保安軟件更新
保安是一個過程;可靠地啟動出廠時安裝的作業系統版本並不足夠,必須存在可快速且安全地取得最新保安更新的機制。Apple 會定期釋出軟件更新以解決新出現的保安顧慮。iPhone 和 iPad 裝置的用户會在裝置上收到更新通知。Mac 用户可在「系統設定」(macOS 13 或較新版本)或「系統偏好設定」(macOS 12 或較早版本)中找到可用的更新項目。更新會經無線方式傳送,來迅速採用最新的保安修正。
更新程序保安
更新程序會使用與安全啟動所用之相同的硬件式信任根,其設計僅會安裝 Apple 簽署的編碼。此外,更新程序也會使用系統軟件授權來確保只有經 Apple 主動簽署的作業系統版本副本才可安裝在 iPhone 和 iPad 裝置,或是「開機保安工具程式」中「完整保安」設定為安全啟動規則的 Mac 電腦上。有了這些恰當的安全程序,Apple 便可停止簽署包含已知漏洞的較舊作業系統版本,並可協助防止降級的攻擊。
為取得更高的軟件更新保安,當要升級的裝置實際連接到 Mac 時,便會下載 iOS 或 iPadOS 的完整副本並安裝。但是無線傳輸(OTA)的軟件更新只會下載完成更新所需的元件而不會下載整個作業系統,藉此改進網絡效率。再者,軟件更新可在執行 macOS 10.13 或較新版本並已開啟「內容快取」的 Mac 上進行快取,如此 iPhone 和 iPad 裝置便無須透過互聯網重新下載必要的更新。(他們仍需連上 Apple 伺服器來完成更新程序。)
個人化的更新程序
在升級和更新期間,會提供特定資料給 Apple 以安裝授權伺服器,並包含以下資料:要安裝之安裝套件中的各部份加密編譯測量值列表(如 iBoot、核心及作業系統映像檔)、隨機的反重播值以及裝置專屬的唯一晶片識別碼(ECID)。
授權伺服器會將提供的測量值列表與允許安裝的版本進行比較,如找到相符項目,便會將 ECID 加入到測量值中並對結果進行簽署。伺服器會將完整的一組已簽署資料傳遞至裝置,作為升級程序的一部份。加入 ECID 可為要求的裝置「個人化」授權作業。藉由只對已知的測量值授權和簽署,伺服器可協助確保更新的內容與 Apple 所提供的完全相同。
開機時間的信任鏈評估程序會驗證該次簽署是否來自 Apple,並確認從儲存裝置載入之項目測量值在結合裝置的 ECID 後,是否與該簽署所涵蓋的內容相符。這些步驟的設計目的是確保在支援個人化的裝置上,授權是針對特定裝置進行,且較舊的作業系統或韌體版本無法從一部裝置複製到另一部裝置。反重播值可協助阻止攻擊者儲存伺服器的回應,並協助阻止攻擊者使用該回應來破壞裝置,或以其他方式竄改系統軟件。
由於需進行個人化程序,因此任何採用 Apple 設計晶片的裝置一律需要透過網絡連線至 Apple 以進行更新,包含以 Intel 為基礎並配備 Apple T2 安全晶片的 Mac。
在配備「安全隔離區」的裝置上,硬件會以類似方式使用系統軟件授權來檢查軟件的完整性,且其設計用意是阻止降級安裝作業。