Touch ID:llä varustettu Magic Keyboard
Touch ID:llä varustettu Magic Keyboard (sekä Touch ID:llä ja numeronäppäimistöllä varustettu Magic Keyboard) tarjoaa Touch ID ‑tunnistimen ulkoisessa näppäimistössä, jota voidaan käyttää minkä tahansa Apple siliconilla varustetun Macin kanssa. Touch ID:llä varustettu Magic Keyboard toimii biometrisen tunnistimen roolissa. Se ei tallenna biometrisia malleja, ei vertaa biometristen tietojen vastaavuutta eikä vaadi tietoturvakäytäntöjen noudattamista (esimerkiksi salasanan syöttämistä, kun lukitusta ei ole avattu 48 tunnin kuluessa). Touch ID:llä varustetun Magic Keyboardin Touch ID ‑tunnistin on liitettävä suojatusti Macin Secure Enclaven laitepariksi ennen kuin sitä voidaan käyttää, ja sen jälkeen Secure Enclave suorittaa rekisteröinnin ja vastaavuuden vertaamisen ja vaatii tietoturvakäytäntöjen noudattamista samalla tavoin, kuin jos kyseessä olisi samaan laitteeseen sisältyvä Touch ID ‑tunnistin. Apple suorittaa tehtaalla laiteparin muodostusprosessin sellaiselle Touch ID:llä varustetulle Magic Keyboardille, joka toimitetaan Macin mukana. Myös käyttäjä voi tarvittaessa muodostaa laiteparin. Touch ID:llä varustetulla Magic Keyboardilla voi olla suojattu pariliitäntä vain yhden Macin kanssa kerrallaan, mutta Macilla voi olla suojattu pariliitäntä jopa viiden erillisen Touch ID:llä varustetun Magic Keyboard ‑näppäimistön kanssa.
Touch ID:llä varustettu Magic Keyboard ja sisäänrakennetut Touch ID ‑tunnistimet ovat yhteensopivia. Jos Macin sisäänrakennetulla Touch ID ‑tunnistimella rekisteröity sormi esitetään Touch ID:llä varustetulle Magic Keyboardille, tai toisin päin, vastaavuuden prosessoiminen onnistuu Macin Secure Enclavessa.
Suojatun laiteparin muodostamisen ja sen myötä Macin Secure Enclaven ja Touch ID:llä varustetun Magic Keyboardin välisen viestinnän tukemista varten näppäimistössä on julkisen avaimen kiihdytin (PKA) vahvistusta varten sekä laitteistopohjaiset avaimet tarvittavia kryptografisia prosesseja varten.
Suojattu laiteparin muodostaminen
Ennen kuin Touch ID:llä varustettua Magic Keyboardia voidaan käyttää Touch ID ‑operaatioihin, se on liitettävä suojatusti Macin laitepariksi. Parinmuodostusta varten Macin Secure Enclave ja Touch ID:llä varustetun Magic Keyboardin PKA-osa vaihtavat keskenään julkiset avaimet, jotka ovat lähtöisin luotetulta Applen varmentajalta, ja ne käyttävät laitteistossa olevia vahvistamisavaimia ja lyhytaikaista ECDH:ta identiteettinsä turvalliseen vahvistamiseen. Macissa näitä tietoja suojaa Secure Enclave, ja Touch ID:llä varustetussa Magic Keyboardissa näitä tietoja suojaa sen PKA-osa. Suojatun parinmuodostuksen jälkeen kaikki Touch ID ‑tiedon siirtäminen Macin ja Touch ID:llä varustetun Magic Keyboardin välillä salataan AES-GCM-salauksella, jossa avaimen pituus on 256 bittiä, käyttäen tallennettuihin identiteetteihin perustuvia lyhytaikaisia ECDH-avaimia NIST P-256 ‑käyrällä. Jos haluat lisätietoja näppäimistön langattomasta käytöstä, katso Bluetooth-suojaus.
Aikomus muodostaa pari luotettavasti
Suorittaessaan joitakin Touch ID ‑operaatioita ensimmäisen kerran (esimerkiksi rekisteröidessään uuden sormenjäljen) käyttäjän on fyysisesti vahvistettava aikeensa käyttää Touch ID:llä varustettua Magic Keyboardia Macin kanssa. Aikeen vahvistaminen fyysisesti tapahtuu painamalla kahdesti Macin virtapainiketta, kun käyttäjä saa siihen kehotuksen käyttöliittymältä, tai käyttämällä onnistuneesti aikaisemmin Maciin rekisteröityä sormenjälkeä. Jos haluat lisätietoja, katso Aikomus muodostaa pari luotettavasti ja yhteydet Secure Enclaveen.
Apple Pay ‑maksutapahtumat voidaan valtuuttaa Touch ID ‑tunnistuksella tai syöttämällä macOS:n käyttäjän salasana ja painamalla kahdesti Touch ID:llä varustetun Magic Keyboardin Touch ID ‑painiketta. Jälkimmäinen mahdollistaa käyttäjälle fyysisen aikeen vahvistamisen ilman Touch ID ‑tunnistuksen käyttämistä.
Touch ID:llä varustetun Magic Keyboardin kanavan suojaus
Osana Touch ID:llä varustetun Magic Keyboardin Touch ID ‑tunnistimen ja laitepariksi asetetun Macin Secure Enclaven välisen tiedonsiirtokanavan suojauspyrkimyksiä tarvitaan seuraavia:
Edellä kuvattu suojattu parinmuodostus Touch ID:llä varustetun Magic Keyboardin PKA-osan ja Secure Enclaven välillä
Suojattu kanava Touch ID:llä varustetun Magic Keyboardin tunnistimen ja sen PKA-osan välillä
Suojattu kanava Touch ID:llä varustetun Magic Keyboardin tunnistimen ja sen PKA-osan välillä muodostetaan tehtaalla käyttämällä näiden kahden jakamaa yksilöllistä avainta. (Tekniikka on sama kuin luotaessa suojattu kanava Macin Secure Enclaven ja sen sisäänrakennetun tunnistimen välille sellaisissa Mac-tietokoneissa, joissa on sisäänrakennettu Touch ID.)