蘋果在上周推出了新版的 “平台安全指南”。這份指南中，蘋果全面講述了有關 iOS14、iPadOS 14、MacOS Big Sur、tvOS 14、watchOS 7 等平台的最新安全特性。

蘋果在十年前首次推出了平台安全指南，主要用來描述蘋果在安全方面的投入和做法，初期的安全指南隻是一份很短的文件。随着時間的累計，這份指南得到不斷的更新和豐富。而本次蘋果升級的 “安全指南”，是有史以來最大的一次更新。這次更新，蘋果為企業和開發者提供了非常詳細和全面的說明，幫助他們使用相關的技術和功能來保護用戶的設備和數據。

具體來說，本次更新内容主要分為以下幾個主題：

• 硬件安全性和生物識别：構成蘋果設備安全性根基的硬件包括安全隔區、專用 AES 加密引擎、觸控 ID 和面容 ID。

• 系統安全性：包括集成的硬件和軟件功能，針對蘋果設備操作系統的安全啟動、更新和持續運行而提供。

• 加密和數據保護：一種對用戶數據進行保護的架構和設計。在設備丢失或被盜，或有未授權人員或進程嘗試使用或修改設備時，能夠保護設備上的用戶數據。

• App 安全性：提供安全的 App 生态系統并确保 App 安全運行且不破壞平台完整性。

• 服務安全性：針對蘋果相關的軟件服務，主要用于身份認證、密碼管理、支付、通信以及查找丢失設備。

• 網絡安全性：針對傳輸中的數據提供安全認證和加密的行業标準聯網協議。

• 開發者套件：安全私密的家庭和健康管理框架，以及蘋果設備和第三方 App 服務功能的擴展框架。

• 安全設備管理：允許對蘋果設備進行管理、防止未經授權的使用以及在設備丢失或被盜時啟用遠程擦除的方法。

• 安全和隐私認證：ISO 認證、加密驗證、通用标準認證和涉密項目商業解決方案 (CSfC) 計劃的信息。

而目前，IT之家從蘋果處了解到了關于此次平台安全指南重要更新的背景和一些重點信息。

在很多網友的印象中，蘋果很少會與外界就平台安全方面的問題做系統性的分享。而随着 M1 芯片在 Mac 平台上的使用，蘋果已經能夠在旗下幾乎所有設備中都采用自主研發的芯片，随之在安全策略方面也有所變動，因此眼下正是外界了解蘋果平台安全策略的良好契機。

安全，從芯片層級做起

在介紹中，蘋果首先以 iPhone 的安全策略為例來講解自身的安全理念。在 iPhone 上，蘋果的思考是，怎樣從最基礎、最根本的層級來重新建構安全體系，然後，他們的結論是，從芯片的層面開始做起。

具體來說，蘋果給自己設定了幾個目标：

第一個是要讓設備擁有一種内置的強大安全防護能力，默認情況下就可以時刻保護終端的安全。

第二個是終端必須擁有廣泛的使用基數，這樣安全的樣本才有意義。而目前蘋果擁有 10 億部 iPhone 的使用基數，這顯然已經不是問題。

至于打造安全能力的理念，蘋果表示，所有的設計都是要以用戶為核心。為此，蘋果特别以 Touch ID 指紋識别這個功能為例，做了詳細介紹。

在早年的 iPhone 中，蘋果打造的是靜态的數據保護系統，這個系統已經非常先進，涉及到非常多層級的保護，比如可以讓設備在上鎖的情況下去下載和加密數據。但是蘋果後來發現，雖然他們在數據保護方面做了很大投入，但仍然有大量的用戶并沒有得到保護。因為這些用戶經常需要對設備進行解鎖，久而久之就會覺得設置密碼太麻煩了，所以很多用戶，特别是一些企業用戶就會主動放棄設置密碼。

了解到這個現象，蘋果就思考如何找到更好的方法來處理這個問題，後來，我們就看到蘋果在 iPhone 5s 這代産品上推出了 Touch ID。由此可見，強大的安全性和出色的便捷性并非魚和熊掌不可兼得。

而關于 Touch ID，它的安全保障其實需要非常多的投入，因為生物特征識别需要衆多關鍵因素到位，包括精準的傳感器、強大的數據保護架構、以及支持這些技術的芯片，同時還要有軟件讓這一系列功能可以運行，做法非常複雜。無論是 Touch ID 還是 Face ID，都是要通過硬件、軟件和服務進行深層級的集成，才有辦法實現出色的安全效果。

蘋果做到的關鍵，是因為他們從最基礎的芯片層級一路向上打造。因此我們看到，自研芯片（Apple Sillcon）正在成為蘋果越來越重要的關鍵詞，因為這不僅僅可以為蘋果帶來更統一、更自主的硬件生态和強大的性能，更能帶來更完整的安全防護體系，從這一點看，Apple Sillcon 的意義十分重大。

通常，芯片在設備裡被叫做 SoC，SoC 通常會包含衆多獨立的元件，而蘋果自研 SoC 裡有非常多的元件是和安全有關的，包括很多定制的 SoC 或者子系統。

蘋果稱，正是因為需要從這樣基礎的層級就開始着手安全性設計，所以他們在推出一個設備之前好幾年，就要開始做安全相關的規劃。

利用 SoC 中衆多服務于安全的子元件，蘋果就可以讓他們執行非常多的關鍵操作，執行這些操作時，會和 SoC 中的主要 CPU 區隔開來，避免任何危害操作系統的行為影響到整個子系統的安全功能。

其中最重要的部件要數安全隔區了。安全隔區就是一個獨立于主處理器外的安全協處理器，其中包括基于硬件的密鑰管理器，還可以保護和存儲來自用戶的生物識别數據，從而提供額外的安全性保護。

事實上，從 iPhone 5s 開始的 Touch ID 擁有很強的安全性，很大程度上就是得益于安全隔區功能。

除了這些，在蘋果芯片中還有很多其他的安全元件。

例如為為安全隔區建立硬件信任根的 Boot ROM，同時，每台搭載安全隔區的蘋果設備都具有專用的 AES-256 加密引擎，内置于閃存與主系統内存之間的 DMA 路徑中，可以實現高效的文件加密。

這些元件都可以實現很多關鍵的安全功能，比如安全開機、安全啟動，還有對設備上的用戶數據的加密，以及保護設備密碼的元件、系統完整性保護的措施等等。

M1芯片是這樣讓Mac更加安全的

上述種種，都是自研芯片帶來的安全性優勢。說到這裡，我們不得不圍繞蘋果全新的 M1 芯片來講解一下他在安全性方面有何不同。這也是蘋果這次平台安全指南更新的重要内容。

簡單來說，有了 M1 芯片之後，蘋果就可以将之前從芯片層級打造安全特性的的方式帶到 Mac 平台上，這對于 Mac 平台的安全來說是非常大的進步。

在過去，蘋果一直以來針對 Mac 平台安全性所做的方法基本是 “添加”。具體來說就是通過引入額外的 T2 芯片來支撐安全特性。但是我們知道，macOS 不是在 T2 芯片上運行的，所以就無法将芯片級别的安全防護帶到 Mac 設備上。

不過有了 M1 之後，蘋果就可以為 macOS 也帶來最好的防護，例如通過數據保護的功能實現靜态的檔案加密，還有基于 CPU 系統的全面的安全防護。

再進一步說，在 M1 Mac 上，“數據保護”功能可以提供檔案層級做加密的技術，在 M1 系統中的 FireWire 就是用數據保護的方式來實施的。此外，macOS 一直以來都是使用基于軟件的系統完整性保護，而 M1 則可以推動 Mac 實現基于 CPU 的執行時間反漏洞利用技術，提供新的安全保護。這樣的安全保護是深入建構在芯片底層架構上的。

M1 Mac，包括最新 iPhone 中的 A14 處理器，都包含第二代安全存儲元件。這個元件是特别設計用以保護用戶在設備中密碼的，也可以保護所有通過這個密碼來加密的信息，包括生物識别相關的信息。這個元件的加入，可以強化本來就已經非常堅強的密碼保護體系，讓惡意軟件無法猜測密碼，或者當遇到暴力攻擊時，也可以通過這個元件進行保護。

蘋果正在打造的安全生态體系

上面這些措施以外，蘋果也在努力打造堅固的安全生态系統。通過這樣的生态系統，蘋果可以更好地保護用戶設備的安全，并且适應外部環境中持續變化的威脅因素。

比如說，蘋果最新的安全措施和防護技術也需要通過第三方應用軟件更新支持到設備上，如果用戶不安裝這些更新，那麼一切也就都是空談。因此，蘋果最開始就積極和應用提供商合作，共同将軟件更新以更快的速度提供給用戶。

此外，業界對于安全問題一直都有賞金計劃，來獎勵對企業産品安全防護方面作出貢獻的獨立安全專家和研究人員。蘋果表示，雖然他們不是第一個參與這種賞金制度的公司，但一直有提供優渥的酬勞來吸引安全專家來參與蘋果的計劃。比如說蘋果就有自己的 Security Bounty Program，其獎金可以高達百萬美元。

這樣的計劃可以協助蘋果建立非常強健的安全網絡，這個網絡裡，所有相關的人彼此協作，可以非常快速地找到軟件當中的問題，甚至也可以診斷到蘋果内部 IP 系統相關的弱點。

最後，蘋果還重點講到了《iMessage》，也就是《信息》應用。去年 12 月，蘋果就已經揭露《信息》應用新的安全防護方式，而在這次平台安全指南更新中，這個安全防護方式得到了更詳細的介紹。

具體來說，這個新的防護就是 BlastDoor。BlastDoor 是一個全新的系統，這個系統可以針對《信息》應用的流量進行隔離，而且可以分析和追蹤流量，進而防堵危險。

《信息》應用在架構上做了全新設計，可以将新進來的短信流量進行隔離，現在隔離的區域由 BlastDoor 進行分析、追蹤等操作，BlastDoor 會将其和其他短信以及整個操作系統進行分離，然後進行轉碼等操作，這一切都是在 swift 上進行的，可以保證安全。

其實《信息》應用在一推出的時候就已經有端到端的加密，一路發展過來，這次 BlastDoor 是其誕生以來最大的安全提升。同時蘋果表示，設備隻要更新到 iOS14、 iPadOS 14 或者 macOS Bigsur 的，都可以享受到 BlastDoor 帶來的保護。

總體來說，蘋果在這份全新的平台安全指南中描述了過去不曾披露過的衆多安全策略和思路，同時我們看到，蘋果對于自身安全體系的建設也正變得越來越開放，這無論是對于消費者，還是對于整個網絡、硬件安全領域來說，都是好事。而IT之家認為，這背後的一個重要推動因素就是 M1 芯片的産生，它意味着蘋果自研芯片（Apple Sillcon）已經可以覆蓋自家絕大多數産品設備，在芯片底層上的統一對于蘋果整個安全體系的建設是一個巨大的促進作用，這也是蘋果努力推進自研芯片的動力之一。

查看蘋果全新平台安全指南：點此前往

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!