Deponeringssikkerhet for iCloud-nøkkelring
iCloud sørger for en sikker infrastruktur for nøkkelringdeponering for å bidra til å sikre at kun godkjente brukere og enheter kan utføre en gjenoppretting. Klynger med maskinvaresikkerhetsmoduler (HSM-er) som vokter deponeringsoppføringene, er topografisk plassert bak iCloud. Som tidligere beskrevet, har de en nøkkel hver som brukes til å kryptere deponeringsoppføringene de vokter.
For å gjenopprette en nøkkelring må brukerne autentisere med iCloud-kontoen og svare på en tekstmelding som sendes til det registrerte telefonnummeret. Etter at dette er gjort, må brukerne oppgi iCloud-sikkerhetskoden. HSM-klyngen bekrefter at en bruker kjenner iCloud-sikkerhetskoden ved hjelp av SRP-protokollen (Secure Remote Password). Selve koden sendes ikke til Apple. Medlemmene i klyngen bekrefter uavhengig av hverandre at brukeren ikke har overskredet maksimalt antall forsøk som er tillatt for å hente oppføringen, slik det er beskrevet nedenfor. Hvis flertallet er enig, pakker klyngen ut deponeringsoppføringen og sender den til brukerens enhet.
Deretter bruker enheten deponeringsdataene til å pakke ut de tilfeldige nøklene som ble brukt til å kryptere brukerens nøkkelring. Med den nøkkelen blir nøkkelringen, som hentes fra CloudKit og iCloud-lagringsplassen for nøkkelverdier, dekryptert og gjenopprettet på enheten. Deponeringstjenesten tillater bare ti forsøk på å autentisere og hente en deponeringsoppføring. Etter flere mislykkede forsøk låses oppføringen, og brukeren må ringe Apple-kundestøtten for å få lov til å gjøre flere forsøk. Etter det tiende mislykkede forsøket ødelegger HSM-klyngen deponeringsoppføringen, og nøkkelringen er tapt for alltid. Dette gir beskyttelse mot brute-force-forsøk på å hente oppføringen, men til gjengjeld må nøkkelringdata ofres.
Disse retningslinjene ligger kodet i HSM-firmwaren. De administrative tilgangskortene som gir firmware lov til å bli endret, er blitt ødelagt. Alle forsøk på å endre firmwaren eller å få tilgang til den private nøkkelen fører til at HSM-klyngen sletter den private nøkkelen. Hvis dette skjer, får eieren av hver nøkkelring som er beskyttet av klyngen, en melding som informerer dem om at deponeringsoppføringene deres har gått tapt. De kan da velge å registreres på nytt.