Verschlüsselung und Datensicherheit – Übersicht
Der sichere Startvorgang, die Systemsicherheit und die Sicherheitsfunktionen der Apps tragen alle dazu bei, dass auf einem Gerät nur vertrauenswürdige Codes und Apps ausgeführt werden können. Apple-Geräte verfügen über zusätzliche Verschlüsselungsfunktionen, die den Schutz der Benutzerdaten gewährleisten, selbst wenn andere Bereiche oder Teile der Sicherheitsinfrastruktur manipuliert werden (wenn beispielsweise ein Gerät verloren geht oder wenn nicht vertrauenswürdiger Code darauf ausgeführt wird). Alle diese Funktionen haben entscheidende Vorteile für Benutzer und IT-Administratoren, da die persönlichen Daten und die Firmendaten zu jeder Zeit geschützt sind und die Möglichkeit gegeben ist, Geräte bei Diebstahl oder Verlust per Fernzugriff vollständig zu löschen.
iPhone- und iPad-Geräte nutzen eine Methodik für die Dateiverschlüsselung, die als „Datensicherheit“ bezeichnet wird. Daten auf Intel-basierten Mac-Computern werden im Gegensatz dazu mit einer Verschlüsselungstechnologie für Volumes namens „FileVault“ geschützt. Ein Mac mit Apple Chips verwendet ein hybrides Modell, das Datensicherheit mit zwei Einschränkungen unterstützt: Die geringste Sicherheitsstufe (D) wird nicht unterstützt und die Standardstufe (Klasse C) verwendet einen Volumeschlüssel und verhält sich genau wie FileVault auf einem Intel-basierten Mac. In allen Fällen ist der Ausgangspunkt für die Hierarchien der Schlüsselverwaltung im dedizierten Chip der Secure Enclave angelegt. Außerdem nutzen beide Modelle eine dedizierte AES-Engine, um die Line-Speed-Verschlüsselung zu unterstützen und sicherzustellen, dass langlebige Verschlüsselungsschlüssel niemals an den Kernel des Betriebssystems oder die CPU übergeben werden müssen (wo sie potenziell manipuliert werden könnten). (Ein Intel-basierter Mac mit T1-Chip oder ohne Secure Enclave setzt keinen dedizierten Chip zum Schutz seiner FileVault-Verschlüsselungsschlüssel ein.)
Neben Datensicherheit und FileVault zum Schutz vor unautorisierten Datenzugriffen verwendet Apple Betriebssystemkernel für weitere Schutz- und Sicherheitsmaßnahmen. Der Kernel verwendet Zugriffssteuerungen für das Sandboxing von Apps (womit eingeschränkt wird, auf welche Daten eine App zugreifen kann) und einen Mechanismus, der als Data Vault bezeichnet wird (der nicht die möglichen Anfragen einschränkt, die eine App stellen kann, sondern stattdessen den Zugriff auf App-Daten durch andere Apps beschränkt).