Cơ chế bảo mật Escrow cho iCloud Keychain: Cách Apple bảo vệ dữ liệu của bạn

Cơ chế bảo mật Escrow cho iCloud Keychain: Cách Apple bảo vệ dữ liệu của bạn

iCloud cung cấp một hạ tầng bảo mật vững chắc cho tính năng ủy thác keychain (keychain escrow), giúp đảm bảo rằng chỉ những người dùng và thiết bị được ủy quyền mới có thể thực hiện quy trình khôi phục. Về mặt kiến trúc, nằm ngay sau hệ thống iCloud là các cụm Mô-đun Bảo mật Phần cứng (Hardware Security Modules - HSMs). Các cụm này đóng vai trò là người canh gác, bảo vệ các bản ghi ủy thác bằng cách sử dụng các khóa mã hóa riêng biệt để mã hóa dữ liệu dưới sự giám sát của chúng.

Quy trình xác thực và khôi phục

Để khôi phục một keychain, người dùng phải trải qua quy trình xác thực đa bước. Đầu tiên, họ cần đăng nhập vào tài khoản iCloud bằng mật khẩu và xác minh qua tin nhắn SMS gửi đến số điện thoại đã đăng ký. Sau đó, người dùng phải nhập mã bảo mật iCloud của mình.

Tại đây, cụm HSM sẽ xác minh rằng người dùng biết mã bảo mật iCloud bằng cách sử dụng giao thức Mật khẩu Từ xa An toàn (Secure Remote Password - SRP). Điểm quan trọng là mã bảo mật thực tế không bao giờ được gửi đến máy chủ của Apple. Mỗi thành viên trong cụm HSM sẽ độc lập xác minh xem người dùng có vượt quá số lần thử tối đa cho phép hay không. Nếu đa số các HSM đồng ý, cụm máy chủ sẽ giải mã (unwrap) bản ghi ủy thác và gửi nó về thiết bị của người dùng.

Cơ chế chống tấn công dò mật khẩu (Brute-force)

Thiết bị sẽ sử dụng dữ liệu ủy thác vừa nhận được để giải mã các khóa ngẫu nhiên dùng để mã hóa keychain của người dùng. Với khóa này, dữ liệu keychain — được lấy từ CloudKit và bộ lưu trữ key-value của iCloud — sẽ được giải mã và khôi phục lại thiết bị.

Tuy nhiên, dịch vụ ủy thác áp dụng chính sách cực kỳ nghiêm ngặt: chỉ cho phép tối đa 10 lần thử để xác thực và lấy bản ghi ủy thác. Sau một số lần thử thất bại, bản ghi sẽ bị khóa và người dùng buộc phải gọi Apple Support để được cấp thêm lượt thử. Nhưng sau lần thử thất bại thứ 10, cụm HSM sẽ tự động hủy bản ghi ủy thác và keychain sẽ mất vĩnh viễn. Điều này tạo ra sự bảo vệ mạnh mẽ chống lại các nỗ lực tấn công dò mật khẩu (brute-force), với cái giá phải trả là việc hy sinh dữ liệu keychain nếu vượt quá giới hạn.

Bảo mật Firmware và chống can thiệp

Tất cả các chính sách trên đều được mã hóa trong firmware của HSM. Các thẻ truy cập quản trị (administrative access cards) cho phép thay đổi firmware đã bị hủy bỏ hoàn toàn. Bất kỳ nỗ lực nào nhằm thay đổi firmware hoặc truy cập vào khóa riêng đều sẽ khiến cụm HSM xóa ngay lập tức khóa riêng đó.

Nếu tình huống xấu này xảy ra, chủ sở hữu của mỗi keychain được bảo vệ bởi cụm đó sẽ nhận được thông báo cho biết bản ghi ủy thác của họ đã bị mất. Khi đó, họ có thể lựa chọn đăng ký lại (reenroll) dịch vụ.