계정 복구 연락처 보안
사용자는 고급 데이터 보호를 켰는지 여부에 상관없이 모든 종단간 암호화된 데이터를 포함하여 iCloud 계정 및 데이터를 복구하는 데 도움을 받을 수 있도록 신뢰하는 사람 최대 5명을 계정 복구 연락처로 추가할 수 있습니다. Apple과 복구 연락처 모두 사용자의 종단간 암호화된 iCloud 데이터를 복구하기 위해 필요한 정보를 각자 가지고 있지 않습니다.
복구 연락처는 개인정보 보호를 염두에 두고 설계되었습니다. 사용자가 선택한 복구 연락처에 대해 Apple은 알지 못합니다. Apple 서버는 사용자가 연락처에 도움을 요청하고 해당 연락처가 실제로 복구를 지원하기 시작한 후 복구 시도의 나중 과정에서만 복구 연락처에 대한 정보를 알 수 있습니다. 해당 정보는 복구가 완료된 후 유지되지 않습니다.
복구 연락처 보안 프로세스
사용자가 계정 복구 연락처를 설정할 경우, 해당 연락처와 관련된 키가 생성됩니다. 이 키는 종단간 암호화된 CloudKit 데이터를 포함하는 사용자의 iCloud 데이터에 대한 접근을 방지합니다. 다음으로, 무작위 256비트 AES 키가 생성되고 복구 연락처 키를 암호화하여 복구 연락처 패킷을 생성하는 데 사용됩니다. 암호화된 패킷은 안전하게 저장하기 위해 복구 연락처로 전송되며, 무작위 AES 키는 Apple에 저장됩니다. AES 키 및 패킷은 기본 키에 대한 어떤 정보도 자체적으로 제공하지 않습니다. 복구 시 사용자의 기기는 복구 연락처에게서는 복구 연락처 패킷을, Apple에게서는 AES 키를 성공적으로 얻은 다음, 둘을 조합하여 원본 키를 복구하고 사용자의 iCloud 데이터에 접근할 수 있습니다.
계정 복구 연락처를 설정하기 위해 사용자의 기기는 Apple 서버와 통신하여 Apple이 보유하게 될 키 정보의 할당분(위에서 언급된 AES 키)을 업로드합니다. 이후 해당 기기는 복구 연락처에 대해 종단간 암호화된 CloudKit 컨테이너를 설정하여 복구 연락처에 필요한 부분(AES 키를 사용하여 암호화된 복구 연락처 패킷)을 공유합니다. Apple에 의해 생성된 인증 비밀은 복구 연락처를 통해서도 공유됩니다. 이는 계정을 복구하는 데 사용되고, 계정의 암호를 재설정하는 데 도움이 됩니다. 복구 연락처를 초대 및 승인하는 통신은 상호 인증된 IDS 채널을 통해 이루어집니다. 복구 연락처는 수신된 정보를 자신의 iCloud 키체인에 자동으로 저장합니다. Apple은 CloudKit 컨테이너의 콘텐츠나, 이 정보를 저장하는 iCloud 키체인에 접근할 수 없습니다. 공유가 실행될 때 Apple 서버는 복구 연락처를 익명의 ID로만 볼 수 있습니다.
나중에 사용자가 계정 및 iCloud 데이터를 복구해야 할 때 복구 연락처에 도움을 요청할 수 있습니다. 이때 복구 연락처의 기기에서 복구 코드가 생성되고, 복구 연락처는 사용자를 직접 만나거나 사용자에게 전화를 거는 등 대역 외 방식으로 복구 코드를 사용자에게 제공합니다. 그런 다음 사용자가 자신의 기기에 복구 코드를 입력하여 SPAKE2+ 프로토콜을 사용하는 보안 연결을 기기 간에 설정합니다. Apple은 이러한 콘텐츠에 접근할 수 없습니다. 이 상호 작용은 Apple 서버에 의해 조정되지만 Apple은 복구 과정을 시작할 수 없습니다.
보안 연결이 설정되고 필요한 모든 보안 확인이 완료된 다음, 복구 연락처의 기기는 자신이 할당받은 키 정보와 이전에 설정된 인증 비밀을 복구를 요청하는 사용자에게 반환합니다. 사용자가 이 인증 비밀을 Apple 서버에 제시하면 Apple이 보관하는 키 정보에 접근할 수 있습니다. 인증 비밀을 제공하면 계정 접근 복원을 위한 계정 암호 재설정도 승인됩니다.
마지막으로, 사용자의 기기는 Apple과 계정 복구 연락처로부터 수신한 키 정보를 다시 결합한 다음 iCloud 데이터를 암호화 해제 및 복구하는 데 사용합니다.
복구 연락처가 사용자의 허가 없이 복구를 시작하지 않도록 방지하기 위해 사용자 계정의 사용 여부를 확인하는 등의 안전 장치가 마련되어 있습니다. 계정이 사용 중일 경우, 복구 연락처를 사용하여 복구하기 위해서는 최근 기기 암호 또는 iCloud 보안 코드 정보를 요구합니다.