iCloud-avainnipun vara-avainten suojaus
iCloud tarjoaa avainnipun vara-avaimille suojatun infrastruktuurin, joka auttaa varmistamaan, että ainoastaan valtuutetut käyttäjät ja laitteet voivat suorittaa palautuksen. Vara-avaintietueita vartioivat laitteiston suojausmoduuliklusterit ovat topografisesti iCloudin takana. Kukin valvoo avainta, jota käytetään vara-avaintietueiden salaamiseen edelläkuvatulla tavalla.
Avainnipun palauttamiseksi käyttäjän on todennettava henkilöllisyytensä iCloud-tilillä ja salasanalla ja vastattava rekisteröityyn puhelinnumeroonsa lähetettyyn tekstiviestiin. Kun se on tehty, käyttäjän on syötettävä iCloud-suojakoodinsa. Laitteiston suojausmoduuliklusteri varmistaa, että käyttäjä tietää iCloud-suojakoodinsa, käyttämällä SRP (Secure Remote Password) ‑protokollaa; itse koodia ei lähetetä Applelle. Kukin klusterin jäsen varmistaa itsenäisesti, ettei käyttäjä ole ylittänyt tietueen noutamisen sallittujen yrityskertojen enimmäismäärää. Tästä kerrotaan jäljempänä. Jos enemmistö päätyy hyväksyvään tulokseen, klusteri purkaa vara-avaintietuetta suojaavan salauksen ja lähettää sen käyttäjän laitteelle.
Seuraavaksi laite purkaa turvatallennettuja tietoja käyttäen käyttäjän avainnipun salaamiseen käytettyjä satunnaisia avaimia suojaavan salauksen. Tällä avaimella puretaan salaus avainnipulta, joka on noudettu CloudKitistä ja iCloudin avainarvotallennustilasta, ja avainnippu palautetaan laitteeseen. Vara-avainpalvelu sallii vain kymmenen yrittystä vara-avaintietueen todentamiseen ja palautukseen. Usean epäonnistuneen yrityksen jälkeen tietue lukitaan ja käyttäjän on soitettava Applen tukeen saadakseen lisää yrityskertoja. Kymmenennen epäonnistuneen yrityksen jälkeen laitteiston suojausmoduuliklusteri tuhoaa vara-avaintietueen ja avainnippu menetetään lopullisesti. Tämä suojaa hyökkäyksiltä, joissa yritetään hankkia tietue väsytysmenetelmällä. Seurauksena on avainnipun tietojen menetys.
Nämä käytännöt on koodattu laitteiston suojausmoduulin laiteohjelmistoon. Ylläpitäjän pääsykortit, joilla laiteohjelmistoa voi muuttaa, on tuhottu. Kaikki yritykset muuttaa laiteohjelmistoa tai päästä käsiksi yksityiseen avaimeen saavat laitteiston suojausmoduuliklusterin poistamaan yksityisen avaimen. Jos näin kävisi, kunkin klusterin suojaaman avainnipun omistaja saa viestin, jossa kerrotaan, että vara-avaintietue on menetetty. He voivat sen jälkeen halutessaan rekisteröityä uudelleen.