Magic Keyboard con Touch ID
El teclado Magic Keyboard con Touch ID (y el teclado Magic Keyboard con Touch ID y teclado numérico) proporciona un sensor de Touch ID en un teclado externo que puede usarse con cualquier Mac con chip de Apple. El teclado Magic Keyboard con Touch ID hace la función de sensor biométrico; no almacena plantillas biométricas, realiza comparaciones biométricas ni aplica políticas de seguridad (por ejemplo, exigir que se introduzca la contraseña después de 48 horas sin desbloquear). El sensor de Touch ID del teclado Magic Keyboard con Touch ID debe enlazarse de forma segura con Secure Enclave en el Mac antes de poder usarse. A continuación, Secure Enclave realizará las operaciones de inscripción y comparación y aplicará políticas de seguridad del mismo modo que con un sensor de Touch ID integrado. Apple realiza el proceso de enlace en la fábrica para un teclado Magic Keyboard con Touch ID incluido con un Mac. El usuario también puede realizar el enlace si es necesario. Un teclado Magic Keyboard con Touch ID solo puede estar enlazado de forma segura con un único Mac, pero un Mac puede mantener enlaces seguros con hasta cinco teclados Magic Keyboard con Touch ID distintos.
El teclado Magic Keyboard con Touch ID y los sensores de Touch ID integrados son compatibles. Si se utiliza un dedo registrado en un sensor de Touch ID integrado de un Mac en un teclado Magic Keyboard con Touch ID, el procesador Secure Enclave del Mac procesa correctamente la correspondencia, y viceversa.
Para posibilitar el enlace seguro y, por tanto, la comunicación entre el procesador Secure Enclave del Mac y el teclado Magic Keyboard con Touch ID, el teclado está equipado con un bloque acelerador de claves públicas (PKA) de hardware, para proporcionar acreditación, y con claves basadas en hardware, para realizar los procesos criptográficos necesarios.
Enlace seguro
Antes de poder usar un teclado Magic Keyboard con Touch ID para las operaciones de Touch ID, debe enlazarse con el Mac de forma segura. Para realizar el enlace, el procesador Secure Enclave del Mac y el bloque PKA del teclado Magic Keyboard con Touch ID intercambian claves públicas, radicadas en la autoridad de certificación de Apple de confianza, y utilizan claves de acreditación del hardware y protocolos ECDH efímeros para acreditar la identidad con seguridad. En el Mac, Secure Enclave protege estos datos, mientras que en el teclado Magic Keyboard con Touch ID, los protege el bloque PKA. Después de realizar el enlace seguro, todos los datos de Touch ID comunicados entre el Mac y el teclado Magic Keyboard con Touch ID se encriptan mediante AES-GCM con una longitud de clave de 256 bits, y con claves ECDH efímeras que usan la curva P-256 del NIST basadas en las identidades almacenadas. Para obtener más información sobre cómo utilizar el teclado en modo inalámbrico, consulta Seguridad del Bluetooth.
Intención segura para enlazar
Para realizar por primera vez algunas operaciones de Touch ID, como inscribir una nueva huella digital, el usuario debe confirmar físicamente su intención para usar un teclado Magic Keyboard con Touch ID con el Mac. La intención física se confirma pulsando dos veces el botón de encendido del Mac cuando lo indique la interfaz de usuario, o bien utilizando una huella digital que se haya inscrito anteriormente con el Mac que coincida correctamente. Para obtener más información, consulta Intención segura y conexiones a Secure Enclave.
Las transacciones de Apple Pay pueden autorizarse con una coincidencia de Touch ID o al introducir la contraseña del usuario de macOS y pulsar dos veces el botón de Touch ID del teclado Magic Keyboard con Touch ID. Este último método permite al usuario confirmar la intención física incluso sin una coincidencia de Touch ID.
Canal de seguridad del teclado Magic Keyboard con Touch ID
Para ayudar a garantizar un canal de comunicación seguro entre el sensor de Touch ID del teclado Magic Keyboard con Touch ID y Secure Enclave en el Mac enlazado, se requiere lo siguiente:
Un enlace seguro entre el bloque PKA del teclado Magic Keyboard con Touch ID y Secure Enclave, tal y como se ha descrito anteriormente.
Un canal seguro entre el sensor del teclado Magic Keyboard con Touch ID y su bloque PKA.
El canal seguro entre el sensor del teclado Magic Keyboard con Touch ID y su bloque PKA se establece de fábrica mediante una clave única compartida entre los dos (esta es la misma técnica que se emplea para crear el canal seguro entre el procesador Secure Enclave del Mac y su sensor integrado, en ordenadores Mac con Touch ID integrado).