密封密鑰保護(SKP)
在支援「資料保護」的 Apple 裝置上,密鑰加密密鑰(KEK)受到系統上軟體的測量值保護(或密封),也與只能從「安全隔離區」取用的 UID 綁定。在配備 Apple 晶片的 Mac 上,整合了有關系統安全性規則的資訊,進一步強化了 KEK 的保護機制,因為 macOS 支援其他平台不支援的重要安全性規則更改(例如,停用安全開機或 SIP)。在配備 Apple 晶片的 Mac 上,這個保護機制包含「檔案保險箱」密鑰,因為「檔案保險箱」是使用「資料保護」(類別 C)來導入。
衍生自使用者密碼、長期 SKP 密鑰和硬體密鑰 1(「安全隔離區」的 UID)的密鑰稱為密碼衍生密鑰。此密鑰用於保護使用者 Keybag(在所有受支援的平台上)和 KEK(僅在 macOS 上),然後啟用生物特徵辨識解鎖或使用其他裝置(如 Apple Watch)自動解鎖。
「安全隔離區」的「開機監視器」會擷取所載入「安全隔離區」OS 的測量值。當「應用程式處理器」的「開機 ROM」測量附加至 LLB 的 Image4 資訊檔時,該資訊檔中也會包含其他所有已載入系統配對韌體的測量值。LocalPolicy 包含已載入 macOS 的核心安全性設定。LocalPolicy 也包含 nsih 欄位,這是 macOS Image4 資訊檔的雜湊。macOS Image4 資訊檔包含所有 macOS 配對韌體和核心 macOS 開機物件(例如開機核心集合或簽署系統卷宗(SSV)根雜湊)的測量值。
如果攻擊者能未預期地更改任何上述任何受到測量的韌體、軟體或安全性設定元件,便會修改儲存在硬體暫存器中的測量。修改測量值會造成從系統測量根密鑰(SMRK)衍生的加密硬體衍生為其他值,會直接破壞密鑰階層上的印章。而這會導致無法存取系統測量裝置密鑰(SMDK),進而造成無法存取 KEK 和資料。
然而,當系統未受攻擊時,必須根據合法軟體更新進行調適,這些更新會更改韌體測量及 LocalPolicy 中的 nsih 欄位以指向新的 macOS 測量。在其他企圖整合韌體測量但沒有已知真實來源的系統中,使用者必須停用安全性、更新韌體,然後再重新啟用,這樣才能擷取新的測量基準。這大幅提高了攻擊者在軟體更新期間可能竄改韌體的風險。Image4 資訊檔包含所需的一切測量值,對系統有所幫助。正常開機期間測量值相符時透過 SMRK 解密 SMDK 的硬體,也可以將 SMDK 加密為建議的未來 SMRK。藉由指定軟體更新後預期的測量,硬體可以加密可在目前作業系統中存取的 SMDK,如此一來在未來作業系統中它仍保持可存取狀態。同樣地,當客戶合法更改 LocalPolicy 中的安全性設定時,必須根據 LLB 下次重新起動時會運算的 LocalPolicy 測量值,將 SMDK 加密為未來 SMRK。