Apple utvärderar utökade Secure Enclave-skydd för flera användare

Apple undersöker sätt att låta flera användare dra nytta av Touch ID, eller liknande biometriska system, samtidigt som skyddet av den nuvarande säkra enklaven behålls.

Apples T2-säkerhetsprocessor är baserad på en säker enklav som lagrar biometrisk data om en användare. Oavsett om den användaren låser upp sin Mac eller gör ett köp, uppmanas den säkra enklaven att bekräfta att de är den de säger att de är.

Utan att avslöja någon av de lagrade uppgifterna kan T2-processorn bekräfta eller avslå en begäran. Så Mac eller återförsäljare har den säkerhet de behöver för att fortsätta, utan att användarens integritet äventyras.

Detta fungerar mycket bra för enskilda användare, men det blir mer komplext när flera personer vill komma åt samma Mac, eller annat system, för att göra olika saker. Upplåsning för en användare kan innebära att de får tillgång till hela maskinen, medan upplåsning för en annan kan begränsa dem till deras eget användarkonto och en delmängd av de möjliga funktionerna.

Det låter faktiskt inte som om det kunde vara så mycket svårare, men den nyligen avslöjade patentansökan “Provision of Domains in Secure Enclave to Support Multiple Users”, visar att det är det. Istället för att bara vara ett fall där den säkra enklaven jämför, säg, ett fingeravtryck med något av de tidigare lagrade, finns det komplicerade problem kring dessa åtkomstnivåer.

Patentansökan handlar därför mindre om hur de biometriska uppgifterna fysiskt lagras, eller bara hur många olika personer som kan få sina fingeravtryck igenkända. Det handlar mer om frågor om vem som får göra vad. “När gruppkryptering är aktiverad kan det krävas att en befintlig medlem i gruppen har tillstånd att lägga till en ny medlem i en grupp”, står det.

“För att möjliggöra fleranvändaråtkomst till databehandlingssystemet kan gruppnycklar skapas, så att via medlemskap inom en grupp på systemet (t.ex. administratörer, användare, etc.) kan möjliggöra olika nivåer av åtkomst till systemet.” fortsätter Apple.

Det skulle vara lättare att bara ha ett lösenord som du berättar för folk, men det skulle inte föra något i närheten av den säkerhetsnivå som Apple anser krävs.

“Datorenheter kan använda lösenordsskydd för att skydda data som lagras på enheten”, säger patentansökan. “Datorenheten kan förhindra obehörig åtkomst till lagrad data genom att använda skyddsmekanismer, inklusive att presentera en inloggningsskärm som kräver att en användare tillhandahåller ett användarnamn/lösenordskombination och/eller ett numeriskt eller alfanumeriskt lösenord.”

“Det kan dock fortfarande vara möjligt att få tillgång till data lagrad på datorsystemet utan kunskap om ett användarnamn/lösenord eller lösenord om data lagras på ett okrypterat sätt”, fortsätter Apple. “En illvillig angripare kan kanske extrahera data direkt från minnet. Om angriparen har fysisk åtkomst till datorsystemet kan angriparen ta bort en eller flera lagringsenheter från systemet och komma åt dessa enheter via ett annat system.”

Detalj från patentansökan som visar en av många beslutsvägar som systemet skulle behöva ta

Detalj från patentansökan som visar en av många beslutsvägar som systemet skulle behöva ta

En säker enklav bör fixa detta, men det måste vara bekvämt för flera legitima användare, samt omöjligt för obehöriga. Så en Mac eller annan enhet bör låsas upp snabbt för rätt person, men inte någon som försöker tvinga sig in.

“Den säkra processorn inkluderar minne som används för att spåra ett antal på varandra följande misslyckade autentiseringsförsök för var och en av flera autentiseringstyper”, säger Apple. Allt eftersom varje försök görs är Apples förslag att användaren får vänta allt längre tider innan de får försöka igen.

“Den säkra processorn är vidare konfigurerad att fördröja autentiseringen av begäran under en första tidsperiod som svar på ett beslut om att användarkontot som är associerat med en mottagen uppsättning autentiseringsuppgifter har överskridit ett första antal på varandra följande misslyckade autentiseringsförsök”, säger Apple.

Denna patentansökan krediteras tre uppfinnare, Pierre Oliver Martel, Arthur Mesh och Wade Benson. Alla tre har tidigare relaterade patent gällande användarautentisering och säker åtkomst.

Relaterade artiklar

Back to top button