iCloud 進階資料保護
iCloud 進階資料保護為非必要設定,其會提供 Apple 最高層級的雲端資料保安。用户開啟「進階資料保護」時,他們的受信任裝置會保有用户大部份 iCloud 資料的加密密鑰之獨有取用權限,從而透過點對點加密來保護這些資料。針對開啟「進階資料保護」的用户,受點對點加密保護的資料類別總數會由 14 個增加至 23 個,其中包括「iCloud 備份」、「相片」、「備忘錄」等等。
附註:此功能可能無法在部份國家或地區使用。
從概念上來説,「進階資料保護」十分簡單:所有在裝置上產生,並在之後上載到 Apple 資料中心中的認證後可使用「iCloud 硬件安全模組」(HSM)的「CloudKit 服務」密鑰都會從那些 HSM 上刪除,並改為完全保存在帳户的「iCloud 鑰匙圈」保護網域。這些密鑰的處理方式類似現有的點對點加密服務密鑰,代表 Apple 無法再讀取或取用這些密鑰。
「進階資料保護」亦會自動保護第三方開發者選擇標記為加密的 CloudKit 欄位,以及所有 CloudKit 資產。
啟用「進階資料保護」
用户開啟「進階資料保護」時,用户的受信任裝置會執行兩項動作:第一,裝置會將用户開啟「進階資料保護」的意圖傳達至用户其他參與點對點加密的裝置。裝置會透將新值(由裝置本機密鑰簽署)寫入至其「iCloud 鑰匙圈」裝置後設資料來執行此操作。在此證明與用户的其他裝置進行同步期間,Apple 伺服器無法移除或修改此證明。
第二,裝置會開始將認證後可使用服務密鑰從 Apple 資料中心移除。由於這些密鑰是由 iCloud HSM 保護,此刪除動作會即時進行,且為永久及不可改變。密鑰被刪除後,Apple 就無法再取用任何由用户的服務密鑰保護的資料。此時,裝置會開始異步密鑰輪換操作,該操作會為各項之前向 Apple 伺服器提供密鑰的服務製作新的服務密鑰。如因為網絡中斷或任何其他錯誤導致密鑰輪換失敗,裝置會重試密鑰輪換直至成功為止。
服務密鑰輪換成功後,就無法以舊的服務密鑰解密寫入該服務的新資料。資料會以新的密鑰保護,該密鑰只會由用户的受信任裝置控制,且 Apple 永遠無法取用該密鑰。
「進階資料保護」和 iCloud.com 網上存取功能
在用户首次開啟「進階資料保護」後,用户資料在 iCloud.com 的網上存取功能會自動關閉。這是因為 iCloud 網站伺服器不能再取用解密和顯示用户資料所需的密鑰。用户可以選擇再次開啟網上存取功能,並使用受信任裝置的參與來在網上存取已加密的 iCloud 資料。
開啟網上存取功能後,用户每次到訪 iCloud.com 時都需要在受信任的裝置上授權網上登入。授權可以讓裝置為網上存取「作好準備」。在接下來的一小時,此裝置會接受來自特定 Apple 伺服器的要求以上載個別服務密鑰,但只限對應到在 iCloud.com 上一般可取用服務的許可服務列表。換言之,即使用户授權網絡登入,伺服器要求仍無法誘使用户的裝置上載不能在 iCloud.com 上檢視的資料(例如「健康」資料或「iCloud 鑰匙圈」中的密碼)之服務密鑰。Apple 伺服器只會要求解密用户要求在網上存取的指定資料所需的服務密鑰。每次上載服務密鑰時,密鑰會以綁定到用户已授權的網頁作業階段的臨時密鑰來加密,而且用户的裝置上亦會顯示通知,顯示暫時向 Apple 伺服器提供資料的 iCloud 服務。
保留用户選擇的權利
「進階資料保護」和 iCloud.com 網上存取功能設定只可以由用户修改。這些值會儲存在用户的「iCloud 鑰匙圈」裝置後設資料,並只可以在用户其中一部受信任的裝置上進行更改。Apple 伺服器無法代表用户修改這些設定,或將其變回之前的設定。
共享和共同編輯涉及的保安
在大部份情況下,當用户共享內容來與他人進行共同編輯(例如共享「備忘錄」、共享「提醒事項」、「iCloud 雲碟」中的共享資料夾,或者「iCloud 共享相片圖庫」),且所有用户都有開啟「進階資料保護」,Apple 伺服器只會用於建立共享,但無法取用共享資料的加密密鑰。內容仍會以點對點加密,並只可以在參與者的受信任裝置上存取。針對每項共享操作,Apple 可能會以標準資料保護來儲存共享的標題和相應的縮圖,以向收到的用户顯示預覽。
在啟用共同編輯時選擇「擁有連結的用户」選項,會讓 Apple 伺服器可以使用的內容使用標準資料保護,因為伺服器需要向所有開啟該 URL 的用户提供內容的取用權限。
iWork 共同編輯和「相片」中的「共享相簿」功能不支援「進階資料保護」。當用户在 iWork 文件上進行共同編輯,或從「iCloud 雲碟」開啟 iWork 文件,文件的加密密鑰會安全地上載到 Apple 資料中心中的 iWork 伺服器。這是因為 iWork 中的即時共同編輯需要伺服器端進行協調,以配合各個參與者間的文件變更。加至「共享相簿」的相片會以標準資料保護來儲存,因為該項功能允許在網絡上公開分享相簿。
停用「進階資料保護」
用户可以隨時關閉「進階資料保護」。如用户決定這樣做:
1.用户的裝置會先將用户的新選擇記錄在「iCloud 鑰匙圈」參與後設資料,然後此設定會安全地同步到用户的所有裝置。
2.用户的裝置會安全地將所有認證後可使用服務的服務密鑰上載到 Apple 資料中心中的 iCloud HSM。這操作永不包括在標準資料保護下為點對點加密的服務,例如「iCloud 鑰匙圈」和「健康」。
裝置會上載在開啟「進階資料保護」前所產生的原有服務密鑰,以及在用户開啟該功能後產生的新服務密鑰。這樣可以讓這些服務中的所有資料在認證後都可供存取,並將帳户回復為標準資料保護,這樣 Apple 可以再次協助用户將大部份無法取用的資料還原。
「進階資料保護」未涵蓋的 iCloud 資料
由於需要全域電郵、通訊錄和日曆系統交互操作,「iCloud 郵件」、「通訊錄」和「日曆」無法使用點對點加密。
即使「進階資料保護」已開啟,iCloud 仍會在不使用用户專屬 CloudKit 服務密鑰保護的方式儲存部份資料。「CloudKit 記錄」欄位必須在容器架構中明確宣吿為「加密」才會受到保護,且讀取和寫入加密欄位都需要使用專用的 API。系統會使用修改檔案或物件的日期和時間會來排列用户的資料,以及使用檔案和相片資料的總和檢查碼協助 Apple 刪除重覆項目,並最佳化用户的 iCloud 和裝置儲存空間,這兩項操作都無需檔案和相片本身的取用權限。特定資料類別使用加密的方式之詳細資料,可於 Apple 支援文章 iCloud 資料保安概覽上取得。
將總和檢查碼用於刪除重覆項目(名為聚合加密的著名技術)等決定是 iCloud 服務推出時的原始設計之一部份。此後設資料總是會被加密,但加密密鑰會由 Apple 以標準資料保護儲存。為了繼續加強所有用户的保安保護措施,Apple 承諾確保在「進階資料保護」開啟時將更多資料(包括這類後設資料)以點對點方式加密。
「進階資料保護」的需求
開啟「iCloud 進階資料保護」的需求包括以下各項:
用户的帳户必需支援點對點加密。點對點加密需要用户的 Apple ID 使用雙重認證,以及在用户受信任的裝置上設定密碼。如需更多資料,請參閲 Apple 支援文章Apple ID 雙重認證。
用户使用 Apple ID 登入的裝置必須更新至 iOS 16.2、iPadOS 16.2、macOS 13.1、tvOS 16.2、watchOS 9.2 或較新版本,以及最新版本的 Windows 版 iCloud。此需求可避免較舊版本的 iOS、iPadOS、macOS、tvOS 或 watchOS 以不當方式處理新製作的服務密鑰,在被誤導的還原帳户狀態嘗試中,將服務密鑰重新上載到認證後可使用 的 HSM。
用户必須設定至少一種替用還原方式(一個或多個還原聯絡人或還原密鑰),讓用户可以在無法取用帳户時用來還原 iCloud 資料。
如果還原方式失敗,例如還原聯絡人資料已過時,或用户忘記有關資料,Apple 無法協助還原用户的點對點加密 iCloud 資料。
「iCloud 進階資料保護」只可以為 Apple ID 開啟。「管理式 Apple ID」和兒童帳户(因國家或地區而異)都不受支援。