Secure Enclave wurde in Verbindung mit Apples Touch ID-Technologie entwickelt, mit der ein Benutzer anhand seines Fingerabdrucks identifiziert werden kann. Sie wurden zusammen am 10. September 2013 im Rahmen der Ankündigung des iPhone 5s von Apple, dem ersten Gerät mit Touch ID, vorgestellt.
Wie es funktioniert
- Die Secure Enclave führt einen dedizierten Mikrokernel durch und durchläuft einen sicheren Startvorgang, der vom Rest des Geräts getrennt ist. Es empfängt seine Systemaktualisierungen unabhängig von den anderen CPU-Komponenten.
- Beim Booten des Geräts generiert die Secure Enclave einen kurzlebigen Verschlüsselungsschlüssel und "verschränkt" ihn mit einer UID (Benutzer-ID), auf die der Rest der CPU nicht zugreifen kann. Dieser Schlüssel wird zum Verschlüsseln und Überprüfen der Authentizität des Teils der Secure Enclave im Gerätespeicher verwendet. Alle Daten, die von der Secure Enclave in den NAND-Flash-Speicher geschrieben werden, werden verschlüsselt, indem dieser verflochtene kurzlebige Schlüssel mit einem Anti-Replay-Zähler kombiniert wird, um Datenmanipulationen zu verhindern.
- Authentifizierungsdaten werden von biometrischen Sensoren über einen seriellen Bus an die Secure Enclave gesendet. Die CPU erleichtert diesen Vorgang, kann jedoch die Daten nicht lesen. Die Daten werden von der Secure Enclave in ihrem verschlüsselten Speicherbereich verarbeitet.
- Wenn die Secure Enclave die biometrischen Daten als authentisch prüft, sendet sie eine Nachricht an die CPU unter Verwendung einer "Mailbox" von Hardware-Interrupts. Die CPU erlaubt dem Benutzer dann das Entsperren oder Einkaufen mit dem Gerät.
Gesichts-ID
Am 12. September 2017 gab Apple bekannt, dass Face ID, die neue biometrische Authentifizierungstechnologie des iPhone X, die Touch ID auf neueren Geräten ersetzen wird. Auf dem iPhone X speichert und verarbeitet Face ID alle biometrischen Daten in der Secure Enclave seiner ARM A11-CPU.
Apple-Begriffe, Biometrie, Mobilgerät, Sicherheitsbedingungen