Как полностью удалить данные Touch ID и Secure Enclave на Mac

Почему это важно

Даже после «чистой» переустановки macOS некоторые данные остаются вне основного диска. MacBook Pro с Touch Bar содержит дополнительный контроллер (T1 или T2), в котором располагается Secure Enclave — изолированное хранилище для криптографических ключей и сведений, связанных с Touch ID. Операционная система и обычные приложения не имеют прямого доступа к этим данным.

Apple поясняет:

Данные отпечатков пальцев шифруются, хранятся на устройстве и защищены ключом, доступным только Secure Enclave. Данные отпечатков пальцев используются только Secure Enclave для проверки соответствия. К ним нельзя получить доступ через ОС или приложения.

Важно: на компьютерах с чипом T2 ключ шифрования может храниться в Secure Enclave. Стирание этого ключа может сделать все данные на диске недоступными навсегда — даже если FileVault не включён.

Когда это нужно

• Вы продаёте или передаёте MacBook Pro с Touch Bar третьему лицу.
• Вы использовали сторонние утилиты или Target Disk Mode для очистки диска.
• Вы хотите убедиться, что все персональные биометрические данные удалены.

Подготовка перед стиранием

1. Сделайте резервную копию всех важных файлов (Time Machine, копирование на внешний диск или облако).
2. Убедитесь, что у вас есть доступ к учётной записи Apple ID и паролям, если потребуется удалять привязку к iCloud/Find My.
3. Отключите привязку к iCloud и выйдите из учётной записи, если планируете оставить устройство включённым для нового владельца.
4. Помните про риск: на Mac с чипом T2 стирание Secure Enclave может сделать данные диска недоступными навсегда.

Как стереть данные Secure Enclave и Touch ID

1. Перезагрузите Mac и удерживайте клавишу R при запуске, пока не появится загрузчик восстановления.
2. Когда начнётся установщик macOS, откройте Терминал: Утилиты > Терминал.

3. В Терминале выполните команду:

xartutil --erase-all

Важно: на компьютерах с чипом T2 эта команда, вероятно, приведёт к безвозвратной потере всех файлов на Mac, включая данные, защищённые Secure Enclave. Выполняйте только после резервного копирования и когда вы готовы потерять все локальные данные.

После выполнения команды данные, которые хранились в Secure Enclave (включая параметры Touch ID), будут удалены.

Что именно стирается и что остаётся

• Стирается: криптографические ключи и метаданные, используемые Secure Enclave для проверки Touch ID и других функций. Это делает ранее зарегистрированные отпечатки недействительными.
• Не стирается: ваши обычные файлы на диске, если вы не выполняли одновременную команду/операцию по удалению диска. Исключение — Mac с чипом T2, где стирание ключа может сделать данные диска недоступными.

Apple отмечает:

Touch ID никогда не хранит изображение отпечатка пальца — только математическое представление, которое невозможно обратимо восстановить.

Таким образом, даже при сохранённых данных Secure Enclave нет «фотографий» отпечатков — лишь модель для верификации.

Альтернативные подходы

• Стандартная переустановка macOS и стирание диска в Дисковой утилите: полезно, но не гарантирует очистку Secure Enclave.
• Сброс через режим восстановления с полной перезаписью диска (рисковый на T2).
• Использование Find My для удаления устройства и выхода из iCloud до передачи.

Когда это не сработает

• Если вы не загрузились в режим восстановления и выполнили только переустановку ОС из-под обычного пользователя.
• Если был использован сторонний метод, который вмешивался в Secure Enclave, но не выполнял корректное стирание ключей.
• Если у вас Mac с T2 и вы не выполняли резервное копирование — вы можете потерять данные, но не восстановить их.

Пошаговая методика (чёткий SOP)

1. Резервное копирование данных.
2. Отключение аккаунтов: iCloud, iMessage, iTunes (по необходимости).
3. Перезагрузка в Recovery Mode (удерживайте R).
4. Открыть Утилиты > Терминал.
5. Выполнить xartutil –erase-all.
6. При необходимости — выполнить стирание и переформатирование диска и/или полную переустановку macOS.
7. Проверить, что устройство не привязано к Apple ID (через iCloud) и готово к передаче.

Критерии приёмки

• Команда успешно выполнилась без ошибок.
• Touch ID в настройках системы не содержит зарегистрированных отпечатков.
• Владелец подтвердил наличие резервной копии всех нужных данных.
• Устройство удалено из учётной записи Apple ID предыдущего владельца.

Риск‑матрица и меры

• Риск: потеря данных на T2 — Монир. Уровень: высокий. Мера: обязательное резервное копирование, внимательное чтение предупреждений.
• Риск: неочищённый Secure Enclave — Уровень: средний. Мера: выполнить xartutil в Recovery Mode.
• Риск: ошибка пользователя при загрузке — Уровень: низкий. Мера: использовать пошаговый SOP и чек‑лист.

Чек‑лист перед передачей устройства

• Создана и проверена резервная копия.
• Вышли из iCloud и отключили Find My.
• Выполнена команда xartutil –erase-all в режиме восстановления.
• Проведена чистая переустановка macOS (при необходимости).
• Устройство проверено и готово к передаче.

Краткая терминология

• Secure Enclave — изолированная область процессора для хранения ключей и секретов.
• T1/T2 — контроллеры безопасности в Mac, управляющие Touch Bar и Secure Enclave.
• Touch ID — биометрическая система распознавания отпечатков.

Резюме

Стирание Secure Enclave с помощью xartutil –erase-all — надёжный способ удалить данные Touch ID перед передачей MacBook Pro. На компьютерах с чипом T2 операция несёт риск потери всех данных, поэтому резервное копирование и проверка привязки к Apple ID обязательны. Следуйте приведённому SOP и чек‑листу, чтобы минимизировать риски.

Важно: действуйте осторожно и планируйте резервное хранение данных до выполнения операций, затрагивающих Secure Enclave.