Avanceret databeskyttelse til iCloud
Avanceret databeskyttelse til iCloud er en valgfri indstilling, der tilbyder Apples højeste sikkerhedsniveau til data i netskyen. Når en bruger slår Avanceret databeskyttelse til, er det kun brugerens godkendte enheder, der har adgang til krypteringsnøglerne til størstedelen af brugerens iCloud-data, hvilket betyder, at dataene beskyttes vha. end-to-end-kryptering. Hvis brugere slår Avanceret databeskyttelse til, øges det samlede antal datakategorier, der beskyttes vha. end-to-end-kryptering, fra 14 til 23, og de inkluderer iCloud-sikkerhedskopiering, Fotos, Noter m.m.
Bemærk: Denne funktion er muligvis ikke tilgængelig i alle lande eller områder.
Princippet bag avanceret databeskyttelse er enkelt: Alle CloudKit-tjenestenøgler, der blev genereret på enheden og senere overført til iCloud-hardwaresikkerhedsmoduler (HSM) (der er tilgængelige efter godkendelse) i Apples datacentre, bliver slettet fra hardwaresikkerhedsmodulerne og bliver i stedet opbevaret i kontoens beskyttelsesdomæne til iCloud-nøglering. De håndteres som de eksisterende tjenestenøgler med end-to-end-kryptering, hvilket betyder, at Apple ikke længere kan læse eller få adgang til disse nøgler.
Avanceret databeskyttelse beskytter også automatisk CloudKit-felter, som tredjepartsudviklere har valgt at markere som krypterede, og alle CloudKit-aktiver.
Aktivering af Avanceret databeskyttelse
Når brugeren slår Avanceret databeskyttelse til, udfører brugerens godkendte enhed to handlinger: Den kommunikerer først brugerens intention om at slå Avanceret databeskyttelse til til brugerens andre enheder, der bruger end-to-end-kryptering. Det gør den ved at skrive en ny værdi, der er signeret af lokale nøgler på enheden, i enhedens metadata til iCloud-nøglering. Apples servere kan ikke fjerne eller ændre denne attestering, mens den synkroniseres med brugerens andre enheder.
Dernæst igangsætter enheden fjernelsen af tjenestenøglerne, der er tilgængelige efter godkendelse, fra Apples datacentre. Eftersom disse nøgler er beskyttet af iCloud-hardwaresikkerhedsmoduler, bliver de slettet med det samme og permanent, og handlingen kan ikke fortrydes. Når nøglerne er slettet, kan Apple ikke længere få adgang til nogen data, der er beskyttet af brugerens tjenestenøgler. På dette tidspunkt starter enheden en asynkron nøglerotationshandling, som opretter en ny tjenestenøgle til hver tjeneste, hvis nøgle tidligere var tilgængelig for Apples servere. Hvis nøglerotationen mislykkes pga. netværksafbrydelser eller andre fejl, forsøger enheden at udføre nøglerotationen igen, indtil den gennemføres.
Når tjenestenøglerotationen lykkes, kan nye data, der skrives til tjenesten, ikke dekrypteres med den gamle tjenestenøgle. De beskyttes med den nye nøgle, der udelukkende styres af brugerens godkendte enheder, og som aldrig var tilgængelig for Apple.
Avanceret databeskyttelse og internetadgang på iCloud.com
Når en bruger slår Avanceret databeskyttelse til første gang, bliver internetadgang til brugerens data på iCloud.com automatisk slået fra. Det sker, fordi iCloud-webservere ikke længere har adgang til nøglerne, der kræves til at dekryptere og vise brugerens data. Brugeren kan vælge at slå internetadgang til igen og bruge deltagelsen af sin godkendte enhed til at få adgang til sine krypterede iCloud-data på internettet.
Når internetadgang er blevet slået til, skal brugeren godkende login på internettet på en af sine godkendte enheder, hver gang brugeren går ind på iCloud.com. Godkendelsen klargør enheden til internetadgang. I en time accepterer enheden anmodninger fra specifikke Apple-servere til at overføre individuelle tjenestenøgler, men kun dem, der svarer til en tilladt liste med tjenester, der normalt er tilgængelige på iCloud.com. Så selvom brugeren godkender login på internettet, kan en serveranmodning ikke få brugerens enhed til at overføre tjenestenøgler til data, der ikke bør kunne ses på iCloud.com (f.eks. Sundhedsdata eller adgangskoder i iCloud-nøglering). Apples servere anmoder kun om de tjenestenøgler, der er nødvendige for at dekryptere de specifikke data, som brugeren anmoder om at få adgang til på internettet. Hver gang en tjenestenøgle overføres, er den krypteret vha. en midlertidig nøgle, der er knyttet til websessionen, som brugeren godkendte, og der vises en notifikation på brugerens enhed om den iCloud-tjeneste, hvis data midlertidigt bliver tilgængelige for Apples servere.
Bevarelse af brugerens valg
Indstillingerne til Avanceret databeskyttelse og internetadgang på iCloud.com kan kun ændres af brugeren. Disse værdier opbevares i brugerens enhedsmetadata til iCloud-nøglering og kan kun ændres på en af brugerens godkendte enheder. Apples servere kan ikke ændre disse indstillinger på vegne af brugeren og kan heller ikke tilbageføre dem til en tidligere konfiguration.
Betydning for sikkerheden ved deling og samarbejde
Når brugere deler indhold for at samarbejde – f.eks. delte noter, delte påmindelser, delte mapper i iCloud Drive eller Delt iCloud-fotobibliotek – og alle brugere har slået Avanceret databeskyttelse til, bruges Apples servere i de fleste tilfælde kun til at etablere deling, men de har ikke adgang til krypteringsnøglerne til de delte data. Indholdet er stadig end-to-end-krypteret og er kun tilgængeligt på deltagernes godkendte enheder. Apple gemmer muligvis en titel og repræsentativ miniature med standard databeskyttelse for hver handling til deling for at vise et eksempel til modtagerne.
Hvis indstillingen ”alle med linket” vælges, når samarbejde slås til, bliver indholdet tilgængeligt for Apples servere med standard databeskyttelse, fordi serverne skal kunne give adgang til alle, der åbner URL-adressen.
iWork-samarbejde og funktionen Delte album i Fotos understøtter ikke Avanceret databeskyttelse. Når brugere samarbejder i et iWork-dokument eller åbner et iWork-dokument fra en delt mappe i iCloud Drive, bliver krypteringsnøglerne til dokumentet på sikker vis overført til iWork-servere i Apples datacentre. Det sker, fordi samarbejde i realtid i iWork kræver formidling på serversiden for at koordinere dokumentændringer mellem deltagere. Fotos, der føjes til Delte album, gemmes med standard databeskyttelse, fordi funktionen tillader, at album kan deles offentligt på internettet.
Deaktivering af Avanceret databeskyttelse
Brugeren kan altid slå Avanceret databeskyttelse fra. Hvis brugeren vælger at gøre dette, gælder følgende:
1. Brugerens enhed registrerer først det nye valg i metadata for deltagelse til iCloud-nøglering, og denne indstilling synkroniseres på sikker vis på alle brugerens enheder.
2. Brugerens enhed overfører på sikker vis tjenestenøglerne til alle tjenester, der er tilgængelige efter godkendelse, til iCloud-hardwaresikkerhedsmodulerne i Apples datacentre. Dette inkluderer aldrig nøgler til tjenester, der er end-to-end-krypterede under standard databeskyttelse, f.eks. iCloud-nøglering og Sundhed.
Enheden overfører både de originale tjenestenøgler, der blev genereret, før Avanceret databeskyttelse blev slået til, og de nye tjenestenøgler, der blev genereret, efter brugeren slog funktionen til. Dette gør alle data i disse tjenester tilgængelige efter godkendelse og tilbagefører kontoen til standard databeskyttelse, hvor det igen er muligt for Apple at hjælpe brugeren med at gendanne de fleste data, hvis brugeren mister adgangen til sin konto.
iCloud-data, der ikke er inkluderet i Avanceret databeskyttelse
iCloud-mail, Kontakter og Kalender er ikke end-to-end-krypterede, fordi de skal kunne samarbejde med de globale systemer til e-mail, kontakter og kalendere.
iCloud opbevarer nogle data uden beskyttelse fra brugerspecifikke CloudKit-tjenestenøgler, også selvom Avanceret brugerbeskyttelse er slået til. CloudKit-postfelter skal udtrykkeligt deklareres som ”krypteret” i beholderens skema for at være beskyttet, og mulighed for at læse og skrive krypterede felter kræver brug af dedikerede API’er. Datoer og tidspunkter, hvor et arkiv eller et objekt blev ændret, bruges til at sortere en brugers oplysninger, og kontrolsummer af arkiv- og fotodata bruges til at hjælpe Apple med deduplikering og optimering af brugerens lagringsplads på iCloud og enheden – alt sammen uden at have adgang til selve arkiverne og fotoene. Oplysninger om, hvordan kryptering bruges til specifikke datakategorier, kan findes i Apple-supportartiklen Oversigt over sikkerheden for iCloud-data.
Beslutninger, f.eks. brug af kontrolsummer til deduplikering af data – en anerkendt metode kaldet konvergent kryptering – var en del af det originale design i iCloud-tjenester, da de blev lanceret. Disse metadata er altid krypterede, men krypteringsnøglerne opbevares af Apple med standard databeskyttelse. For at fortsætte med at forbedre sikkerhedsbeskyttelsen for alle brugere lægger Apple vægt på at sikre, at flere data, herunder denne type metadata, bliver end-to-end-krypteret, når Avanceret databeskyttelse er slået til.
Krav til Avanceret databeskyttelse
Kravene til at slå Avanceret databeskyttelse til iCloud til omfatter følgende:
Brugerens konto skal understøtte end-to-end-kryptering. End-to-end-kryptering kræver tofaktorgodkendelse til brugerens Apple-id og en kode eller adgangskode, der er indstillet på brugerens godkendte enheder. Du kan få flere oplysninger i Apple-supportartiklen Tofaktorgodkendelse til Apple-id.
Enheder, hvor brugeren er logget ind med sit Apple-id, skal være opdateret til iOS 16.2, iPadOS 16.2, macOS 13.1, tvOS 16.2, watchOS 9.2 eller nyere versioner og have den nyeste version af iCloud til Windows. Dette krav forhindrer, at en tidligere version af iOS, iPadOS, macOS, tvOS eller watchOS håndterer de nyligt oprettede tjenestenøgler forkert ved at overføre dem igen til hardwaresikkerhedsmoduler, der er tilgængelige efter godkendelse, i et forsøg på at reparere kontoens status.
Brugeren skal indstille mindst en alternativ gendannelsesmetode – en eller flere gendannelseskontakter eller en gendannelsesnøgle – som kan bruges til at gendanne iCloud-data, hvis brugeren mister adgangen til sin konto.
Hvis gendannelsesmetoden mislykkes, f.eks. hvis gendannelseskontaktens oplysninger er forældede, eller brugeren glemmer dem, kan Apple ikke hjælpe med at gendanne brugerens end-to-end-krypterede iCloud-data.
Avanceret databeskyttelse til iCloud kan kun slås til for Apple-id’er. Administrerede Apple-id’er og børnekonti (afhænger af land og område) understøttes ikke.