Apple hat seinen Leitfaden zur Plattformsicherheit 2021 bereits im Februar veröffentlicht und dabei Details zu M1-Macs, iOS 14, macOS Big Sur, watchOS 7 und mehr aufgezeigt. Jetzt wurde der Leitfaden aktualisiert, wodurch weitere Informationen zu Touch ID auf dem neuen Magic Keyboard sowie die Entsperrung des iPhones mit der Apple Watch in iOS 14.5 enthalten sind.
Der überarbeitete Leitfaden zur Plattformsicherheit beschreibt detailliert, wie das neue Magic Keyboard mit Touch ID, das mit den neuen M1 iMacs ausgeliefert wird, funktioniert und mehr. So schreibt Apple:
Das Magic Keyboard mit Touch ID übernimmt die Rolle des biometrischen Sensors; es speichert keine biometrischen Vorlagen, führt keinen biometrischen Abgleich durch und erzwingt auch keine Sicherheitsrichtlinien (z. B. dass nach 48 Stunden ohne Entsperrung das Passwort eingegeben werden muss). Der Touch ID-Sensor im Magic Keyboard mit Touch ID muss sicher mit der Secure Enclave auf dem Mac gekoppelt werden, bevor er verwendet werden kann. Erst dann führt die Secure Enclave die Anmelde- und Abgleichvorgänge durch und setzt die Sicherheitsrichtlinien auf die gleiche Weise durch wie bei einem integrierten Touch ID-Sensor.
Apple erklärt Kommunikationskanal zwischen Magic Keyboard mit Touch ID und der Secure Enclave
Die Dokumentation beschreibt auch das sichere Koppeln, die sichere Absicht zum Koppeln und die Sicherheit des Touch ID-Kanals. Um einen sicheren Kommunikationskanal zwischen dem Touch ID-Sensor im Magic Keyboard mit Touch ID und der Secure Enclave auf dem gekoppelten Mac zu gewährleisten, sind folgende Voraussetzungen erforderlich:
- Das sichere Koppeln zwischen dem Magic Keyboard mit Touch ID PKA-Block und der Secure Enclave wie oben beschrieben
- Ein sicherer Kanal zwischen dem Magic Keyboard mit Touch ID Sensor und seinem PKA-Block
Im weiteren Verlauf erklärt Apple:
Der sichere Kanal zwischen dem Magic Keyboard mit Touch ID-Sensor und seinem PKA-Block wird werkseitig mit einem eindeutigen Schlüssel eingerichtet, der zwischen den beiden geteilt wird. (Dies ist die gleiche Technik, die verwendet wird, um den sicheren Kanal zwischen der Secure Enclave auf dem Mac und seinem eingebauten Sensor für Mac-Computer mit eingebautem Touch ID zu erstellen).
Ein weiteres wichtiges Update des Leitfadens enthält Details zur Kryptografie, die für die Entsperrung des iPhones mit der Apple Watch-Funktion verwendet wird, die unter iOS 14.5 eingeführt wurde.
Für mehr Komfort bei der Verwendung mehrerer Apple-Geräte können einige Geräte andere in bestimmten Situationen automatisch entsperren.
Das automatische Entsperren unterstützt drei Anwendungen:
- Eine Apple Watch kann von einem iPhone entsperrt werden.
- Ein Mac kann von einer Apple Watch entsperrt werden.
- Ein iPhone kann von einer Apple Watch entsperrt werden, wenn ein Benutzer mit verdeckter Nase und Mund erkannt wird.
Alle drei Anwendungsfälle basieren auf der gleichen Grundlage:
Ein gegenseitig authentifiziertes Station-zu-Station-Protokoll (STS), bei dem Langzeitschlüssel zum Zeitpunkt der Funktionsaktivierung ausgetauscht und eindeutige ephemere Sitzungsschlüssel für jede Anfrage ausgehandelt werden. Unabhängig vom zugrundeliegenden Kommunikationskanal wird der STS-Tunnel direkt zwischen den Secure Enclaves in beiden Geräten ausgehandelt und das gesamte kryptografische Material wird innerhalb dieser sicheren Domäne gehalten (mit Ausnahme von Mac-Computern ohne Secure Enclave, die den STS-Tunnel im Kernel beenden).
Die Funktionsweise im Detail
Um die Funktionsweise im Detail zu verstehen, gibt es zwei Phasen:
- Eine komplette Entsperrungssequenz kann in zwei Phasen unterteilt werden. Zunächst generiert das zu entsperrende Gerät (das „Ziel“) ein kryptografisches Entsperrgeheimnis und sendet es an das Gerät, das die Entsperrung durchführt (den „Initiator“). Später führt der Initiator die Entsperrung unter Verwendung des zuvor generierten Geheimnisses durch.
- Um die automatische Entsperrung zu aktivieren, verbinden sich die Geräte über eine BLE-Verbindung miteinander. Dann wird ein vom Zielgerät zufällig generiertes 32-Byte-Entsperrungsgeheimnis über den STS-Tunnel an den Initiator gesendet. Bei der nächsten biometrischen oder Passcode-Entsperrung umhüllt das Zielgerät seinen vom Passcode abgeleiteten Schlüssel (PDK) mit dem Entsperrgeheimnis und verwirft das Entsperrgeheimnis aus seinem Speicher.
- Um die Entsperrung durchzuführen, initiieren die Geräte eine neue BLE-Verbindung und verwenden dann Peer-to-Peer-Wi-Fi, um die Entfernung zwischen den Geräten sicher abzuschätzen. Wenn sich die Geräte innerhalb der angegebenen Reichweite befinden und die erforderlichen Sicherheitsrichtlinien erfüllt sind, sendet der Initiator sein Entsperrungsgeheimnis über den STS-Tunnel an das Ziel. Das Ziel generiert dann ein neues 32-Byte-Entsperrungsgeheimnis und sendet es an den Initiator zurück. Wenn das vom Initiator gesendete aktuelle Entsperrungsgeheimnis den Entsperrungsdatensatz erfolgreich entschlüsselt, wird das Zielgerät entsperrt und das PDK wird mit einem neuen Entsperrungsgeheimnis neu verpackt. Abschließend werden das neue Entsperrgeheimnis und das PDK dann aus dem Speicher des Zielgeräts verworfen.
Zusammen mit diesen Updates hat Apple Details zum CustomOS Image4 Manifest Hash hinzugefügt und einige Details für Express Mode Transaktionen, Secure Multi-Boot und Sealed Key Protection bearbeitet. Den vollständigen Leitfaden zur Plattformsicherheit 2021 findest du hier. (Photo by alexey_boldin / Bigstockphoto)
