Secure Enclave認証鍵
“Secure Enclave"とは何ですか?
Secure Enclaveはハードウェアベースの認証鍵管理方法で、メインプロセッサから分離されていることからより一層セキュリティが強化された方法です。Secure Enclaveが搭載されたMacまたはiOSデバイス上でPrompt 3を使用すると、そこから持ち出したり書き出したりできないデバイス固有の認証鍵を安全に生成することができます。
Secure Enclaveに保管された認証鍵は実際に直接扱われることが無いため非常にセキュアです。実際に扱わない代わりに固有の鍵が作成され、安全に保管され、その鍵を使用して処理を実行します。すべて暗号化されており、その暗号化されたデータや署名の検証結果などのみが出力されます。詳しくはAppleのガイドページをご参照ください。
Secure EnclaveがサポートされているApple製デバイスの詳細はAppleのガイドページをご参照ください。
認証鍵の生成
新しいSecure Enclave鍵を生成するには、Promptの設定/環境設定を開き、“認証鍵"タブから"取り消して再生成"ボタンを押します。
新しい認証鍵を生成する前に、以下にご注意ください:
- Promptは1度に1つの認証鍵のみSecure Enclaveで保存できます。2つ目の鍵をSecure Enclaveに生成しようとすると、既存の認証鍵は無効となります
- Secure Enclaveベースの認証鍵は常に
ecdsa-sha2-nistp256形式で生成されます - 設計上、Secure Enclaveに保存された認証鍵は他のデバイス用に書き出したり同期したりできません
- Secure Enclaveに保存されていた鍵が削除、または無効化されてもその認証鍵を復元できません。
認証鍵ペアの生成後、公開鍵はPrompt環境設定からコピーできます。
接続
Secure Enclave鍵を生成すると、認証鍵リストの最上部に表示されます。
割り当てるにはサーバ設定の編集中に鍵アイコンを選択し、“Secure Enclave"オプションを選択します。
Panic Sync
Secure Enclave鍵を使用するよう設定されたサーバ設定は、Panic Syncで接続情報のみ同期され、認証鍵は同期できません。
Secure Enclave鍵で接続する場合はデバイスごとに生成し、各鍵の公開鍵を保存先のホストに追加しておく必要があります。
トラブルシューティング
Promptのデータを新しいデバイスに移行した後、Secure Enclaveに保存されている鍵の使用時、認証に問題が生じる場合があります。その際は現在の認証鍵を取り消し、自動的に生成される新しい認証鍵をご利用ください。