Oversigt over Databeskyttelse
Apple bruger en teknologi kaldet Databeskyttelse til at beskytte data, der opbevares i flashlageret på enheder med en Apple SoC, f.eks. iPhone, iPad, en Mac med Apple Silicon, Apple TV, Apple Watch og Apple Vision Pro. Med Databeskyttelse kan en enhed reagere på almindelige begivenheder som indgående telefonopkald, samtidig med at funktionen sørger for kryptering af brugerdata på højt niveau. Visse systemapps (f.eks. Beskeder, Mail, Kalender, Kontakter og Fotos) og data fra Sundhed bruger som standard Databeskyttelse. Apps fra tredjeparter får automatisk denne beskyttelse.
Implementering
Databeskyttelse implementeres ved, at et hierarki med nøgler opbygges og administreres, og bygger på de teknologier til hardwarekryptering, der er integreret i Apple-enheder. Databeskyttelse styres pr. arkiv. Hvert arkiv tildeles en klasse, og adgangen til arkivet bestemmes af, om klassenøglerne er blevet låst op. APFS (Apple File System) gør, at nøgler i arkivsystemet kan underinddeles yderligere inden for områder (hvor dele af et arkiv kan have forskellige nøgler).
Hver gang der oprettes et arkiv på dataenheden, opretter Databeskyttelse en ny 256-bit nøgle (arkivnøglen). Nøglen overdrages til AES-modulet i hardwaren, som bruger nøglen til at kryptere arkivet, når det skrives til flashlageret. På enheder med en chip i serierne A14 til og med A18 og M1 til og med M4 bruger krypteringen AES-256 i XTS-funktion, hvor 256-bit arkivnøglen behandles med en funktion til nøgleafledning (NIST Special Publication 800-108) for at aflede en 256-bit “tweak”-nøgle og en 256-bit ciffernøgle. På enheder med en chip i serierne A9 til og med A13 og S5 til og med S9 bruger krypteringen AES-128 i XTS-funktion, hvor 256-bit arkivnøglen deles til en 128-bit “tweak”-nøgle og en 128-bit ciffernøgle.
På en Mac med Apple Silicon bruger Databeskyttelse som standard klasse C (se Databeskyttelsesklasser), men benytter en diskenhedsnøgle i stedet for en nøgle pr. område eller pr. arkiv og genskaber dermed FileVaults sikkerhedsmodel til brugerdata. Brugerne skal stadig tilvælge FileVault for at få den fulde beskyttelse, der opnås ved at kombinere hierarkiet med krypteringsnøgler med deres adgangskode. Udviklere kan også tilvælge en højere beskyttelsesklasse, hvor der benyttes en nøgle pr. arkiv eller pr. område.