Seguridad biométrica
Los códigos y contraseñas son fundamentales para la seguridad de los dispositivos Apple. Al mismo tiempo, los usuarios necesitan poder acceder cómodamente a sus dispositivos, a menudo más de cien veces al día. La autenticación biométrica ofrece la posibilidad de preservar la seguridad de un código seguro (o incluso reforzar la seguridad del código o la contraseña, puesto que no es necesario introducirlo manualmente) y proporciona al mismo tiempo la comodidad de desbloquear el dispositivo rápidamente simplemente pulsando con un dedo o con la mirada. Optic ID, Face ID y Touch ID no sustituyen al código ni a la contraseña, pero en la mayoría de los casos permiten un acceso más rápido y sencillo.
La arquitectura de seguridad biométrica de Apple se basa en una estricta separación de las responsabilidades entre el sensor biométrico y Secure Enclave, y en una conexión segura entre ambos. El sensor captura la imagen biométrica y la transmite con seguridad a Secure Enclave. Durante la inscripción, Secure Enclave procesa, encripta y almacena los datos de plantilla de Optic ID, Face ID y Touch ID correspondientes. Durante la comparación, Secure Enclave compara los datos entrantes del sensor biométrico con las plantillas almacenadas para determinar si desbloquear el dispositivo o responder si hay una correspondencia válida (para Apple Pay, dentro de una app y otros usos de Optic ID, Face ID y Touch ID). La arquitectura admite dispositivos que incluyen tanto el sensor como Secure Enclave (como el iPhone, el iPad, muchos ordenadores Mac y el Apple Vision Pro) y permite separar físicamente el sensor en un periférico que se enlaza con seguridad al procesador Secure Enclave en un Mac con chip de Apple.
Seguridad de Optic ID
Optic ID ofrece una autenticación intuitiva y segura que usa los rasgos únicos del iris de una persona gracias al sistema de alto rendimiento de seguimiento de los ojos compuesto por luces LED y cámaras infrarrojas del Apple Vision Pro. Usa una luz casi infrarroja modulada espaciotemporalmente y segura para los ojos, de modo que iluminan los ojos y las cámaras oculares del Apple Vision Pro puedan capturar imágenes del iris. Estos datos de la imagen del iris se envían y procesan en Secure Enclave y el motor Neural Engine seguro, donde se transforman en una representación matemática para la inscripción.
Optic ID se ha diseñado para lo siguiente:
Funcionar con lentillas blandas recetadas y clips ópticos ZEISS Optical Inserts para los usuarios que tienen la vista graduada.
Confirmar la atención del usuario mediante el seguimiento de la mirada y ofrecer una autenticación robusta con una tasa baja de reconocimientos erróneos.
Reducir la suplantación de identidad, tanto digital como física.
Cuando un usuario desbloquea su Apple Vision Pro con sus ojos, Optic ID utiliza redes neuronales para determinar la coincidencia y proteger frente a la suplantación de identidad. Se adapta automáticamente a los cambios en las condiciones al actualizar la plantilla inscrita del usuario después de una autenticación correcta. Esto ayuda a mejorar el rendimiento de Optic ID en distintas condiciones de iluminación, en las que la parte visible del iris y el tamaño de la pupila pueden variar.
Cuando un usuario desbloquea el Apple Vision Pro, el icono de Optic ID se muestra de forma destacada en el centro del campo visual del usuario. Una vez desbloqueado (o durante la autenticación de una app), Optic ID hace un seguimiento continuo de las cámaras oculares del Apple Vision Pro para que puedan ver la zona ocular del usuario.
Mientras el usuario sigue llevando el dispositivo, si necesita autenticarse de nuevo, Optic ID usa este seguimiento continuo para la autenticación.
Seguridad de Face ID
Con una simple mirada, Face ID desbloquea de forma segura los dispositivos Apple compatibles. Ofrece una autenticación intuitiva y segura gracias al sistema de cámara TrueDepth, cuya tecnología avanzada permite registrar con precisión la geometría del rostro de un usuario. Face ID usa redes neuronales para determinar la atención y la coincidencia, y proteger frente a la suplantación de identidad, para que un usuario pueda desbloquear su teléfono con una mirada, incluso con la mascarilla puesta cuando se usan dispositivos compatibles. Face ID se adapta automáticamente a los cambios en la apariencia y protege cuidadosamente la privacidad y seguridad de los datos biométricos de un usuario.
Face ID se ha diseñado para confirmar la atención del usuario, ofrecer una autenticación robusta con una tasa baja de reconocimientos erróneos y reducir la suplantación de identidad, tanto digital como física.
La cámara TrueDepth busca el rostro del usuario automáticamente al activar un dispositivo Apple con Face ID cuando el usuario lo levanta o cuando pulsa la pantalla, así como cuando el dispositivo intenta autenticar al usuario para mostrar una notificación entrante o cuando una app compatible solicita una autenticación mediante Face ID. Cuando se detecta un rostro, Face ID confirma el estado de atención del usuario y su intención de desbloquear el dispositivo al detectar que tiene los ojos abiertos y que dirige su atención al dispositivo. Por razones de accesibilidad, la comprobación de atención de Face ID se desactiva al activar VoiceOver y, si es necesario, se puede desactivar por separado. Al usar “Face ID con mascarilla”, siempre es necesario que se detecte si estás mirando.
Una vez que la cámara TrueDepth confirma la presencia de un rostro atento, proyecta y analiza miles de puntos infrarrojos que crean un mapa de profundidad del rostro, del que se obtiene también una imagen infrarroja 2D. Estos datos se utilizan para crear una secuencia de imágenes 2D y mapas de profundidad que llevan una firma digital y se envían a Secure Enclave. Para frenar la suplantación de identidad tanto digital como física, la cámara TrueDepth ordena de forma aleatoria la secuencia de imágenes 2D y el mapa de profundidad que captura, y proyecta un patrón aleatorio específico del dispositivo. Una parte del motor Neural Engine, protegida en Secure Enclave, transforma estos datos en una representación matemática y la compara con la representación de los datos faciales registrados correspondientes. Estos datos faciales registrados son, en sí mismos, una representación matemática del rostro del usuario capturado en diversas poses.
Seguridad de Touch ID
Touch ID es el sistema de detección de huellas digitales que hace posible un acceso seguro, más rápido y sencillo a los dispositivos Apple compatibles. Esta tecnología lee los datos de huella digital desde cualquier ángulo y almacena continuamente más información sobre la huella del usuario, ya que el sensor amplía el mapa de huella digital en cada uso al identificar nuevos nodos superpuestos.
Los dispositivos Apple con un sensor Touch ID se pueden desbloquear con una huella digital. Touch ID no sustituye la necesidad de tener un código del dispositivo o una contraseña de usuario, que todavía se requiere después de encender el dispositivo o de cerrar sesión (en un Mac). En algunas apps, Touch ID también se puede usar en lugar del código de un dispositivo o de la contraseña del usuario, por ejemplo, para desbloquear notas protegidas por contraseña en la app Notas, para desbloquear sitios web protegidos por el llavero y para desbloquear contraseñas compatibles con la app. Sin embargo, en algunos casos siempre se requiere un código de dispositivo o una contraseña de usuario (por ejemplo, para cambiar el código del dispositivo o la contraseña del usuario existentes, o para eliminar las huellas digitales existentes registradas o crear unas nuevas).
Cuando el sensor de huellas digitales detecta el tacto de un dedo, activa la matriz de imágenes avanzada que escanea el dedo y envía la imagen obtenida a Secure Enclave. El canal empleado para proteger esta conexión varía dependiendo de si el sensor de Touch ID está integrado en el dispositivo con Secure Enclave o se encuentra en un periférico separado.
Mientras el escaneo de la huella digital se vectoriza para su análisis, la imagen escaneada se almacena temporalmente en la memoria encriptada de Secure Enclave y, después, se descarta. El análisis utiliza la correspondencia de ángulos del patrón de arrugas subdérmico; este proceso con pérdidas de información descarta los datos detallados que serían necesarios para reconstruir la huella real del usuario. Durante la inscripción, el mapa de nodos resultante se almacena en un formato encriptado que solo puede leer Secure Enclave como una plantilla de comparación para determinar futuras correspondencias, pero sin información de identidad. Estos datos nunca salen del dispositivo. No se envían a Apple ni se incluyen en las copias de seguridad del dispositivo.
Seguridad del canal de Touch ID integrado
La comunicación entre Secure Enclave y el sensor de Touch ID integrado tiene lugar a través de un bus de interfaz de periféricos serie. El procesador envía los datos a Secure Enclave, pero no puede leerlos, puesto que están encriptados y se autentican mediante una clave de sesión que se negocia con una clave compartida proporcionada de fábrica para cada sensor Touch ID y el correspondiente Secure Enclave. Para cada sensor de Touch ID, la clave compartida es segura, aleatoria y distinta. En el intercambio de claves de sesión, se utiliza la encapsulación de claves AES y ambas partes proporcionan una clave aleatoria que establece la clave de sesión y que utiliza la encriptación de transporte que proporciona autenticación y confidencialidad (mediante AES-CCM).