Apple, başlangıçta Özel Cloud Hesaplama’nın güvenliğinin üçüncü taraflar tarafından denetlenebileceğini belirtmişti. Perşembe günü, bu vaat yerine getirildi.
Temmuz ayında Apple, Apple İntelligence ve bulut tabanlı işleme tesisi olan Özel Cloud Hesaplama’yı tanıttı. Bu, Apple İntelligence altında Siri sorgularının bulutta işlenmesi için güvenli ve özel bir yol olacağı şeklinde sunuldu.
Ayrıca, kriptografi kullandığını ve kullanıcı verilerini depolamadığını ısrarla belirtirken, bağımsız uzmanların özelliklerini inceleyebileceğini de vurguladı. 24 Ekim’de, bu plan hakkında bir güncelleme sunuldu.
Bir Güvenlik Araştırma blog gönderisinde “Özel Cloud Hesaplama’da Güvenlik Araştırması” başlığı altında, Apple, üçüncü taraf denetçilere ve bazı güvenlik araştırmacılarına erken erişim sağladığını açıkladı. Bu, projede oluşturulan kaynaklara, PCC Sanal Araştırma Ortamı (VRE) dahil olmak üzere erişim sağladı.
Ayrıca, aynı kaynakların Perşembe gününden itibaren genel erişime açıldığını belirtiyor. Apple, bu durumun tüm güvenlik ve gizlilik araştırmacıları, “veya ilgisi ve teknik merakı olan herkesin” Özel Cloud Hesaplama’nın işleyişini öğrenmelerine ve kendi bağımsız doğrulamalarını yapmalarına olanak tanıdığını söylüyor.
Kaynaklar
Yayınlanan içerik, Özel Cloud Hesaplama Güvenlik Kılavuzu’nu içerir. Mimarisinin projenin temel gereksinimlerini nasıl karşıladığını açıklar. PCC bileşenlerinin ve işleyişlerinin teknik ayrıntılarını, kimlik doğrulamalarının ve isteklerin yönlendirilmesinin nasıl gerçekleştiğini ve güvenliğin çeşitli saldırı türlerine karşı nasıl savunduğunu içerir.
VRE, Apple‘ın herhangi bir platformu için ilk kez oluşturulmuştur. PCC düğüm yazılımını bir sanal makinede çalıştırmak için araçlar içermektedir.
Bu, yerel olarak çalışması için “önemsiz değişiklikler” olsa da, sunucularda kullanılan kodla aynı değildir. Apple, yazılımın PCC düğümüyle aynı şekilde çalıştığını, değişikliklerin sadece önyükleme işlemine ve çekirdeğe yapıldığını ısrarla belirtiyor.
VRE, ayrıca sanal Güvenli Kapsayıcı İşlemci içerir ve paravirtualize grafikler için macOS’ın yerleşik desteğinden faydalanır.
Apple, bazı temel bileşenlerin kaynak kodlarını inceleme amacıyla kullanıma sunmaktadır. Analiz için tasarlanan sınırlı kullanım lisansı altında sunulan kaynak kodları, PCC düğümü tanıklamaları oluşturmak ve doğrulamak için CloudAttestation projesini içerir.
Ayrıca, şeffaflığı doğrulamak için CloudAttestation ile birlikte çalışan bir kullanıcının cihazı için bir daemon içeren Thimble projesi bulunmaktadır.
PCC hata avı
Ayrıca, Apple, Apple Güvenlik Ödülü‘nü genişletiyor. Özel Cloud Hesaplama’da güvenlik ve gizlilik konularıyla ilgili raporlar için “önemli ödüller” vaat ediyor.
Ödül skalası, veri sızıntısına neden olan kazara ya da beklenmedik veri ifşasından başlayarak $50,000’dan, keyfi yetkilerle keyfi kod çalıştırma göstermeye kadar olan $1 milyona kadar çıkmaktadır.
Apple, herhangi bir güvenlik sorununu PCC için “önemli bir etkiye” sahip olması durumunda potansiyel bir ödül için değerlendireceğini belirtiyor, hatta tanımlı kategorilerden biriyle örtüşmese bile.
“Umarız PCC’nin tasarımını Güvenlik Kılavuzumuzla derinlemesine inceleyecek, Virtual Research Environment ile kodu keşfedecek ve keşfettiğiniz herhangi bir sorunu Apple Güvenlik Ödülü aracılığıyla bildireceksiniz,” şeklindeki mesajla işlemi tamamlıyor.
Apple, PCC’yi “AI’da gizlilik için olağanüstü bir adım atmış ve doğrulanabilir şeffaflık içeren” şeklinde tasarladığını belirtiyor.
Gönderi, “Özel Cloud Hesaplama’nın bulutta AI işlemi için ölçekte dağıtılan şimdiye kadar kullanılan en gelişmiş güvenlik mimarisi olduğuna inanıyoruz ve sistemde güven oluşturmak ve zaman içinde daha güvenli ve özel hale getirmek için araştırma topluluğuyla çalışmayı dört gözle bekliyoruz,” şeklinde sona eriyor.
