Apple met à jour le guide de sécurité de la plate-forme avec des détails sur le déverrouillage de l’Apple Watch sur l’iPhone, le clavier magique Touch ID

Apple a publié son guide de sécurité de la plate-forme 2021 en février avec de nouveaux détails sur les Mac M1, iOS 14, macOS Big Sur, watchOS 7, etc. Le guide a maintenant été mis à jour avec des détails sur le fonctionnement de Touch ID sur le nouveau Magic Keyboard, le fonctionnement du déverrouillage de l’iPhone avec Apple Watch dans la cryptographie iOS 14.5, et plus encore.

Le Guide de sécurité de la plate-forme révisé décrit en détail le fonctionnement du nouveau Magic Keyboard avec Touch ID fourni avec les nouveaux iMac M1, et plus encore.

Le Magic Keyboard avec Touch ID joue le rôle de capteur biométrique; il ne stocke pas les modèles biométriques, n’effectue pas de correspondance biométrique ou n’applique pas les politiques de sécurité (par exemple, devoir entrer le mot de passe après 48 heures sans déverrouillage). Le capteur Touch ID du Magic Keyboard avec Touch ID doit être couplé en toute sécurité au Secure Enclave sur le Mac avant de pouvoir être utilisé, puis le Secure Enclave effectue les opérations d’inscription et de correspondance et applique les politiques de sécurité de la même manière qu’il le ferait pour un capteur Touch ID intégré.

Apple note qu’un Magic Keyboard avec Touch ID ne peut être «associé qu’à un Mac à la fois», mais fait intéressant, «un Mac peut maintenir des appariements sécurisés avec jusqu’à cinq Magic Keyboard différents avec des claviers Touch ID.

Alors que le nouveau clavier n’est pour l’instant vendu qu’avec le nouvel iMac M1, Apple dit qu’il fonctionnera avec les MacBook avec Touch ID intégré:

Le Magic Keyboard avec Touch ID et les capteurs Touch ID intégrés sont compatibles. Si un doigt inscrit sur un capteur Mac Touch ID intégré est présenté sur un Magic Keyboard avec Touch ID, Secure Enclave du Mac traite avec succès la correspondance et vice versa.

La documentation décrit en outre le couplage sécurisé, l’intention sécurisée de couplage et la sécurité du canal Touch ID.

Pour garantir un canal de communication sécurisé entre le capteur Touch ID du Magic Keyboard avec Touch ID et Secure Enclave sur le Mac couplé, les éléments suivants sont nécessaires:
• L’appairage sécurisé entre le Magic Keyboard avec bloc Touch ID PKA et Secure Enclave comme décrit ci-dessus
• Un canal sécurisé entre le Magic Keyboard avec capteur Touch ID et son bloc PKA

Le canal sécurisé entre le Magic Keyboard avec capteur Touch ID et son bloc PKA est établi en usine en utilisant une clé unique partagée entre les deux. (Il s’agit de la même technique utilisée pour créer le canal sécurisé entre Secure Enclave sur le Mac et son capteur intégré, pour les ordinateurs Mac avec Touch ID intégré.)

Une autre mise à jour principale du guide partage des détails sur la cryptographie utilisée pour le déverrouillage de l’iPhone avec la fonction Apple Watch lancée avec iOS 14.5.

Pour plus de commodité lors de l’utilisation de plusieurs appareils Apple, certains appareils peuvent en déverrouiller automatiquement d’autres dans certaines situations. Le déverrouillage automatique prend en charge trois utilisations:
• Une Apple Watch peut être déverrouillée par un iPhone.
• Un Mac peut être déverrouillé par une Apple Watch.
• Un iPhone peut être déverrouillé par une Apple Watch lorsqu’un utilisateur est détecté avec le nez et la bouche couverts.
Les trois cas d’utilisation reposent sur la même base de base: un protocole STS (Station-to-Station) mutuellement authentifié, avec des clés à long terme échangées au moment de l’activation des fonctionnalités et des clés de session éphémères uniques négociées pour chaque demande. Quel que soit le canal de communication sous-jacent, le tunnel STS est négocié directement entre les Secure Enclaves dans les deux appareils, et tout le matériel cryptographique est conservé dans ce domaine sécurisé (à l’exception des ordinateurs Mac sans Secure Enclave, qui terminent le tunnel STS dans le noyau).

En plongeant dans les détails de la façon dont cela fonctionne, il y a deux phases:

Une séquence de déverrouillage complète peut être décomposée en deux phases. Tout d’abord, l’appareil en cours de déverrouillage (la «cible») génère un secret de déverrouillage cryptographique et l’envoie à l’appareil effectuant le déverrouillage («l’initiateur»). Plus tard, l’initiateur effectue le déverrouillage en utilisant le secret généré précédemment.

Pour armer le déverrouillage automatique, les appareils se connectent les uns aux autres à l’aide d’une connexion BLE. Ensuite, un secret de déverrouillage de 32 octets généré aléatoirement par le périphérique cible est envoyé à l’initiateur via le tunnel STS. Lors du prochain déverrouillage biométrique ou par mot de passe, l’appareil cible encapsule sa clé dérivée du mot de passe (PDK) avec le secret de déverrouillage et supprime le secret de déverrouillage de sa mémoire.

Pour effectuer le déverrouillage, les appareils lancent une nouvelle connexion BLE, puis utilisent le Wi-Fi peer-to-peer pour se rapprocher en toute sécurité de la distance entre eux. Si les périphériques se trouvent dans la plage spécifiée et que les politiques de sécurité requises sont respectées, l’initiateur envoie son secret de déverrouillage à la cible via le tunnel STS. La cible génère alors un nouveau secret de déverrouillage de 32 octets et le renvoie à l’initiateur. Si le secret de déverrouillage actuel envoyé par l’initiateur décrypte avec succès l’enregistrement de déverrouillage, le dispositif cible est déverrouillé et le PDK est reconditionné avec un nouveau secret de déverrouillage. Enfin, le nouveau secret de déverrouillage et le PDK sont ensuite supprimés de la mémoire de la cible.

Parallèlement à ces mises à jour, Apple a ajouté des détails sur le hachage du manifeste CustomOS Image4 et modifié certains détails pour les transactions en mode express, le démarrage multiple sécurisé et la protection par clé scellée.

Vous pouvez trouver le guide complet de sécurité de la plate-forme de mai 2021 ici ainsi que la page de destination de sécurité d’Apple ici pour plus de détails.

FTC: Nous utilisons des liens d’affiliation automatiques générant des revenus. Suite.

Consultez . sur YouTube pour plus d’informations sur Apple: