1Jul
iPhony a počítače Mac s dotykovým ID alebo identifikátorom tváre používajú na spracovanie biometrických informácií samostatný procesor. Nazýva sa to Secure Enclave, je to v podstate celý počítač pre seba a ponúka množstvo bezpečnostných funkcií.
Secure Enclave sa spúšťa oddelene od zvyšku vášho zariadenia. Spravuje vlastný mikrokernel, ktorý nie je priamo dostupný vášmu operačným systémom ani žiadnym programom bežiacim vo vašom zariadení.K dispozícii je 4MB pamäťového úložiska, ktoré sa používa výlučne na ukladanie súkromných kľúčov s 256-bitovou eliptickou krivkou. Tieto kľúče sú jedinečné pre vaše zariadenie a nie sú nikdy synchronizované s mrakom alebo dokonca priamo viditeľné v primárnom operačnom systéme vášho zariadenia. Namiesto toho systém vyzve Secure Enclave na dešifrovanie informácií pomocou klávesov.
Prečo existuje zabezpečená enkláva?
Secure Enclave veľmi sťažuje hackerov, aby dešifrovali citlivé informácie bez fyzického prístupu k vášmu zariadeniu. Vzhľadom k tomu, že Secure Enclave je samostatný systém a pretože váš hlavný operačný systém nikdy nevidí dešifrovacie kľúče, je neuveriteľne ťažké dešifrovať vaše údaje bez riadnej autorizácie.
Stojí za zmienku, že vaše biometrické informácie samotné nie sú uložené v Secure Enclave;4MB nie je dostatok úložného priestoru pre všetky tieto údaje. Namiesto toho Enclave ukladá šifrovacie kľúče, ktoré sa používajú na uzamknutie biometrických údajov.
Programy tretích strán môžu tiež vytvárať a ukladať kľúče v enkláve na uzamknutie dát, ale aplikácie nikdy nemajú prístup k samotným kľúčom .Aplikácie namiesto toho žiadajú, aby zabezpečená enkláva šifrovala a dešifrovala údaje. Znamená to, že akékoľvek informácie šifrované pomocou Enclave je neuveriteľne ťažké dešifrovať na akomkoľvek inom zariadení.
Citovať dokumentáciu spoločnosti Apple pre vývojárov:
Keď uložíte súkromný kľúč do Secure Enclave, v skutočnosti nikdy nedodržíte kľúč, čo sťažuje, aby sa kľúč zhoršil. Namiesto toho môžete pokyn Secure Enclave vytvoriť kľúč, bezpečne uložiť a vykonávať operácie s ním. Zobrazuje sa iba výstup z týchto operácií, ako sú šifrované dáta alebo výsledok overenia kryptografického podpisu.
Je tiež potrebné poznamenať, že Secure Enclave nemôže importovať kľúče od iných zariadení: je určený výlučne na lokálne vytváranie a používanie kľúčov. Tým je veľmi ťažké dešifrovať informácie o akomkoľvek zariadení, ale o tom, na ktorom bol vytvorený.
Počkajte, nebola bezpečná enkláva napadnutá?
Secure Enclave je komplikované nastavenie a robí život pre hackerov veľmi ťažké.Ale neexistuje nič také ako dokonalá bezpečnosť a je rozumné predpokladať, že niekto to nakoniec kompromisuje.
V lete roku 2017 nadšené hackeri odhalili, že sa im podarilo dešifrovať firmvér Secure Enclave a potenciálne im poskytnúť prehľad o fungovaní enklávy. Sme si istí, že Apple by uprednostnil tento únik, čo sa nestalo, ale stojí za to poznamenať, že hackeri ešte nenašli spôsob, ako získať šifrovacie kľúče uložené v enkláve: deaktivovali iba samotný firmware.
Vyčistite enklávu pred predajom vašich Mac
Kľúče v Secure Enclave na vašom iPhone sú vymazané, keď vykonáte továrenský reset. Teoreticky by sa mali vyriešiť aj pri preinštalovaní systému MacOS, ale spoločnosť Apple odporúča vyčistiť bezpečný enkláv na počítači Mac, ak ste použili niečo iné ako oficiálny inštalátor systému MacOS.
