Mit der Secure Enclave hat Apple einen speziellen Sicherheits-Chip in seine iPhones eingebaut. Darin werden die Schlüssel für die biometrischen Daten des Fingerabdruckscanners und von Face ID gespeichert. So funktioniert die Secure Enclave.
Was ist die Secure Enclave?
Die Secure Enclave ist ein isolierter Chip im Chip, den Apple in alle Geräte mit Touch ID oder Face ID eingebaut hat. Es handelt sich genauer gesagt um einen eigenständigen Mini-Computer auf dem jeweiligen SoC (System on a Chip) des Geräts, also um einen separaten, zusätzlichen Prozessor plus 4-MB-Speicher plus Arbeitsspeicher auf dem Apple A9, A10, A11 und so weiter. Aus Sicherheitsgründen bietet iOS keinen Zugriff auf die Daten, die auf der Secure Enclave gespeichert werden.
Wie funktioniert die Secure Enclave?
Die Secure Enclave enthält die Schlüssel, mit der die biometrischen Daten von Face ID und Touch ID entschlüsselt werden können. Touch ID scannt den Fingerabdruck des Nutzers und Face ID erstellt ein dreidimensionales Drahtgittermodell seines Gesichts. Auf dem internen Speicher des iPhones werden anschließend keine Bilder von Fingerabdruck oder Gesicht gespeichert, sondern vielmehr mathematische Darstellungen von diesen.
Dabei wird die Secure Enclave beauftragt, den zugehörigen 256-Bit-Schlüssel zu erstellen und zu sichern. Möchte der Nutzer das iPhone entsperren, prüft das iPhone mit dem Schlüssel aus der Secure Enclave, ob die neue mathematische Darstellung von Fingerabdruck oder Gesicht mit den gesicherten Daten übereinstimmt. Die Secure Enclave dient also zum Verschlüsseln und Entschlüsseln von Touch-ID- und Face-ID-Daten.
Was macht die Secure Enclave sicher?
Die Secure Enclave ist ein separater Mini-Computer, auf den iOS keinen Zugriff hat. Apples iOS bekommt die Schlüssel in der Secure Enclave nie zu sehen. Auch Drittanbieter-Apps können die Secure Enclave beauftragen, Schlüssel für Daten zu erzeugen, aber auch die Apps erhalten keinen Zugriff auf diese Schlüssel. Gegenüber den App-Entwicklern erklärt Apple: "Sie erhalten nur den Output dieser Operationen, wie entschlüsselte Daten oder das Ergebnis einer Verifizierung einer kryptographischen Signatur."
Die Secure Enclave kann auch keine Schlüssel von anderen Geräten importieren. Sie funktioniert ausschließlich lokal auf dem jeweiligen iPhone. Zwar knackten Hacker im Jahr 2017 die verschlüsselte Firmware der Secure Enclave, wie MacRumors schreibt, und konnten so ihre Funktionsweise erforschen, aber sie hatten weiterhin keinen Zugriff auf die von der Secure Enclave erzeugten Schlüssel.
Zusammenfassung: So funktioniert die Secure Enclave
- Die Secure Enclave ist ein isolierter Mini-PC auf den Apple-Chips
- Er erstellt und speichert die Schlüssel für die biometrischen Daten von Touch ID und Face ID
- Auch Drittanbieter-Apps können die Secure Enclave einsetzen
- Die Drittanbieter erhalten, wie Apple, keinen Zugriff auf die Schlüssel