iPhones och Mac-datorer med Touch ID eller Face ID använder aseparat processor för att hantera din biometriska information. Det kallas Secure Enclave, det är i princip en hel dator för sig själv och den erbjuder en mängd olika säkerhetsfunktioner.
Secure Enclave stövlar separat från restenpå din enhet. Den har sin egen mikrokärna, som inte är direkt åtkomlig av ditt operativsystem eller program som körs på din enhet. Det finns 4 MB flashbar lagring, som uteslutande används för att lagra 256-bitars elliptiska kurva privata nycklar. Dessa nycklar är unika för din enhet och synkroniseras aldrig med molnet eller ens direkt av enhetens primära operativsystem. Istället ber systemet Secure Enclave att dekryptera information med tangenterna.
Varför existerar den säkra enklaven?
Secure Enclave gör det mycket svårt förhackare för att dekryptera känslig information utan fysisk åtkomst till din enhet. Eftersom Secure Enclave är ett separat system, och eftersom ditt primära operativsystem faktiskt aldrig ser dekrypteringsnycklarna, är det oerhört svårt att dekryptera dina data utan korrekt godkännande.
Det är värt att notera att din biometriska informationsjälv lagras inte i Secure Enclave; 4MB är inte tillräckligt med lagringsutrymme för all den informationen. I stället lagrar Enclave krypteringsnycklar som används för att låsa den biometriska informationen.
Tredjepartsprogram kan också skapa och lagra nycklar i enklaven för att låsa ner data men apparna har aldrig tillgång till själva nycklarna. Istället gör appar begäran om Secure Enclave för att kryptera och dekryptera data. Detta betyder att all information som är krypterad med Enclave är oerhört svår att dekryptera på någon annan enhet.
För att citera Apples dokumentation för utvecklare:
När du lagrar en privat nyckel i SecureEnclave, du hanterar aldrig faktiskt nyckeln, vilket gör det svårt för nyckeln att äventyras. Istället instruerar du Secure Enclave att skapa nyckeln, lagra den på ett säkert sätt och utföra åtgärder med den. Du får endast utsignalen från dessa operationer, till exempel krypterad data eller ett kryptografiskt signaturverifieringsresultat.
Det är också värt att notera att Secure Enclavekan inte importera nycklar från andra enheter: den är uteslutande utformad för att skapa och använda nycklar lokalt. Detta gör det mycket svårt att dekryptera information på någon enhet utan den som den skapades på.
Vänta, var inte den säkra enklaven hackad?
Secure Enclave är en detaljerad installation ochgör livet mycket svårt för hackare. Men det finns inget sådant som perfekt säkerhet, och det är rimligt att anta att någon kommer att äventyra allt detta så småningom.
Sommaren 2017, entusiastiska hackareavslöjade att de hade lyckats dekryptera firmware i Secure Enclave, och potentiellt ge dem inblick i hur enklaven fungerar. Vi är säkra på att Apple föredrog att denna läcka inte hade hänt, men det är värt att notera att hackare ännu inte har hittat ett sätt att hämta krypteringsnycklarna lagrade i enklaven: de har bara dekrypterat själva firmware.
Rengör enklaven innan du säljer din Mac
RELATERAD: Hur du rensar MacBooks pekfält och säkra enklavadata
Nycklar i den säkra enklaven på din iPhone ärtorkas när du utför en fabriksåterställning. I teorin bör de också rensas när du installerar om macOS, men Apple rekommenderar att du rensar Secure Enclave på din Mac om du använde något annat än det officiella macOS-installationsprogrammet.
