การเข้ารหัส iCloud
การเข้ารหัสข้อมูลใน iCloud มีความสัมพันธ์อย่างใกล้ชิดกับโมเดลการจัดเก็บข้อมูล โดยเริ่มจากเฟรมเวิร์ค CloudKit และ API ที่อนุญาตให้แอปและซอฟต์แวร์ระบบจัดเก็บข้อมูลบน iCloud ในนามของผู้ใช้ และทำให้ทุกอย่างตรงกันล่าสุดอยู่เสมอบนอุปกรณ์ต่างๆ และบนเว็บ
การเข้ารหัส CloudKit
CloudKit เป็นเฟรมเวิร์คที่ทำให้นักพัฒนาแอปสามารถจัดเก็บข้อมูลค่ากุญแจ ข้อมูลที่มีโครงสร้าง และแอสเซท (ข้อมูลขนาดใหญ่ที่จัดเก็บแยกต่างหากจากฐานข้อมูล เช่น ภาพหรือวิดีโอ) บน iCloud ได้ CloudKit รองรับทั้งฐานข้อมูลแบบสาธารณะและส่วนตัว โดยจัดกลุ่มอยู่ในตัวบรรจุ ฐานข้อมูลแบบสาธารณะมีการแชร์ทั่วโลก โดยปกติจะใช้สำหรับแอสเซททั่วไป และไม่ได้เข้ารหัส ฐานข้อมูลแบบส่วนตัวจะจัดเก็บข้อมูล iCloud ของผู้ใช้แต่ละราย
CloudKit ใช้ลำดับชั้นของกุญแจที่ตรงกับโครงสร้างของข้อมูล ฐานข้อมูลแบบส่วนตัวของตัวบรรจุแต่ละตัวจะได้รับการปกป้องโดยลำดับชั้นกุญแจซึ่งมีรากฐานอยู่ในกุญแจแบบไม่สมมาตรที่เรียกว่ากุญแจบริการ CloudKit กุญแจเหล่านี้จะไม่ซ้ำกันสำหรับผู้ใช้ iCloud แต่ละรายและจะถูกสร้างขึ้นบนอุปกรณ์ที่เชื่อถือแล้วของผู้ใช้ เมื่อข้อมูลถูกเขียนไปยัง CloudKit กุญแจบันทึกทั้งหมดจะถูกสร้างขึ้นบนอุปกรณ์ที่เชื่อถือแล้วของผู้ใช้และจะถูกรวมเข้ากับลำดับชั้นกุญแจที่เหมาะสมก่อนที่ข้อมูลจะถูกอัปโหลด
บริการของ Apple จำนวนมากซึ่งแสดงในบทความบริการช่วยเหลือของ Apple ภาพรวมความปลอดภัยของข้อมูล iCloud ใช้การเข้ารหัสแบบต้นทางถึงปลายทางโดยที่กุญแจบริการ CloudKit ได้รับการปกป้องในลักษณะเดียวกันกับการเชื่อมข้อมูลพวงกุญแจ iCloud สำหรับตัวบรรจุ CloudKit เหล่านี้ กุญแจบริการจะมีเฉพาะบนอุปกรณ์ที่เชื่อถือแล้วของผู้ใช้เท่านั้นและ Apple หรือบริษัทอื่นไม่สามารถเข้าถึงได้ กุญแจเหล่านี้จะเชื่อมข้อมูลกันระหว่างอุปกรณ์ของผู้ใช้ แม้ว่าผู้ใช้เลือกที่จะไม่ใช้พวงกุญแจ iCloud เพื่อเชื่อมข้อมูลรหัสผ่าน พาสคีย์ และข้อมูลผู้ใช้อื่นๆ ก็ตาม ในกรณีที่อุปกรณ์สูญหาย ผู้ใช้สามารถกู้คืนข้อมูลพวงกุญแจ iCloud ของตนได้โดยใช้การกู้คืนพวงกุญแจ iCloud ที่ปลอดภัย ผู้ติดต่อการกู้คืนบัญชี หรือรหัสการกู้คืนบัญชี
การจัดการกุญแจการเข้ารหัส
ความปลอดภัยของข้อมูลที่เข้ารหัสใน CloudKit ขึ้นอยู่กับความปลอดภัยของกุญแจการเข้ารหัสที่สอดคล้องกัน กุญแจบริการ CloudKit แบ่งออกเป็นสองหมวดหมู่ ได้แก่ กุญแจที่เข้ารหัสแบบต้นทางถึงปลายทางและกุญแจที่มีให้ใช้หลังจากการตรวจสอบสิทธิ์
กุญแจบริการที่เข้ารหัสแบบต้นทางถึงปลายทาง: สำหรับบริการ iCloud ที่เข้ารหัสแบบต้นทางถึงปลายทาง กุญแจส่วนตัวบริการ CloudKit ที่เกี่ยวข้องจะไม่ถูกทำให้มีใช้บนเซิร์ฟเวอร์ของ Apple คู่กุญแจบริการซึ่งรวมถึงกุญแจส่วนตัวจะถูกสร้างขึ้นภายในอุปกรณ์ที่เชื่อถือแล้วของผู้ใช้และถ่ายโอนไปยังอุปกรณ์อื่นๆ ของผู้ใช้โดยใช้ความปลอดภัยของพวงกุญแจ iCloud แม้ว่าการกู้คืนและความต่อเนื่องของการเชื่อมข้อมูลพวงกุญแจ iCloud จะดูแลโดยเซิร์ฟเวอร์ของ Apple เซิร์ฟเวอร์เหล่านี้จะถูกป้องกันในเชิงการเข้ารหัสเพื่อไม่ให้เข้าถึงข้อมูลพวงกุญแจของผู้ใช้ ในกรณีที่ร้ายแรงที่สุดของการสูญเสียการเข้าถึงพวงกุญแจ iCloud และกลไกการกู้คืนทั้งหมด ข้อมูลที่เข้ารหัสแบบต้นทางถึงปลายทางใน CloudKit จะสูญหาย Apple ไม่สามารถช่วยกู้คืนข้อมูลนี้ได้
กุญแจบริการที่มีให้ใช้หลังจากการตรวจสอบสิทธิ์: สำหรับบริการอื่นๆ เช่น รูปภาพและ iCloud Drive กุญแจบริการจะถูกจัดเก็บอยู่ในโมดูลรักษาความปลอดภัยฮาร์ดแวร์ของ iCloud ในศูนย์ข้อมูลของ Apple และสามารถเข้าถึงได้จากบางบริการของ Apple เมื่อผู้ใช้ลงชื่อเข้า iCloud บนอุปกรณ์เครื่องใหม่และตรวจสอบสิทธิ์ Apple ID ของตน เซิร์ฟเวอร์ของ Apple จะเข้าถึงกุญแจเหล่านี้ได้โดยไม่ต้องมีการโต้ตอบหรือการป้อนข้อมูลเพิ่มเติมจากผู้ใช้ ตัวอย่างเช่น หลังจากลงชื่อเข้า iCloud.com ผู้ใช้สามารถดูรูปภาพของตนทางออนไลน์ได้ทันที กุญแจบริการเหล่านี้คือกุญแจที่มีให้ใช้หลังจากการตรวจสอบสิทธิ์