iPhone 5s的Touch ID指纹数据的安全性如何保证？就靠它：苹果准备了七年的Secure Enclave | 36氪
本文译自Quora用户在问题“What is Apple‘s new Secure Enclave and why is it important ?” 下给出的。有删减。
7年摸索的结果
从2008年开始我就注意到了苹果要采用指纹扫描的消息并一直关注至今。直到9月10日发布的iPhone 5s印证了我长久以来的猜想，这对苹果和我来说都是一段漫长的旅程。我相信Touch ID的果实会在10年内结出。
多年来，就连业内资深人士都对苹果可能采用的指纹技术的可靠性和必要性心存质疑。这种情况在去年苹果收购了AuthenTec之后有所改观，一些和我一起工作的初创公司终于开始重视起来。然而，还是有人选择了视而不见，他们觉到只要不去理睬，这事儿就不存在一样（这可是某位创业者说的）。
当我在5年前第一次看见苹果关于此类技术的专利申请时就被深深迷住了。之后，我开始思考苹果将会如何保存这些极重要生物学信息。根据自己在支付卡行业，尤其是PIN码方面逾30年的从业经验，我知道这不是单靠软件方案就能解决的。于是我想一定会有一个独立的硬件被用来存储信息。
Secure Enclave
网上分析Touch ID的文章已经有成千上百，但是真正意识到这项技术的革新意义的却不算多。苹果不仅打造了最精确的量产生物学安全识别设备，他们还解决了如何加密、存储和保护数据这个关键问题。苹果称之为Secure Enclave，可以说这是个新概念。
为安全而生的A7
苹果选择基于ARMv8架构的A7芯片有很多原因，其中一个就是为了满足Touch ID的硬件需求。为了经济地搭建Secure Enclave， 苹果需要的芯片必须具有原生的安全性能并且有专门的区域供隔离和加密。
这正是ARM大约在三年前就开始研究的地方，并且通过一系列合作打造出了名为TrustZone/SecurCore的技术。TrustZone技术和A7芯片精密结合并通过AMBA AXI 总线和特定的TrustZone System IP块贯穿系统层面。这种布局意味着保护外围设备不受软件攻击成为了可能。
这篇ARM在2008年发布的白皮书节选从侧面反应了A7在移动支付方面的作用：
“6.2.2 移动支付
不少嵌入式设备开始存储大量用户信息，包括电子邮件、移动银行资料和移动支付证书等高度敏感信息。这些信息可以通过密码的方式受到保护，然而一旦解锁后就会容易受到任何底层软件漏洞的危害。
把数据的存储、修改甚至是密码输入都迁移到Secure区域是非常合理的。尽管那些应用需要各自读取不同类型的用户信息，但是在安全限制问题方面却有着相似要求。为做到这点，Gadget2008的移动支付功能将具备更加严格的限制条件。”
Secure Enclave的工作原理
苹果用高度优化过的TrustZone为基础做出了Secure Enclave。我们当然不指望苹果透露任何关于定制硬件的细节，因此我就以TrustZone为分析对象，借此来推断Secure Enclave的情况。
TrustZone系统通过完全分割硬件和软件资源以保证安全性，这两者被分别安置在Secure区和Normal区 – 前者为安全子系统而设，后者则是处理其它任务的正常区域。AMBA3 AXI总线保证Normal区的组件无法访问Secure区的资源，以此方式在两区之间建立区一道坚固的墙来杜绝对储存在Secure区的敏感资源做出的潜在攻击。
这种物理隔离的方式将有效减少需要通过安全验证的子系统数量。监控模式（monitor mode）会负责在两个虚拟处理器之间切换以应对安全验证的要求。
由此可见，A7是自带安全基因的。建立在硬件架构上的安全性非常稳固的。光是访问储存在Secure Enclave内的信息就要求在硬件破解上付出大量工作。这显然对设备本身是有利的，那么对于互联网又有什么影响呢？事实上，那些用来激活云端系统的数据的用途就像一把连接网络的钥匙，这就是苹果将要在iTunes和App Store里采取的模式。同时，还有可能到来的零售支付系统。
ARM网站上就给出了一个移动支付方式的例子 -- 个人POS终端：
Touch ID的问世绝对称得上是苹果潜心研究的结果，七年间，苹果提交了许多专利申请、收购AuthenTec、选用集成了TrustZon技术的A7芯片......所有的这一切汇聚在一起，才成就了今天的Touch ID。
想必乔布斯也会为Touch ID引以为豪的吧。
[消息来源：]
/ breaking
/ breaking
/ us-startups
/ breaking
无需注册，直接使用社交账号登录
没有帐号？
已有帐号？
右键另存为下载到本地
分享到微博
打开微信“扫一扫”，打开网页后点击屏幕右上角分享按钮iPhone 5s的指纹认证功能“Touch ID”值得信赖吗？_行情中心_元器件交易网
关注我们：
iPhone 5s的指纹认证功能“Touch ID”值得信赖吗？
新款iPhone已于日上市。新款iPhone有高端机型“iPhone 5s”和低价机型“iPhone 5c”两款，低价版以较低的价格提供与iPhone 5同等的性能。笔者试着验证了一下iPhone 5s的指纹认证功能（Touch ID）的精度，下面就向大家报告验证结果。iPhone 5s配备的指纹认证是什么？iPhone 5s配备的指纹认证从技术上来说究竟是什么机构呢？苹果提供的信息显示，Home键内侧配备了500dpi的高精度摄像头，用来对指纹的纹路、分歧点以及是否为生物进行静电检查（照片1）。这种方式被称为静量式，在我们身边的物品中，笔记本电脑触摸板的方式与之比较接近。苹果公开的指纹认证技术解说视频显示，一个指纹有表面（表皮层）和内侧（真皮层）两部分，iPhone 5s认证的应该是真皮层的指纹（照片2）。照片1：苹果的关于Touch ID的解说视频照片2：从苹果的解说视频来看，认证的是真皮层的指纹iPhone 5s上市前，苹果称Touch ID“用死人的手指不能认证”、“用他人的指纹不能认证”、“用破解以往指纹认证的方法无法破解”。围绕Touch ID，安全研究人员悬赏征集能破解iPhone 5s指纹认证的人，包括捐助在内，共募集了1.6万美元的赏金。可以说，全世界的人都对Touch ID给予了莫大(博客,微博)的关注。不过，德国一个黑客组织已发表声明称“成功绕过”了iPhone 5s的指纹认证功能。如何破解现有的指纹认证？目前笔记本电脑等采用的通用指纹认证采用的是“线型”方式。这种方式是让手指在读取部分的横宽比手指宽度稍宽、纵宽为2mm左右的传感器上滑过进行认证。其实就是让手指滑过传感器，通过传感器读取表皮层的指纹，根据其形状进行认证。除线型外，还有被称为“真皮型”的认证方式，据说iPhone 5s就采用了这种方式。真皮型方式不读取表皮层的指纹，而是利用红外线等读取表皮下方与表皮指纹形状相同的真皮层。真皮型与线型不同，是对整个手指进行认证，因此大多用于银行的ATM机及建筑物内机密区域的访问等对安全性要求非常高的场所。在各种指纹认证方式中，真皮型比线型更难破解。线型认证方式能用复制的指纹轻松通过认证。具体方法是，针对登录的指纹，用粘合剂或明胶等复制其指纹制作很薄的模型，然后把这个模型贴到别人的手指上。将用这种方式制作的假指纹在传感器部分滑过就能通过认证。如果iPhone 5s采用了真皮型认证方式，即便使用通过上述方法制作的假指纹，由于真皮型是用内侧真皮层的指纹进行认证，因此应该也很难破解。并未采用真皮层认证？　　那么，iPhone 5s配备的指纹认证功能的精度究竟有多高呢，笔者利用已经上市的iPhone 5s加以确认。从结果来看，笔者手指套上制作的假指纹试着破解iPhone 5s的指纹认证时，很容易就通过认证了（照片3）。照片3：利用假指纹破解了iPhone 5s的指纹认证照片4：苹果称，“Touch ID将决定iPhone今后的使用方法”从苹果提供的解说视频来看，验证的似乎是真皮层。因此，苹果称无法用以往破解指纹认证的方法轻松破解。但从笔者此次验证的结果来看，可以推测Touch ID并没有实现利用真皮层的认证，而是组合了可利用静电容量确认的“活皮肤”这一条件与原来的线型采用的“表皮层认证”方式。苹果在解说视频中说“Touch ID将决定iPhone今后的使用方法”（照片4）。关于Touch ID的精度，必须要在本人认证的可用性和安全性之间取得均衡，因此包括其他机构的验证在内，认证精度今后仍是一个重要的课题。（特约撰稿人：片山 昌树，宫下 雄飞）片山 昌树隶属于某公司安全对策小组。平时从事病毒分析及各种突发事件的对策研究。当研究结果现危险时，会立即向脸书、推特及各新闻机构发出预警。以前常为日经BP社的杂志、期刊及IPA等撰稿。宫下 雄飞在大学时代，作为破解滑动式指纹认证的材料，他提倡使用木工用粘合剂伪造的指纹膜。后来形成了指纹认证采用木工用粘合剂的定论。日iPhone 5s上市当天，他利用木工用粘合剂制作指纹膜，破解了认证。日媒：iPhone6 TouchID指纹识别功能仍可被破解_日本频道_新华网
日媒：iPhone6 TouchID指纹识别功能仍可被破解
　来源： 环球科技综合
【字号 】【】【】【】
据日本ITmedia网站9月24日报道，移动安全公司Lookout对苹果iPhone 6的指纹识别传感器“TouchID”进行了安全检验。检验结果表明，与iPhone 5s相同，iPhone 6的TouchID仍有被破解的可能性。
早在2013年，对于iPhone 5s的TouchID，就有人给出了破解的方法。只要把附着在机体表面的玻璃上的用户指纹复写到胶片上，再把自己的手指按上去，被认证后就可以轻松解锁了。随后，Lookout也用同样的方法证实了Touch ID确实能被破解。
Lookout9月23日的博客称，为了调查这次iPhone 6的TouchID是否有所改善，公司制作了与iPhone 5s时用过的同样的假指纹，对iPhone 5s和6进行了测验。结论是：两部手机的传感器并没有明显的差别。虽然iPhone6的传感器的灵敏度有所提升，但是安全方面并没有增强。
但同时Lookout也表示，破解TouchID需要依赖一定的技术、耐心和复制得极完美的指纹。并指出“仅是因为不能承受拥有高技术的人的刻意攻击，这很难说是有威胁性”、“不可否认TouchID对于安全保护是有效果的”。
最后，Lookout还提到，如果考虑到要使用iPhone 6来进行支付，那么苹果公司没有把握这次机会增强TouchID的安全性确实稍显可惜。(【环球科技综合报道】实习编译：陈一平 审稿：王欢)
相关阅读：
延伸阅读：
) 【字号 】【】【】5s和6的Touch ID安全性和稳定性一样么？_百度知道
5s和6的Touch ID安全性和稳定性一样么？
我有更好的答案
按默认排序
一样的，对于TouchID没有过多的升级，原理一样。
不一样，后者更优一些
其他类似问题
touch的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁