Seguridad de Face ID y Touch ID
Los códigos y las contraseñas son elementos esenciales para la seguridad de los dispositivos Apple. Pero al mismo tiempo, los usuarios necesitan una forma de acceso a sus dispositivos conveniente, a menudo más de cien veces al día. La autenticación biométrica ofrece una forma de conservar la seguridad de tener un código —o incluso fortalecer el código o contraseña, ya que no requiere un ingreso manual— a la vez que proporciona la conveniencia de desbloquear el dispositivo con presionar con el dedo o mirarlo. Face ID and Touch ID no reemplazan el uso de un código o contraseña, pero en la mayoría de los casos, permite un acceso más rápido y sencillo.
La arquitectura de seguridad biométrica de Apple se basa en una estricta separación de responsabilidades entre el sensor biométrico y el Secure Enclave, y una conexión segura entre ambos. El sensor captura la imagen biométrica y la transmite de forma segura al Secure Enclave. Durante la inscripción, el Secure Enclave procesa, encripta y almacena los datos de plantilla de Face ID y Touch ID correspondientes. Durante la coincidencia, el Secure Enclave compara los datos entrantes del sensor biométrico con las plantillas almacenadas para determinar si debe desbloquear el dispositivo o responder que una coincidencia es válida (para Apple Pay, dentro de apps y otros usos de Face ID y Touch ID). La arquitectura admite dispositivos que incluyen tanto el sensor como el Secure Enclave (como iPhone, iPad y muchos sistemas Mac), así como la capacidad de separar físicamente el sensor en un periférico que luego se enlaza de forma segura con el Secure Enclave en una Mac con Apple Chip.
Seguridad de Face ID
Con una simple mirada, Face ID desbloquea de forma segura los dispositivos Apple compatibles. Esta tecnología proporciona autenticación intuitiva y segura mediante el sistema de la cámara TrueDepth, el cual utiliza tecnologías avanzadas para registrar con precisión la geometría de la cara del usuario. Face ID utiliza redes neuronales para determinar la atención, verificar la coincidencia e impedir los engaños para que el usuario pueda desbloquear su teléfono sólo con una mirada, incluso cuando se lleva cubrebocas si se usa un dispositivo compatible. Face ID se adapta automáticamente a los cambios en la apariencia y protege cuidadosamente la privacidad y seguridad de los datos biométricos del usuario.
Face ID está diseñado para confirmar la atención del usuario, proporcionar funciones avanzadas de autenticación con un bajo índice de errores de coincidencia y reducir el robo de identidad tanto físico como digital.
La cámara TrueDepth busca automáticamente la cara del usuario cuando activa su dispositivo Apple compatible con Face ID (al levantarlo o tocar la pantalla), así como cuando el dispositivo intenta autenticar la identidad del usuario para mostrar una notificación o cuando las apps compatibles solicitan autenticación mediante Face ID. Cuando se detecta una cara, Face ID confirma la atención e intenta realizar el desbloqueo al detectar que los ojos del usuario están abiertos y dirigen su atención al dispositivo; para ofrecer mejor accesibilidad, la comprobación de atención de Face ID se desactiva cuando VoiceOver está activado y, opcionalmente, se puede desactivar por separado. Siempre que se usa Face ID con cubrebocas se requiere la detección de la atención.
Después de que la cámara TrueDepth confirma la presencia de una cara que pone atención al dispositivo, proyecta y lee miles de puntos infrarrojos para formar un mapa de profundidad de la cara, junto con una imagen infrarroja en 2D. Estos datos se usan para crear una secuencia de imágenes en 2D y mapas de profundidad, los cuales se firman digitalmente y envían al Secure Enclave. Para contrarrestar el robo de identidad tanto digital como físico, la cámara TrueDepth aleatoriza la secuencia de imágenes en 2D y el mapa de profundidad, y proyecta un patrón aleatorio específico del dispositivo. Parte del motor neuronal seguro, protegido dentro del Secure Enclave, trasforma estos datos en una representación matemática y la compara con los datos faciales registrados. Los datos faciales registrados son en sí una representación matemática de la cara del usuario capturada a través de varias poses.
Seguridad de Touch ID
Touch ID es el sistema de detección de huellas digitales que hace posible acceder a los dispositivos Apple compatibles de forma segura, rápida y sencilla. Esta tecnología lee los datos de huella digital desde cualquier ángulo y almacena continuamente más información sobre la huella del usuario, ya que el sensor amplía el mapa de huella digital con cada uso a medida que identifica más nodos superpuestos.
Los dispositivos Apple con sensor Touch ID se pueden desbloquear usando una huella digital. Touch ID no reemplaza la necesidad de que el dispositivo o el usuario tenga una contraseña, la cual se seguirá solicitando después de arrancar, reiniciar o cerrar sesión (en la Mac). En algunas apps, Touch ID también se puede utilizar en lugar del código del dispositivo o la contraseña del usuario, por ejemplo para desbloquear las notas protegidas con contraseña en la app Notas, para desbloquear los sitios web protegidos por el llavero, y para desbloquear las contraseñas de las apps compatibles. Sin embargo, algunos escenarios requerirán siempre el código del dispositivo o la contraseña de usuario (por ejemplo, para cambiar el código existente del dispositivo o la contraseña del usuario, o para crear o eliminar registros de huellas digitales).
Cuando un sensor de huella digital detecta el toque de un dedo, se activa el arreglo avanzado de imágenes para escanear el dedo y se envía el escaneo al Secure Enclave. El canal utilizado para asegurar esta conexión varía, dependiendo de si el sensor Touch ID está integrado en el dispositivo con el Secure Enclave o si está ubicado en un periférico separado.
Mientras se vectoriza la imagen escaneada de la huella digital para su análisis, los datos ráster se almacenan temporalmente en la memoria encriptada dentro del Secure Enclave y luego se descartan. El análisis utiliza el mapeo de los ángulos del patrón de arrugas subdérmico, que es un proceso con pérdidas que descarta “datos detallados del dedo” que serían necesarios para reconstruir la huella real del usuario. Durante la inscripción, el mapa de nodos resultante se almacena en un formato encriptado que solamente el Secure Enclave puede leer como una plantilla para comparar con futuras coincidencias, pero sin ninguna información de identidad. Estos datos nunca salen de tu dispositivo. No se envían a Apple ni se incluyen en los respaldos del dispositivo.
Seguridad del canal integrado de Touch ID
La comunicación entre el Secure Enclave y el sensor Touch ID integrado se lleva a cabo a través de un bus de interfaz de periféricos en serie. El procesador envía los datos al Secure Enclave, pero este no puede leerlos, ya que se encuentran encriptados y autenticados mediante una clave de sesión que se negocia utilizando una clave compartida proporcionada de fábrica para cada sensor Touch ID y su Secure Enclave correspondiente. Para cada sensor Touch ID, la clave compartida es segura, aleatoria y diferente. En el intercambio de claves de sesión, se utiliza la encapsulación de claves AES y ambas partes proporcionan una clave aleatoria que establece la clave de sesión y que utiliza la encriptación de transporte que ofrece tanto autenticación como confidencialidad (mediante AES‑CCM).