iPhone 数据取证与加密：了解 BFU 与 AFU 的区别

苹果 iPhone 被公认为市场上安全性最高的消费电子设备之一。这种强大的安全性给数字取证专业人员带来了独特挑战——尤其是在处理 iPhone 的两种关键加密状态时：首次解锁前（BFU）和首次解锁后（AFU）。
这两种状态根据设备上次重启后用户是否进行过解锁，决定了可访问的数据量。从 BFU 到 AFU 的状态转换由硬件加密、数据保护类别和安全隔区处理器（SEP）协同控制——SEP 是专门处理密码验证和密钥管理等敏感操作的独立芯片。
本文内容：
1. iPhone安全架构基础
2. AFU与BFU解析
3. AFU与BFU两种状态的对比
4. iPhone 取证前景展望
iPhone 安全架构基础
苹果的安全框架建立在硬件强制加密与细粒度访问控制相结合的基础上。该架构即使在设备丢失或被扣押时也能保护用户数据。要理解BFU和AFU状态下数据可访问性的差异，必须考察三个核心组件：安全隔区、基于文件的加密和数据保护类别。
安全隔区处理器（SEP）
安全隔区是苹果片上系统中的独立协处理器，负责处理密码运算、Touch ID/Face ID验证及密钥管理等敏感操作。它运行基于微内核的独立操作系统，并与主处理器隔离。根据《苹果平台安全指南》，这种隔离确保"主操作系统的漏洞不会影响安全隔区处理的敏感操作"。
关键在于，安全隔区控制着存储文件类别密钥的密钥串访问权限。在BFU状态下，SEP会在没有有效用户认证时拒绝解锁这些密钥。
基于文件的加密（FBE）
运行iOS和iPadOS的苹果设备采用基于文件的加密技术，每个文件都使用唯一的文件密钥进行加密。这些文件密钥通过类别密钥进行封装，而类别密钥本身则通过设备硬件UID密钥与用户密码组合加密。这种机制使iOS能根据用户与设备的交互状态实施按文件级别的访问策略。
苹果在《文件系统安全》技术文档中记录了该实现方式，阐述了加密机制如何同时关联硬件环境与用户场景。
iPhone 文件保护级别
苹果定义了多种数据保护类别，根据设备锁定状态和用户交互来决定文件的可访问性。主要包括：
NSFileProtectionNone：无加密；数据在任何时候均可访问。
NSFileProtectionCompleteUntilFirstUserAuthentication：文件在设备启动后首次解锁之前保持加密状态。
NSFileProtectionCompleteUnlessOpen：若文件在设备锁定前已处于打开状态，则仍可访问。
NSFileProtectionComplete：文件仅在设备解锁时才可访问。
这些保护级别由安全隔区（SEP）强制执行，并直接影响文件在 AFU 或 BFU 状态下是否可被访问。
密钥串与钥匙串
密钥串是一个存储加密类别密钥的数据结构，这些密钥受到设备唯一标识符（UID）和用户密码的保护。密钥串内的密钥用于根据其数据保护类别来解密文件。除非安全隔区解锁了密钥串（通常发生在用户首次解锁之后），否则大多数用户数据将无法访问。
钥匙串用于存储密码、证书和令牌等敏感凭证。根据苹果关于密钥串和钥匙串的文档，对钥匙串项目的访问同样受数据保护类别的管控，并且通常限制在 AFU 状态下进行。
AFU 与 BFU 解析
苹果 iOS 设备运行在两种直接影响数据可访问性的关键安全状态下：首次解锁前 Before First Unlock (BFU) 和首次解锁后 After First Unlock (AFU)。这两种状态取决于设备在上次启动后，用户是否输入了有效的密码。理解两者之间的差异对于评估取证采集期间可获取哪些数据至关重要。
什么是 BFU（首次解锁前）？
BFU 状态出现在设备开机或重启后、用户尚未输入密码之时。在此状态下，密钥串中存储的大多数加密密钥仍被安全隔区锁定。因此，对用户数据的访问受到严格限制。即使设备已开机并处于响应状态，大多数个人文件、应用数据和钥匙串项目也都是加密且不可用的。
苹果在其《硬件安全概述》中确认，安全隔区在用户输入密码之前"拒绝释放类别密钥"，从而有效强制执行 BFU 状态。
在 BFU 状态下：
仅能访问受 NSFileProtectionNone 保护或在启动时已存入内存的少量数据。
大多数应用和用户内容保持完全加密。
钥匙串不可访问，除非项目被标记为较低保护级别（这种情况较少见）。
什么是 AFU（首次解锁后）？
一旦用户在启动后首次解锁设备，设备便进入 AFU 状态。此时，安全隔区已完成用户认证，并将密钥串中必要的类别密钥释放到内存中。这些密钥将一直保持可用状态，直到设备重启或自动关机。
苹果在其《数据保护概述》中解释道："在首次解锁之后，设备将维持一种大多数数据均可被访问的状态，直至其关机或重启。"这是正常应用使用和大多数取证提取操作发生的主要状态。
在 AFU 状态下：
受 NSFileProtectionCompleteUntilFirstUserAuthentication 和NSFileProtectionComplete等类别保护的文件变得可访问。
钥匙串（如果未使用仅限生物识别标志）可用于读取安全项目。
后台进程和应用可根据需要访问加密内容。
BFU 与 AFU 两种状态的对比
BFU 状态：高度受限的访问权限
当 iPhone 处于 BFU 状态时，表示设备已开机或重启，但尚未使用密码解锁。在此状态下，安全隔区不会释放访问大多数用户数据所需的解密密钥。根据苹果的《数据保护概述》，受 NSFileProtectionComplete 类别保护的数据在用户解锁设备之前会保持完全加密。
BFU 状态下的关键取证限制：
用户数据（如短信、邮件、照片）无法访问。
钥匙串被安全隔区密封，无法查询。
配对记录、Wi-Fi设置和网络配置文件受到保护且不可用。
正如苹果文档所述，这些信息在"完全保护"类别下被加密，仅在首次解锁后才可访问：密钥串与钥匙串 – 苹果
仅能有限访问未加密分区（例如系统文件、部分日志）。
只有归类于 NSFileProtectionNone（很少使用）的数据可能可读——例如有限的系统日志或崩溃报告。
因此，在 BFU 状态下无法进行全盘或逻辑提取。取而代之的是，此状态下的取证响应通常侧重于：
保护设备状态：隔离网络、防止关机并维持电力。
捕获基本设备元数据：序列号、型号、操作系统版本、启动状态。
检查非用户分区：例如iBoot或SEP固件，用于设备画像分析。
AFU 状态：对用户数据的条件性访问
一旦设备在启动后被解锁，它便过渡到AFU状态。在此状态下，安全隔区会释放许多文件和钥匙串项目的解密密钥。大多数用户数据变得可访问，前提是设备保持解锁且通电状态。
AFU 状态下可获取的数据：
设备信息（型号、名称、序列号、iOS版本、电池信息、存储使用情况、运行时间）
应用列表（已安装的应用程序、应用包标识符和版本）
部分应用数据- 非完全受保护的数据（一些缓存或临时文件、使用NSFileProtectionCompleteUntilFirstUserAuthentication存储数据的应用容器）
系统日志（可使用idevicesyslog实时获取日志流、崩溃日志、内核恐慌、诊断数据——取决于iOS版本）
Wi-Fi与蓝牙信息（已知的无线设备、先前连接过的网络）
网络设置（VPN配置、IP地址和路由信息、移动网络信息）
然而，如果设备重启或超过一段无活动时间（根据苹果的无活动保护规则定义），它将返回BFU状态，重新密封加密数据。
闲置重启功能：取证风险
对取证访问的一个关键影响是闲置重启安全功能，苹果引入此功能是为了在手机看似"可用"时仍能保护数据。
如果 iPhone 在设定时间段内（例如，6.5天内未解锁且持续4小时无活动）未被解锁，安全隔区会自动撤销对先前已释放密钥的访问权限。
因此，即使设备没有重启，它也会转换回类似 BFU 的状态。
iPhone 取证前景展望
随着苹果通过基于硬件的加密和数据保护类别持续将用户隐私置于优先地位，iPhone 取证面临着日益复杂的技术和法律挑战。BFU（首次解锁前）和AFU（首次解锁后）状态之间的区别，依旧是理解"何时可以获取何种证据"的核心所在。
在 BFU 状态下，大多数用户数据——包括网络设置、配对设备记录和应用内容——由于加密密钥存储在安全隔区而保持密封且不可访问。在没有密码或生物识别解锁的情况下，仅能收集最基础的系统元数据。相比之下，AFU 状态提供了一个机会窗口，在此窗口期内某些数据会暂时变得可访问，但即便如此，也受到如闲置重启机制等有时限的保护措施制约。
对于取证分析师而言，这意味着时机把握、合法授权以及恰当的保全技术变得比以往任何时候都更加关键。未来的调查可能会越来越依赖于：
在 AFU 窗口期内工作的基于代理的取证工具，
合法的漏洞利用技术（例如，基于安全隔区的漏洞利用），
对系统日志和元数据进行的信任链分析，
与设备管理系统协作以及向苹果提出合法数据请求。
与此同时，预计苹果将继续加强 iOS 的安全性，减少未加密的元数据，并进一步限制访问权限——这符合业界向零访问架构发展的更广泛趋势。
最终，对于数字取证或移动安全领域的从业者而言，紧跟苹果不断更新的《平台安全指南》并采用适应性强的工作流程至关重要。