¿Qué es el “enclave seguro” de Apple y cómo protege mi iPhone o Mac?
Los iPhones y Mac con Touch ID o Face ID usan un procesador separado para manejar su información biométrica. Se llama Secure Enclave, es básicamente una computadora completa y ofrece una variedad de características de seguridad..
El Enclave seguro se inicia por separado del resto de su dispositivo. Ejecuta su propio microkernel, que no es accesible directamente por su sistema operativo o cualquier programa que se ejecute en su dispositivo. Hay 4MB de almacenamiento flashable, que se usa exclusivamente para almacenar claves privadas de curva elíptica de 256 bits. Estas claves son exclusivas de su dispositivo y nunca se sincronizan con la nube ni se ven directamente por el sistema operativo principal de su dispositivo. En su lugar, el sistema le pide al Enclave seguro que descifre información usando las teclas.
¿Por qué existe el enclave seguro??
El Enclave seguro hace que sea muy difícil para los piratas informáticos descifrar información confidencial sin acceso físico a su dispositivo. Debido a que Secure Enclave es un sistema separado, y debido a que su sistema operativo principal nunca ve las claves de descifrado, es increíblemente difícil descifrar sus datos sin la autorización adecuada.
Vale la pena señalar que su información biométrica en sí no está almacenada en el Enclave seguro; 4MB no es suficiente espacio de almacenamiento para todos esos datos. En su lugar, el Enclave almacena las claves de cifrado utilizadas para bloquear esos datos biométricos.
Los programas de terceros también pueden crear y almacenar claves en el enclave para bloquear datos, pero las aplicaciones Nunca tienen acceso a las propias claves.. En su lugar, las aplicaciones realizan solicitudes para que Secure Enclave cifre y descifre datos. Esto significa que cualquier información cifrada con Enclave es increíblemente difícil de descifrar en cualquier otro dispositivo.
Para citar la documentación de Apple para desarrolladores:
Cuando almacena una clave privada en el Enclave seguro, nunca maneja la clave, lo que dificulta que la clave se vea comprometida. En su lugar, le indica a Secure Enclave que cree la clave, la almacene de forma segura y realice operaciones con ella. Solo recibe la salida de estas operaciones, como datos cifrados o un resultado de verificación de firma criptográfica.
También vale la pena señalar que el Enclave seguro no puede importar claves de otros dispositivos: está diseñado exclusivamente para crear y utilizar claves localmente. Esto hace que sea muy difícil descifrar información en cualquier dispositivo, pero en el que se creó..
Espera, no fue hackeado el enclave seguro?
El Enclave seguro es una configuración elaborada, y hace la vida muy difícil para los hackers. Pero no existe la seguridad perfecta, y es razonable asumir que alguien eventualmente comprometerá todo esto.
En el verano de 2017, los piratas informáticos entusiastas revelaron que habían logrado descifrar el firmware del Enclave seguro, lo que podría darles una idea de cómo funciona el enclave. Estamos seguros de que Apple preferiría que esta filtración no hubiera ocurrido, pero vale la pena señalar que los piratas informáticos aún no han encontrado una forma de recuperar las claves de cifrado almacenadas en el enclave: solo han descifrado el firmware..
Limpia el Enclave antes de vender tu Mac
Las claves en el Enclave seguro en su iPhone se borran cuando realiza un restablecimiento de fábrica. En teoría, también deberían eliminarse al reinstalar macOS, pero Apple recomienda que borre Secure Enclave en su Mac si utilizó algo que no sea el instalador oficial de macOS.