Deponeringssikkerhed i iCloud-nøglering
iCloud har en sikker infrastruktur til nøgleringsdeponering, der er med til at sikre, at kun godkendte brugere og enheder kan udføre en gendannelse. Klynger af hardwaresikkerhedsmoduler (HSM'er) er topografisk set placeret bag iCloud og vogter deponeringsposterne. Som beskrevet tidligere har hver af dem en nøgle, der bruges til at kryptere de deponeringsposter, som de vogter over.
Når brugerne vil gendanne en nøglering, skal de legitimere sig med deres iCloud-konto og adgangskode og svare på en sms, der er sendt til deres registrerede telefonnummer. Når det er gjort, skal brugerne indtaste deres iCloud-sikkerhedskode. HSM-klyngen bekræfter ved hjælp af SRP-protokollen (Secure Remote Password), at en bruger kender sin iCloud-sikkerhedskode. Koden selv sendes ikke til Apple. Medlemmerne af klyngen bekræfter uafhængigt af hinanden, at brugeren ikke har overskredet det maksimale antal forsøg på at hente sine data, som beskrevet nedenfor. Hvis flertallet bekræfter det, pakker klyngen deponeringsposten ud og sender den til brugerens enhed.
Derefter bruger enheden de deponerede data til at pakke de tilfældige nøgler ud, som er brugt til at kryptere brugerens nøglering. Med den nøgle bliver nøgleringen, der er hentet fra CloudKit og iCloud-lagringsområdet til nøgleværdier, dekrypteret og gendannet på enheden. Deponeringstjenesten tillader højst 10 forsøg på at godkende og hente en deponeringspost. Efter flere mislykkede forsøg låses posten, og brugeren skal kontakte Apple-support for at få tildelt flere forsøg. Efter det 10. mislykkede forsøg ødelægger HSM-klyngen deponeringsposten, og nøgleringen går tabt for altid. Det beskytter mod brute-force-forsøg på at hente posten. Til gengæld ofres dataene i nøgleringen.
Disse politikker er kodet i HSM-firmwaren. De kort til administrativ adgang, der tillader, at firmwaren ændres, er blevet ødelagt. Forsøg på at ændre firmwaren eller få adgang til den private nøgle får HSM-klyngen til at slette den private nøgle. Hvis det sker, modtager ejeren af hver nøglering, der beskyttes af klyngen, en besked om, at vedkommendes deponeringspost er gået tabt. Personen kan derefter vælge at tilmelde sig igen.