В iPhone и Mac с Touch ID или Face ID для обработки биометрической информации используется отдельный процессор. Он называется Secure Enclave, это, по сути, отдельный компьютер, и он предлагает множество функций безопасности.
Secure Enclave загружается отдельно от остальной части вашего устройства. Он запускает собственное микроядро, которое напрямую недоступно для вашей операционной системы или каких-либо программ, запущенных на вашем устройстве. Имеется 4 МБ флэш-памяти, которая используется исключительно для хранения 256-битных закрытых ключей с эллиптической кривой. Эти ключи уникальны для вашего устройства и никогда не синхронизируются с облаком и даже не видны напрямую основной операционной системе вашего устройства. Вместо этого система просит Secure Enclave расшифровать информацию с помощью ключей.
Почему существует безопасный анклав?
Secure Enclave очень затрудняет хакерам расшифровку конфиденциальной информации без физического доступа к вашему устройству. Поскольку Secure Enclave - это отдельная система, и поскольку ваша основная операционная система фактически никогда не видит ключи дешифрования, невероятно сложно расшифровать ваши данные без надлежащей авторизации.
Следует отметить, что сама ваша биометрическая информация не хранится в Secure Enclave; 4 МБ недостаточно для хранения всех этих данных. Вместо этого в Анклаве хранятся ключи шифрования, используемые для блокировки этих биометрических данных.
Сторонние программы также могут создавать и хранить ключи в анклаве для блокировки данных, но приложения никогда не иметь доступа к самим ключам . Вместо этого приложения запрашивают Secure Enclave для шифрования и дешифрования данных. Это означает, что любую информацию, зашифрованную с помощью Enclave, невероятно сложно расшифровать на любом другом устройстве.
Цитировать Документация Apple для разработчиков :
Когда вы храните закрытый ключ в Secure Enclave, вы фактически никогда не обрабатываете его, что затрудняет его взлом. Вместо этого вы даете команду Secure Enclave создать ключ, надежно сохранить его и выполнить с ним операции. Вы получаете только результат этих операций, такой как зашифрованные данные или результат проверки криптографической подписи.
Также стоит отметить, что Secure Enclave не может импортировать ключи с других устройств: он предназначен исключительно для создания и использования ключей локально. Это очень затрудняет расшифровку информации на любом устройстве, кроме того, на котором она была создана.
Подождите, а разве The Secure Enclave не взломали?
Secure Enclave - это тщательно продуманная установка, которая очень усложняет жизнь хакерам. Но идеальной безопасности не бывает, и разумно предположить, что кто-то в конечном итоге все это скомпрометирует.
Летом 2017 года хакеры-энтузиасты заявили, что они удалось расшифровать прошивку Secure Enclave , потенциально давая им представление о том, как работает анклав. Мы уверены, что Apple предпочла бы, чтобы этой утечки не произошло, но стоит отметить, что хакеры еще не нашли способ получить ключи шифрования, хранящиеся в анклаве: они расшифровали только саму прошивку.
Очистите анклав перед продажей Mac
СВЯЗАННЫЕ С: Как очистить сенсорную панель MacBook и защитить данные анклава
Ключи в Secure Enclave на вашем iPhone стираются, когда вы выполнить сброс к заводским настройкам . Теоретически их также следует убрать, когда вы переустановить macOS , но Apple рекомендует вам очистите Secure Enclave на вашем Mac если вы использовали что-нибудь, кроме официального установщика macOS.
