Desbloquear automáticamente los dispositivos Apple
Para mayor comodidad al usar varios dispositivos Apple, algunos dispositivos pueden desbloquear otros automáticamente en determinadas situaciones. El desbloqueo automático se puede hacer con lo siguiente:
Un iPhone puede desbloquear un Apple Watch.
Un Apple Watch puede desbloquear un Mac.
Un Apple Watch puede desbloquear un iPhone si se detecta que el usuario tiene la nariz y la boca tapadas.
Un Apple Vision Pro puede desbloquear un iPhone.
Un iPhone se puede desbloquear y ver en un Mac usando la app Duplicación del iPhone.
Todos los casos se fundamentan sobre la misma base: un protocolo de estación a estación de autenticación mutua, con intercambio de claves a largo plazo en el momento de la activación de la función y claves de sesión efímeras únicas negociadas para cada solicitud. Independientemente del canal de comunicación subyacente, el túnel STS se negocia directamente entre los procesadores Secure Enclave de ambos dispositivos y todo el material criptográfico se conserva en ese dominio seguro (con la excepción de los ordenadores Mac sin Secure Enclave, que terminan el túnel STS en el kernel).
Para desbloquear un dispositivo con otro, se debe haber iniciado sesión en la misma cuenta de Apple en los dos dispositivos con la autenticación de doble factor y el usuario necesita activar cada relación de desbloqueo específica entre los dos dispositivos.
Desbloqueo
Una secuencia de desbloqueo completa puede dividirse en dos fases.
El dispositivo que se desbloquea (el destino) genera un secreto de desbloqueo criptográfico y lo envía al dispositivo que realiza el desbloqueo (el iniciador).
El iniciador realiza el desbloqueo con el secreto generado previamente.
Para preparar los dispositivos para que se desbloqueen automáticamente, los dispositivos se conectan entre sí mediante una conexión Bluetooth de baja energía (BLE). A continuación, un secreto de desbloqueo de 32 bytes generado aleatoriamente por el dispositivo de destino se envía al iniciador a través del túnel STS. Durante el siguiente desbloqueo biométrico o con código, el dispositivo de destino encapsula su clave derivada del código (PDK) con el secreto de desbloqueo y descarta el secreto de desbloqueo de su memoria.
Para realizar el desbloqueo, los dispositivos inician una nueva conexión BLE y, a continuación, usan Wi-Fi P2P para estimar con seguridad la distancia entre sí. Si los dispositivos se encuentran dentro del alcance especificado y se cumplen las políticas de seguridad necesarias, el iniciador envía su secreto de desbloqueo al destino a través del túnel STS. A continuación, el destino genera un nuevo secreto de desbloqueo de 32 bytes que devuelve al iniciador. Si el secreto de desbloqueo actual enviado por el iniciador desencripta correctamente el registro de desbloqueo, el dispositivo de destino se desbloquea y la PDK se vuelve a encapsular con un secreto de desbloqueo nuevo. Por último, el nuevo secreto de desbloqueo y la PDK se descartan de la memoria del destino.
Desbloquear el Mac con el Apple Watch
El flujo de desbloqueo descrito anteriormente se emplea cuando se usa un Apple Watch para desbloquear un Mac enlazado y también se puede usar para aprobar solicitudes de apps (como ver contraseñas o descargar una app) sin tener que introducir una contraseña. Cuando el Apple Watch desbloquea correctamente un iPhone enlazado, el reloj muestra una notificación y reproduce el patrón háptico asociado.
El correcto desbloqueo de un Mac enlazado desde el Apple Watch requiere que se cumplan los siguientes criterios:
Es necesario desbloquear el Mac con otro método al menos una vez desde que el Apple Watch asociado se haya puesto en la muñeca y desbloqueado.
La distancia medida entre el Mac y el Apple Watch debe ser de 2 o 3 metros como máximo.
El Apple Watch debe estar desbloqueado.
El Apple Watch no puede encontrarse en el modo Sueño.
Desbloquear el iPhone con el Apple Watch
Para el desbloqueo del iPhone con el Apple Watch se aplican políticas de seguridad adicionales. Si el usuario pulsa el botón “Bloquear iPhone” de la notificación, el reloj envía al iPhone un comando de bloqueo a través de BLE. Cuando el iPhone recibe el comando de bloqueo, se bloquea y no permite Face ID ni el desbloqueo con otros dispositivos. El siguiente desbloqueo del iPhone necesita realizarse con el código del iPhone. El Apple Watch no puede usarse en lugar de Face ID en el iPhone para otras operaciones, como para Apple Pay o para autorizaciones de apps. Cuando el Apple Watch desbloquea correctamente un iPhone enlazado, el reloj muestra una notificación y reproduce el patrón háptico asociado.
El correcto desbloqueo de un iPhone enlazado desde el Apple Watch (cuando está activado) requiere que se cumplan todos los siguientes criterios:
El iPhone necesita haberse desbloqueado:
con otro método al menos una vez desde que el Apple Watch asociado se haya puesto en la muñeca y desbloqueado;
al menos una vez en las últimas 6,5 horas.
El Apple Watch o el iPhone necesitan haberse desbloqueado recientemente, o bien el Apple Watch necesita haber experimentado movimiento físico, lo que indica que el usuario que lo lleva puesto está activo (por ejemplo, que no está dormido).
Los sensores necesitan poder detectar que la nariz y la boca están tapadas.
La distancia medida entre el iPhone y el Apple Watch debe ser de 2 o 3 metros como máximo.
El Apple Watch no puede encontrarse en el modo Sueño.
El iPhone necesita encontrarse en un estado que permita realizar un desbloqueo del dispositivo con Face ID (para obtener más información, consulta Optic ID, Face ID, Touch ID, códigos y contraseñas).
Desbloquear el iPhone con el Apple Vision Pro
Para desbloquear el iPhone con el Apple Vision Pro se aplican políticas de seguridad similares. El usuario puede enlazar el Apple Vision Pro con un iPhone para activar el desbloqueo automático de ese iPhone con el Apple Vision Pro y para la autenticación desde apps mediante el Apple Vision Pro en las apps compatibles del iPhone. Cuando el Apple Vision Pro desbloquea correctamente un iPhone enlazado, el Apple Vision Pro muestra una notificación. Si el usuario pulsa el botón “Bloquear iPhone” de la notificación, el Apple Vision Pro envía al iPhone un comando de bloqueo a través de BLE. Cuando el iPhone recibe el comando de bloqueo, se bloquea y no permite Face ID ni el desbloqueo con otros dispositivos. El siguiente desbloqueo del iPhone necesita realizarse con el código del iPhone. El Apple Vision Pro no puede usarse en lugar de Face ID en el iPhone para Apple Pay.
El correcto desbloqueo de un iPhone enlazado desde el Apple Vision Pro (cuando está activado) requiere que se cumplan todos los siguientes criterios:
Es necesario desbloquear el iPhone con otro método al menos una vez desde su arranque.
El Apple Vision Pro debe estar desbloqueado y en uso.
El Apple Vision Pro necesita detectar ópticamente que el iPhone está aproximadamente a un metro del usuario como máximo y que el usuario está mirando dicho iPhone.
La distancia medida entre el iPhone y el Apple Vision Pro debe ser aproximadamente de un metro como máximo.
El iPhone necesita encontrarse en un estado que permita realizar un desbloqueo del dispositivo con Face ID (para obtener más información, consulta Optic ID, Face ID, Touch ID, códigos y contraseñas).
Desbloqueo del Apple Watch usando el iPhone
Para mayor comodidad, un iPhone puede desbloquear el Apple Watch directamente después del arranque inicial, sin que sea necesario que el usuario introduzca el código en el propio Apple Watch. Para ello, se usa el secreto de desbloqueo aleatorio (generado durante la primera secuencia de desbloqueo tras la activación de la función) para crear un registro de custodia a largo plazo, que se almacena en el repositorio de claves del Apple Watch. El secreto del registro de custodia se almacena en el llavero del iPhone y sirve para arrancar una nueva sesión después de cada reinicio del Apple Watch.
Seguridad de Duplicación del iPhone
La app Duplicación del iPhone permite al usuario utilizar su iPhone desde un Mac cercano. Mientras se usa de forma remota en el Mac, el iPhone permanece bloqueado y los usuarios ven una notificación persistente en la pantalla de bloqueo del iPhone. Se muestra una tira la primera vez que el iPhone se desbloquea después de haber finalizado una sesión.
Reenvío de notificaciones
La app Duplicación del iPhone permite a los usuarios reenviar notificaciones de su iPhone al Mac utilizando la misma cuenta de Apple. Los usuarios que han iniciado sesión en sus dispositivos en la misma cuenta de Apple intercambian identidades criptográficas usando un protocolo P2P local, que se encripta usando claves almacenadas en iCloud mediante la encriptación punto a punto. Cuando el usuario activa la duplicación del iPhone e introduce su código en el iPhone, se registra la identidad criptográfica actual para el Mac. La clave privada para esta identidad se protege en Secure Enclave. Esta identidad se fija para que, si cambia, las notificaciones no se reenvíen al Mac. Las notificaciones se encriptan durante su transmisión mediante la encriptación punto a punto.
Desbloqueo de forma remota
El desbloqueo de forma remota para la duplicación del iPhone usa el mismo protocolo de desbloqueo de forma remota que el desbloqueo del iPhone que usa el Apple Watch, pero el usuario lo activa al abrir la app Duplicación del iPhone en el Mac enlazado. No se requiere el alcance seguro para la duplicación del iPhone.
Cuando los usuarios configuran la duplicación del iPhone por primera vez, se les pide que elijan entre “Autenticación automática” o “Preguntar cada vez”. El procesador Secure Enclave del Mac aplica la elección de este usuario y le pide su autenticación usando su contraseña del Mac (o Touch ID si el sistema lo admite). Después de haber completado la política de autenticación, el Mac se conecta al iPhone usando una conexión P2P inalámbrica local y desbloquea el repositorio de claves del iPhone para permitir el acceso remoto mientras dure la sesión remota.