Magic Keyboard с Touch ID
Клавиатура Magic Keyboard с Touch ID (и клавиатура Magic Keyboard с Touch ID и цифровой панелью) — это внешняя клавиатура с сенсором Touch ID, которая подключается к Mac с чипом Apple. Клавиатура Magic Keyboard с Touch ID служит биометрическим считывателем. Она не хранит биометрические шаблоны, не выполняет биометрическое сопоставление и не обеспечивает соблюдение политик безопасности (например, не требует ввести пароль, если разблокировка не выполнялась в течение 48 часов). Перед использованием сенсор Touch ID на клавиатуре Magic Keyboard с Touch ID необходимо безопасно объединить в пару с Secure Enclave на Mac. После этого Secure Enclave сможет выполнять регистрацию и сопоставление, а также обеспечивать соблюдение политик безопасности так же, как и для встроенного сенсора Touch ID. Если компьютер Mac поставляется с клавиатурой Magic Keyboard с сенсором Touch ID, Apple выполняет создание пары на заводе-изготовителе. При необходимости пользователь также может выполнить создание пары. Клавиатуру Magic Keyboard с Touch ID можно безопасно объединить в пару только с одним компьютером Mac за раз, но компьютер Mac может поддерживать защищенные пары с пятью различными клавиатурами Magic Keyboard с Touch ID.
Клавиатура Magic Keyboard с Touch ID и встроенные сенсоры Touch ID совместимы. Если отпечаток пальца, который был зарегистрирован на встроенном в Mac сенсоре Touch ID, считывается клавиатурой Magic Keyboard с Touch ID, то Secure Enclave на компьютере Mac успешно обрабатывает совпадение, и наоборот.
Для поддержки защищенного создания пары и, следовательно, связи между Secure Enclave компьютера Mac и клавиатурой Magic Keyboard с Touch ID клавиатура оснащена аппаратным блоком акселератора открытого ключа (PKA) для обеспечения сертификации и аппаратными ключами для выполнения необходимых криптографических процессов.
Защищенное создание пары
Прежде чем использовать Touch ID на клавиатуре Magic Keyboard с Touch ID, необходимо безопасно объединить ее в пару с Mac. Для того чтобы создать пару, Secure Enclave компьютера Mac и блок PKA клавиатуры Magic Keyboard с Touch ID обмениваются открытыми ключами с корнем в доверенном сертификате Apple. Они используют аппаратные сертификационные ключи и временный ключ ECDH для безопасного подтверждения идентификации. На Mac эти данные защищает Secure Enclave; на клавиатуре Magic Keyboard с Touch ID эти данные защищает блок PKA. После защищенного создания пары все данные Touch ID, передаваемые между Mac и клавиатурой Magic Keyboard с Touch ID, шифруются с помощью AES-GCM, используя 256-битные ключи и динамические ключи ECDH, которые задействуют кривую NIST P-256 на основе сохраненных идентификаторов. Подробная информация об использовании клавиатуры в беспроводном режиме приводится в разделе Безопасность Bluetooth.
Безопасное подтверждение намерения создать пару
Перед первым использованием Touch ID для совершения некоторых действий, в том числе перед регистрацией нового отпечатка пальца, пользователь должен подтвердить свое намерение использовать клавиатуру Magic Keyboard с Touch ID с компьютером Mac. Для этого требуется выполнить физическое действие. Намерение пользователя подтверждается, если пользователь дважды нажимает кнопку питания компьютера Mac при появлении запроса в пользовательском интерфейсе или если были успешно сопоставлены отпечатки пальцев, ранее зарегистрированные на Mac. Подробнее см. в разделе Безопасное подтверждение намерения и подключения к Secure Enclave.
Транзакции Apple Pay можно авторизовать с помощью сопоставления Touch ID или ввода пароля пользователя macOS и двойного нажатия на кнопку Touch ID на Magic Keyboard с Touch ID. Последним способом пользователь может подтвердить намерение даже без сопоставления Touch ID.
Защита канала клавиатуры Magic Keyboard с Touch ID
Для того чтобы помочь обеспечить безопасность канала связи между сенсором Touch ID на клавиатуре Magic Keyboard с Touch ID и сопроцессором Secure Enclave объединенного в пару компьютера Mac, требуется следующее:
Защищенное создание пары между блоком PKA клавиатуры Magic Keyboard с Touch ID и сопроцессором Secure Enclave, как описано выше.
Безопасный канал между клавиатурой Magic Keyboard с сенсором Touch ID и ее блоком PKA.
Безопасный канал между клавиатурой Magic Keyboard с сенсором Touch ID и ее блоком PKA налаживается на заводе-изготовителе с использованием уникального ключа, общего для клавиатуры и блока. (Этот метод также используется для создания безопасного канала между сопроцессором Secure Enclave компьютера Mac и встроенным в компьютер сенсором (это относится к компьютерам Mac со встроенным Touch ID).)