Lo más destacado del iPhone 5S es sin duda su lector de huellas dactilares. No por que sirva sólo ahora mismo para desbloquear el teléfono y confirmar compras en el App Store, si no por sus futuros usos en el comercio electrónico. Para que tenga éxito en ese sector, lo principal es que sea lo más seguro posible.
Una vez que el usuario realiza el proceso de escaneado de sus huellas dactilares, algunas voces se lanzaron a criticar que se pudieran enviar a Apple. La compañía de Cupertino se lanzó rápidamente a asegurar que la información de las huellas se almacenaba en el propio procesador A7 en un elemento seguro que incluye y que, como ocurre de forma parecida en las tarjetas SIM con nuestro identificador de usuario de red, sólo se puede acceder a esa información indirectamente.
Para despejar totalmente cualquier duda sobre la seguridad y privacidad de nuestras huellas dactilares almacenadas en el iPhone 5S, Apple ha distribuido un documento detallando la seguridad en iOS y que describe en mayor profundidad el proceso de creación, almacenaje y uso del Touch ID. Se puede leer en formato PDF en la siguiente dirección.
Samsung vs Apple
Curiosamente este documento ha salido a la luz el día en el que Samsung anunciaba que el uso del lector de huellas del Galaxy S5 iba a estar disponible para terceros, algo que por razones de seguridad Apple parece que no va a permitir por el momento. De hecho, si bien ahora tenemos al completo la forma en que funciona Touch ID, no tenemos ni idea de cómo va a asegurar la fiabilidad y seguridad de la información Samsung para que se le pueda tener en cuenta en pagos electrónicos.
Pero también Apple ha liberado el documento después del "Epic Fail" cometido con un fallo de seguridad de SSL por una simple línea de código. El factor humano es siempre el causante de infinidad de problemas de seguridad, y que por más que le digamos a la gente que no se instale aplicaciones raras en su PC o teléfono, la experiencia dice que muchos lo harán y terminarán sufriendo todo tipo de malware.
Funcionamiento de Touch ID
Volviendo al funcionamiento del Touch ID, el elemento seguro de cada iPhone recibe un identificador único durante su fabricación que no es accesible por el resto del sistema y tampoco por Apple. Cuando el dispositivo arranca, se crea una clave temporal vinculada a ese ID y que se utiliza para encriptar el espacio de memoria utilizado por el elemento seguro y las zonas de memoria no volatil que utilice. La información leída por el escáner de huellas dactilares es manejada y almacenada en el elemento seguro, y el propio iOS no puede acceder a esa información, por lo que no se puede almacenar en ningún otro lugar que no sea ese elemento seguro del procesador A7.
Todas las solicitudes de usar el Touch ID (pagos, desbloqueo) son enviados al elemento seguro por el A7, y como se realizan de forma encriptada entre el lector de huellas y el elemento seguro, el propio procesador A7 no es capaz de leerlas. Si el elemento seguro reconoce el patrón de la huella enviado por el lector de huellas al, por ejemplo, desbloquear el terminal, proporciona la clave para poder acceder a la información protegida del usuario y se desbloquea.
La seguridad detrás de Touch ID, salvo fallos de implementación el código (ejem) no puede ser mejor. Como he dicho, ahora sólo falta que Samsung indique qué medidas de seguridad ha tomado en el proceso de almacenaje y uso de la información de las huellas dactilares, y lo único que tendría que hacer Apple es permitir su uso por terceros.
Algo que, por otro lado, no creo que ocurra pronto ya que este año podría presentar una plataforma de pago propia, y siendo como es Apple, querría mantenerla lo más segura posible pero también totalmente controlada. Algo habitual en el ecosistema de iOS y OS X, y a lo que ya estamos acostumbrados, pese a los tiempos que corren.
Vía: TechCrunch.
