iPhone-urile și Mac-urile cu ID-ul tactil sau ID-ul de față utilizează un procesor separat pentru a vă gestiona informațiile biometrice. Se numește Enclave Secure, este în esență un întreg computer și oferă o varietate de caracteristici de securitate.
Secure Enclave se încarcă separat de restul dispozitivului. Acesta rulează propriul microkernel, care nu este direct accesibil prin sistemul dvs. de operare sau prin alte programe care rulează pe dispozitivul dvs. Există 4 MB de stocare flash, care este utilizată exclusiv pentru a stoca chei private de curbă eliptice de 256 de biți. Aceste chei sunt unice pentru dispozitivul dvs. și nu sunt niciodată sincronizate cu norul sau chiar văzute direct de sistemul de operare principal al dispozitivului dvs. În schimb, sistemul cere Enclavei Secure să decripteze informațiile utilizând tastele.
Securitatea Enclave face foarte dificilă pentru hackeri să decripteze informații sensibile fără acces fizic la dispozitivul dvs. Deoarece Secure Enclave este un sistem separat și deoarece sistemul dvs. principal de operare nu vede niciodată cheile de decriptare, este foarte dificil să decriptați datele fără o autorizare corespunzătoare.
Merită remarcat faptul că informațiile dvs. biometrice însăși nu sunt stocate în enclavă securizată; 4MB nu este suficient spațiu de stocare pentru toate aceste date. În schimb, Enclave stochează cheile de criptare utilizate pentru a bloca datele biometrice.
Programele terță parte pot, de asemenea, să creeze și să stocheze cheile în enclavă pentru a bloca datele, ci aplicațiile niciodată nu au acces la chei. În schimb, aplicațiile solicită ca Enclava Secure să cripteze și să decripteze datele. Aceasta înseamnă că orice informație criptată utilizând Enclave-ul este incredibil de dificilă de a decripta pe orice alt dispozitiv.
Pentru a cita documentația Apple pentru dezvoltatori:
Când stocați o cheie privată în Secure Enclave, nu vă ocupați niciodată de cheia, ceea ce face dificilă compromiterea cheii. În schimb, instruiți Enclavă sigură să creați cheia, să o depozitați în siguranță și să efectuați operații cu ea. Primiți numai rezultatul acestor operații, cum ar fi datele criptate sau rezultatul verificării semnăturii criptografice.
De asemenea, merită remarcat faptul că Secure Enclave nu poate importa chei de la alte dispozitive: este proiectat exclusiv pentru a crea și utiliza chei local. Acest lucru face foarte dificilă decriptarea informațiilor pe orice dispozitiv, dar pe cel pe care a fost creat.
Securitatea Enclave este o configurație elaborată și face viața foarte dificilă pentru hackeri. Dar nu există nici un fel de securitate perfectă și este rezonabil să presupunem că cineva va compromite toate acestea în cele din urmă.
În vara anului 2017, hackerii entuziaști au dezvăluit că reușiseră să decripteze firmware-ul enclavei securizate, oferindu-le posibilitatea de a înțelege cum funcționează enclava. Suntem siguri că Apple ar prefera ca această scurgere să nu se fi întâmplat, dar merită remarcat faptul că hackerii nu au găsit încă o modalitate de a recupera cheile de criptare stocate în enclavă: au decodificat numai firmware-ul.
Cheile din Secure Enclave de pe iPhone sunt șterse când efectuați o resetare din fabrică. În mod teoretic, acestea ar trebui eliminate, de asemenea, când reinstalați MacOS, dar Apple vă recomandă să ștergeți codul Secure Enclave pe Mac, dacă ați folosit altceva decât programul de instalare oficială macOS.
