أمن الأنظمة لـ watchOS
تستخدم Apple Watch العديد من نفس إمكانات أمن النظام الأساسي القائمة على المكونات المادية التي يستخدمها iOS و iPadOS. على سبيل المثال، Apple Watch:
تنفّذ التمهيد الآمن وتحديثات البرامج الآمنة
تحافظ على تكامل نظام التشغيل
تساعد في حماية البيانات - سواء على الجهاز أو عند الاتصال بهاتف iPhone مقترن أو بالإنترنت
وتتضمن التقنيات المدعومة تلك التقنيات المدرجة في أمن الأنظمة (على سبيل المثال، KIP و SKP و SCIP) بالإضافة إلى حماية البيانات وسلسلة المفاتيح وتقنيات الشبكة.
تحديث watchOS
يمكن تكوين watchOS ليتم تحديثه خلال ساعات الليل. لمزيد من المعلومات حول كيفية تخزين رمز دخول Apple Watch واستخدامه أثناء التحديث، انظر حاويات المفاتيح.
اكتشاف المعصم
إذا تم تشغيل اكتشاف المعصم، يتم قفل الجهاز تلقائيًا بعد فترة وجيزة من إزالته من معصم المستخدم. وإذا تم إيقاف تشغيل اكتشاف المعصم، يوفر مركز التحكم خيارًا لقفل Apple Watch. عند قفل Apple Watch، لا يمكن استخدام Apple Pay إلا عن طريق إدخال رمز الدخول على Apple Watch. ويتم إيقاف اكتشاف المعصم باستخدام تطبيق Watch على الـ iPhone. يمكن أيضًا فرض هذا الإعداد باستخدام خدمة إدارة الجهاز.
قفل التنشيط
عند تشغيل تحديد الموقع لـ iPhone، تستطيع Apple Watch المقترنة به أيضًا استخدام ميزة قفل التنشيط. ويُصعّب قفل التنشيط على أي شخص استخدام أو بيع Apple Watch التي تعرضت للفقدان أو السرقة. يتطلب قفل التنشيط حساب Apple وكلمة السر الخاصين بالمستخدم لإلغاء إقران Apple Watch أو مسحها أو إعادة تنشيطها. لمزيد من المعلومات، انظر أمن قفل التنشيط.
الإقران الآمن مع الـ iPhone
يمكن إقران Apple Watch بجهاز iPhone واحد فقط في المرة الواحدة. عندما تكون Apple Watch غير مقترنة، يقوم الـ iPhone بإرسال التعليمات لمسح كل المحتوى والإعدادات من الساعة.
يتم تأمين إقران Apple Watch بالـ iPhone باستخدام سر مشفر في نمط متحرك تعرضه Apple Watch، والذي تلتقطه الكاميرا الموجودة في الـ iPhone. يتوفر أيضًا رمز PIN مكون من ستة أرقام كطريقة إقران احتياطية، إذا لزم الأمر. تعتمد الطريقة التي يُستخدم بها السر أو رمز PIN على إصدار نظام التشغيل الذي يعمل على Apple Watch والـ iPhone.
عند إقران Apple Watch بنظام watchOS 26 أو أحدث بجهاز iPhone بنظام iOS 26 أو أحدث، يتم إجراء الإقران عن طريق تبادل المفاتيح عبر اتصال IKEv2 آمن. يتم إجراء هذه المصادقة لهذا الاتصال إما باستخدام مصادقة PSK القياسية مع السر المشفر في النمط المتحرك، أو عن طريق سر خاص بالاتصال مشتق من رمز PIN باستخدام SPAKE2+. يُستخدم ML-KEM-1024 لتوفير أمن كمّي بالإضافة إلى الأمن الذي يوفرُه تبادل مفاتيح Diffie-Hellman باستخدام منحنى القطع الناقص.
بمجرد إنشاء الاتصال، يُنشئ كل جهاز أزواج مفاتيح (عامة-خاصة) عشوائية من نوع Ed25519، ويتم تبادل المفاتيح العامة. تتجذر المفاتيح الخاصة في Secure Enclave على Apple Watch. لا يعد هذا ممكنًا على iPhone لأن قيام المستخدم باستعادة نسخة iCloud Backup الاحتياطية الخاصة به إلى الـ iPhone نفسه يحافظ على اقتران Apple Watch الحالي دون الحاجة إلى إجراء عملية ترحيل. يقوم كل جهاز أيضًا بإنشاء وتبادل أسرار لعملية الإقران خارج النطاق الخاصة بتقنية BLE 4.1.
عندما تعمل Apple Watch وجهاز iPhone بإصدارات برمجية أقدم، يُستخدم السر المشفر في النمط المتحرك لإجراء الإقران خارج النطاق لتقنية BLE 4.1، ويُستخدم رمز PIN المكون من 6 أرقام لإجراء إقران إدخال مفتاح المرور القياسي لتقنية BLE. بعد إنشاء جلسة BLE وتشفيرها باستخدام أعلى بروتوكول أمني متاح في مواصفات Bluetooth الأساسية، ومفاتيح تبادل iPhone و Apple Watch باستخدام أي مما يلي:
عملية مقتبسة من خدمة الهوية من Apple (IDS) كما هو موضح في نظرة عامة على أمن iMessage.
تبادل مفاتيح باستخدام IKEv2/IPSec. تتم مصادقة تبادل المفاتيح الأولي باستخدام إما مفتاح جلسة Bluetooth (لسيناريوهات الاقتران) أو مفاتيح IDS (لسيناريوهات تحديث نظام التشغيل). ينشئ كل جهاز زوج مفاتيح Ed25519 خاص-عام وخلال عملية تبادل المفاتيح الأولية، يتم تبادل المفاتيح العامة. عند إقران Apple Watch التي تعمل بنظام watchOS 10 أو أحدث للمرة الأولى، يرجع جذر المفاتيح الخاصة إلى Secure Enclave.
على iPhone الذي يعمل بنظام iOS 17 أو أحدث، لا يرجع جذر المفاتيح الخاصة إلى Secure Enclave، لأن المستخدم الذي يستعيد نسخة iCloud الاحتياطية إلى iPhone نفسه يحافظ على اقتران Apple Watch الحالي دون الحاجة إلى إجراء نقل.
ملاحظة: تختلف الآلية المستخدمة لتبادل المفاتيح والتشفير، وذلك اعتمادًا على إصدارات نظام التشغيل الموجودة على الـ iPhone و Apple Watch. عند إقران جهاز iPhone بنظام iOS 13 أو أحدث مع Apple Watch بنظام watchOS 6 أو أحدث، يتم استخدام IKEv2/IPSec فقط لتبادل المفاتيح والتشفير.
بعد استبدال المفاتيح:
يتم تجاهل مفتاح جلسة Bluetooth ويتم تشفير جميع الاتصالات بين iPhone و Apple Watch باستخدام إحدى الطرق المذكورة أعلاه — مع Bluetooth المشفرة و Wi-Fi والروابط الخلوية التي توفر طبقة تشفير ثانوية.
يتم تدوير عنوان جهاز BLE أيضًا على فترات زمنية مدتها 15 دقيقة لتقليل مخاطر تعقب الجهاز محليًا إذا لجأ شخص ما إلى بث معرّف دائم.
(IKEv2/IPsec فقط) يتم تخزين المفاتيح في سلسلة مفاتيح النظام واستخدامها لمصادقة جلسات IKEv2/IPsec المستقبلية بين الأجهزة. يعتمد التشفير بين الأجهزة على الأجهزة وأنظمة التشغيل:
يستخدم جهاز iPhone بنظام iOS 26 أو أحدث المقترن بـ Apple Watch بنظام watchOS 26 أو أحدث معيار ML-KEM-768 لتوفير أمن كمّي بالإضافة إلى الأمن الذي يوفره تبادل مفاتيح Diffie-Hellman باستخدام منحنى القطع الناقص.
يتم تشفير وحماية سلامة الـ iPhone بنظام iOS 15 أو أحدث المقترن بـ Apple Watch Series 4 أو أحدث بنظام watchOS 8 أو أحدث باستخدام AES-256-GCM.
تستخدم الأجهزة الأقدم أو الأجهزة التي تعمل بإصدارات نظام تشغيل أقدم خوارزمية ChaCha20-Poly1305 مع مفاتيح بطول 256-بت.
لدعم التطبيقات التي تحتاج إلى تدفق البيانات، يتم توفير التشفير باستخدام الطرق الموضحة في أمن فيس تايم، وذلك باستخدام إما خدمة الهوية من Apple (IDS) التي يوفرها iPhone المقترن أو اتصال إنترنت مباشر.
تنفذ Apple Watch تخزينًا مشفرًا بالمكونات المادية وحماية على أساس الفئة للملفات وعناصر سلسلة المفاتيح. كما يتم استخدام حاويات المفاتيح التي يتم التحكم في الوصول إليها لعناصر سلسلة المفاتيح. يتم أيضًا تأمين المفاتيح المستخدمة للاتصال بين الـ Apple Watch والـ iPhone باستخدام الحماية المستندة إلى الفئة. لمزيد من المعلومات، انظر حافظات المفاتيح لحماية البيانات.
الموافقة في macOS باستخدام Apple Watch
عند تمكين فتح القفل التلقائي باستخدام Apple Watch، يمكن استخدام Apple Watch في مكانها أو مع بصمة الإصبع للموافقة على مطالبات التخويل والمصادقة من:
تطبيقات macOS و Apple التي تطلب التخويل
تطبيقات الجهات الخارجية التي تطلب المصادقة
كلمة سر سفاري المحفوظة
الملاحظات الآمنة
الاستخدام الآمن لـ Wi-Fi والبيانات الخلوية و iCloud و Gmail
عندما لا تكون Apple Watch ضمن نطاق Bluetooth، يمكن استخدام Wi-Fi أو الشبكة الخلوية بدلاً من ذلك. تنضم Apple Watch تلقائيًا إلى شبكات Wi-Fi التي تم الانضمام إليها بالفعل على الـ iPhone المقترن والتي تمت مزامنة بيانات اعتمادها مع Apple Watch أثناء وجود كلا الجهازين في النطاق. يمكن بعد ذلك تكوين سلوك الانضمام التلقائي على أساس كل-شبكة في قسم Wi-Fi في تطبيق إعدادات Apple Watch. ويمكن ربط شبكات Wi-Fi التي لم يتم الانضمام إليها من قبل على أي من الجهازين يدويًا في قسم Wi-Fi في تطبيق إعدادات Apple Watch.
عندما تكون Apple Watch والـ iPhone خارج النطاق، تتصل Apple Watch مباشرة بخوادم iCloud و Gmail لجلب البريد، بدلاً من مزامنة بيانات البريد مع الـ iPhone المقترن عبر الإنترنت. بالنسبة لحسابات Gmail، يجب على المستخدم المصادقة مع Google في قسم البريد في تطبيق Watch على الـ iPhone. يُرسل رمز OAuth الذي تم استلامه من Google إلى Apple Watch بتنسيق مشفر عبر خدمة الهوية من Apple (IDS) حتى يمكن استخدامه لجلب البريد. ولا يُستخدم رمز OAuth هذا مطلقًا للاتصال بخادم Gmail من الـ iPhone المقترن.