Alternatif başlatma modlarında anahtarları koruma
Veri Koruma, kullanıcı verilerine yalnızca başarılı bir kimlik doğrulamadan sonra ve yalnızca yetkili kullanıcı tarafından erişilmesini sağlayacak şekilde tasarlanmıştır. Veri koruma sınıfları, aygıt kilitliyken bile (ancak ilk kilit açma işleminden sonra) bazı verileri okuyup yazabilme gibi birçok kullanım senaryosunu destekleyecek şekilde tasarlanmıştır. Aygıt Firmware Yükseltmesi (DFU) modu, Kurtarma modu, Apple Tanıları ve hatta yazılım güncellemesi sırasında kullanılanlar gibi alternatif başlatma modlarında kullanıcı verilerine erişimi korumak için ek önlemler alınmıştır. Donanım ve yazılım özelliklerinin bir birleşimini taban alan bu yetenekler, Apple tarafından tasarlanan Silicon geliştikçe genişletilmiştir.
Özellik | A10 | A11–A17 S3–S9 M1, M2, M3 |
Kurtarma: Tüm veri koruma sınıfları korunur |
|
|
Alternatif DFU modu, Kurtarma ve yazılım güncellemeleri başlatmaları: A, B ve C sınıfı veriler korunur |
|
|
Secure Enclave AES Motoru, kilitlenebilir yazılım çekirdek bitleriyle donatılmıştır. Anahtarlar UID’den yaratıldığında, bu çekirdek bitleri ek anahtar hiyerarşileri yaratmak üzere anahtar türetme işlevine dahil edilir. Çekirdek bitlerinin kullanılma şekli, yongadaki sisteme göre değişir:
Apple A10 ve S3 SoC’ler ile başlayarak, bir çekirdek bit, kullanıcının parolasıyla korunan anahtarları ayırt etmeye adanmıştır. Çekirdek bit, kullanıcının parolasını gerektiren (Veri Koruma Sınıf A, Sınıf B ve Sınıf C anahtarları da dahil) anahtarlar için ayarlanır ve kullanıcının parolasını gerektirmeyen (dosya sistemi üst veri anahtarı ve Sınıf D anahtarları da dahil) anahtarlar için silinir.
A10 veya daha yenisine sahip aygıtlardaki iOS 13 veya daha yenisinde ve iPadOS 13.1 veya daha yenisinde, aygıtlar Tanı modunda başlatıldığında tüm kullanıcı verileri şifreyle erişilemez hâle getirilir. Bu, Veri Koruma ile şifrelenmiş veri disk bölümündeki üst verilere (ve dolayısıyla tüm dosyaların içeriklerine) erişmek için gerekli olan ortam anahtarına erişebilmeyi yöneten ek bir çekirdek bit ayarı kullanılarak sağlanır. Bu koruma, yalnızca kullanıcı parolası gerektiren sınıfları değil tüm sınıflardaki (A, B, C ve D) korumalı dosyaları kapsar.
A12 SoC’lerde, uygulama işlemcisi Aygıt Firmware Yükseltmesi (DFU) modu veya Kurtarma modu durumuna geçtiyse Secure Enclave Boot ROM, parola çekirdek bitini kilitler. Parola çekirdek biti kilitliyken onu değiştirmeye yönelik hiçbir işleme izin verilmez. Bu, kullanıcı parolasıyla korunan verilere erişimi engellemek için tasarlanmıştır.
Bir aygıtın DFU moduna geçtikten sonra geri yüklenmesi, aygıtın düzgün çalıştığı bilinen ve yalnızca Apple tarafından imzalanmış, değiştirilmemiş kodu içeren bir duruma dönmesini sağlar. DFU moduna elle geçilebilir.
Aygıtın DFU moduna nasıl geçirileceğini öğrenmek için şu Apple Destek makalelerine bakın:
Aygıt | Apple Destek makalesi |
|---|---|
iPhone, iPad | |
Apple TV | |
Apple Silicon yongalı bir Mac |