Şifreleme ve Veri Koruma’ya genel bakış
Güvenli başlatma zinciri, sistem güvenliği ve uygulama güvenliği özellikleri hep birlikte bir aygıtta yalnızca güvenilir kodların ve uygulamaların çalıştığını doğrulamaya yardımcı olur. Apple aygıtlarının, güvenlik altyapısının diğer bölümleri saldırıya uğradığında bile (örneğin bir aygıt kaybolduysa veya güvenilmeyen kodları çalıştırıyorsa) kullanıcı verilerini korumak için ek şifreleme özellikleri bulunur. Bu özelliklerin tümü, kişisel ve kurumsal bilgileri koruyarak ve aygıt çalındığında veya kaybolduğunda anında ve eksiksiz uzaktan silme yöntemleri sağlayarak hem kullanıcılara hem de BT yöneticilerine önemli faydalar sağlar.
iPhone ve iPad aygıtları, Veri Koruma adlı bir dosya şifreleme yöntemi kullanırken Intel tabanlı bir Mac’te veriler, FileVault adlı bir disk bölümü şifreleme teknolojisi ile korunur. Apple Silicon yongalı bir Mac, Veri Koruma’yı destekleyen bir hibrit model kullanır ancak şu iki noktaya dikkat edilmesi gerekir: En düşük koruma düzeyi (D Sınıfı) desteklenmez ve saptanmış düzey (C Sınıfı) bir disk bölümü anahtarı kullanır ve tıpkı Intel tabanlı bir Mac’teki FileVault gibi davranır. Tüm durumlarda, anahtar yönetimi hiyerarşileri Secure Enclave’in ayrılmış donanımına yerleştirilir; özel bir AES Motoru, bağlantı hızında şifrelemeyi destekler ve uzun ömürlü bu şifreleme anahtarlarının çekirdek işletim sistemine veya CPU’ya gösterilmemesini (bu bileşenler saldırıya uğrayabilir) sağlamaya yardımcı olur. (T1 yongasına sahip veya Secure Enclave içermeyen Intel tabanlı bir Mac, FileVault şifreleme anahtarlarını korumak için özel bir Silicon kullanmaz.)
Apple, verilere yetkisiz erişimi engellemeye yardımcı olmak için Veri Koruma ve FileVault kullanmanın yanı sıra korumayı ve güvenliği zorunlu tutmak için işletim sistemi çekirdeklerini kullanır. Çekirdek, uygulamaları Sandbox ile korumak için erişim denetimlerini (uygulamanın hangi verilere erişebileceğini sınırlayan) ve Veri Kasası adı verilen bir mekanizmayı (uygulamanın yapabileceği çağrıları sınırlamak yerine istekte bulunan diğer tüm uygulamalardan uygulama verilerine erişimi sınırlayan) kullanır.