Co to jest bezpieczna enklawa firmy Apple i jak chroni mój iPhone lub komputer Mac?
iPhone'y i komputery Mac z Touch ID lub Face ID używają osobnego procesora do obsługi informacji biometrycznych. Nazywa się to Bezpieczną Enklawą, to w zasadzie cały komputer sam w sobie, i oferuje wiele funkcji bezpieczeństwa.
Bezpieczna enklawa jest uruchamiana oddzielnie od reszty urządzenia. Działa on z własnym mikrojądrem, który nie jest bezpośrednio dostępny w twoim systemie operacyjnym ani żadnych programach działających na twoim urządzeniu. Jest 4 MB pamięci flashable, która służy wyłącznie do przechowywania kluczy elektronicznych 256-bitowych krzywych eliptycznych. Te klucze są unikalne dla Twojego urządzenia i nie są nigdy synchronizowane z chmurą, ani nawet bezpośrednio widziane przez podstawowy system operacyjny urządzenia. Zamiast tego system prosi Bezpieczną Enklawę o odszyfrowanie informacji za pomocą kluczy.
Dlaczego istnieje bezpieczna enklawa?
Bezpieczna enklawa utrudnia hakerom odszyfrowywanie wrażliwych informacji bez fizycznego dostępu do urządzenia. Ponieważ bezpieczna enklawa jest oddzielnym systemem, a podstawowy system operacyjny nigdy nie widzi kluczy odszyfrowywania, niezwykle trudno jest odszyfrować dane bez odpowiedniej autoryzacji.
Warto zauważyć, że twoje dane biometryczne nie są przechowywane w bezpiecznej enklawie; 4 MB to za mało miejsca na dane. Zamiast tego Enklawa przechowuje klucze szyfrowania używane do blokowania danych biometrycznych.
Programy innych firm mogą również tworzyć i przechowywać klucze w enklawie, aby blokować dane, ale aplikacje nigdy nie mają dostępu do samych kluczy. Zamiast tego aplikacje wysyłają żądania dotyczące bezpiecznej enklawy do szyfrowania i odszyfrowywania danych. Oznacza to, że wszelkie informacje zaszyfrowane za pomocą Enklawy są niezwykle trudne do odszyfrowania na dowolnym innym urządzeniu.
Cytując dokumentację Apple dla programistów:
Kiedy przechowujesz klucz prywatny w bezpiecznej enklawie, nigdy nie poradzisz sobie z kluczem, co utrudnia złamanie klucza. Zamiast tego polecisz bezpiecznej enklawie, aby utworzyć klucz, bezpiecznie go przechowywać i wykonywać operacje za jego pomocą. Otrzymujesz tylko dane wyjściowe tych operacji, takie jak zaszyfrowane dane lub wynik weryfikacji podpisu kryptograficznego.
Warto również zauważyć, że Secure Enclave nie może importować kluczy z innych urządzeń: jest przeznaczony wyłącznie do tworzenia i używania kluczy lokalnie. To sprawia, że bardzo trudno jest odszyfrować informacje na dowolnym urządzeniu, z wyjątkiem tego, na którym zostało utworzone.
Zaczekaj, nie była bezpieczna enklawa zhakowana?
The Secure Enclave to skomplikowana konfiguracja i bardzo utrudnia życie hakerom. Ale nie ma czegoś takiego jak perfekcyjne bezpieczeństwo i rozsądne jest założenie, że ktoś ostatecznie skompromituje to wszystko.
Latem 2017 roku entuzjastyczni hakerzy ujawnili, że udało im się odszyfrować oprogramowanie wbudowane Secure Enclave, co potencjalnie dało im wgląd w sposób działania enklawy. Jesteśmy pewni, że Apple wolałby, aby ten wyciek się nie wydarzył, ale warto zauważyć, że hakerzy nie znaleźli jeszcze sposobu na odzyskanie kluczy szyfrowania przechowywanych w enklawie: odszyfrowali jedynie oprogramowanie układowe.
Oczyść enklawę przed sprzedażą komputera Mac
Klucze w bezpiecznej enklawie na Twoim iPhonie są wycierane po przywróceniu ustawień fabrycznych. Teoretycznie powinny one zostać usunięte po ponownym zainstalowaniu systemu Mac OS, ale firma Apple zaleca, aby wyczyścić Bezpieczną enklawę na komputerze Mac, jeśli używałeś czegoś innego niż oficjalny instalator macOS.