Protezione avanzata dei dati per iCloud
La protezione avanzata dei dati per iCloud è un’impostazione facoltativa che offre il livello più elevato di sicurezza per i dati sul cloud di Apple. Quando un utente attiva la protezione avanzata dei dati, i suoi dispositivi affidabili mantengono l’accesso esclusivo alle chiavi di crittografia per la maggior parte dei dati iCloud, proteggendoli con la crittografia end-to-end. Per gli utenti che attivano la protezione avanzata dei dati, il numero totale di categorie di dati protetti con la crittografia end-to-end sale da 14 a 23 e include Backup, Foto e Note di iCloud e altro ancora.
Nota: questa funzionalità potrebbe non essere disponibile in tutti i paesi o in tutte le zone.
Il funzionamento della protezione avanzata dei dati è semplice: tutte le chiavi di servizio CloudKit generate sul dispositivo e successivamente caricate nei moduli di sicurezza hardware (HSM) iCloud disponibili dopo l’autenticazione nei data center Apple vengono eliminate da tali moduli HSM e vengono invece conservate interamente nel dominio di protezione del portachiavi iCloud dell’account. Vengono gestite come le chiavi di servizio crittografate end-to-end esistenti, il che significa che Apple non può più leggere tali chiavi né accedervi.
Inoltre, la protezione avanzata dei dati protegge automaticamente i campi CloudKit che gli sviluppatori di terze parti scelgono di contrassegnare come crittografati e tutte le risorse CloudKit.
Abilitare la protezione avanzata dei dati
Quando l’utente attiva la protezione avanzata dei dati, il dispositivo sicuro esegue due azioni: in primo luogo, comunica l’intenzione dell’utente di attivare la protezione avanzata dei dati agli altri dispositivi coinvolti nella crittografia end-to-end. Lo fa scrivendo un nuovo valore, firmato dalle chiavi dispositivo-locali, nei metadati del dispositivo del suo portachiavi iCloud. I server Apple non possono rimuovere o modificare questa attestazione mentre viene sincronizzata con gli altri dispositivi dell’utente.
In secondo luogo, il dispositivo avvia la rimozione delle chiavi di servizio disponibili dopo l’autenticazione dai data center Apple. Poiché queste chiavi sono protette dai moduli HSM di iCloud, l’eliminazione è immediata, permanente e irrevocabile. Dopo l’eliminazione delle chiavi, Apple non può più accedere ad alcun dato protetto dalle chiavi di servizio dell’utente. A questo punto, il dispositivo inizia un’operazione di rotazione asincrona delle chiavi, che crea una nuova chiave di servizio per ogni servizio la cui chiave era precedentemente disponibile ai server Apple. Se la rotazione delle chiavi non va a buon fine, a causa di un’interruzione della rete o di un altro errore, il dispositivo riprova la rotazione delle chiavi fino a quando questa non riesce.
Una volta che la rotazione delle chiavi di servizio è avvenuta correttamente, i nuovi dati scritti sul servizio non possono essere decrittografati con la chiave di servizio precedente. Sono protetti con la nuova chiave, che è controllata esclusivamente dai dispositivi sicuri dell’utente e non è mai stata utilizzabile o visibile per Apple.
Protezione avanzata dei dati e accesso web a iCloud.com
Quando un utente attiva per la prima volta la protezione avanzata dei dati, l’accesso web ai suoi dati su iCloud.com viene automaticamente disattivato. Ciò avviene perché i server web di iCloud non hanno più accesso alle chiavi necessarie per decifrare e visualizzare i dati dell’utente. L’utente può scegliere di attivare nuovamente l’accesso web e utilizzare la partecipazione del proprio dispositivo sicuro per accedere ai propri dati iCloud crittografati sul web.
Dopo aver attivato l’accesso web, l’utente deve autorizzare l’accesso web su uno dei suoi dispositivi sicuri ogni volta che visita iCloud.com. L’autorizzazione fornisce al dispositivo gli strumenti per l’accesso web. Per l’ora successiva, tale dispositivo accetta richieste da specifici server Apple per caricare chiavi di servizio singole, in particolare, unicamente quelle corrispondenti a un elenco di servizi normalmente accessibili su iCloud.com. In altri termini, anche dopo che l’utente ha autorizzato l’accesso web, una richiesta del server non è in grado di indurre il dispositivo dell’utente a caricare le chiavi di servizio per i dati che non sono destinati a essere visualizzati su iCloud.com (come i dati sanitari o le password salvate nel portachiavi iCloud). I server Apple richiedono solo le chiavi di servizio necessarie per decrittografare i dati specifici a cui l’utente chiede di accedere sul web. Ogni volta che viene caricata una chiave di servizio, questa viene crittografata utilizzando una chiave effimera legata alla sessione web autorizzata dall’utente e sul dispositivo dell’utente viene visualizzata una notifica che mostra il servizio iCloud i cui dati vengono temporaneamente resi disponibili ai server Apple.
Preservare le scelte dell’utente
Le impostazioni della protezione avanzata dei dati e di accesso web di iCloud.com possono essere modificate solo dall’utente. Questi valori vengono salvati nei metadati del dispositivo del portachiavi iCloud dell’utente e possono essere modificati solo da uno dei dispositivi sicuri dell’utente. I server Apple non possono modificare queste impostazioni per conto dell’utente, né possono ripristinarne una configurazione precedente.
Implicazioni per la sicurezza di condivisione e collaborazione
Nella maggior parte dei casi, quando gli utenti condividono contenuti per collaborare tra loro, ad esempio con Note condivise, Promemoria condivisi, cartelle condivise in iCloud Drive o Libreria foto condivisa di iCloud, e tutti gli utenti hanno attivato la protezione avanzata dei dati, i server Apple vengono utilizzati solo per stabilire la condivisione ma non hanno accesso alle chiavi di crittografia dei dati condivisi. Il contenuto rimane crittografato end-to-end e accessibile solo sui dispositivi affidabili dei partecipanti. Per ogni operazione di condivisione, Apple può memorizzare un titolo e una miniatura dimostrativa con una protezione dei dati standard per mostrare un’anteprima agli utenti che li ricevono.
Selezionando l’opzione “chiunque in possesso di un link” quando si attiva la collaborazione, il contenuto sarà disponibile ai server Apple con protezione dei dati standard, poiché i server devono essere in grado di fornire l’accesso a chiunque apra l’URL.
La collaborazione con iWork e la funzionalità “Album condivisi” di Foto non supportano la protezione avanzata dei dati. Quando gli utenti collaborano a un documento iWork o aprono un documento iWork da una cartella condivisa in iCloud Drive, le chiavi di crittografia del documento vengono caricate in modo sicuro sui server iWork nei data center Apple. Ciò avviene perché la collaborazione in tempo reale in iWork richiede una mediazione dal lato del server per coordinare le modifiche al documento tra i partecipanti. Le foto aggiunte agli Album condivisi vengono archiviate con una protezione dei dati standard, poiché la funzione consente di condividere pubblicamente gli album sul web.
Disabilitare la protezione avanzata dei dati
L’utente può disattivare la protezione avanzata dei dati in qualsiasi momento. Se decide di farlo:
1. In primo luogo, il dispositivo dell’utente registra la sua nuova scelta nei metadati di partecipazione del portachiavi iCloud e tale impostazione viene sincronizzata in modo sicuro su tutti i dispositivi.
2. Il dispositivo dell’utente carica in modo sicuro le chiavi di servizio per tutti i servizi disponibili dopo l’autenticazione nei moduli HSM di iCloud nei data center Apple. Questa operazione non include mai le chiavi per i servizi crittografati end-to-end secondo la protezione dei dati standard, come portachiavi iCloud e Salute.
Il dispositivo carica sia le chiavi di servizio originali, generate prima dell’attivazione della protezione avanzata dei dati, sia le nuove chiavi di servizio generate in seguito all’attivazione di tale funzionalità da parte dell’utente. In questo modo tutti i dati contenuti in tali servizi sono accessibili dopo l’autenticazione e l’account torna a utilizzare la protezione dei dati standard, così Apple può nuovamente aiutare l’utente a recuperare la maggior parte dei suoi dati in caso di perdita dell’accesso all’account.
Dati iCloud non coperti dalla protezione avanzata dei dati
A causa della necessità di collaborare con i sistemi globali di gestione di email, contatti e calendari, Mail, Contatti e Calendario iCloud non sono crittografati end-to-end.
iCloud memorizza alcuni dati senza la protezione delle chiavi di servizio CloudKit specifiche per l’utente, anche quando la protezione avanzata dei dati è attiva. Per risultare protetti, i campi dei record CloudKit devono essere contrassegnati esplicitamente come “crittografati” nello schema del contenitore, e la lettura e la scrittura di campi crittografati richiedono l’uso di API specifiche. Le date e gli orari di modifica di un file o di un oggetto vengono utilizzati per ordinare le informazioni di un utente e i checksum dei dati di file e foto vengono utilizzati per aiutare Apple nella deduplicazione e nell’ottimizzazione dell’archiviazione su iCloud e sui dispositivi dell’utente, il tutto senza avere accesso a tali file e foto. I dettagli su come viene utilizzata la crittografia per specifiche categorie di dati sono disponibili nell’articolo del supporto Apple Panoramica sulla sicurezza di iCloud.
Decisioni come l’uso di checksum per la deduplicazione dei dati, una nota tecnica detta crittografia convergente, facevano parte del progetto originale dei servizi iCloud al momento del lancio. Questi metadati sono sempre crittografati, ma le chiavi di crittografia sono archiviate da Apple con una protezione dei dati standard. Per continuare a rafforzare le protezioni di sicurezza per tutti gli utenti, Apple si impegna a garantire che un maggior numero di dati, tra cui questo tipo di metadati, siano crittografati end-to-end quando viene attivata la protezione avanzata dei dati.
Requisiti per la protezione avanzata dei dati
I requisiti per attivare la protezione avanzata dei dati per iCloud includono quanto segue:
L’account dell’utente deve supportare la crittografia end-to-end. La crittografia end-to-end richiede l’autenticazione a due fattori per l’ID Apple dell’utente e un codice o una password impostata sui suoi dispositivi sicuri. Per ulteriori informazioni, consulta l’articolo del supporto Apple Autenticazione a due fattori per l’ID Apple.
I dispositivi in cui l’utente ha effettuato l’accesso con il proprio ID Apple devono essere aggiornati a iOS 16.2, iPadOS 16.2, macOS 13.1, tvOS 16.2, watchOS 9.2, e all’ultima versione di iCloud per Windows. Questo requisito impedisce a una versione precedente di iOS, iPadOS, macOS, tvOS o watchOS di gestire erroneamente le chiavi di servizio appena create, ricaricandole sui moduli HSM disponibili dopo l’autenticazione nel tentativo errato di ripristinare lo stato dell’account.
L’utente deve impostare almeno un metodo di recupero alternativo, ovvero uno o più contatti di recupero o una chiave di recupero, da utilizzare per recuperare i propri dati iCloud nel caso in cui perda l’accesso al proprio account.
Se i metodi di recupero non funzionano, ad esempio se le informazioni dei contatti di recupero non sono aggiornate o se l’utente le dimentica, Apple non sarà in grado di contribuire a recuperare i dati iCloud crittografati end-to-end dell’utente.
La protezione avanzata dei dati per iCloud può essere attivata solo per gli ID Apple. Gli ID Apple gestiti e gli account child (a seconda del paese o della zona) non sono supportati.