การสำรองข้อมูล iCloud มีความปลอดภัยแค่ไหน?

17

การสำรองข้อมูล iCloud จะเข้ารหัสทั้งเมื่อส่งและจัดเก็บ? เป็นไปได้หรือไม่ที่บางคนใน Apple สามารถเข้าถึงการสำรองข้อมูลใด ๆ

ฉันได้ยินมาว่าเมื่อมีการดึงแอพออกจากแอพสโตร์พวกเขาก็จะลบการสำรองข้อมูล iCloud ด้วยดังนั้นถ้าแอปเปิ้ลสามารถแก้ไขได้โดยแน่นอนพวกเขาจะไม่ถูกจัดเก็บอย่างปลอดภัยหรือไม่

ฉันมีรหัสผ่านจำนวนมากสำหรับเว็บไซต์และแอพที่บันทึกไว้ดังนั้นฉันคิดว่าสิ่งเหล่านี้ถูกเก็บไว้ในการสำรองข้อมูลด้วยหรือไม่

— โจนาธาน
แหล่งที่มา

ในกรณีที่คำตอบไม่ชัดเจน - แอพของคุณไม่ได้จัดเก็บไว้ใน iCloud แต่ดาวน์โหลดจากร้านค้าเมื่อข้อมูล iCloud สำหรับแอปถูกกู้คืน ดังนั้นหากมีการลบแอปออกจากร้านค้า (และไม่ได้ลบออกจากการขาย) - ข้อมูลอยู่ที่นั่นไม่สามารถทำอะไรได้เลยเนื่องจากไม่มีทั้งหมด ไม่มีข้อบ่งชี้ว่าแอปเปิ้ลกำลังตัดไฟล์จากการสำรองข้อมูลยกเว้นเมื่อคุณขอให้ปิดการสำรองข้อมูลจากแอพที่ระบุ แจ้งให้เราทราบหากคุณต้องการคำตอบที่ชัดเจนด้านล่าง ...

— bmike

คุณมีแหล่งที่มาเกี่ยวกับ Apple ที่ลบแอปในการสำรองข้อมูล iCloud หรือไม่?

— Nicolas Barbulesco

@bmike - มันน่าสนใจ ... และเป็นกังวลเล็กน้อย คืนค่าดาวน์โหลดเวอร์ชันที่ถูกต้องจาก app store หรือไม่ หรือเวอร์ชันล่าสุด (ใช้งานร่วมกันได้) หรือไม่

— Nicolas Barbulesco

1

@NicolasBarbulesco คุณจะต้องการซิงค์สำรองข้อมูลและกู้คืนด้วย iTunes เพื่อให้แน่ใจว่าโหลดเวอร์ชันที่ใช้งานร่วมกันได้แล้ว ฉันไม่ได้มีปัญหากับ iCloud ไม่พบแอพที่ใช้งานร่วมกันได้ แต่ปรีชาญาณของฉันคือคุณสามารถรับแอพที่หล่นลงมาได้หากแอพไม่ได้ติดแท็กอย่างถูกต้องในร้านค้าโดยนักพัฒนา )

— bmike

6

ArsTechnica เพิ่งเขียนชิ้นใหญ่เกี่ยวกับเรื่องนี้

ความรวดเร็ว:

คำตอบง่ายๆคือข้อมูลของคุณอย่างน้อยปลอดภัยเท่าที่เก็บไว้ในเซิร์ฟเวอร์ระยะไกลใด ๆ ถ้าไม่มาก ข้อมูลทั้งหมดจะถูกถ่ายโอนไปยังคอมพิวเตอร์และอุปกรณ์มือถือโดยใช้เลเยอร์ซ็อกเก็ตที่ปลอดภัยผ่าน WebDAV, IMAP หรือ HTTP ข้อมูลทั้งหมดยกเว้นอีเมลและบันทึกย่อ - เพิ่มเติมในภายหลัง - จัดเก็บและเข้ารหัสบนดิสก์บนเซิร์ฟเวอร์ของ Apple และโทเค็นการรับรองความถูกต้องที่ปลอดภัยจะถูกสร้างขึ้นบนอุปกรณ์มือถือเพื่อดึงข้อมูลโดยไม่ต้องส่งรหัสผ่านอย่างต่อเนื่อง

และการสำรองข้อมูลจะถูกจัดเก็บและโอนเข้ารหัส สำหรับพนักงานที่สามารถเข้าถึงการสำรองข้อมูลพนักงานของ Apple เท่านั้นที่จะสามารถตอบได้อย่างถูกต้อง

หากมีการดึงแอพออกจากร้านค้าพวกเขาอาจไม่จำเป็นต้องทำการสำรองข้อมูลของคุณเพื่อทำการลบ แอปทั้งหมดมีตัวระบุที่ไม่ซ้ำกันและหากมีสิ่งใดที่พวกเขาสามารถลบข้อมูลสำรองนั้นสำหรับทุกคน (คิดว่าข้อมูลสำรองนั้นถูกจัดเก็บแยกต่างหากแทนที่จะเป็นไฟล์ ZIP ขนาดใหญ่ถ้าคุณต้องการ) นี่เป็นเรื่องภายในของ Apple ดังนั้นจึงไม่มีใครสามารถตอบส่วนนั้นได้อย่างเต็มที่

ในที่สุดการสำรองข้อมูลจะรวมถึง Keychain แต่ก็มีการเข้ารหัสและกุญแจจะเชื่อมโยงกับอุปกรณ์ที่ทำการสำรองข้อมูล

จากสถานที่ต่าง ๆ ที่ฉันได้อ่านทางออนไลน์ Apple มีคุณสมบัติตรงตามหรือสูงกว่า (บ่อยกว่านั้น) ขั้นตอนการรักษาความปลอดภัยมาตรฐานในเรื่องนี้

— jmlumpkin
แหล่งที่มา

13

ข่าวดี. ข้อมูลถูกเข้ารหัสโดยใช้ SSL ในขณะที่ถ่ายโอนระหว่างคอมพิวเตอร์ของคุณและเซิร์ฟเวอร์ iCloud นอกจากนี้ข้อมูลจะถูกเข้ารหัสขณะที่ "อยู่นิ่ง" จัดเก็บในเซิร์ฟเวอร์ iCloud (มีข้อยกเว้นบางประการดูด้านล่าง) การเข้ารหัสลับจะมองไม่เห็นใช้งานง่ายและอัตโนมัติ (ตามค่าเริ่มต้น)

ข่าวที่ไม่ค่อยดีiCloud ใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ไม่ใช่การเข้ารหัสฝั่งไคลเอ็นต์ เมื่อส่งข้อมูลไปยังคลาวด์จะได้รับการเข้ารหัสบนเครื่องของคุณด้วย SSL จากนั้นถอดรหัสที่เซิร์ฟเวอร์ iCloud จากนั้นเข้ารหัสอีกครั้งโดยใช้คีย์เข้ารหัสที่ Apple รู้สำหรับการจัดเก็บ ซึ่งหมายความว่าพนักงานของ Apple มีความสามารถด้านเทคนิคในการอ่านข้อมูลของคุณ อาจมีการควบคุมขั้นตอนเทคนิคหรือนโยบายเพื่อทำให้สิ่งนี้ไม่น่าเป็นไปได้ แต่มีความสามารถอยู่ที่นั่น นั่นหมายความว่าหากระบบคลาวด์ของ Apple ถูกโจมตีโดยผู้โจมตีที่มีความซับซ้อนผู้โจมตีสามารถเข้าถึงข้อมูลทั้งหมดของคุณได้ กล่าวอีกนัยหนึ่งการละเมิดข้อมูลหรืออุบัติเหตุในส่วนของ Apple อาจทำให้ข้อมูลของคุณเปิดเผย สิ่งนี้อาจไม่น่าจะเกินไป แต่เนื่องจาก บริษัท ที่น่านับถืออย่าง Google ถูกละเมิดการฝ่าฝืนหรือการเปิดเผยอื่น ๆ ของเซิร์ฟเวอร์ iCloud นั้นไม่สามารถคิดได้

อีเมลและบันทึกย่อจะไม่ถูกจัดเก็บในรูปแบบเข้ารหัสขณะที่บนเซิร์ฟเวอร์ของ Apple อีเมลมักจะมีข้อมูลที่ละเอียดอ่อนเช่นรหัสผ่านของบัญชีการตั้งค่าการเชื่อมโยง - ดังนั้นมันจึงค่อนข้างอันตราย

หากหน่วยงานบังคับใช้กฎหมายขอให้ Apple คัดลอกข้อมูลของคุณ Apple จะแบ่งปันกับพวกเขา Apple ไม่จำเป็นต้องมีหมายจับ EFF ให้แอปเปิลเพียงหนึ่งในสี่ดาวในการปกป้องข้อมูลผู้ใช้ในรายงานของรัฐบาลเมื่อรัฐบาลมาเคาะใครมีหลังของคุณ และทำให้แอปเปิ้ลไม่โปร่งใสเกี่ยวกับคำขอของรัฐบาลในการเข้าถึงข้อมูลของคุณและไม่บอกผู้ใช้เมื่อมีการเปิดเผยข้อมูลต่อรัฐบาล

ความเสี่ยงไม่ได้ จำกัด อยู่ที่การร้องขอของรัฐบาล หากคุณถูกฟ้องร้องหรือจบลงด้วยการหย่าร้างทนายความฝ่ายตรงข้ามอาจส่งหมายเรียกข้อมูลของคุณจาก Apple และ Apple จะต้องเปิดเผยข้อมูลให้พวกเขาทราบ โปรดทราบว่าเกณฑ์สำหรับหมายศาลนั้นค่อนข้างต่ำ: ในเบื้องต้นข้อมูลนั้นมีโอกาสที่จะเกี่ยวข้องกับคดี

ความปลอดภัยของข้อมูลของคุณบน iCloud นั้นดีพอ ๆ กับวลีรหัสผ่านใน Apple ID ของคุณ ดังนั้นหากคุณต้องการให้ข้อมูลของคุณปลอดภัยคุณต้องเลือกข้อความรหัสผ่านที่ยาวและแน่นหนา น่าเสียดายที่มีบางแง่มุมของระบบปัจจุบันที่มีแนวโน้มที่จะผลักดันผู้ใช้ไปสู่การเลือกวลีรหัสผ่านที่สั้นและอ่อนแอ ระบบปฏิบัติการปฏิเสธที่จะจัดเก็บวลีรหัสผ่านนี้ไว้ในพวงกุญแจซึ่งคุณต้องพิมพ์บ่อยครั้ง หากคุณใช้อุปกรณ์ iOS คุณจะต้องพิมพ์ข้อความรหัสผ่าน Apple ID ของคุณบ่อยๆ (เช่นทุกครั้งที่คุณติดตั้งหรืออัปเดตแอป) เนื่องจากการป้อนวลีรหัสผ่านที่ยาวและแข็งแรงนั้นเป็นความเจ็บปวดที่สำคัญของ iPhone ผู้ใช้หลายคนอาจเลือกใช้วลีรหัสผ่านสั้น ๆ ที่น่าสงสารเพื่อความสะดวกในการใช้งาน ดังนั้นการออกแบบในปัจจุบันอาจมีแนวโน้มที่จะกระตุ้นให้ผู้ใช้หลายคนใช้รหัสผ่านที่อ่อนแอ

อ่านเพิ่มเติม. นักเศรษฐศาสตร์มีข้อโต้แย้งที่ดีเยี่ยมสรุปผลกระทบการรักษาความปลอดภัยในการจัดเก็บข้อมูลของคุณในเมฆและในระดับที่แตกต่างกันของการรักษาความปลอดภัย afforded โดยผู้ให้บริการที่แตกต่างกัน ; สำหรับการเปรียบเทียบ iCloud นั้นคล้ายกับ DropBox ในคุณสมบัติความปลอดภัยและอ่อนแอกว่า SpiderOak เพื่อช่วยให้เข้าใจว่าเหตุใด Apple จึงเลือกสถาปัตยกรรมเฉพาะที่เป็นเช่นนั้นคุณอาจเพลิดเพลินไปกับบทความบล็อกของ Ben Adida: การเข้ารหัสไม่ได้เป็นน้ำเกรวี่ มันมีนัยสำคัญสำหรับการใช้งาน .

สรุป. แนวทางปฏิบัติด้านความปลอดภัยของ iCloud นั้นสอดคล้องกับแนวปฏิบัติหลักในด้านนี้เป็นส่วนใหญ่ iCloud ดูเหมือนจะมีสถาปัตยกรรมความปลอดภัยที่สมเหตุสมผลและออกแบบอย่างมืออาชีพ ในขณะที่มีความเสี่ยงด้านความปลอดภัยสำหรับคนส่วนใหญ่ความปลอดภัยของ iCloud น่าจะดีพอและประโยชน์ด้านความสะดวกสบายของ iCloud จะมีมากกว่าความเสี่ยงใด ๆ สำหรับคนส่วนใหญ่

อย่างไรก็ตามการจัดเก็บข้อมูลของคุณในคลาวด์จะเพิ่มความเสี่ยง สำหรับผู้ใช้ที่มีความอ่อนไหวเป็นพิเศษเช่นบันทึกสุขภาพสถาบันการเงินหรือ บริษัท อื่น ๆ ที่มีข้อมูลที่ละเอียดอ่อนอาจมีความระมัดระวังในการหลีกเลี่ยงการจัดเก็บข้อมูลที่สำคัญที่สุดในระบบคลาวด์

— ใบสำคัญแสดงสิทธิอนุพันธ์
แหล่งที่มา

คำตอบที่ดี แต่นับตั้งแต่การถือกำเนิดของ Touch ID ความถี่ที่คุณต้องป้อนรหัสผ่าน Apple ID ของคุณจะลดลงอย่างเห็นได้ชัดถ้าคุณเลือกใช้

— Mike Chamberlain

"iCloud ใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ไม่ใช่การเข้ารหัสฝั่งไคลเอ็นต์" คำสั่งนี้ยังคงถูกต้องหรือไม่ apple.com/business/docs/iOS_Security_Guide.pdf (ลงวันที่มีนาคม, 2017) กล่าวว่า "ไฟล์สำรองไว้ที่ iCloud ในสถานะที่เข้ารหัสดั้งเดิม" (แม้ว่าในบริบทของ "ไฟล์ ... สร้างขึ้นในคลาส Data Protection ที่ไม่สามารถเข้าถึงได้เมื่ออุปกรณ์ถูกล็อค")

— jhfrontz

1

@ jhfrontz เท่าที่ฉันรู้ใช่ มันเกิดจากการออกแบบ ลองทดสอบบ่อโคลน: blog.cryptographyengineering.com/2012/04/05/...

— DW

ตกลงขอบคุณ - ฉันไม่รู้ว่ามีบริการ "iForgot" (และฉันคิดว่ารหัสผ่าน iCloud นั้นใช้ในเครื่องเพื่อเข้ารหัสก่อนที่จะส่งไปยังคลาวด์ [i])

— jhfrontz

2

มีเอกสารอยู่ในหัวข้อนี้ บันทึก:

iCloud Security iCloud รักษาความ
ปลอดภัยเนื้อหาของคุณโดยการเข้ารหัสเมื่อส่งผ่านอินเทอร์เน็ตจัดเก็บในรูปแบบที่เข้ารหัสและใช้โทเค็นที่ปลอดภัยสำหรับการตรวจสอบสิทธิ์

คุณสามารถหาข้อมูลเพิ่มเติมได้ที่:

http://support.apple.com/kb/HT4865

อย่างไรก็ตามคุณไม่ควรส่งรหัสผ่านของคุณไปยังเซิร์ฟเวอร์คลาวด์ ไม่ว่าในกรณีใด ๆ นี่เป็นตัวเลือกที่แย่ในด้านความปลอดภัยและข้อมูลของคุณ

— soxman
แหล่งที่มา