ภาพรวมความปลอดภัยของฮาร์ดแวร์
สำหรับการรักษาความปลอดภัยของซอฟต์แวร์ ซอฟต์แวร์จะต้องอยู่บนฮาร์ดแวร์ที่มีความปลอดภัยในตัว ซึ่งเป็นสาเหตุให้อุปกรณ์ Apple ที่ใช้ iOS, iPadOS, macOS, tvOS และ watchOS มีการออกแบบความสามารถด้านความปลอดภัยลงในซิลิคอน ความสามารถเหล่านี้รวมถึง CPU ซึ่งให้พลังงานแก่คุณสมบัติด้านความปลอดภัยของระบบ รวมถึง Silicon เพิ่มเติมที่มุ่งไปที่ฟังก์ชั่นด้านความปลอดภัย ฮาร์ดแวร์ที่มุ่งเน้นความปลอดภัยจะปฏิบัติตามหลักเกณฑ์ของการรองรับฟังก์ชั่นที่จำกัดและกำหนดอย่างชัดเจนเพื่อลดพื้นหน้าของการโจมตีให้เหลือน้อยที่สุด ส่วนประกอบดังกล่าว ได้แก่ Boot ROM ที่สร้างรากของความเชื่อถือฮาร์ดแวร์สำหรับการบูตอย่างปลอดภัย กลไก AES เฉพาะสำหรับการเข้ารหัสและการถอดรหัสที่มีประสิทธิภาพและปลอดภัย และ Secure Enclave Secure Enclave เป็นส่วนประกอบบนระบบบนชิป (SoC) ของ Apple ที่มีอยู่ในอุปกรณ์ iPhone, iPad, Apple Watch, Apple TV และ HomePod รุ่นล่าสุดทั้งหมด และบน Mac ที่มี Apple Silicon รวมถึง Mac ที่มีชิป Apple T2 Security ตัวระบบ Secure Enclave เองก็ปฏิบัติตามหลักเกณฑ์การออกแบบเช่นเดียวกับ SoC โดยมี Boot ROM และกลไก AES ของตัวเองแบบแยกต่างหากอย่างชัดเจน Secure Enclave ยังมอบพื้นฐานสำหรับการสร้างความปลอดภัยและการจัดเก็บกุญแจที่จำเป็นต่อการเข้ารหัสข้อมูลในเครื่อง รวมถึงปกป้องและประเมินข้อมูลมิติทางกายภาพสำหรับ Face ID และ Touch ID
การเข้ารหัสพื้นที่จัดเก็บข้อมูลจะต้องรวดเร็วและมีประสิทธิภาพ ในขณะเดียวกันก็ไม่สามารถเปิดเผยข้อมูล (หรือข้อมูลการป้อน) ที่ใช้เพื่อสร้างความสัมพันธ์การป้อนที่เข้ารหัสได้ กลไกฮาร์ดแวร์ AES แก้ไขปัญหานี้โดยดำเนินการเข้ารหัสและถอดรหัสในบรรทัดอย่างรวดเร็วขณะที่มีการเขียนหรืออ่านไฟล์ ช่องทางพิเศษจาก Secure Enclave จะให้ข้อมูลการป้อนที่จำเป็นกับกลไก AES โดยไม่เปิดเผยข้อมูลนี้กับหน่วยประมวลผลแอปพลิเคชัน (หรือ CPU) หรือระบบปฏิบัติการโดยรวม ซึ่งช่วยทำให้แน่ใจว่าการปกป้องข้อมูลของ Apple และเทคโนโลยี FileVault ปกป้องไฟล์ของผู้ใช้โดยไม่เปิดเผยกุญแจการเข้ารหัสระยะยาว
Apple ได้ออกแบบการบูตอย่างปลอดภัยเพื่อปกป้องระดับที่ต่ำที่สุดของซอฟต์แวร์ไม่ให้ถูกรบกวน และเพื่ออนุญาตเพียงซอฟต์แวร์ระบบปฏิบัติการที่เชื่อถือแล้วจาก Apple เท่านั้นที่จะสามารถโหลดได้เมื่อเริ่มต้นระบบ การบูตอย่างปลอดภัยจะเริ่มต้นในโค้ดที่เปลี่ยนไม่ได้ที่เรียกว่า Boot ROM ซึ่งจะมีการระบุระหว่างขั้นตอนการผลิต Apple SoC และเป็นที่รู้จักกันว่าเป็นรากของความเชื่อถือฮาร์ดแวร์ บนคอมพิวเตอร์ Mac ที่มีชิป T2 ความเชื่อถือสำหรับการบูตอย่างปลอดภัยของ macOS จะเริ่มต้นด้วย T2 (ทั้งชิป T2 และ Secure Enclave ยังดำเนินกระบวนการบูตอย่างปลอดภัยของตัวเองโดยใช้ Boot ROM ของตัวเองที่แยกจากกันอีกด้วย วิธีนี้เหมือนกับวิธีที่ชิปซีรีส์ A, M1 และ M2 บูตอย่างปลอดภัย)
Secure Enclave ยังประมวลผลข้อมูลใบหน้าและลายนิ้วมือจากเซ็นเซอร์ของ Face ID และ Touch ID ในอุปกรณ์ Apple อีกด้วย การทำงานนี้จะมอบการตรวจสอบสิทธิ์ที่ปลอดภัยขณะที่ยังรักษาข้อมูลมิติทางกายภาพของผู้ใช้ให้เป็นความลับและปลอดภัย กระบวนการนี้ยังทำให้ผู้ใช้ได้รับประโยชน์จากการรักษาความปลอดภัยด้วยรหัสและรหัสผ่านที่ยาวและซับซ้อนยิ่งขึ้น พร้อมด้วยการตรวจสอบสิทธิ์อย่างรวดเร็วเพื่อความสะดวกในการเข้าถึงหรือการซื้อในหลายๆ สถานการณ์