Tinjauan Enkripsi dan Perlindungan Data
Kemampuan rantai boot aman, keamanan sistem, dan keamanan app membantu memverifikasi bahwa hanya kode dan app tepercaya yang dijalankan di perangkat. Perangkat Apple memiliki fitur enkripsi tambahan untuk menjaga data pengguna, bahkan ketika bagian lain dari infrastruktur keamanan telah terganggu (misalnya, jika perangkat hilang atau menjalankan kode tidak tepercaya). Semua fitur ini menguntungkan pengguna dan administrator TI, melindungi informasi pribadi dan perusahaan, dan menyediakan cara untuk menghapus perangkat secara instan dan menyeluruh jika dicuri atau hilang.
Perangkat iPhone dan iPad menggunakan metodologi enkripsi yang disebut Perlindungan Data, sementara data di Mac berbasis Intel dilindungi dengan teknologi enkripsi volume yang disebut FileVault. Mac dengan Apple silicon menggunakan model hibrida yang mendukung Perlindungan Data, dengan dua kondisi: Kelas level perlindungan terendah (D) tidak didukung, dan level default (Kelas C) menggunakan kunci volume dan bertindak layaknya FileVault di Mac berbasis Intel. Di semua kasus, hierarki manajemen kunci berakar di silicon khusus Secure Enclave, dan Mesin AES khusus mendukung enkripsi berkecepatan saluran dan membantu memastikan kunci enkripsi jangka panjang tidak terpapar ke sistem operasi atau CPU kernel (tempat mereka dapat disusupi). (Mac berbasis Intel dengan T1 atau yang tidak memiliki Secure Enclave tidak menggunakan silicon tertanam untuk melindungi kunci enkripsi FileVault-nya.)
Selain menggunakan Perlindungan Data dan FileVault untuk membantu mencegah akses yang tidak disahkan ke data, Apple menggunakan kernel sistem operasi untuk memberlakukan perlindungan dan keamanan. Kernel menggunakan kontrol akses untuk memasukkan app ke sandbox (yang membatasi data apa yang dapat diakses oleh app) dan mekanisme yang disebut Vault Data (yang membatasi akses ke data app dari semua app lain yang meminta alih-alih membatasi panggilan yang dapat dilakukan oleh app).