| 17 мая 2021 г. — 7:56 PT
В феврале Apple выпустила свое Руководство по безопасности платформы за 2021 год с новыми подробностями о M1 Mac, iOS 14, macOS Big Sur, watchOS 7 и многом другом. Теперь руководство было обновлено с подробностями о том, как работает Touch ID на новой Magic Keyboard, как криптография разблокировки iPhone с помощью Apple Watch в iOS 14.5, и многом другом.
Обновленное Руководство по безопасности платформы подробно описывает, как работает новая Magic Keyboard с Touch ID, которая поставляется с новым iMac M1, и многое другое.
Magic Keyboard с Touch ID выполняет роль биометрического датчика; она не хранит биометрические шаблоны, не выполняет биометрическое сопоставление и не применяет политики безопасности (например, необходимость вводить пароль после 48 часов без разблокировки). Датчик Touch ID в Magic Keyboard с Touch ID должен быть надежно сопряжен с Secure Enclave на Mac перед использованием, после чего Secure Enclave выполняет операции регистрации и сопоставления, а также применяет политики безопасности так же, как это было бы для встроенного датчика Touch ID.
Apple отмечает, что Magic Keyboard с Touch ID может быть «сопряжена только с одним Mac одновременно», но, что интересно, «Mac может поддерживать безопасное сопряжение с пятью различными клавиатурами Magic Keyboard с Touch ID».
Хотя новая клавиатура в настоящее время продается только с новым iMac M1, Apple заявляет, что она будет работать с MacBook с встроенным Touch ID:
Magic Keyboard с Touch ID и встроенные датчики Touch ID совместимы. Если палец, зарегистрированный на встроенном датчике Mac Touch ID, будет представлен Magic Keyboard с Touch ID, Secure Enclave в Mac успешно обработает совпадение — и наоборот.
Документация далее описывает безопасное сопряжение, безопасное намерение сопряжения и безопасность канала Touch ID.
Чтобы обеспечить безопасный канал связи между датчиком Touch ID в Magic Keyboard с Touch ID и Secure Enclave на сопряженном Mac, требуются следующие компоненты:
• Безопасное сопряжение между блоком PKA Magic Keyboard с Touch ID и Secure Enclave, как описано выше
• Безопасный канал между датчиком Magic Keyboard с Touch ID и его блоком PKAБезопасный канал между датчиком Magic Keyboard с Touch ID и его блоком PKA устанавливается на заводе с использованием уникального ключа, общего для них обоих. (Это тот же метод, который используется для создания безопасного канала между Secure Enclave на Mac и его встроенным датчиком для компьютеров Mac со встроенным Touch ID.)
Еще одно важное обновление руководства содержит подробную информацию о криптографии, используемой для функции разблокировки iPhone с помощью Apple Watch, которая появилась с iOS 14.5.
Для большего удобства при использовании нескольких устройств Apple некоторые устройства могут автоматически разблокировать другие в определенных ситуациях. Auto Unlock поддерживает три сценария использования:
• Apple Watch могут быть разблокированы iPhone.
• Mac могут быть разблокированы Apple Watch.
• iPhone может быть разблокирован Apple Watch, когда обнаружен пользователь с закрытым носом и ртом.
Все три сценария построены на одной и той же базовой основе: взаимно аутентифицированном протоколе Station-to-Station (STS) с долгосрочными ключами, которыми обмениваются при включении функции, и уникальными эфемерными сеансовыми ключами, согласовываемыми для каждого запроса. Независимо от базового канала связи, туннель STS согласовывается напрямую между Secure Enclave на обоих устройствах, и весь криптографический материал хранится в этой безопасной области (за исключением компьютеров Mac без Secure Enclave, которые завершают туннель STS в ядре).
Погружаясь в детали того, как это работает, выделяют два этапа:
Полная последовательность разблокировки может быть разбита на два этапа. Сначала устройство, которое разблокируется ( «цель»), генерирует криптографический секрет разблокировки и отправляет его устройству, выполняющему разблокировку ( «инициатору»). Позже инициатор выполняет разблокировку, используя ранее сгенерированный секрет.
Для активации авторазблокировки устройства соединяются друг с другом с помощью BLE-соединения. Затем 32-байтовый секрет разблокировки, случайно сгенерированный целевым устройством, отправляется инициатору через туннель STS. Во время следующей биометрической или парольной разблокировки целевое устройство шифрует свой ключ, производный от пароля (PDK), секретом разблокировки и удаляет секрет разблокировки из своей памяти.
Для выполнения разблокировки устройства инициируют новое BLE-соединение, а затем используют одноранговый Wi-Fi для безопасного определения приблизительного расстояния между собой. Если устройства находятся в указанном диапазоне и выполняются необходимые политики безопасности, инициатор отправляет свой секрет разблокировки цели через туннель STS. Затем цель генерирует новый 32-байтовый секрет разблокировки и возвращает его инициатору. Если текущий секрет разблокировки, отправленный инициатором, успешно расшифровывает запись разблокировки, целевое устройство разблокируется, а PDK перешифровывается новым секретом разблокировки. Наконец, новый секрет разблокировки и PDK затем удаляются из памяти целевого устройства.
Вместе с этими обновлениями Apple добавила подробности о хэше CustomOS Image4 Manifest и внесла некоторые изменения в детали транзакций Express Mode, Secure Multi-Boot и Sealed Key Protection.
Полное Руководство по безопасности платформы за май 2021 года можно найти здесь, а также страницу Apple, посвященную безопасности, для получения более подробной информации.