iCloud şifreleme
iCloud’da veri şifreleme, uygulamaların ve sistem yazılımının iCloud’da kullanıcı adına veri saklamasına izin veren ve her şeyi tüm aygıtlarda ve web’de güncel tutan CloudKit framework’leri API’ler ile başlamak üzere veri saklama modeliyle yakından ilgilidir
CloudKit şifreleme
CloudKit, uygulama geliştiricilerin anahtar-değer verilerini, yapılandırılmış verilerini ve varlıklarını (görüntüler veya videolar gibi veri tabanından ayrı olarak saklanan büyük veriler) iCloud’da saklamasına olanak tanıyan bir framework’tür. CloudKit, kapsayıcılarda gruplanmış olarak hem açık hem de özel veri tabanlarını destekler. Açık veri tabanları küresel olarak paylaşılır, genel varlıklar için kullanılır ve şifrelenmez. Özel veri tabanları her bir kullanıcının iCloud verilerini saklar.
CloudKit, verinin yapısıyla eşleşen bir anahtar hiyerarşisi kullanır. Her kapsayıcının özel veri tabanı, kökü CloudKit Servis anahtarı adlı bir asimetrik anahtarda bulunan bir anahtar hiyerarşisi tarafından korunur. Bu anahtarlar her bir iCloud kullanıcısına özeldir ve güvenilir aygıtlarında oluşturulur. Veriler CloudKit’e yazıldığında, tüm kayıt anahtarları kullanıcının güvenilir aygıtında oluşturulur ve herhangi bir veri yüklenmeden önce uygun anahtar hiyerarşisine paketlenir.
iCloud veri güvenliğine genel bakış adlı Apple Destek makalesinde listelenen birçok Apple servisi, iCloud Anahtar Zinciri eşzamanlamasıyla korunan bir CloudKit servis anahtarı ile uçtan uca şifreleme kullanır. Bu CloudKit kapsayıcıları için, servis anahtarları kullanıcının iCloud Anahtar Zinciri’nde saklanır ve iCloud Anahtar Zinciri’nin güvenlik özelliklerini paylaşır; servis anahtarları yalnızca kullanıcının güvenilir aygıtlarında kullanılabilir ve bunlara Apple veya üçüncü bir parti tarafından erişilemez). Aygıtın kaybolması durumunda kullanıcılar Güvenli iCloud Anahtar Zinciri kurtarma, Hesap Kurtarma Kişileri ya da bir Hesap Kurtarma Anahtarı’nın kullanılması yoluyla iCloud Anahtar Zinciri verilerini kurtarabilirler.
Şifreleme anahtarı yönetimi
CloudKit’teki şifrelenmiş verilerin güvenliği, karşılık gelen şifreleme anahtarlarının güvenliğine bağlıdır. CloudKit servis anahtarları iki kategoriye ayrılmıştır; uçtan uca şifreli ve kimlik doğrulama sonrası kullanılabilir.
Uçtan uca şifreli servis anahtarları: Uçtan uca şifreli iCloud servisleri için ilgili CloudKit servis özel anahtarları asla Apple sunucularının kullanımına sunulmaz. Özel anahtarlar da dahil olmak üzere servis anahtar çiftleri kullanıcının güvenilir aygıtında yerel olarak yaratılır ve iCloud Anahtar Zinciri güvenliği kullanılarak kullanıcının diğer aygıtlarına aktarılır. iCloud Anahtar Zinciri kurtarma ve eşzamanlama akışlarına Apple sunucuları tarafından aracılık edilse de, bu sunucuların kullanıcının anahtar zinciri verilerinin herhangi birine erişmesi şifreli olarak önlenir. iCloud Anahtar Zinciri’ne ve tüm kurtarma mekanizmalarına erişimi kaybetmeye yönelik en kötü senaryoda, CloudKit’teki uçtan uca şifreli veriler kaybolur. Apple bu verileri kurtarmaya yardım edemez.
Kimlik doğrulama sonrası kullanılabilir servis anahtarları: Fotoğraflar ve iCloud Drive gibi diğer servisler için servis anahtarları Apple veri merkezlerindeki iCloud Donanım Güvenlik Modülleri’nde saklanır ve bunlara bazı Apple servisleri tarafından erişilebilir. Kullanıcı yeni bir aygıtta iCloud’a giriş yaptığında ve Apple kimliğini doğruladığında, bu anahtarlara başka kullanıcı etkileşimi veya girişi olmadan Apple sunucuları tarafından erişilebilir. Örneğin, iCloud.com’a giriş yaptıktan sonra kullanıcı fotoğraflarını çevrimiçi olarak hemen görüntüleyebilir. Bu servis anahtarları kimlik doğrulama sonrası kullanılabilir anahtarlardır.