iPhones och Mac-datorer med Touch ID eller Face ID använder en separat processor för att hantera din biometriska information. Det kallas Secure Enclave, det är i grunden en hel dator för sig själv och den erbjuder en mängd säkerhetsfunktioner.
Secure Enclave startar separat från resten av enheten. Den kör sin egen mikrokärna, som inte är direkt tillgänglig för ditt operativsystem eller några program som körs på din enhet. Det finns 4 MB flashbar lagring, som endast används för att lagra 256-bitars privata nycklar med elliptisk kurva. Dessa nycklar är unika för din enhet och synkroniseras aldrig till molnet eller ses direkt av enhetens primära operativsystem. I stället ber systemet Secure Enclave att dekryptera information med hjälp av nycklarna.
Varför finns den säkra enklaven?
Secure Enclave gör det mycket svårt för hackare att dekryptera känslig information utan fysisk åtkomst till din enhet. Eftersom Secure Enclave är ett separat system, och eftersom ditt primära operativsystem faktiskt aldrig ser dekrypteringsnycklarna, är det oerhört svårt att dekryptera dina data utan rätt behörighet.
Det är värt att notera att din biometriska information inte lagras i Secure Enclave; 4 MB räcker inte med lagringsutrymme för all den informationen. Istället lagrar Enclave krypteringsnycklar som används för att låsa ned den biometriska informationen.
Tredjepartsprogram kan också skapa och lagra nycklar i enklaven för att låsa data men apparna har aldrig tillgång till själva nycklarna . Istället gör appar begäran om att Secure Enclave ska kryptera och dekryptera data. Det betyder att all information som krypteras med Enclave är oerhört svår att dekryptera på någon annan enhet.
Att citera Apples dokumentation för utvecklare :
När du lagrar en privat nyckel i Secure Enclave hanterar du faktiskt aldrig nyckeln, vilket gör det svårt för nyckeln att komprometteras. Istället instruerar du Secure Enclave att skapa nyckeln, lagra den säkert och utföra operationer med den. Du får endast utdata från dessa operationer, till exempel krypterad data eller ett kryptografiskt signaturverifieringsresultat.
Det är också värt att notera att Secure Enclave inte kan importera nycklar från andra enheter: den är utformad uteslutande för att skapa och använda nycklar lokalt. Detta gör det mycket svårt att dekryptera information på någon annan enhet än den som den skapades på.
Vänta, hackades inte Secure Enclave?
Secure Enclave är en detaljerad installation och gör livet väldigt svårt för hackare. Men det finns inget sådant som perfekt säkerhet, och det är rimligt att anta att någon kommer att äventyra allt detta så småningom.
Sommaren 2017 avslöjade entusiastiska hackare att de skulle göra det lyckades dekryptera firmware för Secure Enclave , potentiellt ge dem inblick i hur enklaven fungerar. Vi är säkra på att Apple skulle föredra att denna läcka inte hade hänt, men det är värt att notera att hackare ännu inte har hittat ett sätt att hämta krypteringsnycklarna som är lagrade på enklaven: de har bara dekrypterat själva firmware.
Rensa bort enklaven innan du säljer din Mac
RELATERAD: Så här rensar du MacBooks pekfält och säkra enklaveringsdata
Nycklar i Secure Enclave på din iPhone torkas när du utför en fabriksåterställning . I teorin bör de också rensas ut när du installera om macOS , men Apple rekommenderar dig rensa Secure Enclave på din Mac om du använde något annat än det officiella macOS-installationsprogrammet.
