iPhone 和 iPad 部署参考
加密和数据保护介绍
安全启动链、系统安全性和 App 安全性功能都有助于确保只有受信任的代码及 App 可以在设备上运行。Apple 设备还有更多加密功能来保护用户数据的安全,即使安全性基础架构的其他部分遭到入侵(例如设备丢失或运行了不受信任的代码)。所有这些功能对用户和 IT 管理员都大有助益,它可保护个人和企业信息,而且有办法在设备被盗或丢失时立即进行彻底的远程擦除。
iOS 和 iPadOS 设备使用称为数据保护的文件加密方法,基于 Intel 芯片的 Mac 电脑上的数据则通过称为文件保险箱的宗卷加密技术进行保护。搭载 Apple 芯片的 Mac 使用支持数据保护的混合模型,但请注意两点:不支持最低保护级别类 (D);默认级别(C 类)的作用类似于基于 Intel 芯片的 Mac 上的文件保险箱,实际上使用宗卷密钥。在任何情况下,密钥管理层次都植根于安全隔区中的专用芯片,且专用 AES 引擎支持线速加密并帮助确保长期有效的加密密钥不会暴露给内核操作系统或 CPU(否则可能遭到入侵)。(搭载 T1 或没有安全隔区的基于 Intel 芯片的 Mac 将不使用专用芯片保护文件保险箱加密密钥。)
除了使用数据保护和文件保险箱,Apple 的操作系统内核还通过强制执行访问控制以阻止未经授权的数据访问。这些控制最常见的形式是沙盒化 App(限制 App 可访问的数据)以及在数据保险箱中保护 App 数据。可以将数据保险箱想象成倒转的沙盒。不管请求的 App 本身是否沙盒化,此机制都限制对受保护数据的访问(同样由独立于文件加密的内核强制执行),而不是限制 App 可进行的调用。
感谢您的反馈。