1Jul
iPhony a počítače Mac s dotykovým ID nebo identifikátorem obličeje používají samostatný procesor pro zpracování biometrických informací.Říká se tomu Secure Enclave, je to v podstatě celý počítač samo o sobě a nabízí řadu bezpečnostních prvků.
Secure Enclave se spouští odděleně od zbytku zařízení.Spouští vlastní microkernel, který není přímo přístupný vašemu operačnímu systému nebo jakýmkoli programům spuštěným ve vašem zařízení.K dispozici je 4MB paměťového úložiště, které se používá výhradně k ukládání soukromých klíčů s 256bitovými eliptickými křivkami. Tyto klávesy jsou jedinečné pro vaše zařízení a nikdy se nesynchronizují s mrakem, ani přímo viděné v primárním operačním systému vašeho zařízení.Namísto toho systém požádá Secure Enclave o dešifrování informací pomocí tlačítek.
Proč existuje zabezpečená enkláva?
Bezpečná enkláva dělá pro hackery velmi obtížné dešifrovat citlivé informace bez fyzického přístupu k vašemu zařízení.Vzhledem k tomu, že Secure Enclave je samostatný systém a protože váš primární operační systém nikdy nevidí dešifrovací klíče, je neuvěřitelně obtížné dešifrovat data bez řádné autorizace.
Stojí za zmínku, že vaše biometrické informace samy o sobě nejsou uloženy v Secure Enclave;4MB není dostatek úložného prostoru pro všechna tato data. Místo toho Enclave ukládá šifrovací klíče, které slouží k uzamčení biometrických dat.
Programy třetích stran mohou také vytvářet a ukládat klíče v enklávě k uzamčení dat, ale aplikace nikdy nemají přístup k samotným klíči .Místo toho aplikace žádají, aby šifrování a dešifrování dat pro Secure Enclave. To znamená, že jakékoli informace šifrované pomocí Enclave jsou neuvěřitelně obtížné dešifrovat na libovolném jiném zařízení.
Citovat dokumentaci společnosti Apple pro vývojáře:
Když uložíte soukromý klíč v prostředí Secure Enclave, ve skutečnosti nikdy nezaberete klíč, takže je obtížné, aby klíč byl ohrožen. Místo toho instruujete Secure Enclave k vytvoření klíče, bezpečně jej uložit a provést operace s ním. Obdržíte pouze výstup z těchto operací, jako jsou šifrované údaje nebo výsledek ověření kryptografického podpisu.
Je také třeba poznamenat, že Secure Enclave nemůže importovat klíče od jiných zařízení: je určen výhradně k lokálnímu vytváření a používání klíče. To dělá velmi obtížné dešifrovat informace o jakémkoli zařízení, ale o tom, na kterém byl vytvořen.
Počkejte, nebyla bezpečnostní enkláva hacknutá?
Secure Enclave je komplikované nastavení a dělá život pro hackery velmi obtížné.Neexistuje nic takového jako dokonalá bezpečnost a je rozumné předpokládat, že někdo nakonec všechno kompromisuje.
V létě roku 2017 nadšené hackeři odhalili, že se jim podařilo dešifrovat firmware Secure Enclave, což jim dalo možnost nahlédnout do toho, jak funguje enkláva. Jsme si jisti, že Apple by upřednostňoval, že se tento únik nestal, ale stojí za to poznamenat, že hackeři ještě nenalezli způsob, jak získat šifrovací klíče uložené v enklávě: deklarovali pouze samotný firmware.
Vyčistěte enklávu před prodejem vašich počítačů Mac
Keys v prostředí Secure Enclave na vašem iPhone se otírá, když provádíte obnovení továrního nastavení.Teoreticky by měly být také vyloučeny, když přeinstalujete MacOS, ale Apple doporučuje vymazat Secure Enclave na Macu, pokud jste použili cokoliv kromě oficiálního instalátoru MacOS.