Apple изучает разработку своей технологии Secure Enclave, которая позволит нескольким пользователям безопасно использовать один iPhone или iPad без раскрытия личной информации другим пользователям.
«Предоставление доменов в безопасном анклаве для поддержки нескольких пользователей» — это недавно выданный Apple патент, который очень конкретно касается безопасного разрешения более чем одному пользователю использовать устройство. Это могло означать Mac не меньше, чем iOS. Apple даже ссылается на «как однопользовательские мобильные вычислительные устройства, так и многопользовательские портативные и настольные вычислительные устройства».
Однако, учитывая, что Mac уже имеет многопользовательскую поддержку, более вероятная цель этого патента — предоставить эту функциональность на устройствах iOS. И, прежде всего, сделать это надежно.
«Вычислительное устройство может использовать несколько кодов доступа и связанных ключей шифрования, при этом несколько кодов доступа или ключей шифрования могут быть связаны с каждой отдельной учетной записью пользователя в системе», — говорится в патенте.
«Прежде чем пользователь сможет получить доступ к данным, хранящимся на вычислительном устройстве, от пользователя может потребоваться успешная аутентификация через экран входа в систему», — продолжает он. «Тем не менее, все еще может быть возможно получить доступ к данным, хранящимся в вычислительной системе, без знания имени пользователя / пароля или кода доступа, если данные хранятся в незашифрованном виде».
«Злоумышленник может извлекать данные прямо из памяти», — продолжает патент. «Если злоумышленник имеет физический доступ к вычислительной системе, злоумышленник может удалить одно или несколько запоминающих устройств из системы и получить доступ к этим устройствам через другую систему».
Таким образом, помимо того, что Apple заботится о распознавании более чем одного пользователя с помощью «нескольких кодов доступа и связанных ключей шифрования», эти ключи нужны для «защиты данных в вычислительной системе».
Если Apple применяет это к устройствам iOS, то, естественно, каждый пользователь должен иметь свою личную информацию, от логинов до данных Apple Pay, в безопасности. Тем не менее, каждому пользователю также потребуется доступ к определенным общим функциям устройства, таким как его веб-браузер, иначе им вообще нет смысла использовать iPhone.
«[Consequently, to] разрешить многопользовательский доступ к системе обработки данных, могут быть созданы групповые ключи, так что членство в группе в системе (например, администраторы, пользователи и т. д.) могут обеспечивать различные уровни доступа к системе », — говорится в сообщении. патент.
Большая часть деталей патента сосредоточена на «использовании периферийного процессора или системы обработки, которая отделена от системных процессоров». Этот периферийный процессор «представляет собой систему на микросхеме (SoC), интегральную схему, которая позволяет выполнять различные безопасные периферийные операции и операции ввода / вывода (I / O)».
Apple не хочет связывать себя конкретным упоминанием чипа T2, но заявляет, что эта система «может включать в себя защищенный процессор анклава (SEP)».
Деталь из патента, показывающая одну конфигурацию аутентификации перед тем, как пользователь сможет получить доступ к данным на устройстве
Возможно, он говорит о том, как этот SEP или аналогичный ограничивает доступ только тем, что разрешено использовать конкретному пользователю. SEP может быть «главным арбитром для всего доступа к данным в системе», что означает, что все должно проходить через эту будущую версию микросхемы T2.
В рамках этого патента подробно описаны методы того, как один авторизованный пользователь может установить, что может видеть другой пользователь. В нем обсуждается, как обычная система или злоумышленник «не может получить доступ к ресурсам внутри SEP».
Помимо возможности для нескольких пользователей использовать одно устройство, большая часть этой защиты скрыта за знакомым паролем или, возможно, Face ID. Однако то, что может увидеть пользователь, включает в себя то, что происходит, когда он вводит неправильный пароль.
Нам уже знакома идея о том, что после стольких неудачных попыток входа в систему вас блокируют. Патент Apple предполагает, что, прежде чем вы дойдете до этой стадии, систему можно намеренно замедлить.
«Регулирование паролей может быть включено на некоторых однопользовательских мобильных вычислительных устройствах, таких как смартфоны или планшеты, — говорится в сообщении, — чтобы ограничить скорость, с которой неавторизованный пользователь может пытаться ввести неправильные пароли».
«В качестве дополнительной техники скорость ввода кода доступа может быть снижена после заранее определенного количества неправильных попыток аутентификации», — продолжает он. «Снижение количества неправильных попыток дает различные преимущества, включая ограничение вероятности случайной блокировки и нарушение способности злоумышленника выполнить атаку с использованием пароля путем перебора».
Этот патент принадлежит трем изобретателям: Пьеру Оливье Мартелю, Артуру Мешу и Уэйду Бенсону. Среди их многих связанных предыдущих патентов есть один, касающийся доступа нескольких пользователей к контейнерам данных на одном устройстве.
Новый патент — далеко не первое исследование Apple о множестве пользователей устройства iOS. Еще в 2013 году он подал заявку на получение всеобъемлющего патента в отношении нескольких пользователей одного и того же устройства с Touch ID.
