Apple hat in einem Sicherheitsdokument (PDF) zur geschäftlichen Nutzung des iPhones nun erweiterte Angaben zur Erfassung von Fingerabdrücken mit TouchID und anderen Sicherheitsfunktionen veröffentlicht. Der Sensor findet sich erstmals in Apples aktuellem Smartphone-Flaggschiff, dem iPhone 5S.

Secure Enclave

Bei der Erfassung und Absicherung der Abdrücke vertraut man stark auf "Secure Enclave". Für diese kommt ein eigener Co-Prozessor der A7-CPU zum Einsatz, der im Rahmen eines gesicherten Bootvorganges sicherstellt, dass die TouchID-Software am Gerät auch tatsächlich von Apple signiert ist.

Selbst wenn der Kernel des iOS-Systems kompromittiert wird, sollen alle Funktionen der Secure Enclave unabhängig davon weiter nutzbar sein, fasst MacRumors zusammen.

Mehrfache Absicherung

Während der Herstellung soll jede Secure Enclave eine eigene und einzigartige Identifikationsnummer erhalten, die für das restliche System nicht zugänglich ist und auch Apple nicht bekannt sein soll. Beim Start des iPhones wird ein flüchtiger Schlüssel erstellt, mit dieser ID "vermengt" und damit anschließend jener Speicherbereich verschlüsselt, auf den Secure Enclave zugreift.

Wird nun Touch ID verwendet, um etwa einen Kauf zu bestätigen, erhält der A7-Prozessor zwar Daten zur Übermittlung, kann diese aber nicht lesen. Der Fingerabdrucksensor selbst arbeitet wiederum mit der Geräte-ID des iPhones. AES-Verschlüsselung soll sicherstellen, dass auf beiden Seiten ein randomisierter Schlüssel verwendet wird, um wiederum einen Schlüssel für die Sitzung (zur Übertragung der Fingerabdruckdaten über eine AES-CCM-gesicherte Verbindung) zu generieren.

Apple: Abdruckdaten bleiben am Gerät

Schon zuvor hatte Apple stets betont, dass Fingerabdrücke in Form von Daten und nicht als Bild im Gerät abgelegt werden. Sie sollen auch ausschließlich in der "Enklave" auf dem Gerät verbleiben und nicht online gespeichert werden. (red, derStandard.at, 13.03.2014)