Использование Face ID и Touch ID
Разблокировка устройства или учетной записи пользователя
Если функция Face ID или Touch ID выключена, то при блокировке устройства или учетной записи ключи высшего класса защиты данных, хранящиеся в Secure Enclave, удаляются. Доступ к файлам и элементам связки ключей этого класса отсутствует, пока пользователь не разблокирует устройство или учетную запись, введя пароль или код‑пароль.
Когда функция Face ID или Touch ID включена, ключи не удаляются при блокировке устройства или учетной записи; вместо этого они защищаются ключом, выделенным для подсистемы Face ID или Touch ID в Secure Enclave. Если пользователь пытается разблокировать устройство или учетную запись и устройство распознает успешное сопоставление, оно предоставляет ключ для доступа к ключам защиты данных, и устройство или учетная запись разблокируются. Эта процедура обеспечивает дополнительную защиту, поскольку для разблокировки устройства требуется взаимодействие подсистемы защиты данных с подсистемой Face ID или Touch ID.
При перезагрузке устройства ключи, необходимые Face ID или Touch ID для разблокировки устройства или учетной записи, утрачиваются. Secure Enclave удаляет эти ключи, как только требуется ввести пароль или код‑пароль.
Защита покупок с помощью Apple Pay
Face ID или Touch ID также можно использовать с Apple Pay, чтобы легко и безопасно совершать покупки в магазинах, приложениях и интернете.
Использование Face ID в магазинах. Чтобы авторизовать платеж в магазине посредством Face ID, пользователь сначала должен подтвердить свое намерение произвести оплату, дважды нажав боковую кнопку. Двойное нажатие служит подтверждением оплаты. Это физическое действие напрямую передается в Secure Enclave, и его невозможно сымитировать с помощью вредоносного процесса. Затем пользователь проходит аутентификацию посредством Face ID, а только потом подносит устройство к терминалу бесконтактной оплаты. Если после аутентификации посредством Face ID пользователь решает выбрать другое платежное средство для Apple Pay, он должен заново пройти аутентификацию, но без повторного двойного нажатия боковой кнопки.
Использование Face ID в приложениях и в интернете. Для платежей в приложениях и в интернете пользователь подтверждает свое намерение произвести платеж, дважды нажимая боковую кнопку, а затем проходя аутентификацию посредством Face ID, чтобы подтвердить платеж. Если транзакция Apple Pay не завершается в течение 60 секунд после двойного нажатия боковой кнопки, пользователь должен заново подтвердить свое намерение произвести платеж, снова нажав боковую кнопку два раза.
Использование Touch ID. В случае Touch ID пользователь подтверждает платеж, приложив палец к сенсору Touch ID. Оплата совершается после успешного сопоставления отпечатка пользователя.
Использование API, предоставленных системой
Приложения сторонних разработчиков могут использовать API, предоставленные системой, чтобы запрашивать у пользователя аутентификацию посредством Face ID или Touch ID либо ввод код‑пароля или пароля. А приложения, поддерживающие Touch ID, автоматически поддерживают Face ID без каких‑либо изменений. При использовании Face ID или Touch ID приложение получает информацию только о том, успешно ли выполнена аутентификация; оно не имеет доступа к Face ID, Touch ID или данным, которые связаны с зарегистрированным пользователем.
Защита элементов связки ключей
Face ID или Touch ID также можно использовать для защиты объектов связки ключей: в этом случае Secure Enclave разблокирует объекты связки ключей только при успешном сопоставлении либо вводе код‑пароля устройства или пароля учетной записи. С помощью API разработчики приложений могут проверять, что пользователь установил код‑пароль или пароль, прежде чем требовать Face ID или Touch ID либо ввод код‑пароля или пароля для разблокировки объектов связки ключей. Разработчикам приложений доступны следующие возможности.
Запрещать применение пароля приложения или код-пароля устройства для выполнения операций, использующих API аутентификации. Они могут запрашивать подтверждение регистрации пользователя, разрешая использование Face ID или Touch ID в качестве второго фактора аутентификации в приложениях, требующих особых мер безопасности.
Генерировать и использовать ключи криптографии на основе эллиптических кривых (ECC) внутри Secure Enclave, которые могут быть защищены посредством Face ID или Touch ID. Операции с этими ключами всегда производятся внутри Secure Enclave после того, как Secure Enclave авторизует их использование.
Совершение и авторизация покупок
Пользователи также могут настроить Face ID или Touch ID, чтобы подтверждать покупки в iTunes Store, App Store, Apple Books и других сервисах без ввода пароля своего Apple ID. При совершении покупок Secure Enclave проверяет факт биометрической аутентификации, а затем выдает ключи ECC, которые использовались для подписи запроса магазина.