Was ist Apples „sichere Enklave“ und wie schützt sie mein iPhone oder Mac?

iPhones und Macs mit Touch ID oder Face ID verwenden einen separaten Prozessor, um Ihre biometrischen Informationen zu verarbeiten. Es heißt Secure Enclave, es ist im Grunde ein ganzer Computer für sich und bietet eine Vielzahl von Sicherheitsfunktionen.

Die Secure Enclave bootet getrennt vom Rest Ihres Geräts. Es führt einen eigenen Mikrokernel aus, auf den Ihr Betriebssystem oder andere Programme, die auf Ihrem Gerät ausgeführt werden, nicht direkt zugreifen können. Es gibt 4 MB Flash-Speicher, der ausschließlich zum Speichern von privaten 256-Bit-Elliptic-Curve-Schlüsseln verwendet wird. Diese Schlüssel sind für Ihr Gerät eindeutig und werden niemals mit der Cloud synchronisiert oder sogar direkt vom primären Betriebssystem Ihres Geräts angezeigt. Stattdessen fordert das System die Secure Enclave auf, Informationen unter Verwendung der Schlüssel zu entschlüsseln.

Warum existiert die sichere Enklave?

Die Secure Enclave macht es Hackern sehr schwer, sensible Informationen ohne physischen Zugriff auf Ihr Gerät zu entschlüsseln. Da die Secure Enclave ein separates System ist und Ihr primäres Betriebssystem die Entschlüsselungsschlüssel nie wirklich sieht, ist es unglaublich schwierig, Ihre Daten ohne entsprechende Autorisierung zu entschlüsseln.

Es ist erwähnenswert, dass Ihre biometrischen Informationen selbst nicht in der Secure Enclave gespeichert werden; 4 MB sind nicht genug Speicherplatz für all diese Daten. Stattdessen speichert die Enklave Verschlüsselungsschlüssel, die zum Sperren dieser biometrischen Daten verwendet werden.

Programme von Drittanbietern können auch Schlüssel in der Enklave erstellen und speichern, um Daten, aber die Apps, zu sperren. Stattdessen stellen Apps Anfragen an die Secure Enclave, um Daten zu verschlüsseln und zu entschlüsseln. Das bedeutet, dass jede mit der Enklave verschlüsselte Information auf jedem anderen Gerät unglaublich schwer zu entschlüsseln ist.

Zitieren Apples Dokumentation für Entwickler:

Wenn Sie einen privaten Schlüssel in der Secure Enclave speichern, handhaben Sie den Schlüssel nie wirklich, was eine Kompromittierung des Schlüssels erschwert. Stattdessen weisen Sie die Secure Enclave an, den Schlüssel zu erstellen, ihn sicher zu speichern und Operationen damit durchzuführen. Sie erhalten nur die Ausgabe dieser Vorgänge, z. B. verschlüsselte Daten oder ein Ergebnis der Überprüfung der kryptografischen Signatur.

Es ist auch erwähnenswert, dass die Secure Enclave keine Schlüssel von anderen Geräten importieren kann: Sie wurde ausschließlich dafür entwickelt, Schlüssel lokal zu erstellen und zu verwenden. Dies macht es sehr schwierig, Informationen auf jedem Gerät zu entschlüsseln, außer auf dem, auf dem sie erstellt wurden.

Warten Sie, wurde die sichere Enklave nicht gehackt?

Die Secure Enclave ist ein aufwendiges Setup und macht Hackern das Leben sehr schwer. Aber es gibt keine perfekte Sicherheit, und es ist vernünftig anzunehmen, dass jemand all dies irgendwann kompromittieren wird.

Im Sommer 2017 gaben begeisterte Hacker bekannt, dass sie hat es geschafft, die Firmware der Secure Enclave zu entschlüsseln, was ihnen möglicherweise einen Einblick in die Funktionsweise der Enklave gibt. Wir sind sicher, dass Apple es vorziehen würde, wenn dieses Leck nicht aufgetreten wäre, aber es ist erwähnenswert, dass Hacker noch keinen Weg gefunden haben, die in der Enklave gespeicherten Verschlüsselungsschlüssel abzurufen: Sie haben nur die Firmware selbst entschlüsselt.

Reinigen Sie die Enklave, bevor Sie Ihren Mac verkaufen

Schlüssel in der Secure Enclave auf Ihrem iPhone werden gelöscht, wenn Sie einen Werksreset durchführen. Theoretisch sollten sie auch gelöscht werden, wenn Sie macOS neu installieren, aber Apple empfiehlt Ihnen, die Secure Enclave auf Ihrem Mac zu löschen, wenn Sie etwas anderes als das offizielle macOS-Installationsprogramm verwendet haben.