TechCrunchが発見したiOSセキュリティに関する最新文書で、AppleはiPhone 5sに搭載されているTouch ID指紋認証システムの機能とプロセスについて、多くの詳細情報を提供しています。文書では、Touch IDで読み取った指紋とユーザーが登録した指紋を安全に照合する「Apple A7チップに搭載されたコプロセッサ」であるSecure Enclaveについて説明しています。Touch IDの動作の多くは、昨年秋にiPhone 5sが発表された際に、そして実際に使用してみることで明らかになりましたが、ホワイトページにはこれまで公開されていたよりも詳細な情報が記載されています。
Apple によれば、登録した指紋 1 つが他人の指紋とランダムに一致する確率は 50,000 分の 1 だそうです。
Apple は、暗号化されたメモリとハードウェア乱数ジェネレーターを使用してデータをシステムの他の部分から分離しながら ID を安全に管理する Secure Enclave システムについて説明しています。
各セキュアエンクレーブは製造時に固有のUID(ユニークID)が割り当てられます。このUIDはシステムの他の部分からはアクセスできず、Appleにも認識されません。デバイスの起動時に、UIDと組み合わせた一時的な鍵が生成され、デバイスのメモリ空間におけるセキュアエンクレーブの部分を暗号化するために使用されます。
さらに、Secure Enclave によってファイル システムに保存されるデータは、UID とアンチリプレイ カウンターを組み合わせたキーで暗号化されます。
Appleは、Touch IDの認証においてA7が果たす役割について次のように説明しています。
A7とTouch IDセンサー間の通信は、シリアル・ペリフェラル・インターフェース・バスを介して行われます。A7は データをSecure Enclaveに転送しますが、読み取ることはできません。データは暗号化され、Touch IDセンサーとSecure Enclaveに組み込まれたデバイスの共有鍵を用いてネゴシエートされたセッション鍵で認証されます。セッション鍵の交換にはAES鍵ラッピングが使用され、双方がランダム鍵を提供してセッション鍵を確立し、AES-CCMトランスポート暗号化が用いられます。
多くのTouch IDユーザーが気づいていると思いますが、Touch IDではなくパスコード入力が必要となる状況があります。この資料では、Touch IDが使用できずパスコード入力が必要となるケースを具体的に説明しています。
パスコードは Touch ID の代わりにいつでも使用できますが、以下の状況ではパスコードが必要になります:
- iPhone 5s の電源を入れた直後、または再起動した直後
- iPhone 5s が 48 時間以上ロック解除されていないとき-
指の照合に 5 回失敗したとき
- Touch ID で新しい指を設定または登録するとき
- iPhone 5s がリモート ロック コマンドを受信した
アプリのセキュリティ、ネットワークのセキュリティなどに関する情報については、iOS セキュリティ ドキュメント全体をこちらでお読みください。
また注目すべきは、サムスンが開発者アクセスが可能な独自の指紋リーダーを搭載したGalaxy S5スマートフォンを発表したことである。そこで私たちは今朝、AppleがiOS開発者にTouch IDを利用する機会を与えるべきかどうかを読者に尋ねた。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
