Keamanan eskrow untuk Rantai Kunci iCloud
iCloud menyediakan infrastruktur aman untuk eskrow rantai kunci untuk membantu memastikan bahwa hanya pengguna dan perangkat yang disahkan yang dapat melakukan pemulihan. Gugus modul keamanan perangkat keras (HSM) ditempatkan secara topografis di belakang iCloud berfungsi menjaga rekaman eskrow. Sebagaimana yang dijelaskan sebelumnya, setiap gugus memiliki kunci yang digunakan untuk mengenkripsi rekaman eskrow yang diawasi.
Untuk memulihkan rantai kunci, pengguna harus mengesahkan dengan kata sandi dan akun iCloud mereka dan merespons SMS yang dikirimkan ke nomor telepon mereka yang terdaftar. Setelah selesai, pengguna harus memasukkan kode keamanan iCloud mereka. Gugus HSM memverifikasi bahwa pengguna mengetahui kode keamanan iCloud-nya menggunakan protokol Kata Sandi Jarak Jauh Aman (SRP); kodenya sendiri tidak dikirimkan ke Apple. Setiap anggota gugus memverifikasi secara terpisah bahwa pengguna belum melampaui jumlah upaya maksimum yang diizinkan untuk mengambil rekamannya, sebagaimana yang dijelaskan di bawah. Jika sebagian besar setuju, gugus akan membuka bungkus rekaman eskrow dan mengirimkannya ke perangkat pengguna.
Berikutnya, perangkat menggunakan data yang dieskrow untuk membuka bungkus kunci acak yang digunakan untuk mengenkripsi rantai kunci pengguna. Dengan kunci tersebut, rantai kunci—yang diterima dari CloudKit dan penyimpanan nilai kunci iCloud—didekripsi dan dipulihkan ke perangkat. Layanan eskrow mengizinkan hanya 10 percobaan untuk mengesahkan dan menerima catatan eskrow. Setelah beberapa upaya gagal, rekaman akan dikunci dan pengguna harus menghubungi Dukungan Apple untuk dapat mencoba kembali. Setelah 10 upaya gagal, gugus HSM akan menghancurkan rekaman eskrow dan rantai kunci akan hilang selamanya. Ini memberikan perlindungan dari upaya brute-force untuk mengambil rekaman, dengan mengorbankan data rantai kunci sebagai bentuk penanggulangan.
Kebijakan ini dikodekan di firmware HSM. Kartu akses administratif yang mengizinkan firmware untuk diubah telah dihancurkan. Setiap upaya untuk mengubah firmware atau mengakses kunci pribadi akan menyebabkan gugus HSM untuk menghapus kunci pribadi. Jika ini terjadi, pemilik setiap rantai kunci yang dilindungi oleh gugus akan menerima pesan yang memberi tahu bahwa rekaman eskrow mereka telah hilang. Mereka kemudian dapat memilih untuk mendaftar ulang.