Glosario

Acceso directo a la memoria (DMA)

Función que permite a los subsistemas de hardware acceder a la memoria principal directamente, sin pasar por el CPU.

administración de dispositivos móviles (MDM)

Un servicio que permite a un administrador gestionar de forma remota los dispositivos inscritos. Una vez que se inscribe un dispositivo, el administrador puede usar el servicio de MDM a través de la red para configurarlo y realizar otras tareas sin la interacción del usuario.

AES (estándar de encriptación avanzado)

Un estándar de encriptación global popular utilizado para encriptar datos con el fin de mantenerlos privados.

AES-XTS

Un modo de AES definido en el IEEE 1619-2007 diseñado para encriptar los medios de almacenamiento.

Aleatorización del espacio de direcciones (ASLR)

Técnica que emplean los sistemas operativos para que sea mucho más complicado conseguir aprovecharse de una vulnerabilidad de seguridad en el software. Al garantizar la impredecibilidad de las direcciones y los desplazamientos de la memoria, el código de ataque no puede incrustar esos valores en el código fuente.

Algoritmo de firma digital de curva elíptica (ECDSA)

Algoritmo de firmas digitales basado en criptografía que emplea curvas elípticas.

APFS (Apple File System)

El sistema de archivos predeterminado en dispositivos iOS, iPadOS, tvOS y watchOS, así como en computadoras Mac con macOS 10.13 o versiones posteriores. APFS cuenta con una encriptación robusta, uso compartido del espacio, instantáneas, dimensionamiento rápido del directorio y fundamentos del sistema de archivos mejorados.

Apple Business Manager

Forma rápida y optimizada de implementar dispositivos Apple que una organización haya comprado directamente de Apple o de un distribuidor o proveedor autorizado de Apple participante. Las organizaciones pueden inscribir automáticamente dispositivos en la administración de dispositivos móviles (MDM) sin tener que tocarlos físicamente ni prepararlos antes de que los usuarios los reciban.

Apple School Manager

Forma rápida y optimizada de implementar dispositivos Apple que una organización haya comprado directamente de Apple o de un distribuidor o proveedor autorizado de Apple participante. Las organizaciones pueden inscribir automáticamente dispositivos en la administración de dispositivos móviles (MDM) sin tener que tocarlos físicamente ni prepararlos antes de que los usuarios los reciban.

autorización del software del sistema

Un proceso que combina las claves criptográficas integradas en el hardware con un servicio en línea para revisar que sólo se proporcione e instale el software legítimo de Apple, adecuado para los dispositivos compatibles, en el momento de la actualización.

bits semilla del software

Bits dedicados en el motor AES del Secure Enclave que se agregan al inicio del UID cuando se generan claves del UID. Cada bit semilla del software tiene un bit de bloqueo correspondiente. El sistema operativo y la ROM de arranque del Secure Enclave pueden cambiar independientemente el valor de cada bit semilla del software si aún no se ha establecido el bit de bloqueo correspondiente. Una vez que se ha establecido el bit de bloqueo, no es posible modificar el bit semilla del software o el bit de bloqueo. Los bits semilla del software y sus bloqueos se restablecen cuando Secure Enclave se reinicia.

Boot Camp

Utilidad de macOS que permite la instalación de Microsoft Windows en computadoras Mac compatibles.

Bóveda de datos

Un mecanismo, impuesto por el kernel, que protege contra el acceso no autorizado a los datos independientemente de si la app que solicita el acceso está en la zona protegida.

circuito integrado (IC)

También conocido como microchip.

CKRecord

Diccionario de pares de clave-valor que contiene datos guardados en CloudKit u obtenidos desde el mismo.

clave de contenido

Parte de la jerarquía de la clave de encriptación que ayuda a proporcionar un borrado seguro e instantáneo. En iOS, iPadOS, tvOS y watchOS, la clave de contenido encapsula los metadatos en el volumen de datos (y sin ella, el acceso a todas las claves por archivo es imposible, por lo que no se puede acceder a los archivos protegidos por Protección de datos). En macOS, la clave de contenido encapsula el material de las claves, todos los metadatos y los datos en el volumen protegido por FileVault. En cualquiera de los dos casos, borrar la clave de contenido hace que los datos encriptados sean inaccesibles.

clave del sistema de archivos

Clave que encripta los metadatos de cada archivo, incluida la clave de clase correspondiente. Se guarda en la función Effaceable Storage para facilitar el borrado rápido, en lugar de la confidencialidad.

Clave derivada del código (PDK)

La clave de encriptado derivada del entrelazamiento de la contraseña del usuario con la clave SKP de largo plazo y el UID del Secure Enclave.

clave por archivo

La clave utilizada por la protección de datos para encriptar un archivo en el sistema de archivos. La clave por archivo se encapsula mediante una clave de clase y se almacena en los metadatos del archivo.

Componente de almacenamiento seguro

Un chip diseñado con un código de ROM inmutable, un hardware generador de números aleatorios, motores de criptografía y detección de manipulación física. En los dispositivos compatibles, el Secure Enclave se enlaza con un componente de almacenamiento seguro para el almacenamiento del valor de antirreproducción. Para leer y actualizar los valores de antirreproducción, el Secure Enclave y el chip de almacenamiento utilizan un protocolo de protección que ayuda a garantizar el acceso exclusivo a los valores de antirreproducción. Hay varias generaciones de esta tecnología con diferentes garantías de seguridad.

controlador de memoria

El subsistema en el sistema en chip que controla la interfaz entre el sistema en chip y su memoria principal.

Controlador SSD

Subsistema de hardware que administra los medios de almacenamiento (unidad de estado sólido).

correspondencia de ángulos del patrón de arrugas

Representación matemática de la dirección y el ancho de las arrugas extraída de una porción de una huella digital.

Effaceable Storage

Área del almacenamiento NAND dedicada, utilizada para almacenar claves criptográficas, que se puede identificar directamente y borrar de forma segura. Aunque no ofrezca protección si un atacante dispone del dispositivo físicamente, las claves almacenadas en la función Effaceable Storage se pueden usar como parte de una jerarquía de claves para facilitar el borrado rápido y la consiguiente seguridad.

encapsulación de claves

Encriptación de una clave con otra clave. iOS y iPadOS utilizan la encapsulación de claves AES del Instituto Nacional de Estándares y Tecnología (NIST), de acuerdo con la publicación RFC 3394.

Firmware de la interfaz del firmware extensible unificado (UEFi)

Tecnología que reemplaza el BIOS para conectar el firmware al sistema operativo de una computadora.

Gatekeeper

En macOS, tecnología diseñada para ayudar a garantizar que sólo se ejecute software de confianza en la Mac de un usuario.

Gestor de arranque de bajo nivel (LLB)

En las computadoras Mac con arquitectura de arranque de dos fases, el LLB contiene el código al que invoca la ROM de arranque y que, a su vez, carga iBoot como parte de la cadena de arranque seguro.

Grupo de acción de pruebas conjuntas (JTAG)

Herramienta estándar de depuración de hardware que usan programadores y desarrolladores de circuitos.

HMAC

Un código de autentificación de mensajes en clave-hash basado en una función criptográfica hash.

iBoot

Gestor de arranque de dos niveles de todos los dispositivos Apple. Código que carga XNU como parte de la cadena de arranque seguro. Dependiendo de la generación del sistema en chip (SoC), el gestor de arranque de bajo nivel puede cargar iBoot, o puede hacerlo la ROM de arranque directamente.

ID de grupo (GID)

Como el UID, pero común para todos los procesadores de una clase.

Identificador de chip exclusivo (ECID)

Identificador de 64 bits único en el procesador de cada dispositivo iPhone o iPad.

Identificador de recursos uniforme (URI)

Cadena de caracteres que identifica un recurso basado en la web.

identificador único (UID)

Clave AES de 256 bits que se graba en cada procesador durante el proceso de fabricación. Ni el firmware ni el software la pueden leer y solamente la usa el motor AES del hardware del procesador. Para obtener la clave real, un atacante tendría que crear un ataque físico muy sofisticado y caro contra el silicio del procesador. El UID no está relacionado con ningún otro identificador del dispositivo como, por ejemplo, el UDID.

Intercambio de claves efímeras con Diffie-Hellman de curva elíptica (ECDHE)

Mecanismo de intercambios de claves basado en curvas elípticas. ECDHE permite que dos partes establezcan una clave secreta, esto previene que un tercero no autorizado obtenga la clave al ver los mensajes entre las dos partes.

Interfaz periférica serie mejorada (eSPI)

Bus todo en uno diseñado para la comunicación en serie síncrona.

llavero

La infraestructura y un conjunto de API usadas por los sistemas operativos de Apple y por apps de terceros para almacenar y recuperar contraseñas, claves y otras credenciales confidenciales.

Modo de actualización del firmware del dispositivo (DFU)

Modo en el que el código de la memoria ROM de arranque de un dispositivo espera su recuperación mediante USB. Al estar en este modo, la pantalla se muestra en negro. Sin embargo, al conectarse a una computadora en la que se ejecuta iTunes o el Finder, se muestra el siguiente mensaje: “El Finder (o iTunes) detectó un (iPhone o iPad) en modo de recuperación. El usuario debe restaurar este (iPhone o iPad) para poder usarlo con el Finder (o iTunes)”.

Modo de recuperación

Un modo que se usa para restaurar muchos dispositivos Apple si no se reconoce el dispositivo del usuario para que se pueda reinstalar el sistema operativo.

módulo de seguridad de hardware (HSM)

Computadora especializada en seguridad a prueba de manipulaciones que protege y administra claves digitales.

Motor criptográfico de AES

Componente de hardware dedicado que implementa el AES.

NAND

Memoria flash no volátil.

perfil de datos

Archivo de lista de propiedades (archivo .plist) firmado por Apple que contiene una serie de entidades y autorizaciones que permiten instalar y probar apps en un dispositivo iOS o iPadOS. Un perfil de datos de desarrollo contiene una lista de dispositivos seleccionados por un desarrollador para realizar una distribución a medida, y un perfil de datos de distribución contiene el ID de app de una app desarrollada por una empresa.

Protección de claves selladas (SKP)

Una tecnología de la protección de datos que protege, o sella, las claves de encriptado con medidas de software del sistema y claves disponibles solamente en el hardware (como el UID del Secure Enclave).

Protección de datos

Mecanismo de protección de archivos y del llavero para dispositivos Apple compatibles. También puede referirse a las API que utilizan las apps para proteger los archivos y los elementos del llavero.

Protección de la integridad del coprocesador del sistema (SCIP)

Un mecanismo utilizado por Apple que está diseñado para prevenir la modificación del firmware del coprocesador.

Recompensas de seguridad de Apple

Recompensa que brinda Apple a los investigadores que reportan vulnerabilidades que afectan a los sistemas operativos más recientes y, cuando es relevante, al hardware más reciente.

Registro del proceso de arranque (BPR)

Un conjunto de indicadores de hardware de sistemas en chip (SoC) que indica el software que puede usarse para monitorear los modos de arranque a los que ha entrado el dispositivo, tales como el modo de actualización del firmware del dispositivo (DFU) y el modo de recuperación. Una vez que se establece un indicador en el BPR, no se puede borrar. Esto permite que un software posterior obtenga un indicador confiable del estado del sistema.

repositorios de claves

Estructura de datos que se utiliza para almacenar un conjunto de claves de clase. Cada tipo (usuario, dispositivo, sistema, respaldo, custodia o respaldo en iCloud) tiene el mismo formato:

Un encabezado que contiene: la versión (establecido a cuatro en iOS 12 o versiones posteriores), el tipo (sistema, respaldo, custodia o respaldo en iCloud), el UUID del repositorio de claves, una HMAC si el repositorio de claves está firmado, y el método para encapsular las claves de clase, vinculado a la UID o PBKDF2, junto con el valor de sal aleatorio y el conteo de iteraciones.

Una lista de claves de clase: el UUID de la clave, la clase (qué clase de protección de datos de llavero o archivo), el tipo de encapsulación (sólo clave derivada de la UID, o clave derivada de la UID y clave derivada del código), la clave de clase encapsulada y una clave pública para clases asimétricas.

ROM de arranque

El primer código que ejecuta el procesador de un dispositivo al arrancar por primera vez. Como parte integral del procesador, ni Apple ni ningún atacante lo puede alterar.

sepOS

El firmware del Secure Enclave basado en una versión personalizada de Apple del microkernel L4.

Servicio de identidad (IDS) de Apple

Directorio de Apple de claves públicas de iMessage, direcciones de APN, números de teléfono y direcciones de correo electrónico que se usan para buscar las claves y las direcciones de los dispositivos.

Servicio de notificaciones push de Apple (APNs)

Servicio ofrecido por Apple a nivel mundial que envía notificaciones push a los dispositivos Apple.

sistema en chip (SoC)

Circuito integrado (IC) que incorpora varios componentes en un único chip. El procesador de aplicaciones, el Secure Enclave y otros coprocesadores son componentes del SoC.

Unidad de administración de memoria de entrada/salida (IOMMU)

Una unidad de administración de memoria de entrada/salida. Un subsistema en un chip integrado que controla el acceso al espacio de direcciones desde otros dispositivos y periféricos de entrada/salida.

vinculación

Proceso mediante el cual el código de un usuario se convierte en una clave encriptada y se fortalece con el UID del dispositivo. Este proceso ayuda a garantizar que un ataque de fuerza bruta deba realizarse en un dispositivo determinado y, por lo tanto, que la velocidad esté limitada y que el ataque no se pueda realizar en paralelo. El algoritmo de vinculación es PBKDF2, que usa AES encriptado con el UID del dispositivo como la función pseudoaleatoria (PRF) para cada iteración.

xART

Abreviatura de la tecnología antirreproducciones eXtended. Conjunto de servicios que proporcionan almacenamiento persistente encriptado y autenticado para el Secure Enclave con funcionalidades antirreproducción basadas en la arquitectura del almacenamiento físico. Consulta Componente de almacenamiento seguro.

XNU

Kernel ubicado en el corazón de los sistemas operativos de Apple. Se presupone que es de confianza, y refuerza las medidas de seguridad tales como la firma de código, el aislamiento en zona protegida, la comprobación de las autorizaciones y la aleatorización del espacio de direcciones (ASLR).

XProtect

En macOS, tecnología antivirus que utiliza firmas para la detección y eliminación de malware.