Systemsikkerhed til watchOS
Apple Watch bruger mange af de samme hardwarebaserede funktioner i platformsikkerheden som iOS og iPadOS. Apple Watch gør f.eks. følgende:
Udfører sikker start og sikre softwareopdateringer
Opretholder operativsystemets integritet
Bidrager til at beskytte data, både på enheden og under kommunikation med en iPhone, den har dannet par med, eller internettet
De understøttede teknologier er anført under Systemsikkerhed (f.eks. KIP, SKP og SCIP) samt teknologier inden for Databeskyttelse, Nøglering og netværk.
Opdatering af watchOS
watchOS kan konfigureres til at blive opdateret i løbet af natten. Der er flere oplysninger om, hvordan Apple Watch-koden opbevares og bruges under opdateringen, i Nøglesamlinger.
Registrering af håndled
Hvis Registrering af håndled er slået til, låses enheden automatisk, kort efter at den er blevet fjernet fra brugerens håndled. Hvis Registrering af håndled er slået fra, kan Apple Watch låses ved hjælp af låsemuligheden i Kontrolcenter. Når Apple Watch er låst, kan Apple Pay kun bruges, hvis koden indtastes på Apple Watch. Registrering af håndled slås fra med appen Watch på iPhone. Denne indstilling kan også håndhæves vha. en tjeneste til enhedsadministration.
Aktiveringslås
Når Find er slået til på en iPhone, kan det Apple Watch, den er parret med, også bruge Aktiveringslås. Aktiveringslås gør det sværere for personer at bruge eller sælge et Apple Watch, som mistes eller bliver stjålet. Aktiveringslås kræver brugerens Apple-konto og den tilhørende adgangskode for at ophæve pardannelsen eller slette eller genaktivere et Apple Watch. Du kan få flere oplysninger i Sikkerhed i Aktiveringslås.
Sikker pardannelse med iPhone
Apple Watch kan kun danne par med en iPhone ad gangen. Når pardannelsen med Apple Watch ophæves, sender iPhone instruktioner om, at alt indhold og alle indstillinger skal slettes fra Apple Watch.
Pardannelse mellem Apple Watch og iPhone sikres vha. en hemmelighed kodet i et animeret mønster, der vises Apple Watch og registreres af kameraet på iPhone. Der er også en sekscifret PIN-kode tilgængelig som reservemetode til pardannelse, hvis det viser sig nødvendigt. Måden, som hemmeligheden eller PIN-koden bruges på, afhænger af operativsystemversionen, der afvikles på Apple Watch og iPhone.
Når Apple Watch med watchOS 26 og nyere versioner parres med iPhone med iOS 26 og nyere versioner, udføres pardannelsen ved at udveksle nøgler via en sikker IKEv2-forbindelse. Forbindelsen godkendes enten med standard PSK-godkendelse med hemmeligheden kodet i det animerede mønster eller med en forbindelsesspecifik hemmelighed, der afledes fra PIN-koden vha. SPAKE2+. ML-KEM-1024 bruges til at levere kvantesikkerhed i tillæg til sikkerheden fra Elliptic-Curve Diffie-Hellman.
Når forbindelsen er etableret, genererer hver enhed et tilfældigt Ed25519-par med offentlige-private nøgler, og de offentlige nøgler udveksles. De private nøgler er forankret i Secure Enclave på Apple Watch. Det er ikke muligt på iPhone, fordi en bruger, som gendanner sin iCloud-sikkerhedskopi på den samme iPhone, bevarer den eksisterende pardannelse med Apple Watch, uden at der er behov for overførsel. Hver enhed genererer og udveksler også nøgler til BLE 4.1 OOB-pardannelse.
Når Apple Watch og iPhone afvikler ældre softwareversioner, bruges hemmeligheden, der er kodet i det animerede mønster, til BLE 4.1 OOB-pardannelse, og den sekscifrede PIN-kode bruges til pardannelsesstandarden BLE-kodeoptegnelse. Når BLE-sessionen er etableret og krypteret vha. den protokol med størst sikkerhed, der er tilgængelig i BLE Core Specification, udveksler iPhone og Apple Watch nøgler på en af følgende måder:
Med en proces, der er tilpasset fra Apple Identity Service (IDS) som beskrevet i Oversigt over iMessage-sikkerhed.
Med en nøgleudveksling ved hjælp af IKEv2/IPSec. Den første udveksling af nøgler godkendes enten ved hjælp af Bluetooth-sessionsnøglen (i situationer med pardannelse) eller IDS-nøglerne (i situationer, hvor operativsystemet skal opdateres). Hver enhed genererer et Ed25519-par med offentlige-private nøgler, og de offentlige nøgler udveksles under den første nøgleudveksling. Første gang, der dannes par med et Apple Watch med watchOS 10 eller en nyere version, forankres de private nøgler i urets Secure Enclave.
På en iPhone med iOS 17 eller en nyere version forankres de private nøgler ikke i Secure Enclave, fordi en bruger, som gendanner sin iCloud-sikkerhedskopi på den samme iPhone, bevarer den eksisterende pardannelse med Apple Watch, uden at der er behov for overførsel.
Bemærk: Mekanismen, der bruges til nøgleudveksling og kryptering, varierer afhængigt af operativsystemets version på iPhone og Apple Watch. En iPhone med iOS 13 og nyere versioner, bruger kun IKEv2/IPSec til udveksling og kryptering af nøgler, når den er parret med et Apple Watch med watchOS 6.
Efter udvekslingen af nøgler:
Bluetooth-sessionsnøglen kasseres, og al kommunikation mellem iPhone og Apple Watch krypteres med en af de metoder, der er anført ovenfor. De krypterede forbindelser via Bluetooth, Wi-Fi og mobilnetværk udgør et sekundært krypteringslag.
BLE-enhedsadressen bliver også udskiftet med intervaller på 15 minutter for at mindske risikoen for, at enheden spores lokalt, hvis nogen udsender en vedholdende identifikator.
(Kun IKEv2/IPsec) Nøglerne opbevares i systemnøgleringen og bruges til at godkende efterfølgende IKEv2/IPsec-sessioner mellem enhederne. Kryptering mellem enheder afhænger af hardware og operativsystemer:
En iPhone med iOS 26 og nyere versioner, der er parret med et Apple Watch med watchOS 26 og nyere versioner, bruger ML-KEM-768 til kvantesikkerhed i tillæg til sikkerheden fra Elliptic Curve Diffie-Hellman.
En iPhone med iOS 15 og nyere versioner, som er parret med et Apple Watch Series 4 eller en nyere model med watchOS 8 og nyere versioner krypteres og integritetsbeskyttes ved hjælp af AES-256-GCM.
Ældre enheder eller enheder med ældre versioner af operativsystemet krypteres med ChaCha20-Poly1305 med 256-bit nøgler.
For at understøtte apps, der kræver streamingdata, leveres kryptering med metoder, der er beskrevet under FaceTime-sikkerhed, ved brug af den Apple Identity Service-tjeneste (IDS), som leveres af den iPhone, der er dannet par med, eller af en direkte internetforbindelse.
Apple Watch implementerer hardwarekrypteret lagringsplads og klassebaseret beskyttelse af arkiver og nøgleringsemner. Der bruges også nøglesamlinger med adgangskontrol til nøgleringsemner. De nøgler, der bruges til at kommunikere mellem Apple Watch og iPhone, sikres også vha. klassebaseret beskyttelse. Du kan få flere oplysninger i Nøglesamlinger til Databeskyttelse.
Godkend i macOS med Apple Watch
Når automatisk oplåsning med Apple Watch er slået til, kan Apple Watch bruges i stedet for eller sammen med Touch ID til at godkende adgang og beskeder om godkendelse fra:
macOS og Apple-apps, der beder om godkendelse
Tredjepartsapps, der beder om godkendelse
Gemte Safari-adgangskoder
Sikre noter
Sikker brug af Wi-Fi, mobilforbindelse, iCloud og Gmail
Når Apple Watch ikke er inden for Bluetooth-rækkevidde, kan Wi-Fi- eller mobilnetværk bruges i stedet. Apple Watch opretter automatisk forbindelse til Wi-Fi-netværk, der allerede har været forbindelse til på den parrede iPhone, og hvis godkendelsesoplysninger er blevet synkroniseret til Apple Watch, mens begge enheder var inden for rækkevidde. Denne funktion til automatisk forbindelse kan derefter konfigureres pr. netværk under Wi-Fi i appen Indstillinger på Apple Watch. Hvis ingen af enhederne tidligere har oprettet forbindelse til Wi-Fi-netværket, kan der manuelt oprettes forbindelse til netværket under Wi-Fi i Indstillinger på Apple Watch.
Når Apple Watch og iPhone er uden for rækkevidde, opretter Apple Watch direkte forbindelse til iCloud- og Gmail-servere for at hente e-mail, i stedet for at synkronisere e-maildata med den parrede iPhone via internettet. Når det gælder Gmail-konti, skal brugeren legitimere sig over for Google i Mail-delen af appen Watch på iPhone. Det OAuth-token, der modtages fra Google, sendes til Apple Watch i krypteret format via IDS (Apple Identity Service), så det kan bruges til at hente e-mail. Dette OAuth-token bruges aldrig til forbindelse med Gmail-serveren fra den parrede iPhone.