iOS-sikkerhed

Transcription

iOS-sikkerhed
iOS-sikkerhed
iOS 9.0 og nyere versioner
September 2015
Indhold
Side 4
Introduktion
Side 5
Systemsikkerhed
Sikker startkæde (secure boot chain)
Godkendelse af systemsoftware
Secure Enclave
Touch ID
Side 10
Kryptering og databeskyttelse
Sikkerhedsfunktioner i hardware
Beskyttelse af arkivdata
Adgangskoder
Databeskyttelsesklasser
Databeskyttelse af nøglering
Adgang til adgangskoder, der er arkiveret af Safari
Nøglesamlinger
Side 18
Appsikkerhed
Udvidelser
Tilbehør
HomeKit
HealthKit
Side 27
Netværkssikkerhed
TLS
VPN
Bluetooth
Side 31
Apple Pay
Betalingsgodkendelse
Oversigt over sikkerhed i iOS | September 2015
2
Side 38
Internettjenester
iMessage
Siri
Kontinuitet
Side 50
Styring af enheder
Adgangskodebeskyttelse
MDM (Mobile Device Management)
Programmet til tilmelding af enheder (DEP)
Enhedsbegrænsninger
Begrænsninger kun for enheder under tilsyn
Ekstern sletning
Side 56
Håndtering af Anonymitet
Politik med hensyn til beskyttelse af kunders identitet
Side 57
Konklusion
Side 58
Ordliste
Side 60
Dokumentrevisionshistorie
Oversigt over sikkerhed i iOS | September 2015
3
Introduktion
Kerne
element
• Systemsikkerhed: Den integrerede og sikre software og hardware, der udgør
Enhedsnøgle
Gruppenøgle
som giver et visuelt overblik over de forskellige
• Kryptering og databeskyttelse: Den arkitektur og det design, der beskytter
• Appsikkerhed:
• Netværkssikkerhed:
• Apple Pay:
• Internettjenester:
• Styring af enheder: Metoder, der forhindrer uautoriseret brug af enheden og gør det
• Håndtering af Anonymitet:
Oversigt over sikkerhed i iOS | September 2015
4
Systemsikkerhed
Skift til DFU-funktionen
tilbage til en kendt, gyldig status, hvor
Sikker startkæde (secure boot chain)
er det første trin i den tillidskæde, hvor hvert trin sikrer, at det næste trin er signeret
hvordan du skifter manuelt til gendannelsesfunktionen, i
Oversigt over sikkerhed i iOS | September 2015
5
Godkendelse af systemsoftware
System Software
Authorization (godkendelse af systemsoftware) til at forhindre, at enheder nedgraderes
Oversigt over sikkerhed i iOS | September 2015
Secure Enclave
Touch ID
Touch ID og adgangskoder
Oversigt over sikkerhed i iOS | September 2015
7
Andre anvendelsesmuligheder for Touch ID
Touch ID-sikkerhed
Oversigt over sikkerhed i iOS | September 2015
Oplåsning af en iOS-enhed med Touch ID
giver ekstra beskyttelse, fordi subsystemerne til databeskyttelse og Touch ID skal
Oversigt over sikkerhed i iOS | September 2015
Kryptering og databeskyttelse
Sikkerhedsfunktioner i hardware
Slet alt indhold og indstillinger
i Indstillinger sletter alle nøglerne i
Oversigt over sikkerhed i iOS | September 2015
Beskyttelse af arkivdata
Oversigt over arkitekturen
bruger eller administrator, der afsender en ekstern slettekommando fra en Mobile Device
Arkivsystemnøgle
Hardwarenøgle
Klassenøgle
Arkivmetadata
Arkivnøgle
Adgangskodenøgle
Oversigt over sikkerhed i iOS | September 2015
Arkivindhold
Overvejelser om adgangskoder
Hvis der skal indtastes en lang
Adgangskoder
nemmere at indtaste en lang numerisk
adgangskode i stedet for en kortere
alfanumerisk adgangskode og samtidig
Forsinkelser mellem adgangskodeforsøg
Databeskyttelsesklasser
Fuldstændig beskyttelse
(NSFileProtectionComplete
Oversigt over sikkerhed i iOS | September 2015
Beskyttet, hvis ikke åben
(NSFileProtectionCompleteUnlessOpen
Beskyttet indtil første brugergodkendelse
(NSFileProtectionCompleteUntilFirstUserAuthentication
Ingen beskyttelse
(NSFileProtectionNone
Databeskyttelse af nøglering
Oversigt over sikkerhed i iOS | September 2015
Komponenter i et emne i nøgleringen
Data i nøgleringe beskyttes med en klassestruktur, som ligner den, der bruges til
emne i nøgleringen administrative metadata
Tilgængelighed
Beskyttelse af arkivdata
Databeskyttelse af nøglering
Ikke aktuelt
Efter enheden
gang
Altid
• Versionsnummer
Adgangskode
kSecAttrAccessibleAlways
Ikke aktuelt
• En værdi, der angiver emnets
beskyttelsesklasse
beskyttelsesklassenøglen
emnet (som overføres til SecItemAdd),
kSecAttrAccessibleAfterFirstUnlock til emner i nøgleringen, der skal
Klassen kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly
Emne
Tilgængeligt
Tokens til sociale netværkskonti
Altid
Telefonsvarer
Oversigt over sikkerhed i iOS | September 2015
Altid
Adgangskontrol for nøglering
tilstedeværelse ved at angive, at der ikke er adgang til emnerne, medmindre
Adgangskontrollister evalueres i den sikre enklave og frigives kun til kernen, hvis deres
Adgang til adgangskoder, der er arkiveret af Safari
• SecRequestSharedWebCredential
• SecAddSharedWebCredential
Nøglesamlinger
Nøglesamlingen System
indlæses nøglen til NSFileProtectionComplete fra nøglesamlingen System
Oversigt over sikkerhed i iOS | September 2015
Nøglesamlingen Sikkerhedskopi
Nøglesamlingen beskyttes med den adgangskode, der er indstillet i iTunes og behandlet
Nøglesamlingen Kontrakt
beskytter den, fordeles mellem enheden og værten eller serveren, mens dataene
Dette token kan ikke genereres uden at indtaste brugerens adgangskode, og alle
Oversigt over sikkerhed i iOS | September 2015
Nøglesamlingen iCloud-sikkerhedskopi
i
Oversigt over sikkerhed i iOS | September 2015
Appsikkerhed
Signering af appkode
Sikkerhed under programafvikling
Oversigt over sikkerhed i iOS | September 2015
Udvidelser
Oversigt over sikkerhed i iOS | September 2015
Appgrupper
Databeskyttelse i apps
Tilbehør
Oversigt over sikkerhed i iOS | September 2015
HomeKit
HomeKit-identitet
Kommunikation med HomeKit-tilbehør
Lokal datalagring
Datasynkronisering mellem enheder og brugere
Oversigt over sikkerhed i iOS | September 2015
22
Hjemmedata og apps
Siri
Ekstern adgang til iCloud til HomeKit-tilbehør
Oversigt over sikkerhed i iOS | September 2015
23
HealthKit
Sundhedsdata
Oversigt over sikkerhed i iOS | September 2015
24
Dataintegritet
Adgang fra apps fra tredjeparter
Nødinfo
Apple Watch
Oversigt over sikkerhed i iOS | September 2015
25
bevægelsesheuristik til at forsøge at lukke enheden automatisk kort efter, at den er
Oversigt over sikkerhed i iOS | September 2015
Netværkssikkerhed
er det vigtigt at sørge for, at de er godkendt, og at deres data beskyttes under
TLS
App Transport Security
Oversigt over sikkerhed i iOS | September 2015
27
VPN
Wi-Fi
Oversigt over sikkerhed i iOS | September 2015
Bluetooth
i
Log ind en gang (Single Sign-On)
Oversigt over sikkerhed i iOS | September 2015
AirDrop-sikkerhed
Oversigt over sikkerhed i iOS | September 2015
Apple Pay
Komponenter i Apple Pay
Secure Element:
NFC-kontrolenhed:
Wallet:
Secure Enclave:
Apple Pay-servere:
. De
Brug af Secure Element i Apple Pay
debetkortdata, der sendes fra betalingsnetværket eller kortudstederen til disse
Oversigt over sikkerhed i iOS | September 2015
Brug af NFC-kontrolenheden i Apple Pay
transaktioner gennemføres med en betalingsterminal, der er i umiddelbar nærhed
Anvendelse af kredit- og debetkort
Påkrævede felter,
Kontroller kort og Forbind og tilknyt
Manuel tilføjelse af et kredit- eller debetkort til Apple Pay
Oversigt over sikkerhed i iOS | September 2015
32
Tilføjelse af kredit- eller debetkort fra en iTunes Store-konto til Apple Pay
Tilføjelse af kredit- eller debetkort fra en kortudsteders app
Yderligere godkendelse
Oversigt over sikkerhed i iOS | September 2015
33
Betalingsgodkendelse
godkendelse fra den sikre enklave, som bekræfter, at brugeren har legitimeret sig
sikre element ikke er forbundet direkte, kan de kommunikere sikkert ved at bruge
enklave til et hardwaresikkerhedsmodul (HSM), som har det nøglemateriale, der kræves
Oversigt over sikkerhed i iOS | September 2015
34
eller
Kontaktfri betalinger med Apple Pay
Betaling med Apple Pay fra apps
Oversigt over sikkerhed i iOS | September 2015
35
Fordelskort
Oversigt over sikkerhed i iOS | September 2015
Suspendering, fjernelse og sletning af kort
Oversigt over sikkerhed i iOS | September 2015
37
Internettjenester
Oprettelse af stærke adgangskoder til
Apple-id
stærke adgangskoder er det et krav, at
adgangskoder til alle nye konti skal have
• Mindst otte tegn
• Mindst et bogstav
• Mindst et stort bogstav
• Mindst et tal
Apple-id
• Ikke magen til kontonavnet
god ide, hvis brugerne gør deres adgangskode endnu stærkere ved at bruge symboler
identitet bekræftes via en midlertidig kode, der sendes til en af brugerens godkendte
Oversigt over sikkerhed i iOS | September 2015
iMessage
Afsendelse og modtagelse af beskeder via iMessage
Oversigt over sikkerhed i iOS | September 2015
modtageren i en iMessage, og værdiernes fortrolighed og integritet beskyttes med den
Bilag
krypteret med
tilfældig nøgle
iCloud
APN
Signeret og krypteret
besked til bruger 2 med URI
og nøgle til bilag
Bruger 1
Bruger 2
og APN-token
til bruger 2
og APN-token
til bruger 1
IDS
FaceTime
i saltnøgler til hver af mediekanalerne, som streames via SRTP (Secure Real Time
Oversigt over sikkerhed i iOS | September 2015
iCloud
iCloud Drive
CloudKit
CloudKittjenestenøgle
CloudKitzonenøgle
CloudKitpostnøgle
Arkivmetadata
Liste med
arkivbidder
Arkivbid
Kryptering med
hash-værdier
Oversigt over sikkerhed i iOS | September 2015
iCloud-sikkerhedskopi
selve det købte indhold
• Enhedsindstillinger
• Ringetoner
• Visuel telefonsvarer
Oversigt over sikkerhed i iOS | September 2015
42
Integration mellem Safari og iCloudnøglering
Safari kan automatisk generere
iCloud-nøglering
til adgangskoder til websteder, som
anonymitet og sikkerhed er brugervenlighed og muligheden for at gendanne en
nøgleringen overføres fra enhed til enhed
Synkronisering af nøgleringen
besked om, at brugeren skal bekræfte, at en ny enhed har anmodet om at blive
Oversigt over sikkerhed i iOS | September 2015
43
Der er nu to medlemmer af signeringskæden, og hvert medlem har det andet
kSecAttrSynchronizable
brugerdata i Safari (herunder brugernavne, adgangskoder og kreditkortnumre) samt
kSecAttrSynchronizable
Gendannelse af nøgleringen
til at generere tilfældige, stærke adgangskoder til webkonti, da disse adgangskoder
Oversigt over sikkerhed i iOS | September 2015
44
Kontraktsikkerhed
Medlemmerne af klyngen bekræfter uafhængigt af hinanden, at brugeren ikke har
Siri
Oversigt over sikkerhed i iOS | September 2015
45
Kontinuitet
Oversigt over sikkerhed i iOS | September 2015
Opkald via iPhones mobilforbindelse
Oversigt over sikkerhed i iOS | September 2015
47
Videresendelse af sms fra iPhone
Instant Hotspot
nærheden af hinanden og understøtter internetdeling, registrerer de signalet og svarer
Spotlight-forslag
Oversigt over sikkerhed i iOS | September 2015
Oversigt over sikkerhed i iOS | September 2015
Styring af enheder
Adgangskodebeskyttelse
• Alfanumerisk værdi skal bruges
• Adgangskodehistorie
• Maksimalt antal mislykkedes forsøg
• Tillad Touch ID
Oversigt over sikkerhed i iOS | September 2015
Model for pardannelse i iOS
i
i
• Avancerede indstillinger til mobilnetværket
Oversigt over sikkerhed i iOS | September 2015
MDM (Mobile Device Management)
om administration af mobile enheder i
Programmet til tilmelding af enheder (DEP)
til brugerne kan forenkles yderligere, ved at bestemte trin i Indstillingsassistenten
Bemærk:
Oversigt over sikkerhed i iOS | September 2015
52
Tilsyn
Enhedsbegrænsninger
• Tillad brug af kamera
• Tillad skærmbilleder
• Tillad automatisk synkronisering under roaming
• Kræv, at bruger skal indtaste adgangskode til butik ved alle køb
• Tillad brug af iTunes Store
• Tillad synkronisering af noter og bogmærker i virksomhedsbøger mellem brugerens
enheder
Oversigt over sikkerhed i iOS | September 2015
53
• Tillad brug af Safari
• Vis advarsel om bedragerisk webside
• Bloker ekstra vinduer
• Tillad Touch ID
Begrænsninger kun for enheder under tilsyn
• Tillad iMessage
• Tillad ændring af konto
• Tillad ændring af mobildata
• Tillad ikke Slet alt indhold og indstillinger
• Tillad ændring af adgangskode
Oversigt over sikkerhed i iOS | September 2015
54
Ekstern sletning
Find min iPhone og Aktiveringslås
En organisation kan med fordel enten føre tilsyn med sine enheder eller have en
Vigtigt:
Oversigt over sikkerhed i iOS | September 2015
55
Håndtering af Anonymitet
Lokalitetstjenester
Adgang til personlige data
• Kontakter
• Mikrofon
• Kalendere
• Kamera
Politik med hensyn til beskyttelse af kunders identitet
Oversigt over sikkerhed i iOS | September 2015
Konklusion
Fokus på sikkerhed
sikre, at de til fulde udnytter de omfattende sikkerhedsfunktioner og lag med
Oversigt over sikkerhed i iOS | September 2015
57
Ordliste
ASLR (Address Space
Boot ROM
ECID
Arkivsystemnøgle
iBoot
Integreret kredsløb
Nøglesamling
adgangskode)
Oversigt over sikkerhed i iOS | September 2015
Nøglering
Nøgleindpakning
Arkivnøgle
Programbeskrivelse
Kortlægning af rillers vinkel og forløb
Smart Card
Kombination af nøgler
XNU
Oversigt over sikkerhed i iOS | September 2015
Dokumentrevisionshistorie
Dato
Resume
September 2015
Opdateret til iOS 9
• Begrænsninger