1Jul
iPhone i Mac s dodirnim ID-om ili ID licem koriste zasebni procesor za obradu biometrijskih podataka. To se naziva Secure Enclave, u osnovi je čitavo računalo za sebe i nudi niz sigurnosnih značajki.
Sigurno enklavo se izvodi odvojeno od ostatka vašeg uređaja. Pokreće vlastiti mikrokernel, koji nije izravno dostupan vašem operativnom sustavu ili programima koji se izvode na vašem uređaju. Postoji 4MB flashable pohrane, koja se koristi isključivo za pohranjivanje privatnih ključeva 256-bitne eliptičke krivulje. Ti su ključevi jedinstveni na vašem uređaju i nikada se ne sinkroniziraju s oblakom niti se izravno vide primarnim operativnim sustavom vašeg uređaja. Umjesto toga, sustav pita Secure Enclave da dekriptira podatke pomoću tipki.
Zašto postoji sigurna enklava?
Secure Enclave čini hakerima vrlo teško dešifrirati osjetljive podatke bez fizičkog pristupa vašem uređaju. Budući da je Secure Enclave zasebni sustav i zato što vaš primarni operativni sustav nikada zapravo ne vidi ključeve za dešifriranje, nevjerojatno je teško dešifrirati vaše podatke bez odgovarajućeg odobrenja.
Važno je napomenuti da vaše biometrijske informacije nisu pohranjene na Secure Enclave;4MB nema dovoljno prostora za pohranu za sve te podatke. Umjesto toga, enklava pohranjuje ključeve za enkripciju koji se koriste za zaključavanje biometrijskih podataka.
Programi treće strane također mogu stvarati i pohranjivati ključeve u enklavi kako bi zaključali podatke, ali aplikacije nikad nemaju pristup ključevima .Umjesto toga, aplikacije postavljaju zahtjeve za sigurnu enklaciju za šifriranje i dešifriranje podataka. To znači da je sve informacije kriptirane korištenjem Enclave nevjerojatno teško dekriptirati na bilo kojem drugom uređaju.
Da biste nabrojali Appleovu dokumentaciju za programere:
Kada pohranite privatni ključ u sigurnom enklavu, nikad se ne možete nositi s ključem, što će otežati da ključ ostane ugrožen. Umjesto toga, poučite Secure Enclave da izradite ključ, sigurno ga pohranite i izvršite operacije s njom. Dobivate samo izlaz tih operacija, poput šifriranih podataka ili ishodom provjere kriptografskog potpisa.
Također je važno napomenuti da Secure Enclave ne može uvoziti ključeve s drugih uređaja: osmišljen je isključivo za stvaranje i korištenje tipki lokalno. To ga čini vrlo teško dešifrirati informacije na bilo kojem uređaju, ali onaj na kojem je stvoren.
Pričekajte, nije li osigurana enklava hakirana?
Sigurno enklavo je kompletno postavljanje i čini život vrlo teško hakerima. No, ne postoji savršena sigurnost i razumno je pretpostaviti da će netko kompromitirati sve ovo na kraju.
U ljeto 2017. oduševljeni hakeri otkrili su da su uspjeli dekriptirati firmware Secure Enclave, potencijalno dajući im uvid u to kako funkcionira enklava. Sigurni smo da bi Apple htio da se to ne dogodi, no valja napomenuti da hakeri još nisu pronašli način dohvaćanja ključeva šifriranja pohranjenih u enklavi: oni su samo dešifrirali sam firmware.
Očistite enklave prije prodaje vašeg Mac
Tipke u sigurnom enklavu na vašem iPhoneu se obrisavaju kada izvršite tvornički resetiranje. U teoriji bi ih trebalo izbrisati i kada ponovo instalirate macOS, ali Apple vam preporučuje da očistite Secure Enclave na vašem Macu ako ste koristili ništa osim službenog mako instalatera.