开始使用Secure Enclave Crypto API

tl;dr – Tidas现已开源。如果您的公司需要试用帮助，请与我们联系。

当苹果在iOS 9中悄然发布Secure Enclave Crypto API（kSecAttrTokenIDSecureEnclave）时，它让开发者能够将用户从强密码或OAuth的烦恼中解放出来。

也就是说，如果开发者能够在没有文档的情况下完成开发。

所需的属性完全未文档化。密钥格式与OpenSSL不兼容。苹果甚至没有说明使用的密码套件（实际上是secp256r1）。在原始状态下完全无法使用。应用开发者社区感到困惑。

我们填补了空白

我们将此视为逆向工程挑战。Ryan Stortz运用其卓越的技能和我们团队对iOS平台的集体知识，最终弄清楚了如何使用这个新API。

当Ryan完成了一套可用的工具来利用Secure Enclave后，我们采取了下一步行动。我们基于此功能发布了一项服务：Tidas。

当您的应用安装在新设备上时，Tidas SDK会生成一个唯一标识用户的加密密钥，并在Tidas网络服务中注册。该密钥存储在客户端设备的Secure Enclave中，并受到Touch ID的保护，要求用户使用指纹解锁。客户端登录会生成数字签名的会话令牌，您的后端可以将其传递给Tidas网络服务以验证用户身份。整个认证过程由我们易于使用的SDK处理，避免了传输用户的敏感数据。用户保持隐私，您最小化责任。

NCC Group的David Schuetz在这篇简洁的文章中评估了Tidas的协议。David右侧的图表准确描述了Tidas的线协议。

Tidas的认证协议，结合Secure Enclave中的安全密钥存储，提供了强大的安全保证，并防止网络钓鱼和重放等攻击。它显著降低了在移动优先开发环境中采用仅令牌认证的门槛。

我们看到了通过使应用程序使用安全存储在iOS之外、远离任何潜在恶意软件的私钥来实现安全的巨大潜力，例如通过按压TouchID轻松解锁计算机、更强大的密码管理器和更可信的移动支付。

我们认为好处是显而易见的，因此我们建立了一个网站并将此产品发布到互联网上。

今天，Tidas成为开源项目

自2月发布以来，Tidas引起了广泛关注。《华尔街日报》为此写了一篇文章。我们与十几家不同的银行进行了交谈，它们因Tidas的设备绑定特性和潜在的欺诈减少而对其感兴趣。同时，我们直接向移动应用开发者寻求试用。

几个月后，这些潜力都没有转化为客户。

认证例程是应用程序的入口。我们交谈过的开发者不愿意对其进行丝毫修改，如果这有可能锁住诚实的付费客户。

银行喜欢这项技术，但没有一家会考虑为单一设备（iOS）购买点解决方案。

因此，Tidas今天成为开源项目。所有代码可在https://github.com/tidas获取。如果您想尝试自己使用Secure Enclave，请查看我们的DIY工具包：https://github.com/trailofbits/SecureEnclaveCrypto。它通过提供易于使用的Secure Enclave API包装器，解决了我们上面提到的所有苹果问题。与您的应用集成再简单不过。

如果您的公司有兴趣试用并需要帮助，请联系我们。

如果您喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News