Usos do Optic ID, Face ID e Touch ID
A forma como as chaves de Proteção de Dados de um dispositivo funcionam depende do estado de ativação do Optic ID, Face ID ou Touch ID.
Desbloqueio de um dispositivo ou conta de usuário
Com o Optic ID, Face ID ou Touch ID desativados, ao bloquear um dispositivo ou uma conta, as chaves das classes mais altas da Proteção de Dados (mantidas no Secure Enclave) são descartadas. Os arquivos e os itens das chaves dessa classe ficam inacessíveis até que o usuário digite o código ou a senha para desbloquear o dispositivo ou a conta.
Com o Optic ID, Face ID ou Touch ID ativados, as chaves não são descartadas quando o dispositivo ou a conta são bloqueados. Em vez disso, elas são embaladas com uma chave fornecida ao subsistema do Optic ID, Face ID ou Touch ID dentro do Secure Enclave. Quando um usuário tenta desbloquear o dispositivo ou a conta, caso o dispositivo detecte uma identificação bem-sucedida, ele fornece a chave para desembalar as chaves de Proteção de Dados, desbloqueando o dispositivo ou a conta. Esse processo fornece proteção adicional ao exigir a cooperação entre a Proteção de Dados e os subsistemas do Optic ID, Face ID ou Touch ID para desbloquear o dispositivo.
Quando o dispositivo é reiniciado, as chaves exigidas pelo Optic ID, Face ID ou Touch ID para desbloquear o dispositivo ou a conta são perdidas. Elas são descartadas pelo Secure Enclave caso qualquer condição que exija a digitação do código ou da senha seja atendida.
Proteção de compras com o Apple Pay
O usuário também pode usar o Optic ID, Face ID e Touch ID com o Apple Pay para fazer compras em lojas, apps e na web de maneira fácil e segura:
Com o Face ID em lojas: para autorizar um pagamento em uma loja com o Face ID, primeiro o usuário precisa pressionar o botão lateral duas vezes para confirmar a intenção de fazer o pagamento. Isso captura a intenção do usuário com um gesto físico diretamente relacionado ao Secure Enclave, o que é invulnerável à falsificação por parte de um processo malicioso. Depois, o usuário usa o Face ID para autenticar antes de aproximar o dispositivo do leitor de pagamento por proximidade. Um método de pagamento diferente do Apple Pay pode ser selecionado após a autenticação com o Face ID, o que requer uma nova autenticação, mas o usuário não precisará pressionar novamente o botão lateral duas vezes.
Com o Optic ID ou Face ID em apps e na web: para fazer um pagamento dentro de apps ou na web, o usuário precisa pressionar duas vezes o botão lateral (no iPhone ou iPad) ou o botão superior (no Apple Vision Pro) para confirmar a intenção de pagar e se autenticar com o Optic ID ou Face ID para autorizar o pagamento. Se a transação do Apple Pay não for concluída 60 segundos depois de pressionar duas vezes o botão lateral, o usuário deverá fazer isso novamente para reconfirmar a intenção de pagar.
Com o Touch ID: com o Touch ID, a intenção de pagar é confirmada com o gesto de ativação do sensor do Touch ID combinado à identificação bem-sucedida da impressão digital do usuário.
Uso das APIs fornecidas pelo sistema
Apps de terceiros podem usar as APIs fornecidas pelo sistema para solicitar que o usuário use o Optic ID, Face ID, Touch ID, um código ou uma senha para se autenticar. Os apps que oferecem suporte ao Touch ID são automaticamente compatíveis com Optic ID e Face ID sem que nenhuma alteração seja necessária. Ao usar o Optic ID, Face ID ou Touch ID, o app recebe uma notificação apenas quanto ao êxito da autenticação; ele não pode acessar o Optic ID, Face ID, Touch ID nem os dados associados ao usuário registrado.
Proteção de itens das chaves
Também é possível proteger os itens das chaves com o Optic ID, Face ID ou Touch ID e liberá‑los pelo Secure Enclave somente por uma correspondência bem-sucedida ou com o código do dispositivo ou a senha da conta. Desenvolvedores de apps têm APIs para verificar se um código ou uma senha foram definidos pelo usuário antes de exigir o Optic ID, Face ID, Touch ID, um código ou uma senha para desbloquear itens das chaves. Desenvolvedores de apps podem fazer o seguinte:
Exigir que as operações de autenticação da API não usem a senha de um app ou o código do dispositivo como alternativa. Eles podem consultar se um usuário está registrado, permitindo que o Optic ID, Face ID ou Touch ID sejam usados como um segundo fator em apps que requerem segurança.
Gerar e usar chaves de Criptografia de Curva Elíptica (ECC) dentro do Secure Enclave que podem ser protegidas pelo Optic ID, Face ID ou Touch ID. As operações com essas chaves são realizadas sempre dentro do Secure Enclave depois que ele autoriza o uso.
Realização e aprovação de compras
Usuários também podem configurar o Optic ID, Face ID ou Touch ID para aprovar compras na iTunes Store, App Store, Apple Books e outros locais, para que não precisem digitar a senha da Conta Apple. Quando compras são feitas, o Secure Enclave verifica a ocorrência de uma autorização biométrica e libera então as chaves de ECC usadas para assinar o pedido da loja.
Bloqueio e ocultação de apps
Em dispositivos com iOS 18, iPad OS 18 ou posteriores, é possível usar o Face ID e Touch ID para acessar apps que o usuário opta por bloquear ou ocultar.