Tietojen suojauksen yleiskatsaus
Apple käyttää teknologiaa nimeltä Tietojen suojaus, jolla suojataan flash-muistiin tallennettuja tietoja Applen järjestelmäpiirin sisältävissä laitteissa, kuten iPadissa, iPhonessa, Applen sirulla varustetussa Macissa, Apple TV:ssä, Apple Vision Prossa ja Apple Watchissa. Tietojen suojauksen ansiosta laite voi reagoida yleisiin tapahtumiin, kuten saapuviin puheluihin, mutta samalla käyttäjätiedot voidaan salata korkeatasoisesti. Tietyt järjestelmäapit (kuten Kalenteri, Yhteystiedot, Mail, Viestit ja Kuvat) sekä Terveys-apin data-arvot käyttävät oletuksena Tietojen suojausta. Muiden valmistajien apit saavat tämän suojauksen automaattisesti.
Toteutus
Tietojen suojaus toteutetaan luomalla ja hallitsemalla avainhierarkiaa. Se perustuu laitteiston salausteknologioihin, jotka on sisäänrakennettu Applen laitteisiin. Tietojen suojausta hallitaan tiedostokohtaisesti määrittämällä jokaiselle tiedostolle luokka. Saatavuus määritetään sillä perusteella, onko luokka-avaimet avattu. Apple File Systemin (APFS) ansiosta tiedostojärjestelmä voi jakaa avaimet alakategorioihin tilakohtaisesti (tiedoston osioilla voi olla eri avaimet).
Aina, kun datataltioon luodaan tiedosto, tietojen suojaus luo uuden 256-bittisen avaimen (tiedostokohtainen avain) ja antaa sen laitteiston AES-komponentille, joka salaa tiedoston tällä avaimella, kun se kirjoitetaan flash-muistiin.
A14–A18-laitteissa sekä M1-laitteissa ja uudemmissa salaus käyttää AES-256:ta XTS-tilassa. Siinä 256-bittiseen tiedostokohtaiseen avaimeen käytetään avaimen derivointifunktiota (NIST Special Publication 800-108), jotta saadaan 256-bittinen arvo ja 256-bittinen salausavain.
A9–A13-laitteissa sekä S5-laitteissa ja uudemmissa salaus käyttää AES-128:aa XTS-tilassa. Siinä 256-bittinen tiedostokohtainen avain jaetaan, jotta saadaan 128-bittinen arvo ja 128-bittinen salausavain.
Applen sirulla varustetussa Macissa tietojen suojauksen oletusluokka on C (katso Tietojen suojausluokat), mutta se käyttää tilakohtaisen tai tiedostokohtaisen avaimen sijaan taltioavainta. Tämä luo käyttäjätiedoille käytännössä FileVaultin suojausmallin. Käyttäjien täytyy silti edelleen valita FileVault käyttöön, jotta he saavat täyden suojauksen, jossa salausavainhierarkia sidotaan heidän salasanaansa. Kehittäjät voivat myös valita korkeamman suojausluokan, joka käyttää tiedosto- tai tilakohtaista avainta.