Apple-Geräte automatisch entsperren
Für noch mehr Komfort bei der Verwendung von mehreren Apple-Geräten können einige Geräte in bestimmten Situationen andere Geräte automatisch entsperren. Geräte können folgendermaßen automatisch entsperrt werden:
Eine Apple Watch kann mit einem iPhone entsperrt werden.
Ein Mac kann mit einer Apple Watch entsperrt werden.
Ein iPhone kann mit einer Apple Watch entsperrt werden, wenn Benutzer:innen eine Mund-Nasen-Bedeckung tragen.
Ein iPhone kann mit einer Apple Vision Pro entsperrt werden.
Ein iPhone kann mit einem Mac über die iPhone-Synchronisierung entsperrt und angezeigt werden.
Alle Anwendungsfälle basieren auf derselben Grundlage: ein gegenseitig authentifiziertes STS-Protokoll (Station-to-Station) mit Langzeitschlüsseln, die beim Aktivieren der Funktion ausgetauscht werden, und individuellen temporären Sitzungsschlüsseln, die für jede Anfrage ausgehandelt werden. Unabhängig vom Kommunikationskanal wird der STS-Tunnel direkt zwischen den Secure Enclaves der beiden Geräte ausgehandelt und das gesamte kryptografische Material verbleibt in dieser sicheren Domain (außer bei Mac-Computern ohne Secure Enclave, die den STS-Tunnel im Kernel auflösen).
Um ein Gerät mit einem anderen zu entsperren, müssen beide Geräte beim selben Apple Account mit der Zwei-Faktor-Authentifizierung angemeldet sein und Benutzer:innen müssen jede einzelne Entsperrbeziehung zwischen den beiden Geräten aktiviert haben.
Entsperren
Eine vollständige Sequenz zum Entsperren wird in zwei Phasen unterteilt.
Das zu entsperrende Gerät (das Ziel) erstellt ein kryptografisches Secret zum Entsperren und sendet dieses an das Gerät, das das Entsperren durchführt (der Initiator).
Der Initiator entsperrt mit dem zuvor erstellten Secret das Gerät.
Um die Geräte für das automatische Entsperren vorzubereiten, müssen die Geräte mit einer Bluetooth Low Energy (BLE)-Verbindung miteinander verbunden werden. Im Anschluss wird ein vom Zielgerät zufällig erstelltes, 32-Byte langes Secret zum Entsperren über den STS-Tunnel an den Initiator gesendet. Beim nächsten Entsperren mit biometrischen Daten oder einem Code verpackt das Zielgerät den codebasierten Schlüssel (PDK) mit dem Secret zum Entsperren und löscht das Secret zum Entsperren aus dem Speicher.
Zum Entsperren stellt das Gerät eine neue BLE-Verbindung her und verwendet dann ein Peer-to-Peer-WLAN, um auf sichere Weise die Entfernung zwischen den Geräten zu schätzen. Wenn sich die Geräte im spezifizierten Bereich befinden und die erforderlichen Sicherheitsrichtlinien erfüllt sind, sendet der Initiator das Secret zum Entsperren über den STS-Tunnel an das Ziel. Das Ziel erstellt dann ein neues 32-Byte langes Secret zum Entsperren und sendet es zurück an den Initiator. Wenn das aktuelle Secret zum Entsperren, das der Initiator gesendet hat, den Entsperreintrag erfolgreich entschlüsselt, wird das Zielgerät entsperrt und der PDK mit dem neuen Secret zum Entsperren verpackt. In einem letzten Schritt werden das neue Secret zum Entsperren und der PDK aus dem Speicher des Zielgeräts gelöscht.
Mac mit einer Apple Watch entsperren
Der oben beschriebene Entsperrungsablauf wird verwendet, wenn eine Apple Watch zum Entsperren eines gekoppelten Mac verwendet wird. Er kann auch zum Annehmen von Anfragen (z. B. Passwörter anzeigen oder Apps laden) verwendet werden, ohne ein Passwort eingeben zu müssen. Wenn die Apple Watch ein gekoppeltes iPhone erfolgreich entsperrt, wird auf der Apple Watch eine Mitteilung angezeigt und ein haptisches Signal ausgegeben.
Um einen gekoppelten Mac mit der Apple Watch erfolgreich zu entsperren, müssen alle folgenden Kriterien erfüllt sein:
Der Mac muss mindestens einmal mit einer anderen Methode entsperrt worden sein, nachdem die zugehörige Apple Watch am Handgelenk getragen und entsperrt wurde.
Die Distanz zwischen dem Mac und der Apple Watch darf höchstens 2-3 Meter betragen.
Die Apple Watch muss entsperrt sein.
Die Apple Watch kann sich nicht im Modus für die Schlafenszeit befinden.
iPhone mit einer Apple Watch entsperren
Beim Entsperren des iPhone mit einer Apple Watch gelten zusätzliche Sicherheitsrichtlinien. Wenn Benutzer:innen in der Mitteilung auf die Taste zum Sperren des iPhone tippen, sendet die Apple Watch dem iPhone einen Sperrbefehl via BLE. Nachdem der Sperrbefehl erhalten wurde, wird das iPhone gesperrt. Darüber hinaus werden Face ID und auch das Entsperren mit anderen verweigert. Das iPhone muss beim nächsten Mal mit dem Code des iPhone entsperrt werden. Die Apple Watch kann nicht anstelle von Face ID für andere Aufgaben auf dem iPhone verwendet werden, etwa für Apple Pay oder die Autorisierung von Apps. Wenn die Apple Watch ein gekoppeltes iPhone erfolgreich entsperrt, wird auf der Apple Watch eine Mitteilung angezeigt und ein haptisches Signal ausgegeben.
Um ein gekoppeltes iPhone mit der Apple Watch erfolgreich zu entsperren (wenn die Funktion aktiviert ist), müssen alle folgenden Kriterien erfüllt sein:
Das iPhone muss folgendermaßen entsperrt worden sein:
Mindestens einmal mit einer anderen Methode, nachdem die zugehörige Apple Watch am Handgelenk getragen und entsperrt wurde.
Mindestens einmal in den vergangenen sechseinhalb Stunden.
Die Apple Watch oder das iPhone müssen kürzlich entsperrt worden sein oder die Apple Watch muss physische Bewegungen erkannt haben, die darauf schließen lassen, dass die Person aktiv ist (und z. B. nicht schläft).
Die Sensoren müssen in der Lage sein, eine Mund-Nasen-Bedeckung zu erkennen.
Die Distanz zwischen dem iPhone und der Apple Watch darf höchstens 2-3 Meter betragen.
Die Apple Watch kann sich nicht im Modus für die Schlafenszeit befinden.
Das iPhone muss sich in einem Zustand befinden, in dem Face ID das Gerät entsperren darf. (Weitere Informationen sind unter Optic ID, Face ID, Touch ID, Codes und Passwörter zu finden.)
iPhone mit einer Apple Vision Pro entsperren
Ähnliche Sicherheitsrichtlinien gelten für das Entsperren des iPhone mit einer Apple Vision Pro. Benutzer:innen können ihre Apple Vision Pro mit einem iPhone koppeln, um das automatische Entsperren dieses iPhone durch die Apple Vision Pro zu aktivieren. Außerdem kann die Apple Vision Pro in unterstützten iPhone-Apps für die In-App-Authentifizierung verwendet werden. Wenn die Apple Vision Pro erfolgreich ein gekoppeltes iPhone entsperrt hat, wird auf der Apple Vision Pro eine Mitteilung angezeigt. Wenn Benutzer:innen in der Mitteilung auf die Taste zum Sperren des iPhone tippen, sendet die Apple Vision Pro dem iPhone einen Sperrbefehl via BLE. Nachdem der Sperrbefehl erhalten wurde, wird das iPhone gesperrt. Darüber hinaus werden Face ID und auch das Entsperren mit anderen verweigert. Das iPhone muss beim nächsten Mal mit dem Code des iPhone entsperrt werden. Die Apple Vision Pro kann nicht anstelle von Face ID auf dem iPhone für Apple Pay verwendet werden.
Um ein gekoppeltes iPhone mit der Apple Vision Pro erfolgreich zu entsperren (wenn die Funktion aktiviert ist), müssen alle folgenden Kriterien erfüllt sein:
Das iPhone muss, seitdem es gestartet wurde, mindestens einmal mit einer anderen Methode entsperrt worden sein.
Die Apple Vision Pro muss entsperrt sein und gerade verwendet werden.
Die Apple Vision Pro muss optisch erkennen, dass das iPhone maximal ungefähr einen Meter von dem:der Benutzer:in entfernt ist und dass die Person das iPhone ansieht.
Die Distanz zwischen dem iPhone und der Apple Vision Pro darf höchstens einen Meter betragen.
Das iPhone muss sich in einem Zustand befinden, in dem Face ID das Gerät entsperren darf. (Weitere Informationen sind unter Optic ID, Face ID, Touch ID, Codes und Passwörter zu finden.)
Apple Watch mit einem iPhone entsperren
Für noch mehr Komfort kann die Apple Watch direkt nach der Erstkonfiguration mit einem iPhone entsperrt werden, ohne dass Benutzer:innen dafür den Code auf der Apple Watch eingeben müssen. Um dies zu ermöglichen, wird das zufällig erstellte Secret zum Entsperren (das nach dem Aktivieren der Funktion und dem ersten Entsperrvorgang erstellt wird) verwendet, um einen langlebigen Escrow-Eintrag zu erstellen, der im Apple Watch-Keybag gesichert wird. Das Secret für den Escrow-Eintrag wird im iPhone-Schlüsselbund gesichert und nach jedem Neustart der Apple Watch verwendet, um selbstständig eine neue Sitzung zu erstellen.
Sicherheit der iPhone-Synchronisierung
Mit der iPhone-Synchronisierung können Benutzer:innen ihr iPhone auf einem Mac in ihrer Nähe verwenden. Während das iPhone auf dem Mac per Fernzugriff verwendet wird, bleibt es gesperrt. Benutzer:innen sehen eine dauerhafte Mitteilung auf dem Sperrbildschirm des iPhone. Nachdem das iPhone zum ersten Mal nach einer beendeten Sitzung entsperrt wird, wird ein Banner angezeigt.
Mitteilungsweiterleitung
Mit der iPhone-Synchronisierung können Benutzer:innen Mitteilungen von ihrem iPhone auf einen Mac, der denselben Apple Account verwendet, weiterleiten. Benutzer:innen, die auf Geräten mit demselben Apple Account angemeldet sind, tauschen kryptografische Identitäten über ein lokales Peer-To-Peer-Protokoll aus. Dieses Protokoll ist mit in iCloud gespeicherten Schlüsseln mit einer Ende-zu-Ende-Verschlüsselung verschlüsselt. Wenn Benutzer:innen die iPhone-Synchronisierung aktivieren und ihren Code auf dem iPhone eingeben, wird die aktuelle kryptografische Identität für den Mac aufgezeichnet. Der private Schlüssel für diese Identität wird in der Secure Enclave geschützt. Diese Identität wird angeheftet, sodass bei Änderungen keine Mitteilungen mehr an den Mac weitergeleitet werden. Mitteilungen werden bei der Übertragung mit einer Ende-zu-Ende-Verschlüsselung verschlüsselt.
Fernentsperrung
Die Fernentsperrung für die iPhone-Synchronisierung verwendet das gleiche Entsperrungsprotokoll wie beim Entsperren einer Apple Watch mit dem iPhone, wird jedoch initiiert, wenn Benutzer:innen die App „iPhone-Synchronisierung“ auf ihrem gekoppelten Mac aufrufen. Sichere Bereichsermittlung ist bei der iPhone-Synchronisierung nicht erforderlich.
Wenn Benutzer:innen die iPhone-Synchronisierung erstmals einrichten, werden sie aufgefordert, entweder „Automatisch authentifizieren“ oder „Jedes Mal fragen“ auszuwählen. Secure Enclave auf dem Mac setzt die Auswahl der Benutzer:innen durch und fordert sie dazu auf, ihr Mac-Passwort (oder Touch ID, sofern unterstützt) zu authentifizieren. Nachdem die Authentifizierungsrichtlinie vervollständigt ist, verbindet sich der Mac über eine lokale, drahtlose Peer-To-Peer-Verbindung mit dem iPhone und entsperrt den Keybag „iPhone“, um den Fernzugriff für die Dauer der Fernsitzung zu aktivieren.