iPhony a Mac s Touch ID nebo Face ID používají pro zpracování vašich biometrických informací samostatný procesor. Jmenuje se Secure Enclave, je to v podstatě celý počítač sám pro sebe a nabízí celou řadu bezpečnostních funkcí.
Secure Enclave se spouští odděleně od zbytku zařízení. Spouští vlastní mikrojádro, které není přímo přístupné vašemu operačnímu systému ani žádným programům spuštěným na vašem zařízení. K dispozici je 4 MB flashovatelného úložiště, které se používá výhradně k ukládání soukromých klíčů eliptické křivky 256 bitů. Tyto klíče jsou pro vaše zařízení jedinečné a nikdy se nesynchronizují s cloudem, ani se přímo nezobrazí primární operační systém vašeho zařízení. Místo toho systém požádá zabezpečenou enklávu o dešifrování informací pomocí kláves.
Proč existuje zabezpečená enkláva?
Secure Enclave velmi ztěžuje hackerům dešifrování citlivých informací bez fyzického přístupu k vašemu zařízení. Protože Secure Enclave je samostatný systém a protože váš primární operační systém dešifrovací klíče nikdy nevidí, je neuvěřitelně obtížné dešifrovat vaše data bez řádného povolení.
Stojí za zmínku, že vaše biometrické informace samotné nejsou uloženy v zabezpečené enklávě; 4 MB není dostatek úložného prostoru pro všechna tato data. Místo toho Enclave ukládá šifrovací klíče používané k uzamčení těchto biometrických dat.
Programy třetích stran mohou také vytvářet a ukládat klíče v enklávě pro uzamčení dat kromě aplikací nikdy nemáte přístup k samotným klíčům . Místo toho aplikace zadávají požadavek, aby zabezpečená enkláva šifrovala a dešifrovala data. To znamená, že jakékoli informace zašifrované pomocí Enclave je neuvěřitelně obtížné dešifrovat na jakémkoli jiném zařízení.
Citovat Dokumentace společnosti Apple pro vývojáře :
Když uložíte soukromý klíč do zabezpečené enklávy, ve skutečnosti s ním nikdy nezpracováváte, což ztěžuje jeho zneužití. Místo toho dáte pokyn Secure Enclave, aby vytvořila klíč, bezpečně jej uložila a provedla s ním operace. Obdržíte pouze výstup z těchto operací, například šifrovaná data nebo výsledek ověření kryptografického podpisu.
Za zmínku stojí také to, že Secure Enclave nemůže importovat klíče z jiných zařízení: je navržen výhradně pro místní vytváření a používání klíčů. Díky tomu je velmi obtížné dešifrovat informace na jakémkoli jiném zařízení, než na kterém bylo vytvořeno.
Počkejte, nebyla zabezpečená enkláva napadena?
Secure Enclave je komplikované nastavení a hackerům velmi ztěžuje život. Dokonalé zabezpečení však neexistuje a je rozumné předpokládat, že to někdo nakonec všechno ohrozí.
V létě roku 2017 nadšení hackeři odhalili, že ano podařilo dešifrovat firmware Secure Enclave , což jim potenciálně umožňuje nahlédnout do fungování enklávy. Jsme si jisti, že Apple by raději tento únik nenastal, ale stojí za zmínku, že hackeři dosud nenašli způsob, jak získat šifrovací klíče uložené v enklávě: dešifrovali pouze samotný firmware.
Před prodejem počítače Mac očistěte enklávu
PŘÍBUZNÝ: Jak vymazat dotykovou lištu vašeho MacBooku a zabezpečit data v enklávě
Klíče v zabezpečené enklávě na vašem iPhone jsou vymazány, když vy proveďte obnovení továrního nastavení . Teoreticky by také měly být vyčištěny, když vy přeinstalujte macOS , ale Apple vás doporučuje vymazat Secure Enclave na vašem Macu pokud jste použili něco jiného než oficiální instalační program pro macOS.
