V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
excit
V2EX  ›  程序员

苹果高级数据保护密钥丢失

  •  1
     
  •   excit · 256 天前 · 2150 次点击
    这是一个创建于 256 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景:我手上只有两个苹果设备,一个 iwatch s9 ,一个 ip14 ,然后我在更新了 ios17 之后开启了高级数据保护,并且给账户添加了两个 yubikey ,恢复联系人当时填写的我自己的手机号。 因为对云上贵州不是很放心,所以我在看到更新 adp 之后就开启了,并且记录了第一次时候显示的恢复密钥,还添加了我自己的手机号为恢复联系人(当时也没想到这玩意能用上,觉得密钥怎么可能丢呢),之后就这么正常用了小半年,这期间由于一些需求我大概退出了三四次的 icloud 登录,每次他都提示我 adp 已开启,退出前要怎么这么的,我刚开始还每次都选关闭,然后第二三四次登录的时候也没和我要,我也就没当回事了,所以第五次退出 icloud 账号的时候他还提示我,adp 已开启,要关闭 adp 再退出还是记录密钥,我就选了直接退出不管。 结果就完了,重新登陆的时候输入完密码,验证过 yubikey 之后他开始要求我输入恢复代码了,我就去把之前记录的恢复密钥输入进去,结果它提示不对。。。。。这不完蛋吗,我就去网上查了相关资料,结果发现 adp 每次关闭再开启都会更新恢复密钥。。。 后来用了浏览器登录 apple.com 的办法登录了手机的 icloud 账号,勉强算能用了,但是 icloud 同步还是没办法使用,我得手表和手机也有很多信息现在都没法同步了。 请问各位有没有遇到过类似的情况,麻烦各位大佬帮我想想办法看看能不能找回恢复密钥(((

    14 条回复    2024-03-16 16:27:48 +08:00
    mschultz
        1
    mschultz  
       256 天前
    OP 遇到的问题确实有点奇怪,有好多细节与我之前的理解不太一样,其中关键的一点是

    Recovery Key 这个东西比 Advanced Data Protection 出现得早,这两个应该是互相独立的功能,前者管的是如何恢复 Apple ID (regain access to your account),后者管的是 iCloud 数据是否端到端加密(就像 ADP 和 Physical Keys 也是相互独立的功能)。

    当然,开启 ADP 的 [前提] 是 [已经] 开启 Recovery Key 功能,这是我理解的这两个功能唯一的联系了。所以照理说开关 ADP 应该不会改变另一个安全功能设置的 Key 吧。

    如果「 adp 每次关闭再开启都会更新恢复密钥」的话那情况就大不一样了。OP 可以发一下你查的相关资料的链接吗?
    0o0O0o0O0o
        2
    0o0O0o0O0o  
       256 天前
    我的理解中 iCloud 高级数据保护就是端到端加密,要是真的存在"找回密钥"的方式,那我认为是漏洞
    0o0O0o0O0o
        3
    0o0O0o0O0o  
       256 天前
    不过 OP 这个情况我也没太理解,我要去试试看。。。。
    XiLingHost
        4
    XiLingHost  
       256 天前
    @0o0O0o0O0o 也许 OP 的想法是希望手动触发用本地数据重新加密覆盖云端数据以允许同步功能?允许这种操作我认为是合理的
    excit
        5
    excit  
    OP
       255 天前
    @0o0O0o0O0o 我想比较可行的方法可能是从现在还是可信设备的 iwatch 里面来提取密钥,但是 iwatch 自己可以操作的功能太少了
    excit
        6
    excit  
    OP
       255 天前
    @XiLingHost 这也是我得一种想法,但是经过和 apple 客服确认不可行,注销再注册也不可以
    0o0O0o0O0o
        7
    0o0O0o0O0o  
       255 天前
    @XiLingHost #4 可它毕竟还是云备份,你如果不能证明你是你,备份的数据就不该被覆盖删除,在端到端加密的情况下,这种证明就不能只是根据 apple id
    excit
        8
    excit  
    OP
       255 天前
    @mschultz adp 的前提是开启恢复密钥没问题,这俩我理解就是一套系统的两种验证方式,一种恢复密钥一种恢复联系人。关闭 adp 后会更新恢复密钥这个问题是我在账户被锁之后在和客服交流中发现的,如果有时间可以自己试一下,这玩意真的会变,要不然我就不会被坑了
    XiLingHost
        9
    XiLingHost  
       255 天前
    @0o0O0o0O0o 端到端加密从来都只保证数据的机密性,完整性和可用性和端到端加密是无关的,证明你是你是一个认证(authentication)过程不是解密(decrypt)过程,所以应当只需要账号认证相关的因素即可实现
    Jirajine
        10
    Jirajine  
       255 天前
    恢复联系人这些和 key 没有关系啊,你丢了 key 那已加密的数据就等于永久丢失,Apple 也解密不了。
    mschultz
        11
    mschultz  
       255 天前 via iPhone
    @excit #8 我的 Recovery Key 是 2021 年设置的,2022 年才开启的 ADP ( iOS 16.2 推出),当时开启 ADP 的时候还验证了一下我 2021 年设置的 Recovery Key ,验证通过才成功打开 ADP 。(以上内容是我记录在密码管理器里的笔记)

    你说的重新开关 ADP 导致 Recovery Key 改变有两种情况,一是发生在关闭 ADP 时,二是发生在打开 ADP 时。

    1. 如果打开 ADP 会导致 Recovery Key 改变,结合我自己的笔记来看,这个操作确实是非常反直觉的,那我的数据也危险了,我现在的 Apple ID 实际生效的 Recovery Key 可能已经不是 2021 年我设置的那个了(感觉不太可能)

    2. 自 2022 年初次打开后以后我倒是没再关过 ADP ,所以我暂时不能验证“关闭 ADP”这个操作是否会导致原 Recovery Key 一起失效,等我有时间再试试。

    另外,如果如果关闭并重开 ADP 会导致 Apple ID 后台静默改变 Recovery Key 而且不提示不显示(不给你复制、抄写的机会),那确实是非常严重的 bug
    0o0O0o0O0o
        12
    0o0O0o0O0o  
       255 天前
    @XiLingHost #9 所以我才说它毕竟还是云备份,我的理解是这样的:它不能知道你解密后的数据是什么,但作为云服务,它相信终端设备提交的数据,包括“用户真的能解密”这个事实,否则端到端加密下的增量备份等需求都没法做了
    Qiane
        13
    Qiane  
       255 天前
    这个可能没什么办法了,毕竟是端到端加密,唯一的钥匙也不对的话,那只有靠以后的量子来破解了,哈哈
    lslqtz
        14
    lslqtz  
       255 天前
    用恢复联系人可以试试, 不过更有可能是 bug... 上次遇到几次立马生成的正确的密钥也没用的事, 添加恢复联系人后也不可用, 但是第二天好了...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5470 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:56 · PVG 13:56 · LAX 21:56 · JFK 00:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.