臨時加密密鑰

我的理解是，忽略實現細節，iOS 磁碟加密的工作方式如下：在啟動時（和/或每次解鎖手機時），會創建一個可以解密加密文件的臨時會話密鑰。

我的問題是，如何在不重新加密磁碟上的文件的情況下創建臨時密鑰？

我想到的唯一解決方案是使用臨時密鑰解密“真實”密鑰，然後用於解密文件。當您的會話到期並且您需要使臨時密鑰無效時，基本上您會刪除由臨時會話密鑰加密的真實密鑰的加密副本。

還有其他解決方案嗎？基本上是在不重新加密數據的情況下創建臨時密鑰？

答案就在 Apple 所說的“臨時會話密鑰”中。觀看 12:00 左右開始的BlackHat 會議。

原始文件加密密鑰在 SEP（安全飛地處理器）之外使用臨時密鑰進行包裝，實際密鑰永遠不會暴露給正常的應用程序處理器。臨時密鑰綁定到手機的啟動會話。

引用自：https://crypto.stackexchange.com/questions/39506