iOS Security: Apple-PDF beschreibt TouchID und weitere Sicherheits-Aspekte

Cupertino geht das Thema Sicherheit zukünftig offensiver an. Nach der SSL-Schwachstelle und den kurz darauf folgenden Berichten über die Möglichkeit, schadhafte iOS-Applikationen auch als Keylogger einsetzen zu können, hat Apple jetzt sein Sicherheit-Papier „iOS Security“ (PDF-Link) aktualisiert und geht in dem 33 Seiten starken Dokument auf mehrere Aspekte der iOS System-Sicherheit ein.

Unter anderem spannend: Der Abschnitt über die Funktionsweise des im iPhone 5s verbauten Fingerabdruck-Scanners TouchID. Diese werden bereits im Werk mit einer geheimen ID ausgestattet, die weder den Fertigern noch Apple bekannt ist. Die ID wird anschließend zur Verschlüsselung der privaten Speicherbereiche genutzt, auf die der Fingerabdruck-Scanner zugreift:

Each Secure Enclave is provisioned during fabrication with its own UID (Unique ID) that is not accessible to other parts of the system and is not known to Apple. When the device starts up, an ephemeral key is created, tangled with its UID, and used to encrypt the Secure Enclave’s portion of the device’s memory space. Additionally, data that is saved to the file system by the Secure Enclave is encrypted with a key tangled with the UID and an anti-replay counter.

Das PDF, in dem auch Kapitel zur Netzwerk-Sicherheit, zu Apples Kommunikationsdiensten iMessage, Siri und FaceTime, sowie zur App Security abgelegt sind, könnte Apples langfristige Pläne begleiten, den Touch ID-Scanner auch für Drittentwickler freizugeben. Anbieter wie Paypal, iZettle und Co. dürften an der Nutzung des Fingerabdruck-Scanners zur Autorisierung eigener Bezahl-Angebote ein großes Interesse haben.