Secretive: Mac-App sichert SSH-Keys in Apples „Secure Enclave“

Apples Secure Enclave ist ein Coprozessor der auf bestimmten Apple-Geräten bereitsteht, hier vom Hauptprozessor isoliert arbeitet und sich unter anderem um das sichere Management von Schlüsseln kümmert, die zur Ver- bzw. Entschlüsselung zahlreicher privater Inhalte benötigt werden.

Die „Secure Enclave“ ist dabei nicht nur auf iPhone (iPhone 5s oder neuer), Apple Watch (4. Generation oder neuer), HomePod und Apple TV verfügbar, auch alle Macs die über einen T1-Chip oder einem Apple T2-Sicherheitschip verfügen, nutzen die „Secure Enclave“ im Alltag.

Solltet ihr über einen entsprechenden Rechner verfügen, dann könnt ihr die quelloffene Mac-App Secretive laden und dafür nutzen eure SSH-Keys ebenfalls in der „Secure Enclave“ des Macs zu verwalten.

Der kostenfreie Download installiert dafür einen Software-Helfer im Systemhintergrund, der eure SSH-Keys vor jedem Einsatz aus der „Secure Enclave“ abruft. Der Vorteil:

Das gebräuchlichste Sertup für SSH-Schlüssel besteht darin, sie einfach auf der Festplatte aufzubewahren und durch entsprechende Berechtigungen zu schützen. Das ist in den meisten Fällen in Ordnung, aber es ist für böswillige Benutzer oder Malware nicht besonders schwer, Ihren privaten Schlüssel zu kopieren. Wenn Sie Ihre Schlüssel in der Secure Enclave speichern, ist es von vornherein unmöglich, sie zu exportieren.

Sollte euer Mac keine „Secure Enclave“ besitzen, kann Secretive auch mit Smart Cards wie dem YubiKey genutzt werden.

Ein wichtiger Hinweis noch: Da die Inhalte der „Secure Enclave“ nicht exportierbar sind, können diese auch nicht gesichert oder auf einen neuen Rechner übertragen werden. Hier arbeitet ihr am besten mit eigenen SSH-Keys für jeden Rechner.