Компания из Купертино опубликовала на мини-сайте iPhone для бизнеса внушительный PDF-документ на 33 страницах, в котором довольно подробно описала основные компоненты безопасности iOS и принципы их работы. Особенно интересным представляется раздел, посвященный Touch ID.

Secure Enclave

Многие пользователи забывают, что помимо самого сканера у Touch ID существует еще один важный компонент под названием Secure Enclave, в котором, собсвтенно говоря, и хранятся данные об отпечатках пальцев. С технической точки зрения это сопроцессор, встроенный в чип Apple A7.

Он использует свою собственную безопасную загрузку и обновляет программное обеспечение отдельно от процессора приложений. Также, он обеспечивает все криптографические операции для управления ключами класса Data Protection и обеспечивает его целостность даже если ядро было скомпрометировано.

Каждый Secure Enclave в процессе изготовления получает свой собственный уникальный идентификатор (UID), который не доступен для других компонентов системы и неизвестен Apple. При запуске устройства создается так называемый эфемерный ключ. Он объединяется с этим UID и используется для шифрования пространства памяти, к которому обращается Secure Enclave. Кроме того, сохраненные там данные шифруются при помощи аналогичной «связки» эфемерного помощью ключа, UID и специального счетчика.

Secure Enclave отвечает за обработку данных отпечатков пальцев, полученных с датчика Touch ID. Именно он устанавливает подлинность владельца устройства, а затем обеспечивает к нему доступ или позволяет системе осуществить покупку содержимого в магазине контента Apple.

Связь между A7 и Touch ID происходит через последовательную шину. SoC способен записать данные в Secure Enclave, но не может их прочитать. Аутентификация происходит с помощью ключа сеанса. Также, в системе применяется общий ключ, встроенный в сенсор Touch ID и Secure Enclave, а также шифрование AES-CCM.

Touch ID

Как вы уже знаете, Touch ID представляет из себя подсистему сканирования отпечатков пальцев, встроенную в iPhone 5s, которая позволяет обезопасить устройство, но при этом упростить и ускорить доступ к нему. Данная технология считывает отпечатки под любым углом и со временем начинает узнавать владельца всё лучше и лучше, поскольку сенсор получает больше данных о дугах, петлях и завитках пальцев.

С помощью Touch ID можно использовать более длинный, более сложный код доступа. При этом владелец iPhone не будет испытывать лишних неудобств, ведь пароль не придется часто вводить.

Touch ID и код доступа

Перед началом использования Touch ID на устройстве необходимо включить код доступа (Passcode). Как только сенсор «узнает» отпечаток пальца, он разблокирует iPhone 5s, не требуя пароля. Тем не менее, существует ряд ситуаций, когда он всё равно может понадобиться:

  • iPhone 5s только что включился или был перезапущен.
  • Смартфон не разблокировался ни одним из доступных методов в течение 48 и более часов.
  • Система пять раз подряд не смогла опознать палец.
  • Во время настройки и добавления новых пальцев в Touch ID.
  • iPhone 5s получил команду для удаленной блокировки через систему Find My iPhone.

iPhone со активным Touch ID блокируется сразу же после нажатия на кнопку Power. Это отличает данную систему безопасности от использования обычного пароля, поскольку многие владельцы iДевайсов обычно устанавливают небольшое временное окно (этот параметр можно указать в Настройках > Основные > Защита паролем > Запрос пароля), при котором этот код для разблокировки устройства повторно вводить не нужно.

Тем не менее, после пяти неудачных попыток сканирования получить доступ к содержимому смартфона можно будет только после ввода пароля.

Другие варианты использования Touch ID

С помощью Touch ID пользователи способны совершать покупки в iTunes Store, App Store и iBookstore без ввода пароля от своей учетной записи Apple. В этот момент происходит обмен аутентификационными токенами между устройством и магазином. Токен и случайный код (nonce) обрабатываются в Secure Enclave, где подписываются секретным ключом, общим для всех устройств и iTunes Store. Аутентификация с помощью Touch ID и сохраненные отпечатки пальцев недоступны для сторонних приложений или третьих лиц.

Безопасность Touch ID

Датчик отпечатков активируется после того, как ёмкостное стальное кольцо, окружающее кнопку Home, обнаруживает прикосновение пальца. Далее происходит сканирование его поверхности в растровое изображение с размерами 88х88 px (500 ppi), которое временно хранится в зашифрованной памяти, пока сопроцессор Secure Enclave переводит его в векторное изображение и анализирует.

В ходе этого процесса отбрасываются все мелочи и строится карта субэпидермального слоя пальца, которая впоследствии применяется для идентификации пользователя. Полученная карта никогда не покидает пределов iPhone 5s, а также хранится в зашифрованном виде без привязки к конкретному человеку. Она никогда не отправляется в Apple и не хранится в резервных копиях iCloud или iTunes.

Как Touch ID разблокирует iPhone 5s

На устройствах с процессором A7 в Secure Enclave хранятся криптографические ключи для класса Data Protection. Когда гаджет заблокирован, ключи для этого класса сбрасываются, а файловая система и элементы Keychain недоступны до тех пор, пока пользователь не разблокирует устройство, введя свой пароль.

На заблокированном iPhone 5s со включенным Touch ID эти ключи не сбрасываются. Вместо этого они «оборачиваются» ключом, который выдан подсистеме Touch ID. Когда сенсор распознает палец, он передаёт ключ для «разворачивания» класса Data Protection и смартфон разблокируется. Этот процесс обеспечивает дополнительную защиту устройства.

Дешифрованные ключи класса хранятся в памяти до тех пор, пока iPhone 5s не будет перезагружен. Кроме того, как было сказано выше, Secure Enclave сбросит ключи после 48 часов бездействия или 5 неудачных попыток распознавания отпечатка с помощью Touch ID.


Читайте также: