Яблоневый спас что означает: что нельзя делать в этот день?

в чем главный смысл праздника?

19 августа православная церковь и все верующие отмечают Преображение Господне. Или Яблочный Спас: так его называют в народе, поскольку по традиции в этот день освящаются плоды нового урожая.

Вообще по древней традиции в этот день положено было освящать виноград, из которого делалось вино для таинства святого причащения. Но на Руси, где по большей части виноград не вызревает, его заменили яблоками. Целые горы яблок лежат в этот день на длинных, наскоро сбитых столах во дворах всех православных храмов. Священник читает над ними специальную молитву о плодах и винограде, щедро кропит святой водой и яблоки, и прихожан, которые их принесли. И каждый, кто пришел в этот день в церковь, получает по яблочку.

Преображение – в чем его суть и актуальность?

Но яблоки, конечно, на Преображение не главное. «Православные праздники – это не просто набор старинных традиций, обычаев, обрядов, – сказал в интервью «МИР 24» духовный попечитель Преображенского братства, священник Георгий Кочетков. – Наши праздники имеют и куда более глубокое измерение, о котором, к сожалению, не всегда говорят даже в храмах и о котором люди порой не знают и не догадываются».

Праздник Преображения восходит к евангельскому сюжету о том, что Господь до своего распятия обрел опыт пребывания на Небесах в божественном, духовном пространстве, благодаря погружению в тот свет, который осиял его на горе Фавор, рассказывает Кочетков.

«На эту гору с учениками Петром, Иаковом и Иоанном Иисус восходит прямо перед Своим страданием на Кресте и преображается перед ними, озаренный божественным сиянием. Это светлое событие для апостолов – знак любви Бога Отца к Сыну Христу и тем, кто с Ним, знак надежды, которая поможет им пройти через предстоящую трагедию: арест, неправедный суд и позорную казнь Учителя», – говорит научный сотрудник Свято-Филаретовского православно-христианского института (СФИ) Владимир Якунцев.

По словам отца Георгия, фаворский свет – это особый свет, не совсем тот, к которому мы привыкли. «Его как бы отдает нам из своего существа, из своей природы сам Господь Бог. Именно такой свет обрел и смог показать своим ученикам Христос на Фаворе. А значит, люди – не только Христос, но и все его ученики – имеют возможность приобщения к этому свету, к благодати Господней напрямую. Это очень важно знать всем людям, и особенно верующим. Потому что мы призваны именно такую благодать Святого Духа стяжать, именно такой свет обретать, именно такой любовью всегда жить. Вот какой смысл вкладывает Евангелие в этот сюжет», – говорит священник.

Фото: Википедия

По словам Якунцева, и сам смысл праздника Преображения связан с обновлением жизни, когда в ней раскрывается красота Божьих даров, явленная благодаря человеческим стараниям и трудам. Многие люди в своей жизни могли Божью помощь явно ощутить и узнать ее. «Человек, у которого есть самое главное дело жизни – это ведь есть не у всякого – большое и важное дело, с которым связаны серьезные надежды его самого и его ближних, имеет такой опыт, когда его сил и средств, талантов, везения, помощников – не хватает. Он понимает, что без какого-то радикального вмешательства все его усилия могут оказаться тщетными: слишком велика инерция жизни, сопротивление обстоятельств, мало времени, чтобы успеть, – говорит Владимир Якунцев. – И это решительное вмешательство Божье всегда связано не просто с душевной, психологической или житейской поддержкой, которая может быть по-своему важна. Тайна Преображения связана с таким глубинным общением, в которое врывается Божий Свет, и законы нашего мира – пространства и времени – на какой-то момент уступают место иным законам: открытости, легкости, доверия. Неслучайно евангельская история о восхождении на Фавор – это прежде всего рассказ о сокровенном и близком общении».

Этот праздник лучше всего встречать вместе с духовно близкими людьми, для которых вся история о Господнем Преображении – не легенда, а предмет их искренней веры. Преображение очень располагает к единству, открытости, проявлению доверия.

Собирать не только яблоки, но и плоды жизни, творчества, веры

Люди дополняют праздник Преображения тем, что собирают первые плоды своей жизни, своей деятельности, своих трудов в этом мире. «Мы по древней традиции приносим с собой в храм для освящения яблоки, чтобы показать, что, собирая плоды земли, мы думаем не только о себе, но хотим, чтобы они были свидетельством Божьей силы и Божьей любви к нам. Мы видим, как эта любовь нас питает и дает нам такую красоту! – говорит Георгий Кочетков. – Этот обычай замечательный, но можно собирать не только фрукты, не только материальные плоды. Можно собирать духовные плоды. Можно собирать людей, саму Церковь Христову. Ведь люди для Бога – это самые лучшие духовные плоды, которые он желает видеть, которые он любит, которых он ждет».

Фото: Феоктистов Дмитрий/ТАСС

Георгий Кочетков: «Каждому человеку нужно не только каяться, не только думать о своих грехах, горевать о своих потерях и ошибках. Каждому человеку нужна в первую очередь радость общения и радость служения, самоотдачи. Пусть этих плодов у людей будет больше, пусть сами люди собираются в духовные семьи. Это и есть настоящая Христова Церковь, ее торжество».

Этот день обязательно нужно встретить не в одиночку, а вместе с духовно близкими людьми, для которых вся история о Господнем Преображении – не легенда, а предмет их искренней веры.

«Мы, например, создали православное сообщество людей из разных городов – Преображенское братство. Для нас этот праздник – своего рода именины, на которые мы уже 30 лет собираемся все вместе, съезжаемся из разных городов России и зарубежья и приглашаем своих друзей из разных стран, – говорит председатель православного Преображенского братства Дмитрий Гасак. – В этом году из-за ограничений, связанных с пандемией, наш праздник проходит в формате онлайн-марафона «Имеющие надежду» – серии встреч о возрождении русского народа и культуры, которое невозможно без веры в то, что Господь может нас преображать. Конечно, мы сожалеем, что встреча не будет очной. Но во всем есть свои плюсы, в этом году принять участие в форуме смогут и те, кто раньше не мог доехать».

Яблочный Спас | это.

.. Что такое Яблочный Спас?

Статья — о народной обрядности. О церковном праздновании см. статью Преображение Господне

Я́блочный Спа́с — народное название праздника Преображения Господня у восточных славян, к которому были приурочены многочисленные народные обряды. По народным приметам, Яблочный Спас означает наступление осени и преображение природы. Принято считать, что ночи после 6 (19) августа становятся намного холоднее. До Спаса не позволяется есть яблоки и блюда из яблок. А вот в этот день, напротив, полагается срывать и освящать яблоки и другие фрукты нового урожая.

Содержание

  • 1 Другие названия
  • 2 В церковном календаре
  • 3 Обряды
  • 4 Поговорки и приметы
  • 5 Второй Спас в поэзии
  • 6 См. также
  • 7 Примечания
  • 8 Литература
  • 9 Ссылки

Другие названия

Спас, Второй Спас, Праздник первых плодов, Спас на горе, Средний Спас, Горохов день, Вторая встреча осени (вологод. ), Первые осенины, Осенины, Преображение.

В церковном календаре

В этот день Русская православная церковь почитает Преображение Господа Бога и Спаса Иисуса Христа.

Существовала вера, что на том свете детям, родители которых до Второго Спаса не едят яблок, раздают гостинцы (среди них и райские яблоки). А тем детям, родители которых пробовали яблоки, — нет. Поэтому многие родители, а особенно те, у которых умерли дети, считают великим грехом съесть яблоко до Второго Спаса. Женщины, потерявшие детей, утром этого дня должны отнести в храм несколько яблок, освятить, занести и положить на могилки умерших детей. В том случае, если могила ребёнка далеко или вовсе неизвестно где, следует освящённое яблоко положить на любую детскую могилу или поступить ещё проще — оставить яблоки в храме.

Многие крестьяне освящённые яблоки несли на кладбище и клали на могилы всем умершим родственникам[1].

Обряды

Б. М. Кустодиев. Яблоневый сад. 1918 г.

Яблочный пирог

Яблочный Спас ещё называют «первыми осенинами», то есть встречей осени. Считается, что этот праздник призван напомнить людям о необходимости духовного преображения. По традиции в этот день вначале угощали яблоками родных, близких, а также сирот, неимущих, как поминание об уснувших вечным сном предков, и лишь затем сами ели.

В старину все верующие люди непременно праздновали Яблочный Спас, пекли пироги с яблоками, варили яблочное варенье и угощали им друг друга. А вечером все выходили в поле, чтобы с песнями проводить закат солнца, а с ним и лето.

Поговорки и приметы

  • Какой второй Спас, такой и январь.
  • Каков день на Второго Спаса, таков и Покров.
  • Сухой день предвещает сухую осень, мокрый — мокрую, а ясный — суровую зиму.
  • В этот день провожают закат солнца в поле с песнями.
  • Встреча осени — Осенины.
  • На второй Спас освящают яблоки и мёд.
  • На второй Спас и нищий яблочко съест.
  • До второго спаса не едят никаких плодов, кроме огурцов.
  • Кто когда хочет (улететь), а журавль к Спасу.
  • Когда ешь первое яблочко, «что надумано — сбудется, что сбудется — не минуется».
  • Пришёл Спас — всему час.
  • Пришёл второй Спас, бери рукавицы про запас.
  • На второй Спас бери голицы про запас.
  • Со второго спаса засевай озими.
  • Если сев ржи придётся во время полуночного (северного) ветра, то — по примете — рожь выйдет крепче и крупнее зерном.
  • Если при посеве ржи пойдёт дождик мелкий, как бисер, то это Бог об урожае весть подаёт; а если пойдёт ливень, то лучше и не продолжать сева, а скорее поворачивать оглобли домой.
  • Яровое поспевает ко второму спасу, а убирается к Симеону Столпнику (нижегородск.).

Второй Спас в поэзии

Прощай, лазурь преображенская
И золото второго Спаса
Смягчи последней лаской женскою
Мне горечь рокового часа.

— Борис Пастернак, 1953

См.

также

  • Медовый Спас
  • Третий Спас
  • Преображение Господне
  • Яблочное чаепитие

Примечания

  1. Котович, Крук, 2010, с. 228-229

Литература

  1. Золотые правила народной культуры / О. В. Котович, И. И. Крук. — Мн.: Адукацыя i выхаванне, 2010. — 592 с. — 3000 экз. — ISBN 978-985-471-335-9
  2. Коринфский А. А. Народная Русь. — Смоленск: Русич, 1995. — 656 с. — ISBN 5-88590-309-3
  3. Некрылова А. Ф. Круглый год. — М.: Правда, 1991. — 496 с. — ISBN 5-252-00598-6

Ссылки

  • Преображение (Яблочный Спас) // Российский Этнографический Музей

Яблочный Спас | Историческая хозяйка

Опубликовано Автор: Историческая хозяйка

Практически во всех аграрных обществах существует та или иная версия праздника «Первые плоды», когда продукты первого урожая преподносятся как религиозное подношение. Западная христианская церковь давно отказалась от этой практики, но восточно-православные секты сохранили эту традицию, отмечая 19 августа Великий праздник Преображения Господня, также известный как Яблочный день в честь Спасителя (9).0007 Яблочный Спас) . Это один из трех русских православных праздников, отмечаемых в августе, и, на мой взгляд, с лучшим выбором блюд.

Ко времени прихода христианства на Русь, ближе к концу X века, уже существовал очень подробный календарь святых дней и праздников, установленный греками. В средиземноморском климате, где берет свое начало христианство, дата благословения урожая была установлена ​​19 августа, чтобы совпасть с празднованием Преображения Господня, скорее всего, потому, что этот праздник приходился ближе всего ко времени сбора урожая двух основных местных культур, винограда и пшеницы. . Российский климат не способствовал позднему августовскому урожаю этих культур, поэтому благословение было расширено за счет местных фруктов, которыми для россиян являются яблоки в августе.

Маргарет МакКиббон, президент Американских друзей русского фольклора, щедро поделилась со мной подробной информацией об этом празднике, его истоках и, что самое удивительное, личным анекдотом о современном празднике:

«В последний раз я была в церкви в Беларуси лето [2011] для Яблочного Спаса… Храм был в хорошем состоянии, в нем много людей всех возрастов. Каждая семья приносила корзину с ярким тканым или вышитым полотенцем, наполненную яблоками и другими фруктами, обычно теми, что росли в их собственных садах дома. Корзины были спрятаны до конца литургии, когда прихожане отступили, чтобы освободить центральный проход с корзинами на полу, выстроившимися по обеим сторонам. Затем священник прошел по проходу, повторяя благословение, поливая освященной водой венчиком корзины и людей. После заключительной молитвы все собрали свои корзины и направились домой, а пожилые дамы безмятежно крутили педали велосипедов по дороге.

Хозяйка дома бережно разделила благословенный плод на порции для своих друзей и родственников, которые не были на службе. Большая часть остатка дня была потрачена на посещение и раздачу благословенных плодов, которые всегда принимались с благоговением и благодарностью».

Традиция восточных православных первых плодов – это скорее церковное благословение урожая, которым затем делятся с общиной, а не десятина или жертвоприношение, как во многих других религиях. Эта идея поделиться щедростью дает отличный повод собрать друзей и семью, чтобы отпраздновать последние, долгие дни лета. В России считается плохой приметой есть яблоки до Спаса, так что это будет первый вкус яблок в этом году… так что смело сходите с ума по яблокам!

Меню

Квас яблочный
Закуси
Сельдь рубленая Бутерброди
Яблоки маринованные
Салат из свежей капусты с яблоками и сметанной заправкой
Шашлык
Шарлотка яблочная

Рубрика: Яблоко, Яблочный Спас, Яблоки, Август, Урожай, Праздник, Основная статья, Россия, Лето

|

Метки: Яблоко, Яблочный день, жатва, Россия, русский фольклор, русские православные праздники, летние посиделки

|
3 Ответы

Опубликовано Автор: Историческая хозяйка

Квас — национальный напиток России, обычно изготавливаемый из ферментированного ржаного хлеба. Он имеет очень небольшое содержание алкоголя из-за брожения, обычно около 1%. Квас впервые упоминается в древнерусских летописях в 989 году и с тех пор является самым распространенным «безалкогольным» напитком в Восточной Европе, потребляемым всеми сословиями.

После распада Советского Союза западные производители безалкогольных напитков Coca-Cola и Pepsi начали посягать на рынок кваса. Но недавно произошло «возрождение кваса», инициатором которого выступила российская компания «Никола» (что по-русски произносится как «не-кола»), объявившая его патриотической альтернативой коле. Coca-Cola даже запустила собственную версию кваса, а Pepsi занимается дистрибьюцией для российского производителя кваса.

Изучая этот рецепт, я обнаружил много смешанных чувств среди американских потребителей кваса. Некоторые говорят, что он готов стать следующим популярным напитком в Америке и становится популярным у уличных торговцев в Нью-Йорке и других городах Восточного побережья. Другие люди говорят, что это странно и совсем не подходит для американского вкуса.

Приведенный ниже рецепт яблочного кваса намного проще традиционного, так как не требует варки и имеет легкий, освежающий, слегка дрожжевой вкус, который очень актуален в поздний летний день. Я думаю, что это отличное введение в эту русскую классику.

Из кухни Наташи

Ингредиенты

  • 8 стаканов яблочного сока
  • ½ стакана белого сахара
  • ½ ст.л. активных сухих дрожжей
  • ½ ч.л. темной патоки (или 1 ч.л. растворимого кофе)
  • 6 чашек фильтрованной воды

Инструкции

  1. Наполните стеклянную банку на 16 чашек 8 чашками яблочного сока.
  2. Добавить сахар, дрожжи и патоку. Перемешивайте, пока сахар не растворится, затем добавьте воду.
  3. Накройте несколькими слоями марли или хлопчатобумажной ткани и наденьте резинку на край банки. Дайте постоять на столе 18 часов, затем охладите. Когда он полностью остынет, можно снять марлю и закрутить крышку. Если вы закроете крышку, пока она теплая, внутри банки создастся слишком большое давление.
  4. Подавайте квас, когда он полностью остынет.

Примечания

Снежана предложила: 4–8 столовых ложек сахара с горкой (7 столовых ложек = ½ стакана, получилось неплохо!) счетчик.

Рубрика: Яблочный Спас, Яблоки, Август, Напиток, Россия

|

Метки: Яблочный день, Яблоки, квас, кисломолочный напиток, Квас, ментированный напиток, Россия, безалкогольный напиток

|
2 Ответы

Опубликовано 9 августа 2013 г. Исторической хозяйкой

Короткий летний вегетационный период и долгая зима означали, что сохранение продуктов питания было вопросом жизни и смерти в доиндустриальной России. Это традиция, которая до сих пор в значительной степени поддерживается даже среди городских русских. Дача или загородный дом на удивление привычны даже для россиян среднего класса. Согласно «Жилищным исследованиям: феномен русской дачи» Раймонда Дж. Струйка и Карен Ангеличи, примерно каждая четвертая семья в большом городе имеет дачу. В то время как «вторые дома» сначала появились как подарки верным вассалам Петра Великого, в советское время наблюдался умеренный бум дачной жизни, так как многие объекты недвижимости были национализированы и превращены в дома отдыха для рабочего класса. Весна и лето называются «дачным сезоном», и магазины рекламируют распродажи садовой техники и других товаров для отдыха на природе. Хотя они стали убежищем для отдыха многих состоятельных россиян, память о нехватке продовольствия в советское время в сочетании с давней культурной традицией выращивания и хранения собственных продуктов питания означает, что многие люди по-прежнему вкладывают средства в тщательное садоводство на своих дачах.

Итак, когда ваши дачные яблони нуждаются в сборе урожая или вы только что закончили грабить соседскую яблоню, вам захочется сохранить часть урожая на бесплодные месяцы вперед.

Этот рецепт больше подходит для немедленного удовлетворения. Вы можете привезти урожай яблок со своего дачного участка и замариновать яблоки в тот же день!

Я нашел этот чек в Portland Monthly Magazine, любезно предоставленный Грегори Гуде из Saucebox

4 красных яблока
4 лука-шалота, очищенного, тонко нарезанного
2 ст.л. смеси специй*
2 стакана рисового винного уксуса
2 стакана сахара

(1)  Вымойте и нарежьте яблоки средними кубиками.
(2) Положите лук-шалот в контейнер и накройте яблоками.
(3)  Добавьте смесь специй к уксусу и сахару и доведите до кипения.
(4) Вылить смесь на яблоки и лук-шалот.
(5)  Накройте полиэтиленовой пленкой, чтобы все было погружено в жидкость.
(6)  Дать остыть  при комнатной температуре.

* Смешание специй

Ингредиенты

8 коричные палочки
8 кусочков Anise
12 гвоздики
1 ст. в разогретой до 375 градусов духовке до появления аромата (около 10–15 минут).
(2)  После того, как остынет до такой степени, что ее можно будет взять в руки, измельчите в мельнице для специй до получения мелкой фракции.

Рубрика: Закуска, Яблоко, Яблочный Спас, Яблоки, Август, Урожай, Маринованное, Россия, Гарнир

|

Tagged День яблока, Яблоки, Маринованные фрукты, Россия

|
2 Ответы

Опубликовано Автор: Historic Hostess

Рецепт из книги «Год русских застолий» Екатерины Черметевой Джонс.

Россия производит более 4 млн тонн капусты в год, а Украина производит 1,3 млн тонн. Они занимают 3-е и 7-е место в списке десяти лучших производителей в мире. Это сытный овощ, который хорошо растет в более холодном климате и с коротким вегетационным периодом. Это потрясающий источник витамина С, который легко сохранить как важный источник питательных веществ в течение чрезвычайно долгой и суровой зимы.

Конечно, в короткое русское лето приятно как можно больше смаковать свежие, сырые овощи. И этот рецепт такой быстрый, простой, а результат такой освежающий, что вполне естественно для летней вечеринки… без горячей плиты, из кухни в мгновение ока.

Сметана – еще один продукт русской кухни. Молочные продукты вообще традиционно были в большом количестве в России, и как культура (извините, не удержался!) они, кажется, имеют реальную склонность к брожению, так что распространение «кислых» сливок имеет смысл. .

8 унций. белокочанную капусту, удалить жесткие внешние листья и сердцевину, разделить на четыре части и очень тонко нарезать.

Соль

1 маленькое яблоко, очищенное и натертое на крупной терке

3 столовые ложки сметаны, сметаны или майонеза

Свежемолотый перец

вручную, раздавливая капусту, чтобы выпустить сок, около 1 минуты. Добавьте яблоки, сметану, соль и перец по вкусу и хорошо перемешайте. При необходимости отрегулируйте приправы и сразу подавайте.

Рубрика: Яблочный Спас, Яблоки, Август, Капуста, Рецепт, Салат, Гарнир, Сметана

|

Метки: яблоки, капуста, россия, русская кухня, салаты, вегетарианские

|
1 Ответить

Опубликовано на от Historic Hostess

Шашлык — это более или менее то, что мы здесь, в США, называем шашлыком. Мясо, приготовленное на костре на шампуре. Это российский аналог общеамериканского гамбургера или хот-дога на гриле. Это то, что русские подают на летних вечеринках. Вариаций рецепта много, и это может быть просто мясо, или сочетание мяса и овощей на шпажках, ваше воображение может вам помочь.

Говядина и баранина — традиционные виды мяса, но можно использовать и свинину. Мы приготовили наши шашлычки из говядины, грибов, зеленого и красного перца, красного лука и помидоров черри.

Рубрика: Яблочный Спас, Август, Говядина, Второе блюдо, Россия, Шашлык, Лето, Без рубрики

|

Метки: Гриль, Россия, Шашлык, Лето, летние вечеринки

|
1 Ответить

Secure Enclave — Служба поддержки Apple

Secure Enclave — это специальная подсистема безопасности в последних версиях iPhone, iPad, iPod touch, Mac, Apple TV, Apple Watch и HomePod.

Обзор

Secure Enclave — это специальная подсистема безопасности, интегрированная в системы Apple на кристалле (SoC). Secure Enclave изолирован от основного процессора, чтобы обеспечить дополнительный уровень безопасности, и предназначен для обеспечения безопасности конфиденциальных пользовательских данных, даже если ядро ​​процессора приложений будет скомпрометировано. Он следует тем же принципам проектирования, что и SoC: загрузочное ПЗУ для установки аппаратного корня доверия, механизм AES для эффективных и безопасных криптографических операций и защищенная память. Хотя Secure Enclave не включает хранилище, он имеет механизм для безопасного хранения информации в подключенном хранилище отдельно от флэш-памяти NAND, используемой процессором приложений и операционной системой.

Secure Enclave — это аппаратная функция большинства версий iPhone, iPad, Mac, Apple TV, Apple Watch и HomePod, а именно:

  • iPhone 5s или новее

  • iPad Air или новее

  • Компьютеры MacBook Pro с сенсорной панелью (2016 и 2017 гг.) с чипом Apple T1

  • Компьютеры Mac на базе процессоров Intel с чипом Apple T2 Security Chip

  • Компьютеры Mac с процессором Apple Silicon

  • Apple TV HD или новее

  • Apple Watch Series 1 или новее

  • HomePod и HomePod mini

Процессор Secure Enclave

Процессор Secure Enclave обеспечивает основную вычислительную мощность Secure Enclave. Чтобы обеспечить максимальную изоляцию, процессор Secure Enclave предназначен исключительно для использования Secure Enclave. Это помогает предотвратить атаки по сторонним каналам, которые зависят от вредоносного программного обеспечения, использующего то же ядро ​​выполнения, что и атакуемое целевое программное обеспечение.

Процессор Secure Enclave работает под управлением Apple версии микроядра L4. Он предназначен для эффективной работы на более низкой тактовой частоте, что помогает защитить его от атак с тактовой частотой и питанием. Процессор Secure Enclave, начиная с A11 и S4, включает механизм защиты памяти и зашифрованную память с функциями защиты от повторного воспроизведения, безопасную загрузку, специальный генератор случайных чисел и собственный механизм AES.

Механизм защиты памяти

Secure Enclave работает из выделенной области DRAM-памяти устройства. Несколько уровней защиты изолируют защищенную память Secure Enclave от процессора приложений.

При запуске устройства загрузочное ПЗУ Secure Enclave создает случайный ключ защиты временной памяти для механизма защиты памяти. Всякий раз, когда Secure Enclave выполняет запись в выделенную область памяти, механизм защиты памяти шифрует блок памяти с помощью AES в режиме Mac XEX (xor-encrypt-xor) и вычисляет тег аутентификации CMAC на основе шифра для Память. Механизм защиты памяти хранит тег проверки подлинности вместе с зашифрованной памятью. Когда Secure Enclave считывает память, механизм защиты памяти проверяет тег проверки подлинности. Если тег проверки подлинности совпадает, механизм защиты памяти расшифровывает блок памяти. Если тег не совпадает, механизм защиты памяти сообщает Secure Enclave об ошибке. После ошибки аутентификации памяти Secure Enclave перестает принимать запросы до тех пор, пока система не будет перезагружена.

Начиная с SoC Apple A11 и S4, механизм защиты памяти добавляет защиту от повторного использования для памяти Secure Enclave. Чтобы предотвратить повторное воспроизведение важных для безопасности данных, модуль защиты памяти сохраняет уникальный одноразовый номер, называемый nonce , для блока памяти вместе с тегом проверки подлинности. Одноразовый номер используется в качестве дополнительной настройки для тега аутентификации CMAC. Одноразовые номера для всех блоков памяти защищены с помощью дерева целостности с корнем в выделенной SRAM в рамках Secure Enclave. Для записи механизм защиты памяти обновляет одноразовый номер и каждый уровень дерева целостности вплоть до SRAM. Для чтения модуль защиты памяти проверяет одноразовый номер и каждый уровень дерева целостности вплоть до SRAM. Несоответствия одноразовых номеров обрабатываются аналогично несоответствиям тегов аутентификации.

В Apple A14, A15, семействе M1 и более поздних версиях SoCS механизм защиты памяти поддерживает два ключа защиты эфемерной памяти. Первый используется для данных, закрытых для Secure Enclave, а второй используется для данных, совместно используемых с Secure Neural Engine.

Модуль защиты памяти работает прозрачно для Secure Enclave. Secure Enclave читает и записывает память, как если бы это была обычная незашифрованная DRAM, тогда как наблюдатель за пределами Secure Enclave видит только зашифрованную и аутентифицированную версию памяти. В результате обеспечивается надежная защита памяти без ущерба для производительности или сложности программного обеспечения.

Загрузочное ПЗУ Secure Enclave

Secure Enclave включает в себя специальное загрузочное ПЗУ Secure Enclave. Как и загрузочное ПЗУ процессора приложений, загрузочное ПЗУ Secure Enclave представляет собой неизменяемый код, который устанавливает аппаратный корень доверия для Secure Enclave.

При запуске системы iBoot выделяет выделенную область памяти для Secure Enclave. Перед использованием памяти загрузочное ПЗУ Secure Enclave инициализирует механизм защиты памяти, чтобы обеспечить криптографическую защиту защищенной памяти Secure Enclave.

Затем процессор приложений отправляет образ sepOS в загрузочное ПЗУ Secure Enclave. После копирования образа sepOS в защищенную память Secure Enclave загрузочное ПЗУ Secure Enclave проверяет криптографический хэш и подпись образа, чтобы убедиться, что sepOS авторизован для запуска на устройстве. Если образ sepOS правильно подписан для запуска на устройстве, загрузочное ПЗУ Secure Enclave передает управление sepOS. Если подпись недействительна, загрузочное ПЗУ Secure Enclave предназначено для предотвращения дальнейшего использования Secure Enclave до следующего сброса микросхемы.

В SoC Apple A10 и более поздних версиях загрузочное ПЗУ Secure Enclave блокирует хэш sepOS в регистре, предназначенном для этой цели. Акселератор открытых ключей использует этот хэш для ключей, привязанных к операционной системе (ОС).

Монитор загрузки Secure Enclave

В SoC Apple A13 и более поздних версиях Secure Enclave включает монитор загрузки, предназначенный для обеспечения более надежной целостности хэша загружаемой sepOS.

При запуске системы конфигурация защиты целостности системного сопроцессора (SCIP) процессора Secure Enclave помогает предотвратить выполнение процессором Secure Enclave любого кода, кроме загрузочного ПЗУ Secure Enclave. Монитор загрузки помогает предотвратить непосредственное изменение конфигурации SCIP Secure Enclave. Чтобы сделать загруженный исполняемый файл sepOS исполняемым, загрузочное ПЗУ Secure Enclave отправляет загрузочному монитору запрос с адресом и размером загруженного sepOS. При получении запроса монитор загрузки сбрасывает процессор Secure Enclave, хэширует загруженную sepOS, обновляет параметры SCIP, чтобы разрешить выполнение загруженной sepOS, и запускает выполнение во вновь загруженном коде. Поскольку система продолжает загружаться, этот же процесс используется всякий раз, когда новый код становится исполняемым. Каждый раз монитор загрузки обновляет текущий хэш процесса загрузки. Boot Monitor также включает критические параметры безопасности в текущий хэш.

По завершении загрузки монитор загрузки завершает текущий хэш и отправляет его ускорителю открытых ключей для использования в ключах, привязанных к ОС. Этот процесс разработан таким образом, что привязку ключей операционной системы нельзя обойти даже при наличии уязвимости в загрузочном ПЗУ Secure Enclave.

Генератор истинных случайных чисел

Генератор истинных случайных чисел (TRNG) используется для создания защищенных случайных данных. Secure Enclave использует TRNG всякий раз, когда генерирует случайный криптографический ключ, случайное начальное число ключа или другую энтропию. TRNG основан на постобработке нескольких кольцевых генераторов с помощью CTR_DRBG (алгоритм, основанный на блочных шифрах в режиме счетчика).

Корневые криптографические ключи

Secure Enclave содержит корневой криптографический ключ с уникальным идентификатором (UID). UID уникален для каждого отдельного устройства и не связан ни с каким другим идентификатором на устройстве.

Случайно сгенерированный UID встраивается в SoC во время производства. Начиная с SoC A9, UID генерируется TRNG Secure Enclave во время производства и записывается в предохранители с использованием программного процесса, который полностью выполняется в Secure Enclave. Этот процесс защищает UID от видимости за пределами устройства во время производства и, следовательно, недоступен для доступа или хранения Apple или любым из ее поставщиков.

sepOS использует UID для защиты секретов устройства. UID позволяет криптографически привязывать данные к конкретному устройству. Например, иерархия ключей, защищающая файловую систему, включает в себя UID, поэтому, если внутреннее хранилище SSD физически перемещается с одного устройства на другое, файлы становятся недоступными. Другие защищенные секреты, относящиеся к конкретному устройству, включают данные Face ID или Touch ID. На Mac только полностью внутреннее хранилище, связанное с механизмом AES, получает этот уровень шифрования. Например, в 2019 году не было добавлено ни внешних устройств хранения данных, подключенных через USB, ни хранилищ на основе PCIe.Mac Pro шифруются таким образом.

Secure Enclave также имеет идентификатор группы устройств (GID), который является общим для всех устройств, использующих данную SoC (например, все устройства, использующие SoC Apple A15, имеют один и тот же GID).

UID и GID недоступны через Joint Test Action Group (JTAG) или другие интерфейсы отладки.

Secure Enclave AES Engine

Secure Enclave AES Engine — это аппаратный блок, используемый для выполнения симметричной криптографии на основе шифра AES. Механизм AES спроектирован таким образом, чтобы противостоять утечке информации за счет использования синхронизации и анализа статической мощности (SPA). Начиная с А9SoC, AES Engine также включает контрмеры динамического анализа мощности (DPA).

AES Engine поддерживает аппаратные и программные ключи. Аппаратные ключи получаются из UID или GID Secure Enclave. Эти ключи остаются в AES Engine и не видны даже программному обеспечению sepOS. Хотя программное обеспечение может запрашивать операции шифрования и дешифрования с помощью аппаратных ключей, оно не может извлекать ключи.

В SoC Apple A10 и более новых системах AES Engine включает блокируемые начальные биты, которые разнообразят ключи, полученные из UID или GID. Это позволяет обусловить доступ к данным режимом работы устройства. Например, блокируемые начальные биты используются для запрета доступа к защищенным паролем данным при загрузке из режима обновления прошивки устройства (DFU). Дополнительные сведения см. в разделе Коды-пароли и пароли.

Механизм AES

Каждое устройство Apple с Secure Enclave также имеет специальный механизм шифрования AES256 («механизм AES»), встроенный в путь прямого доступа к памяти (DMA) между флэш-памятью NAND (энергонезависимой) и основной системной памятью. делая шифрование файлов очень эффективным. В процессорах A9 и более поздних версий подсистема флэш-памяти находится на изолированной шине, которой предоставляется доступ только к памяти, содержащей пользовательские данные, через механизм шифрования DMA.

Во время загрузки sepOS создает эфемерный ключ-обертку, используя TRNG. Secure Enclave передает этот ключ в AES Engine по выделенным проводам, предназначенным для предотвращения доступа к нему какого-либо программного обеспечения за пределами Secure Enclave. После этого sepOS может использовать эфемерный ключ-оболочку для переноса файловых ключей для использования драйвером файловой системы процессора приложений. Когда драйвер файловой системы читает или записывает файл, он отправляет упакованный ключ в AES Engine, который распаковывает ключ. AES Engine никогда не предоставляет развернутый ключ программному обеспечению.

Примечание: Механизм AES является отдельным компонентом как от Secure Enclave, так и от Secure Enclave AES Engine, но его работа тесно связана с Secure Enclave, как показано ниже.

Ускоритель открытых ключей

Ускоритель открытых ключей (PKA) — это аппаратный блок, используемый для выполнения операций асимметричного шифрования. PKA поддерживает алгоритмы подписи и шифрования RSA и ECC (Elliptic Curve Cryptography). PKA предназначен для предотвращения утечки информации с помощью атак по времени и по сторонним каналам, таких как SPA и DPA.

PKA поддерживает программные и аппаратные ключи. Аппаратные ключи получаются из UID или GID Secure Enclave. Эти ключи остаются в PKA и не видны даже программному обеспечению sepOS.

Начиная с SoC A13, реализации шифрования PKA были математически правильны с использованием методов формальной проверки.

В SoC Apple A10 и более поздних версиях PKA поддерживает ключи, привязанные к ОС, также называемые защитой запечатанных ключей (SKP). Эти ключи генерируются с использованием комбинации UID устройства и хэша sepOS, работающего на устройстве. Хэш предоставляется загрузочным ПЗУ Secure Enclave или загрузочным монитором Secure Enclave на Apple A13 и более поздних SoC. Эти ключи также используются для проверки версии sepOS при выполнении запросов к определенным службам Apple, а также используются для повышения безопасности данных, защищенных паролем, помогая предотвратить доступ к ключевому материалу, если в систему вносятся критические изменения без авторизации пользователя.

Защищенное энергонезависимое хранилище

Secure Enclave оснащен специальным безопасным энергонезависимым запоминающим устройством. Защищенное энергонезависимое хранилище подключается к Secure Enclave с помощью выделенной шины I2C, поэтому доступ к нему может получить только Secure Enclave. Все ключи шифрования пользовательских данных основаны на энтропии, хранящейся в энергонезависимом хранилище Secure Enclave.

В устройствах с SoC A12, S4 и более поздних версий Secure Enclave сочетается с компонентом Secure Storage для энтропийного хранения. Компонент безопасного хранилища сам по себе разработан с неизменяемым кодом ПЗУ, аппаратным генератором случайных чисел, уникальным криптографическим ключом для каждого устройства, криптографическими механизмами и обнаружением физического вмешательства. Secure Enclave и Secure Storage Component взаимодействуют с использованием зашифрованного и аутентифицированного протокола, который обеспечивает эксклюзивный доступ к энтропии.

Устройства, впервые выпущенные осенью 2020 г. или позже, оснащены компонентом безопасного хранения 2-го поколения. Компонент безопасного хранения 2-го поколения добавляет встречные сейфы. В каждом сейфе счетчика хранится 128-битная соль, 128-битный верификатор пароля, 8-битный счетчик и 8-битное максимальное значение попытки. Доступ к сейфам счетчиков осуществляется по зашифрованному и аутентифицированному протоколу.

Счетчики-сейфы содержат энтропию, необходимую для разблокировки пользовательских данных, защищенных паролем. Чтобы получить доступ к пользовательским данным, сопряженный Secure Enclave должен получить правильное значение энтропии кода доступа из кода доступа пользователя и UID Secure Enclave. Пароль пользователя нельзя узнать с помощью попыток разблокировки, отправленных из источника, отличного от сопряженного Secure Enclave. Если лимит попыток ввода пароля превышен (например, 10 попыток на iPhone), данные, защищенные паролем, полностью удаляются компонентом безопасного хранилища.

Чтобы создать сейф со счетчиком, Secure Enclave отправляет компоненту Secure Storage значение энтропии пароля и максимальное значение попытки. Компонент безопасного хранилища генерирует солт-значение, используя генератор случайных чисел. Затем он получает значение верификатора пароля и значение энтропии запертого ящика из предоставленной энтропии пароля, уникального криптографического ключа компонента безопасного хранения и солт-значения. Компонент защищенного хранилища инициализирует блокировку счетчика с нулевым счетчиком, предоставленным значением максимальной попытки, полученным значением верификатора пароля и значением соли. Затем компонент Secure Storage возвращает сгенерированное значение энтропии защищенного хранилища в Secure Enclave.

Чтобы позднее получить значение энтропии сейфа из сейфа-счетчика, Secure Enclave отправляет компоненту Secure Storage энтропию пароля. Компонент безопасного хранения сначала увеличивает счетчик для сейфа. Если увеличенный счетчик превышает максимальное значение попытки, компонент защищенного хранилища полностью стирает блокировку счетчика. Если максимальное количество попыток не достигнуто, компонент безопасного хранилища пытается получить значение верификатора пароля и значение энтропии сейфа с помощью того же алгоритма, который использовался для создания сейфа-счетчика. Если полученное значение верификатора пароля совпадает с сохраненным значением верификатора пароля, компонент Secure Storage возвращает значение энтропии запертого ящика в Secure Enclave и сбрасывает счетчик на 0.

Ключи, используемые для доступа к защищенным паролем данным, уходят корнями в энтропию, хранящуюся в секретных сейфах. Дополнительные сведения см. в разделе Обзор защиты данных.

Защищенное энергонезависимое хранилище используется для всех служб предотвращения воспроизведения в Secure Enclave. Службы защиты от повторного воспроизведения в Secure Enclave используются для отзыва данных о событиях, которые отмечают границы защиты от повторного воспроизведения, включая, помимо прочего, следующее:

  • Изменение пароля

  • Включение или отключение Face ID или Touch ID

  • Добавление или удаление лица Face ID или отпечатка пальца Touch ID

  • Сброс Face ID или Touch ID

  • Добавление или удаление карты Apple Pay

  • 9005 Стереть все содержимое и настройки

В архитектурах без компонента безопасного хранения EEPROM (электрически стираемая программируемая постоянная память) используется для предоставления услуг безопасного хранения для Secure Enclave. Как и компоненты безопасного хранилища, EEPROM подключен и доступен только из Secure Enclave, но он не содержит специальных аппаратных функций безопасности и не гарантирует эксклюзивный доступ к энтропии (кроме его физических характеристик подключения) или функции счетчика блокировки.

Secure Neural Engine

На устройствах с Face ID Secure Neural Engine преобразует 2D-изображения и карты глубины в математическое представление лица пользователя.

В SoC от A11 до A13 Secure Neural Engine интегрирован в Secure Enclave. Secure Neural Engine использует прямой доступ к памяти (DMA) для повышения производительности. Блок управления памятью ввода-вывода (IOMMU) под управлением ядра sepOS ограничивает этот прямой доступ к авторизованным областям памяти.

Начиная с A14 и семейства M1, Secure Neural Engine реализован как безопасный режим в Neural Engine процессора приложений. Выделенный аппаратный контроллер безопасности переключается между задачами Application Processor и Secure Enclave, сбрасывая состояние Neural Engine при каждом переходе, чтобы обеспечить безопасность данных Face ID. Выделенный механизм применяет шифрование памяти, аутентификацию и контроль доступа. В то же время он использует отдельный криптографический ключ и диапазон памяти, чтобы ограничить Secure Neural Engine авторизованными областями памяти.

Мониторы питания и часов

Вся электроника предназначена для работы в ограниченном диапазоне напряжений и частот. При работе за пределами этого диапазона электроника может работать со сбоями, и тогда средства защиты могут быть обойдены. Чтобы гарантировать, что напряжение и частота остаются в безопасном диапазоне, Secure Enclave разработан с цепями мониторинга. Эти схемы мониторинга рассчитаны на гораздо большую рабочую зону, чем остальная часть Secure Enclave. Если мониторы обнаруживают недопустимую рабочую точку, часы в Secure Enclave автоматически останавливаются и не перезапускаются до следующего сброса SoC.

Обзор функций Secure Enclave

Примечание. Продукты A12, A13, S4 и S5, впервые выпущенные осенью 2020 г., имеют компонент Secure Storage 2-го поколения, тогда как более ранние продукты, основанные на этих SoC, имеют Secure Storage 1-го поколения. Составная часть.

908

OS-связки. )

SoC

Memory Protection Engine

Secure Storage

AES Engine

PKA

A8

Encryption and authentication

EEPROM

Yes

No

A9

Encryption and authentication

EEPROM

Защита DPA

Да

A10

Шифрование и аутентификация

EEPROM

DPA protection and lockable seed bits

OS-bound keys

A11

Encryption, authentication, and replay prevention

EEPROM

Защита DPA и блокируемые начальные биты

Ключи для ОС

A12 (устройства Apple, выпущенные до осени 2020 г. )

Шифрование, аутентификация и профилактика воспроизведения

Безопасное компонент хранения генерал 1

Защита DPA и блокируемые биты SEED

Шифрование, аутентификация и предотвращение повторного использования

Компонент безопасного хранения, поколение 2

Защита DPA и блокируемые начальные биты

Ключи с ОС

A13 (устройства Apple, выпущенные до осени 2020)

Защита, Компенсии, а также для повторной профилактики

GENTER HARTENTITICATION и Replay Lefficent

GENTER HARTECONTITITIATION и Replay

. блокируемые начальные биты

Ключи, привязанные к ОС, и монитор загрузки

A13 (устройства Apple, выпущенные после осени 2020 г.)

Шифрование, аутентификация и предотвращение воспроизведения

Secure Storage Component gen 2

DPA protection and lockable seed bits

OS-bound keys and Boot Monitor

A14, A15

Encryption, authentication, and replay prevention

Secure Storage Component gen 2

Защита DPA и блокируемые начальные биты

Привязанные к ОС ключи и монитор загрузки

S3

Encryption and authentication

EEPROM

DPA protection and lockable seed bits

Yes

S4

Encryption, authentication, and replay prevention

Компонент Secure Storage gen 1

Защита DPA и блокируемые начальные биты

Ключи для ОС

S5 (устройства Apple, выпущенные до осени 2020)

шифрование, аутентификация и профилактика воспроизведения

Компонент безопасного хранения Gen 1

Gen Gen 1

DPA.