Sikker iCloud-nøkkelringgjenoppretting
iCloud-nøkkelring deponerer brukeres nøkkelringdata hos Apple uten å tillate at Apple kan lese passordene eller andre data den inneholder. Selv om brukeren bare har én enhet, gir nøkkelringgjenoppretting en sikkerhet mot datatap. Dette er ekstra viktig når Safari brukes til å generere tilfeldige, sterke passord eller passnøkler for nettkontoer, siden disse passordene bare registreres i nøkkelringen.
Et sentralt punkt ved nøkkelringgjenoppretting er sekundær autentisering og en sikker deponeringstjeneste, som Apple har spesialutviklet for denne funksjonen. Brukerens nøkkelring krypteres med en sterk kode, og deponeringstjenesten stiller strenge betingelser for å utlevere en kopi av nøkkelringen.
Bruk av sekundær autentisering
Det er flere måter å etablere en sterk kode på:
Hvis tofaktorautentisering er aktivert for brukerens konto, brukes enhetens kode til å gjenopprette en deponert nøkkelring.
Hvis tofaktorautentisering ikke er konfigurert, blir brukeren bedt om å opprette en iCloud-sikkerhetskode ved å angi en sekssifret kode. Uten tofaktorautentisering kan brukere imidlertid alternativt angi en egen lengre kode, eller de kan la enhetene lage en tilfeldig kryptografisk kode som de kan notere og ta vare på selv.
Prosessen for nøkkelringdeponering
Når koden er opprettet, deponeres nøkkelringen hos Apple. iOS iPadOS- eller macOS-enheten eksporterer først en kopi av brukerens nøkkelring, krypterer den deretter innpakket med nøkler i et asymmetrisk nøkkeletui og plasserer den i brukerens iCloud-lagringsplass for nøkkelverdi. Nøkkeletuiet pakkes med brukerens iCloud-sikkerhetskode og med den offentlige nøkkelen til klyngen med maskinvaresikkerhetsmodulen (HSM) som lagrer deponeringsoppføringen. Dette blir brukerens iCloud-deponeringsoppføring. For kontoer med tofaktorautentisering lagres også nøkkelringen i CloudKit og pakkes som mellomliggende nøkler som kun kan gjenopprettes med innholdet i iCloud-deponeringsoppføringen, for å gi samme beskyttelsesnivå.
Innholdet i deponeringsoppføringen lar også enheten som gjenopprettes, bli med i iCloud-nøkkelringen igjen, ved å vise for eksisterende enheter at enheten som gjenopprettes, har gjennomført deponeringsprosessen og derfor er godkjent av kontoeieren.
Merk: I tillegg til å opprette en sikkerhetskode, må brukere registrere et telefonnummer for iCloud-kontoen sin. Det brukes som ekstra autentiseringsnivå under nøkkelringgjenoppretting. Brukeren mottar en tekstmelding som må besvares for at gjenopprettingen skal utføres.