безопастност и защита на Iphone мобилни комуникации

Курсов проект

по

Безопасност и защита

на тема

Безопастност и защита на Iphone

мобилни комуникации

Изготвил: Проверил:

Венцислав Вангелов доц.д-р.Стефан Дражев

спец.Информатика, V курс,гр.59, х.ас. Видилина Кръстева

фак.№10739

Икономически Университет – Варна, 2013

Венцислав Вангелов, спец. Информатика, 5 курс, гр.59, фак.№10739

2 Икономически Университет – Варна, 2013

Съдържание

ВЪВЕДЕНИЕ

АРХИТЕКТУРА НА ОПЕРАЦИОННАТА СИСТЕМА

Secure Boot Chain

System Software Personalization

App Code Signing

Runtime Process Security

КРИПТИРАНЕ И ЗАЩИТА НА ДАННИТЕ

File Data Protection

Passcodes

Създаване на сигурна парола (Apple ID)

Класове

o Complete Protection

o Protected Unless Open

o Protected Until First User Authentication

o No Protection

Keychain Data Protection

Keybags

o System keybag

o Кeybag backup

o Escrow keybag

o Кeybag backup

o iCloud Backup keybag



ИНТЕРНЕТ СИГУРНОСТ

SSL, TLS

VPN

Wi-Fi

Bluetooth



Apple залага на сигурността при

изграждането на IOS. Запазване на

информацията сигурна на мобилните

устройства е от първостепенна важност за

всеки потребител, независимо дали става

въпрос за качване на снимки, адреси, лична

или банкова информация. IOS устройствата

са проектирани да поддържат високо ниво

на сигурност, без компромиси.

IOS устройствата предлагат строги

технологии за защита и въпреки това са

лесни за използване. Устройствата са

проектирани да предоставят прозрачност.

Много от защитните възможности са

включени по подразбиране, други нямат

възможност за конфигуриране от

потребителя, така няма възмжност да бъдат

изключени по погрешка.

Iphone, Ipad и Ipod touch са проектирани с различни нива на защита. Ниското

хардуерно ниво защитава от вируси, на високо ниво операционната система се грижи

да осигури безопасен достъп до лични и корпоративни данни, като предотвратява

нежелани атаки.

• System architecture: Архитектура на операционната система на iPhone, iPad и iPod

touch.

• Encryption and Data Protection: Система която защитава информацията на

потребителя, при загуба или кражба на мобилното устройство или при опит за кражба

на информация.

• Network security:Интернет протоколи, които предоставят сигурен достъп и

криптиране на данните.



• Device access: Метод който предотвратява неоторизиран достъп до мобилното

устройтство.

ИОС е базиран на същото ядро като ОС Х, и предоставя ползите от години развитие на

сигурността.

АРХИТЕКТУРА НА ОПЕРАЦИОННАТА СИСТЕМА

Secure Boot Chain

Всяка стъпка от процеса на зареждане съдържа компоненти, които са

криптографски подписани от Apple, за да се гарантира целостта. Това включва

bootloaders, ядрото, бейсбенд фърмуера.

Когато IOS устройството е включено, неговия процесор незабавно изпълнява

кода от РОМ паметта познатa като Boot ROM. Този код се вгражда в чипа по време на

неговото производство. Той съдържа Apple Root CA публичен ключ и удостоверява, че

този публичен ключ е гарантиран от Apple. Това е първата стъпка от така наречената

„Верига на доверието“, където всяка стъпка удостоверява, че следващата е

гарантирана от Apple. Когато Bootloader-a на ниско ниво приключи с неговите задачи,

той подсигурява и стартира следващото ниво bootloader, IBoot, което удостоверява и

стартира ИОС ядрото.

Тази стартираща „Верига на доверието“ подсигурява, че ниските нива на

софтуер не са подправени и позволява IOS да върви само на Apple устройства. Ако една

от тези стъпки не може да зареди или да подсигури валидността на следващата, то

стартирането спира и на екрана се изобразява „Connect to ITunes“. Това е така

наречения режим „recovery mode“. Ако Boot ROM паметта не може да се зареди,

преминава в “Device Firmware Upgrade” режим. В двата случая, устройството трябва да

се свърже с iTunes чрез USB и да се възтановят заводските настройки.



System Software Personalization

Apple периодично пуска софтуeрни ъпдейти; тези ъпдейти са предназначени за

всички устройства на фирмата. Потребителите получават известия за IOS ъпдейт на

устройството или чрез iTunes, и се предоставят през интернет, като окуражават

потребителите да инсталират последния ъпдейт и така да повишат сигурността на

своите данни.

Процесът на исталиране на новите ъпдейти, който е описан по-горе,

подсигурява, че само софтуер който е удобрен от Apple може да бъде инсталиран на

устройството, като се предотвратява инсталирането на по-стара версия на софтуера.

Apple реализира това чрез процес, наречен „System Software Personalization“.Това

предотвратява злонамереното инсталиране на по-стара версия и използването на

дупки и слабости на версията, които са отстранени в по-новата.

System Architecture

IOS ъпдейт може да се инсталира като се използва iTunes или през

интернет(ОТА) от устройството. С iTunes пълната версия се сваля и инсталира.

По-време на инсталиране или ъпгрейд на IOS, iTunes(или самото устройство, в

случай на ОТА софтуер ъпдейт) се свързва с оторизирания сървър на Apple

(gs.apple.com) и изпраща списък с криптиранимерки за сигурност за всяка част от

инсталационния пакет (напримерLLB, iBoot, ядрото иOSimage, както и уникалния

идентификационен номерна устройството(ECID).

Сървърът проверявапредставениясписък смерки, за кои версиие

разрешенаинсталацияиакосе установи съвпадение, добавяECID идентификационния

номер на устройството в списъка и потвърждава резултата. Пълният набор отданни се

подават от сървърана устройството,каточаст отпроцесанаинсталиране или

актуализация. Запоисканотоустройство се добавя ECID"personalizes" разрешение.

Сървърът гарантира, че актуализациятасе получава, както е предвиденоотApple.

„Веригата на доверието“ удостоверява, че „подписът“ идва отAppleисписъка с

меркина елементазаредени отдиска, заедно сECID идентификационния номер на



устройството, съвпадат напълно с това, което покрива „подписът“ от Apple.

Тези стъпки гарантират, че разрешениетое законкретно устройствои че една стараIOS

версия от едно устройствонеможе да се копирана друго.Това не позволява резултата от

сървъра да бъде записан и използван повторно.

App Code Signing

Веднъж щом IOS ядрото е стартирано, то контролира кой процес и кое

приложение може да бъде стартирано. За да подсигури, че всички приложения идват

от познат и удобрен източник. IOS изисква всеки изпълним код, да бъде „подписан“

сApple-issued сертификат. Приложения предоставени със софтуера на телефона, като

Сафари и др. са гарантирани от Аpple. Приложения написани от трети лица трябва да

бъдат проверени и сертифицирани с Apple-issued сертификат. Те наследяват

концепцията на „веригата на доверието“ от операционната система на приложението,

това предотвратява възможността приложението да зареди и изпълни несертифициран

код или да промени вече съществуващ.

За да може един разработчик да създава приложения за ИОС устройства, той

трябва да се регистрира(присъедини) към “IOS Developer Program”. Самоличността на

всеки разработчик, независимо дали е частно лице или фирма, се проверява от Apple

преди техния сертификат да бъде издаден. Този сертификат позволява на

разработчиците да създават приложения за IOS и да ги качват в App Store за

разпространение. В резултат на това всички проложения в App Store са качени от

идентифицирани и сеертифицирани разработчици или фирми. Всяко приложение се

проверява от Apple, за да е сигурно, че работи, както е описано и не съдържа бъгове и

други проблеми. Този процес гарантира на клиентите качество и безопасност на

приложенията, които купуват. Фирмите имат възможност да пишат приложения, които

да се използват и разпространяват между техните служители. Фирмите и

организациите имат възможност да кандитастват в IOS Developer Enterprise Program с

D-U-N-S номер. Apple одобрява кандидатите след удостоверяване на тяхната

самоличност. След като организацията стане член на IDEP, може да се регистрира и

получи профил, с който позволява фирмени проложения да се стартират само на

оторизирани устройства. Потребителите(служителите) трябва да имат инсталиран



профил с който да стартират фирменото приложение. Това гарантира, че само

определени потребители ще могат да инсталират и ползват приложението на своето

IOS устройство.

За разлика от други мобилни платформи, IOS не позволява на потребители да

инсталират потенциално опасни и непроверени приложения или да стартират код с

непроверен произход. По време на изпълнение на кода на приложението се проверява

за промени по кода от неговата инсталация или последния ъпдейт.

Runtime Process Security

Веднъж щом се удостовери, че приложението идва от одобрен източник, IOS

насочва мерките за сигурност да подсигури, че приложението не може да попречи

изпълнението на другите приложения и процеси.

Всички приложения, разработени от трети лица са ограничени(sandboxed),

техния достъп до файлове записани от други приложения и промени по устройството

са забранени. Това запазва информацията сигурна. Всяко приложение има уникална

собствена директория за складиране на информация и файлове, която е избрана на

произволен принцип. Приложение може да достъпи информация различна от неговата

собствена иденствено чрез application programming interface (APIs) или чрез ослугите

предоставени от IOS.

По-голямата част от IOS работи като непривилегирован потребител "mobile",

както работят всички приложения написани от различни разработчици. Системните

фaйлове и ресурси са защитени и от потребителските приложения. Всички файлове на

операционната система са в режим “read only”. Ненужните инструменти, като

например отдалечендостъп, не са включени в операционната система и APIs не

позволяват на приложенията да превишават правата си и да променят други

приложения или самата IOS.

Достъпa на приложениятадо информация и функции като iCloud се

контролиратчрез деклариране на права. Правата са двойки ключ / стойност, които са

„подписани“ от едно приложение, и да позволи разпознаването им по време на

работа, отвъд фактори като UNIX ID. Тъй като правата са цифрово подписани, те не



могат да бъдат променяни. Правата се използват широко предимно от системни

приложения за извършване на определени привилегировани операции.

В допълнение, приложенията могат да изпъняват само процеси на заден план

чрез APIs. Това позволява на приложението да работи без да намали

производителността на устройството или драматично да съкрати работата на

батерията. Приложенията не могат да споделят информация директно едно с друго,

споделянето може да се осъществявасамо ако двете приложения получават и

изпращат информация като използват URL схеми или през „keychain access groups“.

Address space layout randomization (ASLR) защитава срещу експлоатация и

злоупотреби срещу паметта. Приложенията използват ASLR за да подсигурят, че всички

сектори на паметта са разпределени на случаен принцип при стартирането.

Освен това, системните споделени места са разпределени на случаен принцип.

Средата за разработване Xcode IOS автоматично компилира приложенияна чужди

разработчици с ASLR.

По-нататъчната защита се осигурява от IOS, която използва ARM`s Execute

Never(XN), маркира секторите от паметта като неизпълними. Секторите от паметта

маркирани като writable и executable могат да бъдат използвани от приложения само

под строги условия:

Криптиране и защита на данните

Всичко описано до тук помага да се подсигури, че само сигурен код и

приложения могат да бъдат стартирани на устройството. IOS има допълнителни мерки

за сигурност, които защитават информацията, дори в случаи когато други части от

мрежата за сигурност е компрометирана.Както самата архитектурана системата,

тезивъзможностизакриптиране изащита на даннитеизползватслоеве

наинтегриранихардуерни и софтуерни технологии.



Hardware Security Features

Скоростта и енергийната ефективност на мобилните устройства са от критично

значение.Криптографските операцииса сложни,това може да доведе до проблеми

сработоспособносттаили живота на батерията, аконе са проектиранииизпълнени

правилно.

Всяко IOS устройство има AES 256 криптиращ модул вграден в DMA пътя между

флаш паметта и главната системна памет, това прави криптирането на файла високо

ефективно. Заедно с AES модулът , SHA-1 криптиране е внедрено в хардуера.

Уникалният идентификационен номер на устройството(UID)и номера на групата

(GID)са криптирани 256 AES ключове вградени в процесора на устройството по време

на производството. Те не могат да се четат директно, могат да се виждат единствено

като резултат от тяхното криптиране, декриптиране, когато се използват. UID е

уникално за всяко едно устройство и не се съхранява нито от Apple, нито от някой от

неговите доставчици. GID еобща завсички процесоривкласа наустройства(например,

всички устройства, използващиAppleA5чип), използва се катодопълнително ниво на

защита, при инсталация или възтановяване на софтуера. Вграждането на тезиключове

всилицияги предпазваотподправянеи дава гаранции, че темогат да бъдат

достъпнисамоот модули наAES.

UID позволяваданните да бъдаткриптирани исвързани сконкретното устройство.

Например, ключът в йерархията, койтозащитава файловата системавключваUID, така че

ако чиповете паметса физическипреместени отедно устройство на друго, файловете са

недостъпни.UIDне е свързан сдруг идентификаторна устройството.

Освен UIDиGID, всички други криптографски ключовеса създадени отгенератора

на случайни числана системата(RNG). Като същността на алгоритъма идва от

прекъсваневреметона зареждане, идопълнително от други вътрешните датчици, след

като устройствотое стартирано.

Сигурното изтриване на записаните ключове е също толкова важно като тяхното

генериране.



За да се отговори на този въпрос,IOSустройстватавключват функция,посветена

насигурнотоизтриване на данни нареченEffaceableStorage. Тази функциядостъпва

доосновната технологиязасъхранение(например, NAND), зада се захване директнои да

изтриемалък бройблоковена много нискониво.

File Data Protection

В допълнение къмхардуерното криптираневградено вIOSустройствата, Apple

използватехнология, наречена „Data Protection“ задопълнителна защита наданните,

съхраняванивъв флаш паметтана устройството. Тази технологияе проектирана, като се

вземе предвид факта, че мобилното устройство винаги може дабъде

включеноисвързано към Интернетиможе да получавателефонни обаждания,текстови

съобщенияилиимейли по всяко време.

„Data Protection“ позволява на устройствотода реагира насъбития катовходящи

телефонни обаждания, без да декодираданнии изтегля нова информация,докато стои

заключен. Това се осъществява като всеки файл се асоциира с клас.

„Data Protection“ защитаваданнитевъв всеки клас, като се следи

когаданнитетрябва дабъдат достъпни и кога не. Достъпносттасе определя от това,

далиса били отключениключоветена класа. „Data Protection“се осъществявачрез

изгражданеи управление найерархия наключове, исе основава

натехнологиязахардуерно криптиране, описана по-горе.

Architecture overview

Всеки път, когато се създавафайл, „Data Protection“създава нов256-битов ключ и

го даванаAESмодула,който използва тозиключ и криптирафайловете,

спомощтанаAESCBC.

Ключът нафайлае обвит седин отняколко клас-ключа, в зависимост

отобстоятелствата, при които файлът трябва да бъдедостъпен. Това се извършва с



помощта наNISTAESключза опаковане,наRFC3394. Опаковкатанафайлаключ се

съхранявавметаданнитена файла.

Когато даден файл е отворен,метаданнитесе дешифриратс ключанафайловата

система, разкривайки кой клас го предпазва. Файлътключ серазопаковас клас-

ключ,следтоваседоставяхардуерно,AESмодул, койтодекриптирафайла.

Метаданни на всички файловевъв файловата системаса криптирани

съсслучаенключ, койтосе създава, когатоIOSсе инсталираза първи път или когато

устройствотосе ъпдейтва от потребителя. Ключътнафайловата система

сесъхранявавEffaceableStorage. Тъй катотясесъхранявана устройството, този

ключнесеизползвадасезапазиповерителността на данните; вместо това, епроектиранда

може лесно и бързода изтрие даннитепри поискване(от страна на потребителя:" Erase

all content and settings", от администратор или потребител: отдалечено

изтриванеотсървъра: MobileDevice Management, Exchange ActiveSync,илиiCloud).

Изтриване наключпо този начинправивсичкифайловенедостъпни.

Съдържанието на файласе криптира спомощта нафайловключ, койтое обвит

склас-ключи се съхранява в метаданнитена файла,койтона свой ред екриптиранс ключ

на файловата система. Клас-ключъте защитенс хардуеренUID, а за някои

класовепаролатана потребителя.Тази йерархия осигурява гъвкавости

производителност. Например, промянатана класа на файлът изисква самоза

преопакованенафайловиятключ, както и промяна напаролата.



Пароли

Чрез създаване на парола, потребителят автоматичнозадейства“Data

Protection”.IOSподдържацифрениибуквено-цифровипаролиспроизволнадължина.

Вдопълнение, къмтова че паролата повишава сигурността наустройството,

паролапредоставя безопасна средаза криптиращите ключове, които не се съхраняватна

устройството. Това означава, ченападател, койтопритежаваустройствотоне може да

получидостъп доданнитебезпаролата.

Паролата е обвързанасUIDна устройството. Използват се голямбройитерацииза

да се забави всеки опит за влизане в системата. Броят на итерациите е калибриран,

така чеедин опитотнемаоколо80милисекунди. Товаозначава, че щеотнемеповече

отпетгодини и половина, зада се опитатвсички комбинации отшест-символна буквено-

цифрова пароласмалки буквии цифри, или2години и половиназадевет-цифрова парола

самос номера.

За да се обезкуражи опита за „пробиване“ на паролата, интерфейсът IOS прилага

ескалиращо забавяне след приемане на невалидна парола. Потребителите могат да

включат настройка, която блокира устройството след 10 неуспешни опита. Тази

настройка е също на разположение като административна политика чрез Mobile Device

Management (MDM) и Exchange ActiveSync, и може да бъде настроена на по-нисък праг

от опити.



Създаване на сигурна парола (Apple ID)

Apple ID се използва за връзка с много услуги(iCloud,

FaceTime, and iMessage). За да се помогне на потребителите да

създадат сигурни пароли, всички нови акаунти трябва да

притежават парола със следните характеристики

Минимум 8 символа

Минимум една буква

Минимум една главна буква

Минимум едно число

Не повече от три последователни символа

Да е различно от потребителското име

Класове

Когато се създаде нов файлв IOS устройство, той се присъединява към

класотприложението, коетотой създава. Всеки класизползваразлични политики, зада

се определи когае достъпна информацията. Основнитекласове иполитикиса както

следва:

Complete Protection

(NSFileProtectionComplete):Ключът на класа е защитенсключполученот

потребителскатапаролаиUID на устройството. Малкослед като

потребителязаключиустройството, данните от класа са недостъпни докато потребителя

въведе паролата отново.Mail приложениетоприлагапълна защита насъобщенията и

прикачените файлове. Изображенията иданните,също се съхраняватспълна защита.

Protected Unless Open

(NSFileProtectionCompleteUnlessOpen): Може да се наложи някой файлове да

бъдатзаписани, докатоустройството е заключено. Един добърпример за товаеприкачен

файл към съобщение. Това поведениесе постигачрез използване



наасиметричнаелипсовиднакрива(ECDH overCurve25519). Наредс

обичайнитезащитифайл-ключ,“Data Protection“генерира двойка публичен / частен

ключ. Изчислява се с помощтаначастния ключна файла и публичния ключ от

класа„Protected Unless Open“.Частният ключе защитен спаролатана потребителя иUIDна

устройството. Ключътнафайлае криптиранисесъхранявавметаданнитена файлазаедно

спубличния ключ нафайла; частният ключ се изтриваот паметта след това. В моментана

затваряне нафайла, ключът сеизтриваот паметта.За даотворитефайлаотново,

процедурата се повтаря като се използва отново„Protected Unless Open“клас.

Protected Until First User Authentication

(NSFileProtectionCompleteUntilFirstUserAuthentication):Този клас се държи

посъщия начин, както“Complete Protection”, с изключение на това,

черазшифроващияключнесе премахва от паметта, когатоустройството е заключено.

Защитатав този класима сходни свойствакато на пълно дисково криптиране, изащитава

даннитеотатаки, коитоса свързани срестартиране.

No Protection

(NSFileProtectionNone):Този ключе защитенсамо сUID и се съхранява

в“EffaceableStorage”. Това екласътпо подразбиранеза всички файлове, които не

саприсъединени към “Data Protection” класа. Всички ключове,необходими

задекриптиране нафайловетеот този классе съхраняватна

устройството,криптиранетопредоставяполза набързоотдалечено изтриване. Ако даден

файлне е присъединен към “Data Protection” класза защита на личните данни, той все

още езапаметен в криптирана форма(кактовсички даннина IOSустройствa).IOS Software

Development Kit(SDK)предлагапълен набор отприложения, коитого правятлесен

заупотреба от различни разработчици. „Data Protection“ ена разположение зафайловеи

база данни, включителноNSFileManager, CoreData, NSDataиSQLite.

Keychain Data Protection

Много приложениятрябва дасесправятспароли и другикратки,

ночувствителниданни. IOS Keychainосигурявасигурен начинза съхранение на

тезиданни.



Keychain се прилагакато SQLiteбаза данни и се съхранява нафайловата

системасклас„No Protection“. Нейната сигурностсе осигурява отразличнa йерархияот

ключове, коятовърви успореднодо другатайерархия зазащита на файлове.

Keychain елементи могат дабъдат споделяни самомеждуприложенияот един и

същразработчик. Товасе управлява отприложения, които се използватза достъп

догрупис префикс,разпределеничрезDeveloper ProgramIOS.

Keychain данните са защитенис помощта накласовата структура, подобен натози,

използванв Data Protection. Тези класовеиматповедение, еквивалентно на класа Data

Protection, ноизползватразличниключовеи сачаст отприложения, коитоса

нареченипоразличенначин.

Събитие File Data Protection Keychain Data Protection

Когато не е заключен NSFileProtectionComplete kSecAttrAccessibleWhenUnl

ocked

Когато е заключен NSFileProtectionCompleteU

nlessOpen

N/A

След първо заключване NSFileProtectionCompleteU

ntilFirstUserAuthentication

kSecAttrAccessibleAfterFirst

Unlock

Винаги NSFileProtectionNone kSecAttrAccessibleAlways

Всеки Keychain клас притежава атрибут "This device only", който е

защитенсUID. Този атрибут защитава данните на телефона по време на архивиране или

копиране, което ги прави безполезни, акосевъзстановятс друго устройство.Apple

внимателно подбиратизборанаKeychain класове, коитозависятот виданаинформацията,

защитатаикога тазиинформация е необходимана операционната система.

Например,VPNсертификататрябвада бъде винагинаразположение, така че устройството

да поддържанепрекъсната връзка, но тя е класифициранакато "немигрираща",така

ченеможе дабъде преместенана друго устройство.За Keychain елементи

създадениотIOS, се прилагатследните клас защити:



Елементи Достъп

Wi-Fi парола След първо отключване

Mail акаунт След първо отключване

Exchange акаунт След първо отключване

VPN сертификат Винаги, „без миграция“

VPN парола След първо отключване

LDAP, CalDAV, CardDAV След първо отключване

iTunes backup При откючване, „без

миграция“

Voicemail Винаги

Safari парола При отключване

Bluetooth keys Винаги, „без миграция“

Apple Push Notification

Service Token

Винаги, „без миграция“

iCloud certificates and private

key


iMessage keys Винаги, „без миграция“

Certificates and private keys

installed by Configuration

Profile


SIM PIN Винаги, „без миграция“



Keybags

Ключовете за файлаиKeychain Data Protection classes се събират и управляват

в „keybags“. IOSизползваследните четири вида „keybags“: System, Backup, Escrow,

and iCloud Backup.

System keybagе мястото, къдетокласключовете, използванипри нормална

работана устройствотосе съхраняват.Например, когатопаролатае въведена,

ключътNSFileProtectionCompleteсе зареждаот системнияKeychain. Товае

двоичен„plist“файл, който сесъхранявавкласа„No Protection“. Съдържанието мусе

криптирас ключ„Effaceable Storage“. За да се поддържа „keybags“ сигурен във времето,

всеки път щом потребителя си промени паролата, ключа се изтрива и генерира отново.

Системата„keybag“еединственатаkeybag система, която сесъхранявана устройството.

„AppleKeyStore“ядротоуправлява системата„keybag“иможе да бъде извиканв

зависимост от състоянието(отключено/заключено) на устройството. Тя съобщава,

чеустройствотое отключено, само ако всичкиклас ключовев систематаса достъпни.

Кeybag backupсе създава, когатоITunes създаде криптиран бекъп на компютъра,

където устройството е създало своя бекъп . Новиятkeybagе създаден сновнабор от

ключове, архивиранитеданни секриптират отновос тезинови ключове. Немигриращите

елементи наKeychain-аостават„обвити“сполучения UIDключ, което им позволявада

бъдат възстановени наустройството, където първоначално са билиархивирани, но

правейки гинедостъпниза друго устройство.Keybagе защитен с парола, зададена

вiTunes,преминала през10000итерации наPBKDF2.Въпреки тозиголямбройитерации,

паролата не е обвързанакъм специфично устройство. Тази заплахаможе да бъде

намалена до минимумсдостатъчно силнапарола.Ако потребителят избереда

некриптирасвоябекъп, архивираните файловенеса криптирани, независимо от

защитата на класа Data Protection, но остават защитенисполучения UIDключ. Ето

защоKeychainелементимигрират къмново устройствосамо аконарезервното копиее

зададена парола.



Escrow keybagсе използва заiTunes синхронизиране иMobileDevice

Management(MDM). ТозиkeybagпозволяваiTunes да направи резервно копие и да се

синхронизира, без да се изисква от потребителя да въведепаролата отново, и това

позволява на MDMсървърадистанционно даизтриепаролатана потребителя. Тя се

съхраняванакомпютър, който е синхронизиран сiTunesилинаMDMсървър,

койтоуправляваустройството.Escrow keybagподобрипотребителския

опитповременасинхронизациянаустройството, която би могла даизисквадостъп

довсички класове. Когатоустройствозаключено с парола сесвърже за първи пътс iTunes,

потребителят е подканенда въведе парола. УстройствотосъздаваEscrowkeybagи го

предавакъм хоста. Escrowkeybagсъдържа същите клас-ключовекато тези на

устройството, защитени отновосъздаденияключ. Този ключе необходимза отключване

наkeybagEscrow, исе съхранявана устройствотов защитения класProtected Until First

User Authentication. Ето защопаролатана устройствототрябва да се въведе при първото

свързване с iTunes.

iCloud Backupkeybagе подобеннаBackupkeybag. Всичкиклас-ключове в

тозиkeybagсаасиметрични(с помощта наCurve25519, подобно на Protected Unless Open

Data Protection класа), така че iCloud backup може да се извършва на заден фон. За

всичкиData Protection класове, сизключениенаслучаите на класа No

Protection.Kриптираниte даннисе четатот устройството и се изпращат

доiCloud.Съответните клас-ключовеса защитениотiCloudключове. Keychain ключоветеса

„увити“сUIDполученияключпо същия начин,катонекриптираните данни от iTunes.

Интернет сигурност

В допълнение към мерките, които Apple предприема за защита наданните,

съхраняванина устройстватаIOS. Има много меркиза сигурност, които организациите

могат да предприемат зазапазване на информацията сигурна в интернет

пространството, тъй като пътува до и отIOS устройството.Потребителите трябва да

могатдаполучат достъп до корпоративнитеинформационни мрежиот всяко мястов

света, така чее важнодасе гарантира сигурността на техните данни по време на

предаването. IOSизползваи осигурявадостъпнаразработчицитедостандартни мрежови



протоколизаидентификация, оторизация и криптирана комуникация.

IOSпредоставяутвърдени технологии инай-новите стандартиза постигането на тезицели

по отношение на сигурността.На други платформи, firewallе необходим софтуерза

защита накомуникацията и предпазване от атаки. IOS не се нуждае от подобна защита,

защотопостигнанамаляваненаатаките,чрез ограничаваненапортовете и премахване

наненужникомунални услугинамрежата, катоTelnet,Shells, илиуеб сървър.Освен

това,комуникацията с програми като„iMessage“, „FaceTime“ и „Apple Push Notification

Server“е безопасна, защото изисква идентификация и е криптирана.

SSL,TLS

IOS поддържаSecure Socket Layer(SSLv3), както и

Transport Layer Security(TLSv1.1, TLS v1.2) и DTLS. Safari,

Calendar, електронната поща и други

приложенияавтоматично използват тези механизми,

задаосъществяткриптиран каналзакомуникациямежду

устройството имрежата. Приложенията на високо

равнище(като CFNetwork) улесняват разработчиците

даизползватTLSв технитеприложения, докато

приложенията на ниско ниво(SecureTransport)

осигуряватпрецизен контрол.

VPN

Защитените мрежови услугикатоVPN мрежиобикновено изискватминималнанастройка

и конфигурация, зада работис IOS устройства.

IOSустройства заработа сVPNсървъри, коитоподдържатследнитепротоколи

иметодизаудостоверяване:



• Juniper Networks, Cisco,ArubaNetworks,Sonicwall, Check Point, иF5NetworksSSL-VPN

използватприложение засъответнияклиентотApp Store.

• CiscoIPSec идентифицира потребителяс парола, RSA

SecurIDилиCryptocardидентификация от устройството чрез сертификати.

CiscoIPSecподдържаVPNOn Demandза домейни, коитоса

определениповременаконфигурацията на устройството.

• L2TP/IPSecс идентификация на потребителяотMS-CHAPv2 парола, RSA

SecurIDилиCryptocard.

• PPTPс идентификация на потребителяотMS-CHAPv2 парола

иRSASecurIDилиCryptocard.

Network SecurityIOS поддържаVPNOn Demandзамрежи, които

използватсертифицирано-базирано идентифициране. ИТ

политикипосочваткоиобластисе нуждаят отVPNвръзкас помощтанаконфигурационен

профил.

Wi-Fi

IOS поддържастандартнипротоколиWi-Fi, включително WPA2Enterprise, да

предоставят удостоверендостъп добезжичникорпоративни мрежи.

WPA2Enterpriseизползва128-битовоAESкриптиране,което дава на потребителитенай-

високото нивона увереност, четехните данниоставазащитени при изпращане и

получаваненасъобщения чрезWi-Fi мрежова връзка. С поддръжкана802.1X,

IOSустройстватамогат да бъдат интегриранив широка гама от среди. 802.1Xсеподдържа

отiPhoneиIPADвключително EAP-TLS, EAP-TTLS, EAP-FAST,EAP-SIM,PEAPv0, PEAPv1иLEAP.



Bluetooth

Bluetooth поддръжката вIOSепредназначена да осигуриполезна

функционалностбез да осигурява излишноувеличен достъп доличните данни.

IOSустройствата поддържат Encryption Mode 3, Security Mode 4 и Service Level 1.

IOSподдържа същоследните профилизаBluetooth:

• Hands-Free Profile (HFP 1.5)

• Phone BookAccessProfile (PBAP)

• Advanced AudioDistribution Profile (A2DP)

• Audio / VideoRemoteProfile Control(AVRCP)

• PersonalArea Network Profile(PAN)

• HumanInterfaceDeviceProfile(HID)

Поддръжкатанатези профиливарира в зависимост отустройството.

Всеки компонент на IOS платформата, от хардуер за криптиране на устройство за

достъп, предоставя организация, разполагаща с необходимите ресурси за изграждане

на корпоративен клас решения за сигурност. Общият обем на тези части осигурява на

IOS водещо място в тази индустрия, без да прави устройството трудно или тромаво за

използване.

Apple използва тази сигурна инфраструктура през IOS. Хардуерно базираното

криптиране осигурява възможности за незабавно отдалечено изтриване, когато

устройството е изгубено и гарантира, че потребителите могат да отстранят напълно

цялата корпоративна и лична информация, когато устройството е продадено или

прехвърлено на друг собственик.

Комбинацията от „code signing“, „sandboxing“ и„entitlements in apps“ осигурява

стабилна и сигурна защита срещу вируси, зловреден софтуер и други атаки, които

застрашават сигурността на платформата



Източници

1. https://developer.apple.com/library/ios/#documentation/Security/Conc

eptual/SecureCodingGuide/Introduction.html

2. http://bg-apple.com/images/content/store39/arxaninfographic.jpg

3. http://help.apple.com/iosdeployment-vpn/.

4. http://it-ebooks.info/

http://help.apple.com/iosdeployment-vpn/

Documents

безопастност и защита на Iphone мобилни комуникации