iCloud 的進階資料保護
iCloud 的「進階資料保護」為一項選擇性設定,提供 Apple 最高層級的雲端資料安全性。使用者開啟「進階資料保護」時,他們信任的裝置將保留對其大部分 iCloud 資料的加密密鑰唯一取用權,從而使用端到端加密來保護這些資料。對於開啟「進階資料保護」的使用者,使用端對端加密保護的資料類別總數會從 14 增加至 23 種,並包含「iCloud 備份」、「照片」、「備忘錄」等。
【注意】此功能可能未在所有國家或地區提供。
「進階資料保護」在概念上相當簡單:在裝置上產生並稍後上傳到 Apple 資料中心內認證後可用「iCloud 硬體安全性模組」(HSM)的所有「CloudKit 服務密鑰」,會從這些 HSM 中刪除,並改為完全保存在帳號的「iCloud 鑰匙圈」保護網域內。「CloudKit 服務密鑰」的處理會如同現有的端對端加密服務密鑰,即表示 Apple 無法再讀取或取用這些密鑰。
「進階資料保護」也會自動保護第三方開發者選擇標示為加密的 CloudKit 欄位,以及所有 CloudKit 資產。
啟用「進階資料保護」
使用者開啟「進階資料保護」時,其受信任的裝置會執行兩個動作:第一,裝置會確認使用者要對自己加入端對端加密的其他裝置開啟「進階資料保護」的意圖。裝置會將裝置本機密鑰所簽署的新的值寫入其「iCloud 鑰匙圈」裝置後設資料來執行此操作。此證明與使用者的其他裝置同步時,Apple 伺服器無法對其進行移除或修改。
第二,裝置會將認證後可用服務密鑰從 Apple 資料中心移除。由於這些密鑰受 iCloud HSM 保護,此刪除操作會立即執行、永久生效且無法取消。刪除密鑰後,Apple 便無法再取用由使用者的服務密鑰所保護的任何資料。此時,裝置會開始進行非同步密鑰輪換操作,這會替每個先前提供密鑰給 Apple 伺服器取用的服務,製作新的服務密鑰。若密鑰輪換因網路中斷或任何其他錯誤而失敗,裝置會重新嘗試密鑰輪換直到輪換成功。
在服務密鑰輪換成功後,就無法使用舊的服務密鑰來解密新寫入服務的資料。新資料會以新密鑰保護,而新密鑰由使用者的受信任裝置單獨控制,Apple 永遠無法取得此密鑰。
進階資料保護和 iCloud.com 網頁取用權限
在使用者初次開啟「進階資料保護」時會自動關閉其 iCloud.com 資料的網頁取用權限。這是因為 iCloud 網頁伺服器無法再取用要解密和顯示使用者資料所需的密鑰。使用者可以選擇再次開啟網頁取用權限,並使用其參與的受信任裝置來取用他們在網頁上的加密 iCloud 資料。
開啟網頁取用權限後,每次使用者參訪 iCloud.com 時,都必須在自己其中一部受信任裝置上授權網頁登入。此授權會針對網頁取用權限,「強化」裝置的安全性。接下來一小時,此裝置會接受來自特定 Apple 伺服器上傳個別服務密鑰的要求,但對應的密鑰僅限一般可在 iCloud.com 上取用的允許列表內服務。換句話說,即使使用者授權網頁登入,伺服器要求也無法誘導使用者的裝置上傳服務密鑰以取得非預期在 iCloud。com 上檢視的資料(例如「健康」資料或「iCloud 鑰匙圈」中的密碼)。Apple 伺服器只會針對使用者在網頁上要求取用特定資料,要求解密所需的服務密鑰。每次上傳服務密鑰時,服務密鑰會使用綁定使用者所授權之網頁作業階段的臨時密鑰加密,而且使用者的裝置上會出現通知,顯示其資料暫時可供 Apple 伺服器使用的 iCloud 服務。
保留使用者的選擇
「進階資料保護」和 iCloud.com 網頁取用權限設定只能由使用者修改。這些值會儲存在使用者的「iCloud 鑰匙圈」裝置後設資料中,且只能從其中一部使用者的受信任裝置更改。Apple 伺服器無法替使用者修改這些設定,也無法將其回復成之前的設定。
共享和合作的安全性影響
在多數情況下,當使用者共享內容以彼此合作,例如共享的「備忘錄」、共享的「提醒事項」、「iCloud 雲碟」中的共享檔案夾,或「iCloud 共享的照片圖庫」,而且所有使用者皆開啟「進階資料保護」時,Apple 伺服器只會用來建立共享而不會取用共享資料的加密密鑰。共享內容會維持端對端加密且只能在參與者的受信任裝置上取用。對於每個共享操作,標題和代表的縮覽圖可能會由 Apple 使用標準資料保護儲存以對接收的使用者顯示預覽。
啟用合作時選取「任何擁有連結的使用者」選項會在標準資料保護下讓該內容可供 Apple 伺服器使用,因為伺服器需要能夠提供權限給可打開 URL 的任何人。
iWork 合作和「照片」中的「共享的相簿」功能不支援「進階資料保護」。使用者在 iWork 文件上合作,或從「iCloud 雲碟」的共享檔案夾中打開 iWork 文件時,文件的加密密鑰會安全地上傳到 Apple 資料中心中的 iWork 伺服器。這是因為 iWork 中的即時合作需要伺服器端中繼才能在參與者之間協調文件更動。加入「共享的相簿」的照片會以標準資料保護儲存,因為此功能才會允許相簿公開在網頁上共享。
停用「進階資料保護」
使用者可以隨時關閉「進階資料保護」。若使用者決定執行此操作:
1. 使用者的裝置會在「iCloud 鑰匙圈」參與後設資料中先記錄其新選擇,而且此設定會安全地同步到他們所有的裝置。
2. 使用者的裝置會安全地將所有認證後可用服務的服務密鑰上傳到 Apple 資料中心中的 iCloud HSM。這絕對不會包含在標準資料保護下以端對端加密的服務密鑰,例如「iCloud 鑰匙圈」和「健康」。
裝置會上傳「進階資料保護」開啟前產生的原始服務密鑰,以及使用者開啟該功能後產生的新服務密鑰。這會讓這些服務中的所有資料在認證後可供取用並使帳號回復為標準資料保護,即 Apple 可在使用者失去帳號取用權限時再次協助使用者復原其大部分資料。
未由「進階資料保護」涵蓋的 iCloud 資料
由於全域電子郵件、聯絡人和行事曆系統互相操作的需要,「iCloud 郵件」、「聯絡人」和「行事曆」不會受到端對端加密。
即使「進階資料保護」已開啟,iCloud 仍會在沒有使用者特定 CloudKit 服務密鑰的保護下儲存部分資料。「CloudKit 記錄」欄位必須在容器的架構中明確宣告為「已加密」才能受到保護,而且讀取和寫入加密的欄位會要求使用專用的 API。檔案或物件經過修改的日期和時間會用來排序使用者的資訊,而檔案和照片資料的核對碼會用來協助 Apple 刪除重複並最佳化使用者的 iCloud 和裝置儲存空間,一切皆無須取用檔案和照片本身。關於加密如何用於特定資料類別的詳細資訊,可於 Apple 支援文章 iCloud 資料安全性概覽中取得。
這些決定,例如使用刪除重複資料的核對碼,即知名的收斂加密技術,是 iCloud 服務啟動時原始設計的一部分。後設資料會一律加密,但加密密鑰會由 Apple 使用標準資料保護儲存。為了繼續加強所有使用者的安全性保護,Apple 致力於確保更多資料,包含此類後設資料,在「進階資料保護」開啟時獲得端對端加密。
「進階資料保護」需求
開啟 iCloud 的「進階資料保護」的需求包含下列項目:
使用者的帳號必須支援端對端加密。端對端加密會要求其 Apple ID 使用雙重認證,並且在其受信任裝置上設定密碼。如需更多資訊,請參閱 Apple 支援文章Apple ID 雙重認證。
使用者以其 Apple ID 登入的裝置必須更新到 iOS 16.2、iPadOS 16.2、macOS 13.1、tvOS 16.2、watchOS 9.2 或以上版本,以及最新版本的 Windows 版 iCloud。此需求可在之前版本的 iOS、iPadOS、macOS、tvOS 或 watchOS 受誤導而嘗試修復帳號狀態時,防止它們將新製作的服務密鑰重新上傳到認證後可用 HSM 的不當處理。
使用者必須設定至少一種替代復原方式:一個或多個復原聯絡人或復原密鑰,即使用者可用來在失去自己帳號取用權限時復原其 iCloud 資料。
若復原方式失敗,例如復原聯絡人的資訊過時,或使用者忘記該資訊,Apple 便無法協助復原使用者的端對端加密 iCloud 資料。
iCloud 的「進階資料保護」只能針對 Apple ID 開啟。不支援管理式 Apple ID 和兒童帳號(因國家或地區而異)。