Touch ID搭載Magic Keyboard

Touch ID搭載Magic Keyboard（およびテンキー付きTouch ID搭載Magic Keyboard）は、すべてのAppleシリコン搭載Macで使用できる外部キーボードにTouch IDセンサーを備えたものです。Touch ID搭載Magic Keyboardは生体認証センサーの役割を果たします。生体認証テンプレートの保存、生体認証の照合、セキュリティポリシー（ロックを解除せずに48時間経過するとパスワードの入力が必要になるなど）の適用は行いません。Touch ID搭載Magic KeyboardのTouch IDセンサーを使用するには、MacのSecure Enclaveと安全にペアリングする必要があります。その後、内蔵Touch IDセンサーの場合と同様に、Secure Enclaveが登録と照合を行い、セキュリティポリシーを適用します。Macに同梱のTouch ID搭載Magic Keyboardの場合は、Appleが工場でペアリングプロセスを実行します。必要に応じて、ユーザがペアリングを行うこともできます。Touch ID搭載Magic Keyboardは一度に1台のMacとのみ安全にペアリングできますが、Macは最大5台の異なるTouch ID搭載Magic Keyboardと安全なペアリングを維持できます。

Touch ID搭載Magic Keyboardは内蔵Touch IDセンサーと互換性があります。Macの内蔵Touch IDセンサーで登録した指がTouch ID搭載Magic Keyboardで提示された場合、MacのSecure Enclaveが照合を正常に処理できます。逆の場合も同様です。

MacのSecure EnclaveとTouch ID搭載Magic Keyboardの安全なペアリングとその後の通信をサポートするため、このキーボードは証明のための公開鍵アクセラレータ（PKA）ブロックと、必要な暗号化プロセスを実行するためのハードウェアベースの鍵を備えています。

安全なペアリング

Touch ID搭載Magic KeyboardをTouch ID操作に使用するには、キーボードをMacに安全にペアリングする必要があります。ペアリングのために、MacのSecure EnclaveとTouch ID搭載Magic KeyboardのPKAブロックが、Appleの信頼できるCAをルートとする公開鍵を交換し、ハードウェアに保持されている証明鍵と一時的なECDHを使用して自らの識別情報を証明します。このデータは、MacではSecure Enclave、Touch ID搭載Magic KeyboardではPKAブロックによって保護されます。安全にペアリングしたあとは、MacとTouch ID搭載Magic Keyboardの間で通信されるすべてのTouch IDデータが、保存されている識別情報に基づくNIST P-256曲線を用いた一時ECDH鍵を使用して、鍵長256ビットのAES-GCMによって暗号化されます。ワイヤレスモードでのキーボードの使用について詳しくは、Bluetoothのセキュリティを参照してください。

ペアリングのセキュアインテント

新しい指紋の登録などの一部のTouch ID操作を初めて行うときは、ユーザがTouch ID搭載Magic KeyboardをMacと一緒に使用する意図を物理的に確認する必要があります。物理的な意図の確認は、ユーザインターフェイスによって指示されたときにMacの電源ボタンを2回押す操作、または以前にMacに登録した指紋との一致によって行われます。詳しくは、セキュアインテントとSecure Enclaveへの接続を参照してください。

Apple Payのトランザクションは、Touch IDでの一致、またはmacOSのユーザパスワードを入力してTouch ID搭載Magic KeyboardのTouch IDボタンを2回押す操作で承認できます。後者の場合は、ユーザがTouch IDでの照合を行わなくても物理的に意図を確認できます。