Desbloquear automáticamente dispositivos Apple
Para mayor comodidad al usar varios dispositivos Apple, algunos dispositivos pueden desbloquear otros automáticamente en determinadas situaciones. El desbloqueo automático se puede realizar de las siguientes maneras:
Un iPhone puede desbloquear un Apple Watch
Un Apple Watch puede desbloquear una Mac
Un Apple Watch puede desbloquear un iPhone cuando se detecta que el usuario utiliza cubrebocas
Un iPhone puede desbloquear un Apple Vision Pro.
Una Mac puede desbloquear y duplicar la pantalla de un iPhone utilizando Duplicación del iPhone.
Los casos de uso están basados en el mismo fundamento: un protocolo de estación a estación (STS) autenticado mutuamente, con claves a largo plazo intercambiadas en el momento de la activación de la función y claves de sesión efímeras únicas negociadas para cada solicitud. Independientemente del canal de comunicación subyacente, el túnel STS se negocia directamente entre los Secure Enclave en ambos dispositivos, y todo el material criptográfico se mantiene dentro de ese dominio seguro (con la excepción de las computadoras Mac que no tienen Secure Enclave, que terminan el túnel STS en el kernel).
Para desbloquear un dispositivo con otro, ambos dispositivos deben tener sesión iniciada con la misma cuenta de Apple usando la autenticación de dos factores, y el usuario debe habilitar cada relación de desbloqueo específica entre los dos dispositivos.
Desbloqueo
Una secuencia de desbloqueo completa se puede dividir en dos fases:
El dispositivo que se desbloquea (el objetivo) genera un secreto de desbloqueo criptográfico y lo envía al dispositivo que realiza el desbloqueo (el iniciador);
El iniciador realiza el desbloqueo utilizando el secreto generado previamente.
Para prepararse para el desbloqueo automático, los dispositivos se conectan entre sí usando una conexión Bluetooth de bajo consumo (BLE). Después, mediante el túnel STS, se envía al iniciador un secreto de desbloqueo de 32 bytes generado de forma aleatoria por el dispositivo de destino. Durante el siguiente desbloqueo biométrico o mediante código, el dispositivo de destino envuelve su clave derivada del código (PDK) con el secreto de desbloqueo y descarta el secreto de desbloqueo de su memoria.
Para realizar el desbloqueo, los dispositivos inician una nueva conexión BLE y luego utilizan la red Wi-Fi de punto a punto para aproximar de forma segura la distancia entre ellos. Si los dispositivos están dentro de radio especificado y se cumplen las políticas de seguridad requeridas, el iniciador envía su secreto de desbloqueo al objetivo a través del túnel STS. A continuación, el objetivo genera un nuevo secreto de desbloqueo de 32 bytes y lo devuelve al iniciador. Si el secreto de desbloqueo actual enviado por el iniciador desencripta correctamente el registro de desbloqueo, el dispositivo de destino se desbloquea y la PDK se vuelve a encapsular con un nuevo secreto de desbloqueo. Finalmente, el nuevo secreto de desbloqueo y la PDK se descartan de la memoria del objetivo.
Desbloqueo de la Mac con el Apple Watch
El proceso de desbloqueo descrito anteriormente se usa cuando se usa un Apple Watch para desbloquear la Mac enlazada, y también se puede usar para aprobar solicitudes de apps, como ver contraseñas o descargar una app, sin tener que ingresar una contraseña. Cuando el Apple Watch desbloquea un iPhone enlazado, el reloj muestra una notificación y emite una vibración asociada.
Desbloquear una Mac enlazada mediante un Apple Watch requiere que se cumplan todos los siguientes criterios:
La Mac debe haberse desbloqueado con otro método al menos una vez después de que el Apple Watch asociado se haya colocado en la muñeca y se haya desbloqueado.
La distancia entre la Mac y el Apple Watch debe ser de 2 a 3 metros como máximo.
El Apple Watch debe estar desbloqueado.
El Apple Watch no puede estar en el modo Hora de dormir.
Desbloqueo del iPhone con el Apple Watch
Se aplican políticas de seguridad adicionales para el desbloqueo del iPhone con el Apple Watch. Si el usuario toca el botón Bloquear iPhone de la notificación, el reloj envía un comando de bloqueo al iPhone mediante BLE. Cuando el iPhone recibe este comando, se bloquea y desactiva tanto Face ID como el desbloqueo con con otros dispositivos; y además, el próximo desbloqueo del iPhone deberá realizarse mediante su código. El Apple Watch no puede usarse en lugar de Face ID en el iPhone para otras operaciones, como para Apple Pay o autorizaciones en apps. Cuando el Apple Watch desbloquea un iPhone enlazado, el reloj muestra una notificación y emite una vibración asociada.
Desbloquear un iPhone enlazado mediante un Apple Watch (cuando está activada la función) requiere que se cumplan todos los siguientes criterios:
El iPhone debe haberse desbloqueado:
Con otro método al menos una vez después de que el Apple Watch asociado se haya colocado en la muñeca y se haya desbloqueado.
Al menos una vez en las últimas 6.5 horas.
El Apple Watch o el iPhone deben haberse desbloqueado recientemente, o bien el Apple Watch debe haber experimentado un movimiento físico que indique que el usuario está activo (por ejemplo, que no está durmiendo).
Los sensores deben poder detectar que la nariz y la boca están cubiertas.
La distancia entre el iPhone y el Apple Watch debe ser de 2 a 3 metros como máximo.
El Apple Watch no puede estar en el modo Hora de dormir.
El iPhone debe estar en un estado en el que Face ID tenga permitido realizar un desbloqueo del dispositivo (para obtener más información, consulta Optic ID, Face ID, Touch ID, códigos y contraseñas).
Desbloqueo del iPhone con el Apple Vision Pro
Se aplican políticas de seguridad similares para el desbloqueo del iPhone con el Apple Vision Pro. El usuario puede enlazar su Apple Vision Pro con un iPhone para habilitar el desbloqueo automático de ese iPhone mediante el Apple Vision Pro, así como para usar la autenticación dentro de apps compatibles con el Apple Vision Pro. Cuando el Apple Vision Pro desbloquea correctamente un iPhone enlazado, el Apple Vision Pro muestra una notificación. Si el usuario toca el botón Bloquear iPhone de la notificación, el Apple Vision Pro envía un comando de bloqueo al iPhone mediante BLE. Cuando el iPhone recibe este comando, se bloquea y desactiva tanto Face ID como el desbloqueo con con otros dispositivos; y además, el próximo desbloqueo del iPhone deberá realizarse mediante su código. El Apple Vision Pro no puede usarse en lugar de Face ID en el iPhone para Apple Pay.
Desbloquear un iPhone enlazado mediante un Apple Vision Pro (cuando está activada la función) requiere que se cumplan todos los siguientes criterios:
El iPhone debe desbloquearse con otro método al menos una vez desde que arrancó.
El Apple Vision Pro debe estar desbloqueado y en uso.
El Apple Vision Pro debe detectar ópticamente que el iPhone se encuentra a aproximadamente un metro o menos del usuario y que este está mirando dicho iPhone.
La distancia entre el iPhone y el Apple Vision Pro no debe superar un metro.
El iPhone debe estar en un estado en el que Face ID tenga permitido realizar un desbloqueo del dispositivo (para obtener más información, consulta Optic ID, Face ID, Touch ID, códigos y contraseñas).
Desbloqueo del Apple Watch con el iPhone
Para mayor comodidad, un iPhone puede desbloquear un Apple Watch directamente después del arranque inicial sin necesidad de que el usuario ingrese el código en el Apple Watch. Para lograr esto, el secreto de desbloqueo aleatorio (generado durante la primera secuencia de desbloqueo después de la activación de la función) se utiliza para crear un registro de custodia a largo plazo, que se almacena en el repositorio de claves del Apple Watch. El secreto del registro en custodia se almacena en el llavero del iPhone y se usa para iniciar una nueva sesión después de cada reinicio del Apple Watch.
Seguridad de la duplicación del iPhone
La duplicación del iPhone permite al usuario usar su iPhone desde su Mac cercana. Mientras se usa de forma remota en la Mac, el iPhone permanece bloqueado y los usuarios ven una notificación persistente en la pantalla bloqueada del iPhone. Y se muestra una tira la primera vez que se desbloquea el iPhone después de finalizar una sesión.
Reenvío de notificaciones
La duplicación del iPhone permite al usuario reenviar las notificaciones de su iPhone a una Mac en la que haya iniciado sesión con la misma cuenta de Apple. Al iniciar sesión en dispositivos con la misma cuenta de Apple, se intercambian identidades criptográficas mediante un protocolo de punto a punto local, encriptado con claves almacenadas en iCloud mediante encriptación de extremo a extremo. Cuando el usuario activa la duplicación del iPhone e ingresa su código en el iPhone, se registra la identidad criptográfica actual para la Mac. La clave privada de esta identidad está protegida en el Secure Enclave. Además, se ancla esta identidad para que, si cambia, las notificaciones no se reenvíen a la Mac. Las notificaciones se encriptan en tránsito usando encriptación de extremo a extremo.
Desbloqueo remoto
El desbloqueo remoto para la duplicación del iPhone utiliza el mismo protocolo de desbloqueo remoto que se indica en la sección Desbloqueo del iPhone con el Apple Watch, pero se inicia cuando el usuario inicia la app Duplicación del iPhone en su Mac enlazada. La duplicación del iPhone no requiere un alcance seguro.
Cuando los usuarios configuran la duplicación del iPhone por primera vez, se les pide que elijan entre Autenticar automáticamente, o Preguntar cada vez. El Secure Enclave en la Mac aplica esta elección del usuario y le pide que se autentique usando su contraseña de Mac (o Touch ID si es compatible). Una vez completada la política de autenticación, la Mac se conecta al iPhone mediante una conexión local inalámbrica de punto a punto y desbloquea el llavero del iPhone para permitir el acceso remoto mientras dure la sesión remota.