iCloud şifreleme
iCloud’da veri şifreleme, uygulamaların ve sistem yazılımının iCloud’da kullanıcı adına veri saklamasına izin veren ve her şeyi tüm aygıtlarda ve web’de güncel tutan CloudKit framework’leri ve API’leri ile başlamak üzere veri saklama modeliyle yakından ilgilidir.
CloudKit şifreleme
CloudKit, uygulama geliştiricilerin anahtar-değer verilerini, yapılandırılmış verilerini ve varlıklarını (görüntüler veya videolar gibi veri tabanından ayrı olarak saklanan büyük veriler) iCloud’da saklamasına olanak tanıyan bir framework’tür. CloudKit, kapsayıcılarda gruplanmış olarak hem açık hem de özel veri tabanlarını destekler. Açık veri tabanları küresel olarak paylaşılır, genel varlıklar için kullanılır ve şifrelenmez. Özel veri tabanları her bir kullanıcının iCloud verilerini saklar.
CloudKit, verinin yapısıyla eşleşen bir anahtar hiyerarşisi kullanır. Her kapsayıcının özel veri tabanı, kökü CloudKit Servis anahtarı adlı bir asimetrik anahtarda bulunan bir anahtar hiyerarşisi tarafından korunur. Bu anahtarlar her bir iCloud kullanıcısına özeldir ve güvenilir aygıtlarında oluşturulur. Veriler CloudKit’e yazıldığında, tüm kayıt anahtarları kullanıcının güvenilir aygıtında oluşturulur ve herhangi bir veri karşıya yüklenmeden önce uygun anahtar hiyerarşisiyle paketlenir.
iCloud veri güvenliğine genel bakış adlı Apple Destek makalesinde listelenen birçok Apple servisi, iCloud Anahtar Zinciri eşzamanlamasıyla aynı şekilde korunan bir CloudKit servis anahtarı ile uçtan uca şifrelemeyi kullanır. Bu CloudKit kapsayıcıları için servis anahtarları yalnızca kullanıcının güvenilir aygıtlarında kullanılabilir ve bunlara Apple veya herhangi bir üçüncü parti tarafından erişilemez. Kullanıcı; parolalarını, geçiş anahtarlarını ve diğer kullanıcı verilerini eşzamanlamak için iCloud Anahtar Zinciri’ni kullanmamayı seçse bile bu anahtarlar kullanıcının aygıtları arasında eşzamanlanır. Aygıtın kaybolması durumunda kullanıcılar Güvenli iCloud Anahtar Zinciri kurtarma, Hesap Kurtarma Kişileri ya da bir Hesap Kurtarma Anahtarı’nın kullanılması yoluyla iCloud Anahtar Zinciri verilerini kurtarabilirler.
Şifreleme anahtarı yönetimi
CloudKit’teki şifrelenmiş verilerin güvenliği, karşılık gelen şifreleme anahtarlarının güvenliğine bağlıdır. CloudKit servis anahtarları, uçtan uca şifreli ve kimlik doğrulama sonrası kullanılabilir olmak üzere iki kategoriye ayrılır.
Uçtan uca şifreli servis anahtarları: Uçtan uca şifreli iCloud servisleri için ilgili CloudKit servisi gizli anahtarları asla Apple sunucularının kullanımına sunulmaz. Gizli anahtarlar da dahil olmak üzere servis anahtar çiftleri kullanıcının güvenilir aygıtında yerel olarak yaratılır ve iCloud Anahtar Zinciri güvenliği kullanılarak kullanıcının diğer aygıtlarına aktarılır. iCloud Anahtar Zinciri kurtarma ve eşzamanlama akışlarına Apple sunucuları tarafından aracılık edilse de, bu sunucuların kullanıcının anahtar zinciri verilerinin herhangi birine erişmesi şifrelemeyle önlenir. iCloud Anahtar Zinciri’ne ve tüm kurtarma mekanizmalarına erişimin kaybedildiği en kötü senaryoda, CloudKit’teki uçtan uca şifreli veriler kaybolur. Apple bu verileri kurtarmaya yardım edemez.
Kimlik doğrulama sonrası kullanılabilir servis anahtarları: Fotoğraflar ve iCloud Drive gibi diğer servisler için servis anahtarları Apple veri merkezlerindeki iCloud Donanım Güvenlik Modülleri’nde saklanır ve bunlara bazı Apple servisleri tarafından erişilebilir. Kullanıcı yeni bir aygıtta iCloud’a giriş yaptığında ve Apple Kimliğini doğruladığında, bu anahtarlara başka kullanıcı etkileşimi veya girişi olmadan Apple sunucuları tarafından erişilebilir. Örneğin kullanıcı, iCloud.com’a giriş yaptıktan sonra fotoğraflarını çevrimiçi olarak hemen görüntüleyebilir. Bu servis anahtarları kimlik doğrulama sonrası kullanılabilir anahtarlardır.