データ保護 API は、キーチェーンに含まれるアイテムとファイル システム上に保存されているファイルをアクセス可能にする必要がある場合に、アプリケーションが宣言するように設計されています。NSFileManager、CoreData、NSData、SQLite など、大半のファイルやデータベース API で利用可能です。4 つの保護クラスのいずれかを特定のリソースに指定することで、開発者は基盤ファイル システムに、デバイスの UID とユーザーのパスワードの両方から導出された鍵を使用するか、デバイスの UID のみに基づく鍵を使用してその保護クラスを暗号化するように (さらに自動でそれを復号化するタイミングも) 指示できます。

データ保護クラスは NSFileManager に定数として定義されます。つまり、NSFileManager インスタンスと関連付けられた NSDictionary に NSFileProtectionKey 鍵の値として割り当てられることになります。またファイルを作成するか、あるいは setAttributes:ofItemAtPath:error:、attributesOfItemAtPath:error:、createFileAtPath:contents:attributes: などの NSFileManager 関数を使用して変更されるデータ保護クラスをファイルに含めることができます。さらに、対応するデータ保護定数は NSData オブジェクトに NSDataWritingOptions として定義され、これを options 引数として NSData 関数 writeToURL:options:error: および writeToFile:options:error: に渡すことができます。NSFileManager および NSData の各種データ保護クラス定数の定義を以下に示します。

-NSFileProtectionComplete, NSDataWritingFileProtectionComplete:
ディスク上に暗号化された形式で保存されるリソースでは、デバイスがロックされているかデバイスのブート中に、そのリソースへの読み書きはできません。
iOS 4.0 以降で使用できます。
-NSFileProtectionCompleteUnlessOpen, NSDataWritingFileProtectionCompleteUnlessOpen:
リソースは、暗号化された形式でディスクに保存されます。リソースは、デバイスがロックされている状態で作成できますが、一度閉じるとデバイスをロック解除するまで再び開くことはできません。ロックを解除してリソースを開くと、ユーザーがデバイスをロックしてもリソースへのアクセスを通常どおりに続行できます。
iOS 5.0 以降で使用できます。
-NSFileProtectionCompleteUntilFirstUserAuthentication, NSDataWritingFileProtectionCompleteUntilFirstUserAuthentication:
リソースは暗号化された形式でディスク上に保存され、デバイスがブートするまではアクセスできません。ユーザーが初めてデバイスをロック解除すると、アプリはリソースにアクセスし、その後ユーザーがデバイスをロックしてもアクセスを続行できます。
iOS 5.0 以降で使用できます。
-NSFileProtectionNone, NSDataWritingFileProtectionNone:
リソースにはそれに関連する特別な保護はありません。いつでもリソースへの読み書きを実行できます。
iOS 4.0 以降で使用できます。

このため、ファイルを NSFileProtectionCompleteUnlessOpen または NSFileProtectionCompleteUntilFirstUserAuthentication でマーキングすると、ユーザーのパスワードとデバイスの UID から導出された鍵を使用してファイルを暗号化できる一方、データは特定の状況下でアクセス可能のままになります。このように、NSFileProtectionCompleteUnlessOpen または NSFileProtectionCompleteUntilFirstUserAuthentication の使用方法については慎重に検証し、今後も NSFileProtectionComplete による保護が保証されるかどうかを見極める必要があります。

例 1: 以下の例では、所定のファイルはユーザーがデバイスの電源をオンにして初回のパスワードを入力するまでに限り保護されます (次の再起動まで)。

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSDictionary *protection = [NSDictionary dictionaryWithObject:NSFileProtectionCompleteUntilFirstUserAuthentication forKey:NSFileProtectionKey];
...
[[NSFileManager defaultManager] setAttributes:protection ofItemAtPath:filepath error:nil];
...
BOOL ok = [testToWrite writeToFile:filepath atomically:YES encoding:NSUnicodeStringEncoding error:&err];
...

例 2: 以下の例では、所定のデータはユーザーがデバイスの電源をオンにして初回のパスワードを入力するまでに限り保護されます (次の再起動まで)。

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSData *textData = [textToWrite dataUsingEncoding:NSUnicodeStingEncoding];
...
BOOL ok = [textData writeToFile:filepath options:NSDataWritingFileProtectionCompleteUntilFirstUserAuthentication error:&err];
...

キーチェーンのアクセシビリティ定数は、キーチェーンのアイテムにアクセスできる必要がある場合に、アプリケーションが宣言できるように設計されています。特定のキーチェーン アイテムにいずれかのアクセシビリティ定数を指定することで、開発者は基盤ファイル システムに、デバイスの UID とユーザーのパスコードの両方から導出された鍵を使用するか、デバイスの UID のみに基づく鍵を使用してそのキーチェーン アイテムを暗号化するように (さらに自動で復号化するタイミングも) 指示できます。

キーチェーン アクセシビリティ定数は、キーチェーン属性ディクショナリの kSecAttrAccessible キーの値として割り当てる必要があります。さまざまなキーチェーン アクセシビリティ定数の定義を以下に示します。

-kSecAttrAccessibleAfterFirstUnlock:
ユーザーによってデバイスがロック解除されるまで、再起動後はキーチェーン アイテムのデータにアクセスできません。
最初のロック解除後、次回の再起動までデータはアクセス可能なままです。これは、バックグラウンド アプリケーションでアクセスする必要のあるアイテムに推奨されます。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
ユーザーによってデバイスがロック解除されるまで、再起動後はキーチェーン アイテムのデータにアクセスできません。
最初のロック解除後、次回の再起動までデータはアクセス可能なままです。これは、バックグラウンド アプリケーションでアクセスする必要のあるアイテムに推奨されます。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleAlways:
デバイスがロックされているかどうかに関係なく、常にキーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションでの使用には推奨されません。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
デバイスがロック解除されている場合のみ、キーチェーンのデータにアクセスできます。デバイスにパスコードが設定されている場合にのみ使用できます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。この属性を持つアイテムが新しいデバイスに移行されることはありません。バックアップを新しいデバイスにリストアすると、これらのアイテムは失われます。パスコードなしに、デバイス上でこのクラスにアイテムを格納することはできません。デバイスのパスコードを無効にすると、このクラスのすべてのアイテムが削除されます。
iOS 8.0 以降で使用できます。

-kSecAttrAccessibleAlwaysThisDeviceOnly:
デバイスがロックされているかどうかに関係なく、常にキーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションでの使用には推奨されません。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenUnlocked:
デバイスがユーザーによってロック解除されている間のみ、キーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
これは、アクセシビリティ定数を明示的に設定せずに追加されたキーチェーン アイテムのデフォルト値です。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
デバイスがユーザーによってロック解除されている間のみ、キーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

このため、キーチェーン アイテムを kSecAttrAccessibleAfterFirstUnlock でマーキングすると、ユーザーのパスコードとデバイスの UID から導出された鍵を使用してファイルを暗号化できる一方、データは特定の状況下でアクセス可能のままになります。このように、kSecAttrAccessibleAfterFirstUnlock の使用方法については慎重に検証し、今後も保護が保証されるかどうかを見極める必要があります。

例 1: 以下の例では、所定のキーチェーン アイテムはユーザーがデバイスの電源をオンにして初回のパスコードを入力するまでに限り保護されます (次の再起動まで)。

...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure KeyChain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...
    [dict setObject:(__bridge id)kSecAttrAccessibleAfterFirstUnlock forKey:(__bridge id) kSecAttrAccessible];

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...

データ保護 API は、キーチェーンに含まれるアイテムとファイル システム上に保存されているファイルをアクセス可能にする必要がある場合に、アプリケーションが宣言するように設計されています。NSFileManager、CoreData、NSData、SQLite など、大半のファイルやデータベース API で利用可能です。4 つの保護クラスのいずれかを特定のリソースに指定することで、開発者は基盤ファイル システムに、デバイスの UID とユーザーのパスワードの両方から導出された鍵を使用するか、デバイスの UID のみに基づく鍵を使用してその保護クラスを暗号化するように (さらに自動でそれを復号化するタイミングも) 指示できます。

データ保護クラスは NSFileManager に定数として定義されます。つまり、NSFileManager インスタンスと関連付けられた NSDictionary に NSFileProtectionKey 鍵の値として割り当てられることになります。またファイルを作成するか、あるいは setAttributes:ofItemAtPath:error:、attributesOfItemAtPath:error:、createFileAtPath:contents:attributes: などの NSFileManager 関数を使用して変更されるデータ保護クラスをファイルに含めることができます。さらに、対応するデータ保護定数は NSData オブジェクトに NSDataWritingOptions として定義され、これを options 引数として NSData 関数 writeToURL:options:error: および writeToFile:options:error: に渡すことができます。NSFileManager および NSData の各種データ保護クラス定数の定義を以下に示します。

-NSFileProtectionComplete, NSDataWritingFileProtectionComplete:
ディスク上に暗号化された形式で保存されるリソースでは、デバイスがロックされているかデバイスのブート中に、そのリソースへの読み書きはできません。
iOS 4.0 以降で使用できます。
-NSFileProtectionCompleteUnlessOpen, NSDataWritingFileProtectionCompleteUnlessOpen:
リソースは、暗号化された形式でディスクに保存されます。リソースは、デバイスがロックされている状態で作成できますが、一度閉じるとデバイスをロック解除するまで再び開くことはできません。ロックを解除してリソースを開くと、ユーザーがデバイスをロックしてもリソースへのアクセスを通常どおりに続行できます。
iOS 5.0 以降で使用できます。
-NSFileProtectionCompleteUntilFirstUserAuthentication, NSDataWritingFileProtectionCompleteUntilFirstUserAuthentication:
リソースは暗号化された形式でディスク上に保存され、デバイスがブートするまではアクセスできません。ユーザーが初めてデバイスをロック解除すると、アプリはリソースにアクセスし、その後ユーザーがデバイスをロックしてもアクセスを続行できます。
iOS 5.0 以降で使用できます。
-NSFileProtectionNone, NSDataWritingFileProtectionNone:
リソースにはそれに関連する特別な保護はありません。いつでもリソースへの読み書きを実行できます。
iOS 4.0 以降で使用できます。

iOS デバイス上にあるすべてのファイル (データ保護クラスの明示的な割り当てを持たないファイルも含む) は暗号化された形式で保存されますが、NSFileProtectionNone を指定すると、デバイスの UID のみに基づいて導出された鍵が暗号化に使用されます。これにより、デバイスの電源が入っているときはパスワードでロックされているときや起動時を含み、これらのファイルが常にアクセス可能になります。このため、NSFileProtectionNone の使用については慎重に検証し、今後もより厳格なデータ保護クラスによる保護が保証されることを見極める必要があります。

例 1: 次の例では、所定のファイルが保護されていません (デバイスの電源がオンのとき常にアクセス可能)。

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSDictionary *protection = [NSDictionary dictionaryWithObject:NSFileProtectionNone forKey:NSFileProtectionKey];
...
[[NSFileManager defaultManager] setAttributes:protection ofItemAtPath:filepath error:nil];
...
BOOL ok = [testToWrite writeToFile:filepath atomically:YES encoding:NSUnicodeStringEncoding error:&err];
...

例 2: 次の例では、所定のデータが保護されていません (デバイスの電源がオンのとき常にアクセス可能)。

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSData *textData = [textToWrite dataUsingEncoding:NSUnicodeStingEncoding];
...
BOOL ok = [textData writeToFile:filepath options:NSDataWritingFileProtectionNone error:&err];
...

キーチェーンのアクセシビリティ定数は、キーチェーンのアイテムにアクセスできる必要がある場合に、アプリケーションが宣言できるように設計されています。特定のキーチェーン アイテムにいずれかのアクセシビリティ定数を指定することで、開発者は基盤ファイル システムに、デバイスの UID とユーザーのパスコードの両方から導出された鍵を使用するか、デバイスの UID のみに基づく鍵を使用してそのキーチェーン アイテムを暗号化するように (さらに自動で復号化するタイミングも) 指示できます。

キーチェーン アクセシビリティ定数は、キーチェーン属性ディクショナリの kSecAttrAccessible キーの値として割り当てる必要があります。さまざまなキーチェーン アクセシビリティ定数の定義を以下に示します。

-kSecAttrAccessibleAfterFirstUnlock:
ユーザーによってデバイスがロック解除されるまで、再起動後はキーチェーン アイテムのデータにアクセスできません。
最初のロック解除後、次回の再起動までデータはアクセス可能なままです。これは、バックグラウンド アプリケーションでアクセスする必要のあるアイテムに推奨されます。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
ユーザーによってデバイスがロック解除されるまで、再起動後はキーチェーン アイテムのデータにアクセスできません。
最初のロック解除後、次回の再起動までデータはアクセス可能なままです。これは、バックグラウンド アプリケーションでアクセスする必要のあるアイテムに推奨されます。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleAlways:
デバイスがロックされているかどうかに関係なく、常にキーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションでの使用には推奨されません。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
デバイスがロック解除されている場合のみ、キーチェーンのデータにアクセスできます。デバイスにパスコードが設定されている場合にのみ使用できます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。この属性を持つアイテムが新しいデバイスに移行されることはありません。バックアップを新しいデバイスにリストアすると、これらのアイテムは失われます。パスコードなしに、デバイス上でこのクラスにアイテムを格納することはできません。デバイスのパスコードを無効にすると、このクラスのすべてのアイテムが削除されます。
iOS 8.0 以降で使用できます。

-kSecAttrAccessibleAlwaysThisDeviceOnly:
デバイスがロックされているかどうかに関係なく、常にキーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションでの使用には推奨されません。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenUnlocked:
デバイスがユーザーによってロック解除されている間のみ、キーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
これは、アクセシビリティ定数を明示的に設定せずに追加されたキーチェーン アイテムのデフォルト値です。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
デバイスがユーザーによってロック解除されている間のみ、キーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

iOS デバイス上にあるすべてのファイル (キーチェーン アクセシビリティ定数の明示的な割り当てを持たないファイルも含む) は暗号化された形式で保存されますが、kSecAttrAccessibleAlways を指定すると、デバイスの UID のみに基づいて導出された鍵が暗号化に使用されます。これにより、デバイスの電源が入っているときはパスワードでロックされているときや起動時を含み、これらのファイルが常にアクセス可能になります。このため、kSecAttrAccessibleAlways の使用については慎重に検証し、今後もより厳格なキーチェーン アクセシビリティ レベルによる保護が保証されることを見極める必要があります。

例 1: 次の例では、所定のファイルが保護されていません (デバイスの電源がオンのとき常にアクセス可能)。

...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure KeyChain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...
    [dict setObject:(__bridge id)kSecAttrAccessibleAlways forKey:(__bridge id) kSecAttrAccessible];

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...

アプリケーション ファイルは、ルート化されているデバイス上または暗号化されていないバックアップ内の他のアプリケーションからアクセスできます。ユーザーが自分のデバイスをジェイルブレイクしたり、暗号化されていないバックアップを実行したりする可能性があるため、ベスト プラクティスとして機密データを含むデータベースを暗号化します。

例 1: 次のコードは、暗号化されていない Realm データベースへの接続を確立します。

    Realm realm = Realm.getDefaultInstance();

iOS のフォト アルバムに保存されるファイルは、誰でも読み取りが可能であり、デバイス上の任意のアプリケーションからアクセスできます。これにより、攻撃者が、モバイル小切手預金で使用する小切手の画像など、機密性の高い写真を盗み出す可能性が生じます。

例 1: 次のコードは、UIImageWriteToSavedPhotosAlbum を使用して画像をフォト アルバムに保存します。

- (void) imagePickerController:(UIImagePickerController *)picker didFinishPickingMediaWithInfo:(NSDictionary *)info
{
	// Access the uncropped image from info dictionary
	UIImage *image = [info objectForKey:UIImagePickerControllerOriginalImage];

  // Save image
  UIImageWriteToSavedPhotosAlbum(image, self, @selector(image:didFinishSavingWithError:contextInfo:), nil);

	...
}

キーチェーンのアクセシビリティ レベルは、キーチェーン アイテムが復号化されてアプリケーションで使用できるようになる時期を指定します。設定できるアクセシビリティ レベルは次のとおりです。

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
ユーザーによってデバイスがロック解除されるまで、再起動後はキーチェーン アイテムのデータにアクセスできません。
最初のロック解除後、次回の再起動までデータはアクセス可能なままです。これは、バックグラウンド アプリケーションでアクセスする必要のあるアイテムに推奨されます。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleAlways:
デバイスがロックされているかどうかに関係なく、常にキーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションでの使用には推奨されません。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
デバイスがロック解除されている場合のみ、キーチェーンのデータにアクセスできます。デバイスにパスコードが設定されている場合にのみ使用できます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。この属性を持つアイテムが新しいデバイスに移行されることはありません。バックアップを新しいデバイスにリストアすると、これらのアイテムは失われます。パスコードなしに、デバイス上でこのクラスにアイテムを格納することはできません。デバイスのパスコードを無効にすると、このクラスのすべてのアイテムが削除されます。
iOS 8.0 以降で使用できます。

-kSecAttrAccessibleAlwaysThisDeviceOnly:
デバイスがロックされているかどうかに関係なく、常にキーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションでの使用には推奨されません。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenUnlocked:
デバイスがユーザーによってロック解除されている間のみ、キーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
これは、アクセシビリティ定数を明示的に設定せずに追加されたキーチェーン アイテムのデフォルト値です。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
デバイスがユーザーによってロック解除されている間のみ、キーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

キーチェーン アイテムが kSecAttrAccessibleWhenUnlocked のような合理的にセキュアなポリシーで格納される場合、デバイスが盗まれ、パスコードが設定されていた場合、盗んだ人はキーチェーン アイテムを復号化するためにデバイスをロック解除する必要があります。正しいパスコードを入力できない場合、盗んだ人はキーチェーン アイテムを復号化できません。ただし、パスコードが設定されていない場合、攻撃者は指をスライドさせるだけでデバイスをロック解除し、キーチェーン アイテムを復号化できます。このため、デバイスでのパスコードの設定を強制できない場合、キーチェーン暗号化メカニズムが脆弱になる可能性があります。

例 1: 次の例では、デバイスの電源を入れてロック解除するとき以外は、キーチェーンのアイテムが常に保護されていますが、デバイスにパスコードが設定されていない場合も使用できます。

...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure KeyChain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...
    [dict setObject:(__bridge id)kSecAttrAccessibleWhenUnlockedThisDeviceOnly forKey:(__bridge id) kSecAttrAccessible];

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...