数据保护概览
Apple 使用称为数据保护的技术保护储存在搭载 Apple SoC 的设备(如 iPhone、iPad、搭载 Apple 芯片的 Mac、Apple TV、Apple Watch 和 Apple Vision Pro)上闪存中的数据。通过数据保护,设备可以响应来电等常见事件,同时针对用户数据提供高级别加密。某些系统 App(例如“信息”、“邮件”、“日历”、“通讯录”、“照片”)和“健康”数据值默认使用数据保护。第三方 App 自动受到此类保护。
实施
数据保护通过构建和管理密钥层级来实施,并建立在 Apple 设备内建的硬件加密技术基础上。它通过将某个类分配给每个文件来实现对文件的逐个控制;可访问性根据该类密钥是否已解锁确定。APFS(Apple 文件系统)使文件系统可进一步以各个范围为基础对密钥进行细分(文件的各个部分可以拥有不同的密钥)。
每次在数据宗卷中创建文件时,数据保护都会创建一个新的 256 位密钥(文件独有密钥),并将其提供给硬件 AES 引擎,此引擎会使用该密钥在文件写入闪存时对其进行加密。在搭载 A14 到 A18 以及 M1 到 M4 的设备上,加密在 XTS 模式中使用 AES-256,其中 256 位文件独有密钥通过密钥派生功能 (NIST Special Publication 800-108) 派生出一个 256 位 tweak 密钥和一个 256 位 cipher 密钥。在搭载 A9 到 A13 以及 S5 到 S9 的设备上,加密在 XTS 模式中使用 AES-128,其中 256 位文件独有密钥会被拆分,以提供一个 128 位 tweak 密钥和一个 128 位 cipher 密钥。
在搭载 Apple 芯片的 Mac 上,数据保护默认为 C 类(请参阅数据保护类),但使用宗卷密钥,而非范围独有密钥或文件独有密钥,可为用户数据高效重建文件保险箱安全模型。用户仍须选择使用文件保险箱,以获得加密密钥层级搭配用户密码的全面保护。开发者也可以选择使用文件独有密钥或范围独有密钥的更高保护类。