애플 보안 Secure Enclave에 대한 설명입니다. 자세한 내용은 아래의 포스팅을 확인해 주세요.
애플 보안 Secure Enclave 총정리
| 항목 | 내용 |
|---|---|
| 개요 | Apple 기기에 통합된 보안 하위 시스템으로, 민감한 데이터를 보호함. |
| 프로세서 | L4 마이크로커널 실행, 재전송 방지 및 보안 시동 기능 포함. |
| 메모리 보호 | DRAM 전용 영역에서 작동, AES로 암호화. |
| Secure Enclave Boot ROM | 하드웨어 신뢰 루트를 구축하는 변경 불가능한 코드로, sepOS 이미지 확인 후 실행. |
| 루트 암호화 키 | UID 루트 암호화 키는 제조 시 임의로 생성되어 특정 기기와 연결됨. |
| AES 엔진 | 하드웨어 기반의 AES 암호화 엔진으로 데이터 보안을 강화함. |
| 공개 키 액셀러레이터 | RSA 및 ECC 알고리즘 지원, 사이드 채널 공격 방지 기능. |
| 보안 메모리 | 전용 I2C 버스를 통해 연결되며, 사용자 데이터 암호화 키 저장. |
| 보안 뉴럴 엔진 | Face ID와 같은 기능 지원, 사용자 얼굴 데이터 보호. |
| 전원 및 클럭 모니터 | 전압과 주파수 모니터링으로 불법적 작동 감지. |
| 추가 기능 및 보안 메커니즘 | TRNG, 재전송 방지 서비스, EEPROM 기능 제공. |
개요
Secure Enclave는 최신 iPhone, iPad, iPod touch, Mac, Apple TV, Apple Watch, HomePod 모델에 통합된 전용 보안 하위 시스템입니다. 메인 프로세서와 격리되어 추가적인 보안 계층을 제공하며, 응용 프로그램 프로세서 커널이 손상된 경우에도 민감한 데이터를 안전하게 보관하도록 설계되었습니다.
지원 기기
| 지원 기기 |
|---|
| iPhone 5s 및 이후 모델 |
| iPad Air 및 이후 모델 |
| Apple T1 칩 및 Touch Bar가 탑재된 MacBook Pro 컴퓨터(2016년 및 2017년) |
| T2 보안 칩이 탑재된 인텔 기반 Mac PC |
| 애플 실리콘이 탑재된 Mac 컴퓨터 |
| Apple TV HD 및 이후 모델 |
| Apple Watch Series 1 및 이후 모델 |
| HomePod 및 HomePod mini |
Secure Enclave 프로세서
Secure Enclave 프로세서는 전용으로 사용되며, L4 마이크로커널의 애플 맞춤형 버전을 실행합니다. 이 프로세서는 저속 클럭 속도에서 효율적으로 작동하여 클럭 및 전력 공격을 방지합니다. 또한, A11 및 S4부터는 재전송 방지 기능, 보안 시동, 전용 난수 발생기 및 AES 엔진을 갖춘 메모리 보호 엔진과 암호화된 메모리를 포함합니다.
메모리 보호 엔진
Secure Enclave는 기기의 DRAM 메모리 전용 영역에서 작동하며, 다중 보호 계층으로 메모리를 응용 프로그램 프로세서에서 분리합니다. 메모리 보호 엔진은 AES를 사용하여 메모리 블록을 암호화하고 인증 태그를 계산하며, 인증 태그가 일치하지 않을 경우 오류 신호를 보냅니다. A11 및 S4부터는 재전송 방지 기능이 추가되었습니다.
Secure Enclave Boot ROM
Secure Enclave는 전용 Secure Enclave Boot ROM을 포함하며, 이는 변경 불가능한 코드로 Secure Enclave에 대해 하드웨어 신뢰 루트를 구축합니다. Secure Enclave Boot ROM은 sepOS 이미지를 확인하고 서명된 경우에만 실행을 허용합니다.
루트 암호화 키
Secure Enclave에는 UID(고유 ID) 루트 암호화 키가 포함되어 있으며, 이는 제조 시 임의로 생성되어 SoC에 결합됩니다. UID는 기기마다 고유하며, 기기의 다른 식별자와는 관련이 없습니다. UID는 보안 데이터를 특정 기기와 연결하여 암호화하는 데 사용됩니다.
AES 엔진
Secure Enclave AES 엔진은 대칭 암호화를 수행하는 하드웨어 블록으로, 타이밍 및 정적 전력 분석을 통한 정보 유출을 방지합니다. 하드웨어 키는 Secure Enclave의 UID 또는 GID에서 파생되며, 소프트웨어에서 접근할 수 없습니다.
공개 키 액셀러레이터
PKA(공개 키 액셀러레이터)는 비대칭형 암호화 작업을 수행하는 하드웨어 블록으로, RSA 및 ECC 서명 및 암호화 알고리즘을 지원합니다. PKA는 사이드 채널 공격을 통한 정보 유출을 방지하도록 설계되었습니다.
비휘발성 보안 저장 장치
Secure Enclave는 전용 비휘발성 보안 저장 장치를 탑재하고 있으며, 전용 I2C 버스를 통해 연결되어 있습니다. 모든 사용자 데이터 암호화 키는 Secure Enclave의 비휘발성 메모리에 저장된 엔트로피에 뿌리를 두고 있습니다.
보안 뉴럴 엔진
Face ID를 지원하는 기기에서 보안 뉴럴 엔진은 2D 이미지와 심도 맵(depth map)을 사용자 얼굴의 수학적 표현으로 변환합니다. A14 및 M1 제품군부터는 응용 프로그램 프로세서의 뉴럴 엔진에 보안 모드로 구현되었습니다.
전원 및 클럭 모니터
Secure Enclave는 전압과 frequency(클럭)가 안전한 범위 내에 유지되도록 모니터링 회로가 설계되어 있습니다. 불법적인 작동이 감지되면 Secure Enclave의 클럭이 자동으로 작동을 중단합니다.
추가 기능 및 보호 메커니즘
▶ TRNG(참난수 발생기): 안전한 임의 데이터를 생성.
▶ 재전송 방지 서비스: 암호 변경, Face ID 또는 Touch ID 재설정 등 보안 경계를 표시하는 이벤트 처리.
▶ EEPROM: 엔트로피 또는 카운터 록박스 기능 제공.
Secure Enclave는 다양한 보안 기능을 통해 사용자 데이터를 안전하게 보호하며, Apple의 최신 기기에서 필수적인 역할을 합니다.