Perlindungan Data Lanjutan untuk iCloud
Perlindungan Data Lanjutan untuk iCloud merupakan pengaturan opsional yang menawarkan tingkat tertinggi keamanan data awan Apple. Saat pengguna menyalakan Perlindungan Data Lanjutan, perangkat tepercaya mereka mempertahankan akses tunggalnya ke kunci enkripsi untuk sebagian besar data iCloud mereka, maka dari itu melindunginya dengan enkripsi ujung ke ujung. Untuk pengguna yang menyalakan Perlindungan Data Lanjutan, jumlah total kategori data yang dilindungi menggunakan enkripsi ujung ke ujung naik dari 14 menjadi 23 dan menyertakan Cadangan iCloud, Foto, Catatan, dan lainnya.
Catatan: Fitur ini mungkin tidak tersedia di semua negara atau wilayah.
Secara konsep, Perlindungan Data Lanjutan sifatnya sederhana: Semua kunci Layanan CloudKit yang dibuat di perangkat dan nantinya diunggah ke Modul Keamanan Perangkat Keras (HSM) iCloud tersedia setelah pengesahan di pusat data Apple akan dihapus dari HSM tersebut dan alih-alih disimpan sepenuhnya dalam domain perlindungan Rantai Kunci iCloud akun. Kunci tersebut ditangani seperti kunci layanan yang dienkripsi ujung ke ujung yang ada, yang berarti Apple tidak dapat lagi membaca atau mengakses kunci ini.
Perlindungan Data Lanjutan juga melindungi bidang CloudKit secara otomatis yang dipilih pengembang pihak ketiga untuk ditandai sebagai dienkripsi, dan semua aset CloudKit.
Mengaktifkan Perlindungan Data Lanjutan
Saat pengguna menyalakan Perlindungan Data Lanjutan, perangkat tepercaya mereka menjalankan dua tindakan: Pertama, perangkat mengomunikasikan maksud pengguna untuk menyalakan Perlindungan Data Lanjutan ke perangkat lain yang berpartisipasi di enkripsi ujung ke ujung. Perangkat tersebut melakukannya dengan menulis nilai baru, yang ditandatangani oleh kunci perangkat lokal, ke metadata perangkat Rantai Kunci iCloud. Server Apple tidak dapat menghapus atau memodifikasi pengesahan ini saat diselaraskan dengan perangkat lain pengguna.
Kedua, perangkat memulai penghapusan kunci layanan tersedia setelah pengesahan dari pusat data Apple. Karena kunci ini dilindungi oleh HSM iCloud, penghapusan ini bersifat segera, permanen, dan tidak dapat dibatalkan. Setelah kunci dihapus, Apple tidak dapat lagi mengakses data mana pun yang dilindungi oleh kunci layanan pengguna. Pada saat ini, perangkat memulai operasi rotasi kunci asinkron, yang membuat kunci layanan baru untuk setiap layanan yang kuncinya tersedia sebelumnya ke server Apple. Jika rotasi kunci gagal, karena gangguan jaringan atau kesalahan lainnya, perangkat mencoba lagi rotasi kunci hingga berhasil.
Setelah rotasi kunci layanan berhasil, data baru yang ditulis ke layanan tidak dapat didekripsi dengan kunci layanan lama. Ini dilindungi dengan kunci baru yang hanya dikontrol oleh perangkat tepercaya pengguna, dan tidak pernah tersedia untuk Apple.
Perlindungan Data Lanjutan dan akses web iCloud.com
Saat pengguna menyalakan Perlindungan Data Lanjutan untuk pertama kalinya, akses web ke data mereka di iCloud.com dimatikan secara otomatis. Ini karena server web iCloud tidak lagi memiliki akses ke kunci yang diperlukan untuk mendekripsi dan menampilkan data pengguna. Pengguna dapat memilih untuk menyalakan lagi akses web, dan menggunakan partisipasi perangkat tepercaya mereka untuk mengakses data iCloud terenkripsinya di web.
Setelah menyalakan akses web, pengguna harus mengesahkan proses masuk web di salah satu perangkat tepercaya mereka setiap kali mereka mengunjungi iCloud.com. Pengesahan “mengaktifkan” perangkat untuk akses web. Selama jam berikutnya, perangkat ini menerima permintaan dari server Apple tertentu untuk mengunggah kunci layanan individual, tetapi hanya yang terkait dengan daftar layanan yang diizinkan yang biasanya dapat diakses di iCloud.com. Dengan kata lain, bahkan setelah pengguna mengesahkan proses masuk web, permintaan server tidak dapat membuat perangkat pengguna mengunggah kunci layanan untuk data yang tidak dimaksudkan untuk dilihat di iCloud.com (seperti data Kesehatan atau kata sandi di Rantai Kunci iCloud). Server Apple hanya meminta kunci layanan yang diperlukan untuk mendekripsi data spesifik yang diminta pengguna untuk diakses di web. Setiap kali kunci layanan diunggah, kunci dienkripsi menggunakan kunci jangka pendek yang diikat ke sesi web yang disahkan pengguna, dan pemberitahuan ditampilkan di perangkat pengguna, menunjukkan layanan iCloud yang datanya disediakan sementara untuk server Apple.
Mempertahankan pilihan pengguna
Perlindungan Data Lanjutan dan pengaturan akses web iCloud.com hanya dapat dimodifikasi oleh pengguna. Nilai ini disimpan di metadata perangkat Rantai Kunci iCloud pengguna dan hanya dapat diubah dari salah satu perangkat tepercaya pengguna. Server Apple tidak dapat memodifikasi pengaturan ini atas nama pengguna, juga tidak dapat mengembalikannya ke konfigurasi sebelumnya.
Implikasi keamanan dari berbagi dan kolaborasi
Di banyak kasus, saat pengguna berbagi konten untuk saling berkolaborasi—misalnya, dengan Catatan bersama, Pengingat bersama, folder bersama di iCloud Drive, atau Perpustakaan Foto Bersama iCloud—dan semua pengguna menyalakan Perlindungan Data Lanjutan, server Apple hanya digunakan untuk membuat berbagi, tetapi tidak memiliki akses ke kunci enkripsi untuk data yang dibagikan. Konten tetap dienkripsi ujung ke ujung dan hanya dapat diakses di perangkat tepercaya peserta. Untuk setiap operasi berbagi, judul dan gambar kecil perwakilan dapat disimpan oleh Apple dengan perlindungan data standar untuk menampilkan pratinjau kepada pengguna penerima.
Memilih opsi “semua orang dengan tautan” saat mengaktifkan kolaborasi akan membuat konten tersedia untuk server Apple di bawah perlindungan data standar, karena server harus dapat memberikan akses kepada siapa saja yang membuka URL.
Kolaborasi iWork dan fitur Album Bersama di Foto tidak mendukung Perlindungan Data Lanjutan. Saat pengguna berkolaborasi pada dokumen iWork, atau membuka dokumen iWork dari folder bersama di iCloud Drive, kunci enkripsi untuk dokumen diunggah dengan aman ke server iWork di pusat data Apple. Ini karena kolaborasi real time di iWork memerlukan mediasi sisi server untuk mengoordinasikan perubahan dokumen antarpeserta. Foto yang ditambahkan ke Album Bersama disimpan dengan perlindungan data standar, karena fitur memungkinkan album dibagikan secara publik di web.
Menonaktifkan Perlindungan Data Lanjutan
Pengguna dapat menonaktifkan Perlindungan Data Lanjutan kapan saja. Jika mereka memilih untuk melakukannya:
1. Perangkat pengguna terlebih dahulu merekam pilihan barunya di metadata partisipasi Rantai Kunci iCloud, dan pengaturan ini diselaraskan dengan aman ke semua perangkat mereka.
2. Perangkat pengguna mengunggah kunci layanan untuk semua layanan tersedia setelah pengesahan dengan aman ke HSM iCloud di pusat data Apple. Ini tidak pernah menyertakan kunci untuk layanan yang dienkripsi ujung ke ujung di bawah perlindungan data standar, seperti Rantai Kunci iCloud dan Kesehatan.
Perangkat mengunggah kunci layanan asli, yang dibuat sebelum Perlindungan Data Lanjutan dinyalakan, dan kunci layanan baru yang dibuat setelah pengguna menyalakan fitur tersebut. Ini membuat semua data di layanan ini dapat diakses setelah autentikasi dan mengembalikan akun ke perlindungan data standar, tempat Apple dapat sekali lagi membantu pengguna memulihkan sebagian besar data mereka jika mereka kehilangan akses ke akun mereka.
Data iCloud tidak dicakup oleh Perlindungan Data Lanjutan
Karena kebutuhan untuk beroperasi dengan email global, kontak, dan sistem kalender, iCloud Mail, Kontak, dan Kalender tidak dienkripsi ujung ke ujung.
iCloud menyimpan beberapa data tanpa perlindungan kunci layanan CloudKit khusus pengguna, meskipun Perlindungan Data Lanjutan dinyalakan. Bidang Catatan CloudKit harus dinyatakan secara eksplisit sebagai “dienkripsi” di skema wadah agar terlindungi, dan membaca serta menulis bidang yang dienkripsi memerlukan penggunaan API khusus. Tanggal dan waktu saat file atau objek dimodifikasi digunakan untuk mengurutkan informasi pengguna, dan ceksum data file dan foto digunakan untuk membantu Apple menghapus duplikat dan mengoptimalkan penyimpanan iCloud dan perangkat pengguna—semua tanpa memiliki akses ke file dan foto itu sendiri. Detail mengenai bagaimana enkripsi digunakan untuk kategori data tertentu tersedia di artikel Dukungan Apple Tinjauan keamanan data iCloud.
Keputusan seperti penggunaan ceksum untuk menghapus duplikasi data—teknik terkenal yang disebut enkripsi konvergen—adalah bagian dari desain asli layanan iCloud saat diluncurkan. Metadata ini selalu dienkripsi, tetapi kunci enkripsi disimpan oleh Apple dengan perlindungan data standar. Untuk terus memperkuat perlindungan keamanan bagi semua pengguna, Apple berkomitmen untuk memastikan lebih banyak data, termasuk jenis metadata ini, dienkripsi ujung ke ujung saat Perlindungan Data Lanjutan dinyalakan.
Persyaratan Perlindungan Data Lanjutan
Persyaratan untuk menyalakan Perlindungan Data Lanjutan untuk iCloud mencakup hal berikut ini:
Akun pengguna harus mendukung enkripsi ujung ke ujung. Enkripsi ujung ke ujung memerlukan autentikasi dua faktor untuk ID Apple dan kode sandi atau kata sandi yang diatur di perangkat tepercaya mereka. Untuk informasi lainnya, lihat artikel Dukungan Apple Autentikasi dua faktor untuk ID Apple.
Perangkat tempat pengguna masuk dengan ID Apple mereka harus diperbarui ke iOS 16.2, iPadOS 16.2, macOS 13.1, tvOS 16.2, watchOS 9.2, atau lebih baru, dan versi terbaru iCloud untuk Windows. Persyaratan ini mencegah versi iOS, iPadOS, macOS, tvOS, atau watchOS sebelumnya salah menangani kunci layanan yang baru dibuat dengan mengunggahnya kembali ke HSM tersedia setelah pengesahan di upaya yang salah untuk memperbaiki status akun.
Pengguna harus menyiapkan setidaknya satu metode pemulihan alternatif—satu atau beberapa kontak pemulihan atau kunci pemulihan—yang dapat digunakan untuk memulihkan data iCloud jika kehilangan akses ke akun.
Jika metode pemulihan gagal, seperti jika informasi kontak pemulihan kedaluwarsa, atau pengguna melupakannya, Apple tidak dapat membantu memulihkan data iCloud yang dienkripsi ujung ke ujung pengguna.
Perlindungan Data Lanjutan untuk iCloud hanya dapat dinyalakan untuk ID Apple. ID Apple yang Dikelola dan akun turunan (bervariasi menurut negara atau wilayah) tidak didukung.