Appleは、現在のセキュアエンクレーブの保護を維持しながら、複数のユーザーがTouch IDや類似の生体認証システムの恩恵を受けられるようにする方法を研究している。
AppleのT2セキュリティプロセッサは、ユーザーの生体認証データを保存するセキュアエンクレーブを基盤としています。ユーザーがMacのロックを解除する場合でも、商品を購入する場合でも、セキュアエンクレーブは本人確認を求められます。
T2プロセッサは、保存されているデータを一切漏らすことなく、リクエストを承認または拒否できます。そのため、Macや小売業者は、ユーザーのプライバシーを侵害されることなく、必要な確実性を持って処理を進めることができます。
これは個々のユーザーにとってはうまく機能しますが、複数の人が同じMacや他のシステムにアクセスして異なる操作を行う場合は、状況が複雑になります。あるユーザーに対してロックを解除すると、マシン全体へのアクセスが許可される一方で、別のユーザーに対してロックを解除すると、自身のユーザーアカウントと一部の機能のみに制限される可能性があります。
実際にはそれほど難しくないように思えるかもしれませんが、新たに公開された特許出願「複数ユーザーをサポートするためのセキュアエンクレーブにおけるドメインの提供」を見ると、実際にはそうではないことがわかります。セキュアエンクレーブが例えば指紋を以前保存された指紋と比較するだけの単純な話ではなく、これらのアクセスレベルには複雑な問題が潜んでいます。
したがって、この特許出願は、生体認証データが物理的にどのように保存されるか、あるいは何人の人の指紋が認識されるかといったことよりも、誰が何を実行できるかという点に焦点を置いています。「グループ暗号化が有効になっている場合、グループに新しいメンバーを追加するには、グループの既存メンバーからの明示的な承認が必要になる場合があります」と出願書類には記されています。
「データ処理システムへのマルチユーザーアクセスを可能にするために、グループキーを作成し、システム上のグループ内のメンバーシップ(管理者、ユーザーなど)を通じて、システムへの異なるレベルのアクセスを可能にすることができる」とAppleは続ける。
人々に伝えるパスコードを用意するだけなら簡単ですが、それでは Apple が必要と考えるセキュリティ レベルに近づくことはできません。
「コンピューティングデバイスは、デバイスに保存されているデータを保護するためにパスコード保護を採用することができます」と特許出願には記載されています。「コンピューティングデバイスは、ユーザー名とパスワードの組み合わせ、および/または数字または英数字のパスコードの入力を要求するログイン画面を表示するなどの保護メカニズムを使用して、保存されたデータへの不正アクセスを防ぐことができます。」
「しかしながら、データが暗号化されていない状態で保存されている場合、ユーザー名/パスワード、あるいはパスコードを知らなくても、コンピューティングシステムに保存されているデータにアクセスできる可能性があります」とAppleは続けます。「悪意のある攻撃者は、メモリから直接データを抽出できる可能性があります。攻撃者がコンピューティングシステムに物理的にアクセスできる場合、攻撃者はシステムから1つまたは複数のストレージデバイスを取り外し、別のシステムを介してそれらのデバイスにアクセスすることができます。」
特許出願の詳細。システムが取らなければならない多くの決定ルートの1つを示す。
セキュアエンクレーブはこの問題を解消するはずですが、複数の正当なユーザーにとって便利であると同時に、権限のないユーザーにとってはアクセス不可能である必要があります。つまり、Macなどのデバイスは、正当なユーザーであればすぐにロック解除できる一方で、無理やり侵入しようとするユーザーにとってはロック解除できないようにする必要があります。
Appleは、「セキュアプロセッサには、複数の認証タイプごとに、連続して失敗した認証試行回数を追跡するためのメモリが搭載されています」と述べています。Appleの提案では、試行が繰り返されるごとに、ユーザーが再試行できるようになるまでの待機時間が徐々に長くなります。
「セキュアプロセッサは、受信した認証情報セットに関連付けられたユーザーアカウントが認証試行の連続失敗回数の第1回数を超えたという判定に応答して、リクエストの認証を第1期間遅らせるようにさらに構成されている」とAppleは述べている。
この特許出願は、ピエール・オリバー・マーテル、アーサー・メッシュ、ウェイド・ベンソンの3名の発明者によるものです。3名とも、ユーザー認証とセキュアアクセスに関する関連特許を保有しています。
HomePodでAppleの最新ニュースをいつでもチェック。「Hey Siri、AppleInsiderを再生して」と話しかけると、最新のAppleInsider Podcastが聴けます。または、HomePod miniに「AppleInsider Daily」と話しかけると、ニュースチームからの速報がすぐに聞こえてきます。Apple関連のホームオートメーションに興味があるなら、「Hey Siri、HomeKit Insiderを再生して」と話しかければ、最新の専門ポッドキャストがすぐに聴けます。
