Що таке “безпечний анклав” Apple, і як він захищає мій iPhone або Mac?
iPhone та Mac із сенсорним ідентифікатором або ідентифікатором обличчя використовують окремий процесор для обробки біометричної інформації. Це називається Secure Enclave, це в основному весь комп'ютер для себе, і він пропонує безліч функцій безпеки.
Безпечний анклав завантажується окремо від інших пристроїв. Він має власне мікроядро, яке безпосередньо не доступне вашій операційній системі або програмам, що працюють на вашому пристрої. Є 4 МБ флеш-накопичувача, який використовується виключно для зберігання приватних ключів 256-бітової еліптичної кривої. Ці ключі унікальні для вашого пристрою і ніколи не синхронізуються з хмарою або навіть безпосередньо не відображаються в основній операційній системі вашого пристрою. Замість цього, система запитує Secure Enclave для дешифрування інформації за допомогою клавіш.
Чому існує безпечна анклава??
Безпечний анклав робить дуже важким для хакерів розшифрувати конфіденційну інформацію без фізичного доступу до вашого пристрою. Оскільки Secure Enclave - це окрема система, і оскільки ваша основна операційна система ніколи не бачить ключів розшифрування, то неймовірно важко розшифрувати ваші дані без належної авторизації..
Варто зазначити, що сама біометрична інформація не зберігається в Secure Enclave; 4 МБ не вистачає місця для зберігання даних. Замість цього Enclave зберігає ключі шифрування, які використовуються для блокування біометричних даних.
Програми третіх сторін також можуть створювати та зберігати ключі в анклаві, щоб заблокувати дані, але програми ніколи не мають доступу до самих ключів. Замість цього, програми створюють запити для Secure Enclave для шифрування та дешифрування даних. Це означає, що будь-яка інформація, зашифрована за допомогою анклава, неймовірно важко розшифрувати на будь-якому іншому пристрої.
Щоб процитувати документацію Apple для розробників:
Коли ви зберігаєте приватний ключ в Secure Enclave, ви ніколи не працюватимете з ключем, що ускладнює компрометацію ключа. Замість цього ви зобов'язуєте Secure Enclave створити ключ, надійно зберігати його і виконувати операції з ним. Ви отримуєте тільки вихід цих операцій, наприклад, зашифровані дані або результат перевірки криптографічного підпису.
Варто також відзначити, що Secure Enclave не може імпортувати ключі з інших пристроїв: він призначений виключно для створення та використання ключів локально. Це ускладнює розшифровку інформації на будь-якому пристрої, окрім того, на якому вона створена.
Зачекайте, не був безпечний анклав зламаний?
Безпечний анклав - продумана установка, і робить життя дуже важким для хакерів. Але немає такої речі, як досконала безпека, і розумно вважати, що хтось компрометує все це.
Влітку 2017 року захоплені хакери виявили, що їм вдалося розшифрувати прошивку Secure Enclave, потенційно даючи їм можливість зрозуміти, як працює анклав. Ми впевнені, що Apple віддасть перевагу такому витоку, але не варто знати, що хакери ще не знайшли спосіб отримати ключі шифрування, які зберігаються в анклаві..
Очистіть анклав перед продажем вашого Mac
Клавіші в безпечному анклаві на вашому iPhone витираються під час скидання до заводських налаштувань. Теоретично вони також повинні бути очищені, коли ви перевстановлюєте macOS, але Apple рекомендує очистити Secure Enclave на вашому Mac, якщо ви використовували що-небудь, окрім офіційного інсталятора macOS..