本文譯自Quora用戶Brain Roemmele在問題「What is Apple's new Secure Enclave and why is it important ?」 下給出的答案。有刪減。
7年摸索的結果
從 2008 年開始我就注意到了蘋果要採用指紋掃瞄的消息並一直關注至今。直到 9 月 10 日發佈的 iPhone 5s 印證了我長久以來的猜想,這對蘋果和我來說都是一段漫長的旅程。我相信 Touch ID 的果實會在 10 年內結出。
多年來,就連業內資深人士都對蘋果可能採用的指紋技術的可靠性和必要性心存質疑。這種情況在去年蘋果收購了 AuthenTec 之後有所改觀,一些和我一起工作的初創公司終於開始重視起來。然而,還是有人選擇了視而不見,他們覺到只要不去理睬,這事兒就不存在一樣(這可是某位創業 者說的)。
當我在 5 年前第一次看見蘋果關於此類技術的專利申請時就被深深迷住了。之後,我開始思考蘋果將會如何保存這些極重要生物學信息。根據自己在支付卡行業,尤其是 PIN 碼方面逾 30 年的從業經驗,我知道這不是單靠軟件方案就能解決的。於是我想一定會有一個獨立的硬件被用來存儲信息。
Secure Enclave
網上分析 Touch ID 的文章已經有成千上百,但是真正意識到這項技術的革新意義的卻不算多。蘋果不僅打造了最精確的量產生物學安全識別設備,他們還解決了如何加密、存儲和保護數據這個關鍵問題。蘋果稱之為 Secure Enclave,可以說這是個新概念。
為安全而生的A7
蘋果選擇基於 ARMv8 架構的 A7 芯片有很多原因,其中一個就是為了滿足 Touch ID 的硬件需求。為了經濟地搭建 Secure Enclave, 蘋果需要的芯片必須具有原生的安全性能並且有專門的區域供隔離和加密。
這正是 ARM 大約在三年前就開始研究的地方,並且通過一系列合作打造出了名為 TrustZone/SecurCore 的技術。TrustZone 技術和 A7 芯片精密結合併通過 AMBA AXI 總線和特定的 TrustZone System IP 塊貫穿系統層面。這種佈局意味著保護外圍設備不受軟件攻擊成為了可能。
這篇 ARM 在 2008 年發佈的白皮書節選從側面反應了 A7 在移動支付方面的作用:
「6.2.2 移動支付
不少嵌入式設備開始存儲大量用戶信息,包括電子郵件、移動銀行資料和移動支付證書等高度敏感信息。這些信息可以通過密碼的方式受到保護,然而一旦解鎖後就會容易受到任何底層軟件漏洞的危害。
把數據的存儲、修改甚至是密碼輸入都遷移到 Secure 區域是非常合理的。儘管那些應用需要各自讀取不同類型的用戶信息,但是在安全限制問題方面卻有著相似要求。為做到這點,Gadget2008 的移動支付功能將具備更加嚴格的限制條件。」
Secure Enclave的工作原理
蘋果用高度優化過的 TrustZone 為基礎做出了 Secure Enclave。我們當然不指望蘋果透露任何關於定製硬件的細節,因此我就以 TrustZone 為分析對象,借此來推斷 Secure Enclave 的情況。
TrustZone 系統通過完全分割硬件和軟件資源以保證安全性,這兩者被分別安置在 Secure 區和 Normal 區 – 前者為安全子系統而設,後者則是處理其它任務的正常區域。AMBA3 AXI 總線保證 Normal 區的組件無法訪問 Secure 區的資源,以此方式在兩區之間建立區一道堅固的牆來杜絕對儲存在 Secure 區的敏感資源做出的潛在攻擊。
這種物理隔離的方式將有效減少需要通過安全驗證的子系統數量。監控模式(monitor mode)會負責在兩個虛擬處理器之間切換以應對安全驗證的要求。
由此可見,A7 是自帶安全基因的。建立在硬件架構上的安全性非常穩固的。光是訪問儲存在 Secure Enclave 內的信息就要求在硬件破解上付出大量工作。這顯然對設備本身是有利的,那麼對於互聯網又有什麼影響呢?事實上,那些用來激活云端系統的數據的用途就像一把 連接網絡的鑰匙,這就是蘋果將要在 iTunes 和 App Store 裡採取的模式。同時,還有可能到來的零售支付系統。
ARM 網站上就給出了一個移動支付方式的例子 -- 個人 POS 終端:
Touch ID 的問世絕對稱得上是蘋果潛心研究的結果,七年間,蘋果提交了許多專利申請、收購 AuthenTec、選用集成了 TrustZon 技術的 A7 芯片...... 所有的這一切匯聚在一起,才成就了今天的 Touch ID。
想必喬布斯也會為 Touch ID 引以為豪的吧。
SOURCE: quora.com
結論:
|
36氪版權所有:轉載請注明來源、作者及原文鏈結
|
1
|
相關訊息參考:http://www.36kr.com/p/206298.html
|
沒有留言:
張貼留言