iPhone i Mac s dodirnim ID-om ili ID licem koriste zasebni procesor za obradu biometrijskih podataka. To se naziva Secure Enclave, u osnovi je čitavo računalo za sebe i nudi niz sigurnosnih značajki.
Sigurno enklavo se izvodi odvojeno od ostatka vašeg uređaja. Pokreće vlastiti mikrokernel, koji nije izravno dostupan vašem operativnom sustavu ili programima koji se izvode na vašem uređaju. Postoji 4MB flashable pohrane, koja se koristi isključivo za pohranjivanje privatnih ključeva 256-bitne eliptičke krivulje. Ti su ključevi jedinstveni na vašem uređaju i nikada se ne sinkroniziraju s oblakom niti se izravno vide primarnim operativnim sustavom vašeg uređaja. Umjesto toga, sustav pita Secure Enclave da dekriptira podatke pomoću tipki.
Sigurno enklavo čini hakerima vrlo teško dešifrirati osjetljive podatke bez fizičkog pristupa vašem uređaju. Budući da je Secure Enclave zasebni sustav i zato što vaš primarni operativni sustav nikada zapravo ne vidi ključeve za dešifriranje, nevjerojatno je teško dešifrirati vaše podatke bez odgovarajućeg odobrenja.
Važno je napomenuti da vaše biometrijske informacije nisu pohranjene na sigurnom enklavu; 4MB nema dovoljno prostora za pohranu za sve te podatke. Umjesto toga, enklava pohranjuje ključeve za enkripciju koji se koriste za zaključavanje biometrijskih podataka.
Programi treće strane također mogu stvarati i pohranjivati ključeve u enklavi kako bi zaključali podatke, ali aplikacije nikada nemoj imati pristup ključevima sami, Umjesto toga, aplikacije postavljaju zahtjeve za sigurnu enklaciju za šifriranje i dešifriranje podataka. To znači da je sve informacije kriptirane korištenjem Enclave nevjerojatno teško dekriptirati na bilo kojem drugom uređaju.
Navesti Appleovu dokumentaciju za programere:
Kada pohranite privatni ključ u sigurnu enkladu, nikada ne možete nositi ključ, što ga čini teškom da ključ ostane ugrožen. Umjesto toga, poučite Secure Enclave da izradite ključ, sigurno ga pohranite i izvršite operacije s njom. Dobivate samo izlaz tih operacija, poput šifriranih podataka ili ishodom provjere kriptografskog potpisa.
Važno je napomenuti da Secure Enclave ne može uvoziti ključeve s drugih uređaja: osmišljen je isključivo za stvaranje i upotrebu tipki lokalno. To ga čini vrlo teško dešifrirati informacije na bilo kojem uređaju, ali onaj na kojem je stvoren.
Sigurno enklavo je kompletno postavljanje i čini život vrlo teško hakerima. No, ne postoji savršena sigurnost i razumno je pretpostaviti da će netko kompromitirati sve ovo na kraju.
U ljeto 2017., oduševljeni hakeri otkrili su da su uspjeli dekriptirati firmware Secure Enclave, potencijalno dajući im uvid u to kako funkcionira enklava. Sigurni smo da Apple bi radije to curenja nije dogodilo, ali to je vrijedno napomenuti da hakeri nisu još pronašli način za preuzimanje ključeva za šifriranje pohranjene na enklavu: oni su samo dešifriraju sama firmware.
Tipke u sigurnoj enklavi na vašem iPhoneu se brišu kada izvršite tvornički resetiranje. U teoriji bi ih trebalo izbrisati i kada ponovo instalirate macOS, ali Apple vam preporučuje da očistite Secure Enclave na vašem Macu ako ste koristili ništa osim službenog mako instalatera.
