加密與資料保護概覽
安全啟動鏈、系統保安和 App 保安功能都有助於驗證裝置上只執行受信任的程式碼和 App。即使安全基礎架構的其他部份遭入侵(例如如裝置遺失或執行不受信任的程式碼),Apple 裝置的額外加密功能可保護用户資料。這些功能對用户和 IT 管理員都大有助益,可保護個人與企業的資料,並提供裝置遭竊或遺失時,立即遙距完全清除的方式。
iPhone 和 iPad 裝置採用名為「資料保護」的檔案加密方法,而以 Intel 為基礎的 Mac 上的資料則受到名為「檔案保險箱」的卷宗加密技術保護。配備 Apple 晶片的 Mac 會使用支援「資料保護」的混合模式,包含兩項須知:不支援最低的保護層級(類別 D),而且預設層級(類別 C)會使用卷宗密鑰並運作如同以 Intel 為基礎的 Mac 上的「檔案保險箱」。在所有情況中,密鑰管理階層的根設在「安全隔離區」的專用晶片上,且有專用的「AES 引擎」支援線速加密,以及確保不會向核心作業系統或 CPU 洩漏長效加密密鑰(它們可能會遭入侵)。(配備 T1 或缺少「安全隔離區」的以 Intel 為基礎的 Mac 不會使用專用晶片來保護其「檔案保險箱」加密密鑰。)
除了使用「資料保護」和「檔案保險箱」來協助防止資料未經授權的存取,Apple 會使用作業系統核心來強制執行保護和保安。核心使用對「沙盒」App 的存取控制(其會限制 App 可存取的資料)和名為 Data Vault 的機制(與其限制 App 可發出的呼叫,反而是限制所有其他要求的 App 對資料的存取)。
感謝您提供意見。