Im Zusammenhang mit der Apple Intelligence, der KI von Apple, wird immer eine „Secure Enclave“ erwähnt. Was ist das eigentlich? Verallgemeinert könnte man schreiben: „Die Secure Enclave ist ein verschlüsselter Speicher“. Das ist durchaus korrekt, weil Daten in Speicherblöcken mit AES verschlüsselt werden, aber die SE besteht aus mehr als nur Speicher und findet man nicht nur auf den Cloud AI Servern von Apple, die zum Beispiel über Siri kontaktiert werden können. Google und Qualcomm setzen zwar eine ähnliche Technik ein, aber die funktioniert anders.
Die "Secure Enclave" ist ein zugewiesenes, sicheres Subsystem, das in Apples System-on-a-Chip (SoC) integriert ist, das heißt, in den Hauptchips, die in Geräten wie iPhones, iPads, Macs mit Apple Silicon (die M-Chips), Apple Watch und Apple TV verbaut sind.
Man kann es sich wie einen separaten, hochsicheren Bereich innerhalb des Chips vorstellen, der vom Hauptprozessor und dem Betriebssystem isoliert ist. Diese Isolation ist entscheidend, denn sie sorgt dafür, dass selbst wenn der Hauptprozessor oder das Betriebssystem kompromittiert werden sollten, sensible Benutzerdaten wie biometrische Daten (Face ID, Touch ID, Optic ID) und Verschlüsselungsschlüssel geschützt bleiben. Jetzt werden einige sagen: „Man kann doch die Leiterbahnen auf dem SoC abfragen..“. Theoretisch schon, aber das ist einfacher gesagt als getan. Zudem gibt es sogar dagegen einen Schutz.
Die Hauptfunktionen der Secure Enclave sind:
- Verwaltung biometrischer Daten: Sie verarbeitet die Daten von Face ID, Touch ID und Optic ID. Wichtig ist: Die biometrischen Rohdaten verlassen die Secure Enclave niemals. Stattdessen wird nur ein mathematischer Vergleich der biometrischen Daten durchgeführt und das Ergebnis (Match oder No-Match) an das System zurückgegeben.
-
- Speicherung und Schutz von Verschlüsselungsschlüsseln: Die Secure Enclave generiert und speichert kritische Verschlüsselungsschlüssel (z.B. für die Geräteverschlüsselung), die für den Zugriff auf sensible Daten benötigt werden. Diese Schlüssel sind für das Betriebssystem und andere Anwendungen nicht direkt zugänglich.
-
- Sichere Authentifizierung: Sie ermöglicht die sichere Authentifizierung für verschiedene Funktionen, wie z.B. das Entsperren des Geräts, Zahlungen mit Apple Pay oder den Zugriff auf geschützte Informationen.
-
- Hardware-Root-of-Trust: Sie verfügt über ein eigenes Boot-ROM, das eine Hardware-Root-of-Trust etabliert und sicherstellt, dass nur vertrauenswürdiger Code in der Secure Enclave ausgeführt wird.
-
- Kryptografische Operationen: Die Secure Enclave ist mit einer eigenen AES-Engine ausgestattet, die schnelle und sichere kryptografische Operationen durchführen kann.
AES ist der Advanced Encryption Standard, eine Verschlüsselung, die abhängig von der Implementierung bis zu heutzutage nicht knackbar ist, z.B. AES256. Das Boot ROM ist entfernt ähnlich dem UEFI BIOS, aber speziell für diese Sicherheitsimplementierung.
In der Apple Cloud für die Apple Intelligence, die PCC, spielt die „Secure Enclave“ eine wesentliche Rolle, weil diese es Apple ermöglicht, leistungsstarke KI-Funktionen anzubieten, während die persönlichen Daten durch diese Hardware-Isolation extrem geschützt bleiben und nicht für Apple oder Dritte zugänglich sind.
Was steckt im Detail in der „Secure Enclave“?
Die SE verfügt über einen BOOT ROM, eine AES-Engine, einen eigenen Prozessor, einen I2C Bus für sicheren nichtflüchtigen Speicher, einen Zufallszahlengenerator für Verschlüsselungen, einen Public Key Accelerator für Verschlüsselungen und sie besitzt einen kryptografischen Stammschlüssel. Aber die SE hat eigentlich keinen eigenen flüchtigen Speicher, verfügt aber über einen Mechanismus, der Informationen auf einen angeschlossenen Speicher ablegen kann. Dieses ist getrennt vom eigentlichen Speicher des Betriebssystems. Flüchtiger Speicher ist Speicher, der seinen Dateninhalt nach dem Ausschalten des Gerätes verliert. Der RAM (Arbeitsspeicher) ist ein solcher Speicher.
Wird vielleicht fortgesetzt....
###router-it.de, 6.2025##
