Apakah Apple Enclave Secure, Dan Bagaimana Ia Melindungi iPhone atau Mac saya?

iPhone dan Mac dengan Touch ID atau Face ID menggunakan pemproses berasingan untuk mengendalikan maklumat biometrik anda. Ia dipanggil Enclave Secure, ia pada dasarnya merupakan satu komputer secara keseluruhan, dan ia menawarkan pelbagai ciri keselamatan.

Butang Enclave Secure secara berasingan dari peranti anda yang lain. Ia menjalankan mikrokernelnya sendiri, yang tidak boleh diakses langsung oleh sistem pengendalian anda atau mana-mana program yang berjalan pada peranti anda. Terdapat 4MB penyimpanan yang boleh dimuatkan, yang digunakan secara eksklusif untuk menyimpan kunci peribadi lengkung elips 256-bit. Kekunci-kekunci ini unik untuk peranti anda, dan tidak pernah disegerakkan ke awan atau langsung dilihat oleh sistem pengendalian utama peranti anda. Sebaliknya, sistem meminta Enclave Secure untuk mendekripsi maklumat menggunakan kunci.

Kenapa Enclave Aman ada?

Enclave Secure menjadikannya sangat sukar bagi penggodam untuk mendekripsi maklumat sensitif tanpa akses fizikal ke peranti anda. Kerana Enclave Secure adalah sistem yang berasingan, dan kerana sistem operasi utama anda tidak pernah benar-benar melihat kunci penyahsulitan, sangat sukar untuk mendekripsi data anda tanpa kebenaran yang tepat.

Perlu diingat bahawa maklumat biometrik anda sendiri tidak disimpan di Enclave Aman; 4MB tidak mempunyai ruang penyimpanan yang mencukupi untuk semua data itu. Sebaliknya, Enclave menyimpan kunci penyulitan yang digunakan untuk mengunci data biometrik itu.

Program pihak ketiga juga boleh mencipta dan menyimpan kunci dalam lingkungan untuk mengunci data tetapi aplikasinya tidak pernah mempunyai akses kepada kunci itu sendiri. Sebaliknya, aplikasi membuat permintaan untuk Secure Enclave untuk menyulitkan dan menyahsulit data. Ini bermakna mana-mana maklumat yang disulitkan menggunakan Enclave adalah sangat sukar untuk menyahsulit pada mana-mana peranti lain.

Untuk memetik dokumentasi Apple untuk pemaju:

Apabila anda menyimpan kunci persendirian di Enclave Secure, anda tidak pernah mengendalikan kunci tersebut, menjadikannya sulit untuk dikompromi. Sebaliknya, anda mengarahkan Enclave Selamat untuk mencipta kunci, menyimpannya dengan selamat, dan menjalankan operasi dengannya. Anda hanya menerima output operasi ini, seperti data yang disulitkan atau hasil pengesahan tandatangan kriptografi.

Ia juga perlu diperhatikan bahawa Enclave Secure tidak boleh mengimport kunci dari peranti lain: ia direka secara eksklusif untuk membuat dan menggunakan kekunci tempatan. Ini menjadikannya sangat sukar untuk menyahsulitkan maklumat pada mana-mana peranti tetapi yang dibuatnya.

Tunggu, Bukankah Enclave Aman dikesan?

Enclave Secure adalah persediaan yang rumit, dan menjadikan kehidupan sangat sukar bagi penggodam. Tetapi tidak ada perkara seperti keselamatan yang sempurna, dan munasabah untuk menganggap seseorang akan berkompromi dengan semua ini.

Pada musim panas tahun 2017, penggodam bersemangat mendedahkan bahawa mereka telah berjaya menyahsulit firmware Enclave Secure, yang berpotensi memberi mereka wawasan tentang bagaimana enklaf itu berfungsi. Kami yakin Apple akan lebih suka kebocoran ini tidak berlaku, tetapi perlu diperhatikan bahawa penggodam belum lagi mencari cara untuk mendapatkan kunci penyulitan yang tersimpan di kawasan: mereka hanya mengahripsi firmware itu sendiri.

Bersihkan Enclave Sebelum Menjual Mac anda

Kunci dalam Enclave Selamat pada iPhone anda akan dihapuskan apabila anda melakukan tetapan semula kilang. Secara teori mereka juga perlu dibersihkan apabila anda memasang semula macOS, tetapi Apple menyarankan anda membersihkan Enclave Secure pada Mac anda jika anda menggunakan apa-apa tetapi pemasang macOS rasmi.