Использование Optic ID, Face ID и Touch ID
Способы работы ключей защиты данных на устройстве зависят от того, включены или выключены функции Optic ID, Face ID и Touch ID.
Разблокировка устройства или учетной записи пользователя
Если функция Optic ID, Face ID или Touch ID выключена, то при блокировке устройства или учетной записи ключи высшего класса защиты данных, хранящиеся в Secure Enclave, удаляются. Доступ к файлам и элементам связки ключей этого класса отсутствует, пока пользователь не разблокирует устройство или учетную запись, введя пароль или код‑пароль.
Когда функция Optic ID, Face ID или Touch ID включена, ключи не удаляются при блокировке устройства или учетной записи; вместо этого они защищаются ключом, выделенным для подсистемы Optic ID, Face ID или Touch ID в Secure Enclave. Если пользователь пытается разблокировать устройство или учетную запись и устройство распознает успешное сопоставление, оно предоставляет ключ для доступа к ключам защиты данных, и устройство или учетная запись разблокируются. Эта процедура обеспечивает дополнительную защиту, поскольку для разблокировки устройства требуется взаимодействие подсистемы защиты данных с подсистемой Optic ID, Face ID или Touch ID.
При перезагрузке устройства ключи, необходимые Optic ID, Face ID или Touch ID для разблокировки устройства или учетной записи, утрачиваются. Secure Enclave удаляет эти ключи после любой ситуации, в которой требуется ввести пароль или код‑пароль.
Защита покупок с помощью Apple Pay
Optic ID, Face ID и Touch ID также можно использовать с Apple Pay, чтобы легко и безопасно совершать покупки в магазинах, в приложениях и на сайтах.
Использование Face ID в магазинах. Чтобы авторизовать платеж в магазине посредством Face ID, пользователь сначала должен подтвердить свое намерение произвести оплату, дважды нажав боковую кнопку. Двойное нажатие служит подтверждением оплаты. Это физическое действие напрямую передается в Secure Enclave, и его невозможно сымитировать с помощью вредоносного процесса. Затем пользователь проходит аутентификацию посредством Face ID, а только потом подносит устройство к терминалу бесконтактной оплаты. Если после аутентификации посредством Face ID пользователь решает выбрать другое платежное средство для Apple Pay, он должен заново пройти аутентификацию, но без повторного двойного нажатия боковой кнопки.
Использование Optic ID и Face ID в приложениях и на сайтах. Для платежей в приложениях и на сайтах пользователь подтверждает свое намерение произвести платеж, дважды нажимая боковую кнопку (на iPhone или iPad) или верхнюю кнопку (на Apple Vision Pro), а затем проходит аутентификацию посредством Optic ID или Face ID, чтобы подтвердить платеж. Если транзакция Apple Pay не завершается в течение 60 секунд после двойного нажатия боковой или верхней кнопки, пользователь должен заново подтвердить свое намерение произвести платеж, снова нажав боковую или верхнюю кнопку два раза.
Использование Touch ID. В случае Touch ID пользователь подтверждает платеж, приложив палец к сенсору Touch ID. Оплата совершается после успешного сопоставления отпечатка пользователя.
Использование API, предоставленных системой
Сторонние приложения могут использовать API, предоставленные системой, чтобы требовать у пользователя пройти аутентификацию с помощью Optic ID, Face ID, Touch ID, пароля или код‑пароля. Приложения, поддерживающие Touch ID, автоматически поддерживают также Optic ID и Face ID без дополнительных изменений. При использовании Optic ID, Face ID или Touch ID приложение получает информацию только о том, успешно ли выполнена аутентификация; оно не имеет доступа к Optic ID, Face ID, Touch ID или данным, которые связаны с зарегистрированным пользователем.
Защита элементов связки ключей
Optic ID, Face ID или Touch ID также можно использовать для защиты объектов связки ключей: в этом случае Secure Enclave разблокирует объекты связки ключей только при успешном сопоставлении либо вводе код‑пароля устройства или пароля учетной записи. С помощью API разработчики приложений могут проверять, что пользователь установил пароль или код‑пароль, прежде чем требовать использования Optic ID, Face ID или Touch ID либо ввода пароля или код‑пароля для разблокировки объектов связки ключей. Разработчикам приложений доступны следующие возможности.
Запрещать применение пароля приложения или код-пароля устройства для выполнения операций, использующих API аутентификации. Они могут запрашивать подтверждение регистрации пользователя, разрешая использование Optic ID, Face ID или Touch ID в качестве второго фактора аутентификации в приложениях, требующих особых мер безопасности.
Генерировать и использовать ключи криптографии на основе эллиптических кривых (ECC) внутри Secure Enclave, которые могут быть защищены посредством Optic ID, Face ID или Touch ID. Операции с этими ключами всегда производятся внутри Secure Enclave после того, как Secure Enclave авторизует их использование.
Совершение и авторизация покупок
Пользователи также могут настроить Optic ID, Face ID или Touch ID, чтобы подтверждать покупки в iTunes Store, App Store, Apple Books и других сервисах без ввода пароля своего Аккаунта Apple. При совершении покупок Secure Enclave проверяет факт биометрической аутентификации, а затем выдает ключи ECC, которые использовались для подписи запроса магазина.
Блокировка и скрытие приложений
На устройствах с iOS 18 либо iPadOS 18 или новее можно использовать Face ID и Touch ID для доступа к приложениям, которые пользователь решил заблокировать или скрыть.