VnReview
Hà Nội

Bộ xử lý Secure Enclave của Apple bảo vệ iPhone và máy tính Mac như thế nào?

Các thiết bị của Apple thường được khen ngợi vì khả năng bảo mật vượt trội. Tuy nhiên, liệu bạn có biết bí quyết của Táo khuyết là gì không? Câu trả lời chính là bộ xử lý Secure Enclave.

>> Tại sao Apple cũng không thể giải mã được iPhone của người dùng?

iPhone và máy tính Mac được trang bị Touch ID hoặc Face ID đều sử dụng một bộ xử lý chuyên biệt để quản lý dữ liệu sinh trắc học của người dùng. Bộ xử lý này được gọi là Secure Enclave. Về cơ bản, đây là một máy tính nhỏ bên trong thiết bị iDevice và cung cấp một loạt tính năng bảo mật.

Secure Enclave khởi động riêng biệt với phần còn lại của thiết bị. Bộ xử lý này được sử dụng một nhân riêng, khiến không ứng dụng nào có thể truy cập trực tiếp vào thông tin nó nắm giữ. Apple đã trang bị cho Secure Enclave một bộ nhớ 4 MB để lưu trữ mã khóa cá nhân Elliptic 256-bit.

Những mã khóa lưu trữ trong bộ xử lý Secure Enclave được dành duy nhất cho thiết bị của bạn và không bao giờ được đồng bộ hóa vào đám mây. Thậm chí, hệ điều hành cũng không thể nhìn thấy những mã khóa này một cách trực tiếp. Để tính năng bảo mật sinh trắc học có thể hoạt động, hệ điều hành cần phải yêu cầu bộ xử lý Secure Enclave giải mã những thông tin của người dùng.

Tại sao Secure Enclave lại cần thiết?

Bộ xử lý Secure Enclave được Apple giới thiệu lần đầu như là một bộ phận trong chip A7 của iPhone 5S.

Bộ xử lý Secure Enclave khiến hacker gặp khó khăn khi tiếp cận những thông tin nhạy cảm trên thiết bị của bạn. Nguyên nhân là vì bộ xử lý Secure Enclave là một thành phần riêng biệt trên thiết bị và hệ điều hành cũng không thể nhìn thấy những mã khóa một cách trực tiếp. Vì vậy, hacker sẽ gặp cực kỳ nhiều khó khăn để giải mã dữ liệu của bạn nếu chưa được cấp quyền truy cập.

Có một điều cần lưu ý là bộ xử lý Secure Enclave không hề lưu trữ thông tin bảo mật sinh trắc học của bạn. 4 MB dung lượng là không đủ để lưu trữ những thông tin này. Thay vào đó, bộ xử lý Secure Enclave chỉ lưu trữ những mã khóa để giúp thiết bị giải mã được thông tin bảo mật sinh trắc học như vân tay hoặc khuôn mặt.

Ứng dụng của bên thứ 3 có thể tạo và lưu trữ mã khóa bên trong bộ xử lý Secure Enclave. Tuy nhiên, chúng sẽ không bao giờ có quyền truy cập vào những mã khóa này. Thay vào đó, các ứng dụng sẽ phải yêu cầu bộ xử lý Secure Enclave mã khóa và giải mã dữ liệu. Điều này có nghĩa là bất cứ thông tin nào đã từng được bộ xử lý Secure Enclave mã khóa sẽ rất khó để bị giải mã trên một thiết bị khác.

Đây là những điều được Apple cho biết trong một tài liệu gửi tới các nhà phát triển ứng dụng:

"Khi bạn muốn lưu trữ một mã khóa cá nhân trong bộ xử lý Secure Enclave, bạn sẽ không bao giờ được quản lý những mã khóa này một cách thực sự, điều giúp mã khóa trở nên khó bị giải mã hơn. Thay vào đó, bạn cần phải yêu cầu bộ xử lý Secure Enclave tạo mã khóa, lưu trữ và thực hiện các thao tác với nó. Bạn sẽ chỉ nhận được kết quả của quá trình này, ví dụ như thông tin đã được mã khóa hoặc kết quả xác minh chữ ký số".

Một điểm cần lưu ý khác là bộ xử lý Secure Enclave không thể gửi mã khóa cho thiết bị khác: nó được thiết kế để sử dụng trên chỉ một thiết bị. Điều này khiến cho việc giải mã thông tin trên một thiết bị khác với thiết bị của người dùng trở nên rất khó khăn.

Bộ xử lý Secure Enclave chưa từng bị hack?

Bộ xử lý Secure Enclave là một thiết lập cực kỳ phức tạp và gây rất nhiều khó khăn cho hacker. Tuy nhiên, không có gì là an toàn tuyệt đối, đặc biệt là khi trình độ của hacker ngày càng giỏi hơn.

Vào mùa hè năm 2017, một số hacker mũ trắng cho biết đã giải mã được firmware của bộ xử lý Secure Enclave, từ đó họ có thể biết được cách thức hoạt động của bộ phận này. Tuy nhiên, hacker vẫn chưa thể tìm ra cách truy xuất những mã khóa được lưu trữ bên trong bộ xử lý Secure Enclave, họ chỉ mới đơn giản là giải mã được phần mềm của nó. Vì vậy, bạn không cần phải quá hoang mang trước thông tin này.

Hãy nhớ xóa mã khóa Enclave trước khi bán máy tính Mac

Mã khóa lưu trữ trong bộ xử lý Secure Enclave trên iPhone sẽ bị xóa khi bạn thực hiện khôi phục cài đặt gốc. Trên lý thuyết, điều tương tự cũng xảy ra khi bạn cài đặt lại hệ điều hành macOS trên máy tính Mac. Tuy nhiên, Apple khuyên bạn nên xóa hết mã khóa trong bộ xử lý Secure Enclave trước khi bán máy tính Mac.

Để thực hiện thao tác xóa mã khóa trong bộ xử lý Secure Enclave, bạn cần dùng một lệnh Terminal. Thao tác này thực hiện dễ dàng nhất trong chế độ Recovery Mode. Vì vậy, khi khởi động lại máy tính Mac, bạn hãy giữ phím "R" khi nghe tiếng chuông khởi động để vào chế độ này.

Khi màn hình cài đặt macOS hiện ra, bạn có thể mở lệnh Terminal bằng cách vào Utilities -> Terminal trong thanh Menu.

Tại đây, bạn hãy chạy dòng lệnh Terminal như sau: xartuti –erase-all

Khi thực hiện xong, mã khóa được dùng để giải mã thông tin cá nhân trong bộ xử lý Secure Enclave trên máy tính Mac của bạn đã bị xóa.

Nguyễn Long

Chủ đề khác