Veri Koruma’ya genel bakış
Apple, Apple SoC içeren aygıtların (iPhone, iPad, Apple Silicon yongalı Mac, Apple TV, Apple Watch ve Apple Vision Pro gibi) flaş depolamasında saklanan verileri korumak için Veri Koruma adı verilen bir teknoloji kullanır. Veri Koruma ile, bir aygıt gelen telefon aramaları gibi genel etkinliklere yanıt verebilir, aynı anda da kullanıcı verileri için üst düzeyde şifreleme sağlayabilir. Belirli sistem uygulamaları (Mesajlar, Mail, Takvim, Fotoğraflar) ve Sağlık veri değerleri Veri Koruma’yı saptanmış olarak kullanır. Üçüncü parti uygulamalar bu korumaya otomatik olarak sahip olur.
Uygulama
Veri Koruma bir anahtar hiyerarşisi oluşturarak ve bu hiyerarşiyi yöneterek uygulanır ve Apple aygıtlarında yerleşik donanım şifreleme teknolojilerinden yararlanır. Veri Koruma, her dosyayı bir sınıfa atayarak dosya düzeyinde denetlenir ve erişilebilirlik, sınıf anahtarlarının kilidinin açılıp açılmadığına göre belirlenir. APFS (Apple File System), dosya sisteminin anahtarları alana özel olarak daha küçük parçalara bölmesine olanak tanır (bir dosyanın bölümleri farklı anahtarlara sahip olabilir).
Veri disk bölümünde her dosya yaratıldığında, Veri Koruma yeni bir 256 bitlik anahtar (dosyaya özel anahtar) yaratır ve bu anahtarı donanım AES Motoru’na verir; bu motor da anahtarı, flaş depolamaya yazılırken dosyayı şifrelemek için kullanır. A14 ila A18 ve M1 ila M4 aygıtlarında şifreleme, 256 bitlik dosyaya özel anahtarın 256 bitlik düzeltme anahtarı ve 256 bitlik şifreleme anahtarı türetmek üzere anahtar türetme işlevinden (NIST Özel Yayın 800-108) geçtiği XTS modunda AES-256 kullanır. A9 ila A13 ve S5 ila S9 aygıtlarında, şifreleme, 256 bitlik dosyaya özel anahtarın, 128 bitlik düzeltme anahtarı ve 128 bitlik şifreleme anahtarı sağlayacak şekilde bölündüğü XTS modunda AES-128 kullanır.
Apple Silicon yongalı bir Mac’te, Veri Koruma saptanmış olarak C sınıfını kullanır (Veri Koruma sınıfları bölümüne bakın) ama alana özel veya dosyaya özel anahtarlar yerine bir disk bölümü anahtarı kullanır, böylece kullanıcı verileri için FileVault güvenlik modelini etkin bir şekilde yeniden oluşturmuş olur. Kullanıcıların, şifreleme anahtarı hiyerarşisini kendi parolalarıyla karıştırarak tam koruma elde etmek için hâlâ FileVault’u kullanmayı tercih etmesi gerekir. Geliştiriciler de dosyaya özel veya alana özel anahtarlar kullanan daha yüksek bir koruma sınıfı kullanmayı tercih edebilirler.