Secure Enclave ist eine Hardwarekomponente moderner mobiler Apple-Geräte wie dem iPhone. Es ist ein Coprozessor der ARM-CPU des Geräts in den Modellen S2, A7 und späteren Prozessoren der A-Serie. Es bietet alle kryptografischen Operationen zur Authentifizierung des Benutzers und ist so konzipiert, dass es auch dann sicher ist, wenn der iOS-Kernel gehackt wird.
Secure Enclave wurde in Verbindung mit der Touch-ID-Technologie von Apple entwickelt, die einen Benutzer anhand seines Fingerabdrucks identifizieren kann. Sie wurden zusammen am 10. September 2013 im Rahmen von Apples Ankündigung des iPhone 5s, dem ersten Gerät mit Touch ID, vorgestellt.
Wie es funktioniert
- Die Secure Enclave führt einen dedizierten Mikrokernel aus und durchläuft einen sicheren Boot-Prozess, der vom Rest des Geräts getrennt ist. Sie erhält ihre Systemupdates unabhängig von den anderen CPU-Komponenten.
- Während des Bootens generiert die Secure Enclave einen kurzlebigen Verschlüsselungsschlüssel und „verschränkt“ ihn mit einer UID (Benutzer-ID), auf die der Rest der CPU nicht zugreifen kann. Dieser Schlüssel wird verwendet, um den Teil des Gerätespeichers der Secure Enclave zu verschlüsseln und dessen Authentizität zu verifizieren. Alle Daten, die von der Secure Enclave in den NAND-Flash-Speicher geschrieben werden, werden verschlüsselt, indem dieser verschränkte flüchtige Schlüssel mit einem Anti-Replay-Zähler kombiniert wird, um eine Datenmanipulation zu verhindern.
- Authentifizierungsdaten werden von biometrischen Sensoren über einen seriellen Bus an die sichere Enklave gesendet. Die CPU ermöglicht diese Operation, kann aber die Daten nicht lesen. Die Daten werden von der Secure Enclave in ihrem verschlüsselten Speicherbereich verarbeitet.
- Wenn die sichere Enklave die biometrischen Daten als authentisch verifiziert, sendet sie eine Nachricht an die CPU unter Verwendung einer “Mailbox” von Hardware-Interrupts. Die CPU erlaubt dann dem Benutzer, das Gerät zu entsperren oder Einkäufe damit zu tätigen.
Gesichts-ID
Am 12. September 2017 gab Apple bekannt, dass Face ID, seine neue biometrische Authentifizierungstechnologie, die im iPhone X enthalten ist, Touch ID auf neueren Geräten ersetzt. Auf dem iPhone X speichert und verarbeitet Face ID alle biometrischen Daten in der Secure Enclave seiner ARM A11 CPU.
Apple-Begriffe, Biometrie, Mobilgerät, Sicherheitsbestimmungen, TPM
