iOS-sikkerhed
Transcription
iOS-sikkerhed
iOS-sikkerhed iOS 9.0 og nyere versioner September 2015 Indhold Side 4 Introduktion Side 5 Systemsikkerhed Sikker startkæde (secure boot chain) Godkendelse af systemsoftware Secure Enclave Touch ID Side 10 Kryptering og databeskyttelse Sikkerhedsfunktioner i hardware Beskyttelse af arkivdata Adgangskoder Databeskyttelsesklasser Databeskyttelse af nøglering Adgang til adgangskoder, der er arkiveret af Safari Nøglesamlinger Side 18 Appsikkerhed Udvidelser Tilbehør HomeKit HealthKit Side 27 Netværkssikkerhed TLS VPN Bluetooth Side 31 Apple Pay Betalingsgodkendelse Oversigt over sikkerhed i iOS | September 2015 2 Side 38 Internettjenester iMessage Siri Kontinuitet Side 50 Styring af enheder Adgangskodebeskyttelse MDM (Mobile Device Management) Programmet til tilmelding af enheder (DEP) Enhedsbegrænsninger Begrænsninger kun for enheder under tilsyn Ekstern sletning Side 56 Håndtering af Anonymitet Politik med hensyn til beskyttelse af kunders identitet Side 57 Konklusion Side 58 Ordliste Side 60 Dokumentrevisionshistorie Oversigt over sikkerhed i iOS | September 2015 3 Introduktion Kerne element • Systemsikkerhed: Den integrerede og sikre software og hardware, der udgør Enhedsnøgle Gruppenøgle som giver et visuelt overblik over de forskellige • Kryptering og databeskyttelse: Den arkitektur og det design, der beskytter • Appsikkerhed: • Netværkssikkerhed: • Apple Pay: • Internettjenester: • Styring af enheder: Metoder, der forhindrer uautoriseret brug af enheden og gør det • Håndtering af Anonymitet: Oversigt over sikkerhed i iOS | September 2015 4 Systemsikkerhed Skift til DFU-funktionen tilbage til en kendt, gyldig status, hvor Sikker startkæde (secure boot chain) er det første trin i den tillidskæde, hvor hvert trin sikrer, at det næste trin er signeret hvordan du skifter manuelt til gendannelsesfunktionen, i Oversigt over sikkerhed i iOS | September 2015 5 Godkendelse af systemsoftware System Software Authorization (godkendelse af systemsoftware) til at forhindre, at enheder nedgraderes Oversigt over sikkerhed i iOS | September 2015 Secure Enclave Touch ID Touch ID og adgangskoder Oversigt over sikkerhed i iOS | September 2015 7 Andre anvendelsesmuligheder for Touch ID Touch ID-sikkerhed Oversigt over sikkerhed i iOS | September 2015 Oplåsning af en iOS-enhed med Touch ID giver ekstra beskyttelse, fordi subsystemerne til databeskyttelse og Touch ID skal Oversigt over sikkerhed i iOS | September 2015 Kryptering og databeskyttelse Sikkerhedsfunktioner i hardware Slet alt indhold og indstillinger i Indstillinger sletter alle nøglerne i Oversigt over sikkerhed i iOS | September 2015 Beskyttelse af arkivdata Oversigt over arkitekturen bruger eller administrator, der afsender en ekstern slettekommando fra en Mobile Device Arkivsystemnøgle Hardwarenøgle Klassenøgle Arkivmetadata Arkivnøgle Adgangskodenøgle Oversigt over sikkerhed i iOS | September 2015 Arkivindhold Overvejelser om adgangskoder Hvis der skal indtastes en lang Adgangskoder nemmere at indtaste en lang numerisk adgangskode i stedet for en kortere alfanumerisk adgangskode og samtidig Forsinkelser mellem adgangskodeforsøg Databeskyttelsesklasser Fuldstændig beskyttelse (NSFileProtectionComplete Oversigt over sikkerhed i iOS | September 2015 Beskyttet, hvis ikke åben (NSFileProtectionCompleteUnlessOpen Beskyttet indtil første brugergodkendelse (NSFileProtectionCompleteUntilFirstUserAuthentication Ingen beskyttelse (NSFileProtectionNone Databeskyttelse af nøglering Oversigt over sikkerhed i iOS | September 2015 Komponenter i et emne i nøgleringen Data i nøgleringe beskyttes med en klassestruktur, som ligner den, der bruges til emne i nøgleringen administrative metadata Tilgængelighed Beskyttelse af arkivdata Databeskyttelse af nøglering Ikke aktuelt Efter enheden gang Altid • Versionsnummer Adgangskode kSecAttrAccessibleAlways Ikke aktuelt • En værdi, der angiver emnets beskyttelsesklasse beskyttelsesklassenøglen emnet (som overføres til SecItemAdd), kSecAttrAccessibleAfterFirstUnlock til emner i nøgleringen, der skal Klassen kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly Emne Tilgængeligt Tokens til sociale netværkskonti Altid Telefonsvarer Oversigt over sikkerhed i iOS | September 2015 Altid Adgangskontrol for nøglering tilstedeværelse ved at angive, at der ikke er adgang til emnerne, medmindre Adgangskontrollister evalueres i den sikre enklave og frigives kun til kernen, hvis deres Adgang til adgangskoder, der er arkiveret af Safari • SecRequestSharedWebCredential • SecAddSharedWebCredential Nøglesamlinger Nøglesamlingen System indlæses nøglen til NSFileProtectionComplete fra nøglesamlingen System Oversigt over sikkerhed i iOS | September 2015 Nøglesamlingen Sikkerhedskopi Nøglesamlingen beskyttes med den adgangskode, der er indstillet i iTunes og behandlet Nøglesamlingen Kontrakt beskytter den, fordeles mellem enheden og værten eller serveren, mens dataene Dette token kan ikke genereres uden at indtaste brugerens adgangskode, og alle Oversigt over sikkerhed i iOS | September 2015 Nøglesamlingen iCloud-sikkerhedskopi i Oversigt over sikkerhed i iOS | September 2015 Appsikkerhed Signering af appkode Sikkerhed under programafvikling Oversigt over sikkerhed i iOS | September 2015 Udvidelser Oversigt over sikkerhed i iOS | September 2015 Appgrupper Databeskyttelse i apps Tilbehør Oversigt over sikkerhed i iOS | September 2015 HomeKit HomeKit-identitet Kommunikation med HomeKit-tilbehør Lokal datalagring Datasynkronisering mellem enheder og brugere Oversigt over sikkerhed i iOS | September 2015 22 Hjemmedata og apps Siri Ekstern adgang til iCloud til HomeKit-tilbehør Oversigt over sikkerhed i iOS | September 2015 23 HealthKit Sundhedsdata Oversigt over sikkerhed i iOS | September 2015 24 Dataintegritet Adgang fra apps fra tredjeparter Nødinfo Apple Watch Oversigt over sikkerhed i iOS | September 2015 25 bevægelsesheuristik til at forsøge at lukke enheden automatisk kort efter, at den er Oversigt over sikkerhed i iOS | September 2015 Netværkssikkerhed er det vigtigt at sørge for, at de er godkendt, og at deres data beskyttes under TLS App Transport Security Oversigt over sikkerhed i iOS | September 2015 27 VPN Wi-Fi Oversigt over sikkerhed i iOS | September 2015 Bluetooth i Log ind en gang (Single Sign-On) Oversigt over sikkerhed i iOS | September 2015 AirDrop-sikkerhed Oversigt over sikkerhed i iOS | September 2015 Apple Pay Komponenter i Apple Pay Secure Element: NFC-kontrolenhed: Wallet: Secure Enclave: Apple Pay-servere: . De Brug af Secure Element i Apple Pay debetkortdata, der sendes fra betalingsnetværket eller kortudstederen til disse Oversigt over sikkerhed i iOS | September 2015 Brug af NFC-kontrolenheden i Apple Pay transaktioner gennemføres med en betalingsterminal, der er i umiddelbar nærhed Anvendelse af kredit- og debetkort Påkrævede felter, Kontroller kort og Forbind og tilknyt Manuel tilføjelse af et kredit- eller debetkort til Apple Pay Oversigt over sikkerhed i iOS | September 2015 32 Tilføjelse af kredit- eller debetkort fra en iTunes Store-konto til Apple Pay Tilføjelse af kredit- eller debetkort fra en kortudsteders app Yderligere godkendelse Oversigt over sikkerhed i iOS | September 2015 33 Betalingsgodkendelse godkendelse fra den sikre enklave, som bekræfter, at brugeren har legitimeret sig sikre element ikke er forbundet direkte, kan de kommunikere sikkert ved at bruge enklave til et hardwaresikkerhedsmodul (HSM), som har det nøglemateriale, der kræves Oversigt over sikkerhed i iOS | September 2015 34 eller Kontaktfri betalinger med Apple Pay Betaling med Apple Pay fra apps Oversigt over sikkerhed i iOS | September 2015 35 Fordelskort Oversigt over sikkerhed i iOS | September 2015 Suspendering, fjernelse og sletning af kort Oversigt over sikkerhed i iOS | September 2015 37 Internettjenester Oprettelse af stærke adgangskoder til Apple-id stærke adgangskoder er det et krav, at adgangskoder til alle nye konti skal have • Mindst otte tegn • Mindst et bogstav • Mindst et stort bogstav • Mindst et tal Apple-id • Ikke magen til kontonavnet god ide, hvis brugerne gør deres adgangskode endnu stærkere ved at bruge symboler identitet bekræftes via en midlertidig kode, der sendes til en af brugerens godkendte Oversigt over sikkerhed i iOS | September 2015 iMessage Afsendelse og modtagelse af beskeder via iMessage Oversigt over sikkerhed i iOS | September 2015 modtageren i en iMessage, og værdiernes fortrolighed og integritet beskyttes med den Bilag krypteret med tilfældig nøgle iCloud APN Signeret og krypteret besked til bruger 2 med URI og nøgle til bilag Bruger 1 Bruger 2 og APN-token til bruger 2 og APN-token til bruger 1 IDS FaceTime i saltnøgler til hver af mediekanalerne, som streames via SRTP (Secure Real Time Oversigt over sikkerhed i iOS | September 2015 iCloud iCloud Drive CloudKit CloudKittjenestenøgle CloudKitzonenøgle CloudKitpostnøgle Arkivmetadata Liste med arkivbidder Arkivbid Kryptering med hash-værdier Oversigt over sikkerhed i iOS | September 2015 iCloud-sikkerhedskopi selve det købte indhold • Enhedsindstillinger • Ringetoner • Visuel telefonsvarer Oversigt over sikkerhed i iOS | September 2015 42 Integration mellem Safari og iCloudnøglering Safari kan automatisk generere iCloud-nøglering til adgangskoder til websteder, som anonymitet og sikkerhed er brugervenlighed og muligheden for at gendanne en nøgleringen overføres fra enhed til enhed Synkronisering af nøgleringen besked om, at brugeren skal bekræfte, at en ny enhed har anmodet om at blive Oversigt over sikkerhed i iOS | September 2015 43 Der er nu to medlemmer af signeringskæden, og hvert medlem har det andet kSecAttrSynchronizable brugerdata i Safari (herunder brugernavne, adgangskoder og kreditkortnumre) samt kSecAttrSynchronizable Gendannelse af nøgleringen til at generere tilfældige, stærke adgangskoder til webkonti, da disse adgangskoder Oversigt over sikkerhed i iOS | September 2015 44 Kontraktsikkerhed Medlemmerne af klyngen bekræfter uafhængigt af hinanden, at brugeren ikke har Siri Oversigt over sikkerhed i iOS | September 2015 45 Kontinuitet Oversigt over sikkerhed i iOS | September 2015 Opkald via iPhones mobilforbindelse Oversigt over sikkerhed i iOS | September 2015 47 Videresendelse af sms fra iPhone Instant Hotspot nærheden af hinanden og understøtter internetdeling, registrerer de signalet og svarer Spotlight-forslag Oversigt over sikkerhed i iOS | September 2015 Oversigt over sikkerhed i iOS | September 2015 Styring af enheder Adgangskodebeskyttelse • Alfanumerisk værdi skal bruges • Adgangskodehistorie • Maksimalt antal mislykkedes forsøg • Tillad Touch ID Oversigt over sikkerhed i iOS | September 2015 Model for pardannelse i iOS i i • Avancerede indstillinger til mobilnetværket Oversigt over sikkerhed i iOS | September 2015 MDM (Mobile Device Management) om administration af mobile enheder i Programmet til tilmelding af enheder (DEP) til brugerne kan forenkles yderligere, ved at bestemte trin i Indstillingsassistenten Bemærk: Oversigt over sikkerhed i iOS | September 2015 52 Tilsyn Enhedsbegrænsninger • Tillad brug af kamera • Tillad skærmbilleder • Tillad automatisk synkronisering under roaming • Kræv, at bruger skal indtaste adgangskode til butik ved alle køb • Tillad brug af iTunes Store • Tillad synkronisering af noter og bogmærker i virksomhedsbøger mellem brugerens enheder Oversigt over sikkerhed i iOS | September 2015 53 • Tillad brug af Safari • Vis advarsel om bedragerisk webside • Bloker ekstra vinduer • Tillad Touch ID Begrænsninger kun for enheder under tilsyn • Tillad iMessage • Tillad ændring af konto • Tillad ændring af mobildata • Tillad ikke Slet alt indhold og indstillinger • Tillad ændring af adgangskode Oversigt over sikkerhed i iOS | September 2015 54 Ekstern sletning Find min iPhone og Aktiveringslås En organisation kan med fordel enten føre tilsyn med sine enheder eller have en Vigtigt: Oversigt over sikkerhed i iOS | September 2015 55 Håndtering af Anonymitet Lokalitetstjenester Adgang til personlige data • Kontakter • Mikrofon • Kalendere • Kamera Politik med hensyn til beskyttelse af kunders identitet Oversigt over sikkerhed i iOS | September 2015 Konklusion Fokus på sikkerhed sikre, at de til fulde udnytter de omfattende sikkerhedsfunktioner og lag med Oversigt over sikkerhed i iOS | September 2015 57 Ordliste ASLR (Address Space Boot ROM ECID Arkivsystemnøgle iBoot Integreret kredsløb Nøglesamling adgangskode) Oversigt over sikkerhed i iOS | September 2015 Nøglering Nøgleindpakning Arkivnøgle Programbeskrivelse Kortlægning af rillers vinkel og forløb Smart Card Kombination af nøgler XNU Oversigt over sikkerhed i iOS | September 2015 Dokumentrevisionshistorie Dato Resume September 2015 Opdateret til iOS 9 • Begrænsninger