Крепость в крепости: как Apple превратила каждый Mac в неприступную цифровую твердыню
Обычные пользователи обычно не знают, но внутри каждого Мака на базе процессора Intel с чипом T2 и всех компьютеров на Apple Silicon скрывается настоящий цифровой сейф — защищенная зона, которая изначально называлась «security enclave». Для нас как ремонтников — это скорее головная боль, но нельзя не признать, что взломать Мак после этого стало сильно сложнее.
Данная технология стала предметом целой серии патентов Apple начиная с 2012 года, а впервые увидела свет в процессоре A7 внутри смартфона iPhone 5s и планшета iPad mini 3 в сентябре 2013 года — ровно 12 лет назад. Именно тогда мир познакомился с биометрической аутентификацией через сканер отпечатков Touch ID, и можно сказать, что эра паролей начала медленно, но верно подходить к концу.
Защита самых важных секретов в компьютере — задача архисложная, и инженеры Apple это прекрасно понимали. Как бы вы ни старались обезопасить основной процессор и память, они остаются уязвимыми для прямых атак, а изоляция получается относительной и временной. Альтернативный подход заключается в перемещении наиболее критичных данных и их обработки в отдельную безопасную область с собственным процессором. Именно это архитектурное решение выбрала Apple, запатентовав его в сентябре 2012 года — за год до релиза в iPhone 5s. Авторами патента стали инженеры Ману Гулати, Майкл Смит и Шу-И Ю.
Первые Маки с настоящей изолированной средой появились только с выходом чипа T2, дебютировавшего в моноблоке iMac Pro в декабре 2017 года. Эти машины содержали помимо основного процессора еще и чип A10 Fusion годовалой давности и уже отставали от смартфона iPhone 8 в плане безопасности — ирония судьбы для компьютеров стоимостью от 5000 долларов. Защищенный сектор T2 представлял собой отдельную сопроцессорную систему с 32-битным процессором ARM, который работает под управлением собственной операционной системы sepOS на базе специализированного микроядра L4 — совершенно отличного от тех, что используются в Маках и других устройствах Apple. У него есть собственное защищенное хранилище и акселератор публичных ключей для подписи и шифрования методами RSA и ECC.
Настоящий прорыв для Маков произошел с выходом первых моделей на чипах серии M1, которые наконец догнали по функциональности поздние версии процессоров A12 и A13 с компонентом защищенного хранилища второго поколения Apple. Самое значительное улучшение касается мер по предотвращению атак повторного воспроизведения — представьте ситуацию, когда вы сначала не включили программу шифрования FileVault, а потом передумали. В чипе T2 теоретически можно было бы использовать старый ключ шифрования тома для его расшифровки, но в безопасном отсеке M-серии такой тип атаки предотвращается путем аннулирования всех предыдущих событий и записей. Кроме того, доверенная область теперь охраняет ключи шифрования для Touch ID, FileVault и связки ключей Data Protection, уникальные идентификаторы Мака, обработку платежей Apple Pay, блокировку активации и подписание политик загрузки. И хотя подобные решения существуют в виде технологии ARM TrustZone и других доверенных сред выполнения, криптографический модуль Apple уникален тем, что интегрирован во все современные устройства компании и не может быть отключен или обойден — что, безусловно, радует пользователей и расстраивает хакеров.
Ну и еще расстраивает временами нерадивых пользователей — восстановить данные с таких машин крайне сложно, поэтому снова напомним про важность бэкапов.
