ภาพรวมความปลอดภัยของฮาร์ดแวร์
สำหรับการรักษาความปลอดภัยของซอฟต์แวร์ ซอฟต์แวร์ต้องอยู่บนฮาร์ดแวร์ที่มีความปลอดภัยในตัว ซึ่งเป็นสาเหตุให้อุปกรณ์ Apple ที่ใช้ iOS, iPadOS, macOS, tvOS, visionOS และ watchOS มีการออกแบบความสามารถด้านความปลอดภัยลงใน Silicon ความสามารถเหล่านี้รวมถึง CPU ซึ่งให้พลังงานแก่คุณสมบัติด้านความปลอดภัยของระบบ รวมถึง Silicon เพิ่มเติมที่มุ่งไปที่ฟังก์ชั่นด้านความปลอดภัย ฮาร์ดแวร์ที่มุ่งเน้นความปลอดภัยจะปฏิบัติตามหลักเกณฑ์ของการรองรับฟังก์ชั่นที่จำกัดและกำหนดอย่างชัดเจนเพื่อลดช่องทางการโจมตีให้เหลือน้อยที่สุด ส่วนประกอบดังกล่าว ได้แก่ Boot ROM ที่สร้างรากของความเชื่อถือฮาร์ดแวร์สำหรับการเริ่มต้นระบบอย่างปลอดภัย กลไก AES เฉพาะสำหรับการเข้ารหัสและการถอดรหัสที่มีประสิทธิภาพและปลอดภัย และ Secure Enclave Secure Enclave เป็นส่วนประกอบบนระบบบนชิป (SoC) ของ Apple ที่มีอยู่ในอุปกรณ์ iPad, iPhone, Apple TV, Apple Vision Pro, Apple Watch, HomePod รุ่นล่าสุดทั้งหมด และบน Mac ที่มี Apple Silicon รวมถึง Mac ที่มีชิป Apple T2 Security Secure Enclave ก็เป็นไปตามหลักเกณฑ์การออกแบบเดียวกับ SoC โดยมี Boot ROM และกลไกมาตรฐานการเข้ารหัสขั้นสูง (AES) ของตัวเองแบบแยกต่างหาก Secure Enclave ยังมอบพื้นฐานสำหรับการสร้างความปลอดภัยและการจัดเก็บกุญแจที่จำเป็นต่อการเข้ารหัสข้อมูลในเครื่อง รวมถึงปกป้องและประเมินข้อมูลมิติทางกายภาพสำหรับ Optic ID, Face ID และ Touch ID
การเข้ารหัสพื้นที่จัดเก็บข้อมูลต้องรวดเร็วและมีประสิทธิภาพ ในขณะเดียวกันก็ไม่สามารถเปิดเผยข้อมูล (หรือข้อมูลกุญแจ) ที่ใช้เพื่อสร้างความสัมพันธ์ของกุญแจการเข้ารหัสได้ กลไกฮาร์ดแวร์ AES แก้ไขปัญหานี้โดยดำเนินการเข้ารหัสและถอดรหัสในบรรทัดอย่างรวดเร็วขณะที่มีการเขียนหรืออ่านไฟล์ ช่องทางพิเศษจาก Secure Enclave จะให้ข้อมูลกุญแจที่จำเป็นกับกลไก AES โดยไม่เปิดเผยข้อมูลนี้กับหน่วยประมวลผลแอปพลิเคชัน (หรือ CPU) หรือระบบปฏิบัติการโดยรวม ซึ่งช่วยทำให้แน่ใจว่าการปกป้องข้อมูลของ Apple และเทคโนโลยี FileVault ปกป้องไฟล์ของผู้ใช้โดยไม่เปิดเผยกุญแจการเข้ารหัสระยะยาว
Apple ได้ออกแบบการเริ่มต้นระบบอย่างปลอดภัยเพื่อปกป้องระดับที่ต่ำที่สุดของซอฟต์แวร์ไม่ให้ถูกรบกวน และเพื่ออนุญาตเพียงซอฟต์แวร์ระบบปฏิบัติการที่เชื่อถือแล้วจาก Apple เท่านั้นที่จะสามารถโหลดได้เมื่อเริ่มต้นระบบ การเริ่มต้นระบบอย่างปลอดภัยจะเริ่มต้นในโค้ดที่เปลี่ยนไม่ได้ที่เรียกว่า Boot ROM ซึ่งจะมีการระบุระหว่างขั้นตอนการผลิต Apple SoC และเป็นที่รู้จักกันว่าเป็นรากของความเชื่อถือฮาร์ดแวร์ บน Mac ที่มีชิป T2 ความเชื่อถือสำหรับการเริ่มต้นระบบอย่างปลอดภัยของ macOS จะเริ่มต้นด้วย T2 (ทั้งชิป T2 และ Secure Enclave ยังเรียกใช้กระบวนการเริ่มต้นระบบอย่างปลอดภัยของตัวเองโดยใช้ Boot ROM ของตัวเองที่แยกจากกันอีกด้วย วิธีนี้เหมือนกับวิธีที่ชิปซีรีส์ A และชิปซีรีส์ M เริ่มต้นระบบอย่างปลอดภัย)
Secure Enclave ยังประมวลผลข้อมูลดวงตา ใบหน้า และลายนิ้วมือจากเซ็นเซอร์ของ Optic ID, Face ID และ Touch ID ในอุปกรณ์ Apple อีกด้วย การทำงานนี้จะมอบการตรวจสอบสิทธิ์ที่ปลอดภัยขณะที่ยังรักษาข้อมูลมิติทางกายภาพของผู้ใช้ให้เป็นความลับและปลอดภัย กระบวนการนี้ยังทำให้ผู้ใช้ได้รับประโยชน์จากการรักษาความปลอดภัยด้วยรหัสและรหัสผ่านที่ยาวและซับซ้อนยิ่งขึ้น พร้อมด้วยการตรวจสอบสิทธิ์อย่างรวดเร็วเพื่อความสะดวกในการเข้าถึงหรือการซื้อในหลายๆ สถานการณ์