Proteção Avançada de Dados do iCloud
A Proteção Avançada de Dados do iCloud é um ajuste opcional que oferece o nível de segurança de dados na nuvem mais alto da Apple. Quando o usuário ativa a Proteção Avançada de Dados, os dispositivos de confiança mantêm o acesso exclusivo às chaves de criptografia da maioria dos dados do iCloud, o que os protege com a criptografia de ponta a ponta. No caso de usuários que ativam a Proteção Avançada de Dados, o número de categorias de dados protegidas pela criptografia de ponta a ponta aumenta de 14 para 23 e inclui o Backup do iCloud, Fotos, Notas e outras.
Nota: esse recurso pode não estar disponível em todos os países ou regiões.
Conceitualmente, a Proteção Avançada de Dados é simples: todas as chaves de Serviço do CloudKit que foram geradas no dispositivo e posteriormente enviadas aos Módulos de Segurança de Hardware do iCloud (HSMs) disponíveis depois da autenticação nos centros de processamento de dados da Apple são apagadas desses HSMs e mantidas integralmente dentro do domínio de proteção das Chaves do iCloud da conta. Elas são gerenciadas como as chaves de serviço criptografadas de ponta a ponta existentes, o que significa que a Apple não pode mais ler nem acessar essas chaves.
A Proteção Avançada de Dados também protege automaticamente os campos do CloudKit que outros desenvolvedores optam por marcar como criptografados e todos os materiais do CloudKit.
Ativação da Proteção Avançada de Dados
Quando o usuário ativa a Proteção Avançada de Dados, seu respectivo dispositivo de confiança realiza duas ações: primeiro, ele comunica a intenção do usuário de ativar a Proteção Avançada de Dados aos outros dispositivos que participam da criptografia de ponta a ponta. Para fazer isso, ele grava um novo valor, assinado por chaves locais no dispositivo, em seus metadados de dispositivo nas Chaves do iCloud. Os servidores da Apple não podem remover nem modificar esse atestado enquanto ele é sincronizado com os outros dispositivos do usuário.
O dispositivo inicia então a remoção das chaves de serviço disponíveis depois da autenticação dos centros de processamento de dados da Apple. Como essas chaves são protegidas pelos HSMs do iCloud, esse apagamento é imediato, permanente e irrevogável. Depois que as chaves são apagadas, a Apple não pode mais acessar nenhum dos dados protegidos pelas chaves de serviço do usuário. Nesse estágio, o dispositivo inicia uma operação de rotação de chave assíncrona, que cria uma nova chave de serviço para cada serviço cuja chave estivera disponível anteriormente aos servidores da Apple. Se a rotação da chave falhar (devido a uma interrupção na rede ou qualquer outro erro), o dispositivo tentará realizar novamente a rotação da chave até que ela seja bem-sucedida.
Depois que a rotação da chave de serviço for bem-sucedida, qualquer novo dado gravado no serviço não poderá ser descriptografado com a chave de serviço antiga. Ele será protegido pela nova chave, controlada exclusivamente pelos dispositivos de confiança do usuário e nunca disponibilizada à Apple.
Proteção Avançada de Dados e acesso via web a iCloud.com
Quando um usuário ativa a Proteção Avançada de Dados pela primeira vez, o acesso via web aos dados em iCloud.com é desativado automaticamente. Isso se dá porque os servidores web do iCloud não têm mais acesso às chaves necessárias para descriptografar e mostrar os dados do usuário. O usuário pode optar por reativar o acesso via web e usar a participação do dispositivo de confiança para acessar os dados do iCloud criptografados na web.
Depois de ativar o acesso via web, o usuário deve autorizar o início de sessão na web em um de seus dispositivos de confiança sempre que acessar iCloud.com. A autorização “arma” o dispositivo para o acesso via web. Durante a próxima hora, o dispositivo aceitará pedidos de servidores específicos da Apple para enviar chaves de serviço individuais, mas somente daqueles que estiverem em uma lista de serviços permitidos normalmente acessíveis em iCloud.com. Em outras palavras, mesmo depois que o usuário autorizar um início de sessão na web, um pedido ao servidor será incapaz de induzir o dispositivo do usuário a enviar chaves de serviço para dados que não se destinam à visualização em iCloud.com (como dados de Saúde ou senhas nas Chaves do iCloud). Os servidores da Apple solicitam apenas as chaves de serviço necessárias para descriptografar os dados específicos solicitados pelo usuário para acesso na web. Sempre que uma chave de serviço é enviada, ela é criptografada com uma chave efêmera destinada à sessão web autorizada pelo usuário e uma notificação é exibida no dispositivo do usuário, mostrando o serviço do iCloud cujos dados estão sendo temporariamente disponibilizados aos servidores da Apple.
Preservação das escolhas do usuário
Os ajustes da Proteção Avançada de Dados e do acesso via web a iCloud.com podem ser modificados apenas pelo usuário. Esses valores são armazenados nos metadados do dispositivo das Chaves do iCloud do usuário e só podem ser alterados em um dos dispositivos de confiança do usuário. Os servidores da Apple não podem modificar esses ajustes em nome do usuário nem revertê-los a uma configuração anterior.
Implicações de segurança do compartilhamento e colaboração
Na maioria dos casos, quando usuários compartilham conteúdo para colaborar entre si (como Notas compartilhadas, Lembretes compartilhados, pastas compartilhadas no iCloud Drive ou uma Fototeca Compartilhada do iCloud, por exemplo) e todos os participantes têm a Proteção Avançada de Dados ativada, os servidores da Apple são usados apenas para estabelecer o compartilhamento e não têm acesso às chaves de criptografia dos dados compartilhados. O conteúdo permanece criptografado de ponta a ponta e acessível somente nos dispositivos de confiança dos participantes. Em cada operação de compartilhamento, um título e uma miniatura representativa podem ser armazenados pela Apple com a proteção de dados padrão, visando mostrar uma prévia para os destinatários.
A seleção da opção “qualquer pessoa com o link” ao ativar a colaboração faz com que o conteúdo seja disponibilizado aos servidores da Apple com a proteção de dados padrão, já que os servidores precisam fornecer acesso a qualquer pessoa que venha a abrir o URL.
A colaboração no iWork e o recurso de Álbuns Compartilhados no app Fotos não são compatíveis com a Proteção Avançada de Dados. Quando usuários colaboram em um documento do iWork ou abrem um documento do iWork de uma pasta compartilhada no iCloud Drive, as chaves de criptografia do documento são enviadas com segurança aos servidores do iWork nos centros de processamento de dados da Apple. Isso se dá porque a colaboração em tempo real no iWork requer mediação por parte do servidor para coordenar as alterações feitas pelos participantes no documento. As fotos adicionadas a Álbuns Compartilhados são armazenadas com a proteção de dados padrão, já que esse recurso permite que os álbuns sejam compartilhados publicamente na web.
Desativação da Proteção Avançada de Dados
O usuário pode desativar a Proteção Avançada de Dados a qualquer momento. Caso decida fazer isso:
1. O dispositivo do usuário registra essa nova escolha nos metadados de participação das Chaves do iCloud e a sincroniza com segurança em todos os dispositivos.
2. O dispositivo do usuário envia com segurança as chaves de serviço de todos os serviços disponíveis depois da autenticação aos HSMs do iCloud nos centros de processamento de dados da Apple. Isso nunca inclui as chaves dos serviços criptografados de ponta a ponta sob a proteção de dados padrão, como as Chaves do iCloud e os dados de Saúde.
O dispositivo envia tanto as chaves de serviço originais (geradas antes da desativação da Proteção Avançada de Dados) quanto as novas chaves de serviço geradas depois que o usuário ativa esse recurso. Isso faz com que todos os dados nesses serviços possam ser acessados depois da autenticação e retorna a conta à proteção de dados padrão, em que a Apple pode novamente ajudar o usuário a recuperar a maior parte dos dados no caso de perda de acesso à conta.
Dados do iCloud não cobertos pela Proteção Avançada de Dados
Dada a necessidade de interoperabilidade dos sistemas de e‑mail, contatos e calendário, o Mail do iCloud e os apps Contatos e Calendário não são criptografados de ponta a ponta.
O iCloud armazena alguns dados sem a proteção de chaves de serviço do CloudKit específicas do usuário, mesmo quando a Proteção Avançada de Dados está ativada. Os campos de Registro do CloudKit devem ser explicitamente declarados como “criptografados” no esquema do contêiner para que sejam protegidos, e a leitura e gravação de campos criptografados requerem o uso de APIs dedicadas. A data e a hora em que um arquivo ou objeto foi modificado são usadas para ordenar as informações de um usuário, enquanto as somas de verificação dos dados de arquivos ou fotos são usadas para ajudar a Apple a remover duplicatas e otimizar o armazenamento do iCloud e do dispositivo do usuário; tudo sem precisar acessar os arquivos e as fotos em si. Os detalhes sobre como a criptografia é usada para categorias específicas de dados estão disponíveis no artigo de Suporte da Apple Visão geral da segurança de dados do iCloud.
Decisões, como o uso de somas de verificação para a remoção de duplicatas (uma técnica bem estabelecida, chamada criptografia convergente) fizeram parte do projeto original dos serviços do iCloud quando esses foram lançados. Esses metadados sempre são criptografados, mas as chaves de criptografia são armazenadas pela Apple com a proteção de dados padrão. Para continuar reforçando as proteções de segurança para todos os usuários, a Apple está comprometida a garantir que mais dados, incluindo esses tipos de metadados, sejam criptografados de ponta a ponta quando a Proteção Avançada de Dados for ativada.
Requisitos da Proteção Avançada de Dados
Os requisitos para ativar a Proteção Avançada de Dados do iCloud incluem os seguintes:
A conta do usuário precisa ser compatível com a criptografia de ponta a ponta. A criptografia de ponta a ponta requer a autenticação de dois fatores no ID Apple e um código ou senha definido nos dispositivos de confiança do usuário. Para obter mais informações, consulte o artigo de Suporte da Apple Autenticação de dois fatores do ID Apple.
Os dispositivos em que o usuário tem uma sessão iniciada com o ID Apple devem estar atualizados com o iOS 16.2, iPadOS 16.2, macOS 13.1, tvOS 16.2 e watchOS 9.2 ou posteriores e a versão mais recente do iCloud para Windows. Esse requisito impede que uma versão anterior do iOS, iPadOS, macOS, tvOS ou watchOS lide incorretamente com as recém-criadas chaves de serviço ao reenviá‑las aos HSMs disponíveis depois da autenticação em uma tentativa equivocada de reparar o estado da conta.
O usuário precisa configurar ao menos um método de recuperação alternativo (um ou mais contatos de recuperação ou uma chave de recuperação) que possa ser usado para recuperar os dados do iCloud no caso de perda de acesso à conta.
Se o método de recuperação falhar (se as informações do contato de recuperação estiverem desatualizadas ou o usuário as esquecer), a Apple não poderá ajudar a recuperar os dados do iCloud criptografados de ponta a ponta.
A Proteção Avançada de Dados do iCloud pode ser ativada somente para IDs Apple. IDs Apple Gerenciados e contas de crianças (variam de acordo com o país ou região) não são compatíveis.