การปกป้องกุญแจในโหมดการบูตอื่นๆ
การปกป้องข้อมูลได้รับการออกแบบให้เข้าถึงข้อมูลผู้ใช้ได้เฉพาะหลังจากที่ตรวจสอบสิทธิ์สำเร็จเท่านั้น และเข้าถึงได้เฉพาะผู้ใช้ที่อนุญาตเท่านั้น คลาสการปกป้องข้อมูลได้รับการออกแบบให้รองรับกรณีการใช้งานที่หลากหลาย เช่น ความสามารถในการอ่านและเขียนข้อมูลบางส่วนแม้อุปกรณ์จะล็อคอยู่ (แต่ต้องหลังจากปลดล็อคครั้งแรกแล้ว) ระบบมีขั้นตอนเพิ่มเติมที่ต้องดำเนินการเพื่อปกป้องสิทธิ์เข้าถึงข้อมูลผู้ใช้ในระหว่างโหมดบูตอื่นๆ เช่น ขั้นตอนที่ใช้กับโหมดอัปเดตเฟิร์มแวร์อุปกรณ์ (DFU), โหมดการกู้คืน, การวินิจฉัยของ Apple หรือแม้แต่ในระหว่างการอัปเดตซอฟต์แวร์ ความสามารถเหล่านี้มีการอ้างอิงจากการผสมผสานระหว่างคุณสมบัติด้านฮาร์ดแวร์และซอฟต์แวร์ และมีการขยายเพิ่มขึ้นขณะที่ Silicon ที่ Apple ออกแบบได้พัฒนาขึ้น
คุณสมบัติ | A10 | A11–A17 S3–S9 M1, M2, M3 |
การกู้คืน: คลาสการปกป้องข้อมูลทุกคลาสที่ได้รับการปกป้อง | ||
การบูตอื่นๆ ของโหมด DFU, การกู้คืน และการอัปเดตซอฟต์แวร์: คลาส A, B และ C ที่ได้รับการปกป้อง |
กลไก Secure Enclave AES มาพร้อมกับบิต Seed ของซอฟต์แวร์ที่สามารถล็อคได้ เมื่อกุญแจถูกสร้างขึ้นจาก UID ระบบจะรวมบิต Seed อยู่ในฟังก์ชั่นการแปรผันกุญแจเพื่อสร้างลำดับชั้นเพิ่มเติมของกุญแจขึ้นมา วิธีใช้บิต Seed จะแตกต่างกันไปตามระบบบนชิป:
สำหรับ A10 SoC และ S3 SoC ของ Apple บิต Seed จะมีอยู่ในกุญแจแต่ละดอกที่ได้รับการปกป้องด้วยรหัสของผู้ใช้ บิต Seed จะถูกตั้งค่าสำหรับกุญแจที่ต้องใช้รหัสของผู้ใช้ (เช่น กุญแจการปกป้องข้อมูลคลาส A, คลาส B, และคลาส C) และจะไม่มีอยู่ในกุญแจที่ไม่จำเป็นต้องใช้รหัสของผู้ใช้ (เช่น กุญแจเมตาดาต้าของระบบไฟล์และกุญแจคลาส D)
ใน iOS 13 ขึ้นไปและ iPadOS 13.1 ขึ้นไปบนอุปกรณ์ที่มี A10 ขึ้นไป ข้อมูลของผู้ใช้ทั้งหมดทำให้ไม่สามารถเข้าถึงได้ด้วยการเข้ารหัสเมื่ออุปกรณ์บูตไปยังโหมดการวินิจฉัย การทำเช่นนี้ทำได้โดยการแนะนำบิต Seed เพิ่มเติมที่มีการตั้งค่าควบคุมความสามารถในการเข้าถึงกุญแจสื่อ ซึ่งจำเป็นต้องใช้เพื่อเข้าถึงเมตาดาต้า (ดังนั้นจึงรวมไปถึงเนื้อหาของไฟล์ทั้งหมด) บนดิสก์โวลุ่มข้อมูลที่เข้ารหัสด้วยการปกป้องข้อมูล การปกป้องนี้รวมไฟล์ที่ได้รับการปกป้องในทุกคลาส (A, B, C และ D) ไม่เพียงไฟล์ที่ต้องใช้รหัสของผู้ใช้เท่านั้น
Secure Enclave Boot ROM บน A12 SoC จะล็อคบิต Seed ของรหัสหากหน่วยประมวลผลแอปพลิเคชันเข้าสู่โหมดอัปเกรดเฟิร์มแวร์อุปกรณ์ (DFU) หรือ โหมดการกู้คืน เมื่อรหัสบิต Seed ถูกล็อค การทำงานใดๆ ที่จะเปลี่ยนรหัสผ่านจะไม่สามารถดำเนินการได้ วิธีนี้ได้รับการออกแบบมาเพื่อป้องกันเข้าถึงข้อมูลที่ได้รับการปกป้องโดยรหัสของผู้ใช้
การกู้คืนอุปกรณ์หลังจากที่เข้าสู่โหมด DFU จะทำให้อุปกรณ์นั้นกลับสู่สภาพที่ใช้งานได้และรับรองได้ว่าจะมีเฉพาะรหัสที่ Apple ลงชื่อรับรองที่ไม่ได้แก้ไขเท่านั้น สามารถเข้าสู่โหมด DFU ได้ด้วยตัวเอง
ดูบทความบริการช่วยเหลือของ Apple ต่อไปนี้เกี่ยวกับวิธีเปลี่ยนอุปกรณ์ในโหมด DFU:
อุปกรณ์ | บทความบริการช่วยเหลือของ Apple |
---|---|
iPhone, iPad | |
Apple TV | |
Mac ที่มี Apple Silicon |