الحماية المتقدمة للبيانات لـ iCloud

تمكين الحماية المتقدمة للبيانات

عندما يشغل المستخدم الحماية المتقدمة للبيانات، ينفذ الجهاز الموثوق به إجراءين: أولًا، ينقل غرض المستخدم لتشغيل الحماية المتقدمة للبيانات إلى أجهزته الأخرى التي تشارك في التشفير الكامل. ويقوم بذلك عن طريق كتابة قيمة جديدة، تم توقيعها بواسطة المفاتيح المحلية للجهاز، في بيانات تعريف جهاز سلسلة مفاتيح iCloud. لا يمكن لخوادم Apple إزالة هذه المصادقة أو تعديلها بينما تتم مزامنتها مع أجهزة المستخدم الأخرى.

ثانيًا، يبدأ الجهاز في إزالة مفاتيح الخدمة المتوفرة بعد المصادقة من مراكز بيانات Apple. نظرًا إلى أن هذه المفاتيح محمية بواسطة وحدات أمن المكونات المادية (HSMs) الخاصة بـ iCloud، فإن هذا الحذف فوري ودائم وغير قابل للإلغاء. بعد حذف المفاتيح، لم يعد بإمكان Apple الوصول إلى أي من البيانات المحمية بواسطة مفاتيح خدمة المستخدم. في هذا الوقت، يبدأ الجهاز عملية تدوير المفتاح غير المتزامن التي تُنشئ مفتاح خدمة جديدًا لكل خدمة كان مفتاحها متوفرًا سابقًا لخوادم Apple. إذا فشل تدوير المفتاح، بسبب انقطاع الشبكة أو أي خطأ آخر، فإن الجهاز يعيد محاولة تدوير المفتاح حتى ينجح.

بعد نجاح تدوير مفتاح الخدمة، لا يمكن فك تشفير البيانات الجديدة المكتوبة إلى الخدمة باستخدام مفتاح الخدمة القديم. فهي محمية بالمفتاح الجديد الذي تتحكم فيه أجهزة المستخدم الموثوق بها فقط ولم يكن متوفرًا أبدًا لـ Apple.

الحماية المتقدمة للبيانات والوصول إلى موقع الويب iCloud.com

عندما يشغّل المستخدم الحماية المتقدمة للبيانات لأول مرة، يتم إيقاف الوصول إلى بياناته على موقع الويب iCloud.com تلقائيًا. وذلك لأن خوادم iCloud على الويب لم يعد بإمكانها الوصول إلى المفاتيح المطلوبة لفك تشفير بيانات المستخدم وعرضها. يمكن للمستخدم اختيار تشغيل الوصول إلى الويب مرة أخرى واستخدام مشاركة أجهزته الموثوق بها للوصول إلى بيانات iCloud المشفرة على الويب.

بعد تشغيل الوصول إلى الويب، يجب على المستخدم تخويل تسجيل الدخول إلى الويب على أحد أجهزته الموثوق بها في كل مرة يزور فيها iCloud.com. التخويل "يدعم" الجهاز للوصول إلى الويب. خلال الساعة التالية، يقبل هذا الجهاز الطلبات من خوادم Apple محددة لتحميل مفاتيح الخدمة الفردية، لكن تلك المطابقة لقائمة الخدمات المسموح بها التي يمكن الوصول إليها عادةً على iCloud.com فقط. بعبارة أخرى، حتى بعد تخويل المستخدم تسجيل الدخول إلى الويب، يتعذر على طلب الخادم حث جهاز المستخدم على تحميل مفاتيح الخدمة للبيانات التي لم يكن مقصود عرضها على iCloud.com، (مثل بيانات الصحة أو كلمات السر في سلسلة مفاتيح iCloud) لا تطلب خوادم Apple إلا مفاتيح الخدمة اللازمة لفك تشفير البيانات المحددة التي يطلب المستخدم الوصول إليها على الويب. في كل مرة يتم فيها تحميل مفتاح الخدمة، يتم تشفيره باستخدام مفتاح مؤقت مرتبط بجلسة الويب التي خولها المستخدم ويتم عرض إشعار على جهاز المستخدم، يظهر خدمة iCloud التي يتم توفير بياناتها مؤقتًا لخوادم Apple.

الاحتفاظ باختيارات المستخدم

لا يمكن تعديل إعدادات الحماية المتقدمة للبيانات والوصول إلى موقع الويب iCloud.com إلا من قِبل المستخدم. تُخزَّن هذه القيم في بيانات تعريف جهاز سلسلة مفاتيح iCloud الخاصة بالمستخدم ولا يمكن تغييرها إلا من أحد أجهزة المستخدم الموثوق بها. لا يمكن لخوادم Apple تعديل هذه الإعدادات نيابة عن المستخدم، ولا يمكن إرجاعها إلى التكوين السابق.

العواقب الأمنية للمشاركة والتعاون

في معظم الحالات، عندما يشارك المستخدمون المحتوى للتعاون مع بعضهم—على سبيل المثال، من خلال الملاحظات المشتركة أو التذكيرات المشتركة أو المجلدات المشتركة في iCloud Drive أو مكتبة الصور المشتركة على iCloud—ويتم تشغيل الحماية المتقدمة للبيانات لدى جميع المستخدمين، يتم استخدام خوادم Apple فقط لإنشاء المشاركة لكن ليس لديها حق الوصول إلى مفاتيح التشفير للبيانات المشتركة. يظل المحتوى مشفرًا بالكامل ولا يمكن الوصول إليه إلا على أجهزة المشاركين الموثوق بها. بالنسبة إلى كل عملية مشاركة، قد تُخزن Apple عنوانًا وصورة مصغرة تمثيلية مع الحماية القياسية للبيانات لإظهار معاينة للمستخدمين المستلمين.

تحديد خيار "أي شخص لديه رابط" عند تمكين التعاون سيجعل المحتوى متوفرًا على خوادم Apple بموجب الحماية القياسية للبيانات، حيث يجب أن تكون الخوادم قادرة على توفير الوصول إلى أي شخص يفتح عنوان URL.

لا يدعم تعاون iWork وميزة الألبومات المشتركة في تطبيق الصور الحماية المتقدمة للبيانات. عند تعاون المستخدمين على مستند iWork أو فتح مستند iWork من مجلد مشترك في iCloud Drive، يتم تحميل مفاتيح تشفير المستند بأمان إلى خوادم iWork في مراكز بيانات Apple. هذا لأن التعاون في الوقت الفعلي في iWork يتطلب وساطة من جانب الخادم لتنسيق تغييرات المستند بين المشاركين. ويتم تخزين الصور المضافة إلى الألبومات المشتركة بالحماية القياسية للبيانات، حيث تسمح الميزة بمشاركة الألبومات بشكل عام على الويب.

تعطيل الحماية المتقدمة للبيانات

يمكن للمستخدم إيقاف الحماية المتقدمة للبيانات في أي وقت. إذا قرر فعل ذلك:

1. يسجل جهاز المستخدم أولًا اختياره الجديد في بيانات تعريف مشاركة سلسلة مفاتيح iCloud وتتم مزامنة هذا الإعداد بأمان مع جميع أجهزته.

2. يُحمّل جهاز المستخدم مفاتيح الخدمة بأمان لجميع الخدمات المتوفرة بعد المصادقة إلى وحدات أمن المكونات المادية (HSMs) الخاصة بـ iCloud في مراكز بيانات Apple. لا يتضمن هذا أبدًا مفاتيح الخدمات المشفرة بالكامل بموجب الحماية القياسية للبيانات، مثل سلسلة مفاتيح iCloud والصحة.

يُحمّل الجهاز كلًا من مفاتيح الخدمة الأصلية التي تم إنشاؤها قبل تشغيل الحماية المتقدمة للبيانات، ومفاتيح الخدمة الجديدة التي تم إنشاؤها بعد قيام المستخدم بتشغيل الميزة. هذا يجعل جميع البيانات في هذه الخدمات يمكن الوصول إليها بعد المصادقة ويرجع الحساب إلى الحماية القياسية للبيانات، حيث يمكن لـ Apple مرة أخرى مساعدة المستخدم على استرداد معظم بياناته إذا فقد الوصول إلى حسابه.

لا تغطي الحماية المتقدمة للبيانات بيانات iCloud

بسبب الحاجة إلى العمل البيني مع أنظمة البريد الإلكتروني وجهات الاتصال والتقويم العالمية، لا يتم تشفير البريد وجهات الاتصال والتقويم الخاصة بـ iCloud تشفيرًا كاملاً.

يخزن iCloud بعض البيانات من دون حماية مفاتيح خدمة CloudKit الخاصة بالمستخدم، حتى عند تشغيل الحماية المتقدمة للبيانات. يجب إعلان حقول سجلات CloudKit بشكل صريح على أنها "مشفرة" في مخطط الحاوية لحمايتها وتتطلب قراءة الحقول المشفرة وكتابتها استخدام واجهات برمجة التطبيقات (APIs) مخصصة. تُستخدم التواريخ والأوقات التي تم فيها تعديل ملف أو كائن لفرز معلومات المستخدم وتُستخدم المجموعات الاختبارية لبيانات الملفات والصور لمساعدة Apple على إلغاء تكرار تخزين iCloud وتخزين الجهاز الخاص بالمستخدم وتحسينهما—كل ذلك من دون الوصول إلى الملفات والصور نفسها. تتوفر تفاصيل حول كيفية استخدام التشفير لفئات بيانات محددة في مقال دعم Apple نظرة عامة على أمان بيانات iCloud.

كانت القرارات مثل استخدام المجموعات الاختبارية لإلغاء تكرار البيانات—وهي تقنية مشهورة تسمى التشفير المتقارب—جزءًا من التصميم الأصلي لخدمات iCloud عند إطلاقها. يتم دائمًا تشفير بيانات التعريف هذه، لكن يتم تخزين مفاتيح التشفير من قِبل Apple بموجب الحماية القياسية للبيانات. لمواصلة تعزيز عمليات الحماية الأمنية لجميع المستخدمين، تلتزم Apple بضمان تشفير المزيد من البيانات، بما في ذلك هذا النوع من بيانات التعريف، تشفيرًا كاملاً عند تشغيل الحماية المتقدمة للبيانات.

متطلبات الحماية المتقدمة للبيانات

تتضمن متطلبات تشغيل الحماية المتقدمة للبيانات لـ iCloud ما يأتي:

• يجب أن يدعم حساب المستخدم التشفير الكامل. يتطلب التشفير الكامل مصادقة ثنائية لـ Apple ID ورمز مرور أو كلمة سر معينة على أجهزة المستخدم الموثوق بها. لمزيد من المعلومات، انظر مقال دعم Apple المصادقة بخطوتين لـ Apple ID.

• يجب تحديث الأجهزة التي سجل المستخدم الدخول إليها باستخدام Apple ID إلى iOS 16.2 و iPadOS 16.2 و macOS 13.1 و tvOS 16.2 و watchOS 9.2 أو أحدث وأحدث إصدار من iCloud لـ Windows. يمنع هذا المطلب إصدارًا سابقًا من iOS أو iPadOS أو macOS أو tvOS أو watchOS من إساءة معالجة مفاتيح الخدمة المنشأة حديثًا عن طريق إعادة تحميلها إلى وحدات أمن المكونات المادية (HSMs) المتوفرة بعد المصادقة في محاولة مضللة لإصلاح حالة الحساب.

• يجب على المستخدم إعداد طريقة استرداد بديلة واحدة على الأقل—جهة اتصال واحدة أو أكثر للاسترداد أو مفتاح للاسترداد—يمكن استخدامها لاسترداد بيانات iCloud الخاصة به إذا فقد الوصول إلى حسابه.

إذا فشلت طرق الاسترداد، مثل إذا كانت معلومات جهة اتصال الاسترداد غير محدثة أو نسيها المستخدم، فلن تستطيع Apple المساعدة على استرداد بيانات iCloud المشفرة بالكامل الخاصة بالمستخدم.

يمكن تشغيل الحماية المتقدمة للبيانات لـ iCloud لحسابات Apple ID فقط. حسابات Apple ID المُدارة وحسابات الأطفال (تختلف حسب البلد أو المنطقة) ليست مدعومة.