Расширенная защита данных для iCloud

Включение Расширенной защиты данных

Когда пользователь включает Расширенную защиту данных, доверенная платформа этого пользователя выполняет два действия. Сначала она передает намерение пользователя включить Расширенную защиту данных для других устройств этого пользователя, защищенных сквозным шифрованием. Для этого она записывает новое значение, подписанное локальными ключами устройств, в метаданные устройств в Связке ключей iCloud. Серверы Apple не могут удалить или изменить эту информацию, и она синхронизируется с другими устройствами пользователя.

Затем устройство запускает удаление ключей служб, доступных после аутентификации, из центров обработки данных Apple. Поскольку эти ключи защищены HSM iCloud, они удаляются немедленно, навсегда и без возможности восстановления. После удаления этих ключей Apple больше не может получить доступ к любым данным, защищенным ключами служб пользователя. В этот момент устройство начинает процедуру асинхронной ротации ключей, в ходе которой создается новый ключ службы для каждой из служб, ключи которых ранее были доступны для серверов Apple. Если выполнить ротацию ключей не удается из‑за сбоя сетевого соединения или другой ошибки, устройство повторяет попытки ротации ключей до ее успешного выполнения.

После успешной ротации ключей служб новые данные, записанные в службу, становится невозможно расшифровать с помощью старого ключа службы. Эти данные защищены новым ключом, который управляется только доверенными устройствами пользователя и никогда не был доступен для Apple.

Расширенная защита данных и веб‑доступ к iCloud.com

Когда пользователь впервые включает Расширенную защиту данных, веб‑доступ к данным этого пользователя на iCloud.com автоматически выключается. Причиной является то, что у веб‑серверов iCloud больше нет доступа к ключам, необходимым для расшифровки и отображения данных пользователя. При желании пользователь может снова включить веб‑доступ и использовать свое доверенное устройство для доступа к своим зашифрованным данным iCloud через интернет.

После включения веб‑доступа пользователь должен авторизовать онлайн-вход в систему на одном из своих доверенных устройств при каждом посещении сайта iCloud.com. Такая авторизация дает устройству право на веб‑доступ. В течение следующего часа это устройство принимает от определенных серверов Apple запросы на загрузку отдельных ключей служб, но только тех, которые соответствуют списку разрешенных служб, обычно доступных на iCloud.com. Иными словами, даже после того, как пользователь авторизует онлайн-вход в систему, запрос сервера не сможет вынудить устройство пользователя выгрузить ключи служб для данных, которые не предназначены для просмотра на iCloud.com (например, данных Здоровья или паролей в Связке ключей iCloud). Серверы Apple запрашивают только те ключи служб, которые необходимы для расшифровки конкретных данных, к которым пользователь запрашивает доступ в интернете. При каждой выгрузке ключа службы этот ключ шифруется с использованием кратковременного ключа, привязанного к веб‑сеансу, который авторизован пользователем, а на устройстве пользователя отображается уведомление с указанием службы iCloud, данные которой временно становятся доступными для серверов Apple.

Сохранение выбора пользователя

Настройки Расширенной защиты данных и веб‑доступа к iCloud.com могут быть изменены только пользователем. Эти значения хранятся в метаданных устройства в Связке ключей iCloud пользователя и могут быть изменены только с одного из доверенных устройств пользователя. Серверы Apple не могут изменять эти настройки от имени пользователя и не могут возвращать их к предыдущим конфигурациям.

Возможные угрозы для безопасности при общем доступе и совместной работе

В большинстве случаев, когда пользователи делятся контентом для совместной работы (например, настраивают общие заметки, общие напоминания, общие папки в iCloud Drive или общую медиатеку iCloud) и у всех участников включена Расширенная защита данных, серверы Apple используются только для настройки общего доступа, но не имеют доступа к ключам шифрования общих данных. Контент по‑прежнему защищен сквозным шифрованием и доступен только на доверенных устройствах участников. При открытии общего доступа к каждому объекту Apple может сохранять заголовок и информативную миниатюру этого объекта со стандартной защитой данных, чтобы предоставлять получателям возможность предварительного просмотра.

Если при включении общего доступа пользователь выбирает вариант «всем, у кого есть ссылка», контент становится доступным для серверов Apple со стандартной защитой данных, так как серверам необходима возможность предоставлять доступ всем, кто открывает URL‑ссылку.

Функция совместной работы в iWork и функция «Общие альбомы» в приложении «Фото» не поддерживают Расширенную защиту данных. Когда пользователи совместно работают над документом iWork или открывают документ iWork из общей папки в iCloud Drive, ключи шифрования этого документа безопасно выгружаются на серверы iWork в центрах обработки данных Apple. Причиной этого является то, что при совместной работе в iWork в режиме реального времени изменения документа синхронизируются между участниками через сервер. Фото, добавленные в функцию «Общие альбомы», хранятся со стандартной защитой данных, так как эта функция разрешает делать альбомы общедоступными в интернете.

Выключение Расширенной защиты данных

Пользователь может в любое время выключить Расширенную защиту данных. Если пользователь решает сделать это, запускаются указанные ниже процессы.

1. Устройство пользователя сначала записывает новый выбор в метаданные участия в Связке ключей iCloud, и эта настройка безопасно синхронизируется на все устройства пользователя.

2. Устройство пользователя безопасно выгружает ключи служб для всех служб, доступных после аутентификации, в HSM iCloud в центрах обработки данных Apple. При этом никогда не выгружаются ключи служб, защищенных сквозным шифрованием со стандартной защитой данных, таких как Связка ключей iCloud и Здоровье.

Устройство выгружает как исходные ключи служб, сгенерированные до включения Расширенной защиты данных, так и новые ключи служб, сгенерированные после включения этой функции. При этом все данные в этих службах становятся доступными после аутентификации, а для учетной записи снова начинает действовать стандартная защита данных, при которой Apple может помогать пользователю восстанавливать большинство данных, если пользователь потеряет доступ к своей учетной записи.

Данные iCloud, для которых не действует Расширенная защита данных

Из‑за необходимости взаимодействия с глобальными системами электронной почты, контактов и календарей Почта iCloud, Контакты iCloud и Календарь iCloud не защищены сквозным шифрованием.

iCloud хранит некоторые данные без защиты уникальных для пользователя ключей служб CloudKit, даже когда включена Расширенная защита данных. Чтобы данные были защищены, поля записей CloudKit должны быть явным образом объявлены как «зашифрованные» в схеме контейнера, а для зашифрованных полей чтения и записи требуется использовать специальные API. Дата и время изменения файлов или объектов используются для сортировки информации пользователя, а контрольные суммы файлов и данных фото помогают Apple устранять дублирование и оптимизировать хранилище данных пользователя в iCloud и на устройстве, не получая доступа к самим файлам и фото. Подробная информация о том, как применяется шифрование для конкретных категорий данных, приведена в статье службы поддержки Apple Обзор системы защиты данных в iCloud.

Такие решения, как использование контрольных сумм для устранения дублирования данных (широко известная технология конвергентного шифрования) изначально были встроены в службы iCloud в момент их запуска. Эти метаданные всегда зашифрованы, но Apple хранит ключи шифрования со стандартной защитой данных. Продолжая работу по усилению защиты данных всех пользователей, Apple внедряет сквозное шифрование новых типов данных, в том числе этого типа метаданных, для пользователей, включивших Расширенную защиту данных.

Требования для Расширенной защиты данных

Чтобы включить Расширенную защиту данных для iCloud, необходимо соблюдение следующих требований.

• Учетная запись пользователя должна поддерживать сквозное шифрование. Для сквозного шифрования требуется двухфакторная аутентификация Apple ID пользователя, а на доверенных устройствах пользователя должен быть задан пароль или код‑пароль. Подробнее см. в статье службы поддержки Apple Двухфакторная аутентификация для идентификатора Apple ID.

• Устройства, на которых пользователь выполнил вход со своим Apple ID должны быть обновлены до iOS 16.2, iPadOS 16.2, macOS 13.1, tvOS 16.2, watchOS 9.2 или новее, а также до новейшей версии iCloud для Windows. Это необходимо для того, чтобы исключить возможность неправильной обработки новых созданных ключей в iOS, iPadOS, macOS, tvOS или watchOS: система может повторно выгрузить их в HSM, доступные после аутентификации, ошибочно пытаясь восстановить состояние учетной записи.

• Пользователь должен настроить как минимум один альтернативный способ восстановления (один или несколько контактов для восстановления доступа или ключ восстановления), с помощью которого пользователь сможет восстановить свои данные iCloud, если потеряет доступ к своей учетной записи.

Если способы восстановления не сработают (например, данные контакта для восстановления доступа устарели или пользователь их забыл), Apple не сможет помочь с восстановлением пользовательских данных iCloud, защищенных сквозным шифрованием.

Расширенную защиту данных для iCloud можно включать только для Apple ID. Управляемые Apple ID и детские учетные записи (зависит от страны или региона) не поддерживаются.