Skydda nycklar i alternativa startlägen
Dataskydd är utformat för att tillhandahålla åtkomst till användardata endast efter korrekt autentisering, och endast till den behöriga användaren. Dataskyddsklasser är utformade för att stödja en mängd olika användningssituationer, som att kunna skriva och läsa vissa data även efter det att en enhet har låsts (men efter det att den låsts upp första gången). Ytterligare steg tas för att skydda åtkomsten till användardata under alternativa startlägen som de som används för DFU-läge (Device Firmware Update), återställningsläge, Apple Diagnostics eller till och med under programuppdateringar. Dessa egenskaper baseras på en kombination av maskin- och programvarufunktioner, och har utökats allteftersom Apple Silicon-kretsar har utvecklats.
Funktion | A10 | A11–A18 S3–S9 M1–M4 |
Återställning: Alla dataskyddsklasser skyddas |
|
|
Alternativa starter för DFU-läge, återställning och programuppdateringar: Dataskydd för klass A, B och C |
|
|
AES-motorn i Secure Enclave är utrustad med låsbara programvarustartbitar. När nycklar skapas från UID:t ingår de här startbitarna i härledningsfunktionen för nycklar som används till att skapa ytterligare nyckelhierarkier. Hur startbiten används varierar beroende på SoC:
Med början i enheter med Apple A10 och S3 med SoC är en startbit dedikerad till att särskilja nycklar som skyddas av användarens lösenkod. Startbiten används för nycklar som kräver användarens lösenkod (inklusive nycklar med dataskyddsklass A, klass B och klass C) och rensas för nycklar som inte kräver användarens lösenkod (inklusive filsystemets metadatanyckel och klass D-nycklar).
I iOS 13, iPadOS 13.1, visionOS 1.0 eller senare på enheter med en A10 SoC eller senare görs alla användardata kryptografiskt oåtkomliga när enheterna startas i diagnosläge. Detta är möjligt genom introduktionen av ytterligare en startbit vars inställning reglerar möjligheten att komma åt medienyckeln som behövs för att i nästa steg komma åt metadata (och därmed innehållet i alla filer) på den datavolym som är krypterad med dataskydd. Det här skyddet omfattar filer som skyddas i alla klasser (A, B, C och D), och inte bara just de som kräver användarens lösenkod.
På enheter som har A12 SoC:er låser Secure Enclaves Boot ROM lösenkodens startbit om approcessorn försätts i DFU-läge eller Återställningsläge. När lösenkodens startbit är låst går den inte att ändra. Det är utformat så för att förhindra åtkomst till data som skyddas med användarens lösenkod.
Återskapning av en enhet efter att den går in i DFU-läge återställer den till ett känt fungerande tillstånd som garanterat endast innehåller oförändrad Apple-signerad kod. DFU-läget kan aktiveras manuellt.
Se följande Apple Support-artiklar om hur du försätter en enhet i DFU-läge:
Enhet | Apple Support-artikel |
|---|---|
iPhone, iPad | Om du har glömt lösenkoden till din iPhone eller om din iPhone är inaktiverad |
Apple TV | |
Mac-dator med Apple Silicon | Så här återupplivar eller återskapar du fast mjukvara för Mac |