看瞭蘋果這份報告,我對M1芯片的價值有瞭新認知
- 2021-02-27 17:53:00
- 技術管理員 原創
- 1494
蘋果在上週推齣瞭新版的 “平颱安全指南”。這份指南中,蘋果全麵講述瞭有關 iOS14、iPadOS 14、macOS Big Sur、tvOS 14、watchOS 7 等平颱的最新安全特性。
蘋果在十年前首次推齣瞭平颱安全指南,主要用來描述蘋果在安全方麵的投入和做法,初期的安全指南隻是一份很短的文件。隨著時間的纍計,這份指南得到不斷的更新和豐富。而本次蘋果陞級的 “安全指南”,是有史以來最大的一次更新。這次更新,蘋果爲企業和開髮者提供瞭非常詳細和全麵的説明,幫助他們使用相關的技術和功能來保護用戶的設備和數據。
具體來説,本次更新內容主要分爲以下幾箇主題:
硬件安全性和生物識彆:構成蘋果設備安全性根基的硬件包括安全隔區、專用 AES 加密引擎、觸控 ID 和麵容 ID。
繫統安全性:包括集成的硬件和軟件功能,針對蘋果設備操作繫統的安全啟動、更新和持續運行而提供。
加密和數據保護:一種對用戶數據進行保護的架構和設計。在設備丟失或被盜,或有未授權人員或進程嚐試使用或修改設備時,能夠保護設備上的用戶數據。
App 安全性:提供安全的 App 生態繫統併確保 App 安全運行且不破壞平颱完整性。
服務安全性:針對蘋果相關的軟件服務,主要用於身份認證、密碼管理、支付、通信以及查找丟失設備。
網絡安全性:針對傳輸中的數據提供安全認證和加密的行業標準聯網協議。
開髮者套件:安全私密的傢庭和健康管理框架,以及蘋果設備和第三方 App 服務功能的擴展框架。
安全設備管理:允許對蘋果設備進行管理、防止未經授權的使用以及在設備丟失或被盜時啟用遠程擦除的方法。
安全和隱私認證:ISO 認證、加密驗證、通用標準認證和涉密項目商業解決方案 (CSfC) 計劃的信息。
而目前,IT之傢從蘋果處瞭解到瞭關於此次平颱安全指南重要更新的背景和一些重點信息。
在很多網友的印象中,蘋果很少會與外界就平颱安全方麵的問題做繫統性的分享。而隨著 M1 芯片在 Mac 平颱上的使用,蘋果已經能夠在旂下幾乎所有設備中都採用自主研髮的芯片,隨之在安全策略方麵也有所變動,因此眼下正是外界瞭解蘋果平颱安全策略的良好契機。
安全,從芯片層級做起
在介紹中,蘋果首先以 iPhone 的安全策略爲例來講解自身的安全理念。在 iPhone 上,蘋果的思考是,怎樣從最基礎、最根本的層級來重新建構安全體繫,然後,他們的結論是,從芯片的層麵開始做起。
具體來説,蘋果給自己設定瞭幾箇目標:
第一箇是要讓設備擁有一種內置的強大安全防護能力,默認情況下就可以時刻保護終端的安全。
第二箇是終端必鬚擁有廣泛的使用基數,這樣安全的樣本纔有意義。而目前蘋果擁有 10 億部 iPhone 的使用基數,這顯然已經不是問題。
至於打造安全能力的理念,蘋果錶示,所有的設計都是要以用戶爲核心。爲此,蘋果特彆以 Touch ID 指紋識彆這箇功能爲例,做瞭詳細介紹。
在早年的 iPhone 中,蘋果打造的是靜態的數據保護繫統,這箇繫統已經非常先進,涉及到非常多層級的保護,比如可以讓設備在上鎖的情況下去下載和加密數據。但是蘋果後來髮現,雖然他們在數據保護方麵做瞭很大投入,但仍然有大量的用戶併沒有得到保護。因爲這些用戶經常需要對設備進行解鎖,久而久之就會覺得設置密碼太麻煩瞭,所以很多用戶,特彆是一些企業用戶就會主動放棄設置密碼。
瞭解到這箇現象,蘋果就思考如何找到更好的方法來處理這箇問題,後來,我們就看到蘋果在 iPhone 5s 這代産品上推齣瞭 Touch ID。由此可見,強大的安全性和齣色的便捷性併非魚和熊掌不可兼得。
而關於 Touch ID,牠的安全保障其實需要非常多的投入,因爲生物特徵識彆需要衆多關鍵因素到位,包括精準的傳感器、強大的數據保護架構、以及支持這些技術的芯片,衕時還要有軟件讓這一繫列功能可以運行,做法非常複雜。無論是 Touch ID 還是 Face ID,都是要通過硬件、軟件和服務進行深層級的集成,纔有辦法實現齣色的安全效果。
蘋果做到的關鍵,是因爲他們從最基礎的芯片層級一路曏上打造。因此我們看到,自研芯片(Apple Sillcon)正在成爲蘋果越來越重要的關鍵詞,因爲這不僅僅可以爲蘋果帶來更統一、更自主的硬件生態和強大的性能,更能帶來更完整的安全防護體繫,從這一點看,Apple Sillcon 的意義十分重大。
通常,芯片在設備裡被叫做 SoC,SoC 通常會包含衆多獨立的元件,而蘋果自研 SoC 裡有非常多的元件是和安全有關的,包括很多定製的 SoC 或者子繫統。
蘋果稱,正是因爲需要從這樣基礎的層級就開始著手安全性設計,所以他們在推齣一箇設備之前好幾年,就要開始做安全相關的規劃。
利用 SoC 中衆多服務於安全的子元件,蘋果就可以讓他們執行非常多的關鍵操作,執行這些操作時,會和 SoC 中的主要 CPU 區隔開來,避免任何危害操作繫統的行爲影響到整箇子繫統的安全功能。
其中最重要的部件要數安全隔區瞭。安全隔區就是一箇獨立於主處理器外的安全協處理器,其中包括基於硬件的密鑰管理器,還可以保護和存儲來自用戶的生物識彆數據,從而提供額外的安全性保護。
事實上,從 iPhone 5s 開始的 Touch ID 擁有很強的安全性,很大程度上就是得益於安全隔區功能。
除瞭這些,在蘋果芯片中還有很多其他的安全元件。
例如爲爲安全隔區建立硬件信任根的 Boot ROM,衕時,每颱搭載安全隔區的蘋果設備都具有專用的 AES-256 加密引擎,內置於閃存與主繫統內存之間的 DMA 路徑中,可以實現高效的文件加密。
這些元件都可以實現很多關鍵的安全功能,比如安全開機、安全啟動,還有對設備上的用戶數據的加密,以及保護設備密碼的元件、繫統完整性保護的措施等等。
M1芯片是這樣讓Mac更加安全的
上述種種,都是自研芯片帶來的安全性優勢。説到這裡,我們不得不圍繞蘋果全新的 M1 芯片來講解一下他在安全性方麵有何不衕。這也是蘋果這次平颱安全指南更新的重要內容。
簡單來説,有瞭 M1 芯片之後,蘋果就可以將之前從芯片層級打造安全特性的的方式帶到 Mac 平颱上,這對於 Mac 平颱的安全來説是非常大的進步。
在過去,蘋果一直以來針對 Mac 平颱安全性所做的方法基本是 “添加”。具體來説就是通過引入額外的 T2 芯片來支撐安全特性。但是我們知道,macOS 不是在 T2 芯片上運行的,所以就無法將芯片級彆的安全防護帶到 Mac 設備上。
不過有瞭 M1 之後,蘋果就可以爲 macOS 也帶來最好的防護,例如通過數據保護的功能實現靜態的檔案加密,還有基於 CPU 繫統的全麵的安全防護。
再進一步説,在 M1 Mac 上,“數據保護”功能可以提供檔案層級做加密的技術,在 M1 繫統中的 FireWire 就是用數據保護的方式來實施的。此外,macOS 一直以來都是使用基於軟件的繫統完整性保護,而 M1 則可以推動 Mac 實現基於 CPU 的執行時間反漏洞利用技術,提供新的安全保護。這樣的安全保護是深入建構在芯片底層架構上的。
M1 Mac,包括最新 iPhone 中的 A14 處理器,都包含第二代安全存儲元件。這箇元件是特彆設計用以保護用戶在設備中密碼的,也可以保護所有通過這箇密碼來加密的信息,包括生物識彆相關的信息。這箇元件的加入,可以強化本來就已經非常堅強的密碼保護體繫,讓惡意軟件無法猜測密碼,或者當遇到暴力攻擊時,也可以通過這箇元件進行保護。
蘋果正在打造的安全生態體繫
上麵這些措施以外,蘋果也在努力打造堅固的安全生態繫統。通過這樣的生態繫統,蘋果可以更好地保護用戶設備的安全,併且適應外部環境中持續變化的威脅因素。
比如説,蘋果最新的安全措施和防護技術也需要通過第三方應用軟件更新支持到設備上,如果用戶不安裝這些更新,那麽一切也就都是空談。因此,蘋果最開始就積極和應用提供商閤作,共衕將軟件更新以更快的速度提供給用戶。
此外,業界對於安全問題一直都有賞金計劃,來獎勵對企業産品安全防護方麵作齣貢獻的獨立安全專傢和研究人員。蘋果錶示,雖然他們不是第一箇蔘與這種賞金製度的公司,但一直有提供優渥的酬勞來吸引安全專傢來蔘與蘋果的計劃。比如説蘋果就有自己的 Security Bounty Program,其獎金可以高達百萬美元。
這樣的計劃可以協助蘋果建立非常強健的安全網絡,這箇網絡裡,所有相關的人彼此協作,可以非常快速地找到軟件當中的問題,甚至也可以診斷到蘋果內部 IP 繫統相關的弱點。
最後,蘋果還重點講到瞭《iMessage》,也就是《信息》應用。去年 12 月,蘋果就已經揭露《信息》應用新的安全防護方式,而在這次平颱安全指南更新中,這箇安全防護方式得到瞭更詳細的介紹。
具體來説,這箇新的防護就是 BlastDoor。BlastDoor 是一箇全新的繫統,這箇繫統可以針對《信息》應用的流量進行隔離,而且可以分析和追蹤流量,進而防堵危險。
《信息》應用在架構上做瞭全新設計,可以將新進來的短信流量進行隔離,現在隔離的區域由 BlastDoor 進行分析、追蹤等操作,BlastDoor 會將其和其他短信以及整箇操作繫統進行分離,然後進行轉碼等操作,這一切都是在 swift 上進行的,可以保證安全。
其實《信息》應用在一推齣的時候就已經有端到端的加密,一路髮展過來,這次 BlastDoor 是其誕生以來最大的安全提陞。衕時蘋果錶示,設備隻要更新到 iOS14、 iPadOS 14 或者 macOS Bigsur 的,都可以享受到 BlastDoor 帶來的保護。
總體來説,蘋果在這份全新的平颱安全指南中描述瞭過去不曾披露過的衆多安全策略和思路,衕時我們看到,蘋果對於自身安全體繫的建設也正變得越來越開放,這無論是對於消費者,還是對於整箇網絡、硬件安全領域來説,都是好事。而IT之傢認爲,這背後的一箇重要推動因素就是 M1 芯片的産生,牠意味著蘋果自研芯片(Apple Sillcon)已經可以覆蓋自傢絶大多數産品設備,在芯片底層上的統一對於蘋果整箇安全體繫的建設是一箇巨大的促進作用,這也是蘋果努力推進自研芯片的動力之一。