看了蘋果這份報告，我對 M1 芯片的價值有了新認知

蘋果在上周推出了新版的 “平臺安全指南”。這份指南中，蘋果全面講述了有關(guān) iOS14、iPadOS 14、macOS Big Sur、tvOS 14、watchOS 7 等平臺的最新安全特性。

蘋果在十年前首次推出了平臺安全指南，主要用來描述蘋果在安全方面的投入和做法，初期的安全指南只是一份很短的文件。隨著時間的累計，這份指南得到不斷的更新和豐富。而本次蘋果升級的 “安全指南”，是有史以來最大的一次更新。這次更新，蘋果為企業(yè)和開發(fā)者提供了非常詳細和全面的說明，幫助他們使用相關(guān)的技術(shù)和功能來保護用戶的設(shè)備和數(shù)據(jù)。

具體來說，本次更新內(nèi)容主要分為以下幾個主題：

• 硬件安全性和生物識別：構(gòu)成蘋果設(shè)備安全性根基的硬件包括安全隔區(qū)、專用 AES 加密引擎、觸控 ID 和面容 ID。

• 系統(tǒng)安全性：包括集成的硬件和軟件功能，針對蘋果設(shè)備操作系統(tǒng)的安全啟動、更新和持續(xù)運行而提供。

• 加密和數(shù)據(jù)保護：一種對用戶數(shù)據(jù)進行保護的架構(gòu)和設(shè)計。在設(shè)備丟失或被盜，或有未授權(quán)人員或進程嘗試使用或修改設(shè)備時，能夠保護設(shè)備上的用戶數(shù)據(jù)。

• App 安全性：提供安全的 App 生態(tài)系統(tǒng)并確保 App 安全運行且不破壞平臺完整性。

• 服務(wù)安全性：針對蘋果相關(guān)的軟件服務(wù)，主要用于身份認證、密碼管理、支付、通信以及查找丟失設(shè)備。

• 網(wǎng)絡(luò)安全性：針對傳輸中的數(shù)據(jù)提供安全認證和加密的行業(yè)標準聯(lián)網(wǎng)協(xié)議。

• 開發(fā)者套件：安全私密的家庭和健康管理框架，以及蘋果設(shè)備和第三方 App 服務(wù)功能的擴展框架。

• 安全設(shè)備管理：允許對蘋果設(shè)備進行管理、防止未經(jīng)授權(quán)的使用以及在設(shè)備丟失或被盜時啟用遠程擦除的方法。

• 安全和隱私認證：ISO 認證、加密驗證、通用標準認證和涉密項目商業(yè)解決方案 (CSfC) 計劃的信息。

而目前，IT之家從蘋果處了解到了關(guān)于此次平臺安全指南重要更新的背景和一些重點信息。

在很多網(wǎng)友的印象中，蘋果很少會與外界就平臺安全方面的問題做系統(tǒng)性的分享。而隨著 M1 芯片在 Mac 平臺上的使用，蘋果已經(jīng)能夠在旗下幾乎所有設(shè)備中都采用自主研發(fā)的芯片，隨之在安全策略方面也有所變動，因此眼下正是外界了解蘋果平臺安全策略的良好契機。

安全，從芯片層級做起

在介紹中，蘋果首先以 iPhone 的安全策略為例來講解自身的安全理念。在 iPhone 上，蘋果的思考是，怎樣從最基礎(chǔ)、最根本的層級來重新建構(gòu)安全體系，然后，他們的結(jié)論是，從芯片的層面開始做起。

具體來說，蘋果給自己設(shè)定了幾個目標：

第一個是要讓設(shè)備擁有一種內(nèi)置的強大安全防護能力，默認情況下就可以時刻保護終端的安全。

第二個是終端必須擁有廣泛的使用基數(shù)，這樣安全的樣本才有意義。而目前蘋果擁有 10 億部 iPhone 的使用基數(shù)，這顯然已經(jīng)不是問題。

至于打造安全能力的理念，蘋果表示，所有的設(shè)計都是要以用戶為核心。為此，蘋果特別以 Touch ID 指紋識別這個功能為例，做了詳細介紹。

在早年的 iPhone 中，蘋果打造的是靜態(tài)的數(shù)據(jù)保護系統(tǒng)，這個系統(tǒng)已經(jīng)非常先進，涉及到非常多層級的保護，比如可以讓設(shè)備在上鎖的情況下去下載和加密數(shù)據(jù)。但是蘋果后來發(fā)現(xiàn)，雖然他們在數(shù)據(jù)保護方面做了很大投入，但仍然有大量的用戶并沒有得到保護。因為這些用戶經(jīng)常需要對設(shè)備進行解鎖，久而久之就會覺得設(shè)置密碼太麻煩了，所以很多用戶，特別是一些企業(yè)用戶就會主動放棄設(shè)置密碼。

了解到這個現(xiàn)象，蘋果就思考如何找到更好的方法來處理這個問題，后來，我們就看到蘋果在 iPhone 5s 這代產(chǎn)品上推出了 Touch ID。由此可見，強大的安全性和出色的便捷性并非魚和熊掌不可兼得。

而關(guān)于 Touch ID，它的安全保障其實需要非常多的投入，因為生物特征識別需要眾多關(guān)鍵因素到位，包括精準的傳感器、強大的數(shù)據(jù)保護架構(gòu)、以及支持這些技術(shù)的芯片，同時還要有軟件讓這一系列功能可以運行，做法非常復雜。無論是 Touch ID 還是 Face ID，都是要通過硬件、軟件和服務(wù)進行深層級的集成，才有辦法實現(xiàn)出色的安全效果。

蘋果做到的關(guān)鍵，是因為他們從最基礎(chǔ)的芯片層級一路向上打造。因此我們看到，自研芯片（Apple Silicon）正在成為蘋果越來越重要的關(guān)鍵詞，因為這不僅僅可以為蘋果帶來更統(tǒng)一、更自主的硬件生態(tài)和強大的性能，更能帶來更完整的安全防護體系，從這一點看，Apple Silicon 的意義十分重大。

通常，芯片在設(shè)備里被叫做 SoC，SoC 通常會包含眾多獨立的元件，而蘋果自研 SoC 里有非常多的元件是和安全有關(guān)的，包括很多定制的 SoC 或者子系統(tǒng)。

蘋果稱，正是因為需要從這樣基礎(chǔ)的層級就開始著手安全性設(shè)計，所以他們在推出一個設(shè)備之前好幾年，就要開始做安全相關(guān)的規(guī)劃。

利用 SoC 中眾多服務(wù)于安全的子元件，蘋果就可以讓他們執(zhí)行非常多的關(guān)鍵操作，執(zhí)行這些操作時，會和 SoC 中的主要 CPU 區(qū)隔開來，避免任何危害操作系統(tǒng)的行為影響到整個子系統(tǒng)的安全功能。

其中最重要的部件要數(shù)安全隔區(qū)了。安全隔區(qū)就是一個獨立于主處理器外的安全協(xié)處理器，其中包括基于硬件的密鑰管理器，還可以保護和存儲來自用戶的生物識別數(shù)據(jù)，從而提供額外的安全性保護。

事實上，從 iPhone 5s 開始的 Touch ID 擁有很強的安全性，很大程度上就是得益于安全隔區(qū)功能。

除了這些，在蘋果芯片中還有很多其他的安全元件。

例如為為安全隔區(qū)建立硬件信任根的 Boot ROM，同時，每臺搭載安全隔區(qū)的蘋果設(shè)備都具有專用的 AES-256 加密引擎，內(nèi)置于閃存與主系統(tǒng)內(nèi)存之間的 DMA 路徑中，可以實現(xiàn)高效的文件加密。

這些元件都可以實現(xiàn)很多關(guān)鍵的安全功能，比如安全開機、安全啟動，還有對設(shè)備上的用戶數(shù)據(jù)的加密，以及保護設(shè)備密碼的元件、系統(tǒng)完整性保護的措施等等。

M1芯片是這樣讓Mac更加安全的

上述種種，都是自研芯片帶來的安全性優(yōu)勢。說到這里，我們不得不圍繞蘋果全新的 M1 芯片來講解一下他在安全性方面有何不同。這也是蘋果這次平臺安全指南更新的重要內(nèi)容。

簡單來說，有了 M1 芯片之后，蘋果就可以將之前從芯片層級打造安全特性的的方式帶到 Mac 平臺上，這對于 Mac 平臺的安全來說是非常大的進步。

在過去，蘋果一直以來針對 Mac 平臺安全性所做的方法基本是 “添加”。具體來說就是通過引入額外的 T2 芯片來支撐安全特性。但是我們知道，macOS 不是在 T2 芯片上運行的，所以就無法將芯片級別的安全防護帶到 Mac 設(shè)備上。

不過有了 M1 之后，蘋果就可以為 macOS 也帶來最好的防護，例如通過數(shù)據(jù)保護的功能實現(xiàn)靜態(tài)的檔案加密，還有基于 CPU 系統(tǒng)的全面的安全防護。

再進一步說，在 M1 Mac 上，“數(shù)據(jù)保護”功能可以提供檔案層級做加密的技術(shù)，在 M1 系統(tǒng)中的 FireWire 就是用數(shù)據(jù)保護的方式來實施的。此外，macOS 一直以來都是使用基于軟件的系統(tǒng)完整性保護，而 M1 則可以推動 Mac 實現(xiàn)基于 CPU 的執(zhí)行時間反漏洞利用技術(shù)，提供新的安全保護。這樣的安全保護是深入建構(gòu)在芯片底層架構(gòu)上的。

M1 Mac，包括最新 iPhone 中的 A14 處理器，都包含第二代安全存儲元件。這個元件是特別設(shè)計用以保護用戶在設(shè)備中密碼的，也可以保護所有通過這個密碼來加密的信息，包括生物識別相關(guān)的信息。這個元件的加入，可以強化本來就已經(jīng)非常堅強的密碼保護體系，讓惡意軟件無法猜測密碼，或者當遇到暴力攻擊時，也可以通過這個元件進行保護。

蘋果正在打造的安全生態(tài)體系

上面這些措施以外，蘋果也在努力打造堅固的安全生態(tài)系統(tǒng)。通過這樣的生態(tài)系統(tǒng)，蘋果可以更好地保護用戶設(shè)備的安全，并且適應(yīng)外部環(huán)境中持續(xù)變化的威脅因素。

比如說，蘋果最新的安全措施和防護技術(shù)也需要通過第三方應(yīng)用軟件更新支持到設(shè)備上，如果用戶不安裝這些更新，那么一切也就都是空談。因此，蘋果最開始就積極和應(yīng)用提供商合作，共同將軟件更新以更快的速度提供給用戶。

此外，業(yè)界對于安全問題一直都有賞金計劃，來獎勵對企業(yè)產(chǎn)品安全防護方面作出貢獻的獨立安全專家和研究人員。蘋果表示，雖然他們不是第一個參與這種賞金制度的公司，但一直有提供優(yōu)渥的酬勞來吸引安全專家來參與蘋果的計劃。比如說蘋果就有自己的 Security Bounty Program，其獎金可以高達百萬美元。

這樣的計劃可以協(xié)助蘋果建立非常強健的安全網(wǎng)絡(luò)，這個網(wǎng)絡(luò)里，所有相關(guān)的人彼此協(xié)作，可以非常快速地找到軟件當中的問題，甚至也可以診斷到蘋果內(nèi)部 IP 系統(tǒng)相關(guān)的弱點。

最后，蘋果還重點講到了《iMessage》，也就是《信息》應(yīng)用。去年 12 月，蘋果就已經(jīng)揭露《信息》應(yīng)用新的安全防護方式，而在這次平臺安全指南更新中，這個安全防護方式得到了更詳細的介紹。

具體來說，這個新的防護就是 BlastDoor。BlastDoor 是一個全新的系統(tǒng)，這個系統(tǒng)可以針對《信息》應(yīng)用的流量進行隔離，而且可以分析和追蹤流量，進而防堵危險。

《信息》應(yīng)用在架構(gòu)上做了全新設(shè)計，可以將新進來的短信流量進行隔離，現(xiàn)在隔離的區(qū)域由 BlastDoor 進行分析、追蹤等操作，BlastDoor 會將其和其他短信以及整個操作系統(tǒng)進行分離，然后進行轉(zhuǎn)碼等操作，這一切都是在 swift 上進行的，可以保證安全。

其實《信息》應(yīng)用在一推出的時候就已經(jīng)有端到端的加密，一路發(fā)展過來，這次 BlastDoor 是其誕生以來最大的安全提升。同時蘋果表示，設(shè)備只要更新到 iOS14、 iPadOS 14 或者 macOS Bigsur 的，都可以享受到 BlastDoor 帶來的保護。

總體來說，蘋果在這份全新的平臺安全指南中描述了過去不曾披露過的眾多安全策略和思路，同時我們看到，蘋果對于自身安全體系的建設(shè)也正變得越來越開放，這無論是對于消費者，還是對于整個網(wǎng)絡(luò)、硬件安全領(lǐng)域來說，都是好事。而IT之家認為，這背后的一個重要推動因素就是 M1 芯片的產(chǎn)生，它意味著蘋果自研芯片（Apple Silicon）已經(jīng)可以覆蓋自家絕大多數(shù)產(chǎn)品設(shè)備，在芯片底層上的統(tǒng)一對于蘋果整個安全體系的建設(shè)是一個巨大的促進作用，這也是蘋果努力推進自研芯片的動力之一。

查看蘋果全新平臺安全指南：點此前往

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。