В феврале Apple выпустила руководство по безопасности платформы на 2021 год с новыми подробностями о компьютерах Mac M1, iOS 14, macOS Big Sur, watchOS 7 и других. Теперь в руководство добавлено подробное описание того, как работает Touch ID на новой клавиатуре Magic Keyboard, как работает разблокировка iPhone с помощью Apple Watch в криптографии iOS 14.5 и многое другое.
В обновленном руководстве по безопасности платформы подробно описывается, как работает новая клавиатура Magic Keyboard с Touch ID, которая поставляется с новыми iMac M1, и многое другое.
Magic Keyboard с Touch ID выполняет роль биометрического датчика; он не хранит биометрические шаблоны, не выполняет биометрическое сопоставление и не применяет политики безопасности (например, необходимость ввода пароля через 48 часов без разблокировки). Датчик Touch ID в Magic Keyboard с Touch ID должен быть надежно подключен к Secure Enclave на Mac, прежде чем его можно будет использовать, а затем Secure Enclave выполнит операции регистрации и сопоставления и применяет политики безопасности так же, как и для встроенный сенсор Touch ID.
Apple отмечает, что Magic Keyboard с Touch ID может быть «сопряжена только с одним Mac за раз», но, что интересно, «Mac может поддерживать безопасное сопряжение с пятью различными клавиатурами Magic Keyboard с Touch ID».
Пока новая клавиатура продается только с новым iMac M1, Apple заявляет, что она будет работать с MacBook со встроенным Touch ID:
Совместима клавиатура Magic Keyboard с Touch ID и встроенными датчиками Touch ID. Если палец, зарегистрированный на встроенном сенсоре Touch ID Mac, представлен на Magic Keyboard с Touch ID, Secure Enclave на Mac успешно обработает совпадение — и наоборот.
В документации также описывается безопасное сопряжение, безопасное намерение сопряжения и безопасность канала Touch ID.
Чтобы обеспечить безопасный канал связи между датчиком Touch ID на клавиатуре Magic Keyboard с Touch ID и Secure Enclave на сопряженном Mac, необходимо следующее:
• Безопасное соединение клавиатуры Magic Keyboard с блоком Touch ID PKA и Secure Enclave, как описано выше.
• Безопасный канал между Magic Keyboard с сенсором Touch ID и блоком PKA.Защищенный канал между клавиатурой Magic Keyboard с сенсором Touch ID и блоком PKA устанавливается на заводе с использованием уникального ключа, общего для обоих. (Это тот же метод, который используется для создания безопасного канала между Secure Enclave на Mac и его встроенным датчиком для компьютеров Mac со встроенным Touch ID.)
В другом основном обновлении руководства рассказывается о криптографии, используемой для разблокировки iPhone с помощью функции Apple Watch, запущенной с iOS 14.5.
Для большего удобства при использовании нескольких устройств Apple некоторые устройства могут автоматически разблокировать другие в определенных ситуациях. Автоматическая разблокировка поддерживает три использования:
• Apple Watch можно разблокировать с помощью iPhone.
• Mac можно разблокировать с помощью Apple Watch.
• iPhone можно разблокировать с помощью Apple Watch, когда пользователь обнаруживает, что его нос и рот прикрыты.
Все три варианта использования построены на одной и той же базовой основе: протокол взаимной аутентификации между станциями (STS) с долгосрочными ключами, которые обмениваются во время включения функции, и уникальными эфемерными сеансовыми ключами, согласованными для каждого запроса. Независимо от основного канала связи, туннель STS согласовывается напрямую между Secure Enclaves на обоих устройствах, и весь криптографический материал хранится в этом защищенном домене (за исключением компьютеров Mac без Secure Enclave, которые завершают туннель STS в ядро).
Если углубиться в детали того, как это работает, можно выделить два этапа:
Полная последовательность разблокировки может быть разбита на два этапа. Сначала разблокируемое устройство («цель») генерирует криптографический секрет разблокировки и отправляет его устройству, выполняющему разблокировку («инициатору»). Позже инициатор выполняет разблокировку, используя ранее сгенерированный секрет.
Чтобы активировать автоматическую разблокировку, устройства подключаются друг к другу с помощью соединения BLE. Затем 32-байтовый секрет разблокировки, случайно сгенерированный целевым устройством, отправляется инициатору по туннелю STS. Во время следующей биометрической разблокировки или разблокировки с помощью пароля целевое устройство обертывает свой ключ, полученный из кода доступа (PDK), с секретом разблокировки и сбрасывает секрет разблокировки из своей памяти.
Чтобы выполнить разблокировку, устройства инициируют новое соединение BLE, а затем используют одноранговую сеть Wi-Fi для безопасного определения расстояния между собой. Если устройства находятся в пределах указанного диапазона и соблюдены требуемые политики безопасности, инициатор отправляет свой секрет разблокировки цели через туннель STS. Затем цель генерирует новый 32-байтовый секрет разблокировки и возвращает его инициатору. Если текущий секрет разблокировки, отправленный инициатором, успешно расшифровывает запись разблокировки, целевое устройство разблокируется, и PDK повторно упаковывается с новым секретом разблокировки. Наконец, новый секрет разблокировки и PDK удаляются из памяти цели.
Наряду с этими обновлениями Apple добавила подробности о хэше манифеста CustomOS Image4 и отредактировала некоторые детали для транзакций в экспресс-режиме, безопасной мульти-загрузки и защиты запечатанного ключа.
Вы можете найти полное руководство по безопасности платформы от мая 2021 года здесь, а также целевую страницу безопасности Apple здесь для получения дополнительных сведений.
