Magic Keyboard med Touch ID
Magic Keyboard med Touch ID (och Magic Keyboard med Touch ID och numeriskt tangentbord) tillhandahåller en Touch ID-sensor i ett externt tangentbord som kan användas med alla Mac-datorer som har Apple Silicon. Magic Keyboard med Touch ID fungerar som den biometriska sensorn. Det lagrar inga biometriska mallar, utför ingen biometrisk matchning och tvingar inte igenom några säkerhetspolicyer (t.ex. att ett lösenord måste anges när ingen upplåsning har gjorts under 48 timmar). Touch ID-sensorn i Magic Keyboard med Touch ID måste parkopplas säkert med Secure Enclave i datorn innan den kan användas. Secure Enclave utför sedan registrerings- och matchningsåtgärderna och tvingar igenom säkerhetspolicyer på samma sätt som för inbyggda Touch ID-sensorer. Apple utför parkopplingen i fabriken för Magic Keyboard-tangentbord med Touch ID som levereras med Mac-datorer. Användare kan också parkoppla om det behövs. Ett Magic Keyboard med Touch ID kan bara parkopplas säkert med en dator åt gången, men en dator kan upprätthålla säkra parkopplingar med upp till fem olika Magic Keyboard-tangentbord med Touch ID.
Magic Keyboard med Touch ID och inbyggda Touch ID-sensorer är kompatibla. Om ett finger som har registrerats med en inbyggd Touch ID-sensor avläses på ett Magic Keyboard med Touch ID behandlar Secure Enclave i datorn matchningen och tvärtom.
Tangentbordet har en maskinvarubaserad PKA-blockering (Public Key Accelerator) så att datorns Secure Enclave och Magic Keyboard med Touch ID ska kunna parkopplas säkert och sedan kommunicera. Den tillhandahåller attestering och maskinvarubaserade nycklar utför de nödvändiga krypteringsprocesserna.
Säker parkoppling
Ett Magic Keyboard med Touch ID måste parkopplas säkert med datorn innan det kan användas till Touch ID-åtgärder. För att parkoppla utbyter Secure Enclave i datorn och PKA-blocket i Magic Keyboard med Touch ID publika nycklar som finns hos den betrodda Apple-certifikatutfärdare. De använder attesteringsnycklar i maskinvaran och tillfälliga ECDH till att säkert attestera sin identitet. På datorn skyddas dessa data av Secure Enclave och på Magic Keyboard med Touch ID av PKA-blocket. När en säker parkoppling har gjorts krypteras alla Touch ID-data som kommuniceras mellan datorn och Magic Keyboard med Touch ID med AES-GCM med en 256-bitars nyckellängd och tillfälliga ECDH-nycklar med en NIST P-256-kurva som baseras på de lagrade identiteterna. För mer information om hur du använder tangentbordet i trådlöst läge, se Bluetooth-säkerhet.
Säker avsikt att parkoppla
Första gången användaren ska utföra vissa Touch ID-åtgärder, t.ex. registrera ett nytt fingeravtryck, måste den fysiskt bekräfta sin avsikt att använda Magic Keyboard med Touch ID med datorn. Avsikten bekräftas fysiskt genom att trycka två gånger på datorns strömbrytare när det anges i användargränssnittet eller genom att använda ett fingeravtryck som tidigare har registrerats för datorn. Mer information finns i Säker avsikt och säkra anslutningar till Secure Enclave.
Apple Pay-transaktioner kan godkännas med en Touch ID-matchning. De kan också godkännas genom att ange macOS-användarens lösenord och trycka två gånger på Touch ID-knappen på Magic Keyboard med Touch ID. Med den sista metoden kan användaren bekräfta avsikten fysiskt även utan en Touch ID-matchning.
Kanalsäkerhet för Magic Keyboard med Touch ID
För att säkerställa en säker kommunikationskanal mellan Touch ID-sensorn i Magic Keyboard med Touch ID och Secure Enclave i den parkopplade datorn krävs följande:
Den säkra parkopplingen mellan PKA-blocket för Magic Keyboard med Touch ID och Secure Enclave enligt beskrivningen ovan
En säker kanal mellan Magic Keyboard med Touch ID-sensorn och dess PKA-block
Den säkra kanalen mellan Magic Keyboard med Touch ID-sensorn och dess PKA-block skapas i fabriken med en unik nyckel som delas mellan båda. (Det är samma teknik som används till att skapa den säkra kanalen mellan Secure Enclave i datorn och dess inbyggda sensor på Mac-datorer med inbyggd Touch ID.)