Telefony iPhone a Mac s funkcí Touch ID nebo Face ID používají asamostatný procesor pro zpracování vašich biometrických informací. Říká se tomu Secure Enclave, je to v podstatě celý počítač sám o sobě a nabízí celou řadu bezpečnostních funkcí.
Secure Enclave se zavádí odděleně od ostatníchvašeho zařízení. Provozuje vlastní mikrok jádro, které není přímo přístupné vaším operačním systémem ani programy běžícími na vašem zařízení. K dispozici je 4 MB úložiště flash, které se používá výhradně k ukládání 256bitových soukromých klíčů eliptické křivky. Tyto klíče jsou jedinečné pro vaše zařízení a nikdy nejsou synchronizovány s cloudem nebo dokonce přímo viděny primárním operačním systémem vašeho zařízení. Místo toho systém požádá Secure Enclave o dešifrování informací pomocí klíčů.
Proč existuje zabezpečená enkláva?
Secure Enclave je velmi obtížnéhackerům dešifrovat citlivé informace bez fyzického přístupu k vašemu zařízení. Protože Secure Enclave je samostatný systém a protože váš primární operační systém nikdy dešifrovací klíče nikdy nevidí, je neuvěřitelně obtížné dešifrovat vaše data bez řádného oprávnění.
Stojí za zmínku, že vaše biometrické informacesama o sobě není uložena na zabezpečené enklávě; 4 MB není dostatek úložného prostoru pro všechna tato data. Místo toho Enclave ukládá šifrovací klíče používané k uzamčení biometrických dat.
Programy třetích stran mohou také vytvářet a ukládat klíče do enklávy pro uzamčení dat, ale aplikací nikdy mít přístup ke klíčům samotným. Místo toho aplikace žádají, aby Secure Enclave šifrovala a dešifrovala data. To znamená, že jakékoli informace zašifrované pomocí Enclave je neuvěřitelně obtížné dešifrovat na jakémkoli jiném zařízení.
Citace dokumentace společnosti Apple pro vývojáře:
Když uložíte soukromý klíč do ZabezpečeníEnkláve, nikdy s klávesou nikdy nezacházíš, takže je obtížné, aby byl klíč kompromitován. Místo toho vydáte pokyn Secure Enclave, aby vytvořil klíč, bezpečně jej uložil a provedl s ním operace. Obdržíte pouze výstup z těchto operací, jako jsou šifrovaná data nebo výsledek ověření kryptografického podpisu.
Za zmínku také stojí, že Secure Enclavenelze importovat klíče z jiných zařízení: je určen výhradně k vytváření a používání klíčů na místní úrovni. To velmi ztěžuje dešifrování informací na jakémkoli zařízení kromě toho, na kterém bylo vytvořeno.
Počkejte, nebyl hacknut zabezpečený enkláva?
Secure Enclave je komplikované nastavení ahackerům velmi ztěžuje život. Neexistuje však nic takového jako dokonalá bezpečnost a je rozumné předpokládat, že to někdo kompromituje.
V létě 2017 nadšenci hackerůodhalili, že se jim podařilo dešifrovat firmware Secure Enclave, což jim potenciálně umožnilo nahlédnout do toho, jak enkláva funguje. Jsme si jisti, že Apple by upřednostnil tento únik, pokud by se tak nestalo, ale stojí za zmínku, že hackeři zatím nenašli způsob, jak načíst šifrovací klíče uložené na enklávě: pouze dešifrovali samotný firmware.
Před prodejem počítače Mac vyčistěte Enclave
PŘÍBUZNÝ: Jak vyčistit dotykový panel MacBooku a zabezpečená data z enklávy
Klávesy v zabezpečené enklávě na vašem iPhone jsouvymazán, když provedete tovární reset. Teoreticky by také měly být vyčištěny, když přeinstalujete MacOS, ale Apple doporučuje vyčistit Secure Enclave na vašem Macu, pokud jste použili něco jiného než oficiálního instalátoru macOS.
