Magic Keyboard con Touch ID
El Magic Keyboard con Touch ID (y el Magic Keyboard con Touch ID y teclado numérico) incluye un sensor Touch ID en un teclado externo que puede utilizarse con cualquier Mac con Apple Chip. El Magic Keyboard con Touch ID cumple la función de sensor biométrico; no almacena plantillas biométricas, realiza coincidencias biométricas ni aplica políticas de seguridad (por ejemplo, tener que ingresar la contraseña después de 48 horas sin un desbloqueo). El sensor Touch ID del Magic Keyboard con Touch ID debe enlazarse de forma segura con el Secure Enclave de la Mac antes de que se pueda usar, para que después el Secure Enclave pueda realizar las operaciones de inscripción y coincidencia, y aplica las políticas de seguridad de la misma manera que lo haría para un sensor Touch ID integrado. Apple realiza el proceso de enlace desde la configuración de fábrica para los Magic Keyboard con Touch ID que se envían con una Mac. El usuario también puede realizar en elace en caso de ser necesario. Un Magic Keyboard con Touch ID se puede enlazar de forma segura solo con una Mac a la vez, pero una Mac puede mantener enlaces seguros con hasta cinco Magic Keyboard diferentes con Touch ID.
El Magic Keyboard con Touch ID y los sensores Touch ID integrados son compatibles. Si un dedo que se registró en un sensor Touch ID integrado en una Mac se coloca en el sensor de un Magic Keyboard con Touch ID, el Secure Enclave de la Mac procesa correctamente la coincidencia, y viceversa.
Para admitir el enlace seguro y, por lo tanto, la comunicación entre el Secure Enclave de la Mac y el Magic Keyboard con Touch ID, el teclado está equipado con un bloque de acelerador de clave pública (PKA) de hardware, que proporciona certificación, y con teclas físicas que permiten realizar los procesos criptográficos necesarios.
Enlace seguro
Antes de poder utilizar un Magic Keyboard con Touch ID para operaciones que requieren Touch ID, es necesario emparejarlo de forma segura con la Mac. Para esto, el Secure Enclave de la Mac y el bloque PKA del Magic Keyboard con Touch ID intercambian claves públicas, arraigadas en la CA de confianza de Apple, y utilizan claves de certificación en hardware y claves ECDH efímeras para certificar su identidad de forma segura. En la Mac, estos datos están protegidos por el Secure Enclave; mientras que en el Magic Keyboard con Touch ID, estos datos están protegidos por el bloque PKA. Después de realizar el enlace seguro, todos los datos de Touch ID comunicados entre la Mac y el Magic Keyboard con Touch ID se encriptan mediante AES-GCM, con una clave de 256 bits, y claves ECDH efímeras utilizando la curva NIST P-256 basada en las identidades almacenadas Para más información sobre cómo usar el teclado durante el modo inalámbrico, consulta Seguridad de Bluetooth.
Intención segura para realizar enlaces
Para realizar algunas operaciones de Touch ID por primera vez, como registrar una nueva huella digital, el usuario debe confirmar físicamente su intención de usar un Magic Keyboard con Touch ID con la Mac. La intención física se confirma presionando dos veces el botón de encendido de la Mac cuando lo indique la interfaz de usuario, o cuando se realiza una coincidencia correcta de una huella digital que se haya registrado previamente en la Mac. Para obtener más información, consulta Intención segura y conexiones con el Secure Enclave.
Las transacciones de Apple Pay se pueden autorizar con una coincidencia de Touch ID o al ingresar la contraseña del usuario de macOS y presionar dos veces el botón Touch ID en el Magic Keyboard con Touch ID. Este último permite al usuario confirmar la intención física incluso sin una coincidencia de Touch ID.
Seguridad del canal del Magic Keyboard con Touch ID
Para ayudar a garantizar un canal de comunicación seguro entre el sensor Touch ID en el Magic Keyboard con Touch ID y el Secure Enclave en la Mac enlazada, se requiere lo siguiente:
El enlace seguro entre el bloque PKA del Magic Keyboard con Touch ID y el Secure Enclave como se describe anteriormente
Un canal seguro entre el Magic Keyboard con sensor Touch ID y su bloque PKA
El canal seguro entre el Magic Keyboard con sensor Touch ID y su bloque PKA se establece en la configuración de fábrica mediante el uso de una clave única compartida entre los dos (esta es la misma técnica utilizada para crear el canal seguro entre el Secure Enclave en la Mac y su sensor integrado, en computadoras Mac con Touch ID incorporado).