Sicherheit der Apple-Plattformen
- Herzlich willkommen
- Einführung in die Sicherheit der Apple-Plattformen
-
- Hardwaresicherheit – Übersicht
- Sicherheit bei Apple-SoCs
- Secure Enclave
-
- Sicherheit von Face ID und Touch ID
- Magic Keyboard mit Touch ID
- Face ID, Touch ID, Codes und Passwörter
- Sicherheit beim Gesichtsabgleich
- Verwendung von Face ID und Touch ID
- Gesicherte Absicht und Verbindungen zur Secure Enclave
- Hardwareabschaltung des Mikrofons
- Express-Karten mit Energiereserve
-
- Systemsicherheit – Übersicht
-
- Startvorgang bei iOS- und iPadOS-Geräten
- Speichersichere iBoot-Implementierung
-
- Startvorgang
- Startmodi
- Einschränkungen für das gekoppelte recoveryOS
- Sicherheitsrichtlinie „Startup Disk“
- Erstellung und Verwaltung von Signaturschlüsseln für die lokale Richtlinie (LocalPolicy)
- Inhalt einer LocalPolicy-Datei für Mac-Computer mit Apple Chips
-
- Startvorgang
- Startmodi
- Startsicherheitsdienstprogramm
- Schutz per Firmware-Passwort
- recoveryOS und Diagnoseumgebungen
- Sicherheit des Signed System Volume
- Sichere Softwareaktualisierungen
- Integrität des Betriebssystems
-
- Zusätzliche macOS-Funktionen für die Systemsicherheit
- Systemintegritätsschutz
- Caches für die Vertrauensstellung (Trust Caches)
- Sicherheit von Peripherieprozessoren
- Rosetta 2 auf Mac-Computern mit Apple Chips
- DMA-Schutz
- Kernel-Erweiterungen
- OROM-Sicherheit (Option ROM)
- Sicherheit für UEFI-Firmware bei Intel-basierten Mac-Computern
- Systemsicherheit bei watchOS
- Generieren von Zufallszahlen
- Apple Security Research Device
-
- Verschlüsselung und Datensicherheit – Übersicht
- Gerätecodes und Passwörter
-
- Datensicherheit – Übersicht
- Datensicherheit
- Datensicherheitsklassen
- Keybags für Datensicherheit
- Schützen von Schlüsseln in alternativen Startmodi
- Schützen von Benutzerdaten bei Angriffen
- Sealed Key Protection (SKP)
- Sicheres Aktivieren von Datenverbindungen in iOS und iPadOS
- Rolle von APFS (Apple File System)
- Sicherheit von Schlüsselbunddaten
-
- Volumeverschlüsselung mit FileVault
- Verwalten von FileVault
-
- App-Zugriff auf Benutzerdaten schützen
- Zugriff auf Gesundheitsdaten von Benutzern schützen
- Digitales Signieren und Verschlüsseln
-
- Sicherheit bei Apps – Übersicht
-
- Sicherheit bei Apps für iOS und iPadOS – Einführung
- Prozess der App-Codesignierung
- Sicherheit des Laufzeitprozesses
- Unterstützung für Erweiterungen
- App-Schutz und App-Gruppen
- Verifizieren von Zubehörgeräten
-
- Sicherheit bei Apps für macOS – Einführung
- Prozess der App-Codesignierung
- Gatekeeper und Laufzeitsicherheit
- Schutz vor Malware
- Steuerung des Dateizugriffs durch Apps
- Sicherheitsfunktionen in der App „Notizen“
- Sicherheitsfunktionen in der App „Kurzbefehle“
-
- Sicherheit bei Diensten – Übersicht
-
- Sicherheit bei Apple ID
- Sicherheit bei verwalteter Apple ID
-
- iCloud-Sicherheit – Übersicht
- iCloud-Verschlüsselung
- Erweiterter Datenschutz für iCloud
- Sicherheit bei iCloud Backup
- Sicherheit beim Kontakt für die Accountwiederherstellung
- Sicherheit beim Nachlasskontakt
- Sicherheit von iCloud Privat-Relay
-
- Codesicherheit – Übersicht
- Sicherheit bei Option „Mit Apple anmelden“
- Option „Automatisch starke Passwörter“
- Sicherheit beim automatischen Ausfüllen von Passwörtern
- Zugriff durch Apps auf gesicherte Passwörter
- Sicherheitsempfehlungen für Passwörter
- Passwortüberwachung
- Senden von Passwörtern
- Erweiterungen für Credential-Provider
-
- Sicherheit des iCloud-Schlüsselbunds – Übersicht
- Sichere Schlüsselbundsynchronisierung
- Sichere Wiederherstellung des iCloud-Schlüsselbunds
- Escrow-Sicherheit für iCloud-Schlüsselbund
-
- Apple Pay-Sicherheit – Übersicht
- Sicherheit bei Apple Pay-Komponenten
- Wie Apple Pay die Käufe von Benutzern schützt
-
- Sicherheit bei der Kartenbereitstellung – Übersicht
- Hinzufügen von Kredit- oder Debitkarten zu Apple Pay
- Autorisierung von Zahlungen mit Apple Pay
- Kartenzahlung mit Apple Pay
- Kontaktlose Ausweise in Apple Pay
- Unbrauchbarmachung von Karten mit Apple Pay
- Sicherheit bei Apple Card
- Sicherheit bei Apple Cash
- Tap to Pay auf dem iPhone
-
- Zugriff mit Apple Wallet
- Zugangsdatentypen
- Sicherheit der Funktion „Autoschlüssel“
- Hinzufügen von ÖPNV- und eMoney-Karten zu Apple Wallet
- Ausweisdokumente in Apple Wallet
-
- Sicherheit bei iMessage – Übersicht
- Senden und Empfangen von Nachrichten in iMessage
- Sichere Freigabe von Namen und Fotos in iMessage
- Sicherheit bei Apple Messages for Business
- FaceTime-Sicherheit
-
- Sicherheit von „Wo ist?“
- Auffinden verlorener Geräte
-
- Sicherheit bei Continuity (Integration) – Übersicht
- Handoff-Sicherheit
- Sicherheit bei iPhone-Mobilanrufumleitung
- Sicherheit bei iPhone-Nachrichtenweiterleitung
- Sicherheit bei Instant Hotspot
-
- Netzwerksicherheit – Übersicht
- TLS-Sicherheit
- IPv6-Sicherheit
- VPN-Sicherheit
-
- Sicherer Zugriff auf Funknetzwerke
- Datenschutz bei WLAN-Verbindungen
- Bluetooth-Sicherheit
- Sicherheit der Ultrabreitbandtechnologie
- Sicherheit der Gesamtauthentifizierung (Single Sign-On)
- AirDrop-Sicherheit
- Sicherheit bei WLAN-Passwortfreigabe
- Firewall-Sicherheit
-
- Sicherheit bei Developer Kits – Übersicht
-
- Sicherheit bei der Kommunikation
- Datensicherheit
- Sichern von Routern mit HomeKit
- Sicherheit der Kamera
- Sicherheit bei Apple TV-Geräten
- Sicherheit beim SiriKit
- Sicherheit beim DriverKit
- Sicherheit beim ReplayKit
- Sicherheit beim ARKit
-
- Sichere Geräteverwaltung – Übersicht
- Sicherheit beim Kopplungsmodell
-
- Sicherheit bei MDM – Übersicht
- Durchsetzen von Richtlinien mit Konfigurationsprofilen
- Automatische Geräteregistrierung
- Sicherheit bei der Aktivierungssperre
- Verwalteter Modus „Verloren“ und Fernlöschung
- Geteiltes iPad – Sicherheit
- Sicherheit bei Apple Configurator
- Sicherheit bei der Bildschirmzeit
- Glossar
- Dokumentrevisionen
- Copyright
Die Datenverschlüsselung in iCloud ist eng mit dem Datenspeichermodell verbunden, beginnend mit den CloudKit-Frameworks und APIs, die es Apps und Systemsoftware ermöglichen, Daten im Namen des Benutzers in iCloud zu speichern und diese geräteübergreifend und im Web auf dem neuesten Stand zu halten.
CloudKit-Verschlüsselung
CloudKit ist ein Framework, das es App-Entwicklern ermöglicht, Schlüssel-Wert-Daten, strukturierte Daten und Medien (größere Datenmengen, die separat von der Datenbank gespeichert werden, etwa Bilder oder Videos) in iCloud zu speichern. CloudKit unterstützt sowohl öffentliche als auch private Datenbanken, die in Containern gruppiert werden. Öffentliche Datenbanken werden global geteilt und in der Regel für generische Medien genutzt, sie werden nicht verschlüsselt. Private Datenbanken speichern die iCloud-Daten aller Benutzer.
CloudKit nutzt eine Hierarchie von Schlüsseln, die zur Struktur der Daten passen. Die private Datenbank jedes Containers wird durch eine Schlüsselhierarchie geschützt, die in einem asymmetrischen Schlüssel hinterlegt ist, der als CloudKit-Dienstschlüssel bezeichnet wird. Diese Schlüssel sind für jeden iCloud-Benutzer einmalig und werden auf seinem vertrauenswürdigen Gerät generiert. Wenn Daten in das CloudKit geschrieben werden, werden alle Datensatzschlüssel auf dem vertrauenswürdigen Gerät des Benutzers generiert und vor dem Upload der Daten in die entsprechende Schlüsselhierarchie eingebunden.
Viele Apple-Dienste, die im Apple Support-Artikel Sicherheitsüberblick– iCloud-Daten genannt werden, nutzen die Ende-zu-Ende-Verschlüsselung unter Verwendung eines CloudKit-Dienstschlüssels, der per Synchronisierung mit dem iCloud-Schlüsselbund geschützt ist. Die Dienstschlüssel werden für diese CloudKit-Container im iCloud-Schlüsselbund des Benutzers gespeichert und teilen die Sicherheitsmerkmale des iCloud-Schlüsselbunds. Die Dienstschlüssel sind nur auf den als vertrauenswürdig eingestuften Geräten des Benutzers verfügbar und für Apple oder einen anderen Anbieter nicht zugänglich. Sollte ein Gerät verloren gehen, lassen sich die Daten des iCloud-Schlüsselbunds mittels sicherer Wiederherstellung des iCloud-Schlüsselbunds, Accountwiederherstellungskontakten oder einem Schlüssel für die Accountwiederherstellung wiederherstellen.
Verwaltung von Verschlüsselungsschlüsseln
Die Sicherheit von verschlüsselten Daten in CloudKit hängt von der Sicherheit der entsprechenden Verschlüsselungsschlüssel ab. Es gibt zwei Kategorien von CloudKit-Dienstschlüsseln: Ende-zu-Ende-verschlüsselt und nach-Authentifizierung-verfügbar.
Dienstschlüssel mit Ende-zu-Ende-Verschlüsselung: Bei Ende-zu-Ende-verschlüsselten iCloud-Diensten werden die relevanten privaten CloudKit-Dienstschlüssel niemals für die Apple-Server zur Verfügung gestellt. Dienstschlüsselpaare, einschließlich privater Schlüssel, werden lokal auf dem vertrauenswürdigen Gerät eines Benutzers erstellt und unter Verwendung der Sicherheit des iCloud-Schlüsselbunds auf die anderen Geräte des Benutzers übertragen. Obwohl die Wiederherstellungs- und Synchronisierungsabläufe des iCloud-Schlüsselbunds von Apple-Servern vermittelt werden, werden diese Server kryptografisch daran gehindert, auf die Schlüsselbunddaten des Benutzers zuzugreifen. Sollte im schlimmsten Fall kein Zugriff mehr auf den iCloud-Schlüsselbund und all seine Wiederherstellungsmechanismen bestehen, gehen die Ende-zu-Ende-verschlüsselten Daten im CloudKit verloren. Apple kann bei der Wiederherstellung dieser Daten keine Unterstützung leisten.
Nach-Authentifizierung-verfügbare Dienstschlüssel: Bei anderen Diensten wie Fotos und iCloud Drive werden die Dienstschlüssel in iCloud-Hardwaresicherheitsmodulen in den Rechenzentren von Apple gespeichert und einige Apple-Dienste können darauf zugreifen. Wenn sich ein Benutzer auf einem neuen Gerät bei iCloud anmeldet und seine Apple-ID authentifiziert, sind diese Schlüssel ohne weitere Interaktion oder Eingabe des Benutzers für die Apple-Server zugänglich. Beispielsweise kann der Benutzer nach der Anmeldung bei iCloud.com sofort seine Fotos online ansehen. Diese Dienstschlüssel sind nach-Authentifizierung-verfügbare Schlüssel.
Vgl. auchSicherheit beim Kontakt für die AccountwiederherstellungSicherheit beim NachlasskontaktSicherheit des iCloud-Schlüsselbunds – Übersicht
Anleitung als PDF laden
Vielen Dank für Ihre Rückmeldung.
