2025年11月24日 security

macOS Secure Enclave 存储 SSH 密钥：硬件防提取实战指南

用 Secretive 将 SSH 密钥存入 Secure Enclave，实现硬件级防提取。详解安装、生成、集成及迁移参数。

内容加载中...

在 macOS 上管理 SSH 密钥时，传统方式将私钥文件（如 ~/.ssh/id_rsa）暴露于多种风险：恶意软件通过提权读取、Time Machine 备份意外泄露，或设备被盗后分区挂载提取。这些问题源于文件存储的固有弱点，无法抵御 root 权限或物理访问攻击。

macOS 的 Secure Enclave（安全飞地）提供硬件根信任解决方案。它是集成于 Apple Silicon 或 T2 芯片的独立协处理器，所有密钥操作在隔离环境中完成。私钥永不出 enclave，即使内核 compromised 也无法提取。根据 Apple 文档，“Secure Enclave is designed to keep sensitive user data secure even when the Application Processor kernel becomes compromised”。

推荐使用开源工具 Secretive（GitHub 6.5k stars），专为 Secure Enclave 设计，支持 Touch ID 或 Apple Watch 验证。备选 SeKey（Rust 实现），但 Secretive 集成更佳。

安装与初始配置

通过 Homebrew 安装：
```
brew install --cask secretive
```
安装后启动 Secretive.app（/Applications）。
首次运行：
- 同意系统扩展权限（System Settings > Privacy & Security > Extensions）。
- 启用 “SSH Agent Integration”，自动设置 SSH_AUTH_SOCK 环境变量（~/Library/Containers/com.maxgoedjen.Secretive/Data/socket.ssh）。
- 配置验证方式：Touch ID（默认）、设备密码或 Apple Watch（需系统设置 > “Use Apple Watch to unlock apps and Mac”）。

验证代理：

echo $SSH_AUTH_SOCK  # 输出 socket.ssh 路径
ssh-add -l  # 初始为空

生成与管理密钥

Secretive 支持 ECDSA P-256（Secure Enclave 唯一硬件支持类型，不支持 RSA/Ed25519）。

在 App 主界面点击 “+ New Secret”。
输入名称（如 “GitHub-Work”、“Server-Prod”），用途备注。
访问策略（Access Policy）：

策略参数适用场景

Always Require 每次使用验证高敏服务器

Allow for 1 Hour 1h 内免验证开发工作流

Fully Trusted 无验证内部信任环境（慎用）
生成后，公钥自动保存：
```
~/Library/Containers/com.maxgoedjen.Secretive/Data/.ssh/secret_ecdsa_p256_<hash>.pub
```
复制公钥（cat 文件）到服务器 ~/.ssh/authorized_keys，或 GitHub/GitLab SSH Keys。

列出密钥：

ssh-add -l  # 显示指纹，如 256 SHA256:... (ECDSA)

SSH 与 Git 集成

编辑 ~/.ssh/config（chmod 600）：

Host github.com
  HostName github.com
  User git
  IdentityFile ~/Library/Containers/com.maxgoedjen.Secretive/Data/.ssh/secret_ecdsa_p256_abc123.pub
  IdentitiesOnly yes

Host myserver
  HostName 192.168.1.100
  User ubuntu
  IdentityFile ~/Library/Containers/com.maxgoedjen.Secretive/Data/.ssh/secret_ecdsa_p256_def456.pub
  IdentitiesOnly yes

测试：

ssh -T git@github.com  # 提示 Touch ID，成功 “Hi username!”
git clone git@github.com:user/repo.git  # 无缝

IDE 适配：

VS Code：内置终端继承 env；图形 Git 需 “Remote.SSH: Use Local Server” 或设置 SSH 路径。
JetBrains (IntelliJ/PyCharm)：Preferences > Version Control > Git > SSH executable: Native；添加 env SSH_AUTH_SOCK。
SourceTree：Tools > Options > General > Default SSH Client: System OpenSSH。

高级功能与监控

Apple Watch 解锁：生成密钥后首次使用提示配对，双击 Watch 侧键确认。阈值：系统级，1-5min 活跃。
多密钥轮换：创建主/备密钥（e.g., Work-Main/Work-Backup）。服务器 authorized_keys 保留两者。
智能卡 fallback（无 SE 旧 Mac）：Preferences > Smart Cards > 插入 YubiKey，初始化如 SE 密钥。
审计日志：~/Library/Logs/Secretive/，监控访问时间/App。启用通知：Preferences > Notifications > Detailed。

诊断：

ssh -Tv git@github.com  # 调试输出，检查 OfferKey/UseKey
launchctl list | grep Secretive  # 代理状态

重置：Help > Reset Secretive（重建代理）。

风险缓解与迁移

核心限制：密钥不可导出，无法备份私钥。新 Mac 需：

安装 Secretive，生成新密钥。
导出公钥，更新所有服务（GitHub: Settings > SSH Keys）。
旧公钥失效：服务器 rm authorized_keys 旧行。

最佳实践：

公钥指纹备份：ssh-keygen -lf pub_file.pub 保存 SHA256:... 到密码管理器。
轮换周期：90 天审视未用密钥，删除/重建。
回滚：保留传统文件密钥作为备（~/.ssh/id_rsa），config 中优先 SE（Match exec）。
容量：SE 有限槽位（~10-20），优先高价值密钥。

参数阈值清单：

参数	推荐值	理由
密钥类型	ECDSA P-256	SE 硬件最优
访问超时	1h	平衡便利/安全
通知	Detailed	实时审计
轮换间隔	90d	防长期暴露
备份	公钥指纹+2密钥	零私钥依赖

此方案将 SSH 安全提升至硬件级，防提取攻击。实际部署中，结合服务器 StrictHostKeyChecking yes 增强。

资料来源：

Secretive GitHub (github.com/maxgoedjen/Secretive)
Apple Platform Security Guide (support.apple.com/guide/security)