Was ist Apples „Secure Enclave“ und wie schützt es mein iPhone oder Mac?
iPhones und Macs mit Touch-ID oder Gesichts-ID verwenden einen separaten Prozessor, um Ihre biometrischen Informationen zu verarbeiten. Es heißt Secure Enclave, es ist im Grunde ein ganzer Computer für sich und bietet eine Vielzahl von Sicherheitsfunktionen.
Die Secure Enclave bootet separat vom Rest Ihres Geräts. Es verfügt über einen eigenen Mikrokernel, auf den Ihr Betriebssystem oder andere auf Ihrem Gerät ausgeführte Programme nicht direkt zugreifen können. Es gibt 4 MB Flash-Speicher, der ausschließlich zum Speichern privater 256-Bit-Ellipsenkurven verwendet wird. Diese Schlüssel sind für Ihr Gerät eindeutig und werden niemals mit der Cloud synchronisiert oder sogar direkt vom primären Betriebssystem Ihres Geräts abgerufen. Stattdessen fordert das System die Secure Enclave auf, Informationen mithilfe der Schlüssel zu entschlüsseln.
Warum gibt es die sichere Enklave??
Die sichere Enklave macht es Hackern sehr schwer, sensible Informationen ohne physischen Zugriff auf Ihr Gerät zu entschlüsseln. Da es sich bei Secure Enclave um ein separates System handelt und Ihr primäres Betriebssystem die Entschlüsselungsschlüssel nie wirklich erkennt, ist es unglaublich schwierig, Ihre Daten ohne ordnungsgemäße Autorisierung zu entschlüsseln.
Es ist erwähnenswert, dass Ihre biometrischen Informationen selbst nicht in der Secure Enclave gespeichert werden. 4 MB ist nicht genügend Speicherplatz für all diese Daten. Stattdessen speichert die Enclave Verschlüsselungsschlüssel, mit denen diese biometrischen Daten gesperrt werden.
Programme von Drittanbietern können auch Schlüssel in der Enklave erstellen und speichern, um Daten außer den Apps zu sperren niemals Zugriff auf die Schlüssel selbst haben. Stattdessen fordern Apps die Secure Enclave zum Verschlüsseln und Entschlüsseln von Daten auf. Dies bedeutet, dass Informationen, die mit der Enclave verschlüsselt wurden, auf jedem anderen Gerät unglaublich schwer zu entschlüsseln sind.
So zitieren Sie die Dokumentation von Apple für Entwickler:
Wenn Sie einen privaten Schlüssel in der sicheren Enklave speichern, können Sie den Schlüssel nie wirklich bearbeiten, wodurch es für den Schlüssel schwierig wird, gefährdet zu werden. Stattdessen weisen Sie die Secure Enclave an, den Schlüssel zu erstellen, sicher zu speichern und Vorgänge damit auszuführen. Sie erhalten nur die Ausgabe dieser Vorgänge, z. B. verschlüsselte Daten oder ein Ergebnis der Überprüfung der kryptografischen Signatur.
Es ist auch erwähnenswert, dass die Secure Enclave keine Schlüssel von anderen Geräten importieren kann: Sie dient ausschließlich der lokalen Erstellung und Verwendung von Schlüsseln. Dies macht es sehr schwierig, Informationen auf anderen Geräten als dem, auf dem sie erstellt wurden, zu entschlüsseln.
Warten Sie, wurde nicht die sichere Enklave gehackt?
Die Secure Enclave ist ein durchdachtes Setup und macht Hackern das Leben schwer. Es gibt jedoch keine perfekte Sicherheit, und es ist vernünftig anzunehmen, dass irgendwann irgendjemand irgendetwas kompromittiert.
Im Sommer 2017 gaben begeisterte Hacker bekannt, dass es ihnen gelungen war, die Firmware der Secure Enclave zu entschlüsseln und ihnen einen Einblick in die Funktionsweise der Enklave zu geben. Wir sind sicher, dass Apple es vorziehen würde, dieses Leck wäre nicht passiert, aber es ist erwähnenswert, dass Hacker noch keinen Weg gefunden haben, die in der Enklave gespeicherten Verschlüsselungsschlüssel abzurufen: Sie haben nur die Firmware selbst entschlüsselt.
Reinigen Sie die Enklave, bevor Sie Ihren Mac verkaufen
Schlüssel in der Secure Enclave auf Ihrem iPhone werden gelöscht, wenn Sie einen Werksreset durchführen. Theoretisch sollten sie auch gelöscht werden, wenn Sie macOS neu installieren. Apple empfiehlt jedoch, die Secure Enclave auf Ihrem Mac zu löschen, wenn Sie etwas anderes als das offizielle macOS-Installationsprogramm verwendet haben.