Донецкий техникум промышленной автоматики

Apple iMac Pro и безопасное хранилище

  1. Вступление
  2. Хранение и Т2
  3. Apple NVMe
  4. MacOS Device Discovery
  5. Filevault и Безопасное Хранение
  6. Заключение
Duo Labs

Вступление

С появлением iMac Pro от Apple в конце декабря 2017 года на платформе macOS был представлен ряд совершенно новых функций. Хотя Apple уже представила специальный сопроцессор безопасности с включением процессора T1 в MacBook Pro с сенсорной панелью в конце 2016 года, она выполняла лишь несколько конкретных задач, таких как управление сенсорным дисплеем и сенсорным экраном, считывание отпечатков пальцев с сенсора Touch ID и сохранение данных отпечатка пальца в процессоре Secure Enclave T1 или SEP.

В соответствии с ограниченной ролью архитектуры системы, процессор приложений AP или точка доступа были основаны на 32-битном процессоре ARMv7, аналогичном точке доступа S1, используемой в Apple Watch. Его специализированная ОС на базе watchOS называется BridgeOS, а аппаратный идентификатор - iBridge.

В объявлении iMac Pro упоминается наличие другого процессора безопасности, но также упоминается ряд изменений в безопасности системы. Touch ID не будет присутствовать, и, по слухам, это опция, Face Face также не будет присутствовать. Вместо того чтобы сосредоточиться на дружественных для мобильных устройств функциях безопасности, таких как распознавание касаний или лиц, Apple вместо этого использовала сопроцессор T2 следующего поколения для реализации усовершенствованной системы безопасности загрузки, которую она назвала Secure Boot.

Из-за возросшей зависимости от сопроцессора безопасности Apple решила значительно повысить производительность сопроцессора T2, опираясь на то же ядро ​​AP, что и в процессоре Apple A10, 64-битный процессор ARMv8, также встречающийся в iPhone. 7 и 7 плюс. Сопроцессор T2 не совсем совпадает с процессором A10, поскольку он включает в себя только одно из ядер T801x, составляющих пакет A10, но является значительным шагом вперед по сравнению с более ранней точкой доступа T1. Apple дала AP номер модели T8012, ссылки на которую можно найти по всему BridgeOS. Отдельный процессор Secure Enclave или SEP также находится в T2, аналогично тому, что в T1.

Учитывая все эти изменения, мы хотели изучить, как сопроцессор T2 использовался Apple и как он в настоящее время вписывается в большую модель безопасности системы, а также как это может развиваться в будущем. Далее следует первая часть этого исследования, где мы опишем, как сопроцессор T2 используется для реализации безопасной загрузки на iMac Pro, а также сравниваем и противопоставляем этот подход безопасной загрузки с теми, которые присутствовали в iDevices от Apple для ряда года.

Хранение и Т2

Во-первых, нам нужно понять роль, которую сопроцессор T2 играет в безопасности данных, хранящихся в системе, и понять задачи, которые были ему делегированы от основного процессора. Далее следует технический анализ того, что мы обнаружили в ходе нашего анализа, и выводов, которые мы из него сделали.

Значительно повышая производительность сопроцессора T2 для выполнения задач ранней загрузки, сопроцессор T2 также получил ряд возможностей, которые можно использовать для повышения безопасности хранения данных в состоянии покоя для iMac Pro. Apple объявила о своих улучшенных возможностях безопасности на iMac Pro официальная страница продукта :

«T2 также делает iMac Pro еще более безопасным благодаря сопроцессору Secure Enclave, который обеспечивает основу для новых зашифрованных хранилищ и возможностей безопасной загрузки. Данные на вашем SSD зашифрованы с использованием специального оборудования AES, не влияющего на производительность SSD, при этом процессор Intel Xeon остается свободным для ваших вычислительных задач ».

Кроме того, Apple опубликовала «О шифровании на вашем iMac Pro» подтверждающий документ, в котором далее говорится:

«Данные на встроенном твердотельном накопителе (SSD) iMac Pro шифруются с использованием аппаратно ускоренного механизма AES, встроенного в микросхему T2. Шифрование выполняется с помощью 256-битных ключей, привязанных к уникальному идентификатору в чипе T2 ».

Эти утверждения подтверждаются тем, что мы нашли в самой BridgeOS, когда смотрели на расширение ядра com.apple.iokit.IOCryptoAcceleratorFamily.kext, которое реализует ряд методов криптографического ускорения. В частности, класс IOAESAccelerator помогает разгрузить работу, ранее проделанную с помощью поддержки AES-XTS, встроенной в процессоры x86, а также задокументировано здесь :

«Служба IOAESAccelerator обеспечивает аппаратно-ускоренные функции шифрования / дешифрования AES в режиме CBC. Он также обеспечивает доступ к ключам защищенного UID (2000) и GID (1000), а также к сгенерированным ключам securityd (2101 / 0x835) и различным ключам шифрования встроенного программного обеспечения ».

Но Apple пошла дальше, чем просто перенесла основной процесс шифрования AES с привязкой к процессору на сопроцессор T2 в качестве выделенного сопроцессора безопасности. Для того чтобы злоумышленнику с физическим доступом к iMac Pro было труднее получить доступ к данным, хранящимся во внутреннем хранилище, Apple реализовала то, что выглядит как зашифрованное хранилище, таким образом, что сопроцессор T2 находится прямо в середине поля. Путь / O вместо предоставления доступа к основному ЦП по обычному пути PCIe / NVMe.

Дополнительные свидетельства об использовании выделенного аппаратного и программного обеспечения для ускорения шифрования можно найти, взглянув на SEPOS, поскольку ключ расшифровки для изображения SEPOS, найденного на iPhone 5s, стал доступен в августе 2017 года.

Apple NVMe

Чтобы понять решение Apple перейти с более старого интерфейса Serial ATA (SATA) на высокопроизводительный Экспресс энергонезависимой памяти или NVMe, рекомендуем прочитать Отличное глубокое погружение Рамтина Амина в его реализации. Основные преимущества использования NVMe для предоставления доступа к хранилищу SSD состоят в том, что при использовании всех доступных параллельных операций, которые возможны с современным флэш-хранилищем через четырехполосное соединение PCIe, можно достичь гораздо более высоких скоростей ввода-вывода по сравнению со старыми жесткими дисками интерфейсы.

Короче говоря, NVMe была разработана с твердотельным хранилищем в качестве центральной цели проектирования, в отличие от более старых интерфейсов, таких как SATA, которые были разработаны для удовлетворения потребностей вращающихся жестких дисков. Поддержка NVMe в macOS и BridgeOS осуществляется расширением ядра com.apple.iokit.IONVMeFamily.kext. Когда мы взглянем на макет IORegistry для устройства хранения SSD iMac Pro, мы увидим это более четко:

Когда мы взглянем на макет IORegistry для устройства хранения SSD iMac Pro, мы увидим это более четко:

На приведенной выше диаграмме мы видим устройство Apple SSD AP1024M Media, которое видно пользователю в macOS. Это устройство становится доступным как обычное блочное устройство хранения через расширение ядра IOStorageFamily.kext, которое вместо этого поддерживается расширением ядра NVMe. Между тем, контроллер Apple ANS2 (Apple NAND Storage), по-видимому, встречается только на последних устройствах iOS, таких как iPad Pro, iPhone 7, 8 и X. Проверка Apple «Руководство по безопасности iOS» дает некоторое дополнительное понимание этого:

«Каждое устройство iOS имеет специальный криптографический движок AES-256, встроенный в путь DMA между флэш-памятью и основной системной памятью, что делает шифрование файлов очень эффективным. На процессорах A9 или новее серии A подсистема флэш-памяти находится на изолированной шине, которой предоставляется доступ к памяти, содержащей пользовательские данные, только через криптографический механизм DMA ».

Это утверждение подтверждает то, что мы видели в самом коде BridgeOS, а также то, что известно о внешнем подключении сопроцессора T2: пара физических микросхем памяти SSD, которые представлены как одно устройство для macOS, напрямую подключаются через двойной PCIe x4 линии к SoC, где они уникально связаны с AP, и шифрование в покое включено по умолчанию. Apple также подтверждает это в белая бумага :

«Уникальный идентификатор устройства (UID) и идентификатор группы устройств (GID) представляют собой 256-битные ключи AES (UID) или скомпилированные (GID) в процессор приложения и Secure Enclave во время производства. Никакое программное обеспечение или прошивка не могут читать их напрямую; они могут видеть только результаты операций шифрования или дешифрования, выполненных выделенными механизмами AES, реализованными в кремнии с использованием UID или GID в качестве ключа. Кроме того, UID и GID Secure Enclave могут использоваться только механизмом AES, выделенным для Secure Enclave ».

Уникальное сопряжение здесь обеспечивает некоторые очень важные свойства безопасности, которые препятствуют физическому удалению микросхем памяти, составляющих сам SSD, из системы и подключению к другой системе или извлечению их содержимого из микросхем и их перепрошивке на микросхемы SSD в другом. система. Apple более подробно описывает способ, которым сопроцессор T2 и микросхемы SSD уникально связаны друг с другом для обеспечения этой защиты при первой инициализации микросхем SSD:

«На T1, S2, S3 и A9 или более поздних процессорах серии A каждый Secure Enclave генерирует свой собственный UID (уникальный идентификатор). [...] UID позволяет криптографически связывать данные с конкретным устройством. Например, иерархия ключей, защищающая файловую систему, включает в себя UID, поэтому, если микросхемы памяти физически перемещаются с одного устройства на другое, файлы становятся недоступными ».

На момент последней публикации Apple еще не обновляла информацию для сопроцессора T2, но наши исследования показывают, что вышесказанное в значительной степени относится и к его реализации.

Дальнейшее изучение полного вывода плоскости IODeviceTree IORegistry (которую можно извлечь из BridgeOS, работающей на сопроцессоре T2 с использованием sysdiagnose -c), мы можем увидеть логическую иерархию крипто-движка AES и устройства ANS2, которое стоит за ним.

MacOS Device Discovery

Что касается macOS, интересно посмотреть, как запоминающее устройство с поддержкой AppleNVMeFamily через единый канал PCIe x4 подключается к самому процессору x86. Что касается процессора x86 и работающих на нем macOS, то SSD-хранилище iMac Pro при обнаружении является просто обычным NVMe-совместимым устройством хранения; тем не менее, мы видели, что ряд прозрачных процессов будет происходить и продолжаться во время обычного использования, чтобы зашифровать данные, записанные в микросхемы памяти SSD.

Иерархическое представление запоминающего устройства, которое, как мы теперь узнали, активно управляется сопроцессором T2 и BridgeOS, выглядит следующим образом:

Иерархическое представление запоминающего устройства, которое, как мы теперь узнали, активно управляется сопроцессором T2 и BridgeOS, выглядит следующим образом:

Filevault и Безопасное Хранение

Теперь мы узнали, что по умолчанию хранилище iMac Pro шифруется с использованием уникального идентификатора, хранящегося в его сопроцессоре T2. Это предотвращает физические атаки, связанные с удалением микросхем памяти SSD, что делает их бесполезными при установке в любом месте, кроме iMac Pro, с которым они изначально были в паре.

Для защиты от физических атак на тот же физический компьютер в игру вступает полнодисковое шифрование (FDE). Apple уже несколько лет внедряет FDE с помощью функции FileVault. FileVault - это полностью функциональная система FDE, которая претерпела ряд изменений с момента своего появления в Mac OS X 10.7.

Первоначально FileVault шифровал только домашнюю папку пользователя в виде образа диска. FileVault 2 полностью шифрует тома на уровне блоков, используя AES-XTS и 128-битные блоки с 256-битным ключом, используя возможности управления логическими томами CoreStorage. Более подробное описание архитектуры FileVault 2 можно найти в этом архивном документе с сайта обучения Apple.

С представлением macOS 10.13 High Sierra компания Apple представила еще одну эволюцию FileVault, которая в основном не была видна, но использует собственные возможности шифрования новой файловой системы APFS, чтобы обеспечить мгновенный запуск FDE и более упорядоченную регистрацию дополнительных пользователей.

Мы полагаем, что с введением в iMac Pro шифрования всегда включенного диска процесс активации FileVault теперь практически идентичен тому, как пароль защищает устройство iOS. При включении ключевая фраза пользователя запутывается с аппаратным UID устройства и используется для создания дополнительных производных ключей, которые используются для шифрования и дешифрования. Технический документ по безопасности Apple iOS более детален, но наши выводы подтверждают, что сопроцессор iMac Pro T2 работает таким же образом. Ключ доступа , полученный из ключевой фразы пользователя, хранится в Secure Enclave, который является частью сопроцессора T2 и недоступен непривилегированными средствами.

Заключение

Это первая из серии исследовательских статей об iMac Pro и его новых функциях безопасности, которые мы планируем опубликовать в будущих выпусках. Мы решили поближе познакомиться с улучшениями безопасности хранилища, так как они широко представлены в маркетинге Apple для iMac Pro. С появлением следующего поколения сопроцессоров безопасности компания Apple установила стандарт того, что ожидать от будущего платформы Mac. Взяв на себя зарекомендовавший себя успех и лидерство на платформе iOS в отношении безопасности и конфиденциальности, Apple удалось быстро догнать конкурирующие платформы, которые уже реализуют современные аппаратные функции безопасности.

Поддержка Windows и ChromeOS для TPM, Универсальный 2-й Фактор (U2F) и Universal Authentication Factor (UAF) / Webauthn сделали их популярным выбором для клиентов, ориентированных на безопасность. Мы надеемся, что Apple уделяет пристальное внимание и этим технологиям, так как они быстро завоевывают популярность в более широком сообществе, в дополнение к дальнейшему повышению собственной доказанной силы безопасности платформы.

Мы ожидаем, что в будущих моделях Mac будут приняты многие, если не все, эти функции безопасности, а также продолжены итерации.

Похожие

Apple «расследует» уязвимость покупки в приложении
... ит, что расследует подвиг в настоящее время это позволяет пользователям приобретать цифровые товары внутри приложений iOS, фактически не платя за них. «Безопасность App Store невероятно важна для нас и сообщества разработчиков», - сказала CNET в интервью для CNET Натали Харрисон. «Мы очень серьезно относимся к сообщениям о мошеннических действиях и проводим расследование». Компания не предоставила
Наш Western Digital Red Pro 10TB NAS HDD Обзор
Мы только что взглянули на WD Red 10TB NAS жесткие диски; Теперь мы рассмотрим набор накопителей Western Digital Red 10TB Pro NAS. Серия WD Red Pro NAS предназначена для использования в средних и корпоративных классах. Жесткие диски Red Pro серии NAS также заполнены гелием для более плавной работы диска, включают NASware 3.0 и могут работать на коробках NAS с 16 отсеками для дисков. Сравните
Обзор Doogee X5 Max Pro - самый дешевый смартфон с 2 ГБ оперативной памяти
Doogee - бренд смартфонов для просмотра в 2017 году Вы, вероятно, никогда не слышали о Doogee раньше, но они делают волны в секторе бюджетных смартфонов с их линейкой мобильных телефонов X5. Последний из этих бюджетных телефонов - Doogee X5 Max Pro. Версия Max Pro отличается от других телефонов Doogee X5 улучшенными техническими характеристиками, не требуя дополнительных
Топ-7 лучших бесплатных IRC-клиентов для Windows 7
Реклама В течение десятилетий, следующих за изобретением Интернета, были разработаны десятки программ и протоколов для облегчения связи между компьютерами. Например, у нас есть протоколы обмена мгновенными сообщениями, почтовые клиенты, сети
Какие устройства USB-C работают с iPad Pro, а какие нет?
Новый модели iPad Pro (2018) каждый из них имеет порт USB-C в первый раз, но что это значит? Что можно подключить к новым iPad? Что вы не можете подключиться? И как вы можете получить максимальную отдачу от порта Lightning? Что вы можете подключить Переезд в USB-C должен открыть кучу возможностей
Это лучшие антивирусные сканеры для Mac
... ирусные сканеры: это лучшие Антивирусный сканер предлагает дополнительную защиту для вас макинтош против вирусов, троянов и других вредоносных программ. Если вы ищете антивирусный пакет для пользователя Mac, вы можете выбрать из 15 или около того провайдеров. Какой самый лучший? Вы можете прочитать это в этой статье. В конце мы также обсудим, нужен ли вам такой антивирус на Mac.
Новый модели iPad Pro (2018) каждый из них имеет порт USB-C в первый раз, но что это значит?
Что можно подключить к новым iPad?
Что вы не можете подключиться?
И как вы можете получить максимальную отдачу от порта Lightning?
Какой самый лучший?