iCloud-kryptering
Datakryptering pÄ iCloud Àr nÀra knuten till datalagringsmodellen som utgÄr frÄn CloudKit-ramverken och -API:erna som gör det möjligt för appar och systemprogramvara att lagra data pÄ iCloud Ä anvÀndarens vÀgnar samt hÄller allt uppdaterat mellan enheter och pÄ webben.
CloudKit-kryptering
CloudKit Àr ett ramverk som tillÄter att apputvecklare lagrar nyckelvÀrdedata, strukturerade data och resurser (större data lagrade separat frÄn databasen, exempelvis bilder eller videor) pÄ iCloud. CloudKit hanterar bÄde publika och privata databaser grupperade i behÄllare. Publika databaser delas globalt, anvÀnds vanligtvis för allmÀnna resurser och krypteras inte. Privata databaser lagrar enskilda anvÀndares iCloud-data.
iCloud anvÀnder en nyckelhierarki som matchar datastrukturen. Varje behÄllares privata databas skyddas av en nyckelhierarki som bygger pÄ en asymmetrisk nyckel, en sÄ kallad CloudKit-tjÀnstenyckel. De hÀr nycklarna Àr unika för varje iCloud-anvÀndare och genereras pÄ deras betrodda enheter. NÀr data skrivs i CloudKit genereras alla postnycklar pÄ anvÀndarens betrodda enhet och paketeras med lÀmplig nyckelhierarki innan data överförs.
MĂ„nga Apple-tjĂ€nster som listas i Apple Support-artikeln Ăversikt över iCloud-datasĂ€kerhet anvĂ€nder heltĂ€ckande kryptering med en CloudKit-tjĂ€nstenyckel som skyddas pĂ„ samma sĂ€tt som synkronisering av iCloud-nyckelring. För de hĂ€r CloudKit-behĂ„llarna Ă€r tjĂ€nstenycklarna endast tillgĂ€ngliga pĂ„ anvĂ€ndarens betrodda enheter och varken Apple eller tredje parter har tillgĂ„ng till dem. Nycklarna synkroniseras mellan en anvĂ€ndares enheter Ă€ven om anvĂ€ndaren vĂ€ljer att inte anvĂ€nda iCloud-nyckelring till att synkronisera sina lösenord, nycklar och andra anvĂ€ndardata. Om en enhet förloras kan anvĂ€ndare Ă„terstĂ€lla sina data i iCloud-nyckelring genom att anvĂ€nda sĂ€ker Ă„terstĂ€llning av iCloud-nyckelring, kontakter för kontoĂ„terstĂ€llning eller en kontoĂ„terstĂ€llningsnyckel.
Hantering av krypteringsnycklar
SÀkerheten hos krypterade data i CloudKit bygger pÄ sÀkerheten hos motsvarande krypteringsnycklar. CloudKit-tjÀnstenycklar delas upp i tvÄ kategorier: heltÀckande krypterade och available-after-authentication (tillgÀngliga efter autentisering).
TjÀnstenycklar som Àr heltÀckande krypterade: För heltÀckande krypterade iCloud-tjÀnster blir de relevanta privata CloudKit-tjÀnstenycklarna aldrig tillgÀngliga för Apples servrar. TjÀnstenyckelpar, inklusive de privata nycklarna, skapas lokalt pÄ en anvÀndares betrodda enhet och överförs till anvÀndarens övriga enheter med iCloud-nyckelringssÀkerhet. Flödena för ÄterstÀllning och synkronisering av iCloud-nyckelring förmedlas via Apples servrar, men servrarna Àr kryptografiskt förhindrade frÄn att komma Ät anvÀndarens nyckelringsdata. I vÀrsta fall förloras alla heltÀckande krypterade data i CloudKit om anvÀndaren förlorar tillgÄngen till iCloud-nyckelring och alla dess mekanismer för ÄterstÀllning. Apple kan inte hjÀlpa till med ÄterstÀllning av dessa data.
TjÀnstenycklar som Àr available-after-authentication: För andra tjÀnster, som Bilder och iCloud Drive, lagras tjÀnstenycklarna i iCloud Hardware Security Modules i Apples datacenter och Àr tillgÀngliga för vissa Apple-tjÀnster. NÀr en anvÀndare loggar in pÄ iCloud pÄ en ny enhet och autentiserar sitt Apple-konto kan Apples servrar komma Ät dessa nycklar utan vidare interaktion eller inmatning frÄn anvÀndaren. NÀr anvÀndaren till exempel loggar in pÄ iCloud.com kan den omedelbart se sina bilder pÄ webben. De hÀr tjÀnstenycklarna Àr nycklar som Àr available-after-authentication.