Какво е Apple Secure Enclave, и как го защитава iPhone или Mac?
iPhones и Mac с Touch ID или Face ID използват отделен процесор за обработка на вашата биометрична информация. Тя се нарича Secure Enclave, в основата си цял компютър за себе си и предлага разнообразие от функции за сигурност.
Secure Enclave се зарежда отделно от останалото устройство. Той изпълнява свое собствено микроядро, което не е достъпно директно от операционната ви система или програми, работещи на вашето устройство. Има 4MB флаш памет, която се използва изключително за съхраняване на частни ключове с 256-битова елиптична крива. Тези ключове са уникални за вашето устройство и никога не се синхронизират с облака или дори директно се виждат от основната операционна система на устройството ви. Вместо това системата иска от Secure Enclave да дешифрира информацията с помощта на клавишите.
Защо съществува сигурната анклава??
Secure Enclave прави много трудно за хакерите да декриптират чувствителна информация без физически достъп до вашето устройство. Тъй като Secure Enclave е отделна система и тъй като основната ви операционна система никога не вижда ключовете за декриптиране, е изключително трудно да декриптирате данните си без съответното разрешение.
Заслужава да се отбележи, че самата биометрична информация не се съхранява в Secure Enclave; 4MB не е достатъчно място за съхранение на всички тези данни. Вместо това Enclave съхранява ключове за шифроване, използвани за блокиране на тези биометрични данни.
Програмите на трети страни могат също да създават и съхраняват ключове в анклава, за да блокират данните, но приложенията никога няма да имат достъп до самите ключове. Вместо това, приложенията отправят заявки за Secure Enclave за шифроване и декриптиране на данни. Това означава, че всяка информация, криптирана с помощта на Enclave, е изключително трудна за декриптиране на всяко друго устройство.
За да цитирате документацията на Apple за разработчиците:
Когато съхранявате частен ключ в Secure Enclave, всъщност никога няма да се справите с ключа, което затруднява компрометирането на ключа. Вместо това инструктирате Secure Enclave да създаде ключа, да го съхранява сигурно и да изпълнява операции с него. Получавате само изхода от тези операции, като криптирани данни или резултат от проверка на криптографски подписи.
Също така си струва да се отбележи, че Secure Enclave не може да импортира ключове от други устройства: той е предназначен изключително за създаване и използване на ключове локално. Това прави много трудно дешифрирането на информация на всяко устройство, освен това, на което е създадено.
Чакай, не беше ли хакнали Secure Enclave?
The Secure Enclave е сложна настройка и прави живота много труден за хакерите. Но няма такова нещо като перфектна сигурност и е разумно да се предположи, че някой ще направи компромис с всичко това в крайна сметка.
През лятото на 2017 г. ентусиазираните хакери разкриха, че са успели да декриптират фърмуера на Secure Enclave, което им дава възможност да разберат как работи анклавът. Сигурни сме, че Apple би предпочела да не се е случило такова изтичане, но си струва да се отбележи, че хакерите все още не са намерили начин да изтеглят ключовете за криптиране, съхранявани в анклава: само декриптираха самия фърмуер..
Почистете анклава преди да продадете вашия Mac
Клавишите в Secure Enclave на вашия iPhone се изтриват, когато извършите възстановяване на фабричните настройки. Теоретично те трябва да бъдат изчистени, когато преинсталирате macOS, но Apple препоръчва да изчистите Secure Enclave на вашия Mac, ако сте използвали нещо друго, освен официалния MacOS инсталатор..