Glossário
- acesso direto à memória (DMA)
Um recurso que permite que subsistemas de hardware acessem a memória principal diretamente, contornando a CPU.
- AES (Padrão de Criptografia Avançada)
Um padrão de criptografia global popular, usado para criptografar dados para mantê-los privados.
- AES-XTS
Um modo do AES definido no IEEE 1619-2007 para a criptografia de mídias de armazenamento.
- Aleatorização do Layout de Espaço de Endereço (ASLR)
Uma técnica empregada pelos sistemas operacionais para dificultar o êxito da exploração de erros de software. A garantia de imprevisibilidade de endereços e offsets da memória impossibilita o hardcode desses valores pelo código de aproveitamento.
- Algoritmo de Assinatura Digital de Curva Elíptica (ECDSA)
Um algoritmo de assinatura digital baseado em criptografia de curvas elípticas.
- APFS (Apple File System)
O sistema de arquivos padrão do iOS, iPadOS, tvOS, watchOS e computadores Mac com o macOS 10.13 ou posterior. O APFS oferece criptografia forte, compartilhamento de espaço, capturas, dimensionamento rápido de diretórios e fundamentos de sistema de arquivos melhorados.
- Apple Business Manager
Um portal web simples para administradores de TI que oferece uma maneira rápida e eficiente para que organizações implantem dispositivos Apple comprados diretamente da Apple ou de um Revendedor Autorizado Apple ou operadora participante. Elas podem registrar dispositivos automaticamente em suas soluções de gerenciamento de dispositivos móveis (MDM) sem que seja preciso tocá-los fisicamente ou prepará-los antes que os usuários os obtenham.
- Apple School Manager
Um portal web simples para administradores de TI que oferece uma maneira rápida e eficiente para que organizações implantem dispositivos Apple comprados diretamente da Apple ou de um Revendedor Autorizado Apple ou operadora participante. Elas podem registrar dispositivos automaticamente em suas soluções de gerenciamento de dispositivos móveis (MDM) sem que seja preciso tocá-los fisicamente ou prepará-los antes que os usuários os obtenham.
- Armazenamento Apagável
Área dedicada do armazenamento NAND, usada para armazenar chaves criptográficas, que pode ser endereçada diretamente e apagada com segurança. Mesmo não fornecendo proteção caso um ataque físico ao dispositivo ocorra, as chaves armazenadas no Armazenamento Apagável podem ser usadas como parte de uma hierarquia de chaves para facilitar o apagamento rápido e invocar segurança.
- autorização do software do sistema
Um processo que combina chaves criptográficas integradas ao hardware com um serviço on-line para verificar que apenas softwares legítimos da Apple, adequados a dispositivos compatíveis, sejam fornecidos e instalados durante a atualização.
- bits de núcleo de software
Bits dedicados no Mecanismo AES do Secure Enclave que são afixados ao UID ao gerar chaves a partir do UID. Cada bit de núcleo de software tem um bit de bloqueio correspondente. A ROM de Inicialização do Secure Enclave e o sistema operacional podem alterar independentemente o valor de cada bit de núcleo de software, contanto que o bit de bloqueio correspondente não tenha sido definido. Depois que o bit de bloqueio é definido, não é possível modificar o bit de núcleo de software nem o bit de bloqueio. Os bits de núcleo de software e seus bloqueadores são redefinidos quando o Secure Enclave é reinicializado.
- Boot Camp
Um utilitário do Mac que permite a instalação do Microsoft Windows em computadores Mac compatíveis.
- chave de mídia
Parte da hierarquia de chave de criptografia que ajuda a fornecer um apagamento seguro e instantâneo. No iOS, iPadOS, tvOS e watchOS, a chave de mídia embala os metadados no volume de dados (sendo assim, sem ela, o acesso a todas as chaves únicas por arquivo não é possível, deixando inacessíveis os arquivos protegidos pela Proteção de Dados). No macOS, a chave de mídia embala o material das chaves, todos os metadados e dados no volume protegido pelo FileVault. Em ambos os casos, o apagamento da chave de mídia deixa os dados criptografados inacessíveis.
- chave derivada do código (PDK)
A chave de criptografia derivada do trançamento da senha do usuário com a chave SKP de longo prazo e o UID do Secure Enclave.
- chave do sistema de arquivos
Chave que criptografa os metadados de cada arquivo, incluindo sua chave de classe. Mantida no Armazenamento Apagável, priorizando facilitar o apagamento rápido em detrimento da confidencialidade.
- chave única por arquivo
A chave usada pela Proteção de Dados para criptografar um arquivo no sistema de arquivos. A chave única por arquivo é embalada por uma chave de classe e armazenada nos metadados do arquivo.
- chaves
Infraestrutura e conjunto de APIs usadas pelos sistemas operacionais da Apple e apps de terceiros para armazenar e obter senhas, chaves e outras credenciais sigilosas.
- circuito integrado (CI)
Também conhecido como microchip.
- CKRecord
Um dicionário de pares chave-valor que contêm dados salvos ou transferidos do CloudKit.
- Cofre de Dados
Um mecanismo — aplicado pelo kernel — para proteger contra o acesso não autorizado a dados, independentemente de o app que os solicita usar sandbox.
- Componente de Armazenamento Seguro
Um chip projetado com um código ROM imutável, um gerador de números aleatórios de hardware, mecanismos criptográficos e detecção de adulteração física. Em dispositivos compatíveis, o Secure Enclave é emparelhado com um Componente de Armazenamento Seguro para armazenamento do valor antirreprodução. Para ler e atualizar os valores antirreprodução, o Secure Enclave e o chip de armazenamento empregam um protocolo seguro que ajuda a garantir acesso exclusivo aos valores antirreprodução. Há diversas gerações dessa tecnologia com garantias de segurança diferentes.
- controlador de memória
O subsistema em um sistema no chip que controla a interface entre o sistema no chip e sua memória principal.
- Controlador do SSD
Um subsistema de hardware que gerencia a mídia de armazenamento (unidade de estado sólido).
- Elliptic Curve Diffie-Hellman Exchange Ephemeral (ECDHE)
Um mecanismo de troca de chaves baseado em curvas elípticas. A ECDHE permite que duas partes concordem com uma chave secreta de modo que impeça que a chave seja descoberta por um interceptador observando as mensagens entre as duas partes.
- embalagem de chaves
Criptografia de uma chave com outra. O iOS e iPadOS usam a embalagem de chaves NIST AES, conforme o RFC 3394.
- Firmware da Interface de Firmware Extensível Unificada (UEFi)
Uma tecnologia de substituição da BIOS para conectar um firmware ao sistema operacional de um computador.
- Gatekeeper
No macOS, uma tecnologia projetada para ajudar a garantir que apenas softwares confiáveis sejam executados no Mac de um usuário.
- Gerenciador de Inicialização de Baixo Nível (LLB)
Em computadores Mac com arquitetura de inicialização de dois estágios, o LLB contém o código chamado pela ROM de Inicialização que, por sua vez, carrega o iBoot como parte da cadeia de inicialização segura.
- gerenciamento de dispositivos móveis (MDM)
Um serviço que permite que um administrador gerencie remotamente os dispositivos registrados. Depois do registro de um dispositivo, o administrador pode usar o serviço de MDM através da rede para configurar ajustes e realizar outras tarefas no dispositivo sem a interação do usuário.
- HMAC
Um código de autenticação de mensagem que usa hash e baseia-se em uma função de hash criptográfico.
- iBoot
O gerenciador de inicialização de segundo estágio para todos os dispositivos Apple. Código que carrega o XNU, como parte da cadeia de inicialização segura. Dependendo da geração do sistema no chip (SoC), o iBoot pode ser carregado pelo Gerenciador de Inicialização de Baixo Nível ou diretamente pela ROM de Inicialização.
- ID de grupo (GID)
Semelhante ao UID, mas comum a cada processador de uma classe.
- ID exclusivo (UID)
Chave AES de 256 bits gravada em cada processador durante o processo de manufatura. Não pode ser lida por firmware ou software e é usada apenas pelo Mecanismo AES de hardware do processador. Para obter a chave em si, seria preciso montar um ataque físico altamente sofisticado e caro contra o silício do processador. O UID não está relacionado a nenhum outro identificador do dispositivo, incluindo, entre outros, o UDID.
- Identificação Exclusiva de Chip (ECID)
Um identificador de 64 bits exclusivo ao processador de cada iPhone ou iPad.
- Identificador Uniforme de Recursos (URI)
String de caracteres que identifica um recurso baseado na web.
- Interface de Periférico Serial Aprimorada (eSPI)
Um barramento completo projetado para comunicação serial síncrona.
- Joint Test Action Group (JTAG)
Uma ferramenta padrão de depuração de hardware usada por programadores e desenvolvedores de circuitos.
- keybag
Estrutura de dados usada para armazenar uma coleção de chaves de classe. Cada tipo (usuário, dispositivo, sistema, backup, guarda ou Backup do iCloud) tem o mesmo formato.
Um cabeçalho contendo: Versão (definida como quatro no iOS 12 ou posterior), Tipo (sistema, backup, guarda ou Backup do iCloud), UUID da Keybag, um HMAC caso a keybag esteja assinada e o método usado para embalar as chaves de classe — trançamento com o UID ou PBKDF2, juntamente com o sal e a contagem da iteração.
Uma lista de chaves de classe: UUID da chave, Classe (qual arquivo ou classe da Proteção de Dados das Chaves), tipo de embalagem (apenas chave derivada do UID; chave derivada do UID e chave derivada do código), chave de classe embalada e uma chave pública para classes assimétricas.
- mapeamento do ângulo de fluxo dos sulcos
Representação matemática da direção e largura dos sulcos extraídos de parte de uma impressão digital.
- mecanismo criptográfico AES
Um componente de hardware dedicado que implementa o AES.
- Modo de Atualização do Firmware do Dispositivo (DFU)
Modo no qual o código ROM de Inicialização aguarda por recuperação via USB. A tela fica preta quando no modo DFU, mas ao conectar-se a um computador com o iTunes ou o Finder aberto, o seguinte diálogo é apresentado: “O Finder (ou iTunes) detectou um (iPhone ou iPad) em modo de recuperação. O usuário precisa restaurar esse (iPhone ou iPad) antes de usá‑lo com o Finder (ou iTunes).”
- modo de recuperação
Um modo usado para restaurar vários dispositivos Apple se ele não reconhecer o dispositivo do usuário para que o usuário possa reinstalar o sistema operacional.
- módulo de segurança de hardware (HSM)
Computador especializado inviolável que resguarda e gerencia chaves digitais.
- NAND
Memória flash não volátil.
- perfil de provisão
Um arquivo de lista de propriedades (arquivo .plist) assinado pela Apple que contém um conjunto de entidades e direitos que permitem a instalação e o teste de apps em um dispositivo iOS ou iPadOS. Um perfil de provisão de desenvolvimento lista os dispositivos escolhidos por um desenvolvedor para distribuição ad hoc. Um perfil de provisão de distribuição contém o ID do app de apps desenvolvidos por empresas.
- Proteção da Integridade do Coprocessador do Sistema (SCIP)
Um mecanismo usado pela Apple projetado para impedir modificações ao firmware do coprocessador.
- Proteção de Chave Selada (SKP)
Uma tecnologia na Proteção de Dados que protege (ou sela) as chaves de criptografia com medidas do software do sistema e chaves disponíveis apenas no hardware (como o UID do Secure Enclave).
- Proteção de Dados
Um mecanismo de proteção de arquivos e chaves para dispositivos Apple compatíveis. Também pode referir-se às APIs que os apps usam para proteger arquivos e itens das chaves.
- Recompensa de Segurança da Apple
Uma recompensa oferecida pela Apple a pesquisadores que relatem uma vulnerabilidade que afete os sistemas operacionais mais recentes disponíveis e, nos casos relevantes, o hardware mais recente.
- Registro de Progresso de Inicialização (BPR)
Um conjunto de sinalizações de hardware do sistema no chip (SoC) que o software pode usar para rastrear os modos de inicialização nos quais o dispositivo entrou, como o modo de Atualização do Firmware do Dispositivo (DFU) e o modo de Recuperação. Depois que uma sinalização de Registro de Progresso de Inicialização é definida, ela não pode ser limpa. Isso permite que um software posterior obtenha um indicador confiável do estado do sistema.
- ROM de Inicialização
Primeiro código executado pelo processador de um dispositivo ao ser inicializado. Por ser parte integral do processador, não pode ser alterado pela Apple ou por um atacante.
- sepOS
O firmware do Secure Enclave, baseado na versão do microkernel L4 personalizado pela Apple.
- Serviço de Identidade da Apple (IDS)
Diretório da Apple de chaves públicas do iMessage, endereços APNs, números de telefone e endereços de e-mail usados para buscar chaves e endereços de dispositivos.
- serviço de Notificações Push da Apple (APNs)
Serviço mundial fornecido pela Apple que entrega notificações push para dispositivos Apple.
- sistema no chip (SoC)
Circuito integrado (CI) que incorpora vários componentes em um único chip. O Processador de Aplicativos, o Secure Enclave e outros coprocessadores são componentes do SoC.
- trançamento
Processo pelo qual o código de um usuário é transformado em uma chave criptográfica e fortificado com o UID do dispositivo. Esse processo ajuda a garantir que ataques de força bruta tenham que ser realizados em um dispositivo específico, diminuindo assim a probabilidade da ocorrência (que não pode ser feita em paralelo). O algoritmo do trançamento (PBKDF2) usa AES chaveado com o UID do dispositivo como função pseudoaleatória (PRF) em cada iteração.
- Unidade de Gerenciamento de Memória de Entrada/Saída (IOMMU)
Uma unidade de gerenciamento de memória de entrada/saída. Um subsistema em um chip integrado que controla o acesso ao espaço de endereço de outros dispositivos e periféricos de entrada/saída.
- xART
Uma abreviação de Tecnologia Antirreprodução Ampliada (em inglês). Um conjunto de serviços que fornecem armazenamento criptografado, autenticado e persistente ao Secure Enclave com capacidades antirreprodução baseadas na arquitetura do armazenamento físico. Consulte Componente de Armazenamento Seguro.
- XNU
Núcleo dos sistemas operacionais da Apple. É considerado confiável e exige medidas de segurança como assinatura de código, sandbox, verificação de direitos e Aleatorização de Espaço de Endereço (ASLR).
- XProtect
No macOS, uma tecnologia antivírus, com base em assinaturas, para detecção e remoção de malware.