Apple Güvenli Enklavı Açık Dille Anlatıldı

TL;DR

Apple’ın Güvenli Enklav’ı, ana işlemciyle aynı pakete gömülü ayrı bir Yonga Üzerinde Sistemdir (SoC). Kendi CPU’su, güvenli önyükleme ROM’u, donanım AES motoru ve gerçek rastgele sayı üreticisi vardır. Şifreleme anahtarlarını, biyometrik şablonları ve Apple Pay kimlik bilgilerini ana işletim sisteminin erişemeyeceği şekilde saklar ve işler. CryptoKit’in SecureEnclave.P256 arayüzünü kullanan uygulamalar, çipten hiç ayrılmayan özel anahtarlar saklayabilir. Güvenli Enklav her derde deva değildir — ele geçirilmiş bir çekirdeğe, gelişmiş ekipmanlarla yapılan fiziksel saldırılara veya tedarik zinciri müdahalesine karşı koruma sağlayamaz. AppVault, parola tabanlı anahtar türetme çıktısını sarmak için Güvenli Enklav’ı kullanarak kasanın şifreleme anahtarını belirli bir cihaza bağlar.

Apple silikonuna sahip her iPhone, iPad ve Mac, dokunamayacağınız ikinci bir bilgisayar içerir. Kendi işlemcisi, kendi belleği, kendi önyükleme ROM’u ve kendi işletim sistemi vardır. İnternete asla bağlanmaz. Sizin yüklediğiniz kodları asla çalıştırmaz. Sırlarını ana işlemciyle asla paylaşmaz — ana işlemci en yüksek ayrıcalık seviyesinde çalışırken bile.

Bu ikinci bilgisayar, Apple Güvenli Enklav’ıdır (Secure Enclave).

Bu makale, Güvenli Enklav’ın ne olduğunu, nasıl çalıştığını, neyi koruduğunu ve — en az onun kadar önemli — neyi korumadığını açıklıyor. “Güvenli Enklav kullanıyor” diyen bir gizlilik uygulamasını değerlendiriyorsanız, bu rehber pazarlamayı mühendislikten ayırmanıza yardımcı olacaktır.

Güvenli Enklav Nedir?

Güvenli Enklav, Apple’ın A serisi (iPhone, iPad) ve M serisi (Mac) Yonga Üzerinde Sistemlerine entegre edilmiş bir donanım güvenlik modülüdür. Aynı çip paketi içinde kendi silikonu üzerine inşa edilmiş, fiziksel olarak ayrı bir yardımcı işlemcidir. iOS veya macOS’u çalıştıran ana uygulama işlemcisi, Güvenli Enklav’ın belleğini veya yazmaçlarını doğrudan okuyamaz. Kanonik referans, Apple Platform Güvenliği kılavuzunun Güvenli Enklav bölümüdür.

Apple, Güvenli Enklav’ı iPhone 5s’teki (2013) A7 çipiyle tanıttı. Intel Mac’lerde T2 yardımcı işlemcisine genişletildi ve artık her A14, M1, M2, M3 ve M4 çipinin standart bir bileşenidir. Her nesil onu geliştirdi. Mevcut sürüm şunları içerir:

• Özel bir ARM tabanlı CPU (ana işlemciyle aynı çekirdek değil)
• Üretim sırasında silikona kazınmış güvenli önyükleme ROM’u
• Şifreleme ve şifre çözme için donanım AES motoru
• Gerçek rastgele sayı üreticisi (TRNG)
• Eliptik eğri kripto motoru (P‑256)
• Sırlar için özel anahtar deposu, kalıcı bellek
• Parola kaba kuvvet saldırılarını önlemek için tekrar oynatma önleyici sayaç

Güvenli Enklav, sepOS adı verilen kendi mikro çekirdeğini çalıştırır. Bu donanım yazılımı Apple tarafından imzalanır ve cihaz her başladığında önyükleme ROM’u tarafından doğrulanır. İmza Apple’ın kök sertifikasıyla eşleşmezse Güvenli Enklav önyüklemeyi reddeder ve cihaz kurtarma moduna girer.

Güvenli Enklav Ana İşlemciyle Nasıl İletişim Kurar?

Güvenli Enklav ve ana işlemci belleği paylaşmaz. SEP sürücüsü (Güvenli Enklav İşlemcisi sürücüsü) adı verilen bir çekirdek sürücüsü aracılığıyla kısıtlı bir posta kutusu arayüzü üzerinden iletişim kurarlar.

Akış şöyle işler:

1. Bir uygulama veya sistem hizmeti, kriptografik bir işleme ihtiyaç duyar — örneğin bir dosyanın şifresini çözmek veya bir parmak izini doğrulamak.
2. İstek çekirdeğe gönderilir, çekirdek bunu bir mesaja paketler ve posta kutusuna yazar.
3. Güvenli Enklav mesajı okur, kendi donanımını ve saklanan sırlarını kullanarak işler ve sonucu posta kutusuna geri yazar.
4. Çekirdek sonucu okur ve isteyen uygulamaya döndürür.

Kilit nokta: Güvenli Enklav sakladığı sırları asla dışa aktarmaz. Yalnızca bir işlemin çıktısını dışa aktarır — şifresi çözülmüş bir yığın, imzalanmış bir özet, bir boolean eşleşme sonucu. Ham anahtarlar ve biyometrik şablonlar SEP’in özel belleğinde kalır.

Bu tasarım güçlü bir güven sınırı oluşturur. Bir saldırgan tam çekirdek erişimi elde etse bile (jailbreak), Güvenli Enklav’ın anahtar deposunu okuyamaz. Yalnızca SEP’e istek gönderebilir ve çıktıları gözlemleyebilir.

Güvenli Enklav Neyi Korur?

Apple, Güvenli Enklav’ı birkaç hassas veri kategorisini korumak için kullanır:

Touch ID ve Face ID Biyometrik Şablonları

Bir parmak izi veya yüz kaydettiğinizde, sensör bir görüntü yakalar ve Güvenli Enklav’a gönderir. SEP görüntüyü matematiksel bir şablona dönüştürür ve anahtar deposunda saklar. Ana işlemci ham görüntüyü veya şablonu asla görmez. Kimlik doğrulama sırasında SEP, canlı sensör verilerini saklanan şablonla karşılaştırır ve yalnızca evet/hayır yanıtı döndürür.

Apple Pay Ödeme Anahtarları

Apple Pay’de saklanan her kredi veya banka kartı, Güvenli Enklav içinde şifrelenmiş ve saklanmış benzersiz bir Cihaz Hesap Numarası alır. Ödeme yaparken SEP, bu anahtarı kullanarak işlem kriptogramını imzalar. Satıcı gerçek kart numarasını asla almaz.

iCloud Anahtarlık Ana Anahtarı

iCloud Anahtarlığınızı şifreleyen ana anahtar — şifreler, kredi kartı numaraları, Wi‑Fi kimlik bilgileri — Güvenli Enklav içinde oluşturulur ve saklanır. Anahtar asla düz metin olarak flaş belleğe yazılmaz. Cihaz parolanızdan türetilen ve SEP’in de yönettiği bir anahtarla sarılır.

CryptoKit SecureEnclave.P256 Anahtarları

iOS 13 ile başlayarak Apple’ın CryptoKit çerçevesi bir SecureEnclave ad alanı sunar. Uygulamalar, Güvenli Enklav’ın içinde bir P‑256 eliptik eğri anahtar çifti oluşturabilir. Özel anahtar SEP’in TRNG’si tarafından oluşturulur ve anahtar deposunda saklanır. Uygulama yalnızca açık anahtarı alır. İmzalamak veya şifre çözmek için uygulama verileri SEP’e gönderir ve sonucu alır.

AppVault gibi gizlilik uygulamalarının kullandığı arayüz budur. AppVault, kurulum sırasında bir Güvenli Enklav P‑256 anahtarı oluşturur. Kasanın şifreleme anahtarı — kullanıcının deseninden PBKDF2‑SHA256 ile 600.000 yineleme kullanılarak türetilir — daha sonra bu SEP anahtarıyla sarılır (şifrelenir). Sarılmış yığın cihazın dosya sisteminde saklanır. Kullanıcı desenini girdiğinde AppVault, SEP’ten yığını açmasını ister. SEP reddederse (desen yanlış olduğu için) kasa kapalı kalır.

Avantajı: Bir saldırgan cihazı çalsa ve flaş belleği boşaltsa bile, Güvenli Enklav olmadan kasa anahtarını açamaz. SEP anahtarı çipten asla ayrılmaz ve o cihaza özeldir.

AppVault Güvenli Enklav’ı Nasıl Kullanır?

AppVault’un şifreleme yığını üç katman üzerine kuruludur:

1. Kullanıcı deseni → PBKDF2‑SHA256 (600k yineleme) → ara anahtar.
2. Ara anahtar → Güvenli Enklav P‑256 anahtarıyla sarılır → diske kaydedilir.
3. Dosya başına AES‑256‑GCM şifreleme benzersiz 96 bit nonce ile, dosya anahtarı açılmış kasa anahtarından türetilir.

Güvenli Enklav bağlaması, kasanın şifrelenmiş dosyaları dışarı sızdırılsa bile başka bir cihazda şifrelerinin çözülemeyeceği anlamına gelir. Kasa fiziksel olarak o belirli iPhone’a bağlıdır.

Bu bir sıfır bilgi mimarisi biçimidir: AppVault kullanıcının desenini asla görmez, kasa anahtarına asla erişemez ve desen unutulursa dosyaları kurtaramaz. Hesap yok, parola sıfırlama yok, destek aracı yok. Güvenli Enklav bu garantiyi donanım seviyesinde uygulanabilir kılar.

Güvenli Enklav’ın Dürüst Sınırlamaları

Güvenli Enklav sihirli bir kalkan değildir. Her kullanıcının anlaması gereken gerçek sınırlamaları vardır.

Ele Geçirilmiş Bir Çekirdeğe Karşı Koruyamaz

Çekirdek erişimine sahip jailbreak yapılmış bir cihaz, Güvenli Enklav’a rastgele komutlar gönderebilir. SEP saklanan anahtarlarını açıklamasa da, saldırganın sağladığı verileri imzalaması veya şifresini çözmesi için kandırılabilir. Örneğin, bir saldırgan sahte bir biyometrik sensör sunabilir ve SEP’ten bunu saklanan şablonla doğrulamasını isteyebilir. İstek doğru şekilde hazırlanırsa SEP “eşleşme” döndürebilir.

Bu SEP’in kendisindeki bir güvenlik açığı değil — arayüzün bir sınırlamasıdır. SEP, verinin kaynağı konusunda çekirdeğin dürüst olduğuna güvenir. Çekirdek ele geçirilmişse bu güven bozulur.

AppVault’un tehdit modeli bunu kabul eder: uygulama, cihazın jailbreak yapılmamış, güncel bir iOS sürümü çalıştırdığını varsayar. Çekirdek ele geçirilirse her şey değişir.

Fiziksel Saldırılara Karşı Savunma Sağlamaz

Yeterli ekipman ve uzmanlıkla bir saldırgan çipi kazıyabilir, SEP ile ana işlemci arasındaki veri yollarını inceleyebilir ve sırları çıkarmaya çalışabilir. Apple, Güvenli Enklav’ı bunu aşırı pahalı hale getirecek şekilde tasarlar — veri yolu şifrelidir ve SEP’in belleği kurcalama algılamada sıfırlanacak şekilde tasarlanmıştır — ancak hiçbir tüketici donanımı saldırıya karşı bağışık değildir.

Gerçekçi tehdit, taramalı elektron mikroskobu olan bir devlet değil, telefonunuzu çalan ve parolanızı tahmin etmeye çalışan bir hırsızdır. Güvenli Enklav’ın tekrar oynatma önleyici sayacı her denemeyi geciktirerek kaba kuvveti pratik olmaktan çıkarır.

Tedarik Zinciri Saldırılarına Karşı Koruma Sağlamaz

Güvenli Enklav üretim sırasında tehlikeye atılmışsa — önyükleme ROM’una veya donanım AES motoruna yerleştirilmiş bir arka kapı — hiçbir yazılım bunu tespit edemez. Apple çipleri için tüm tedarik zincirini kontrol eder, bu riski azaltır ancak tamamen ortadan kaldıramaz.

Bir Bulut Güvenlik Çözümü Değildir

Güvenli Enklav, cihazdaki verileri korur. iCloud’a senkronize edilen veriler için hiçbir şey yapmaz. iCloud Yedekleme’yi etkinleştirirseniz, kasanızın şifrelenmiş dosyaları Apple’ın sunucularına yüklenir. Apple, iCloud yedeklemelerinin şifreleme anahtarlarını elinde tutar (Gelişmiş Veri Koruması’nı etkinleştirmediğiniz sürece, bu durumda ayrı bir yedekleme anahtarı türetmek için Güvenli Enklav kullanılır). AppVault’un şifrelenmiş yedeklemesi isteğe bağlıdır ve SEP tarafından mühürlenmiş cihaz başına bir yedekleme anahtarı kullanır, ancak dosyalar yine de cihazdan ayrılır.

Güvenli Enklav’ı Diğer Donanım Güvenlikleriyle Karşılaştırma

Güvenli Enklav sıklıkla ARM TrustZone veya Windows PC’lerde bulunan TPM (Güvenilir Platform Modülü) ile karşılaştırılır. Farklar önemlidir:

• TrustZone, aynı CPU çekirdeğinde “güvenli dünya” ve “normal dünya”nın donanım tarafından zorlanan ayrımıdır. Aynı CPU ve önbelleği paylaşır, bu da daha geniş bir saldırı yüzeyi oluşturur. Güvenli Enklav, kendi bellek veri yoluna sahip fiziksel olarak ayrı bir işlemcidir.
• TPM, anakarta lehimlenmiş, TCG tarafından standartlaştırılmış ayrı bir çiptir. Güvenli Enklav’dan daha yavaş ve kriptografik işlemlerde daha sınırlıdır. Apple’ın uygulaması daha hızlı ve daha sıkı entegredir.
• Google’ın Titan M ve Samsung’un Knox’u benzer kavramlardır ancak farklı mimarilere sahiptir. Titan M ayrı bir çiptir; Knox, TrustZone artı bir güvenlik elemanı kullanır.

Güvenli Enklav’ın ana avantajı, Apple’ın özel silikonuyla sıkı entegrasyonudur. SEP ve ana işlemci birlikte tasarlanır, bu da ayrı bir çipten daha düşük gecikme ve daha güçlü izolasyon sağlar.

Güvenli Enklav’ın Gizlilik Uygulamaları İçin Anlamı

Bir gizlilik uygulaması “Güvenli Enklav desteği” reklamı yaptığında iki soru sorun:

1. Uygulama anahtarı SEP’in içinde mi oluşturuyor, yoksa mevcut bir anahtarı orada mı saklıyor?
   SEP dışında oluşturulmuş bir anahtarı saklamak daha zayıftır — anahtar bir noktada ana bellekte var olmuştur. Anahtarı SEP’in içinde oluşturmak, çipten asla ayrılmamasını sağlar.

2. Uygulama CryptoKit’in SecureEnclave.P256’sını mı yoksa özel bir arayüz mü kullanıyor?
   CryptoKit, üçüncü taraf uygulamaların Güvenli Enklav’ı kullanması için belgelenmiş, Apple destekli tek yoldur. Özel arayüzler App Store uygulamaları için mevcut değildir.

AppVault, kurulum sırasında sarma anahtarını oluşturmak için CryptoKit’in SecureEnclave.P256’sını kullanır. Kasanın şifreleme anahtarı, kullanıcının deseninden PBKDF2 kullanılarak türetilir, ardından SEP anahtarıyla sarılır. Sarılmış yığın diske kaydedilir. Bu tasarım, kasa anahtarının SEP’in koruması dışında düz metin olarak asla var olmaması anlamına gelir — kimlik doğrulama sırasında bile.

Diğer kasa uygulamalarının donanım güvenliğini nasıl ele aldığına dair daha derin bir karşılaştırma için AppVault vs Vaultaire ve AppVault vs Keepsafe sayfalarına bakın.

Özet

Apple Güvenli Enklav, tüketici elektroniğindeki en iyi tasarlanmış donanım güvenlik modüllerinden biridir. Sırları silikon seviyesinde izole eder, güvenli önyüklemeyi zorunlu kılar, donanım hızlandırmalı kriptografi sağlar ve anahtarları işletim sistemine maruz bırakmadan saklaması gereken uygulamalar için temiz bir arayüz sunar.

Her derde deva değildir. Ele geçirilmiş bir çekirdeğe, sınırsız kaynaklarla yapılan fiziksel bir saldırıya veya kötü niyetli bir tedarik zincirine karşı koruma sağlayamaz. Ancak iPhone kullanıcılarının büyük çoğunluğu için — ve kaybolan veya çalınan bir cihazın tehdit modeli için — Güvenli Enklav,