开始使用 Secure Enclave Crypto API

tl;dr – Tidas 现已开源。如果您的公司需要试用帮助，请与我们联系。

当苹果在 iOS 9 中悄然发布 Secure Enclave Crypto API（kSecAttrTokenIDSecureEnclave）时，它让开发者能够将用户从繁琐的强密码或 OAuth 认证中解放出来。

也就是说，如果开发者能够在没有文档的情况下自行摸索。

所需的属性完全未记录。密钥格式与 OpenSSL 不兼容。苹果甚至没有说明使用了什么密码套件（实际上是 secp256r1）。在最初状态下完全无法使用。应用开发社区一筹莫展。

我们填补了空白

我们将此视为逆向工程挑战。Ryan Stortz 运用其卓越的技能和我们团队对 iOS 平台的集体知识，最终弄清楚了如何使用这个新 API。

当 Ryan 完成了一套可用的工具来利用 Secure Enclave 后，我们采取了下一步行动：基于此功能发布了 Tidas 服务。

当您的应用安装在新设备上时，Tidas SDK 会生成一个唯一加密密钥来识别用户，并在 Tidas 网络服务中注册。该密钥存储在客户设备的 Secure Enclave 中，并受 Touch ID 保护，要求用户使用指纹解锁。客户端登录会生成数字签名的会话令牌，您的后端可以将其传递给 Tidas 网络服务以验证用户身份。整个认证过程由我们易于使用的 SDK 处理，避免了传输用户的敏感数据。用户保持隐私，您最小化责任。

NCC Group 的 David Schuetz 在这篇简洁的文章中评估了 Tidas 的协议。右侧 David 的图表准确描述了 Tidas 的通信协议。

Tidas 的认证协议，结合 Secure Enclave 中的安全密钥存储，提供了强大的安全保证，并防止网络钓鱼和重放等攻击。它显著降低了在移动优先开发环境中采用仅令牌认证的门槛。

我们看到了巨大的安全潜力，通过使应用程序能够使用安全存储在 iOS 之外、远离任何潜在恶意软件的私钥，例如通过 Touch ID 轻松解锁计算机、更强大的密码管理器和更可信的移动支付。

我们认为好处是显而易见的，因此我们建立了一个网站并将该产品发布到互联网上。

今天，Tidas 成为开源项目

自二月份发布以来，Tidas 引起了广泛关注。《华尔街日报》写了一篇关于它的文章。我们与十几家不同的银行进行了交谈，它们因为 Tidas 的设备绑定特性和潜在的欺诈减少而对其感兴趣。同时，我们直接邀请移动应用开发者进行试用。

几个月后，这些潜力都没有转化为客户。

认证流程是应用程序的入口。我们交谈过的开发者不愿意对其进行丝毫修改，如果这有可能锁住诚实的付费客户。

银行喜欢这项技术，但没有一家会考虑为单一设备（iOS）购买点解决方案。

因此，Tidas 今天成为开源项目。所有代码可在 https://github.com/tidas 获取。如果您想尝试自己使用 Secure Enclave，请查看我们的 DIY 工具包：https://github.com/trailofbits/SecureEnclaveCrypto。它通过提供易于使用的 Secure Enclave API 包装器，解决了我们上面提到的所有苹果问题。与您的应用集成再简单不过。

如果您的公司有兴趣试用并需要帮助，请联系我们。

如果您喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News