Mikä on Applen ”Secure Enclave” ja miten se suojaa iPhonea tai Macia?
iPhonet ja Macit, joilla on Touch ID tai Face ID, käyttävät erillistä prosessoria käsittelemään biometrisiä tietojasi. Sitä kutsutaan Secure Enclave, se on pohjimmiltaan koko tietokone itsessään, ja se tarjoaa erilaisia turvaominaisuuksia.
Suojattu Enclave saapuu erillään muusta laitteesta. Se käyttää omaa mikrokorttia, jota käyttöjärjestelmäsi tai laitteessasi toimivat ohjelmat eivät pääse suoraan käsiksi. On 4 Mt: n flash-tallennustilaa, jota käytetään yksinomaan 256-bittisten elliptisten käyrän yksityisten avainten tallentamiseen. Nämä avaimet ovat laitteellesi ainutlaatuisia, eivätkä ne koskaan synkronoidu pilviin eivätkä edes näy laitteen ensisijaisessa käyttöjärjestelmässä. Sen sijaan järjestelmä pyytää Secure Enclave -ohjelmaa purkamaan tiedot näppäimillä.
Miksi Secure Enclave on olemassa?
Secure Enclave -palvelun avulla hakkereilla on hyvin vaikea purkaa arkaluonteisia tietoja ilman fyysistä pääsyä laitteeseen. Koska Secure Enclave on erillinen järjestelmä, ja koska ensisijainen käyttöjärjestelmäsi ei koskaan näe salauksen purkamisavaimia, on uskomattoman vaikeaa purkaa tietoja ilman valtuutusta.
On syytä huomata, että biometrisiä tietojasi ei tallenneta Secure Enclave; 4MB ei riitä kaikkien näiden tietojen säilytykseen. Sen sijaan Enclave tallentaa salausavaimet, joita käytetään biometristen tietojen lukitsemiseen.
Kolmannen osapuolen ohjelmat voivat myös luoda ja tallentaa avaimia erillisalueella tietojen lukitsemiseksi, mutta sovellukset koskaan pääse avaimiin itse. Sen sijaan sovellukset pyytävät Secure Enclaveä salaamaan ja purkamaan tietoja. Tämä tarkoittaa, että kaikki Enclave-salauksen avulla salatut tiedot ovat erittäin vaikea purkaa millään muulla laitteella.
Applen dokumentaation lainaaminen kehittäjille:
Kun tallennat yksityisen avaimen Secure Enclave -ohjelmaan, et koskaan käsittele avainta, mikä vaikeuttaa avaimen vaarantumista. Sen sijaan kehotat Secure Enclave -ohjelmaa luomaan avaimen, tallentamaan sen turvallisesti ja suorittamaan sen kanssa toimintoja. Saat vain näiden operaatioiden tuotoksen, kuten salatun datan tai salauksen allekirjoituksen tarkistustuloksen.
On myös syytä huomata, että Secure Enclave ei voi tuoda avaimia muista laitteista: se on suunniteltu ainoastaan avainten luomiseksi ja käyttämiseksi paikallisesti. Tämän vuoksi on hyvin vaikea purkaa tietoja millä tahansa laitteella, mutta siinä, jossa se on luotu.
Odota, ei suojattu Enclave hakkeroitu?
Secure Enclave on monimutkainen asennus ja tekee hakkereille elämän hyvin vaikeaksi. Mutta ei ole sellaista asiaa kuin täydellinen turvallisuus, ja on järkevää olettaa, että joku vaarantaa kaiken tämän.
Kesällä 2017 innostuneet hakkerit osoittivat, että he pystyivät purkamaan Secure Enclave -palvelun ohjelmiston, mikä antaa heille mahdollisuuden tutustua siihen, miten erillisalue toimii. Olemme varmoja, että Apple mieluummin tämä vuoto ei olisi tapahtunut, mutta on syytä huomata, että hakkerit eivät ole vielä löytäneet tapa hakea enklaaviin tallennettuja salausavaimia: ne ovat vain purkaneet itse laiteohjelmiston.
Puhdista Enklave ennen Macin myyntiä
IPhonen Secure Enclave -toiminnon näppäimet pyyhitään, kun tehdasasetukset palautetaan. Teoriassa ne on myös poistettava, kun asennat macOS-ohjelmiston uudelleen, mutta Apple suosittelee, että tyhjennät Mac-tietokoneesi Secure Enclave -palvelun, jos käytit muuta kuin virallista MacOS-asentajaa.