配備 Touch ID 的精妙鍵盤
配備 Touch ID 的精妙鍵盤(和配備 Touch ID 與數字鍵盤的精妙鍵盤)在外置鍵盤中提供了 Touch ID 感應器,可配搭任何配備 Apple 晶片的 Mac 使用。配備 Touch ID 的精妙鍵盤具備生物識別感應器的角色;其不會儲存生物識別範本、執行生物識別比對或執行保安規則(例如,必須在 48 小時未有解鎖後輸入密碼)。必須先將配備 Touch ID 的精妙鍵盤中的 Touch ID 感應器與 Mac 上的「安全隔離區」嚴密配對,然後才能使用配備 Touch ID 的精妙鍵盤,接着「安全隔離區」會執行註冊和比對作業,並以針對內置 Touch ID 感應器相同的方式來執行保安規則。Apple 在出廠時對 Mac 隨附之配備 Touch ID 的精妙鍵盤進行了配對處理。如有需要,配對作業也可以由用户執行。配備 Touch ID 的精妙鍵盤一次只能與一部 Mac 安全地配對,但是 Mac 最多可以與五個配備 Touch ID 的精妙鍵盤維持安全配對。
配備 Touch ID 的精妙鍵盤與內置 Touch ID 感應器相容。如果在配備 Touch ID 的精妙鍵盤上出現了內置 Mac Touch ID 感應上的手指,則 Mac 中的「安全隔離區」將會成功處理比對作業,反之亦然。
為了支援安全配對,進而支援 Mac「安全隔離區」和配備 Touch ID 的精妙鍵盤之間的通訊,該鍵盤配備了硬件「公共密鑰加速器(PKA)」區塊,以提供證明以及配搭硬件式鍵盤來執行必要的操作加密編譯過程。
安全配對
在配備 Touch ID 的精妙鍵盤可用於 Touch ID 操作之前,需要將其安全地與 Mac 配對。如要配對,Mac 上的「安全隔離區」和配備 Touch ID 的精妙鍵盤中的 PKA 區塊會交換公共密鑰(根植於受信任的 Apple Ca),並且它們使用硬件持有的證明密鑰和臨時 ECDH 來安全地證明其身份。在 Mac 上,此資料受「安全隔離區」保護;在配備 Touch ID 的精妙鍵盤上,此資料則受 PKA 區塊保護。安全配對後,Mac 和配備 Touch ID 的精妙鍵盤之間的所有 Touch ID 資料通訊都將由 AES-GCM 使用 256 位的密鑰長度加密,並依據儲存的識別身份使用 NIST P-256 曲線的臨時 ECDH 密鑰進行加密。如需更多於以無線模式使用鍵盤的方式,請參閲:藍牙保安。
確定配對意圖
如要首次執行某些 Touch ID 操作(例如,註冊新的指紋),用户必須實際確認其想要在 Mac 上使用配備 Touch ID 的精妙鍵盤的意圖。透過在用户介面指示時按兩下 Mac 電源按鈕,或透過成功比對先前已在 Mac 上註冊的指紋,可以確認實際意圖。如需更多資料,請前往:安全意圖以及與「安全隔離區」的連線。
Apple Pay 交易可以使用 Touch ID 比對進行授權,或者輸入 macOS 用户密碼並在配備 Touch ID 的精妙鍵盤上按兩下 Touch ID 按鈕。後者可讓用户即使沒有進行 Touch ID 比對,也可以確認實際意圖。
配備 Touch ID 的精妙鍵盤的頻道保安
為協助確保配備 Touch ID 的精妙鍵盤中的 Touch ID 感應器與配對的 Mac 上的「安全隔離區」之間的通訊頻道安全,需要執行以下項目:
配備 Touch ID 的精妙鍵盤 PKA 區塊和「安全隔離區」之間的安全配對(如上所述)
配備 Touch ID 感應器的精妙鍵盤與其 PKA 區塊之間的安全頻道
配備 Touch ID 感應器的巧控鍵盤與其 PKA 區塊之間的安全頻道是在出廠時,使用兩者之間共享的唯一密鑰來建立的。(對於內置 Touch ID 的 Mac 電腦,這與在 Mac 上的「安全隔離區」及其內置感應器之間建立安全頻道,所使用的技術相同。)