Sicherheit von Face ID und Touch ID
Codes (Gerätecodes) und Passwörter sind essenziell für die Sicherheit von Apple-Geräten. Gleichzeitig müssen Benutzer in der Lage sein, komfortabel auf ihre Geräte zuzugreifen – was oftmals mehr als 100-mal am Tag vorkommen kann. Die biometrische Authentifizierung bietet eine Möglichkeit, die Sicherheit eines starken Gerätecodes beizubehalten – bzw. Code oder Passwort sogar zu stärken, da diese häufig nicht manuell eingegeben werden müssen – und Geräte gleichzeitig schnell und bequem mit einem Fingerdruck oder Blick zu entsperren. Face ID und Touch ID sind kein Ersatz für einen Code oder ein Passwort, sie erleichtern und beschleunigen aber in vielen Situationen den Zugriff auf das Gerät.
Die biometrische Sicherheitsarchitektur von Apple basiert auf einer strikten Trennung der Kompetenzen zwischen dem biometrischen Sensor und der Secure Enclave sowie der sicheren Verbindung zwischen diesen beiden Komponenten. Der Sensor erfasst das biometrische Bild und übermittelt dieses sicher an die Secure Enclave. Bei der Registrierung verarbeitet, verschlüsselt und sichert die Secure Enclave die entsprechenden als Vorlage dienenden Daten von Face ID und Touch ID. Bei der Suche nach Übereinstimmungen vergleicht die Secure Enclave die eingehenden Daten des biometrischen Sensors mit den gesicherten Vorlagen, um zu ermitteln, ob das Gerät entsperrt oder die Mitteilung ausgegeben werden soll, dass eine Übereinstimmung gültig ist (bei Apple Pay, in Apps und bei anderen Verwendungen von Face ID und Touch ID). Die Architektur unterstützt Geräte, die sowohl über einen Sensor als auch eine Secure Enclave verfügen (wie beispielsweise das iPhone, das iPad und einige Mac-Computer). Sie unterstützt auch die Möglichkeit, den Sensor physisch zu trennen und als Peripheriegerät zu behandeln, das dann in einem Mac mit Apple Chips mit der Secure Enclave auf sichere Weise gekoppelt wird.
Sicherheit bei Face ID
Mit einem einfachen Blick auf das Gerät entsperrt Face ID unterstützte Apple-Geräte sicher. Das TrueDepth-Kamerasystem ermöglicht eine intuitive und sichere Authentifizierung, für die auf der Basis modernster Technologien die Geometrie des Gesichts des Benutzers präzise erfasst wird. Face ID verwendet neuronale Netzwerke, um die Blickrichtung zu erkennen, den Abgleich auszuführen und Manipulation zu verhindern, damit das Gerät per Blickkontakt entsperrt werden kann. Dies kann bei unterstützten Geräten auch beim Tragen einer Maske durchgeführt werden. Face ID passt sich automatisch an Änderungen im Aussehen des Benutzers an und schützt dessen Privatsphäre und die Sicherheit seiner biometrischen Daten.
Face ID wurde entwickelt, um anhand der Blickrichtung zu erkennen, dass eine Interaktion mit dem Gerät erfolgen soll, um eine zuverlässige Authentifizierung mit einer niedrigen Fehlerrate beim Abgleich zu bieten und digitaler oder physischer Manipulation entgegenzuwirken.
Die TrueDepth-Kamera sucht automatisch nach dem Gesicht, wenn (durch Anheben oder durch Tippen auf den Bildschirm) der Ruhezustand von mit Face ID ausgestatteten Apple-Geräten beendet wird. Sie sucht ebenfalls nach dem Gesicht, wenn diese Geräte versuchen, den Benutzer zu authentifizieren, um eine erhaltene Mitteilung oder Benachrichtigung anzuzeigen, oder wenn eine unterstützte App eine Face ID-Authentifizierung anfordert. Wenn ein Gesicht erkannt wird, bestätigt Face ID die Absicht zum Entsperren des Geräts, indem geprüft wird, ob die Augen geöffnet sind und die Aufmerksamkeit auf das Gerät gerichtet ist. Für eine bessere Nutzbarkeit wird die Aufmerksamkeitsprüfung der Face ID ausgeschaltet, wenn VoiceOver aktiviert ist, und kann, falls erforderlich, auch separat deaktiviert werden. Beim Verwenden von Face ID mit einer Maske ist die Erkennung des Blicks immer erforderlich.
Nachdem die TrueDepth-Kamera ein auf das Gerät gerichtetes Gesicht bestätigt, projiziert und liest sie über Tausende Infrarotpunkte, um eine Tiefendarstellung und ein 2D-Infrarotbild des Gesichts zu erstellen. Diese Daten werden verwendet, um eine Reihe von 2D-Bildern und Tiefendarstellungen zu erstellen, die digital signiert und an die Secure Enclave gesendet werden. Als Gegenmaßnahme gegen digitale und physische Manipulation erstellt die TrueDepth-Kamera eine zufällige Reihenfolge der 2D-Bilder und Tiefendarstellungen und projiziert ein gerätespezifisches Zufallsmuster. Ein Bestandteil der Secure Neural Engine – innerhalb der Secure Enclave geschützt – wandelt diese Daten in eine mathematische Darstellung um und vergleicht diese Daten mit den registrierten Gesichtsdaten. Bei den registrierten Gesichtsdaten handelt es sich ebenfalls um eine mathematische Darstellung des Gesichts eines Benutzers in einer Vielzahl von Posen.
Sicherheit bei Touch ID
Touch ID ist das Sensorsystem für Fingerabdrücke, mit dem ein sicherer Zugriff auf unterstützte Apple-Geräte schneller und einfacher möglich ist. Diese Technologie liest Fingerabdruckdaten aus jedem beliebigen Winkel und erfasst den Fingerabdruck des Benutzers nach und nach immer genauer. Dabei erweitert der Sensor die Fingerabdruckdarstellung, wenn bei jeder Nutzung zusätzliche überlappende Knoten identifiziert werden.
Apple-Geräte mit einem Touch ID-Sensor können per Fingerabdruck entsperrt werden. Mit Touch ID entfällt nicht die Notwendigkeit für einen Gerätecode oder ein Benutzerpasswort. Diese sind nach dem Starten oder dem Neustarten des Geräts bzw. (bei einem Mac) nach dem Abmelden erforderlich. In bestimmten Apps kann auch Touch ID anstelle des Gerätecodes oder des Benutzerpassworts verwendet werden – zum Beispiel zum Entsperren passwortgeschützter Notizen in der App „Notizen“, zum Entsperren von Websites, die durch den Schlüsselbund geschützt sind, und zum Entsperren von Passwörtern unterstützter Apps. In manchen Szenarien ist jedoch immer ein Gerätecode oder ein Benutzerpasswort erforderlich (zum Beispiel, wenn es darum geht, einen vorhandenen Gerätecode oder ein vorhandenes Benutzerpasswort zu ändern, einen vorhandenen und registrierten Fingerabdruck zu entfernen oder einen neuen Fingerabdruck zu registrieren).
Wenn der Fingerabdrucksensor einen aufgelegten Finger bemerkt, initiiert er den Fingerabdruckscanner, der wiederum den Abdruck des aufgelegten Fingers scannt und den Scan an die Secure Enclave sendet. Der Kanal zum Sichern dieser Verbindung variiert, je nachdem, ob der Touch ID-Sensor im Gerät mit Secure Enclave integriert ist oder sich in einem separaten Peripheriegerät befindet.
Solange der gescannte Fingerabdruck für die Analyse vektorisiert wird, wird das Rasterscanbild vorübergehend im verschlüsselten Speicher innerhalb der Secure Enclave gespeichert. Danach wird es verworfen. Bei der Analyse wird der Verlauf der subkutanen Papillarleisten abgebildet. Dabei handelt es sich um ein verlustbehaftetes Verfahren, bei dem Details, die zur Rekonstruktion des Fingerabdrucks des Benutzers benötigt würden, nicht gespeichert werden. Bei der Registrierung wird das Abbild der Knoten, das sich daraus ergibt, in einem verschlüsselten Format gesichert und kann nur von der Secure Enclave als Vorlage gelesen werden, um zukünftige Übereinstimmungen zu überprüfen. Es sind keine Informationen zur Identität enthalten. Diese Daten werden ausschließlich auf dem Gerät gesichert. Sie werden nicht an Apple gesendet und sind nicht Teil einer Gerätesicherung (Backups).
Integrierte Sicherheit für den Touch ID-Kanal
Die Kommunikation zwischen der Secure Enclave und dem integrierten Touch ID-Sensor erfolgt über einen SPI-Bus (Serial Peripheral Interface). Der Prozessor leitet die Daten an die Secure Enclave weiter, kann sie aber nicht lesen. Sie werden mit einem Sitzungsschlüssel verschlüsselt und authentifiziert, der mithilfe eines gemeinsamen Schlüssels ausgehandelt wird, welcher für jeden Touch ID-Sensor und die zugehörige Secure Enclave bei der Fabrikation festgelegt wird. Der gemeinsame Schlüssel für jeden Touch ID-Sensor ist stark, zufällig (randomisiert) und verschieden. Beim Austausch des Sitzungsschlüssels wird AES Key Wrapping verwendet, wobei beide Seiten einen zufälligen Schlüssel bereitstellen, aus denen der Sitzungsschlüssel erstellt wird; die Transportverschlüsselung, die die Authentifizierung und Vertraulichkeit gewährleistet, erfolgt per AES-CCM.