Oversigt over Databeskyttelse
Apple bruger en teknologi kaldet Databeskyttelse til at beskytte data, der opbevares i flashlageret på enheder med en Apple SoC, f.eks. iPad, iPhone, en Mac med Apple Silicon, Apple TV, Apple Vision Pro og Apple Watch. Med Databeskyttelse kan en enhed reagere på almindelige begivenheder som indgående telefonopkald, samtidig med at funktionen sørger for kryptering af brugerdata på højt niveau. Visse systemapps (f.eks. Kalender, Kontakter, Mail, Beskeder og Fotos) og data fra Sundhed bruger som standard Databeskyttelse. Apps fra tredjeparter får automatisk denne beskyttelse.
Implementering
Databeskyttelse implementeres ved, at et hierarki med nøgler opbygges og administreres, og bygger på de teknologier til hardwarekryptering, der er integreret i Apple-enheder. Databeskyttelse styres pr. arkiv. Hvert arkiv tildeles en klasse, og adgangen til arkivet bestemmes af, om klassenøglerne er blevet låst op. Apple File System (APFS) gør, at nøgler i arkivsystemet kan underinddeles yderligere inden for områder (hvor dele af et arkiv kan have forskellige nøgler).
Hver gang der oprettes et arkiv på dataenheden, opretter Databeskyttelse en ny 256-bit nøgle (arkivnøglen). Nøglen overdrages til AES-modulet i hardwaren, som bruger nøglen til at kryptere arkivet, når det skrives til flashlageret.
På enheder med en chip i serierne A14 til og med A18 og M1 eller nyere bruger krypteringen AES-256 i XTS-funktion, hvor 256-bit arkivnøglen behandles med en funktion til nøgleafledning (NIST Special Publication 800--108) for at aflede en 256-bit værdi og en 256-bit ciffernøgle.
På enheder med en chip i serierne A9 til og med A13 og S5 eller nyere bruger krypteringen AES-128 i XTS-funktion, hvor 256-bit arkivnøglen deles til en 128-bit værdi og en 128-bit ciffernøgle.
På en Mac med Apple Silicon bruger Databeskyttelse som standard klasse C (se Databeskyttelsesklasser), men bruger en diskenhedsnøgle i stedet for en nøgle pr. område eller pr. arkiv og genskaber dermed FileVaults sikkerhedsmodel til brugerdata. Brugerne skal stadig tilvælge FileVault for at få den fulde beskyttelse, der opnås ved at kombinere hierarkiet med krypteringsnøgler med deres adgangskode. Udviklere kan også tilvælge en højere beskyttelsesklasse, hvor der benyttes en nøgle pr. arkiv eller pr. område.