看了蘋果這份報(bào)告，我對(duì) M1 芯片的價(jià)值有了新認(rèn)知

蘋果在上周推出了新版的 “平臺(tái)安全指南”。這份指南中，蘋果全面講述了有關(guān) iOS14、iPadOS 14、macOS Big Sur、tvOS 14、watchOS 7 等平臺(tái)的最新安全特性。

蘋果在十年前首次推出了平臺(tái)安全指南，主要用來(lái)描述蘋果在安全方面的投入和做法，初期的安全指南只是一份很短的文件。隨著時(shí)間的累計(jì)，這份指南得到不斷的更新和豐富。而本次蘋果升級(jí)的 “安全指南”，是有史以來(lái)最大的一次更新。這次更新，蘋果為企業(yè)和開(kāi)發(fā)者提供了非常詳細(xì)和全面的說(shuō)明，幫助他們使用相關(guān)的技術(shù)和功能來(lái)保護(hù)用戶的設(shè)備和數(shù)據(jù)。

具體來(lái)說(shuō)，本次更新內(nèi)容主要分為以下幾個(gè)主題：

• 硬件安全性和生物識(shí)別：構(gòu)成蘋果設(shè)備安全性根基的硬件包括安全隔區(qū)、專用 AES 加密引擎、觸控 ID 和面容 ID。

• 系統(tǒng)安全性：包括集成的硬件和軟件功能，針對(duì)蘋果設(shè)備操作系統(tǒng)的安全啟動(dòng)、更新和持續(xù)運(yùn)行而提供。

• 加密和數(shù)據(jù)保護(hù)：一種對(duì)用戶數(shù)據(jù)進(jìn)行保護(hù)的架構(gòu)和設(shè)計(jì)。在設(shè)備丟失或被盜，或有未授權(quán)人員或進(jìn)程嘗試使用或修改設(shè)備時(shí)，能夠保護(hù)設(shè)備上的用戶數(shù)據(jù)。

• App 安全性：提供安全的 App 生態(tài)系統(tǒng)并確保 App 安全運(yùn)行且不破壞平臺(tái)完整性。

• 服務(wù)安全性：針對(duì)蘋果相關(guān)的軟件服務(wù)，主要用于身份認(rèn)證、密碼管理、支付、通信以及查找丟失設(shè)備。

• 網(wǎng)絡(luò)安全性：針對(duì)傳輸中的數(shù)據(jù)提供安全認(rèn)證和加密的行業(yè)標(biāo)準(zhǔn)聯(lián)網(wǎng)協(xié)議。

• 開(kāi)發(fā)者套件：安全私密的家庭和健康管理框架，以及蘋果設(shè)備和第三方 App 服務(wù)功能的擴(kuò)展框架。

• 安全設(shè)備管理：允許對(duì)蘋果設(shè)備進(jìn)行管理、防止未經(jīng)授權(quán)的使用以及在設(shè)備丟失或被盜時(shí)啟用遠(yuǎn)程擦除的方法。

• 安全和隱私認(rèn)證：ISO 認(rèn)證、加密驗(yàn)證、通用標(biāo)準(zhǔn)認(rèn)證和涉密項(xiàng)目商業(yè)解決方案 (CSfC) 計(jì)劃的信息。

而目前，IT之家從蘋果處了解到了關(guān)于此次平臺(tái)安全指南重要更新的背景和一些重點(diǎn)信息。

在很多網(wǎng)友的印象中，蘋果很少會(huì)與外界就平臺(tái)安全方面的問(wèn)題做系統(tǒng)性的分享。而隨著 M1 芯片在 Mac 平臺(tái)上的使用，蘋果已經(jīng)能夠在旗下幾乎所有設(shè)備中都采用自主研發(fā)的芯片，隨之在安全策略方面也有所變動(dòng)，因此眼下正是外界了解蘋果平臺(tái)安全策略的良好契機(jī)。

安全，從芯片層級(jí)做起

在介紹中，蘋果首先以 iPhone 的安全策略為例來(lái)講解自身的安全理念。在 iPhone 上，蘋果的思考是，怎樣從最基礎(chǔ)、最根本的層級(jí)來(lái)重新建構(gòu)安全體系，然后，他們的結(jié)論是，從芯片的層面開(kāi)始做起。

具體來(lái)說(shuō)，蘋果給自己設(shè)定了幾個(gè)目標(biāo)：

第一個(gè)是要讓設(shè)備擁有一種內(nèi)置的強(qiáng)大安全防護(hù)能力，默認(rèn)情況下就可以時(shí)刻保護(hù)終端的安全。

第二個(gè)是終端必須擁有廣泛的使用基數(shù)，這樣安全的樣本才有意義。而目前蘋果擁有 10 億部 iPhone 的使用基數(shù)，這顯然已經(jīng)不是問(wèn)題。

至于打造安全能力的理念，蘋果表示，所有的設(shè)計(jì)都是要以用戶為核心。為此，蘋果特別以 Touch ID 指紋識(shí)別這個(gè)功能為例，做了詳細(xì)介紹。

在早年的 iPhone 中，蘋果打造的是靜態(tài)的數(shù)據(jù)保護(hù)系統(tǒng)，這個(gè)系統(tǒng)已經(jīng)非常先進(jìn)，涉及到非常多層級(jí)的保護(hù)，比如可以讓設(shè)備在上鎖的情況下去下載和加密數(shù)據(jù)。但是蘋果后來(lái)發(fā)現(xiàn)，雖然他們?cè)跀?shù)據(jù)保護(hù)方面做了很大投入，但仍然有大量的用戶并沒(méi)有得到保護(hù)。因?yàn)檫@些用戶經(jīng)常需要對(duì)設(shè)備進(jìn)行解鎖，久而久之就會(huì)覺(jué)得設(shè)置密碼太麻煩了，所以很多用戶，特別是一些企業(yè)用戶就會(huì)主動(dòng)放棄設(shè)置密碼。

了解到這個(gè)現(xiàn)象，蘋果就思考如何找到更好的方法來(lái)處理這個(gè)問(wèn)題，后來(lái)，我們就看到蘋果在 iPhone 5s 這代產(chǎn)品上推出了 Touch ID。由此可見(jiàn)，強(qiáng)大的安全性和出色的便捷性并非魚和熊掌不可兼得。

而關(guān)于 Touch ID，它的安全保障其實(shí)需要非常多的投入，因?yàn)樯锾卣髯R(shí)別需要眾多關(guān)鍵因素到位，包括精準(zhǔn)的傳感器、強(qiáng)大的數(shù)據(jù)保護(hù)架構(gòu)、以及支持這些技術(shù)的芯片，同時(shí)還要有軟件讓這一系列功能可以運(yùn)行，做法非常復(fù)雜。無(wú)論是 Touch ID 還是 Face ID，都是要通過(guò)硬件、軟件和服務(wù)進(jìn)行深層級(jí)的集成，才有辦法實(shí)現(xiàn)出色的安全效果。

蘋果做到的關(guān)鍵，是因?yàn)樗麄儚淖罨A(chǔ)的芯片層級(jí)一路向上打造。因此我們看到，自研芯片（Apple Silicon）正在成為蘋果越來(lái)越重要的關(guān)鍵詞，因?yàn)檫@不僅僅可以為蘋果帶來(lái)更統(tǒng)一、更自主的硬件生態(tài)和強(qiáng)大的性能，更能帶來(lái)更完整的安全防護(hù)體系，從這一點(diǎn)看，Apple Silicon 的意義十分重大。

通常，芯片在設(shè)備里被叫做 SoC，SoC 通常會(huì)包含眾多獨(dú)立的元件，而蘋果自研 SoC 里有非常多的元件是和安全有關(guān)的，包括很多定制的 SoC 或者子系統(tǒng)。

蘋果稱，正是因?yàn)樾枰獜倪@樣基礎(chǔ)的層級(jí)就開(kāi)始著手安全性設(shè)計(jì)，所以他們?cè)谕瞥鲆粋€(gè)設(shè)備之前好幾年，就要開(kāi)始做安全相關(guān)的規(guī)劃。

利用 SoC 中眾多服務(wù)于安全的子元件，蘋果就可以讓他們執(zhí)行非常多的關(guān)鍵操作，執(zhí)行這些操作時(shí)，會(huì)和 SoC 中的主要 CPU 區(qū)隔開(kāi)來(lái)，避免任何危害操作系統(tǒng)的行為影響到整個(gè)子系統(tǒng)的安全功能。

其中最重要的部件要數(shù)安全隔區(qū)了。安全隔區(qū)就是一個(gè)獨(dú)立于主處理器外的安全協(xié)處理器，其中包括基于硬件的密鑰管理器，還可以保護(hù)和存儲(chǔ)來(lái)自用戶的生物識(shí)別數(shù)據(jù)，從而提供額外的安全性保護(hù)。

事實(shí)上，從 iPhone 5s 開(kāi)始的 Touch ID 擁有很強(qiáng)的安全性，很大程度上就是得益于安全隔區(qū)功能。

除了這些，在蘋果芯片中還有很多其他的安全元件。

例如為為安全隔區(qū)建立硬件信任根的 Boot ROM，同時(shí)，每臺(tái)搭載安全隔區(qū)的蘋果設(shè)備都具有專用的 AES-256 加密引擎，內(nèi)置于閃存與主系統(tǒng)內(nèi)存之間的 DMA 路徑中，可以實(shí)現(xiàn)高效的文件加密。

這些元件都可以實(shí)現(xiàn)很多關(guān)鍵的安全功能，比如安全開(kāi)機(jī)、安全啟動(dòng)，還有對(duì)設(shè)備上的用戶數(shù)據(jù)的加密，以及保護(hù)設(shè)備密碼的元件、系統(tǒng)完整性保護(hù)的措施等等。

M1芯片是這樣讓Mac更加安全的

上述種種，都是自研芯片帶來(lái)的安全性優(yōu)勢(shì)。說(shuō)到這里，我們不得不圍繞蘋果全新的 M1 芯片來(lái)講解一下他在安全性方面有何不同。這也是蘋果這次平臺(tái)安全指南更新的重要內(nèi)容。

簡(jiǎn)單來(lái)說(shuō)，有了 M1 芯片之后，蘋果就可以將之前從芯片層級(jí)打造安全特性的的方式帶到 Mac 平臺(tái)上，這對(duì)于 Mac 平臺(tái)的安全來(lái)說(shuō)是非常大的進(jìn)步。

在過(guò)去，蘋果一直以來(lái)針對(duì) Mac 平臺(tái)安全性所做的方法基本是 “添加”。具體來(lái)說(shuō)就是通過(guò)引入額外的 T2 芯片來(lái)支撐安全特性。但是我們知道，macOS 不是在 T2 芯片上運(yùn)行的，所以就無(wú)法將芯片級(jí)別的安全防護(hù)帶到 Mac 設(shè)備上。

不過(guò)有了 M1 之后，蘋果就可以為 macOS 也帶來(lái)最好的防護(hù)，例如通過(guò)數(shù)據(jù)保護(hù)的功能實(shí)現(xiàn)靜態(tài)的檔案加密，還有基于 CPU 系統(tǒng)的全面的安全防護(hù)。

再進(jìn)一步說(shuō)，在 M1 Mac 上，“數(shù)據(jù)保護(hù)”功能可以提供檔案層級(jí)做加密的技術(shù)，在 M1 系統(tǒng)中的 FireWire 就是用數(shù)據(jù)保護(hù)的方式來(lái)實(shí)施的。此外，macOS 一直以來(lái)都是使用基于軟件的系統(tǒng)完整性保護(hù)，而 M1 則可以推動(dòng) Mac 實(shí)現(xiàn)基于 CPU 的執(zhí)行時(shí)間反漏洞利用技術(shù)，提供新的安全保護(hù)。這樣的安全保護(hù)是深入建構(gòu)在芯片底層架構(gòu)上的。

M1 Mac，包括最新 iPhone 中的 A14 處理器，都包含第二代安全存儲(chǔ)元件。這個(gè)元件是特別設(shè)計(jì)用以保護(hù)用戶在設(shè)備中密碼的，也可以保護(hù)所有通過(guò)這個(gè)密碼來(lái)加密的信息，包括生物識(shí)別相關(guān)的信息。這個(gè)元件的加入，可以強(qiáng)化本來(lái)就已經(jīng)非常堅(jiān)強(qiáng)的密碼保護(hù)體系，讓惡意軟件無(wú)法猜測(cè)密碼，或者當(dāng)遇到暴力攻擊時(shí)，也可以通過(guò)這個(gè)元件進(jìn)行保護(hù)。

蘋果正在打造的安全生態(tài)體系

上面這些措施以外，蘋果也在努力打造堅(jiān)固的安全生態(tài)系統(tǒng)。通過(guò)這樣的生態(tài)系統(tǒng)，蘋果可以更好地保護(hù)用戶設(shè)備的安全，并且適應(yīng)外部環(huán)境中持續(xù)變化的威脅因素。

比如說(shuō)，蘋果最新的安全措施和防護(hù)技術(shù)也需要通過(guò)第三方應(yīng)用軟件更新支持到設(shè)備上，如果用戶不安裝這些更新，那么一切也就都是空談。因此，蘋果最開(kāi)始就積極和應(yīng)用提供商合作，共同將軟件更新以更快的速度提供給用戶。

此外，業(yè)界對(duì)于安全問(wèn)題一直都有賞金計(jì)劃，來(lái)獎(jiǎng)勵(lì)對(duì)企業(yè)產(chǎn)品安全防護(hù)方面作出貢獻(xiàn)的獨(dú)立安全專家和研究人員。蘋果表示，雖然他們不是第一個(gè)參與這種賞金制度的公司，但一直有提供優(yōu)渥的酬勞來(lái)吸引安全專家來(lái)參與蘋果的計(jì)劃。比如說(shuō)蘋果就有自己的 Security Bounty Program，其獎(jiǎng)金可以高達(dá)百萬(wàn)美元。

這樣的計(jì)劃可以協(xié)助蘋果建立非常強(qiáng)健的安全網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)里，所有相關(guān)的人彼此協(xié)作，可以非常快速地找到軟件當(dāng)中的問(wèn)題，甚至也可以診斷到蘋果內(nèi)部 IP 系統(tǒng)相關(guān)的弱點(diǎn)。

最后，蘋果還重點(diǎn)講到了《iMessage》，也就是《信息》應(yīng)用。去年 12 月，蘋果就已經(jīng)揭露《信息》應(yīng)用新的安全防護(hù)方式，而在這次平臺(tái)安全指南更新中，這個(gè)安全防護(hù)方式得到了更詳細(xì)的介紹。

具體來(lái)說(shuō)，這個(gè)新的防護(hù)就是 BlastDoor。BlastDoor 是一個(gè)全新的系統(tǒng)，這個(gè)系統(tǒng)可以針對(duì)《信息》應(yīng)用的流量進(jìn)行隔離，而且可以分析和追蹤流量，進(jìn)而防堵危險(xiǎn)。

《信息》應(yīng)用在架構(gòu)上做了全新設(shè)計(jì)，可以將新進(jìn)來(lái)的短信流量進(jìn)行隔離，現(xiàn)在隔離的區(qū)域由 BlastDoor 進(jìn)行分析、追蹤等操作，BlastDoor 會(huì)將其和其他短信以及整個(gè)操作系統(tǒng)進(jìn)行分離，然后進(jìn)行轉(zhuǎn)碼等操作，這一切都是在 swift 上進(jìn)行的，可以保證安全。

其實(shí)《信息》應(yīng)用在一推出的時(shí)候就已經(jīng)有端到端的加密，一路發(fā)展過(guò)來(lái)，這次 BlastDoor 是其誕生以來(lái)最大的安全提升。同時(shí)蘋果表示，設(shè)備只要更新到 iOS14、 iPadOS 14 或者 macOS Bigsur 的，都可以享受到 BlastDoor 帶來(lái)的保護(hù)。

總體來(lái)說(shuō)，蘋果在這份全新的平臺(tái)安全指南中描述了過(guò)去不曾披露過(guò)的眾多安全策略和思路，同時(shí)我們看到，蘋果對(duì)于自身安全體系的建設(shè)也正變得越來(lái)越開(kāi)放，這無(wú)論是對(duì)于消費(fèi)者，還是對(duì)于整個(gè)網(wǎng)絡(luò)、硬件安全領(lǐng)域來(lái)說(shuō)，都是好事。而IT之家認(rèn)為，這背后的一個(gè)重要推動(dòng)因素就是 M1 芯片的產(chǎn)生，它意味著蘋果自研芯片（Apple Silicon）已經(jīng)可以覆蓋自家絕大多數(shù)產(chǎn)品設(shè)備，在芯片底層上的統(tǒng)一對(duì)于蘋果整個(gè)安全體系的建設(shè)是一個(gè)巨大的促進(jìn)作用，這也是蘋果努力推進(jìn)自研芯片的動(dòng)力之一。

查看蘋果全新平臺(tái)安全指南：點(diǎn)此前往

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。