Clavier Magic Keyboard doté de Touch ID
Le clavier Magic Keyboard doté de Touch ID (et le clavier Magic Keyboard doté de Touch ID et d’un pavé numérique) offre un capteur Touch ID sur un clavier externe compatible avec tout Mac doté d’une puce Apple. Le clavier Magic Keyboard doté de Touch ID joue le rôle d’un capteur biométrique. Il ne stocke aucun modèle biométrique, n’effectue pas la mise en correspondance et n’applique pas les règlements de sécurité (par exemple, l’obligation de saisir le mot de passe après 48 heures sans déverrouillage). Le capteur Touch ID du clavier Magic Keyboard doté de Touch ID doit être jumelé en toute sécurité au Secure Enclave sur le Mac avant que son utilisation soit possible. Le Secure Enclave procède ensuite aux opérations d’inscription et de mise en correspondance avant d’appliquer les règlements de sécurité de la même façon qu’il le ferait pour un capteur Touch ID intégré. Apple exécute le processus de jumelage à l’usine pour un clavier Magic Keyboard doté de Touch ID compris avec un Mac. L’utilisateur peut se charger du jumelage au besoin. Un clavier Magic Keyboard doté de Touch ID peut être jumelé en toute sécurité à un seul Mac à la fois, mais un Mac peut conserver les jumelages sécurisés d’un maximum de cinq claviers Magic Keyboard dotés de Touch ID.
Le clavier Magic Keyboard doté de Touch ID est compatible avec les capteurs Touch ID intégrés. Si un doigt inscrit par le capteur Touch ID intégré d’un Mac est présenté sur un clavier Magic Keyboard doté de Touch ID, le Secure Enclave sur un Mac peut traiter la correspondance et vice versa.
Afin de prendre en charge le jumelage sécurisé et, par le fait même, la communication entre le Secure Enclave du Mac et le clavier Magic Keyboard doté de Touch ID, ce dernier est doté d’un bloc matériel d’accélérateur de clé publique (PKA) pour fournir l’attestation, et de clés basées sur le matériel pour exécuter les processus cryptographiques nécessaires.
Jumelage sécurisé
Avant qu’un clavier Magic Keyboard doté de Touch ID puisse être utilisé pour les opérations de Touch ID, il doit être jumelé au Mac en toute sécurité. Pour le jumelage, le Secure Enclave sur le Mac et le bloc PKA du clavier Magic Keyboard doté de Touch ID échangent des clés publiques, associées à l’autorité de certification de confiance d’Apple, puis ils ont recours à des clés d’attestation matérielles et des clés ECDH éphémères pour attester leur identité en toute sécurité. Sur le Mac, ces données sont protégées par le Secure Enclave; sur le clavier Magic Keyboard doté de Touch ID, elles sont protégées par le bloc PKA. Après le jumelage sécurisé, toutes les données Touch ID communiquées entre le Mac et le clavier Magic Keyboard doté de Touch ID sont chiffrées par l’algorithme AES-GCM avec une longueur de clé de 256 bits et avec des clés ECDH éphémères utilisant la courbe NIST P-256 basée sur les identités stockées. Pour en savoir plus sur l’utilisation du clavier en mode sans fil, consultez la rubrique Sécurité Bluetooth.
Intention de jumelage sécurisée
Afin d’exécuter certaines opérations de Touch ID pour la première fois, comme l’inscription d’une nouvelle empreinte digitale, l’utilisateur doit confirmer physiquement son intention d’utiliser un clavier Magic Keyboard doté de Touch ID avec le Mac. L’intention est confirmée physiquement en appuyant deux fois sur le bouton d’alimentation du Mac lorsque l’interface utilisateur le demande, ou si une empreinte déjà inscrite sur le Mac est mise en correspondance. Pour en savoir plus, consultez la section Intention sécurisée et connexions au Secure Enclave.
Les transactions Apple Pay peuvent être autorisées au moyen d’une mise en correspondance Touch ID, ou en saisissant le mot de passe de l’utilisateur de macOS avant d’appuyer deux fois sur le bouton Touch ID du clavier Magic Keyboard doté de Touch ID. Cette dernière option permet à l’utilisateur de confirmer physiquement son intention même sans la mise en correspondance Touch ID.
Sécurité du canal du clavier Magic Keyboard doté de Touch ID
Pour contribuer à garantir un canal de communication sécurisé entre le capteur Touch ID du clavier Magic Keyboard doté de Touch ID et le Secure Enclave sur le Mac jumelé, les conditions suivantes sont nécessaires :
jumelage sécurisé décrit ci-dessus entre le bloc PKA du clavier Magic Keyboard doté de Touch ID et le Secure Enclave;
canal sécurisé entre le capteur du clavier Magic Keyboard doté de Touch ID et son bloc PKA.
Le canal sécurisé entre le capteur du clavier Magic Keyboard doté de Touch ID et son bloc PKA est établi à l’usine au moyen d’une clé unique partagée entre les deux. (Le canal sécurisé entre le Secure Enclave sur les ordinateurs Mac avec Touch ID et leur capteur intégré est établi de la même façon.)