أمن بصمة الوجه وبصمة الإصبع
تعد رموز الدخول وكلمات السر ضرورية لأمان أجهزة Apple. في الوقت نفسه، يحتاج المستخدمون إلى التمتع بإمكانية الوصول السلس إلى أجهزتهم، غالبًا أكثر من مائة مرة في اليوم. توفر المصادقة البيومترية طريقة للاحتفاظ بالأمن الذي يوفره رمز الدخول القوي؛ أو حتى تعزيز رمز الدخول أو كلمة السر حيث لن يلزم إدخال أيهما يدويًا؛ مع توفير رفاهية فتح القفل السريع بضغطة إصبع أو مجرد نظرة. ولا يحل بصمة الوجه وبصمة الإصبع محل رمز الدخول أو كلمة السر، ولكن في معظم الحالات يجعلان الوصول أسرع وأسهل.
تعتمد بنية أمان المقاييس الحيوية من Apple على فصل صارم للمسؤوليات بين مستشعر المقاييس الحيوية و Secure Enclave، واتصال آمن بين الاثنين. يلتقط المستشعر صورة المقاييس الحيوية وينقلها بأمان إلى Secure Enclave. أثناء التسجيل، يعمل Secure Enclave على معالجة بيانات قوالب بصمة الوجه وبصمة الإصبع المقابلة وتشفيرها وتخزينها. أثناء المطابقة، يقارن Secure Enclave البيانات الواردة من مستشعر المقاييس الحيوية بالقوالب المخزنة لتحديد ما إذا كان سيتم فتح قفل الجهاز أو الرد بأن المطابقة صالحة (لـ Apple Pay وداخل التطبيق والاستخدامات الأخرى لكل من بصمة الوجه وبصمة الإصبع). تدعم البنية الأساسية الأجهزة التي تتضمن كلاً من المستشعر و Secure Enclave (مثل iPhone و iPad والعديد من أنظمة Mac)، فضلاً عن القدرة على فصل المستشعر ماديًا إلى جهاز طرفي يتم إقرانه بأمان بـ Secure Enclave في Mac مزود برقاقات Apple.
أمن بصمة الوجه
بنظرة بسيطة، يفتح بصمة الوجه قفل أجهزة Apple المدعومة بشكل آمن. ويوفر مصادقة بديهية وآمنة يتم تمكينها من خلال نظام كاميرا العمق الحقيقي الذي يستخدم تقنيات متقدمة لرسم خريطة هندسية لوجه المستخدم بدقة. يستخدم بصمة الوجه شبكات عصبية لتحديد الانتباه والمطابقة ومكافحة تزييف الهوية، بحيث يمكن للمستخدم فتح قفل هاتفه بنظرة خاطفة، حتى عند ارتداء قناع عند استخدام الأجهزة المدعومة. ويتكيف بصمة الوجه تلقائيًا مع التغييرات في المظهر، ويحمي خصوصية وأمن بيانات المقاييس الحيوية للمستخدم بعناية.
تم تصميم بصمة الوجه لتأكيد انتباه المستخدم وتوفير مصادقة قوية مع خفض معدل المطابقة الخاطئة ومكافحة تزييف الهوية الرقمي والمادي.
تبحث كاميرا العمق الحقيقي تلقائيًا عن وجه المستخدم عندما يُنبّه المستخدم جهاز Apple الذي يحتوي على بصمة الوجه (عن طريق رفعها أو الضغط على الشاشة)، وكذلك عندما تحاول هذه الأجهزة مصادقة المستخدم لعرض إشعار وارد أو عندما يطلب أي تطبيق مدعوم مصادقة بصمة الوجه. بعد اكتشاف الوجه، تؤكد بصمة الوجه الانتباه والعزم على فتح القفل عن طريق اكتشاف أن عيني المستخدم مفتوحتان وأن انتباهه موجه نحو جهازه؛ ويتم تعطيل فحص انتباه بصمة الوجه عند تنشيط التعليق الصوتي، لتسهيلات الاستخدام؛ ويمكن تعطيله بشكل منفصل، إذا لزم الأمر. يلزم كشف الانتباه دائمًا عند استخدام بصمة الوجه عند ارتداء قناع.
بعد أن تؤكد كاميرا العمق الحقيقي وجود وجه منتبه، تعرض وتقرأ آلاف النقاط بالأشعة تحت الحمراء لتشكيل خريطة عمق للوجه، بجانب صورة ثنائية الأبعاد بالأشعة تحت الحمراء. وتُستخدم هذه البيانات لإنشاء تسلسل من الصور ثنائية الأبعاد وخرائط العمق يتم توقيعها رقميًا وإرسالها إلى Secure Enclave. لمواجهة عمليات تزييف الهوية الرقمية والمادية، تعمل كاميرا العمق الحقيقي على عشوائية تسلسل الصور ثنائية الأبعاد ولقطات خريطة العمق، وترسم نمطًا عشوائيًا خاصًا بالجهاز. يحوّل جزء من المحرك العصبي الآمن؛ المحمي داخل Secure Enclave؛ هذه البيانات إلى تمثيل رياضي ويقارن هذا التمثيل ببيانات الوجه المسجلة. وتمثّل بيانات الوجه المسجلة هذه في حد ذاتها تمثيلاً رياضيًا لوجه المستخدم الذي تم التقاطه عبر مجموعة متنوعة من الأشكال.
أمن بصمة الإصبع
بصمة الإصبع هو نظام استشعار بصمات الأصابع الذي يجعل الوصول الآمن إلى أجهزة Apple المدعومة أسرع وأسهل. تقرأ هذه التقنية بيانات بصمة الإصبع من أي زاوية وتتعلم المزيد عن بصمة إصبع المستخدم مع مرور الوقت، مع استمرار المستشعر في توسيع خريطة بصمة الإصبع كلما تم التعرف على عُقد متداخلة إضافية مع كل استخدام.
يمكن فتح قفل أجهزة Apple المزودة بمستشعر بصمة الإصبع باستخدام بصمة إصبع. لا يحل بصمة الإصبع محل الحاجة إلى رمز دخول الجهاز أو كلمة سر المستخدم، حيث يظل أحدهما مطلوبًا بعد بدء تشغيل الجهاز أو إعادة تشغيله أو تسجيل الخروج منه (على أي Mac). في بعض التطبيقات، يمكن أيضًا استخدام بصمة الإصبع بدلاً من رمز دخول الجهاز أو كلمة سر المستخدم، على سبيل المثال لفتح قفل الملاحظات المحمية بكلمة سر في تطبيق الملاحظات وفتح قفل مواقع الويب المحمية بسلسلة المفاتيح وفتح قفل كلمات سر التطبيقات المدعومة. ومع ذلك، يلزم دائمًا إدخال رمز دخول الجهاز أو كلمة سر المستخدم في بعض السيناريوهات (على سبيل المثال، لتغيير رمز دخول الجهاز الموجود أو كلمة سر المستخدم الموجودة أو لإزالة تسجيلات بصمات الأصابع الموجودة أو إنشاء تسجيلات جديدة).
عندما يكتشف مستشعر بصمة الإصبع لمسة إصبع، يشغّل مصفوفة التصوير المتقدمة لمسح الإصبع ويرسل نسخة المسح إلى Secure Enclave. تختلف القناة المستخدمة لتأمين هذا الاتصال، اعتمادًا على ما إذا كان مستشعر بصمة الإصبع مضمنًا في الجهاز مع Secure Enclave أو موجودًا في جهاز طرفي منفصل.
أثناء توجيه المسح النقطي لبصمات الأصابع للتحليل، يتم تخزينه مؤقتًا في ذاكرة مشفرة داخل Secure Enclave ومن ثم يتم تجاهله. يستخدم التحليل تعيين زاوية تدفق النتوء تحت الجلد، وهي عملية تتسم بفقدان البيانات بحيث إنها تتجاهل "البيانات التفصيلية للإصبع" التي قد تكون مطلوبة لإعادة بناء بصمة إصبع المستخدم الفعلية. أثناء التسجيل، يتم تخزين خريطة العُقد الناتجة بتنسيق مشفر لا يمكن قراءته إلا بواسطة Secure Enclave كقالب للمقارنة به في عمليات المطابقة المستقبلية، ولكن بدون أي معلومات هوية. ولا تغادر هذه البيانات الجهاز أبدًا. ولا تُرسل إلى Apple، ولا يتم تضمينها في النُسخ الاحتياطية للجهاز.
أمن قناة بصمة الإصبع المضمنة
يتم الاتصال بين Secure Enclave ومستشعر بصمة الإصبع المضمن عبر ناقل واجهة طرفية تسلسلية. ويقوم المعالج بإعادة توجيه البيانات إلى Secure Enclave ولكن لا يمكنه قراءتها. ويتم تشفيرها ومصادقتها باستخدام مفتاح جلسة يتم التفاوض عليه باستخدام مفتاح مشترك يتم توفيره لكل مستشعر بصمة الإصبع و Secure Enclave المقابل له في المصنع. لكل مستشعر بصمة الإصبع، يكون المفتاح المشترك قويًا وعشوائيًا ومختلفًا. يستخدم تبادل مفتاح الجلسة تغليف مفتاح AES، حيث يوفر كلا الجانبين مفتاحًا عشوائيًا ينشئ مفتاح الجلسة ويستخدم تشفير النقل الذي يوفر المصادقة والسرية (باستخدام AES-CCM).