Sanasto

Address Space Layout Randomization (ASLR)

Käyttöjärjestelmien käyttämä tekniikka, joka vaikeuttaa merkittävästi ohjelmistovirheen haavoittuvuuden hyväksikäyttämistä. Varmistamalla, että muistiosoitteet ja poikkeamat ovat ennalta arvaamattomia, haavoittuvuutta hyödyntävä koodi ei voi kovakoodata näitä arvoja.

AES-salausmoottori

Erillinen laitteistokomponentti, joka käyttää AES:ää.

AES-salausstandardi (Advanced Encryption Standard)

Suosittu yleinen salausstandardi, jolla pidetään tiedot yksityisinä salaamalla ne.

AES-XTS

IEEE 1619-2007:ssä määritetty AES-tila, jonka on tarkoitus salata tallennusväline.

APFS (Apple File System -tiedostojärjestelmä)

Oletustiedostojärjestelmä iOS:ssä, iPadOS:ssä, tvOS:ssä, watchOS:ssä ja Mac-tietokoneissa, joissa on macOS 10.13 tai uudempi. APFS tukee vahvaa salausta, tilan jakamista, tilannevedoksia, nopeaa hakemiston koon uudelleenmääritystä ja parannettuja tiedostojärjestelmän perustoimintoja.

Apple Business Manager

IT-ylläpitäjille tehty selkeä, verkkopohjainen portaali, joka tarjoaa nopean ja sujuvan keinon organisaatiolle ottaa käyttöön Applen laitteita, jotka se on ostanut suoraan Applelta tai ohjelmaan osallistuvalta Applen valtuutetulta jälleenmyyjältä tai operaattorilta. Laitteita voi rekisteröidä automaattisesti mobiililaitteiden hallintaratkaisuun (MDM) ilman, että niitä täytyy käsitellä tai valmistella fyysisesti ennen kuin ne annetaan käyttäjille.

Apple School Manager

IT-ylläpitäjille tehty selkeä, verkkopohjainen portaali, joka tarjoaa nopean ja sujuvan keinon organisaatiolle ottaa käyttöön Applen laitteita, jotka se on ostanut suoraan Applelta tai ohjelmaan osallistuvalta Applen valtuutetulta jälleenmyyjältä tai operaattorilta. Laitteita voi rekisteröidä automaattisesti mobiililaitteiden hallintaratkaisuun (MDM) ilman, että niitä täytyy käsitellä tai valmistella fyysisesti ennen kuin ne annetaan käyttäjille.

Apple Security Bounty -palkkio

Applen antama palkkio tutkijoille, jotka raportoivat uusimpiin toimitettaviin käyttöjärjestelmiin ja (tilanteen mukaan) myös uusimpaan laitteistoon vaikuttavan haavoittuvuuden.

Applen identiteettipalvelu (Apple Identity Service, IDS)

Applen hakemisto julkisille iMessage-avaimille, APNs-osoitteille sekä puhelinnumeroille ja sähköpostiosoitteille, joita käytetään avainten ja laiteosoitteiden etsimiseen.

Applen push-ilmoituspalvelu (APNs)

Applen tarjoama maailmanlaajuinen palvelu, joka toimittaa push-ilmoituksia Apple-laitteille.

avaimen luonti (tangling)

Prosessi, jossa käyttäjän pääsykoodi muutetaan salausavaimeksi ja vahvistetaan laitteen UID:llä. Tämä prosessi auttaa varmistamaan, että väsytyshyökkäys on tehtävä kyseisellä laitteella. Hyökkäyksen nopeus on siten rajoitettu eikä sitä voi tehdä rinnakkain. Salasanatiivistealgoritmi on PBKDF2, joka käyttää AES:ää yhdessä laitteen UID:n kanssa näennäissatunnaisfunktiona (PRF) jokaiselle iterointikerralle.

avaimen salaaminen

Avaimen salaaminen toisella avaimella. iOS ja iPadOS käyttää RFC 3394:n mukaista NIST AES -avainsalausta.

avainnippu

Infrastruktuuri ja API:en sarja, jota Applen käyttöjärjestelmät ja muiden valmistajien apit käyttävät salasanojen ja muiden luottamuksellisten tietojen säilyttämiseen ja hakemiseen.

avainvarasto

Tietorakenne luokka-avaimien kokoelman tallentamiseen. Jokaisella tyypillä (käyttäjä, laite, järjestelmä, varmuuskopio, vara-avain tai iCloud-varmuuskopio) on sama muoto.

Otsake, jossa on seuraavat: versio (asetettu neljään iOS 12:ssa tai uudemmassa), tyyppi (järjestelmä, varmuuskopio, tallenne tai iCloud-varmuuskopio), avainvaraston UUID, HMAC, jos avainvarasto on allekirjoitettu, ja luokka-avaimien salausmenetelmä (sidottu UID:llä tai PBKDF2:lla) sekä suola ja iterointimäärä.

Luokka-avaimien luettelo: Avaimen UUID, luokka (mikä tiedoston tai avainnipun tietojen suojausluokka), salaustyyppi (vain UID-johdettu avain; UID-johdettu avain ja pääsykoodijohdettu avain), salattu luokka-avain ja julkinen avain epäsymmetrisille luokille.

Boot Camp

Macin lisäappi, joka tukee Microsoft Windowsin asentamista tuettuihin Mac-tietokoneisiin.

Boot ROM

Laitteen prosessorin ensimmäinen suoritettava koodi, kun laite käynnistyy. Koska se on kiinteä osa prosessoria, sitä eivät voi muuttaa Apple eikä hyökkääjä.

CKRecord

Avainarvoparien sanakirja, joka sisältää CloudKitiin tallennetut tai sieltä haetut tiedot.

DFU-tila (Device Firmware Upgrade)

Tila, jossa laitteen Boot ROM -koodi odottaa palautusta USB:llä. Kun laite on DFU-tilassa, sen näyttö on pimeänä, mutta kun se liitetään tietokoneeseen, jossa on iTunes tai Finder, näytetään seuraava kehote: ”Finder (tai iTunes) on havainnut palautustilassa olevan (iPhonen tai iPadin). (iPhonen tai iPadin) ohjelmisto on palautettava ennen kuin sitä voidaan käyttää Finderin (tai iTunesin) kanssa.”

ECID-tunniste (Exclusive Chip Identification)

64-bittinen tunniste, joka on ainutlaatuinen jokaisen iPhonen ja iPadin prosessorissa.

Elliptisen käyrän Diffie-Hellman ‑avaimenvaihto lyhytaikaisella avaimella (ECDHE)

Elliptisiin käyriin perustuva avaimenvaihtomekanismi. ECDHE:llä kaksi osapuolta voi sopia salaisen avaimen tavalla, joka estää kahden osapuolen välisiä viestejä vakoilevaa salakuuntelijaa selvittämästä avainta.

Elliptisen käyrän digitaalinen allekirjoitusalgoritmi (ECDSA)

Elliptisen käyrän salaukseen perustuva digitaalinen allekirjoitusalgoritmi.

eSPI (Enhanced Serial Peripheral Interface)

Kaikenkattava väylä, joka on suunniteltu synkroniseen sarjaliikenteeseen.

Gatekeeper

macOS:ia käyttävien laitteiden teknologia, jonka tehtävä on auttaa varmistamaan, että käyttäjän Macissa toimii vain luotettu ohjelmisto.

HMAC

Tiivisteeseen pohjautuva viestin todennuskoodi, joka perustuu kryptografiseen tiivistefunktioon.

I/O-muistinhallintayksikkö (Input/Output Memory Management Unit, IOMMU)

I/O-muistinhallintayksikkö. Integroidun piirin alijärjestelmä, joka hallitsee pääsyä osoiteavaruuteen muista I/O-laitteista ja oheislaitteista.

iBoot

Vaiheen 2 käynnistyslataaja kaikille Applen laitteille. Koodi, joka lataa XNU:n osana suojattua käynnistysketjua. Järjestelmäpiirin (SoC) sukupolvesta riippuen iBootin voi ladata LLB (Low Level Bootloader) tai suoraan Boot ROM.

integroitu piiri (integrated circuit, IC)

Kutsutaan myös mikrosiruksi.

Joint Test Action Group -ryhmä (JTAG)

Ohjelmoijien ja piirikehittäjien käyttämä laitteiston vakiovianmääritystyökalu.

järjestelmäohjelmiston valtuutus

Prosessi, joka yhdistää laitteiston kiinteät salausavaimet online-palveluun sen tarkistamiseksi, että vain Applen hyväksytty ohjelmisto, joka sopii tuettuihin laitteisiin, toimitetaan ja asennetaan päivitysaikana.

järjestelmäpiiri (SoC)

Mikropiiri eli integroitu piiri, joka sisältää useita komponentteja yhdessä sirussa. Appeja suorittava prosessori, Secure Enclave ja muut lisäprosessorit ovat järjestelmäpiirin osia.

kohoumien kulman kuvaus

Sormenjäljen osasta peräisin oleva kohoumien suunnan ja leveyden matemaattinen esitys.

Käynnistymisen edistymisrekisteri (Boot Progress Register, BPR)

Järjestelmäpiirin (SoC) laitteistomerkintäsarja, jonka avulla ohjelmisto voi seurata käynnistystiloja, kuten DFU (Device Firmware Update) -tilaa ja palautustilaa, joihin laite on siirtynyt. Kun BPR-merkintä on määritetty, sitä ei voida pyyhkiä. Tämän avulla myöhempi ohjelmisto saa luotettavan merkin järjestelmän tilasta.

laitteiston suojausmoduuli (hardware security module, HSM)

Erikoistunut peukalointia kestävä tietokone, joka suojelee ja hallitsee digitaalisia avaimia.

mobiililaitteiden hallinta (MDM)

Palvelu, jolla ylläpitäjä voi hallita etänä rekisteröityjä laitteita. Kun laite on rekisteröity, ylläpitäjä voi käyttää verkon kautta MDM-palvelua, joka määrittää asetuksia ja suorittaa muita tehtäviä laitteella ilman käyttäjän toimia.

muistiohjain

Järjestelmäpiirin alijärjestelmä, joka hallitsee järjestelmäpiirin ja sen päämuistin välistä liitäntää.

NAND

Pysyvä flash-muisti.

ohjelmiston siemenbitit

Secure Enclaven AES-komponentissa olevat tarkoitukseen varatut bitit, jotka lisätään UID:hen, kun avaimia luodaan UID:stä. Jokaisella ohjelmiston siemenbitillä on vastaava lukitusbitti. Secure Enclaven Boot ROM ja käyttöjärjestelmä voivat itsenäisesti muuttaa jokaisen ohjelmistosiemenbitin arvoa, kunhan vastaavaa lukitusbittiä ei ole asetettu. Kun lukitusbitti on asetettu, ohjelmiston siemenbittiä ja lukitusbittiä ei voida muokata. Ohjelmiston siemenbitit ja niiden lukitukset nollataan, kun Secure Enclave käynnistetään uudelleen.

Palautustila

Palautustilaa käytetään Apple-laitteiden palauttamiseen, jos se ei tunnista käyttäjän laitetta, jotta käyttäjä voi asentaa käyttöjärjestelmän uudelleen.

Perustason käynnistyslataaja (Low Level Bootloader, LLB)

Kaksivaiheisella käynnistysarkkitehtuurilla varustetuissa Maceissa LLB sisältää koodin, jonka Boot ROM käynnistää ja joka puolestaan lataa iBootin osana suojattua käynnistysketjua.

provisiointiprofiili

Applen allekirjoittama ominaisuusluettelo (.plist-tiedosto), joka sisältää sarjan entiteettejä ja oikeutuksia, jotka sallivat appien asennuksen ja testauksen iOS- tai iPadOS-laitteessa. Kehitysprovisiointiprofiili luetteloi laitteet, jotka kehittäjä on valinnut ad hoc -jakeluun, ja jakeluprovisiointiprofiili sisältää yrityksessä kehitetyn apin tunnisteen.

Pyyhittävä tallennustila

NAND-tallennustilan tarkoitukseen varattu alue, jota käytetään säilyttämään salausavaimia, jotka voidaan osoittaa suoraan ja pyyhkiä turvallisesti. Vaikka pyyhittävä tallennustila ei tarjoa suojaa, jos hyökkääjä pääsee fyysisesti käsiksi laitteeseen, siinä säilytettäviä avaimia voidaan käyttää osana avainhierarkiaa nopean pyyhkimisen helpottamiseksi ja turvallisuuden lisäämiseksi.

pääsykoodijohdettu avain (passcode-derived key, PDK)

Salausavain, joka muodostetaan sitomalla käyttäjän salasana pitkäaikaiseen SKP-avaimeen ja Secure Enclaven UID:hen.

ryhmätunnus (group ID, GID)

Samanlainen kuin UID, mutta yhteinen jokaiselle luokan prosessorille.

Secure Storage ‑komponentti

Se on siru, jossa on muuttumaton RO-koodi, laitteistosatunnaislukugeneraattori, salausohjelmat ja fyysisen peukaloinnin tunnistin. Tuetuissa laitteissa Secure Enclavesta on muodostettu pari Secure Storage -komponentin kanssa toiston estävän arvon tallennusta varten. Jotta Secure Enclave ja tallennustilan siru voivat lukea ja päivittää toiston estäviä arvoja, ne käyttävät turvattua protokollaa, joka auttaa varmistamaan vain niille pääsyn toiston estäviin arvoihin. Tästä teknologiasta on useita sukupolvia, joissa on eri suojaustakuut.

sepOS

Secure Enclave ‑laiteohjelmisto, joka perustuu Applen muokkaamaan versioon L4-mikroytimestä.

Sinetöity avaimen suojaus (Sealed Key Protection, SKP)

Tietojen suojaukseen sisältyvä teknologia, joka suojaa eli sinetöi salausavaimet järjestelmäohjelmiston mittauksilla ja vain laitteistossa saatavissa olevilla avaimilla (kuten Secure Enclaven UID).

SSD-ohjain

Laitteiston alijärjestelmä, joka hallitsee tallennusvälinettä (SSD).

suora muistin käyttö (direct memory access, DMA)

Ominaisuus, jolla laitteiston alijärjestelmät voivat käyttää päämuistia suoraan ohittaen prosessorin.

System Coprocessor Integrity Protection (SCIP)

Applen käyttämä mekanismi, joka on suunniteltu estämään lisäprosessorin laiteohjelmiston muutoksia.

tallennuslaiteavain

Osa salausavainten hierarkiaa. Tallennuslaiteavain auttaa tyhjentämään Apple-laitteiden tiedot nopeasti ja turvallisesti. iPhonessa, iPadissa, Apple TV:ssä ja Apple Watchissa se tekee tämän salaamalla datataltion metadatan. Ilman tallennuslaiteavainta tiedostoavaimet on lukittu, jolloin tietojen suojauksella suojattuja tiedostoja ei voi käyttää. Macissa tallennuslaiteavain salaa avainmateriaalin, kaiken metadatan ja FileVault-datan. Molemmissa tapauksissa tallennuslaiteavaimen salaaminen estää pääsyn salattuihin tietoihin.

tiedostojärjestelmän avain

Avain salaa jokaisen tiedoston metatiedot, mukaan lukien sen luokka-avaimen. Sitä säilytetään pyyhittävässä tallennustilassa, mikä helpottaa nopeaa pyyhkimistä pikemminkin kuin luottamuksellisuutta.

tiedostokohtainen avain

Avain, jota tietojen suojaus käyttää tiedoston salaamiseen tiedostojärjestelmässä. Tiedostokohtainen avain on salattu luokka-avaimella ja tallennettu tiedoston metatietoihin.

Tietojen suojaus

Tiedostojen ja avainnipun suojausmenetelmä tuetuille Apple-laitteille. Se voi viitata myös API-rajapintoihin, joita apit käyttävät tiedostojen ja avainnipun kohteiden suojaamiseen.

Tietosäiliö

Kernelin pakottama mekanismi, joka suojaa tietojen luvattomalta käytöltä riippumatta siitä, onko pyytävä appi itse eristetty.

UEFi (Unified Extensible Firmware Interface) ‑laiteohjelmisto

BIOS:n korvaava teknologia, jolla yhdistetään laiteohjelmisto tietokoneen käyttöjärjestelmään.

URI-tunniste (Uniform Resource Identifier, URI)

Merkkisarja, joka määrittää verkkopohjaisen resurssin.

xART

Lyhenne sanoista eXtended Anti-Replay Technology. Joukko palveluja, jotka tarjoavat Secure Enclavelle salatun, todennetun ja pysyvän tallennustilan toiston estävillä ominaisuuksilla, jotka perustuvat fyysiseen tallennustila-arkkitehtuuriin. Katso Secure Storage ‑komponentti.

XNU

Applen käyttöjärjestelmien ytimessä oleva kernel. Se oletetaan luotettavaksi ja se suorittaa suojaustoimenpiteitä, kuten koodin allekirjoituksen, sandboxaus-eristyksen, oikeutuksien tarkistamisen ja ASLR:n (Address Space Layout Randomization).

XProtect

macOS-laitteissa käytettävä virustorjuntateknologia tunnistepohjaista haittaohjelmistojen tunnistusta ja poistamista varten.

yksilöllinen tunnus (Unique ID, UID)

256-bittinen AES-avain, joka poltetaan jokaiseen prosessoriin valmistuksen yhteydessä. Laiteohjelmisto ja ohjelmisto eivät pysty lukemaan sitä, ja sitä käyttää vain prosessorin AES-laitteistokomponentti. Varsinaisen avaimen saamiseksi hyökkääjän täytyisi tehdä erittäin kehittynyt ja kallis fyysinen hyökkäys prosessorin siruun. UID ei liity mihinkään muuhun laitteen tunnisteeseen, mukaan lukien UDID:hen.