الـ Secure Enclave من Apple بلغة واضحة

TL;DR

الـ Secure Enclave من Apple هو نظام على رقاقة (SoC) منفصل مبني داخل نفس حزمة المعالج الرئيسي. يحتوي على وحدة معالجة مركزية خاصة به، وذاكرة ROM إقلاع آمن، ومحرك AES عتادي، ومولد أرقام عشوائية حقيقي. يخزن ويعالج مفاتيح التشفير، وقوالب البيانات البيومترية، وبيانات Apple Pay بطريقة لا يمكن لنظام التشغيل الرئيسي الوصول إليها. التطبيقات التي تستخدم واجهة `SecureEnclave.P256` من CryptoKit يمكنها تخزين مفاتيح خاصة لا تغادر الشريحة أبداً. الـ Secure Enclave ليس حلاً سحرياً — لا يمكنه الحماية ضد نواة مخترقة، أو هجمات فيزيائية بمعدات متطورة، أو التلاعب بسلسلة التوريد. يستخدم AppVault الـ Secure Enclave لتغليف مخرجات اشتقاق المفتاح المعتمد على كلمة المرور، مما يربط مفتاح تشفير الخزنة بجهاز معين.

كل iPhone وiPad وMac مزود بمعالج Apple silicon يحتوي على حاسوب ثانٍ لا يمكنك لمسه. لديه معالجه الخاص، وذاكرته الخاصة، وذاكرة ROM إقلاع خاصة به، ونظام تشغيل خاص به. لا يتصل بالإنترنت أبداً. لا يشغل أبداً كوداً تقوم بتثبيته. لا يشارك أسراره مع المعالج الرئيسي — ولا حتى عندما يعمل المعالج الرئيسي بأعلى مستوى صلاحية.

هذا الحاسوب الثاني هو الـ Secure Enclave من Apple.

تشرح هذه المقالة ما هو الـ Secure Enclave، وكيف يعمل، وماذا يحمي، والأهم — ما لا يحميه. إذا كنت تقيّم تطبيق خصوصية يدّعي أنه “يستخدم الـ Secure Enclave”، سيساعدك هذا الدليل في فصل التسويق عن الهندسة.

ما هو الـ Secure Enclave؟

الـ Secure Enclave هو وحدة أمن عتادية مدمجة في أنظمة على رقاقة (SoC) من سلسلة A (iPhone, iPad) وسلسلة M (Mac) من Apple. إنه معالج مساعد منفصل فيزيائياً، مبني على سيليكون خاص به داخل نفس حزمة الرقاقة. لا يمكن لمعالج التطبيقات الرئيسي — الذي يشغل iOS أو macOS — قراءة ذاكرة الـ Secure Enclave أو مسجلاته مباشرة. المرجع الرسمي هو فصل الـ Secure Enclave في دليل أمن منصة Apple.

قدمت Apple الـ Secure Enclave مع رقاقة A7 في iPhone 5s (2013). تم توسيعه ليشمل المعالج المساعد T2 على أجهزة Mac من Intel، وهو الآن مكون قياسي في كل رقاقة A14 وM1 وM2 وM3 وM4. كل جيل منذ ذلك الحين قام بتحسينه. الإصدار الحالي يشمل:

• وحدة معالجة مركزية مخصصة قائمة على ARM (ليست نفس نواة المعالج الرئيسي)
• ذاكرة ROM إقلاع آمن، محفورة في السيليكون أثناء التصنيع
• محرك AES عتادي للتشفير وفك التشفير
• مولد أرقام عشوائية حقيقي (TRNG)
• محرك تشفير منحنيات إهليلجية (P‑256)
• مخزن مفاتيح مخصص، ذاكرة غير متطايرة للأسرار
• عداد منع إعادة التشغيل لمنع هجمات تخمين رمز المرور

يشغل الـ Secure Enclave نواة صغيرة خاصة به، تسمى sepOS. هذا البرنامج الثابت موقّع من Apple ويتم التحقق منه بواسطة ذاكرة ROM الإقلاع في كل مرة يبدأ فيها الجهاز. إذا لم يتطابق التوقيع مع شهادة الجذر من Apple، يرفض الـ Secure Enclave الإقلاع، ويدخل الجهاز في وضع الاسترداد.

كيف يتواصل الـ Secure Enclave مع المعالج الرئيسي

الـ Secure Enclave والمعالج الرئيسي لا يشاركان الذاكرة. يتواصلان عبر واجهة صندوق بريد مقيدة، بوساطة مشغل نواة يسمى مشغل SEP (مشغل معالج الـ Secure Enclave).

التدفق يعمل كالتالي:

1. يحتاج تطبيق أو خدمة نظام إلى عملية تشفيرية — مثلاً، فك تشفير ملف أو التحقق من بصمة إصبع.
2. يتم إرسال الطلب إلى النواة، التي تغلفه في رسالة وتكتبها في صندوق البريد.
3. يقرأ الـ Secure Enclave الرسالة، يعالجها باستخدام عتاده وأسراره المخزنة، ويكتب النتيجة مرة أخرى في صندوق البريد.
4. تقرأ النواة النتيجة وتعيدها إلى التطبيق الطالب.

النقطة الأساسية: الـ Secure Enclave لا يصدر أبداً أسراره المخزنة. يصدر فقط مخرجات العملية — كتلة مفكوكة التشفير، تجزئة موقعة، نتيجة مطابقة منطقية. المفاتيح الخام والقوالب البيومترية تبقى داخل الذاكرة الخاصة لـ SEP.

هذا التصميم يخلق حدود ثقة قوية. حتى إذا تمكن مهاجم من الوصول الكامل للنواة (jailbreak)، لا يمكنه قراءة مخزن مفاتيح الـ Secure Enclave. يمكنه فقط إرسال طلبات إلى SEP ومراقبة المخرجات.

ما يحميه الـ Secure Enclave

تستخدم Apple الـ Secure Enclave لحماية عدة فئات من البيانات الحساسة:

قوالب Touch ID وFace ID البيومترية

عند تسجيل بصمة إصبع أو وجه، يلتقط المستشعر صورة ويرسلها إلى الـ Secure Enclave. يعالج SEP الصورة إلى قالب رياضي ويخزنه في مخزن مفاتيحه. لا يرى المعالج الرئيسي الصورة الخام أو القالب أبداً. أثناء المصادقة، يقارن SEP بيانات المستشعر الحي بالقالب المخزن ويعيد فقط إجابة نعم/لا.

مفاتيح دفع Apple Pay

كل بطاقة ائتمان أو خصم مخزنة في Apple Pay تحصل على رقم حساب جهاز فريد، مشفر ومخزن داخل الـ Secure Enclave. عندما تدفع، يوقع SEP التشفيرية للمعاملة باستخدام ذلك المفتاح. لا يتلقى التاجر رقم البطاقة الفعلي أبداً.

المفتاح الرئيسي لـ iCloud Keychain

المفتاح الرئيسي الذي يشفر iCloud Keychain الخاص بك — كلمات المرور، أرقام البطاقات الائتمانية، بيانات اعتماد Wi‑Fi — يتم توليده وتخزينه داخل الـ Secure Enclave. لا يُكتب المفتاح أبداً في الذاكرة الوميضية بنص واضح. يتم تغليفه بمفتاح مشتق من رمز مرور جهازك، والذي يديره SEP أيضاً.

مفاتيح CryptoKit SecureEnclave.P256

بدءاً من iOS 13، يعرض إطار CryptoKit من Apple مساحة اسم SecureEnclave. يمكن للتطبيقات توليد زوج مفاتيح منحنى إهليلجي P‑256 داخل الـ Secure Enclave. يتم إنشاء المفتاح الخاص بواسطة TRNG الخاص بـ SEP وتخزينه في مخزن مفاتيحه. يتلقى التطبيق المفتاح العام فقط. للتوقيع أو فك التشفير، يرسل التطبيق البيانات إلى SEP ويتلقى النتيجة.

هذه هي الواجهة التي تستخدمها تطبيقات الخصوصية مثل AppVault. يقوم AppVault بتوليد مفتاح P‑256 للـ Secure Enclave أثناء الإعداد. ثم يتم تغليف (تشفير) مفتاح تشفير الخزنة — المشتق من نمط المستخدم باستخدام PBKDF2‑SHA256 مع 600,000 تكرار — بواسطة مفتاح SEP هذا. يتم تخزين الكتلة المغلفة على نظام ملفات الجهاز. عندما يدخل المستخدم نمطه، يطلب AppVault من SEP فك تغليف الكتلة. إذا رفض SEP (لأن النمط خاطئ)، تبقى الخزنة مغلقة.

الميزة: حتى إذا سرق مهاجم الجهاز وأفرغ محتويات الذاكرة الوميضية، لا يمكنه فك تغليف مفتاح الخزنة بدون الـ Secure Enclave. مفتاح SEP لا يغادر الشريحة أبداً، وهو فريد لهذا الجهاز.

كيف يستخدم AppVault الـ Secure Enclave

مكدس التشفير الخاص بـ AppVault مبني على ثلاث طبقات:

1. نمط المستخدم → PBKDF2‑SHA256 (600k تكرار) → مفتاح وسيط.
2. المفتاح الوسيط → مغلف بمفتاح P‑256 للـ Secure Enclave → مخزن على القرص.
3. تشفير AES‑256‑GCM لكل ملف باستخدام nonce فريد بطول 96 بت، مع اشتقاق مفتاح الملف من مفتاح الخزنة غير المغلف.

ربط الـ Secure Enclave يعني أنه حتى إذا تم تسريب ملفات الخزنة المشفرة، لا يمكن فك تشفيرها على جهاز آخر. الخزنة مرتبطة فيزيائياً بذلك iPhone المحدد.

هذا شكل من بنية صفرية المعرفة: AppVault لا يرى نمط المستخدم أبداً، ولا يمكنه الوصول إلى مفتاح الخزنة، ولا يمكنه استعادة الملفات إذا نسي المستخدم نمطه. لا يوجد حساب، لا إعادة تعيين كلمة مرور، لا أداة دعم. الـ Secure Enclave يجعل هذا الضمان قابلاً للتنفيذ على مستوى العتاد.

الحدود الصادقة للـ Secure Enclave

الـ Secure Enclave ليس درعاً سحرياً. له حدود حقيقية يجب أن يفهمها كل مستخدم.

لا يمكنه الحماية ضد نواة مخترقة

جهاز مكسور الحماية (jailbroken) مع وصول للنواة يمكنه إرسال أوامر عشوائية إلى الـ Secure Enclave. بينما لن يكشف SEP عن مفاتيحه المخزنة، يمكن خداعه لتوقيع أو فك تشفير بيانات يقدمها المهاجم. على سبيل المثال، يمكن للمهاجم تقديم مستشعر بيومتري مزيف ويطلب من SEP التحقق منه مقابل القالب المخزن. قد يعيد SEP “تطابق” إذا تم صياغة الطلب بشكل صحيح.

هذا ليس ثغرة في SEP نفسه — إنه حد للواجهة. يثق SEP في أن النواة صادقة بشأن مصدر البيانات. إذا تم اختراق النواة، تنكسر تلك الثقة.

نموذج التهديد الخاص بـ AppVault يعترف بهذا: يفترض التطبيق أن الجهاز يعمل بنظام iOS غير مكسور الحماية ومحدث. إذا تم اختراق النواة، كل شيء ممكن.

لا يدافع ضد الهجمات الفيزيائية

بما يكفي من المعدات والخبرة، يمكن للمهاجم فتح الشريحة، وفحص النواقل بين SEP والمعالج الرئيسي، ومحاولة استخراج الأسرار. تصمم Apple الـ Secure Enclave لجعل هذا مكلفاً بشكل باهظ — الناقل مشفر وذاكرة SEP مصممة للتصفير عند اكتشاف العبث — لكن لا يوجد عتاد استهلاكي محصن ضد كل شيء.

التهديد الواقعي ليس دولة قومية بمجهر إلكتروني ماسح. إنه لص يسرق هاتفك ويحاول تخمين رمز المرور. عداد منع إعادة التشغيل في الـ Secure Enclave يؤخر كل محاولة، مما يجعل القوة الغاشمة غير عملية.

لا يحمي ضد هجمات سلسلة التوريد

إذا تم اختراق الـ Secure Enclave أثناء التصنيع — باب خلفي مزروع في ذاكرة ROM الإقلاع أو محرك AES العتادي — لا يمكن لأي برنامج اكتشافه. تتحكم Apple في سلسلة التوريد بأكملها لرقاقاتها، مما يقلل هذه المخاطرة، لكن لا يمكنه القضاء عليها.

ليس حلاً للأمن السحابي

الـ Secure Enclave يحمي البيانات المخزنة على الجهاز. لا يفعل شيئاً للبيانات المتزامنة مع iCloud. إذا قمت بتمكين النسخ الاحتياطي لـ iCloud، يتم رفع ملفات الخزنة المشفرة إلى خوادم Apple. تمتلك Apple مفاتيح تشفير النسخ الاحتياطي لـ iCloud (إلا إذا قمت بتمكين الحماية المتقدمة للبيانات، والتي تستخدم الـ Secure Enclave لاشتقاق مفتاح نسخ احتياطي منفصل). النسخ الاحتياطي المشفر لـ AppVault اختياري ويستخدم مفتاح نسخ احتياطي لكل جهاز مختوم بـ SEP، لكن الملفات لا تزال تغادر الجهاز.

مقارنة الـ Secure Enclave مع أمن العتاد الآخر

غالباً ما يُقارن الـ Secure Enclave بـ ARM TrustZone أو TPM (وحدة المنصة الموثوقة) الموجودة في أجهزة Windows PC. الاختلافات مهمة:

• TrustZone هو فصل مدعوم بالعتاد بين “العالم الآمن” و”العالم العادي” على نفس نواة CPU. يشارك نفس CPU والذاكرة المؤقتة، مما يخلق سطح هجوم أكبر. الـ Secure Enclave هو معالج منفصل فيزيائياً مع ناقل ذاكرة خاص به.
• TPM هي رقاقة منفصلة ملحومة باللوحة الأم، موحدة من قبل TCG. أبطأ وأكثر محدودية في العمليات التشفيرية من الـ Secure Enclave. تنفيذ Apple أسرع وأكثر تكاملاً.
• Titan M من Google وKnox من Samsung مفاهيم مشابهة لكن ببنى مختلفة. Titan M رقاقة منفصلة؛ Knox يستخدم TrustZone بالإضافة إلى عنصر أمن.

الميزة الرئيسية للـ Secure Enclave هي تكامله الوثيق مع السيليكون المخصص من Apple. SEP والمعالج الرئيسي مصممان معاً، مما يسمح بزمن استجابة أقل وعزل أقوى من رقاقة منفصلة.

ما يعنيه الـ Secure Enclave لتطبيقات الخصوصية

عندما يعلن تطبيق خصوصية عن “دعم الـ Secure Enclave”، اسأل سؤالين:

1. هل يولد التطبيق المفتاح داخل SEP، أم يخزن فقط مفتاحاً موجوداً هناك؟
   تخزين مفتاح تم توليده خارج SEP أضعف — المفتاح كان موجوداً في الذاكرة الرئيسية في وقت ما. توليد المفتاح داخل SEP يضمن أنه لا يغادر الشريحة أبداً.

2. هل يستخدم التطبيق CryptoKit’s SecureEnclave.P256 أم واجهة مخصصة؟
   CryptoKit هي الواجهة الموثقة والمدعومة من Apple الوحيدة لتطبيقات الطرف الثالث لاستخدام الـ Secure Enclave. الواجهات المخصصة غير متاحة لتطبيقات App Store.

يستخدم AppVault SecureEnclave.P256 من CryptoKit لتوليد مفتاح التغليف أثناء الإعداد. مفتاح تشفير الخزنة مشتق من نمط المستخدم باستخدام PBKDF2، ثم يُغلف بمفتاح SEP. الكتلة المغلفة مخزنة على القرص. هذا التصميم يعني أن مفتاح الخزنة لا يوجد أبداً بنص واضح خارج حماية SEP — حتى أثناء المصادقة.

لمقارنة أعمق لكيفية تعامل تطبيقات الخزنة الأخرى مع أمن العتاد، راجع AppVault مقابل Vaultaire وAppVault مقابل Keepsafe.

الخلاصة

الـ Secure Enclave من Apple هو واحد من أفضل وحدات أمن العتاد تصميمًا في الإلكترونيات الاستهلاكية. يعزل الأسرار على مستوى السيليكون، يفرض الإقلاع الآمن، يوفر تشفيراً مسرعاً بالعتاد، ويعرض واجهة نظيفة للتطبيقات التي تحتاج لتخزين مفاتيح دون كشفها لنظام التشغيل.

ليس علاجاً شاملاً. لا يمكنه الحماية ضد نواة مخترقة، أو هجوم فيزيائي بموارد غير محدودة، أو سلسلة توريد خبيثة. لكن بالنسبة للغالبية العظمى من مستخدمي iPhone — ولنموذج التهديد الخاص بجهاز مفقود أو مسروق — الـ Secure Enclave يرفع تكلفة الاستخراج إلى النقطة التي لا يمكن حتى محاولتها إلا من قبل المهاجمين الأكثر تصميماً وتمويلاً.

AppVault مبني على افتراض أن الـ Secure Enclave في iPhone الخاص بك هو أفضل مكان لربط مفتاح الخزنة. قفل النمط الذي ترسمه يصبح مفتاحاً لا يمكن لـ SEP إلا فك تغليفه. تشفير AES‑256‑GCM الذي يغلق كل ملف مدعوم بمفتاح لا يغادر الشريحة أبداً. والبنية صفرية المعرفة تعني أنه حتى لو أرادت Apple مساعدة شخص ما في اختراق خزنتك، لا يمكنها — لأن المفتاح محبوس داخل قطعة سيليكون لا تستجيب لأحد سواك.