Verwendung von Face ID und Touch ID
Entsperren eines Geräts oder Benutzer-Accounts
Wenn Face ID oder Touch ID deaktiviert ist und ein Gerät gesperrt wird, werden die Schlüssel für die höchste Klasse der Datensicherheit, die in der Secure Enclave gespeichert sind, verworfen. Die Dateien und die Objekte des Schlüsselbunds der betreffenden Klasse sind erst wieder verfügbar, wenn der Benutzer das Gerät oder den Account durch Eingabe seines Codes oder Passworts wieder entsperrt.
Ist Face ID oder Touch ID aktiviert, werden die Schlüssel nicht verworfen, wenn das Gerät gesperrt wird. Sie werden vielmehr mit einem Schlüssel verpackt, der an das Face ID oder Touch ID-Teilsystem innerhalb der Secure Enclave übergeben wird. Wenn der Benutzer versucht, das Gerät oder den Account zu entsperren, und das Gerät einen erfolgreichen Abgleich bestätigt, stellt das Gerät den Schlüssel zum Entpacken der Datensicherheitsschlüssel bereit: Das Gerät bzw. der Account wird daraufhin entsperrt. Dieses Verfahren bietet zusätzlichen Schutz, da die Teilsysteme „Datensicherheit“ und Face ID oder Touch ID zusammenarbeiten müssen, damit das Gerät entsperrt werden kann.
Wenn das Gerät neu gestartet wird, gehen die Schlüssel verloren, die zum Entsperren des Geräts oder Accounts per Face ID oder Touch ID erforderlich sind. Sie werden von der Secure Enclave verworfen, wenn irgendeine Bedingung eintritt, die die Eingabe eines Codes oder Passworts erfordert.
Absichern von Käufen mit Apple Pay
Benutzer können Face ID und Touch ID in Kombination mit Apple Pay auch verwenden, um einfach und sicher in Ladengeschäften, Apps und im Web einzukaufen:
Per Face ID in Ladengeschäften: Um eine Zahlung in einem Ladengeschäft per Face ID zu autorisieren, muss der Benutzer zunächst seine Zahlungsabsicht mit einem Doppelklick auf die Seitentaste bestätigen. Dieser Doppelklick erfasst die Zahlungsabsicht des Benutzers mit einer physischen Geste, die direkt mit der Secure Enclave verknüpft und resistent gegen Betrug während eines böswilligen Prozesses ist. Danach muss er eine Authentifizierung mit Face ID vornehmen, bevor er das Gerät vor das kontaktlose Zahlungsterminal hält. Nach der Authentifizierung per Face ID kann der Benutzer eine andere Apple Pay-Zahlungsmethode wählen. Dies erfordert eine neuerliche Authentifizierung, der Benutzer muss dann aber die Seitentaste nicht erneut doppelklicken.
Per Face ID in Apps und im Internet: Für eine Zahlung innerhalb von Apps und im Web muss der Benutzer seine Zahlungsabsicht mit Doppelklicken der Seitentaste bestätigen. Danach erfolgt die Authentifizierung per Face ID, um die Zahlung zu autorisieren. Wenn die Apple Pay-Transaktion nicht innerhalb von 60 Sekunden nach dem Doppelklicken der Seitentaste abgeschlossen wird, muss die Zahlungsabsicht ein weiteres Mal durch Doppelklicken bestätigt werden.
Per Touch ID: Bei Verwendung von Touch ID wird die Zahlungsabsicht mit der Geste zum Aktivieren des Touch ID-Sensors in Kombination mit dem erfolgreichen Abgleich des Fingerabdrucks des Benutzers bestätigt.
Verwenden der vom System bereitgestellten APIs
Apps anderer Anbieter können vom System bereitgestellte APIs verwenden, um den Benutzer aufzufordern, sich per Face ID oder Touch ID oder durch Eingabe eines Codes oder Passworts zu authentifizieren. Apps, die Touch ID unterstützen, unterstützen ohne jegliche Änderungen automatisch auch Face ID. Bei Verwendung von Face ID oder Touch ID wird die App nur darüber informiert, ob die Authentifizierung erfolgreich war. Die App kann aber nicht auf Face ID, Touch ID oder die Daten zugreifen, die für den registrierten Benutzer hinterlegt sind.
Schützen von Schlüsselbundobjekten
Objekte im Schlüsselbund können auch mithilfe von Face ID oder Touch ID geschützt werden, indem sie nur bei einem erfolgreichen Abgleich oder der erfolgreichen Eingabe des Gerätecodes oder des Account-Passworts durch die Secure Enclave freigegeben werden. App-Entwicklern stehen APIs zur Verfügung, mit denen geprüft werden kann, ob der Benutzer einen Code oder ein Passwort festgelegt hat, bevor Face ID oder Touch ID, ein Gerätecode oder ein Passwort angefordert wird, um Objekte im Schlüsselbund zu entsperren. App-Entwickler haben folgende Möglichkeiten:
Sie können vorgeben, dass API-Operationen für die Authentifizierung weder auf das Passwort einer App noch auf den Code für das Gerät zurückgreifen. Sie können abfragen, ob ein Benutzer registriert ist, sodass Face ID oder Touch ID als zweiter Faktor in sicherheitskritischen Apps verwendet werden kann.
Sie können ECC-Schlüssel (Elliptic Curve Cryptography, elliptische Kurvenkryptografie) in der Secure Enclave generieren und verwenden, die durch Face ID oder Touch ID geschützt werden können. Operationen mit diesen Schlüsseln erfolgen stets in der Secure Enclave, nachdem diese die Nutzung autorisiert hat.
Tätigen und Bestätigen von Käufen
Face ID oder Touch ID können auch so konfiguriert werden, dass damit Käufe im iTunes Store, im App Store, in Apple Books usw. bestätigt werden können, ohne dass Benutzer das Passwort zu ihrer Apple-ID eingeben müssen. Wird ein Kauf getätigt, verifiziert die Secure Enclave, dass die biometrische Authentifizierung erfolgte, und stellt erst dann die ECC-Schlüssel bereit, mit der die Store-Anfrage signiert wird.