Što je Apple Secure Enclave, i kako se štiti moj iPhone ili Mac?
iPhones i Mac računala s Touch ID ili Face ID koriste zasebni procesor za obradu biometrijskih podataka. Zove se sigurna enklava, to je u biti čitavo računalo za sebe i nudi niz sigurnosnih značajki.
Secure Enclave čizme odvojeno od ostatka uređaja. Pokreće vlastiti mikrokernel koji nije izravno dostupan operativnom sustavu ili programima koji se izvode na uređaju. Tu je 4MB flashable pohrane, koja se koristi isključivo za spremanje 256-bitnih eliptičnih krivih privatnih ključeva. Ti su ključevi jedinstveni za vaš uređaj i nikada se ne sinkroniziraju s oblakom niti ih izravno vide primarni operativni sustav uređaja. Umjesto toga, sustav traži od Secure Enclave da dešifrira informacije pomoću tipki.
Zašto postoji sigurna enklava??
Sigurna enklava otežava dešifriranje osjetljivih informacija bez fizičkog pristupa vašem uređaju. Budući da je Secure Enclave zaseban sustav, i budući da vaš primarni operativni sustav zapravo nikad ne vidi ključeve za dešifriranje, nevjerojatno je teško dešifrirati podatke bez odgovarajuće autorizacije.
Važno je napomenuti da vaše biometrijske informacije nisu pohranjene u Secure Enclave; 4MB nije dovoljno prostora za pohranu svih tih podataka. Umjesto toga, enklava pohranjuje ključeve za šifriranje koji se koriste za zaključavanje tih biometrijskih podataka.
Programi trećih strana također mogu stvoriti i pohraniti ključeve u enklavi kako bi zaključali podatke, ali aplikacije nikada nemate pristup samim ključevima. Umjesto toga, aplikacije postavljaju zahtjeve za Secure Enclave za šifriranje i dešifriranje podataka. To znači da je sve informacije šifrirane pomoću enklave nevjerojatno teško dešifrirati na bilo kojem drugom uređaju.
Da citirate Appleovu dokumentaciju za razvojne programere:
Kada pohranite privatni ključ u sigurnu enklavu, nikada zapravo ne možete upravljati ključem, što otežava kompromitiranje ključa. Umjesto toga, naredite Secure Enclaveu da stvori ključ, sigurno ga pohrani i izvede operacije s njim. Primate samo izlaz tih operacija, kao što su šifrirani podaci ili rezultat provjere kriptografskog potpisa.
Također je vrijedno spomenuti da Secure Enclave ne može uvesti ključeve iz drugih uređaja: on je dizajniran isključivo za kreiranje i korištenje lokalno ključeva. Zbog toga je vrlo teško dešifrirati informacije na bilo kojem uređaju, osim onog na kojem je kreiran.
Čekaj, nije bio siguran enklav hakiran?
Sigurna enklava je razrađena postavka i čini hakerima život vrlo težim. Ali ne postoji takva stvar kao što je savršena sigurnost, i razumno je pretpostaviti da će netko na kraju sve ovo kompromitirati.
U ljeto 2017., oduševljeni hakeri otkrili su da su uspjeli dešifrirati firmware Secure Enclavea, što im je omogućilo uvid u funkcioniranje enklave. Sigurni smo da bi Appleu bilo draže da se to nije dogodilo, ali vrijedi napomenuti da hakeri još nisu pronašli način da dođu do ključeva šifriranja pohranjenih u enklavi: oni su samo dešifrirali sam firmware..
Očistite enklavu prije prodaje vašeg Mac računala
Tipke u Secure Enclave na vašem iPhone uređaju brišu se kada izvršite vraćanje na tvorničke postavke. Teoretski bi ih trebalo ukloniti i kada ponovo instalirate MacOS, ali Apple preporučuje da izbrišete Secure Enclave na vašem Mac računalu ako ste koristili bilo što osim službenog MacOS instalacijskog programa..