Apple внесла необычные изменения в аппаратное обеспечение процессоров A12, A13 и S5 в своих устройствах осенью 2020 года для обновления компонента безопасного хранения данных, согласно документам поддержки Apple.

Согласно странице поддержки Apple, на которую обратил внимание пользователь Twitter Andrew Pantyukhin, осенью 2020 года Apple изменила Secure Enclave (безопасный анклав) в ряде продуктов:

Примечание: Продукты A12, A13, S4 и S5, впервые выпущенные осенью 2020 года, имеют компонент безопасного хранения данных второго поколения; тогда как более ранние продукты на базе этих SoC имеют компонент безопасного хранения данных первого поколения.

Secure Enclave — это сопроцессор, используемый для защиты данных и аутентификации с помощью Touch ID и Face ID. Цель Secure Enclave — обрабатывать ключи и другую информацию, такую как биометрические данные, которая является достаточно конфиденциальной, чтобы не обрабатываться основным процессором. Эти данные хранятся в компоненте безопасного хранения данных внутри Secure Enclave, который является той конкретной частью, которую Apple изменила в прошлом году.

Объяснение в документе поддержки Apple предполагает, как минимум, что восьмое поколение базовых моделей iPad, Apple Watch SE и HomePod mini имеют другие Secure Enclave по сравнению со старыми устройствами с тем же чипом.

Однако в документе поддержки Apple есть ряд несоответствий. Несмотря на то, что Apple объясняет, что продукты A13, «впервые выпущенные осенью 2020 года, имеют компонент безопасного хранения данных второго поколения», не было ни одного устройства с чипом A13, «впервые выпущенного осенью 2020 года». Последним устройством, выпущенным с чипом A13, был iPhone SE в феврале 2020 года.

Если бы изменение было фактически внесено во все новые устройства с этими чипами, то затронутые устройства включали бы iPhone XR, iPhone 11, iPhone SE и iPad mini пятого поколения, а также недавно выпущенные iPad восьмого поколения, Apple Watch SE и HomePod mini.

Чтобы внести еще больше путаницы, в таблице, перечисляющей различные версии компонента хранения данных Secure Enclave в сводке функций, опущен чип S4 с компонентом безопасного хранения данных второго поколения, несмотря на то, что в заголовке утверждается, что такой чип существует. Apple Watch Series 4 были единственным устройством, содержащим чип S4, и это устройство было снято с производства в сентябре 2019 года, задолго до того, как компонент безопасного хранения данных второго поколения был реализован осенью 2020 года. Возможно, часть этой неясности связана с тем фактом, что чипы A12 и S4 представили компонент безопасного хранения данных первого поколения.

Новые устройства, содержащие чип A14 или S6, такие как iPhone 12, iPhone 12 Pro, iPad Air четвертого поколения и Apple Watch Series 6, также имеют обновленный Secure Enclave.

Хотя изменение произошло осенью 2020 года, документ поддержки, детализирующий изменение, был опубликован в феврале 2021 года. Полная PDF-версия Руководства по безопасности платформы Apple раскрывает разницу между первым и вторым поколением компонента безопасного хранения данных:

Компонент безопасного хранения данных второго поколения добавляет блокираторы счетчиков. Каждый блокиратор счетчика хранит 128-битное значение соли, 128-битный верификатор пароля, 8-битный счетчик и 8-битное максимальное значение попыток. Доступ к блокираторам счетчиков осуществляется через зашифрованный и аутентифицированный протокол.

Блокираторы счетчиков хранят энтропию, необходимую для разблокировки защищенных паролем пользовательских данных. Для доступа к пользовательским данным сопряженный Secure Enclave должен получить правильное значение энтропии пароля из пароля пользователя и UID Secure Enclave. Пароль пользователя не может быть получен с помощью попыток разблокировки, отправленных из источника, отличного от сопряженного Secure Enclave. Если лимит попыток ввода пароля превышен (например, 10 попыток на iPhone), защищенные паролем данные полностью стираются компонентом безопасного хранения данных.

Похоже, это мера противодействия устройствам для подбора паролей, таким как GrayKey, которые пытаются взломать iPhone, угадывая пароль бесконечное количество раз, используя эксплойты, которые позволяют бесконечное количество неправильных попыток ввода пароля.

Изменение, по-видимому, было настолько значительным, что Apple оправдала создание целой «второй генерации» хранилища Secure Enclave. Для Apple, безусловно, необычно менять компонент своих чипов в середине производства, но Apple, вероятно, посчитала обновление безопасности достаточно важным, чтобы внедрить его во все соответствующие новые устройства с осени, а не только в устройства с последними чипами A14 и S6.