iPhones і Mac з Touch ID або Face ID використовують окремий процесор для обробки вашої біометричної інформації. Він називається Secure Enclave, це в основному цілий комп’ютер для себе, і він пропонує безліч функцій безпеки.
Secure Enclave завантажується окремо від решти пристрою. Він запускає власне мікроядро, до якого безпосередньо не може працювати ваша операційна система чи будь-які програми, що працюють на вашому пристрої. Є 4 Мб швидкозберігаючого сховища, яке використовується виключно для зберігання 256-розрядних приватних ключів еліптичної кривої. Ці клавіші унікальні для вашого пристрою і ніколи не синхронізуються з хмарою і навіть не бачаться безпосередньо основною операційною системою вашого пристрою. Натомість система просить Secure Enclave розшифрувати інформацію за допомогою клавіш.
Чому існує безпечний анклав?
Захищений анклав дуже ускладнює хакерам дешифрування конфіденційної інформації без фізичного доступу до вашого пристрою. Оскільки Secure Enclave - це окрема система, і оскільки ваша основна операційна система насправді ніколи не бачить ключів дешифрування, розшифрувати ваші дані без належного дозволу неймовірно складно.
Варто зазначити, що ваша біометрична інформація сама не зберігається в захищеному анклаві; 4 Мб не вистачає місця для зберігання всіх цих даних. Натомість Enclave зберігає ключі шифрування, які використовуються для блокування цих біометричних даних.
Сторонні програми також можуть створювати та зберігати ключі в анклаві для блокування даних, але додатків ніколи не мати доступу до самих ключів . Натомість додатки надсилають запити на захист Enclave для шифрування та дешифрування даних. Це означає, що будь-яку інформацію, зашифровану за допомогою Enclave, неймовірно важко розшифрувати на будь-якому іншому пристрої.
Цитувати Документація Apple для розробників :
Коли ви зберігаєте приватний ключ у захищеному анклаві, ви ніколи фактично не обробляєте ключ, ускладнюючи можливість злому ключа. Натомість ви доручаєте захищеному анклаву створити ключ, надійно зберігати його та виконувати з ним операції. Ви отримуєте лише результати цих операцій, такі як зашифровані дані або результат перевірки криптографічного підпису.
Варто також зазначити, що Secure Enclave не може імпортувати ключі з інших пристроїв: він призначений виключно для створення та використання ключів локально. Це дуже ускладнює розшифровку інформації на будь-якому пристрої, крім того, на якому він був створений.
Зачекайте, чи не зламали захищений анклав?
Secure Enclave - це складна установка, яка дуже ускладнює життя хакерів. Але такого поняття, як ідеальна безпека, не існує, і є розумним припустити, що хтось все це врешті скомпрометує.
Влітку 2017 року захоплені хакери виявили, що зробили це вдалося розшифрувати прошивку Secure Enclave , потенційно даючи їм уявлення про те, як працює анклав. Ми впевнені, що Apple вважає за краще, щоб такого витоку не сталося, але варто зазначити, що хакери ще не знайшли способу отримати ключі шифрування, що зберігаються в анклаві: вони розшифрували лише саму прошивку.
Очистіть анклав перед продажем Mac
ПОВ'ЯЗАНІ: Як очистити сенсорну панель MacBook та захистити дані анклаву
Ключі в захищеному анклаві на вашому iPhone стираються, коли ви виконати скидання до заводських налаштувань . Теоретично вони також повинні бути очищені, коли ви перевстановіть macOS , але Apple рекомендує вас очистіть захищений анклав на вашому Mac якщо ви використовували щось, крім офіційного інсталятора macOS.
