Что такое «Secure Enclave» от Apple и как он защищает мой iPhone или Mac?
Гайд в разделе iPhone "Что такое «Secure Enclave» от Apple и как он защищает мой iPhone или Mac?" содержит информацию, советы и подсказки, которые помогут изучить самые важные моменты и тонкости вопроса….
iPhone и Mac с Touch ID или Face ID используют отдельный процессор для обработки вашей биометрической информации. Он называется Secure Enclave и представляет собой отдельный компьютер, предлагающий множество функций безопасности.
Secure Enclave загружается отдельно от остального устройства. Он запускает собственное микроядро, которое напрямую недоступно для вашей операционной системы или каких-либо программ, запущенных на вашем устройстве. Имеется 4 МБ флэш-памяти, которая используется исключительно для хранения 256-битных закрытых ключей с эллиптической кривой. Эти ключи уникальны для вашего устройства и никогда не синхронизируются с облаком и даже не видны напрямую основной операционной системе вашего устройства. Вместо этого система просит Secure Enclave расшифровать информацию с помощью ключей.
Почему существует Secure Enclave?
Secure Enclave очень затрудняет хакерам расшифровку конфиденциальной информации без физического доступа к вашему устройству. Поскольку Secure Enclave – это отдельная система, и поскольку ваша основная операционная система на самом деле никогда не видит ключи дешифрования, невероятно сложно расшифровать ваши данные без надлежащей авторизации.
Стоит отметить, что сама ваша биометрическая информация не хранится в Secure Enclave, 4 МБ недостаточно для хранения всех этих данных. Вместо этого в анклаве хранятся ключи шифрования, используемые для блокировки этих биометрических данных.
Сторонние программы также могут создавать и хранить ключи в анклаве для блокировки данных, но приложения никогда не имеют доступа к самим ключам. Вместо этого приложения запрашивают Secure Enclave для шифрования и дешифрования данных. Это означает, что любую информацию, зашифрованную с помощью Enclave, невероятно сложно расшифровать на любом другом устройстве.
Процитируем документацию Apple для разработчиков:
Когда вы храните закрытый ключ в Secure Enclave, вы никогда не фактически обрабатывать ключ, что затрудняет его взлом. Вместо этого вы даете команду Secure Enclave создать ключ, надежно сохранить его и выполнить с ним операции. Вы получаете только выходные данные этих операций, такие как зашифрованные данные или результат проверки криптографической подписи.
Также стоит отметить, что Secure Enclave не может импортировать ключи с других устройств: он предназначен исключительно для создания и использования ключей локально . Это очень затрудняет расшифровку информации на любом устройстве, кроме того, на котором она была создана.
Погодите, а The Secure Enclave не взломали?
Secure Enclave – это тщательно продуманная установка, которая очень усложняет жизнь хакерам. Но идеальной безопасности не существует, и разумно предположить, что кто-то в конечном итоге все это скомпрометирует.
Летом 2017 года хакеры-энтузиасты обнаружили, что им удалось расшифровать прошивку Secure Enclave. , потенциально давая им представление о том, как работает анклав. Мы уверены, что Apple предпочла бы, чтобы этой утечки не было, но стоит отметить, что хакеры еще не нашли способ получить ключи шифрования, хранящиеся в анклаве: они расшифровали только саму прошивку.
Очистить Анклав перед продажей вашего Mac
Ключи в Secure Enclave на вашем iPhone стираются при выполнении сброса к заводским настройкам. Теоретически они также должны быть удалены при переустановке macOS, но Apple рекомендует очистить Secure Enclave на вашем Mac, если вы использовали что-либо, кроме официального установщика macOS.