「iCloud 鑰匙圈」安全還原
「iCloud 鑰匙圈」會將用户鑰匙圈交由 Apple 託管,但不允許 Apple 讀取密碼和鑰匙圈包含的其他資料。即便用户只有一部裝置,鑰匙圈還原也可以提供安全網來防止資料遺失。如果使用了 Safari 來為網頁帳户隨機產生高強度密碼或通行密匙,鑰匙圈還原就顯得格外重要,因為只有鑰匙圈會記錄這些密碼。
鑰匙圈還原包含兩大基本要素:輔助認證和安全託管服務,後者是 Apple 專為支援此功能而建立的服務。用户的鑰匙圈會使用高強度密碼進行加密,只有在滿足一組嚴格的條件時,託管服務才會提供鑰匙圈副本。
使用第二個認證
建立高強度密碼的方式有以下幾種:
如用户的帳户已啟用雙重認證,便會使用裝置密碼來還原託管的鑰匙圈。
如未設定雙重認證,則會要求用户提供六位數的密碼以製作 iCloud 安全碼。或者,在不使用雙重認證的情況下,用户可自行指定較長的安全碼,或讓裝置以加密編譯方式製作隨機編碼,方便用户自行記錄和保存。
鑰匙圈託管程序
建立密碼後,鑰匙圈便會交由 Apple 託管。iOS、iPadOS 或 macOS 裝置會先匯出用户的鑰匙圈副本,然後加密封裝至非對稱式 Keybag 的密鑰中,並將其放置在用户的 iCloud 密鑰值儲存區域中。Keybag 會以用户的 iCloud 安全碼和儲存託管記錄的硬件安全模組(HSM)叢集公用密鑰進行封裝。這會變成用户的 iCloud 託管記錄。如為雙重認證帳户,鑰匙圈也儲存在 CloudKit 中,包裝為僅可使用 iCloud 託管記錄內容來還原的中間鑰匙,進而提供相同等級的保護。
託管記錄的內容還允許還原裝置以重新加入「iCloud 鑰匙圈」,向任何現有裝置證明還原裝置已順利執行託管過程,並因此得到帳户持有人的授權。
附註:除了建立安全碼,用户也須為其 iCloud 帳户註冊一個電話號碼。這提供了進行鑰匙圈還原期間的第二層認證機制。用户會收到一則 SMS 短訊,必須回覆才能繼續進行還原。