Magic Keyboard mit Touch ID
Das Magic Keyboard mit Touch ID (und das Magic Keyboard mit Touch ID und Ziffernblock) bietet einen Touch ID-Sensor in einer externen Tastatur, die mit allen Mac-Geräten mit Apple Chips verwendet werden kann. Das Magic Keyboard mit Touch ID übernimmt die Rolle des biometrischen Sensors. Die Tastatur sichert keine biometrischen Vorlagen, überprüft keine biometrischen Übereinstimmungen und setzt auch keine Sicherheitsrichtlinien durch (z. B. die Eingabe des Passworts, wenn das Gerät 48 Stunden nicht entsperrt wurde). Der Touch ID-Sensor im Magic Keyboard mit Touch ID muss vor der Verwendung mit der Secure Enclave auf dem Mac auf sichere Weise gekoppelt sein. Erst dann führt die Secure Enclave die Registrierung, Suche nach Übereinstimmungen und die Durchsetzung von Sicherheitsrichtlinien auf dieselbe Art und Weise wie bei einem integrierten Touch ID-Sensor durch. Apple führt bei einem Magic Keyboard mit Touch ID, das im Lieferumfang des Mac enthalten ist, den Kopplungsprozess bereits in der Fabrik durch. Die Kopplung kann auch durch den Benutzer durchgeführt werden (sofern erforderlich). Ein Magic Keyboard mit Touch ID kann nur mit einem Mac sicher gekoppelt werden. Der Mac kann hingegen bis zu fünf sichere Kopplungen mit verschiedenen Magic Keyboards mit Touch ID verwalten.
Das Magic Keyboard mit Touch ID ist mit integrierten Touch ID-Sensoren kompatibel. Wenn ein Finger, der auf einem Mac mit integriertem Touch ID-Sensor registriert wurde, auf einem Magic Keyboard mit Touch ID verwendet wird, führt die Secure Enclave im Mac die Übereinstimmungsprüfung erfolgreich durch – und umgekehrt.
Um die sichere Kopplung und somit die Kommunikation zwischen der Secure Enclave im Mac und dem Magic Keyboard mit Touch ID zu unterstützen, ist die Tastatur mit einem PKA-Hardwareblock (Public Key Accelerator), z. B. für Bescheinigungen, und hardwarebasierten Schlüsseln ausgestattet, um notwendige kryptografische Prozesse durchzuführen.
Sichere Kopplung
Bevor ein Magic Keyboard mit Touch ID für Touch ID-Aufgaben verwendet werden kann, muss die Tastatur mit dem Mac sicher gekoppelt werden. Zum Koppeln tauschen die Secure Enclave auf dem Mac und der PKA-Block im Magic Keyboard mit Touch ID öffentliche Schlüssel aus, die ihren Ursprung in der vertrauenswürdigen Apple CA haben. Darüber hinaus verwenden sie hardwarebasierte Bescheinigungsschlüssel und temporäre ECDH-Schlüssel, um auf sichere Weise ihre Identität zu bestätigen. Auf dem Mac werden diese Daten von der Secure Enclave geschützt. Auf dem Magic Keyboard mit Touch ID schützt der PKA-Block diese Daten. Nach der sicheren Kopplung sind alle gesendeten Touch ID-Daten zwischen dem Mac und dem Magic Keyboard mit Touch ID per AES-GCM mit einer Schlüssellänge von 256 Bits verschlüsselt und mit temporären ECDH-Schlüsseln geschützt, die eine NIST P-256-Kurve verwenden, die auf den gesicherten Identitäten basiert. Weitere Informationen zum kabellosen Verwenden der Tastatur sind unter Bluetooth-Sicherheit zu finden.
Gesicherte Absicht zum Koppeln
Um manche Touch ID-Aufgaben zum ersten Mal ausführen zu können (z. B. einen neuen Fingerabdruck registrieren), müssen Benutzer physisch ihre Absicht bestätigen, dass sie ein Magic Keyboard mit Touch ID mit ihrem Mac verwenden wollen. Die physische Absicht kann einerseits bestätigt werden, indem zweimal die Taste „Ein/Aus“ des Mac gedrückt wird, wenn eine Aufforderung durch die Benutzeroberfläche angezeigt wird. Und andererseits kann die Bestätigung durch eine erfolgreiche Übereinstimmung des gescannten Fingerabdrucks erfolgen, der zuvor auf dem Mac registriert wurde. Weitere Informationen sind unter Gesicherte Absicht und Verbindungen zur Secure Enclave zu finden.
Apple Pay-Transaktionen können mit einer Touch ID-Übereinstimmung oder durch Eingabe des macOS-Benutzerpassworts und zweimaliges Drücken der Touch ID-Taste auf dem Magic Keyboard mit Touch ID bestätigt werden. Letzteres erlaubt es dem Benutzer, die Absicht sogar ohne Touch ID-Übereinstimmung physisch zu bestätigen.
Kanalsicherheit des Magic Keyboard mit Touch ID
Um einen sicheren Kommunikationskanal zwischen dem Touch ID-Sensor im Magic Keyboard mit Touch ID und der Secure Enclave auf dem gekoppelten Mac sicherzustellen, muss Folgendes erfüllt sein:
Eine sichere Kopplung zwischen dem PKA-Block des Magic Keyboard mit Touch ID und der Secure Enclave (wie oben beschrieben)
Ein sicherer Kanal zwischen dem Sensor des Magic Keyboard mit Touch ID und dem zugehörigen PKA-Block
Der sichere Kanal zwischen dem Sensor des Magic Keyboard mit Touch ID und dem zugehörigen PKA-Block wird mit einem individuellen, zwischen den beiden Komponenten geteilten Schlüssel in der Fabrik hergestellt. (Hier handelt es sich um dieselbe Technik, mit der bei Mac-Computern mit integrierter Touch ID der sichere Kanal zwischen der Secure Enclave auf dem Mac und dem integrierten Touch ID-Sensor hergestellt wird.)