« Tüm yayınlar

iOS 26'da Secure Enclave İçinde Kalan Post-Kuantum İmza Anahtarları

iOS 26, Secure Enclave içinde ML-DSA post-kuantum imzalama sunarken Android ML-KEM'i uygulamalara açmıyor. Yeni bir Capacitor eklentisi bu farkı güvenli şekilde kapatıyor.

iOS 26 ile CryptoKit, mevcut P256 API'siyle aynı yapıda ML-DSA (FIPS 204) post-kuantum imzalama anahtarlarını doğrudan Secure Enclave içinde destekliyor. Özel anahtar SEP içinde üretiliyor, asla düz metin olarak dışarı çıkmıyor ve Face ID doğrulaması uygulama kodu değil donanımın kendisi tarafından zorunlu kılınıyor.

Bir geliştirici bu yeteneği çapraz platform uygulamalara taşımak için bir Capacitor eklentisi geliştirirken kritik bir asimetri ortaya çıkardı: Android Keystore, işlem başına biyometrik doğrulamayla ML-DSA'yı destekliyor ancak ML-KEM (FIPS 203) anahtar kapsülleme algoritmasını uygulama koduna hiç açmıyor; oysa aynı güvenli donanım bunu attestation ve TLS için dahili olarak zaten kullanıyor.

Bu boşluğu kapatmak için eklenti, ML-KEM'i yazılımda (BouncyCastle ile) uyguluyor ve özel anahtarı diskte saklarken, doğrulama gerektiren Keystore tabanlı bir AES anahtarıyla şifreliyor. Rootlu cihazlarda callback kancalama yoluyla biyometrik kontrolü atlatan bilinen bir güvenlik açığını (GHSA-vx5f-vmr6-32wf) engellemek için BiometricPrompt'ta CryptoObject deseni kullanılıyor.

iOS tarafındaki davranış gerçek donanımda doğrulanmışken, Android tarafı yalnızca yazılım tabanlı KeyMint çalıştıran bir emülatörde test edilebilmiş durumda. Eklenti, entegratörlerin pazarlama vaatlerine değil gerçek attestation durumuna güvenmesi için çalışma zamanında bir hardwareBacked bayrağı sunuyor.