Sicherheit der Apple-Plattformen
- Herzlich willkommen
- Einführung in die Sicherheit der Apple-Plattformen
-
- Systemsicherheit – Übersicht
- Sicherheit des Signed System Volume
- Sichere Softwareaktualisierungen
- Integrität des Betriebssystems
- Sicheres Aktivieren von Datenverbindungen
- Verifizieren von Zubehörgeräten
- BlastDoor für Nachrichten und IDS
- Sicherheit beim Blockierungsmodus
-
- Zusätzliche macOS-Funktionen für die Systemsicherheit
- Systemintegritätsschutz
- Caches für die Vertrauensstellung (Trust Caches)
- Sicherheit von Peripherieprozessoren
- Rosetta 2 auf Mac-Computern mit Apple Chips
- DMA-Schutz
- Sichere Erweiterung des Kernels
- OROM-Sicherheit (Option ROM)
- Sicherheit für UEFI-Firmware beim Intel-basierten Mac
- Systemsicherheit bei watchOS
- Generieren von Zufallszahlen
- Apple Security Research Device
-
- Sicherheit bei Diensten – Übersicht
-
- Passwortsicherheit – Übersicht
- Sicherheit bei der Option „Mit Apple anmelden“
- Option „Automatisch starke Passwörter“
- Sicherheit beim automatischen Ausfüllen von Passwörtern
- Zugriff durch Apps auf gesicherte Passwörter
- Sicherheitsempfehlungen für Passwörter
- Passwortüberwachung
- Senden von Passwörtern
- Erweiterungen für Credential-Provider
-
- Apple Pay-Sicherheit – Übersicht
- Sicherheit bei Apple Pay-Komponenten
- Wie Apple Pay die Käufe von Benutzern schützt
- Autorisierung von Zahlungen mit Apple Pay
- Kartenzahlung mit Apple Pay
- Kontaktlose Ausweise in Apple Pay
- Unbrauchbarmachung von Karten mit Apple Pay
- Sicherheit bei Apple Card (nur USA)
- Sicherheit bei Apple Cash
- „Tap to Pay“ auf dem iPhone
- Sicherheit bei Apple Messages for Business
- FaceTime-Sicherheit
-
- Netzwerksicherheit – Übersicht
- TLS-Sicherheit
- IPv6-Sicherheit
- VPN-Sicherheit
- Bluetooth-Sicherheit
- Sicherheit der Ultrabreitbandtechnologie von iOS
- Sicherheit der Gesamtauthentifizierung (Single Sign-On)
- AirDrop-Sicherheit
- Sicherheit bei WLAN-Passwortfreigabe auf iPhone und iPad
- Firewall-Sicherheit bei macOS
- Glossar
- Revisionsverlauf des Dokuments
- Copyright
Generieren von Zufallszahlen
Wichtige Bausteine für eine zuverlässig geschützte Software sind die sogenannten kryptografisch sicheren Zufallszahlengeneratoren (CPRNGs – cryptographically secure pseudo-random number generators). Apple stellt hierfür einen vertrauenswürdigen Software-CPRNG bereit, der in den Kernels von iOS, iPadOS, macOS, tvOS und watchOS ausgeführt wird. Seine Aufgabe ist es, reine Entropie vom System zu aggregieren und sowohl im Kernel als auch im Benutzerbereich (User Space) sichere Zufallszahlen für Nutzer bereitzustellen.
Entropiequellen
Der Kernel-CPRNG wird während des Startvorgangs und der Nutzungsdauer des Geräts von mehreren Entropiequellen versorgt. Hierzu gehören (bedingt durch die Verfügbarkeit):
Der TRNG der Hardware der Secure Enclave
Während des Startvorgangs erfasste zeitbasierte Jitter
Von Hardware-Interrupts erfasste Entropie
Eine Seed-Datei, die für den Fortbestand der Entropie während der Startvorgänge eingesetzt wird
Intel-Zufallsanweisungen – z. B. RDSEED und RDRAND (nur Intel-basierte Mac-Computer)
Kernel-CPRNG
Der Kernel-CPRNG ist ein von Fortuna abgeleitetes Design, das auf eine 256-Bit-Sicherheitsebene abzielt. Er stellt hochwertige Zufallszahlen für Nutzer des Benutzerbereichs (User Space) über die folgenden APIs bereit:
Systemaufruf
getentropy(2)Zufallsgerät (/dev/random)
Der Kernel-CPRNG akzeptiert die vom Benutzer bereitgestellte Entropie über Schreibvorgänge auf dem Zufallsgerät.