Lås automatisk Apple-enheder op
For at gøre det nemmere at bruge flere Apple-enheder kan nogle enheder i visse situationer automatisk låse andre enheder op. Automatisk oplåsning kan udføres med følgende:
Et Apple Watch kan låses op af en iPhone.
En Mac kan låses op af et Apple Watch.
En iPhone kan låses op af et Apple Watch, når der registreres en bruger med tildækket næse og mund.
En iPhone kan låses op af en Apple Vision Pro.
En iPhone kan låses op og vises på en Mac vha. iPhone-skærmdublering.
Alle anvendelsesområder bygger på samme grundlag: En STS-protokol (Station-to-Station) med gensidig godkendelse, hvor der udveksles langtidsholdbare nøgler, når funktionen slås til, og unikke midlertidige sessionsnøgler for hver anmodning. Uanset den underliggende kommunikationskanal forhandles STS-tunnelen direkte mellem Secure Enclave i begge enheder, og alt kryptografisk materiale holdes inden for dette sikre domæne (bortset fra Mac-computere uden Secure Enclave, som afbryder STS-tunnelen i kernen).
Hvis du vil låse en enhed op med en anden enhed, skal begge enheder være logget ind på den samme Apple-konto med tofaktorgodkendelse, og brugeren skal slå hver specifik oplåsningsrelation mellem de to enheder til.
Oplåsning
Hele oplåsningsprocessen kan inddeles i to faser:
Enheden, der skal låses op (modtageren), danner en kryptografisk hemmelighed til oplåsning og sender den til den enhed, der skal foretage oplåsningen (iværksætteren).
Iværksætteren foretager oplåsningen ved hjælp af den hemmelighed, der blev dannet tidligere.
Enhederne opretter forbindelse til hinanden vha. en Bluetooth Low Energy-forbindelse (BLE) for at gøre enhederne klar til automatisk oplåsning. Derefter sendes en tilfældigt genereret hemmelighed på 32 byte til oplåsning til iværksætteren via STS-tunnelen. Under den næste oplåsning med biometrik eller adgangskode kombinerer målenheden sin nøgle afledt af kode (PDK) med hemmeligheden til oplåsning fra sin hukommelse.
Oplåsningen foretages, ved at enhederne opretter en ny BLE-forbindelse og derefter bruger Peer-to-Peer Wi-Fi til at anslå afstanden mellem dem på en sikker måde. Hvis enhederne er inden for den fastlagte rækkevidde, og de nødvendige sikkerhedspolitikker er overholdt, sender iværksætteren sin hemmelighed til oplåsning til modtageren via STS-tunnelen. Modtageren danner derefter en ny hemmelighed til oplåsning på 32 byte og sender til den iværksætteren. Hvis den aktuelle hemmelighed til oplåsning, der er sendt af iværksætteren, kan dekryptere oplåsningsposten, låses modtagerenheden, og PDK kombineres med en ny hemmelighed til oplåsning. Til sidst slettes den nye hemmelighed til oplåsning og PDK fra modtagerens hukommelse.
Oplåsning af Mac med Apple Watch
Oplåsningsprocessen, som er beskrevet ovenfor, anvendes, når et Apple Watch bruges til at låse en parret Mac op. Processen kan også bruges til at godkende appanmodninger, f.eks. visning af adgangskoder eller overførsler af apps, uden at det er nødvendigt at skrive en adgangskode. Når Apple Watch låser en parret iPhone op, vises en notifikation på uret, og der afspilles en tilhørende haptisk feedback.
Oplåsning af en parret Mac fra Apple Watch kræver, at alle følgende kriterier er opfyldt:
Mac skal låses op med en anden metode, mindst en gang efter at det tilknyttede Apple Watch blev sat på håndleddet og låst op.
Den målte afstand mellem Mac og Apple Watch må højst være 2-3 meter.
Apple Watch skal være låst op.
Funktionen Sengetid må ikke være slået til på Apple Watch.
Oplåsning af iPhone med Apple Watch
Der gælder ekstra sikkerhedspolitikker for oplåsning af iPhone med Apple Watch. Hvis brugeren trykker på knappen Lås iPhone i notifikationen, sender uret en låsekommando til iPhone via BLE. Når iPhone modtager låsekommandoen, låser den og tillader hverken Face ID og oplåsning ved hjælp af andre enheder. Den næste oplåsning af iPhone skal foretages med koden til iPhone. Apple Watch kan ikke bruges i stedet for Face ID på iPhone til andre funktioner som Apple Pay eller app-godkendelser. Når Apple Watch låser en parret iPhone op, vises en notifikation på uret, og der afspilles en tilhørende haptisk feedback.
Oplåsning af en parret iPhone fra Apple Watch (når funktionen er slået til), forudsætter, at alle følgende kriterier er opfyldt:
iPhone skal være blevet låst op:
med en anden metode, mindst en gang efter at det tilknyttede Apple Watch blev sat på håndleddet og låst op.
mindst en gang i løbet af de seneste 6 timer og 30 minutter.
Apple Watch eller iPhone skal have været låst op for nylig, eller Apple Watch skal have registreret fysisk bevægelse, der viser, at brugeren er aktiv (og ikke sover for eksempel).
Sensorer skal kunne registrere, at næse og mund er tildækket.
Den målte afstand mellem iPhone og Apple Watch må højst være 2-3 meter.
Funktionen Sengetid må ikke være slået til på Apple Watch.
iPhone skal være i en tilstand, hvor Face ID har tilladelse til at foretage en oplåsning af enheden. (Du kan få flere oplysninger i Optic ID, Face ID, Touch ID, koder og adgangskoder).
Oplåsning af iPhone med Apple Vision Pro
Der gælder lignende sikkerhedspolitikker for oplåsning af iPhone med Apple Vision Pro. Brugeren kan parre sin Apple Vision Pro med en iPhone for at slå automatisk oplåsning af den iPhone med Apple Vision Pro til og til godkendelse i apps vha. Apple Vision Pro i understøttede apps på iPhone. Når Apple Vision Pro låser en parret iPhone op, viser Apple Vision Pro en notifikation. Hvis brugeren trykker på knappen Lås iPhone i notifikationen, sender Apple Vision Pro en låsekommando til iPhone via BLE. Når iPhone modtager låsekommandoen, låser den og tillader hverken Face ID og oplåsning ved hjælp af andre enheder. Den næste oplåsning af iPhone skal foretages med koden til iPhone. Apple Vision Pro kan ikke bruges i stedet for Face ID på iPhone til Apple Pay.
Oplåsning af en parret iPhone fra Apple Vision Pro (når funktionen er slået til), forudsætter, at alle følgende kriterier er opfyldt:
iPhone skal låses op med en anden metode, mindst en gang efter at den startede.
Apple Vision Pro skal være låst op og i brug.
Apple Vision Pro skal optisk registrere, at afstanden mellem iPhone og brugeren højst er ca. en meter, og at brugeren kigger på den pågældende iPhone.
Den målte afstand mellem iPhone og Apple Vision Pro må højst være ca. en meter.
iPhone skal være i en tilstand, hvor Face ID har tilladelse til at foretage en oplåsning af enheden. (Du kan få flere oplysninger i Optic ID, Face ID, Touch ID, koder og adgangskoder).
Oplåsning af Apple Watch med iPhone
Af praktiske hensyn kan Apple Watch låses op af en iPhone lige efter den første start, uden at brugeren skal skrive koden på Apple Watch. Det opnås ved, at den tilfældige hemmelighed til oplåsning (der blev genereret under den allerførste oplåsningsproces, efter at funktionen blev slået til) bruges til at oprette en langtidsholdbar deponeringspost, som opbevares i nøglesamlingen Apple Watch. Hemmeligheden i deponeringsposten opbevares i nøgleringen på iPhone og bruges til at igangsætte en ny session efter hver genstart af Apple Watch.
Sikkerhed til iPhone-skærmdublering
Med iPhone-skærmdublering kan en bruger bruge sin iPhone fra sin Mac-computer i nærheden. Mens iPhone bruges eksternt på Mac-computeren, forbliver iPhone låst, og brugerne ser en vedholdende notifikation på låseskærmen. Der vises et banner første gang iPhone låses op, efter at en session er sluttet.
Videresendelse af notifikationer
iPhone-skærmdublering giver brugerne mulighed for at videresende notifikationer fra iPhone til en Mac vha. den samme Apple-konto. Brugere, der er logget ind på enheder med samme Apple-konto, udveksler kryptografiske identiteter vha. en lokal peer-to-peer-protokol, som er krypteret vha. nøgler i iCloud med peer-to-peer-kryptering. Når brugeren slår iPhone-skærmdublering til og skriver sin kode på iPhone, registreres den aktuelle kryptografiske identitet for Mac-computeren. Den private nøgle til denne identitet beskyttes i Secure Enclave. Identiteten fastgøres, så hvis den bliver ændret, videresendes der ikke notifikationer til Mac-computeren. Notifikationer krypteres under overførslen vha. end-to-end-kryptering.
Ekstern oplåsning
Ekstern oplåsning til iPhone-skærmdublering bruger den samme protokol til ekstern oplåsning som oplåsning af iPhone med Apple Watch, men igangsættes af brugeren, som starter appen til iPhone-skærmdublering på sin parrede Mac. Sikker placeringssporing kræves ikke til iPhone-skærmdublering.
Når brugere indstiller iPhone-skærmdublering for første gang, bliver brugerne bedt om at vælge enten ”Godkend automatisk” eller ”Spørg hver gang”. Secure Enclave på Mac håndhæver brugerens valg og beder brugeren om at godkende vha. adgangskoden til Mac (eller Touch ID, hvis funktionen understøttes). Når godkendelsespolitikken er fuldført, opretter Mac-computeren forbindelse til iPhone vha. en lokal, trådløs peer-to-peer-forbindelse og låser iPhone-nøglesamlingen op for at slå fjernadgang til for fjernsessionens varighed.