Descripción general de la encriptación y Protección de datos
La cadena de arranque seguro, la seguridad del sistema y las funciones de seguridad de las apps ayudan a verificar que, en un dispositivo, solo se puedan ejecutar apps y código que sean de confianza. Los dispositivos Apple disponen de otras funciones de encriptación para proteger los datos del usuario, incluso cuando otras partes de la infraestructura de seguridad están en peligro (por ejemplo, si se pierde un dispositivo o si se ejecuta código que no sea de confianza). Todas estas funciones benefician tanto a los usuarios como a los administradores de TI, puesto que la información personal y corporativa está protegida y se proporcionan métodos para un borrado remoto, inmediato y completo, en caso de robo o pérdida del dispositivo.
Los dispositivos iPhone y iPad usan una metodología de encriptación de archivos llamada Protección de datos, mientras que los datos de los ordenadores Mac basados en Intel se protegen con una tecnología de encriptación del volumen llamada FileVault. Un Mac con chip de Apple utiliza un modelo híbrido que admite Protección de datos, con dos advertencias: La clase de nivel de protección más bajo (D) no se admite, y el nivel por defecto (clase C) usa una clave de volumen que actúa igual que FileVault en un Mac basado en Intel. En todos los casos, las jerarquías de gestión de claves están radicadas de manera similar en el chip de Secure Enclave, y un motor AES dedicado permite encriptar a velocidad de línea y garantizar que nunca sea necesario proporcionar las claves de encriptación de larga duración al sistema operativo o la CPU del kernel (donde podrían estar en riesgo) (un Mac basado en Intel con un chip T1 o que no tenga Secure Enclave no utilizará el chip dedicado para proteger sus claves de encriptación de FileVault).
Además de usar Protección de datos y FileVault para ayudar a evitar el acceso no autorizado a los datos, Apple usa los kernels de los sistemas operativos para aplicar medidas de protección y seguridad. El kernel utiliza controles de acceso para aislar apps en una zona protegida (lo que restringe los datos a los que puede acceder una app) y un mecanismo llamado almacén seguro de datos (que en lugar de restringir las llamadas que puede hacer una app, restringe el acceso a los datos de una app desde las demás apps que lo soliciten).