Kryptering och dataskydd i översikt
Funktionerna för säker startsekvens, systemsäkerhet och appsäkerhet verifierar alla tillsammans att endast betrodd kod och betrodda appar körs på en enhet. Apple-enheter har dessutom flera krypteringsfunktioner som skyddar användardata, även när säkerheten i andra delar av säkerhetsinfrastrukturen har komprometterats (t.ex. om en enhet har tappats bort eller kör obetrodd kod). Alla dessa funktioner innebär viktiga fördelar för både användare och IT-administratörer eftersom både personlig information och företagsdata skyddas och det finns metoder för snabb och fullständig fjärradering av stulna eller borttappade enheter.
På iPhone- och iPad-enheter används en filkrypteringsmetod som kallas dataskydd, medan data på Intel-baserade Mac-datorer skyddas med en volymkrypteringsteknik som kallas FileVault. En Mac med Apple Silicon använder en hybridmodell som stöder dataskydd med två försiktighetsåtgärder: den lägsta skyddsnivåklassen (D) stöds inte, och den förvalda nivån (klass C) använder en volymnyckel och fungerar precis som FileVault på en Intel-baserad Mac. I samtliga fall finns centrala nyckelhanteringshierarkier i den dedikerade kretsen för Secure Enclave (på enheter med en Secure Enclave) och en dedikerad AES-motor ger stöd för line-speed-kryptering som säkerställer att långlivade krypteringsnycklar aldrig behöver exponeras mot operativsystemets kärna eller processorn (där de kan komprometteras). (Intel-baserade Mac-datorer med T1-krets eller som saknar Secure Enclave använder inte någon dedikerad krets till att skydda FileVault-krypteringsnycklar.)
Utöver att använda dataskydd och FileVault till att förhindra obehörig åtkomst till data använder Apple operativsystemskärnor till att genomdriva skydd och säkerhet. Kärnan använder åtkomstkontroller till att placera appar i sandlådor (vilket begränsar vilka data en app har tillgång till) och en mekanism som kallas datavalv (som istället för att begränsa de anrop som en app kan göra begränsar åtkomsten till data från en enskild app när andra appar skickar en förfrågan).