带有触摸ID或人脸ID的iPhone和Mac使用单独的处理器来处理您的生物特征信息。它被称为安全飞地，它基本上是一个完整的计算机本身，它提供了各种安全功能。

Secure Enclave将与设备的其他部分分开引导。它运行自己的微内核，操作系统或设备上运行的任何程序都无法直接访问它。有4MB的闪存，专门用来存储256位椭圆曲线私钥。这些密钥对于您的设备来说是唯一的，并且永远不会同步到云，甚至不会被您的设备的主操作系统直接看到。相反，系统要求安全Enclave使用密钥解密信息。

为什么存在安全飞地？

安全飞地使得黑客很难在没有物理访问您的设备的情况下解密敏感信息。因为secureenclave是一个独立的系统，而且您的主操作系统从来没有真正看到解密密钥，所以在没有适当授权的情况下解密数据非常困难。

值得注意的是，您的生物特征信息本身并没有存储在安全的Enclave上；4MB的存储空间不足以存储所有这些数据。相反，Enclave存储用于锁定生物特征数据的加密密钥。

第三方程序也可以在飞地中创建和存储密钥以锁定数据，但应用程序本身从未访问过密钥。相反，应用程序请求安全飞地加密和解密数据。这意味着使用飞地加密的任何信息都难以在任何其他设备上解密。

引用苹果为开发者提供的文档：

When you store a private key in the Secure Enclave, you never actually handle the key, making it difficult for the key to become compromised. Instead, you instruct the Secure Enclave to create the key, securely store it, and perform operati*** with it. You receive only the output of these operati***, such as encrypted data or a cryptographic signature verification outcome.

另外值得注意的是，secureenclave不能从其他设备导入密钥：它专门设计用于在本地创建和使用密钥。这使得解密任何设备上的信息非常困难，但创建信息的设备除外。

等等，安全飞地不是被黑了吗？

安全飞地是一个精心设计的设置，使黑客的生活非常困难。但没有完美的安全感，我们有理由认为最终会有人破坏这一切。

2017年夏天，热心黑客透露，他们成功解密了安全飞地的固件，这可能让他们了解飞地是如何运作的。我们确信苹果希望没有发生这种泄露，但值得注意的是，黑客们还没有找到一种方法来检索飞地上存储的加密密钥：他们只是解密固件本身。

在卖掉你的mac电脑之前先清理一下飞地

相关：如何清除MacBook的触摸栏和安全飞地数据

当您执行出厂重置时，iPhone上安全Enclave中的密钥将被擦除。理论上，当你重新安装macOS时，它们也应该被清除，但是苹果建议如果你使用的不是官方macOS安装程序，就清除Mac上的安全飞地。