| 26 февраля 2014 г. — 14:17 PT
В последнем выпуске своего документа iOS Security, на который обратил внимание TechCrunch, Apple предоставила ряд деталей о работе и процессах системы распознавания отпечатков пальцев Touch ID, предлагаемой в iPhone 5s. Документ описывает Secure Enclave, «дополнительный сопроцессор, встроенный в чип Apple A7», который безопасно сопоставляет активные отпечатки пальцев, считываемые Touch ID, с зарегистрированными отпечатками, сохраненными пользователем. Хотя большая часть того, как работает Touch ID, была раскрыта осенью прошлого года с представлением iPhone 5s и через опыт использования, в официальном документе указаны более конкретные детали, чем те, что были предоставлены ранее…
По данным Apple, вероятность случайного совпадения одного зарегистрированного отпечатка пальца с отпечатком другого человека составляет 1 к 50 000.
Apple описывает систему Secure Enclave для безопасного управления идентификационными данными, сохраняя данные отдельно от остальной части системы с помощью зашифрованной памяти и генератора случайных чисел аппаратного уровня.
Каждый Secure Enclave при производстве снабжается собственным UID (уникальным идентификатором), который недоступен другим частям системы и не известен Apple. При запуске устройства создается временный ключ, связанный с его UID, который используется для шифрования части памяти устройства, выделенной для Secure Enclave.
Кроме того, данные, сохраняемые Secure Enclave в файловой системе, шифруются ключом, связанным с UID, и счетчиком защиты от повторного воспроизведения.
Далее Apple описывает роль A7 в авторизации Touch ID:
Обмен данными между A7 и датчиком Touch ID происходит по шине последовательного периферийного интерфейса. A7 передает данные в Secure Enclave, но не может их прочитать. Они шифруются и аутентифицируются с помощью сеансового ключа, который согласовывается с использованием общего ключа устройства, встроенного в датчик Touch ID и Secure Enclave. Обмен сеансовыми ключами использует AES key wrapping, при этом обе стороны предоставляют случайный ключ, который устанавливает сеансовый ключ и использует транспортное шифрование AES-CCM.
Как, вероятно, обнаружили многие пользователи Touch ID, в некоторых случаях вместо Touch ID требуется ввод пароля. В документе точно указано, когда Touch ID не может быть использован и требуется ввод пароля:
Пароль всегда можно использовать вместо Touch ID, и он по-прежнему требуется при следующих обстоятельствах:
— iPhone 5s только что был включен или перезагружен
— iPhone 5s не разблокировался более 48 часов
— После пяти неудачных попыток распознавания отпечатка пальца
— При настройке или регистрации новых отпечатков пальцев с помощью Touch ID
— iPhone 5s получил команду удаленной блокировки
Вы можете ознакомиться с полным документом iOS Security, содержащим информацию о безопасности приложений, сетевой безопасности и многом другом, здесь.
Также стоит отметить, что Samsung анонсировала свой смартфон Galaxy S5 со своим собственным сканером отпечатков пальцев с доступом для разработчиков, поэтому мы спросили читателей сегодня утром, должна ли Apple разрешить разработчикам iOS использовать Touch ID.