1Jul
iPhone i Mac z Touch ID lub Face ID używają osobnego procesora do obsługi informacji biometrycznych. Nazywa się to Bezpieczną Enklawą, jest to w zasadzie cały komputer sam w sobie i oferuje wiele funkcji bezpieczeństwa.
Bezpieczna enklawa jest uruchamiana oddzielnie od reszty urządzenia. Działa on z własnym mikrojądrem, który nie jest bezpośrednio dostępny w twoim systemie operacyjnym lub żadnych programach działających na twoim urządzeniu. Jest 4 MB pamięci flash, która służy wyłącznie do przechowywania kluczy elektronicznych 256-bitowych krzywych eliptycznych. Te klucze są unikalne dla Twojego urządzenia i nigdy nie są zsynchronizowane z chmurą ani nawet bezpośrednio widziane przez podstawowy system operacyjny urządzenia. Zamiast tego system prosi Bezpieczną Enklawę o odszyfrowanie informacji za pomocą kluczy.
Dlaczego istnieje bezpieczna enklawa?
Bezpieczna enklawa utrudnia hakerom odszyfrowywanie wrażliwych informacji bez fizycznego dostępu do urządzenia. Ponieważ Secure Enclave jest oddzielnym systemem, a podstawowy system operacyjny nigdy nie widzi kluczy odszyfrowywania, niezwykle trudno jest odszyfrować dane bez odpowiedniej autoryzacji.
Warto zauważyć, że twoje dane biometryczne nie są przechowywane w bezpiecznej enklawie;4 MB to za mało miejsca na dane. Zamiast tego Enklawa przechowuje klucze szyfrowania używane do blokowania danych biometrycznych.
Programy innych firm mogą również tworzyć i przechowywać klucze w enklawie, aby blokować dane, ale aplikacje nigdy nie mają dostępu do samych kluczy .Zamiast tego aplikacje wysyłają żądania dotyczące bezpiecznej enklawy do szyfrowania i odszyfrowywania danych. Oznacza to, że wszelkie informacje zaszyfrowane za pomocą Enklawy są niezwykle trudne do odszyfrowania na dowolnym innym urządzeniu.
Aby zacytować dokumentację Apple dla programistów:
Gdy przechowujesz klucz prywatny w bezpiecznej enklawie, nigdy nie poradzisz sobie z kluczem, co utrudnia złamanie klucza. Zamiast tego polecasz Bezpiecznej Enklawie, aby utworzyła klucz, bezpiecznie go przechowała i wykonała z nim operacje. Otrzymujesz tylko dane wyjściowe tych operacji, takie jak zaszyfrowane dane lub wynik weryfikacji podpisu kryptograficznego.
Warto również zauważyć, że Secure Enclave nie może importować kluczy z innych urządzeń: jest przeznaczony wyłącznie do tworzenia i używania kluczy lokalnie. To sprawia, że bardzo trudno jest odszyfrować informacje na dowolnym urządzeniu, z wyjątkiem tego, na którym zostało utworzone.
Czekaj, czy nie była bezpieczna enklawa zaatakowana?
The Secure Enclave to skomplikowana konfiguracja, która bardzo utrudnia życie hakerom. Ale nie ma czegoś takiego jak perfekcyjne bezpieczeństwo i rozsądne jest założenie, że ktoś ostatecznie skompromituje to wszystko.
Latem 2017 roku entuzjastyczni hakerzy ujawnili, że zdołali odszyfrować oprogramowanie wbudowane Secure Enclave, co potencjalnie dało im wgląd w sposób działania enklawy. Jesteśmy pewni, że Apple wolałby, aby ten wyciek się nie wydarzył, ale warto zauważyć, że hakerzy nie znaleźli jeszcze sposobu na odzyskanie kluczy szyfrowania przechowywanych w enklawie: odszyfrowali jedynie oprogramowanie układowe.
Wyczyść enklawę przed sprzedażą komputera Mac
Klucze w bezpiecznej enklawie na Twoim iPhonie są wycierane po przywróceniu ustawień fabrycznych. Teoretycznie powinny one zostać usunięte po ponownym zainstalowaniu systemu MacOS, ale Apple zaleca wyczyszczenie bezpiecznej enklawy na komputerze Mac, jeśli korzystałeś z czegokolwiek innego niż oficjalny instalator macOS.