Secure Enclave

Secure Enclave Processorとも表記ひょうきされ、略りゃくしてSEPと呼よばれることもある。

Touch IDの指紋しもんデータ、またはFace IDの顔かお認証にんしょうデータ、Apple Payのカードデータは このSecure Enclave内ないの、アプリケーションプロセッサーやアプリからは隔離かくりされた特殊とくしゅな領域りょういきに保存ほぞんされる。

そのため、インターネット経由けいゆや App経由けいゆ(システム含ふくむ)からはアクセスが不可能ふかのうになっている。

OSバージョン毎ごとにアップデートされる。

ある程度ていどのバージョン間あいだでは互換ごかん性せいがあるが、特殊とくしゅな方法ほうほうで 互換ごかん性せいのないOSバージョンとSEPの組くみ合あわせになると、そのバージョンを使用しようしている間あいだは生体せいたい認証にんしょうが使用しようできなくなりパスコード認証にんしょうのみとなる。

再度さいどApple Configurator等とうで最新さいしん版ばんにアップデートすると利用りよう可能かのう状態じょうたいに戻もどる。

Secure Enclaveはメインプロセッサやアプリケーションプロセッサから隔離かくりされていて、アプリケーションプロセッサのカーネルが侵害しんがいされた場合ばあいでも、ユーザの機密きみつデータを安全あんぜんに保たもてるように設計せっけいされている。Secure EnclaveはSoCと同おなじような設計せっけいで、ハードウェア信頼しんらいルートを確立かくりつするための専用せんようのBoot ROM、効率こうりつ的てきかつ安全あんぜんな暗号あんごう化か操作そうさのためのAESエンジンと保護ほごされたメモリで構成こうせいされている。

Secure Enclaveにはストレージは含ふくまれてないが、アプリケーションプロセッサとiOSで使用しようされるNANDフラッシュストレージとは別べつの接続せつぞくされたストレージに、情報じょうほうを安全あんぜんに保存ほぞんするメカニズムがある。

Secure Enclaveプロセッサはセキュリティための主要しゅような演算えんざんを担当たんとうする。最大限さいだいげんの隔離かくりを実現じつげんするため、Secure EnclaveプロセッサがiOS上うえで担当たんとうするのはセキュリティ処理しょりのみとなっている。これにより、悪意あくいのあるソフトウェアに依存いぞんしたサイドチャネル攻撃こうげきを防止ぼうしすることができる。

Secure EnclaveはデバイスのDRAMメモリの専用せんよう領域りょういきで動作どうさし、複数ふくすうの保護ほご層そうによってアプリケーションプロセッサからの隔離かくりが確保かくほされている。

iOS起動きどう時じに、Secure Enclave Boot ROMがメモリ保護ほごエンジンのために一時いちじ的てきなランダムなメモリ保護ほご鍵かぎを生成せいせいし、Secure Enclaveがデータを専用せんよう領域りょういきに書かきこむ際さい、メモリ保護ほごエンジンはAESを用もちいてメモリブロックを暗号あんごう化かしCMAC認証にんしょうタグを計算けいさんする。メモリの読よみ込こみ時じには認証にんしょうタグを検証けんしょうし、一致いっちすればメモリブロックを復号ふくごうし、不一致ふいっちの場合ばあいはエラーを送信そうしんする。このエラーが発生はっせいすると、システムが再さい起動きどうするまでSecure Enclaveは停止ていしすることで強力きょうりょくなセキュリティを実現じつげんする。

さらにA11やS4 SoCからSecure Enclaveメモリ向むけにリプレイ保護ほごを追加ついかし、重要じゅうようなデータのリプレイを防ふせぐ。アンチリプレイ値ちと認証にんしょうタグを使用しようし、Secure Enclave内ないのSRAMを基もとにした整合せいごう性せいツリーで保護ほごする。A14、M1、以降いこうのSoCでは、Secure EnclaveとSecure Neural Engineのそれぞれに対応たいおうした2つの一時いちじ的てきな保護ほご鍵かぎをサポートする。メモリ保護ほごは透過とうか的てきで、安全あんぜん性せいを確保かくほしながら性能せいのうを維持いじする。

Secure Enclaveは専用せんようのSecure Enclave Boot ROMを備そなえている。このBoot ROMはSecure Enclaveの信頼しんらいの起点きてんとなる変更へんこう不可ふかのコードである。システム起動きどう時じ、iBootはSecure Enclaveにメモリの専用せんよう領域りょういきを割わり当あてる。Secure Enclave Boot ROMはメモリを暗号あんごう化かで保護ほごするため、メモリ保護ほごエンジンを初期しょき化かする。アプリケーションプロセッサがsepOSイメージを送信そうしんし、その後ごイメージのハッシュと署名しょめいを検証けんしょうする。有効ゆうこうであれば、Boot ROMはsepOSに制御せいぎょを移うつす。無効むこうの場合ばあい、チップがリセットされるまで使用しようを防止ぼうしする。Apple A10以降いこうのSoCでは、Boot ROMはsepOSのハッシュを専用せんようレジスタにロックし、OS固定こてい鍵かぎとして利用りようする。

Apple A13以降いこうのSoCでは、Secure Enclaveが起動きどう時じの整合せいごう性せいを強化きょうかするためにブートモニタを利用りようする。ブートモニタは、Secure EnclaveプロセッサがSecure Enclave Boot ROM以外いがいのコードを実行じっこうするのを防ふせぎ、sepOSの実効じっこう性せいを確保かくほするためにハッシュを生成せいせいしてSCIP設定せっていを更新こうしんする。このプロセスは、新あたらしいコードが実行じっこう可能かのうになるたびに実行じっこうされる。最後さいごに、実行じっこう中ちゅうのハッシュはファイナライズされ、OS固定こてい鍵かぎ作成さくせいに使用しようされる。これにより、Secure Enclave Boot ROMの脆弱ぜいじゃく性せいがあっても鍵かぎ固定こていがバイパスされることはない。

真性しんせい乱数らんすう生成せいせい器き（TRNG）は、安全あんぜんなランダムデータを生成せいせいするために使用しようされる装置そうちである。Secure Enclaveがランダムな暗号あんごう鍵かぎやランダムな鍵かぎシードなどのエントロピーを生成せいせいする際さいには、必かならずTRNGが用もちいられることになる。TRNGは、CTR_DRBG（カウンタモードのブロック暗号あんごうに基もとづくアルゴリズム）で後処理あとしょりされており、複数ふくすうのリングオシレータに基もとづいている。

Secure Enclave AESエンジンは、AES暗号あんごうに基もとづく対称たいしょう暗号あんごうを実行じっこうするハードウェアブロックである。AESエンジンは、タイミングと静的せいてき電力でんりょく解析かいせき（SPA）に対たいする耐たい性せいを持もち、A9 SoC以降いこうでは動的どうてき電力でんりょく解析かいせき（DPA）に対たいする対策たいさくも備そなえている。AESエンジンは、Secure EnclaveのUIDまたはGIDから導出みちびきだされたハードウェア鍵かぎとソフトウェア鍵かぎをサポートする。これらの鍵かぎはAESエンジン内ないにとどまり、sepOSソフトウェアでも確認かくにんできない。ユーザーは暗号あんごう化かと復号ふくごうをリクエストできるが、鍵かぎを抜ぬき出だすことはできない。Apple A10以降いこうのSoCsでは、AESエンジンにUIDまたはGIDから導出みちびきだされた鍵かぎを多様たよう化かするためのロック可能かのうなシードビットが含ふくまれており、デバイスの動作どうさモードに応おうじてデータアクセスを制限せいげんできる。この機能きのうは、デバイスファームウェアアップデート（DFU）モードでの起動きどう時じに、パスワード保護ほごされたデータへのアクセスを拒否きょひする場合ばあいなどに使用しようされる。

Secure Enclaveは、専用せんようのセキュア不揮発ふきはつ性せいストレージデバイスを備そなえている。このストレージはI2Cバスを通とおしてのみSecure Enclaveに接続せつぞくされ、利用りよう可能かのうである。ユーザデータの暗号あんごう鍵かぎはSecure Enclaveのストレージに保管ほかんされるエントロピーに基もとづく。A12、S4、またはそれ以降いこうのSoC搭載とうさいデバイスでは、Secure Enclaveはセキュアストレージコンポーネントとペアリングされる。これはROMコード、乱数らんすうジェネレータ、一意いちいキー、暗号あんごう化かエンジン、改かいざん検出けんしゅつ機能きのうを備そなえる。

2020年ねん秋あき以降いこうに初はじめてリリースされたデバイスは、第だい2世代せだいセキュアコンポーネントを有ゆうし、カウンタロックボックスが追加ついかされている。カウンタロックボックスはパスコードエントロピーを保持ほじし、アクセス時じには暗号あんごう化かプロトコルを使用しようする。10回かいを超こえるロック解除かいじょ試行しこうでデータは消去しょうきょされる。

カウンタロックボックス生成せいせいには、パスコードエントロピーと最大さいだい試行しこう値ちがSecure Enclaveから送おくられる。ソルト値ちが乱数らんすうで生成せいせいされ、パスコードベリファイアとエントロピー値ちが導出みちびきだされ、カウンタ0で初期しょき化かされる。その後ご、エントロピー値ちがSecure Enclaveに返かえされる。

データ保護ほごにはカウンタロックボックスのエントロピーに基もとづく鍵かぎが使用しようされ、安全あんぜんなストレージはSecure Enclaveのアンチリプレイサービスにも使用しようされる。Secure Enclaveはイベントによってデータの無効むこう化かを行おこない、各種かくしゅセキュリティ設定せっていに影響えいきょうを与あたえる。セキュアストレージコンポーネントを持もたないアーキテクチャではEEPROMが使用しようされ、専用せんようのハードウェアセキュリティ機能きのうは含ふくまれない。

Face ID搭載とうさいデバイスでは、Secure Neural Engineが2D画像がぞうと深度しんどマップを顔かおの数学すうがく的てきモデルに変換へんかんする。A11からA13 SoCsまで、Secure Neural EngineはSecure Enclaveに組くみ込こまれており、DMAを使用しようしてパフォーマンスを向上こうじょうさせる。sepOSカーネルのIOMMUは、このアクセスを承認しょうにん済ずみメモリに制限せいげんする。A14、M1以降いこうでは、Secure Neural EngineはアプリケーションプロセッサのNeural Engineのセキュアモードとして実装じっそうされ、専用せんようハードウェアセキュリティコントローラがトランザクション毎ごとに状態じょうたいをリセットし、データの安全あんぜん性せいを保たもつ。専用せんようエンジンはメモリ暗号あんごう化か、認証にんしょう、アクセス制御せいぎょを利用りようし、承認しょうにん済ずみメモリに制限せいげんする。

L4マイクロカーネルファミリー - Secure EnclaveのOSは、NICTAが2006年ねんに開発かいはつしたL4-embeddedカーネルベースのものである^[2]

ARM Trust Zone - 類似るいじ技術ぎじゅつ^[3]

Apple A7, A8, A8X, A9, A9X, A10, A10X, A11, A12, A12X, A12Z, A13, A14, A15, A16

Apple M1, M1 Pro, M1 Max, M1 Ultra, M2, M2 Pro, M2 Max,M2 Ultra

• Appleプラットフォームのセキュリティ Secure Enclave

警告けいこく: 既定きていのソートキー「せきゆあえんくれえふ」が、その前まえに書かかれている既定きていのソートキー「Secure Enclave」を上書うわがきしています。