Appleプラットフォームのセキュリティ
-
ようこそ
-
概要
-
用語集
-
改訂履歴
-
Copyright
iCloud Drive
iCloud Driveでは、iCloudに保存されている書類を保護するためにアカウントに基づく鍵が追加されます。ファイルコンテンツがチャンクに分割されて暗号化され、他社のサービスを利用して保存されます。ただし、ファイル・コンテンツ・キーは、iCloud Driveのメタデータと一緒に保存されるレコードキーでラップされます。これらのレコードキーも、ユーザのiCloud Driveサービスキーによって保護されます。このiCloud Driveサービスキーは、ユーザのiCloudアカウントで保存されます。ユーザはiCloudへの認証によってiCloud書類のメタデータにアクセスできますが、iCloud Driveストレージの保護されている部分を表示するには、iCloud Driveサービスキーを所有している必要があります。
iCloud Driveのバックアップ
iCloudでは、デバイス設定、Appデータ、「カメラロール」の写真やビデオ、「メッセージ」Appでのやりとりといった情報をWi-Fi経由で毎日バックアップすることもできます。iCloudはコンテンツをインターネット経由で送信する際に暗号化し、暗号化フォーマットで保存します。さらに、認証にセキュアトークンを使うことでコンテンツを確実に保護します。iCloudバックアップは、デバイスがロックされて電源に接続され、かつWi-Fi経由でインターネットに接続できる場合にのみ実行されます。iCloudバックアップでは、iOSおよびiPadOSが使用する暗号化により、データを安全に保護しながら、差分の無人バックアップと復元を実行することができます。
デバイスのロック中にアクセスできないデータ保護クラスでファイルが作成されると、Per FileキーはiCloudバックアップキーバッグにあるクラスキーを使用して暗号化され、元の暗号化された状態でiCloudにバックアップされます。すべてのファイルが転送中に暗号化され、保管時にはCloudKitで説明するようにアカウントベースの鍵を使って暗号化されます。
iCloudバックアップキーバッグには、デバイスのロック中にアクセスできないデータ保護クラス用の非対称(Curve25519)鍵が含まれます。バックアップセットはユーザのiCloudアカウントに保存されます。これは、ユーザのファイルのコピーとiCloudバックアップキーバッグで構成されます。iCloudバックアップキーバッグはランダムな鍵によって保護されます。この鍵もバックアップセットと一緒に保存されます。(ユーザのiCloudパスワードは暗号化に使用されないため、iCloudパスワードを変更しても既存のバックアップが無効になることはありません。)
ユーザのキーチェーンデータベースはiCloudにバックアップされますが、UIDと関連付けられた鍵によって常に保護されます。そのため、キーチェーンはバックアップの作成元と同じデバイスにのみ復元できます。つまり、Appleを含む他者がユーザのキーチェーン項目を読み出すことはできません。
復元時には、バックアップされたファイル、iCloudバックアップキーバッグ、およびキーバッグ用の鍵が、ユーザのiCloudアカウントから取得されます。iCloudバックアップキーバッグがキーバック用の鍵で復号された後、キーバッグにあるPer Fileキーを使ってバックアップセット内のファイルが復号されます。それらのファイルは新しいファイルとしてファイルシステムに書き込まれるため、それぞれのデータ保護クラスに従って再暗号化されます。