
Seguridad de iCloud Drive
iCloud Drive agrega claves basadas en cuentas para proteger los documentos almacenados en iCloud. Además, fragmenta y encripta el contenido de los archivos y los almacena como se indica en la descripción general de la seguridad de iCloud. Sin embargo, las claves de contenido de los archivos están encapsuladas en claves de registro almacenadas junto con los metadatos de iCloud Drive. La clave del servicio de iCloud Drive del usuario protege esas claves de registro, y dicha clave de servicio se almacena con la cuenta de iCloud del usuario. Después de autenticarse con iCloud, los usuarios pueden acceder a los metadatos de los documentos de iCloud, pero también necesitan la clave del servicio de iCloud Drive para que se muestren las secciones protegidas del almacenamiento de iCloud Drive.
Respaldo en iCloud
iCloud también realiza respaldos de información (como configuración de los dispositivos, datos de las apps, fotos y videos en “Rollo fotográfico”, así como conversaciones en la app Mensajes) a diario y a través de la red Wi‑Fi. Para proteger el contenido, iCloud lo encripta cuando se envía por Internet, lo almacena en un formato encriptado y utiliza identificadores seguros para su autenticación. Los respaldos de Respaldo en iCloud se llevan a cabo únicamente cuando el dispositivo está bloqueado, conectado a una fuente de alimentación y tiene acceso a Internet mediante Wi‑Fi. Debido a la encriptación que se usa en iOS y en iPadOS, el respaldo en iCloud está diseñado para mantener protegidos los datos y, al mismo tiempo, permitir que se realicen respaldos y restauraciones progresivas y sin supervisión.
Cuando los archivos se crean en clases de protección de datos a las que no se puede acceder cuando el dispositivo está bloqueado, las claves por archivo correspondientes se encriptan con las claves de clase del repositorio de claves de respaldo en iCloud, respaldando los archivos en iCloud en su estado encriptado original. Todos los archivos están encriptados durante su transporte, y al estar almacenados, se encriptan usando claves basadas en la cuenta, como se describe en CloudKit.
El repositorio de claves del respaldo en iCloud contiene claves asimétricas (Curve25519) para las clases de protección de datos que no son accesibles cuando el dispositivo está bloqueado. El conjunto de respaldos se almacena en la cuenta de iCloud del usuario y consiste en una copia de los archivos del usuario y el repositorio de claves de respaldo de iCloud. Este repositorio está protegido mediante una clave aleatoria, que también está almacenada en el conjunto de respaldos (la contraseña de iCloud del usuario no se usa para la encriptación; de este modo, el cambio de contraseña de iCloud no invalida los respaldos existentes).
Mientras se mantenga una copia de la base de datos del llavero del usuario en iCloud, esta permanecerá protegida mediante una clave vinculada al UID. Esto permite que el llavero sólo se pueda restaurar en el mismo dispositivo en el que se originó; es decir que nadie más (incluido Apple) puede leer los elementos del llavero del usuario.
Al restaurarlo, se recuperan de la cuenta de iCloud del usuario los archivos de los que se ha realizado un respaldo, el repositorio de claves de respaldo de iCloud y la clave para el repositorio de claves. El repositorio de claves del respaldo de iCloud se desencripta usando su clave, luego las claves por archivo del repositorio de claves se usan para desencriptar los archivos del conjunto de respaldos, que se escriben como archivos nuevos en el sistema de archivos y, de este modo, se vuelven a encriptar según la clase de protección de datos correspondiente.