加密和数据保护概览
安全启动链、系统安全性和 App 安全性功能都有助于验证只有受信任的代码及 App 可以在设备上运行。Apple 设备还有更多加密功能来保护用户数据的安全,即使安全性基础架构的其他部分遭到入侵(例如设备丢失或运行了不受信任的代码)。所有这些功能对用户和 IT 管理员都大有助益,它可保护个人和企业信息,而且有办法在设备被盗或丢失时立即进行彻底的远程擦除。
iPhone 和 iPad 设备使用称为数据保护的文件加密方法,基于 Intel 的 Mac 上的数据则通过称为文件保险箱的宗卷加密技术进行保护。搭载 Apple 芯片的 Mac 使用支持数据保护的混合模型,但请注意两点:不支持最低保护级别 (D) 类;默认级别(C 类)的作用类似于基于 Intel 的 Mac 上的文件保险箱,实际上使用宗卷密钥。在任何情况下,密钥管理层次都植根于安全隔区中的专用芯片,且专用 AES 引擎支持线速加密并帮助确保长期有效的加密密钥不会暴露给内核操作系统或 CPU(否则可能遭到入侵)。(搭配 T1 或没有安全隔区的基于 Intel 的 Mac 将不使用专用芯片保护文件保险箱加密密钥。)
除了使用数据保护和文件保险箱来帮助阻止未经授权的数据访问,Apple 还使用操作系统内核强制执行保护和安全措施。内核使用访问控制来沙盒化 App(限制 App 可访问的数据),还使用一种称为数据保险箱的机制来限制所有其他提出请求的 App 访问某一 App 的数据(而不是限制某个 App 可进行的调用)。
感谢您的反馈。