iCloud için İleri Düzey Veri Koruma
iCloud için İleri Düzey Veri Koruma, Apple’ın en yüksek düzeyde bulut veri güvenliğini sunan isteğe bağlı bir ayardır. Bir kullanıcı İleri Düzey Veri Koruma’yı açtığında, kullanıcının güvenilir aygıtları iCloud verilerinin çoğunluğu için şifreleme anahtarlarına tek başına erişimi elinde tutar ve böylece uçtan uca şifreleme ile bunları korur. İleri Düzey Veri Koruma’yı açan kullanıcılar için uçtan uca şifreleme kullanılarak korunan veri kategorilerinin toplam sayısı 14’ten 23’e yükselir ve bunlar arasında iCloud Yedekleme, Fotoğraflar, Notlar vb. yer alır.
Not: Bu özellik, bazı ülkelerde veya bölgelerde kullanılamayabilir.
Kavramsal olarak, İleri Düzey Veri Koruma basittir: Aygıtta oluşturulan ve sonra Apple veri merkezlerindeki kimlik doğrulama sonrası kullanılabilir iCloud Donanım Güvenlik Modülleri’ne (HSM) yüklenen tüm CloudKit servis anahtarları bu modüllerden silinir ve bunun yerine tamamen hesabın iCloud Anahtar Zinciri koruma alanında tutulur. Var olan uçtan uca şifreli servis anahtarları gibi ele alınırlar, bu da Apple’ın artık bu anahtarları okuyamayacağı veya bunlara erişemeyeceği anlamına gelir.
İleri Düzey Veri Koruma, üçüncü parti geliştiricilerin şifreli olarak işaretlemeyi seçtiği CloudKit alanlarını ve tüm CloudKit öğelerini de otomatik olarak korur.
İleri Düzey Veri Koruma’yı etkinleştirme
Kullanıcı İleri Düzey Veri Koruma’yı açtığında, güvenilir aygıtı iki eylem gerçekleştirir: İlk olarak, kullanıcının İleri Düzey Veri Koruma’yı açma niyetini kullanıcının uçtan uca şifrelemeye katılan diğer aygıtlarına iletir. Bunu iCloud Anahtar Zinciri aygıt üst verilerine aygıt-yerel anahtarları tarafından imzalı yeni bir değer yazarak yapar. Apple sunucuları, bu onaylamayı kullanıcının diğer aygıtlarıyla eşzamanlanırken silemez veya değiştiremez.
Daha sonra, aygıt kimlik doğrulama sonrası kullanılabilir servis anahtarlarının Apple veri merkezlerinden silinme işlemini başlatır. Bu anahtarlar iCloud HSM’leri tarafından korunduğundan bu silme işlemi hemen gerçekleşir, kalıcıdır ve geri alınamaz. Anahtarlar silindikten sonra Apple artık kullanıcının servis anahtarları tarafından korunan verilerin hiçbirine erişemez. Bu noktada, aygıt eşzamansız anahtar döndürme işlemine başlar. Bu işlem, anahtarı daha önce Apple sunucuları tarafından kullanılabilen her bir servis için yeni bir servis anahtarı yaratır. Anahtar döndürme ağ kesintisi ya da başka bir hata nedeniyle başarısız olursa aygıt anahtar döndürmeyi başarılı olana kadar yeniden dener.
Servis anahtarı döndürme başarılı olduktan sonra servise yazılan yeni verilerin şifresi eski servis anahtarı ile çözülemez. Yalnızca kullanıcının güvenilir aygıtları tarafından denetlenen ve hiçbir zaman Apple tarafından kullanılamayan yeni anahtar ile korunur.
İleri Düzey Veri Koruma ve iCloud.com web erişimi
Kullanıcı İleri Düzey Veri Koruma’yı ilk kez açtığında, iCloud.com’daki verilerine web erişimi otomatik olarak kapatılır. Bunun nedeni, iCloud web servislerinin kullanıcının verilerinin şifresini çözmek ve bu verileri görüntülemek için gereken anahtarlara artık erişimi olmamasıdır. Kulanıcı web erişimini yeniden açmayı seçebilir ve web’deki şifreli iCloud verilerine erişmek için güvenilir aygıtlarının katılımını kullanabilir.
Kullanıcı web erişimini açtıktan sonra, iCloud.com’u her ziyaret edişinde güvenilir aygıtlarından birinde web girişini yetkilendirmelidir. Yetkilendirme, aygıtı web erişimi için “hazırlar”. Sonraki saat boyunca bu aygıt belirli Apple sunucularından gelen ayrı servis anahtarları yükleme isteklerini kabul eder ancak yalnızca iCloud.com’da normal olarak erişilebilen servislerin izin verme listesine karşılık gelenleri kabul eder. Diğer bir deyişle, kullanıcı bir web girişini yetkilendirdikten sonra bile sunucu isteği kullanıcının aygıtını iCloud.com’da görüntülenmesi istenmeyen veriler (Sağlık verileri ya da iCloud Anahtar Zinciri’ndeki parolalar gibi) için servis anahtarları yüklemeye teşvik edemez. Apple sunucuları yalnızca kullanıcının web’de erişmek üzere istediği belirli verilerin şifresini çözmek için gereken servis anahtarlarını ister. Servis anahtarı her yüklendiğinde, kullanıcının yetkilendirdiği web oturumuna bağlı bir kısa süreli anahtar kullanılarak şifrelenir ve kullanıcının aygıtında verileri geçici olarak Apple sunucularının kullanımına açılmış iCloud servisini gösteren bir bildirim görüntülenir.
Kullanıcının seçimlerini koruma
İleri Düzey Veri Koruma ve iCloud.com web erişimi ayarları yalnızca kullanıcı tarafından değiştirilebilir. Bu değerler, kullanıcının iCloud Anahtar Zinciri aygıt üst verilerinde saklanır ve yalnızca kullanıcının güvenilir aygıtlarının birinden değiştirilebilir. Apple sunucuları bu ayarları kullanıcı adına değiştiremez ya da önceki konfigürasyonuna geri döndüremez.
Paylaşmanın ve ortak çalışmanın güvenlik sonuçları
Çoğu durumda, kullanıcılar birbirleriyle ortak çalışmak için içerik paylaştığında (örneğin paylaşılan Notlar, paylaşılan Anımsatıcılar, iCloud Drive’da paylaşılan klasörler ya da iCloud Paylaşılan Fotoğraf Arşivi) ve tüm kullanıcılar İleri Düzey Veri Koruma’yı açtığında, Apple sunucuları yalnızca paylaşmayı oluşturmak için kullanılır ve paylaşılan verilerin şifreleme anahtarlarına erişemez. İçerik uçtan uca şifreli ve yalnızca katılımcıların güvenilir aygıtları tarafından erişilebilir olarak kalır. Her paylaşma işleminde, alıcı kullanıcılara önizleme göstermek amacıyla bir başlık ve temsilen bir küçük resim Apple tarafından standart veri koruma ile saklanabilir.
Ortak çalışmayı etkinleştirirken “bağlantısı olan herkes” seçeneğini seçmek, sunucuların URL’yi açan herkese erişim sağlayabiliyor olması gerektiğinden, içeriği standart veri koruma kapsamında Apple sunucuları tarafından kullanılabilir hâle getirir.
iWork’te ortak çalışma ve Fotoğraflar’daki Paylaşılan Albümler özelliği İleri Düzey Veri Koruma’yı desteklemez. Kullanıcılar bir iWork belgesinde ortak çalışırken ya da iCloud Drive’da paylaşılan bir klasörden iWork belgesi açtıklarında, belgenin şifreleme anahtarları Apple veri merkezlerindeki iWork sunucularına güvenle yüklenir. Bunun nedeni, iWork’teki gerçek zamanlı ortak çalışmanın katılımcılar arasında belge değişikliklerini düzenlemek üzere sunucu tarafı aracılık gerektirmesidir. Paylaşılan Albümler’e eklenen fotoğraflar standart veri koruma ile saklanır, bu özellik albümlerin web’de açık olarak paylaşılmasına izin verir.
İleri Düzey Veri Koruma’yı etkisizleştirme
Kullanıcı, İleri Düzey Veri Koruma’yı istediği zaman kapatabilir. Bunu yapmaya karar verirse:
1. Kullanıcının aygıtı öncelikle iCloud Anahtar Zinciri katılım üst verilerinde yeni seçimini kaydeder ve bu ayar tüm aygıtlarıyla güvenli bir şekilde eşzamanlanır.
2. Kullanıcının aygıtı tüm kimlik doğrulama sonrası kullanılabilir servislerin servis anahtarlarını Apple veri merkezlerindeki iCloud HSM’lerine güvenle yükler. Bu hiçbir zaman standart veri koruması kapsamında uçtan uca şifrelenen iCloud Anahtar Zinciri ve Sağlık gibi servislerin anahtarlarını içermez.
Aygıt hem İleri Düzey Veri Koruma açılmadan önce oluşturulmuş özgün servis anahtarlarını, hem de kullanıcı özelliği açtıktan sonra oluşturulmuş yeni servis anahtarlarını yükler. Böylece, bu servislerdeki tüm veriler kimlik doğrulama sonrası kullanılabilir hâle getirilir ve hesap standart veri korumaya döndürülür. Bu şekilde Apple, kullanıcının hesabına erişimi kaybetmesi durumunda verilerinin çoğunu kurtarmasına yeniden yardımcı olabilir.
İleri Düzey Veri Koruma tarafından kapsanmayan iCloud verileri
Küresel e-posta, kişi ve takvim sistemleri ile birlikte çalışma gereksinimi nedeniyle iCloud Mail, Kişiler ve Takvim uçtan uca şifrelenmez.
iCloud, İleri Düzey Veri Koruma açık olmasına rağmen, bazı verileri kullanıcıya özgü CloudKit servisinin koruması olmadan saklar. CloudKit Kayıt alanlarının korunması için kapsayıcının şemasında “şifreli” olarak açıkça belirtilmesi gerekir; okuma ve yazma şifreli alanları ise buna ayrılmış API’lerin kullanılmasını gerektirir. Dosyanın veya nesnenin değiştirildiği tarihler ve saatler, kullanıcının bilgilerini sıralamak için, dosya ve fotoğraf verilerinin sağlama toplamları ise Apple’ın dosyalara ve fotoğraflara erişimi olmadan kullanıcının iCloud ve aygıt saklama alanının yinelenmesini önlemesine ve iyileştirmesine yardımcı olmak için kullanılır. Şifrelemenin belirli veri kategorileri için nasıl kullanılacağıyla ilgili ayrıntılar iCloud veri güvenliğine genel bakış adlı Apple Destek makalesinde bulunabilir.
Veri yinelemeyi önleme için sağlama toplamlarını kullanma (birleşen şifreleme adlı iyi bilinen bir teknik) gibi kararlar, ilk sunulduğunda iCloud servislerinin özgün tasarımının bir parçasıydı. Bu üst veriler her zaman şifrelenir ancak şifreleme anahtarları Apple tarafından standart veri koruma ile saklanır. Apple, tüm kullanıcılar için güvenlik korumalarını güçlendirmeyi sürdürmek amacıyla İleri Düzey Veri Koruma açıkken bu tür üst veriler de dahil olmak üzere daha fazla verinin uçtan uca şifrelenmesini sağlamayı destekler.
İleri Düzey Veri Koruma gereksinimleri
iCloud için İleri Düzey Veri Koruma’yı açma gereksinimleri şunları içerir:
Kullanıcının hesabı uçtan uca şifrelemeyi desteklemelidir. Uçtan uca şifreleme, Apple Hesabı için iki faktörlü kimlik doğrulamayı ve güvenilir aygıtlarında ayarlanmış bir parolayı gerektirir. Daha fazla bilgi için Apple Hesabı için iki faktörlü kimlik doğrulama adlı Apple Destek makalesine bakın.
Kullanıcının kendi Apple Hesabı ile giriş yaptığı aygıtlar iOS 16.2, iPadOS 16.2, macOS 13.1, tvOS 16.2, watchOS 9.2 veya daha yenisine ve Windows için iCloud’un son sürümüne güncellenmelidir. Bu gereksinim, hesap durumunu onarmak amacıyla yanlış yönlendirilen bir denemede bunları kimlik doğrulama sonrası kullanılabilir HSM’lere yeniden yükleyerek iOS’in, iPadOS’in, macOS’in, tvOS’in veya watchOS’in önceki sürümünün yeni yaratılan servis anahtarlarını yanlış işlemesini önler.
Kullanıcı, hesabına erişimi kaybederse iCloud verilerini kurtarmak için kullanabileceği en az bir alternatif kurtarma yöntemi (bir veya birden fazla kurtarma kişisi ya da bir kurtarma anahtarı) ayarlamalıdır.
Kurtarma yöntemleri başarısız olursa (örneğin kurtarma kişisinin bilgileri güncel değilse ya da kullanıcı bunları unutursa) Apple kullanıcının uçtan uca şifreli iCloud verilerini kurtarmaya yardımcı olamaz.
iCloud için İleri Düzey Veri Koruma yalnızca Apple Hesapları için açılabilir. Yönetilen Apple Hesapları ve alt hesaplar (ülkeye veya bölgeye göre değişir) desteklenmez.