Kas yra „Secure Enclave“, ir kaip ji apsaugo mano „iPhone“ ar „Mac“?
„iPhone“ ir „Mac“, turintys „Touch ID“ arba „Face ID“, naudoja atskirą procesorių biometrinės informacijos tvarkymui. Jis vadinamas saugiu anklavu, iš esmės yra visas kompiuteris, ir jis siūlo įvairias saugumo funkcijas.
„Secure Enclave“ įsijungia nuo kitų prietaiso dalių. Jis valdo savo mikrokernelį, kuris nėra tiesiogiai prieinamas jūsų operacinei sistemai ar programoms, kurios veikia jūsų prietaise. Yra 4 MB talpos atmintinės, kuri naudojama tik 256 bitų elipsinių kreivių privačių raktų saugojimui. Šie raktai yra unikalūs jūsų įrenginiui ir niekada sinchronizuojami su debesiu arba netgi tiesiogiai matomi jūsų prietaiso pagrindinėje operacinėje sistemoje. Vietoj to, sistema prašo Saugaus kodo atskleisti informaciją naudojant raktus.
Kodėl saugi enclave egzistuoja?
„Secure Enclave“ leidžia įsilaužėliams iššifruoti slaptą informaciją be fizinės prieigos prie jūsų įrenginio. Kadangi saugus Enclave yra atskira sistema ir kadangi jūsų pagrindinė operacinė sistema niekada nemato iššifravimo raktų, neįtikėtinai sunku iššifruoti duomenis be tinkamo leidimo.
Verta pažymėti, kad pati biometrinė informacija nėra saugoma saugiame anklave; 4MB nėra pakankamai vietos visiems šiems duomenims. Vietoj to, „Enclave“ saugo šifravimo raktus, naudojamus užrakinti biometrinius duomenis.
Trečiosios šalies programos taip pat gali sukurti ir saugoti raktus anklavoje, kad užrakintų duomenis, bet programas niekada negali patekti į raktus. Vietoj to, programos pateikia prašymus saugiam Enclave užšifruoti ir iššifruoti duomenis. Tai reiškia, kad bet kokia informacija, šifruota naudojant „Enclave“, yra neįtikėtinai sunku iššifruoti bet kuriame kitu įrenginiu.
Cituoti „Apple“ dokumentaciją kūrėjams:
Kai saugiame privačiame rakte saugote privatų raktą, niekada iš tikrųjų neveiksite rakto, todėl raktas tampa sudėtingas. Vietoj to, nurodykite Saugų Enclave sukurti raktą, saugiai jį saugoti ir atlikti operacijas su juo. Gausite tik šių operacijų rezultatus, pvz., Šifruotus duomenis arba kriptografinio parašo patikros rezultatus.
Taip pat verta paminėti, kad „Secure Enclave“ negali importuoti raktų iš kitų įrenginių: jis skirtas tik vietiniams klavišams kurti ir naudoti. Dėl to labai sunku iššifruoti informaciją bet kuriame įrenginyje, bet viename, kuriame jis buvo sukurtas.
Palaukite, ar ne „Secure Enclave“ įsilaužė?
„Secure Enclave“ yra sudėtinga sąranka, o įsilaužėlių gyvenimas labai sunkus. Bet nėra tokio dalyko, kaip puikus saugumas, ir protinga manyti, kad kažkas kompromiso visa tai.
2017 m. Vasarą entuziastingi įsilaužėliai atskleidė, kad jie sugebėjo iššifruoti „Secure Enclave“ programinę įrangą, galbūt suteikdami jiems informacijos apie tai, kaip veikia anklavai. Mes įsitikinę, kad „Apple“ norėtų, kad šis nutekėjimas nebūtų įvykęs, tačiau verta pažymėti, kad įsilaužėliai dar nerado būdų, kaip gauti enclavave saugomus šifravimo raktus: jie tik iššifravo pačią programinę įrangą.
Išvalykite „Enklave“ prieš parduodant „Mac“
„IPhone“ „Secure Enclave“ klavišai nuvalomi, kai atliekate gamyklinius nustatymus. Teoriškai jie taip pat turėtų būti išvalyti iš naujo įdiegus „MacOS“, bet „Apple“ rekomenduoja išvalyti „Secure Enclave“ savo „Mac“ sistemoje, jei naudojote ką nors, išskyrus oficialią MacOS diegimo programą.