Face ID ve Touch ID güvenliği
Parolalar, Apple aygıtlarının güvenliği için gereklidir. Aynı zamanda kullanıcıların gün içinde belki de yüz defadan fazla aygıtlarına kolayca erişebilmeleri gerekir. Biyometrik kimlik doğrulama, güçlü bir parolanın sağladığı güvenliği sürdürme (hatta elle girilmesi gerekmeyeceğinden parolayı güçlendirme) yolu sunarken parmağınızın bir dokunuşu veya bir bakışınızla hızlı bir şekilde kilit açma kolaylığı da sunar. Face ID ve Touch ID, parolanın yerine geçmez ama çoğu durumda daha hızlı ve daha kolay bir erişim sunar.
Apple’ın biyometrik güvenlik mimarisi, sorumlulukların biyometrik sensör ile Secure Enclave arasında kesin bir şekilde ayrılmasına ve bu ikisi arasındaki güvenli bağlantıya dayanır. Sensör, biyometrik görüntüyü alır ve onu güvenli bir şekilde Secure Enclave’e iletir. Kayıt sırasında, Secure Enclave ilişkili Face ID ve Touch ID şablon verisini işler, şifreler ve saklar. Karşılaştırma sırasında, Secure Enclave aygıtın kilidinin açılıp açılmayacağını belirlemek veya geçerli bir eşleşme olduğu yanıtını vermek için (Apple Pay, uygulama içi ve diğer Face ID ve Touch ID kullanımlarında) biyometrik sensörden gelen verileri saklanan şablonlarla karşılaştırır. Bu mimari, hem sensörü hem de Secure Enclave’i içeren aygıtları (iPhone, iPad ve birçok Mac sistemi gibi) desteklemesinin yanı sıra sensörü Apple Silicon yongalı bir Mac’teki Secure Enclave ile güvenli bir şekilde eşlenen bir çevre birimine fiziksel olarak ayırabilmeyi de destekler.
Face ID güvenliği
Face ID, desteklenen Apple aygıtlarının kilidini tek bir bakışla güvenli bir şekilde açar. Bu özellik, kullanıcı yüzünün geometrisini doğru bir şekilde eşlemek için ileri düzey teknolojileri kullanan TrueDepth kamera sistemi tarafından etkinleştirilen sezgisel ve güvenli kimlik doğrulama sağlar. Face ID; dikkati saptama, eşleştirme ve aldatma önleme için nöral ağları kullanır; böylece kullanıcı, desteklenen aygıtları kullanırken maskeli olsa bile kendi telefonunun kilidini tek bir bakışla açabilir. Face ID, görünüşteki değişikliklere otomatik olarak uyum sağlar ve kullanıcıya ait biyometrik verilerin gizliliğini ve güvenliğini özenle korur.
Face ID kullanıcının dikkatini doğrulamak, düşük hatalı eşleşme oranı ile güçlü kimlik doğrulama sağlamak ve hem dijital hem de fiziksel aldatmayı azaltmak için tasarlanmıştır.
Kullanıcı, Face ID özelliği bulunan bir Apple aygıtını uyandırdığında (aygıtı kaldırarak veya ekranına dokunarak), bu tür bir aygıt gelen bir bildirimi görüntülemek için kullanıcı kimliğini doğrulamaya çalıştığında veya desteklenen bir uygulama Face ID kimlik doğrulaması istediğinde, TrueDepth kamera otomatik olarak kullanıcının yüzünü arar. Yüz algılandığında, Face ID kullanıcının gözlerinin açık ve dikkatinin aygıtına dönük olduğunu algılayarak dikkati ve kilidi açma niyetini doğrular; erişilebilirlik için VoiceOver etkinleştirildiğinde Face ID dikkat denetimi etkisizleştirilir ve gerekirse tek başına da etkisizleştirilebilir. Face ID’yi maskeyle kullanırken dikkat algılama her zaman gereklidir.
TrueDepth kamera, dikkatli bir yüzün varlığını doğruladıktan sonra binlerce kızılötesi nokta yansıtıp bunları okuyarak 2B kızılötesi bir görüntü ile yüzün derinlik haritasını oluşturur. Bu veriler, dijital olarak imzalanıp Secure Enclave’e gönderilen 2B görüntüler ve derinlik haritaları dizisi yaratmak için kullanılır. TrueDepth kamera, hem dijital hem de fiziksel aldatmalara karşı koyabilmek için 2B görüntü ve derinlik haritası yakalamaları dizisini rasgele gerçekleştirir ve aygıta özgü rasgele bir model yansıtır. Güvenli Neural Engine’in Secure Enclave’de korunan bir bölümü, bu verileri matematiksel bir imgeye dönüştürür ve bu imgeyi kayıtlı yüz verileri ile karşılaştırır. Kayıtlı yüz verilerinin kendisi de çeşitli pozlarda yakalanmış kullanıcı yüzünün matematiksel bir imgesidir.
Touch ID güvenliği
Touch ID, desteklenen Apple aygıtlarına daha hızlı ve kolay şekilde güvenli erişim sağlayan parmak izi algılama sistemidir. Bu teknoloji, parmak izi verilerini herhangi bir açıdan okur; her kullanımda örtüşen daha fazla düğüm belirlendiğinden parmak izi haritasını genişletmeyi sürdüren sensör, zaman içinde kullanıcının parmak izi hakkında daha fazla bilgi edinir.
Touch ID sensörlü Apple aygıtlarının kilidi parmak izi kullanılarak açılabilir. Touch ID, aygıt parolası veya kullanıcı parolası ihtiyacını ortadan kaldırmaz. Aygıt başlatıldıktan, yeniden başlatıldıktan veya oturum kapatıldıktan (Mac’te) sonra bu parolalar hâlâ gereklidir. Bazı uygulamalarda Touch ID, aygıt parolası veya kullanıcı parolası yerine de kullanılabilir (örneğin Notlar uygulamasında parolayla korunan notların kilidini açmak için, anahtar zinciriyle korunan web sitelerinin kilidini açmak için ve desteklenen uygulama parolalarının kilidini açmak için). Ancak bazı senaryolarda bir aygıt parolası veya kullanıcı parolası her zaman gerekir (örneğin var olan bir aygıt parolasını veya kullanıcı parolasını değiştirmek, var olan parmak izi kayıtlarını silmek veya yenilerini yaratmak için).
Parmak izi sensörü bir parmak dokunuşu algıladığında, parmağı tarayıp bu taramayı Secure Enclave’e göndermek için gelişmiş görüntüleme dizisini tetikler. Bu bağlantıyı güvenli kılmak için kullanılan kanal, Touch ID sensörünün Secure Enclave ile aygıtta yerleşik olmasına veya ayrı bir çevre birimde bulunmasına bağlı olarak değişir.
Parmak izi tarama verileri incelenmek üzere vektörel hâle getirilirken görüntü tarama verileri, Secure Enclave’deki şifreli bellekte geçici olarak saklanır ve sonra atılır. İnceleme, kullanıcının gerçek parmak izini yeniden oluşturmak için gerekli olan “parmak izi özellik noktası verilerini” atan kayıplı bir işlem olan deri altı çizgi akış açısı eşleme özelliğini kullanır. Kayıt sırasında, sonuçta elde edilen düğüm haritası, yalnızca Secure Enclave tarafından gelecekteki eşleşmeleri bulmak amacıyla karşılaştırma yaparken şablon olarak okunabilecek şifreli bir biçimde ama herhangi bir kimlik bilgisi olmadan saklanır. Bu veriler aygıttan asla ayrılmaz. Apple’a gönderilmez ya da aygıt yedeklemelerine dahil edilmez.
Yerleşik Touch ID kanal güvenliği
Secure Enclave ile yerleşik Touch ID sensörü arasındaki iletişim, SPI (seri çevre birim arayüzü) yolu üzerinden gerçekleştirilir. İşlemci, verileri Secure Enclave’e iletir ancak okuyamaz. Veriler, üretim aşamasında aygıtın Touch ID sensörü ve onunla ilişkili Secure Enclave için sağlanmış bir paylaşılan anahtar aracılığıyla üzerinde uzlaşılan bir oturum anahtarı kullanılarak şifrelenip doğrulanır. Her Touch ID sensörü için, paylaşılan anahtar güçlü, rasgele ve farklıdır. Oturum anahtarı alışverişinde AES anahtar paketleme kullanılır; her iki taraf da oturum anahtarını belirleyen ve hem kimlik doğrulama hem de gizlilik sunan (AES‑CCM kullanarak) aktarım şifrelemesini kullanan rasgele bir anahtar sağlar.