配備 Touch ID 的巧控鍵盤
配備 Touch ID 的巧控鍵盤(和配備 Touch ID 與數字鍵盤的巧控鍵盤)在外接鍵盤中提供了 Touch ID 感測器,可搭配配備 Apple 晶片的任何 Mac 使用。配備 Touch ID 的巧控鍵盤具備生物辨識感測器的角色;其不會儲存生物辨識樣板、執行生物辨識比對或執行安全性原則(例如,必須在 48 小時未解鎖後輸入密碼)。必須先將配備 Touch ID 的巧控鍵盤中的 Touch ID 感測器與 Mac 上的「安全隔離區」嚴密配對,然後才能使用它,接著「安全隔離區」會執行註冊和比對作業,並以針對內置 Touch ID 感測器相同的方式來執行安全性原則。Apple 在出廠時對 Mac 隨附之配備 Touch ID 的巧控鍵盤進行了配對處理。如有需要,配對作業也可以由使用者執行。配備 Touch ID 的巧控鍵盤一次只能與一台 Mac 安全地配對,但是 Mac 最多可以與五個配備 Touch ID 的巧控鍵盤維持安全配對。
配備 Touch ID 的巧控鍵盤與內置 Touch ID 感測器相容。如果在配備 Touch ID 的巧控鍵盤上出現了內置 Mac Touch ID 感測器上的手指,則 Mac 中的「安全隔離區」將會成功處理比對作業,反之亦然。
為了支援安全配對,進而支援 Mac「安全隔離區」和配備 Touch ID 的巧控鍵盤之間的通訊,該鍵盤配備了硬體「公共密鑰加速器(PKA)」區塊,以提供證明以及搭配硬體式鍵盤來執行必要的操作加密編譯過程。
安全配對
在配備 Touch ID 的巧控鍵盤可用於 Touch ID 操作之前,需要將其安全地與 Mac 配對。配對時,Mac 上的「安全隔離區」和配備 Touch ID 的巧控鍵盤中的 PKA 區塊會交換公共密鑰(根植於受信任的 Apple CA),並且它們使用硬體持有的證明密鑰和臨時 ECDH 來安全地證明其身分。在 Mac 上,此資料受「安全隔離區」保護;在配備 Touch ID 的巧控鍵盤上,此資料則受 PKA 區塊保護。安全配對後,Mac 和配備 Touch ID 的巧控鍵盤之間的所有 Touch ID 資料通訊都將由 AES-GCM 使用 256 位的密鑰長度加密,並依據儲存的識別身分使用 NIST P-256 曲線的臨時 ECDH 密鑰進行加密。如需更多有關使用無線模式鍵盤的資訊,請參閱:藍牙安全性。
確定配對意圖
若要首次執行某些 Touch ID 操作(例如,註冊新的指紋),使用者必須實際確認其想要在 Mac 上使用配備 Touch ID 的巧控鍵盤的意圖。藉由在使用者介面指示時按兩次 Mac 電源按鈕或藉由成功比對先前已在 Mac 上註冊的指紋,可以確認實際意圖。如需更多資訊,請參閱:安全意圖以及與「安全隔離區」的連線。
Apple Pay 交易可以使用 Touch ID 比對進行授權,或者輸入 macOS 使用者密碼並在配備 Touch ID 的巧控鍵盤上按兩次 Touch ID 按鈕。後者可讓使用者即使沒有進行 Touch ID 比對,也可以確認實際意圖。
配備 Touch ID 的巧控鍵盤的頻道安全性
為了協助確保配備 Touch ID 的巧控鍵盤中的 Touch ID 感測器與配對的 Mac 上的「安全隔離區」之間的通訊頻道安全,需要執行以下操作:
配備 Touch ID 的巧控鍵盤 PKA 區塊和「安全隔離區」之間的安全配對,如上所述
配備 Touch ID 感測器的巧控鍵盤與其 PKA 區塊之間的安全頻道
配備 Touch ID 感測器的巧控鍵盤與其 PKA 區塊之間的安全頻道是在出廠時,使用兩者之間共享的唯一密鑰來建立的。(對於內置 Touch ID 的 Mac 電腦,這與在 Mac 上的「安全隔離區」及其內置感測器之間建立安全頻道,所使用的技術相同。)