Visão geral da Criptografia e Proteção de Dados
Os recursos da cadeia de inicialização segura, de segurança do sistema e de apps ajudam a verificar que apenas códigos confiáveis sejam executados em um dispositivo. Os dispositivos Apple possuem recursos de criptografia adicionais para resguardar os dados do usuário, mesmo que outras partes da infraestrutura de segurança tenham sido comprometidas (por exemplo se um dispositivo for perdido ou estiver executando código não confiável). Todos esses recursos beneficiam tanto usuários quanto administradores de TI, protegendo informações pessoais e corporativas, e fornecendo métodos para o apagamento remoto completo e imediato no caso de roubo ou perda do dispositivo.
Os dispositivos iPhone e iPad usam uma metodologia de criptografia de arquivos chamada Proteção de Dados, enquanto dados em computadores Mac são protegidos com uma tecnologia de criptografia de volumes chamada FileVault. Um Mac com Apple Silicon usa um modelo híbrido com suporte à Proteção de Dados, com duas ressalvas: o nível de proteção mais baixo Classe (D) não é compatível, e o nível padrão (Classe C) usa uma chave de volume e se comporta da mesma maneira que o FileVault em um Mac baseado em Intel. Em todos os casos, as hierarquias de gerenciamento de chaves têm suas raízes no silício dedicado do Secure Enclave, e um Mecanismo AES dedicado oferece suporte à criptografia de velocidade em linha e ajuda a garantir que chaves de criptografia de vida longa não sejam expostas ao sistema operacional do kernel ou CPU (onde podem ser comprometidas). (Um Mac baseado em Intel com um T1 ou que não tenha um Secure Enclave não usa um silício dedicado para proteger suas chaves de criptografia do FileVault.)
Além de usar a Proteção de Dados e o FileVault para ajudar a impedir o acesso não autorizado a dados, a Apple usa kernels do sistema operacional para exigir proteção e segurança. O kernel usa controles de acesso para apps com sandbox (os quais restringem quais dados um app pode acessar) e um mecanismo chamado Cofre de Dados (o qual, em vez de restringir as chamadas que um app pode fazer, restringe o acesso aos dados de um app de todos os outros apps solicitantes).