Native Secure Enclave backed SSH keys on macOS

В macOS Tahoe появилась нативная поддержка SSH-ключей, хранимых в Secure Enclave, с защитой биометрией (Touch ID). Это заменяет сторонние проекты вроде Secretive. Библиотека /usr/lib/ssh-keychain.dylib реализует SecurityKeyProvider для прямого доступа к анклаву, аналогично FIDO2-устройствам (YubiKey).

Создать ключ: sc_auth create-ctk-identity -l ssh -k p-256-ne -t bio. Проверить: sc_auth list-ctk-identities (показывает хэш публичного ключа, тип p-256-ne, срок до 23.11.26) или -t ssh для отпечатков (SHA256:...). Удалить: sc_auth delete-ctk-identity -h <хэш>.

Для SSH: ssh-keygen -w /usr/lib/ssh-keychain.dylib -K -N "" скачивает пару ключей (sk-ecdsa-sha2-nistp256@openssh.com), запрашивая пустой PIN и Touch ID. Подробности в man sc_auth и man ssh-keychain.

Комментарии (181)

Новая фича macOS (Sequoia): нативное создание SSH-ключей в Secure Enclave через sc_auth, приватный ключ не экспортируется для повышения безопасности.
Преимущества над YubiKey/Secretive: проще настройка без доп. агентов, биометрия; рекомендации использовать несколько ключей или SSH CA для бэкапа.
Обсуждение ограничений: нет поддержки GPG нативно, только NIST-кривые (p-256/p-384), вопросы по iPhone/iCloud; аналоги на Linux (TPM), Windows.
Положительные отзывы, ссылки на гиды (YubiKey-Guide), инструменты (KeyMux, sks); критика NIST-кривих как потенциально уязвимых.