iCloud 키체인 복구 보안
iCloud 키체인은 사용자의 키체인 데이터를 Apple에 에스크로할 수 있습니다. 이때 Apple에서는 암호 및 키체인에 포함된 다른 데이터를 읽지 못합니다. 기기를 하나만 가지고 있더라도 키체인 복구는 데이터 유실에 대한 안전망을 제공합니다. Safari를 사용해 웹 계정용으로 무작위로 강력한 암호 또는 패스키를 생성하는 경우 해당 암호는 키체인에만 기록되기 때문에 유실 방지가 특히 중요합니다.
키체인 복구의 기본은 보조 인증과 보안 에스크로 서비스로서 Apple이 키체인 복구를 위해 특별히 개발한 기술입니다. 사용자의 키체인은 강력한 암호를 사용하여 암호화되고 에스크로 서비스는 일련의 엄격한 조건이 충족될 때에만 키체인의 사본을 제공합니다.
보조 인증 사용
강력한 암호를 설정하는 몇 가지 방법은 다음과 같습니다.
이중 인증이 사용자의 계정에 활성화되어 있는 경우 기기 암호는 에스크로된 키체인을 복구하는 데 사용됩니다.
이중 인증이 설정되어 있지 않으면 사용자는 6자리 암호로 iCloud 보안 코드를 생성하도록 요청받습니다. 사용자는 이중 인증 대신 자신만의 긴 코드를 지정하거나 기기에서 암호화된 무작위 코드를 생성하여 자체적으로 기록하고 유지하도록 할 수도 있습니다.
키체인 에스크로 프로세스
암호가 설정되면 키체인이 Apple로 에스크로됩니다. iOS, iPadOS 또는 macOS 기기는 먼저 사용자의 키체인 사본을 내보내서 비대칭 keybag으로 키를 래핑하도록 암호화하여 사용자의 iCloud 키 값 저장 공간 영역에 배치합니다. Keybag은 사용자의 iCloud 보안 코드와 에스크로 레코드를 저장하는 HSM(하드웨어 보안 모듈) 클러스터의 공개 키로 래핑됩니다. 이는 사용자의 iCloud 에스크로 레코드가 됩니다. 이중 인증 계정의 경우 키체인은 CloudKit에도 저장되며 iCloud 에스크로 레코드의 콘텐츠로만 복구할 수 있는 중간 키로 래핑되어 동일한 수준의 보호를 제공합니다.
에스크로 레코드의 콘텐츠는 복구 기기도 iCloud 키체인에 재합류할 수 있게 허용하며 모든 기존 기기에 복구 기기가 성공적으로 에스크로 프로세스를 수행했으며 계정 소유자에게 승인받았음을 증명합니다.
참고: 사용자는 보안 코드를 설정하는 것 외에도 iCloud 계정의 전화번호를 등록해야 합니다. 이는 키 체인 복구 도중 2차 인증 단계를 제공합니다. 사용자는 SMS 메시지를 받게 되고 복구 진행을 위해 메시지에 회신해야 합니다.