iPhones en Macs met Touch ID of Face ID gebruiken een aparte processor om je biometrische gegevens te verwerken. Het wordt de Secure Enclave genoemd, het is in feite een hele computer op zich en biedt een verscheidenheid aan beveiligingsfuncties.
De Secure Enclave start afzonderlijk op van de rest van uw apparaat. Het draait zijn eigen microkernel, die niet rechtstreeks toegankelijk is door uw besturingssysteem of door programma's die op uw apparaat worden uitgevoerd. Er is 4 MB flashbare opslag, die uitsluitend wordt gebruikt om 256-bits privésleutels met elliptische curve op te slaan. Deze sleutels zijn uniek voor uw apparaat en worden nooit gesynchroniseerd met de cloud of zelfs rechtstreeks gezien door het primaire besturingssysteem van uw apparaat. In plaats daarvan vraagt het systeem de Secure Enclave om informatie te decoderen met behulp van de sleutels.
Waarom bestaat de beveiligde enclave?
De Secure Enclave maakt het erg moeilijk voor hackers om gevoelige informatie te decoderen zonder fysieke toegang tot uw apparaat. Omdat de Secure Enclave een apart systeem is en omdat uw primaire besturingssysteem de decoderingssleutels nooit echt ziet, is het ongelooflijk moeilijk om uw gegevens te decoderen zonder de juiste autorisatie.
Het is vermeldenswaard dat uw biometrische informatie zelf niet wordt opgeslagen in de Secure Enclave; 4 MB is niet genoeg opslagruimte voor al die gegevens. In plaats daarvan slaat de Enclave coderingssleutels op die worden gebruikt om die biometrische gegevens te vergrendelen.
Programma's van derden kunnen ook sleutels in de enclave maken en opslaan om gegevens, behalve de apps, te vergrendelen nooit zelf toegang hebben tot de sleutels . In plaats daarvan vragen apps de Secure Enclave om gegevens te versleutelen en te ontsleutelen. Dit betekent dat alle informatie die met de Enclave is gecodeerd, ongelooflijk moeilijk te decoderen is op een ander apparaat.
Om te citeren Apple's documentatie voor ontwikkelaars :
Wanneer u een privésleutel opslaat in de Secure Enclave, behandelt u de sleutel nooit echt, waardoor het moeilijk wordt voor de sleutel om gecompromitteerd te raken. In plaats daarvan geeft u de Secure Enclave opdracht om de sleutel te maken, deze veilig op te slaan en er bewerkingen mee uit te voeren. U ontvangt alleen de uitvoer van deze bewerkingen, zoals gecodeerde gegevens of een resultaat van de verificatie van een cryptografische handtekening.
Het is ook vermeldenswaard dat de Secure Enclave geen sleutels van andere apparaten kan importeren: het is exclusief ontworpen om lokaal sleutels te maken en te gebruiken. Dit maakt het erg moeilijk om informatie te decoderen op elk apparaat behalve het apparaat waarop het is gemaakt.
Wacht, was de Secure Enclave niet gehackt?
De Secure Enclave is een uitgebreide opzet en maakt het leven van hackers erg moeilijk. Maar er bestaat niet zoiets als perfecte beveiliging, en het is redelijk om aan te nemen dat iemand dit uiteindelijk allemaal in gevaar zal brengen.
In de zomer van 2017 lieten enthousiaste hackers weten dat ze dat wel zouden doen slaagde erin om de firmware van de Secure Enclave te decoderen , waardoor ze mogelijk inzicht krijgen in hoe de enclave werkt. We zijn er zeker van dat Apple liever had dat dit lek niet was gebeurd, maar het is vermeldenswaard dat hackers nog geen manier hebben gevonden om de coderingssleutels op de enclave op te halen: ze hebben alleen de firmware zelf gedecodeerd.
Maak de enclave schoon voordat u uw Mac verkoopt
VERWANT: Hoe u de Touch Bar en Secure Enclave-gegevens van uw MacBook wist
Sleutels in de Secure Enclave op uw iPhone worden gewist wanneer u voer een fabrieksreset uit . In theorie moeten ze ook worden gewist als u installeer macOS opnieuw , maar Apple beveelt je aan wis de Secure Enclave op uw Mac als je iets anders hebt gebruikt dan het officiële macOS-installatieprogramma.
