대체 시동 모드에서의 보호 키
데이터 보호는 인증에 성공한 후, 그리고 인증된 사용자에게만 사용자 데이터에 대한 접근 권한을 제공하도록 설계되었습니다. 데이터 보호 클래스는 기기가 잠겨 있어도(단, 첫 잠금 해제 후) 일부 데이터를 읽고 쓸 수 있는 기능 등 다양한 활용 사례를 지원하도록 설계되었습니다. DFU(기기 펌웨어 업데이트) 모드, 복구 모드, Apple 진단에 사용되는 것과 같은 대체 시동 모드 또는 소프트웨어 업데이트 중에 사용자 데이터에 대한 접근으로부터 보호하기 위해 추가 단계가 수행됩니다. 이러한 기능은 하드웨어와 소프트웨어 기능을 결합한 것으로 Apple이 설계한 Silicon의 발전에 따라 확장되었습니다.
기능 | A10 | A11–A17 S3–S9 M1, M2, M3 |
복구: 모든 데이터 보호 클래스가 보호됨 |
|
|
DFU 모드, 복구 및 소프트웨어 업데이트의 대체 시동 모드: 클래스 A, B 및 C 데이터가 보호됨 |
|
|
Secure Enclave AES 엔진은 잠글 수 있는 소프트웨어 시드 비트를 포함합니다. UID에서 키가 생성될 때 추가적인 키 계층을 생성하기 위해 이러한 시드 비트가 키 유도 함수에 포함됩니다. 시드 비트 사용 방법은 SoC(systems on chip)에 따라 다음과 같이 달라집니다.
Apple A10 및 S3 SoC부터, 시드 비트는 사용자의 암호로 보호된 키를 구분하는 용도로만 사용됩니다. 시드 비트는 사용자의 암호를 요구하는 키(데이터 보호 클래스 A, 클래스 B 및 클래스 C 포함)에 설정되어 있으며 사용자의 암호를 요구하지 않는 키(파일 시스템 메타데이터 키 및 클래스 D 키 포함)의 경우 설정되어 있지 않습니다.
A10 이상이 탑재된 기기에 iOS 13 이상 및 iPadOS 13.1 이상 버전이 설치된 경우, 기기를 진단 모드에서 시동하면 모든 사용자 데이터가 암호화 방식으로 렌더링되어 접근이 불가능합니다. 이는 설정을 통해 미디어 키에 대한 접근 권한을 관리하는 시드 비트를 추가로 활용하여 구현되고, 미디어 키 자체는 데이터 보호로 암호화된 데이터 볼륨에 포함된 모든 파일의 메타데이터와 콘텐츠에 접근하는 데 필요합니다. 이 보호는 사용자의 암호를 요구하는 파일 외에도 클래스 A, B, C, D의 모든 클래스로 보호되는 파일에 적용됩니다.
A12 SoC의 경우 응용 프로그램 프로세서가 DFU(기기 펌웨어 업그레이드) 모드 또는 복구 모드로 들어가면 Secure Enclave Boot ROM이 암호 시드 비트를 잠급니다. 암호 시드 비트가 잠기면 변경 작업은 허용되지 않습니다. 이는 사용자의 암호로 보호되는 데이터에 대한 접근을 방지하기 위해 설계된 것입니다.
DFU 모드에 들어간 기기를 복원하면 수정되지 않은 상태의 Apple 서명 코드만 있는 정상 상태로 기기가 돌아갑니다. DFU 모드는 수동으로 들어갈 수 있습니다.
기기에서 DFU 모드로 진입하는 방법에 대해서는 다음 Apple 지원 문서를 참조하십시오.
기기 | Apple 지원 문서 |
|---|---|
iPhone, iPad | |
Apple TV | |
Apple Silicon이 탑재된 Mac |