Säker återställning av iCloud-nyckelring
iCloud-nyckelring deponerar användarnas nyckelringsdata hos Apple utan att Apple får tillgång till lösenord eller andra data i dem. Även om användaren bara har en enda enhet ger återställning av nyckelringen ett skydd mot dataförlust. Det är särskilt viktigt när Safari används till att skapa slumpmässiga, starka lösenord eller nycklar för webbkonton eftersom dessa lösenord bara finns sparade i nyckelringen.
Sekundär autentisering och en säker deponeringstjänst som Apple har utvecklat särskilt för funktionen är centrala delar i tjänsten för återställning av nyckelringen. Användarens nyckelring krypteras med en stark lösenkod och deponeringstjänsten kräver att en strikt uppsättning villkor uppfylls för att en kopia av nyckelringen ska göras tillgänglig.
Använda sekundär autentisering
Det går att upprätta en stark lösenkod på flera sätt:
Om tvåfaktorsautentisering är aktiverad för användarens konto används enhetens lösenkod till att återskapa en deponerad nyckelring.
Om tvåfaktorsautentisering inte är inställd blir användaren ombedd att skapa en iCloud-säkerhetskod genom att ange en sexsiffrig lösenkod. Utan tvåfaktorsautentisering kan användaren välja att ange en egen längre kod, eller låta enheten skapa en kryptografiskt slumpmässig kod som användaren kan registrera och spara på egen hand.
Deponeringsprocess för nyckelring
När lösenkoden har upprättats deponeras nyckelringen hos Apple. iOS-, iPadOS- eller macOS-enheten exporterar först en kopia av användarens nyckelring. Sedan krypteras och paketeras den med nycklarna i en asymmetrisk nyckelsamling och placeras i användarens lagringsutrymme för nyckelvärden på iCloud. Nyckelsamlingen paketeras med användarens iCloud-säkerhetskod och den publika nyckeln för det HSM-modulkluster (Hardware Security Module) där deponeringsposten lagras. Detta blir användarens deponeringspost på iCloud. För konton med tvåfaktorsautentisering lagras nyckelringen också i CloudKit och paketeras till mellannycklar som endast går att hämta med innehållet i deponeringsposten på iCloud, vilket tillhandahåller samma skyddsnivå.
Innehållet i deponeringsposten tillåter även att återställningsenheten återansluter till iCloud-nyckelring, vilket bevisar för eventuella befintliga enheter att återställningsenheten har utfört deponeringsprocessen och därmed är auktoriserad av kontots ägare.
Obs! Utöver att upprätta en säkerhetskod måste användarna registrera ett telefonnummer för sitt iCloud-konto. Detta ger en andra autentiseringsnivå vid återställning av en nyckelring. Användaren får ett SMS som måste besvaras för att återställningen ska kunna fortsätta.