Co je to bezpečná enkláva společnosti Apple, a jak chrání svůj iPhone nebo Mac?
iPhony a Mac s dotykovým ID nebo ID obličeje používají samostatný procesor pro zpracování biometrických informací. Říká se to Secure Enclave, je to v podstatě celý počítač samo o sobě a nabízí řadu bezpečnostních prvků.
Secure Enclave se zavádí odděleně od ostatního zařízení. Spouští vlastní microkernel, který není přímo přístupný vašemu operačnímu systému ani žádnému programu běžícímu ve vašem zařízení. K dispozici je 4MB paměťového úložiště, které se používá výhradně k ukládání soukromých klíčů s 256bitovými eliptickými křivkami. Tyto klávesy jsou jedinečné pro vaše zařízení a nikdy se synchronizují s mrakem, ani přímo viděné v primárním operačním systému vašeho zařízení. Místo toho systém požádá Secure Enclave o dešifrování informací pomocí tlačítek.
Proč existuje zabezpečená enkláva??
Bezpečná enkláva dělá pro hackery velmi obtížné dešifrovat citlivé informace bez fyzického přístupu k vašemu zařízení. Vzhledem k tomu, že Secure Enclave je samostatný systém a protože primární operační systém nikdy nevidí dešifrovací klíče, je neuvěřitelně obtížné dešifrovat vaše data bez řádné autorizace.
Za zmínku stojí, že vaše biometrické informace samy o sobě nejsou uloženy v Secure Enclave; 4MB není dostatek úložného prostoru pro všechna tato data. Místo toho Enclave ukládá šifrovací klíče, které se používají k uzamčení biometrických dat.
Programy třetích stran mohou také vytvářet a ukládat klíče v enklávě, aby uzamkly data, ale aplikace nikdy nemají přístup k samotným klíči. Místo toho aplikace žádají, aby Secure Enclave šifrovala a dešifrovala data. To znamená, že veškeré informace šifrované pomocí Enclave je neuvěřitelně obtížné dešifrovat na libovolném jiném zařízení.
Citovat dokumentaci společnosti Apple pro vývojáře:
Při ukládání soukromého klíče do zabezpečeného enklávu nikdy nedodržíte klíče, takže je obtížné, aby se klíč stal ohroženým. Místo toho instruujete Secure Enclave vytvořit klíč, bezpečně jej uložit a provést operace s ním. Obdržíte pouze výstup z těchto operací, jako jsou šifrované údaje nebo výsledek ověření kryptografického podpisu.
Je také důležité poznamenat, že Secure Enclave nemůže importovat klíče od jiných zařízení: je určen výhradně pro lokální vytváření a používání klíče. Proto je velmi obtížné dešifrovat informace o jakémkoli zařízení, ale o tom, na kterém byl vytvořen.
Počkejte, nebyl Secure Enclave Hacked?
Secure Enclave je komplikované nastavení a dělá život pro hackery velmi obtížné. Ale není to taková dokonalá bezpečnost a je rozumné předpokládat, že někdo nakonec všechno kompromisuje.
V létě roku 2017 nadšené hackeři odhalili, že se jim podařilo dešifrovat firmware Secure Enclave, což jim dalo možnost nahlédnout do toho, jak funguje enkláva. Jsme si jisti, že Apple by upřednostňoval, že se tento únik nestal, ale stojí za to poznamenat, že hackeři dosud nenalezli způsob, jak získat šifrovací klíče uložené v enklávě: pouze dešifrovali samotný firmware.
Vyčistěte enklávu před prodejem počítače Mac
Klíče v modulu Secure Enclave na vašem iPhone jsou vymazány při obnovení továrního nastavení. Teoreticky by měly být také vyloučeny, když přeinstalujete MacOS, ale Apple doporučuje vymazat Secure Enclave na Macu, pokud jste použili cokoliv kromě oficiálního instalátoru MacOS.