolenhed: Wallet: Secure Enclave: Apple Pay-servere:. De Brug af Secure Element i Apple Pay debetkortdata, der sendes fra betalingsnetværket eller kortudstederen til disse
Brug af NFC-kontrolenheden i Apple Pay transaktioner gennemføres med en betalingsterminal, der er i umiddelbar nærhed Anvendelse af kredit- og debetkort Påkrævede felter, Kontroller kort og Forbind og tilknyt Manuel tilføjelse af et kredit- eller debetkort til Apple Pay 32
Tilføjelse af kredit- eller debetkort fra en itunes Store-konto til Apple Pay Tilføjelse af kredit- eller debetkort fra en kortudsteders app Yderligere godkendelse 33
Betalingsgodkendelse godkendelse fra den sikre enklave, som bekræfter, at brugeren har legitimeret sig sikre element ikke er forbundet direkte, kan de kommunikere sikkert ved at bruge enklave til et hardwaresikkerhedsmodul (HSM), som har det nøglemateriale, der kræves 34
eller Kontaktfri betalinger med Apple Pay Betaling med Apple Pay fra apps 35
Fordelskort
Suspendering, fjernelse og sletning af kort 37
Internettjenester Oprettelse af stærke adgangskoder til Apple-id stærke adgangskoder er det et krav, at adgangskoder til alle nye konti skal have Mindst otte tegn Mindst et bogstav Mindst et stort bogstav Mindst et tal Ikke magen til kontonavnet Apple-id god ide, hvis brugerne gør deres adgangskode endnu stærkere ved at bruge symboler identitet bekræftes via en midlertidig kode, der sendes til en af brugerens godkendte
imessage Afsendelse og modtagelse af beskeder via imessage
modtageren i en imessage, og værdiernes fortrolighed og integritet beskyttes med den Bilag krypteret med tilfældig nøgle icloud APN Signeret og krypteret besked til bruger 2 med URI og nøgle til bilag Bruger 1 Bruger 2 og APN-token til bruger 2 IDS og APN-token til bruger 1 FaceTime i saltnøgler til hver af mediekanalerne, som streames via SRTP (Secure Real Time
icloud icloud Drive CloudKit CloudKittjenestenøgle CloudKitzonenøgle CloudKitpostnøgle Arkivmetadata Liste med arkivbidder Arkivbid Kryptering med hash-værdier
icloud-sikkerhedskopi selve det købte indhold Enhedsindstillinger Ringetoner Visuel telefonsvarer 42
Integration mellem Safari og icloudnøglering Safari kan automatisk generere til adgangskoder til websteder, som nøgleringen overføres fra enhed til enhed icloud-nøglering anonymitet og sikkerhed er brugervenlighed og muligheden for at gendanne en Synkronisering af nøgleringen besked om, at brugeren skal bekræfte, at en ny enhed har anmodet om at blive 43
Der er nu to medlemmer af signeringskæden, og hvert medlem har det andet ksecattrsynchronizable brugerdata i Safari (herunder brugernavne, adgangskoder og kreditkortnumre) samt ksecattrsynchronizable Gendannelse af nøgleringen til at generere tilfældige, stærke adgangskoder til webkonti, da disse adgangskoder 44
Kontraktsikkerhed Medlemmerne af klyngen bekræfter uafhængigt af hinanden, at brugeren ikke har Siri 45
Kontinuitet
Opkald via iphones mobilforbindelse 47
Videresendelse af sms fra iphone Instant Hotspot nærheden af hinanden og understøtter internetdeling, registrerer de signalet og svarer Spotlight-forslag
Styring af enheder Adgangskodebeskyttelse Alfanumerisk værdi skal bruges Adgangskodehistorie Maksimalt antal mislykkedes forsøg Tillad Touch ID
Model for pardannelse i ios i i Avancerede indstillinger til mobilnetværket
MDM (Mobile Device Management) om administration af mobile enheder i Programmet til tilmelding af enheder (DEP) til brugerne kan forenkles yderligere, ved at bestemte trin i Indstillingsassistenten Bemærk: 52
Tilsyn Enhedsbegrænsninger Tillad brug af kamera Tillad skærmbilleder Tillad automatisk synkronisering under roaming Kræv, at bruger skal indtaste adgangskode til butik ved alle køb Tillad brug af itunes Store Tillad synkronisering af noter og bogmærker i virksomhedsbøger mellem brugerens enheder 53
Tillad brug af Safari Vis advarsel om bedragerisk webside Bloker ekstra vinduer Tillad Touch ID Begrænsninger kun for enheder under tilsyn Tillad imessage Tillad ændring af konto Tillad ændring af mobildata Tillad ikke Slet alt indhold og indstillinger Tillad ændring af adgangskode 54
Ekstern sletning Find min iphone og Aktiveringslås En organisation kan med fordel enten føre tilsyn med sine enheder eller have en Vigtigt: 55
Håndtering af Anonymitet Lokalitetstjenester Adgang til personlige data Kontakter Kalendere Mikrofon Kamera Politik med hensyn til beskyttelse af kunders identitet
Konklusion Fokus på sikkerhed sikre, at de til fulde udnytter de omfattende sikkerhedsfunktioner og lag med 57
Ordliste ASLR (Address Space Boot ROM ECID Arkivsystemnøgle iboot Integreret kredsløb Nøglesamling adgangskode)
Nøglering Nøgleindpakning Arkivnøgle Programbeskrivelse Kortlægning af rillers vinkel og forløb Smart Card Kombination af nøgler XNU
Dokumentrevisionshistorie Dato Resume September 2015 Opdateret til ios 9 Begrænsninger