Tinjauan Perlindungan Data
Apple menggunakan teknologi yang disebut Perlindungan Data untuk melindungi data di penyimpanan kilat pada perangkat yang disertai dengan SoC Apple—seperti iPhone, iPad, Apple Watch, Apple TV, dan Mac dengan Apple silicon. Dengan Perlindungan Data, perangkat dapat merespons kejadian umum seperti panggilan telepon masuk saat sekaligus menyediakan enkripsi tingkat tinggi bagi data pengguna. Beberapa app sistem (seperti Pesan, Mail, Kalender, Kontak, Foto) dan nilai data Kesehatan menggunakan Perlindungan Data secara default. App pihak ketiga menerima perlindungan ini secara otomatis.
Penerapan
Perlindungan Data diterapkan dengan membangun dan mengelola hierarki kunci dan berbasis teknologi enkripsi perangkat keras pada setiap perangkat Apple. Perlindungan Data dikontrol pada basis per file dengan menetapkan tiap file ke suatu kelas; aksesibilitas ditetapkan berdasarkan dibuka atau tidaknya kunci kelas. APFS (Apple File System) memungkinkan sistem file untuk membuat subdivisi kunci lebih lanjut menjadi basis per area (tempat bagian dari file dapat memiliki kunci yang berbeda).
Setiap kali file di volume data dibuat, Perlindungan Data akan membuat kunci 256 bit baru (kunci per file) dan memberikannya ke Mesin AES perangkat keras, yang menggunakan kunci tersebut untuk mengenkripsi file pengguna dituliskan ke penyimpanan kilat. Di perangkat A14 hingga A17 dan M1 hingga M3, enkripsi menggunakan AES-256 dalam mode XTS tempat kunci per file 256 bit melewati Fungsi Turunan Kunci (Publikasi Khusus NIST 800-108) untuk menurunkan kunci tweak 256 bit dan kunci cipher 256 bit. Di perangkat A9 hingga A13 dan S5 hingga S9, enkripsi menggunakan AES-128 dalam mode XTS tempat 256 bit per kunci file dibagi untuk menyediakan kunci tweak 128 bit dan kunci cipher 128 bit.
Di Mac dengan Apple silicon, Perlindungan Data menjadi default ke Kelas C (lihat Kelas Perlindungan Data) tapi menggunakan kunci volume alih-alih kunci per area atau per file—secara efektif membuat ulang model keamanan FileVault untuk data pengguna. Pengguna masih harus memilih FileVault agar dapat menerima perlindungan penuh pengaitan hierarki kunci enkripsi dengan kata sandinya. Pengembang juga dapat memilih kelas perlindungan yang lebih tinggi yang menggunakan kunci per file atau per area.