Secure enclave что это

Обновлено: 05.07.2024

Для безопасной работы программного обеспечения требуется оборудование со встроенными функциями безопасности. Вот почему на устройствах Apple — с iOS, iPadOS, macOS, watchOS и tvOS — функции безопасности встроены в процессор. К этим функциям относится центральный процессор, обеспечивающий работу функций безопасности системы, а также дополнительный выделенный чип, который отвечает только за функции, связанные с безопасностью. Аппаратные средства безопасности следуют принципу поддержки ограниченного набора функций, которые определяются по отдельности, чтобы минимизировать атакуемую область. Такие компоненты включают загрузочное ПЗУ, которое задает аппаратный корень доверия для безопасной загрузки, выделенные модули AES для эффективного и безопасного шифрования и дешифрования, а также Secure Enclave. Secure Enclave — это система на кристалле (SoC), которой оснащены все устройства iPhone, iPad, Apple Watch , Apple TV и HomePod последних поколений, а также все компьютеры Mac с чипом Apple и компьютеры Mac с чипом безопасности Apple T2. Secure Enclave построен по тому же принципу, что и вся система на кристалле: он содержит собственное дискретное загрузочное ПЗУ и собственный дискретный модуль AES. Secure Enclave также предоставляет основу для безопасного создания и хранения ключей, необходимых для шифрования хранящихся на устройстве данных, а также защищает и оценивает биометрические данные для Touch ID и Face ID .

Шифрование хранилища должно выполняться быстро и эффективно. При этом не должны раскрываться те данные (или данные ключей), которые используются для построения отношений в криптографической системе с ключами. Аппаратный модуль AES решает эту задачу, выполняя быстрое шифрование и дешифрование по мере записи или чтения файлов. Необходимые данные ключей передаются по специальному каналу из Secure Enclave в модуль AES, не раскрывая эту информацию процессору приложений (или центральному процессору) или всей операционной системе. Это помогает функции защиты данных и технологии FileVault компании Apple защитить файлы пользователей, не раскрывая долговременные ключи шифрования.

Компания Apple разработала безопасную загрузку, чтобы защитить программное обеспечение самых низких уровней от взлома и чтобы при запуске загружалось только доверенное программное обеспечение операционной системы, разработанное Apple. В основе безопасной загрузки лежит постоянный код загрузочного ПЗУ, который закладывается в процессе изготовления систем на кристалле Apple и называется аппаратным корнем доверия. На компьютерах Mac с чипом T2 цепочка доверия безопасной загрузки macOS начинается с чипа T2. (Чип T2 и сопроцессор Secure Enclave также выполняют собственную безопасную загрузку, используя собственное загрузочное ПЗУ, что представляет собой точный аналог безопасной загрузки чипа серии A и M1.)

Secure Enclave также обрабатывает данные распознавания отпечатков пальцев и лиц, полученные от сенсоров Touch ID и Face ID устройств Apple. Таким образом обеспечивается безопасная аутентификация с сохранением конфиденциальности биометрических данных. Пользователи также могут использовать более длинные и сложные пароли и код-пароли для повышения безопасности, при этом во многих ситуациях продолжая использовать быструю аутентификацию для доступа к функциям и совершения покупок.

Что такое «безопасный анклав» Apple и как он защищает мой iPhone или Mac?

iPhone и Mac с Touch ID или Face ID используют отдельный процессор для обработки вашей биометрической информации. Он называется Secure Enclave, он представляет собой целый компьютер сам по себе и предлагает множество функций безопасности.

Secure Enclave загружается отдельно от остальной части вашего устройства. Он запускает свое собственное микроядро, которое не доступно напрямую вашей операционной системе или любым программам, запущенным на вашем устройстве. Имеется 4 МБ флэш-памяти, которая используется исключительно для хранения закрытых ключей с 256-битной эллиптической кривой. Эти ключи уникальны для вашего устройства и никогда не синхронизируются с облаком и даже не видны непосредственно основной операционной системой вашего устройства. Вместо этого система просит Secure Enclave дешифровать информацию с помощью ключей.

Зачем Apple потребовала удалить твит

Этот код позволяет изучить систему шифрования iPhone и даже взломать его

Apple объявила войну хакерам, а потом передумала

Долгое время взломать iPhone было невозможно. В результате такое понятие, как джейлбрейк, практически исчезло из обихода пользователей iOS. Это пошло Apple на пользу. Во-первых, доморощенные хакеры перестали демонстрировать ей своё превосходство, а, во-вторых, клиенты смекнули, что получить бесплатный софт больше негде и пора бы уже приучиться покупать его за деньги. Тем не менее, этим летом разработчики компании, сами того не ведая, открыли в iOS 12.4 критическую уязвимость, которая позволила не только взломать эту версию ОС, но и, по сути, стала ключом ко взлому всех последующих сборок. Радовало в этой ситуации то, что взломать Secure Enclave было нельзя. По крайней мере, до недавнего времени.

Исследователь в области безопасности, известный под псевдонимом Siguza, опубликовал у себя в Твиттере ключ дешифровки, позволяющий получить доступ к информации из участка Secure Enclave в iPhone 11, который хранит в себе пароли, биометрию и другие зашифрованные данные. Тем самым он открыл возможность всем желающим изучить особенности криптографической защиты устройств Apple, а при наличии соответствующих познаний и навыков – получить доступ к другим защитным механизмам гаджетов компании.

Почему существует безопасный анклав?

Безопасный анклав очень затрудняет хакерам дешифрование конфиденциальной информации без физического доступа к вашему устройству. Поскольку Secure Enclave — это отдельная система, а ваша основная операционная система фактически никогда не видит ключи дешифрования, невероятно сложно расшифровать ваши данные без надлежащей авторизации.

Стоит отметить, что ваша биометрическая информация не хранится в безопасном анклаве; 4 МБ недостаточно места для хранения всех этих данных. Вместо этого Анклав хранит ключи шифрования, используемые для блокировки этих биометрических данных.

Сторонние программы также могут создавать и хранить ключи в анклаве для блокировки данных, но приложения никогда не имеют доступа к самим ключам . Вместо этого приложения отправляют запросы в Secure Enclave для шифрования и дешифрования данных. Это означает, что любую информацию, зашифрованную с помощью Enclave, невероятно сложно расшифровать на любом другом устройстве.

Когда вы храните закрытый ключ в Secure Enclave, вы фактически никогда не обращаетесь с ним, что затрудняет его взлом. Вместо этого вы указываете Secure Enclave создать ключ, надежно сохранить его и выполнить операции с ним. Вы получаете только выходные данные этих операций, такие как зашифрованные данные или результаты проверки криптографической подписи.

Стоит также отметить, что Secure Enclave не может импортировать ключи с других устройств: он предназначен исключительно для создания и использования ключей локально. Это очень затрудняет расшифровку информации на любом устройстве, кроме того, на котором оно было создано.

Подождите, не был ли взломан безопасный анклав?

Secure Enclave — это сложная настройка, которая очень усложняет жизнь хакерам. Но такой вещи, как идеальная безопасность, не существует, и разумно предположить, что кто-то в конечном итоге все это скомпрометирует.

Летом 2017 года энтузиасты-хакеры рассказали, что им удалось расшифровать прошивку Secure Enclave , что может дать им представление о том, как работает анклав. Мы уверены, что Apple предпочла бы, чтобы эта утечка не произошла, но стоит отметить, что хакеры еще не нашли способ получить ключи шифрования, хранящиеся в анклаве: они только расшифровали саму прошивку.

Apple сдалась хакерам?

Впрочем, через несколько дней твит появился снова. Как сообщил Motherboard, это произошло, потому что Apple повторно обратилась к руководству Твиттера с просьбой вернуть исходную публикацию. Почему – остаётся загадкой. Возможно, в Купертино и вправду решили, что таким образом душат свободу слова, за которую сами же и радеют, а может быть, первоначальные опасения компании попросту не сбылись, а потому она приняла решение, что бесполезный (конечно, если он бесполезный) ключ шифрования, преданный огласке, не нанесёт безопасности её устройств никого вреда.

В последнее время Apple довольно сильно ужесточила свою политику в отношении исследователей в области безопасности. Несмотря на то что она собственноручно раздала нескольким экспертам незащищённые iPhone, чтобы те занимались поисками аппаратных багов и уязвимостей, этим летом юристы компании подали в суд на стартап Corellium, занимающийся взломами iOS. Это было крайне неожиданно, учитывая, что раньше Apple никогда не пыталась подавить деятельность хакеров правовыми методами, а старалась просто совершенствовать защиту своих устройств.

В новых iPhone, iPad и Mac есть неисправляемый баг, позволяющий взломать их

Apple дальше других компаний зашла в совершенствовании технологий безопасности. Едва ли не каждая технология, которую она представляла, обеспечивала ей качественный прорыв, оставляя конкурентов где-то далеко позади. Ведь если скопировать Touch ID у большинства из них худо-бедно получилось, то вот разработать отдельный процессор, который бы шифровал биометрические и другие конфиденциальные данные и хранил их в выделенном сегменте памяти, у самых продвинутых из них начало получаться только сейчас. Жалко только, что наработки Apple всё-таки неидеальны.

Все современные iPhone, iPad и Mac можно взломать и изъять биометрические данные

Secure Enclave – это сопроцессор безопасности, которым Apple оснащает почти все свои устройства. Он шифрует чувствительную информацию, в том числе биометрию, платёжные данные и т.д., и позволяет расшифровать её только с использованием ключей шифрования, которые хранятся исключительно на устройстве и не синхронизируются с iCloud.

В процессоре Secure Enclave, который отвечает за шифрование и хранение конфиденциальных данных, есть критическая уязвимость, способная подвергнуть риску безопасность пользователей iPhone, iPad и даже Mac, выяснили исследователи из команды Pangu. Она позволяет хакерам воспользоваться эксплойтом, который взломает ключи шифрования и выдаст их без ввода пароля безопасности. Получается, что вся биометрия, все платёжные данные и другая конфиденциальная информация, которую хранит Secure Enclave, окажется в опасности.

Все современные устройства Apple подвержены взлому Secure Enclave

Уязвимость, о которой идёт речь, затрагивает довольно широкий спектр устройств:

и новее
• iPad 2017 и новее
• iPad Air 1-го поколения и новее
• iPad mini 2-го поколения и новее
• iPad Pro (все поколения)
• Все Mac с чипами T1 и T2
• Apple TV 4-го поколения и новее
• Apple Watch Series 1 и новее
• HomePod

Конкуренты Apple пожаловались на слишком высокую безопасность iOS

В общем, это почти все устройства Apple, за исключением разве что самых старых, которые, во-первых, уже давно не обновляются, а, во-вторых, не производятся и не продаются. Поэтому масштаб поражения можно считать поистине колоссальным, поскольку сейчас на рынке нет ни одного гаджета Apple, который бы не был подвержен взлому Secure Enclave. Но хуже всего то, что уязвимость является неисправляемой из-за своего аппаратного характера. То есть для того, чтобы её устранить, Apple необходимо физически извлечь каждый чип и заменить его на новый, что совершенно невозможно.

Хакеры могут взломать ваш айфон, но где набрать столько хакеров?

Стоит ли нам, как пользователям, переживать о том, что в процессорах Secure Enclave в наших iPhone и iPad есть уязвимость, позволяющая получить доступ к биометрии и платёжным данным? Бесспорно, это неприятно. Однако даже если информация о её эксплуатации просочится в Сеть, просто так взять и взломать ваш смартфон по удалёнке будет невозможно. Для этого нужно получить физический доступ к устройству и выполнить ряд манипуляций, очевидно, доступных далеко не всем. А, если учесть, что по-настоящему продвинутых хакеров не так уж и много, да и занимаются они явно чем-то другим, то о страхе в принципе можно забыть.

Очистите Анклав перед продажей вашего Mac

Ключи в Secure Enclave на вашем iPhone стираются, когда вы выполняете сброс к заводским настройкам . Теоретически они также должны быть удалены при переустановке macOS , но Apple рекомендует вам очистить Secure Enclave на вашем Mac, если вы использовали что-либо, кроме официального установщика macOS.

Читайте также:

  
• Сколько сп в день eve
  
• Последний сталкер где найти экзоскелет
  
• Что такое блокировка дифференциала в етс 2
  
• Кто такой сквайр в острове сокровищ
  
• Майнкрафт как сделать туториал