Kaj je Apple Secure Enclave, in kako se zaščiti moj iPhone ali Mac?
iPhones in Mac z Touch ID ali Face ID uporabljajo ločen procesor za ravnanje z biometričnimi podatki. To se imenuje Secure Enclave, to je v bistvu celoten računalnik zase, in ponuja različne varnostne funkcije.
Secure Enclave se loči od ostale naprave. Uporablja lastno mikrokernel, ki ni neposredno dostopen v operacijskem sistemu ali programih, ki se izvajajo v napravi. Na voljo je 4 MB pomnilniškega pomnilnika, ki se uporablja izključno za shranjevanje zasebnih ključev z 256-bitno eliptično krivuljo. Ti ključi so edinstveni za vašo napravo in se nikoli ne sinhronizirajo z oblakom ali pa jih neposredno vidi glavni operacijski sistem vaše naprave. Namesto tega sistem od Secure Enclave zahteva, da podatke s pomočjo tipk dešifrira.
Zakaj obstaja varna enklava??
Secure Enclave hekerjem zelo otežuje dešifriranje občutljivih informacij brez fizičnega dostopa do vaše naprave. Ker je Secure Enclave ločen sistem in ker vaš primarni operacijski sistem nikoli dejansko ne vidi ključev za dešifriranje, je zelo težko dešifrirati podatke brez ustreznega pooblastila.
Treba je omeniti, da sama biometrična informacija ni shranjena v varni enklavi; 4 MB ni dovolj prostora za shranjevanje vseh teh podatkov. Namesto tega Enclave shrani šifrirne ključe, ki se uporabljajo za zaklepanje biometričnih podatkov.
Tudi programi tretjih oseb lahko ustvarijo in shranijo ključe v enklavi, da zaklenejo podatke, toda aplikacije nikoli ne boste imeli dostopa do ključev. Namesto tega aplikacije zahtevajo Secure Enclave za šifriranje in dešifriranje podatkov. To pomeni, da je vse informacije, ki so šifrirane z enklavo, zelo težko dešifrirati na kateri koli drugi napravi.
Če želite citirati dokumentacijo podjetja Apple za razvijalce:
Ko shranite zasebni ključ v Secure Enclave, nikoli ne boste ravnali s ključem, zaradi česar je ključno ogroženo. Namesto tega Secure Enclave naročite, naj ustvari ključ, ga varno shrani in izvede operacije z njim. Prejmete samo rezultate teh operacij, kot so šifrirani podatki ali rezultat preverjanja kriptografskega podpisa.
Prav tako je treba omeniti, da Secure Enclave ne more uvažati ključev iz drugih naprav: zasnovan je izključno za lokalno ustvarjanje in uporabo ključev. Zaradi tega je zelo težko dešifrirati informacije na kateri koli napravi, razen tiste, na kateri je bila ustvarjena.
Počakaj, ni bila Secure Enclave Hacked?
Secure Enclave je dovršena nastavitev in hekerjem otežuje življenje. Toda ni popolne varnosti in razumno je domnevati, da bo nekdo sčasoma vse to kompromitiral.
Poleti 2017 so navdušeni hekerji razkrili, da jim je uspelo dešifrirati vdelano programsko opremo Secure Enclave, kar bi jim lahko dalo vpogled v delovanje enklave. Prepričani smo, da bi se Apple raje odločil, da se to ne bi zgodilo, vendar je treba omeniti, da hekerji še niso našli načina za pridobitev šifrirnih ključev, shranjenih v enklavi: samo so dešifrirali firmware..
Očistite enklavo pred prodajo računalnika Mac
Tipke v Secure Enclave na vašem iPhone-u so izbrisane, ko izvedete tovarniške ponastavitve. Teoretično jih je treba izbrisati tudi pri ponovni namestitvi macOS-a, vendar vam Apple priporoča, da očistite Secure Enclave na vašem Mac računalniku, če ste uporabili kaj drugega kot uradni namestitveni program za MacOS.