iPhone’y i komputery Mac z Touch ID lub Face ID używają oddzielnego procesora do obsługi danych biometrycznych. Nazywa się bezpieczną enklawą, jest to w zasadzie cały komputer sam w sobie i oferuje różnorodne funkcje bezpieczeństwa.
Bezpieczna enklawa uruchamia się oddzielnie od reszty urządzenia. Działa z własnym mikrojądrem, do którego nie ma bezpośredniego dostępu Twój system operacyjny ani żadne programy uruchomione na Twoim urządzeniu. Dostępne są 4 MB pamięci flash, która służy wyłącznie do przechowywania 256-bitowych kluczy prywatnych z krzywą eliptyczną. Te klucze są unikatowe dla Twojego urządzenia i nigdy nie są synchronizowane z chmurą ani nawet bezpośrednio widoczne przez główny system operacyjny urządzenia. Zamiast tego system prosi Bezpieczną Enklawę o odszyfrowanie informacji za pomocą kluczy.
Dlaczego istnieje bezpieczna enklawa?
Bezpieczna enklawa bardzo utrudnia hakerom odszyfrowanie poufnych informacji bez fizycznego dostępu do urządzenia. Ponieważ bezpieczna enklawa jest oddzielnym systemem, a podstawowy system operacyjny nigdy nie widzi kluczy odszyfrowywania, odszyfrowanie danych bez odpowiedniej autoryzacji jest niezwykle trudne.
Warto zauważyć, że same informacje biometryczne nie są przechowywane w bezpiecznej enklawie; 4 MB to za mało miejsca na wszystkie te dane. Zamiast tego Enklawa przechowuje klucze szyfrowania używane do blokowania danych biometrycznych.
Programy innych firm mogą również tworzyć i przechowywać klucze w enklawie, aby zablokować dane, ale aplikacje nigdy nie mieć dostępu do samych kluczy. Zamiast tego aplikacje wysyłają żądania do bezpiecznej enklawy w celu zaszyfrowania i odszyfrowania danych. Oznacza to, że wszelkie informacje zaszyfrowane za pomocą Enklawy są niezwykle trudne do odszyfrowania na dowolnym innym urządzeniu.
Cytować Dokumentacja Apple dla programistów:
Kiedy przechowujesz klucz prywatny w bezpiecznej enklawie, nigdy tak naprawdę nie obsługujesz klucza, co utrudnia złamanie klucza. Zamiast tego instruujesz Secure Enclave, aby utworzyła klucz, bezpiecznie go przechowywała i wykonywała na nim operacje. Otrzymujesz tylko wyniki tych operacji, takie jak zaszyfrowane dane lub wynik weryfikacji podpisu kryptograficznego.
Warto również zauważyć, że Secure Enclave nie może importować kluczy z innych urządzeń: jest przeznaczony wyłącznie do tworzenia i używania kluczy lokalnie. To bardzo utrudnia odszyfrowanie informacji na dowolnym urządzeniu poza tym, na którym zostały utworzone.
Czekaj, czy bezpieczna enklawa nie została zhakowana?
Bezpieczna enklawa to skomplikowana konfiguracja, która bardzo utrudnia życie hakerom. Ale nie ma czegoś takiego jak doskonałe bezpieczeństwo i rozsądnie jest założyć, że ktoś w końcu to wszystko narazi na szwank.
Latem 2017 roku entuzjastyczni hakerzy ujawnili, że udało się odszyfrować firmware Bezpiecznej Enklawy, potencjalnie dając im wgląd w sposób działania enklawy. Jesteśmy pewni, że Apple wolałoby, aby ten wyciek się nie wydarzył, ale warto zauważyć, że hakerzy nie znaleźli jeszcze sposobu na odzyskanie kluczy szyfrowania przechowywanych w enklawie: odszyfrowali tylko samo oprogramowanie.
Oczyść enklawę przed sprzedażą komputera Mac
Przywracanie ustawień fabrycznych powoduje wyczyszczenie kluczy w bezpiecznej enklawie na iPhonie. Teoretycznie powinny one również zostać wyczyszczone podczas ponownej instalacji systemu macOS, ale Apple zaleca wyczyszczenie Bezpiecznej enklawy na komputerze Mac, jeśli używałeś czegokolwiek poza oficjalnym instalatorem systemu MacOS.