Apple-laitteiden lukituksen automaattinen avaaminen
Useamman Apple-laitteen käytön helpottamiseksi jotkin laitteet voivat automaattisesti avata toisten laitteiden lukituksen tietyissä tilanteissa. Automaattinen avaaminen voidaan tehdä seuraavilla tavoilla:
iPhone voi avata Apple Watchin lukituksen.
Apple Watch voi avata Macin lukituksen.
Apple Watch voi avata iPhonen lukituksen, kun se tunnistaa käyttäjän, jonka nenä ja suu on peitetty.
Apple Vision Pro voi avata iPhonen lukituksen.
iPhone-peilauksella iPhonen lukitus voidaan avata ja sitä voidaan katsella Macilla.
Kaikki käyttötapaukset rakentuvat samalle perustalle: niissä käytetään molemmin puolin todennettavaa STS-protokollaa (Station-to-Station), ominaisuuden käyttöönoton yhteydessä vaihdetaan pitkäaikaiset avaimet ja jokaiselle pyynnölle sovitaan yksilölliset väliaikaiset istuntoavaimet. Pohjalla olevasta tiedonsiirtokanavasta riippumatta STS-tunneli sovitaan suoraan kummankin laitteen Secure Enclaven välillä ja kaikki kryptografinen materiaali pidetään tällä suojatulla alueella (lukuun ottamatta Mac-tietokoneita, joissa ei ole Secure Enclavea; niiden STS-tunneli päättyy kerneliin).
Jotta laite voi avata toisen laitteen lukituksen, molempien laitteiden täytyy olla kirjautuneena samalle Apple-tilille kaksiosaisella todennuksella, ja käyttäjän täytyy ottaa käyttöön kumpikin kahden laitteen välinen avaussuhde.
Lukituksen avaaminen
Lukituksen avaamisen kokonaisuus voidaan jakaa kahteen vaiheeseen.
Avattava laite (kohde) muodostaa avaamista varten kryptografisen salaisuuden ja lähettää sen lukituksen avaavalle laitteelle (aloittaja).
Aloittaja avaa lukituksen aikaisemmin luotua salaisuutta käyttäen.
Laitteet valmistautuvat automaattiseen lukituksen avaukseen muodostamalla niiden välille Bluetooth Low Energy (BLE) -yhteyden. Kohdelaitteen satunnaisesti luoma 32-tavuinen avaussalaisuus lähetetään aloittajalle STS-tunnelissa. Kun lukitus seuraavan kerran avataan biometrisella tunnisteella tai pääsykoodilla, kohdelaite salaa pääsykoodijohdetun avaimensa (PDK) avaussalaisuudella ja hävittää avaussalaisuuden muististaan.
Kun laitteet suorittavat lukituksen avaamisen, ne aloittavat uuden BLE-yhteyden ja käyttävät sitten vertais-Wi-Fiä arvioidakseen turvallisesti etäisyyden toisiinsa. Jos laitteet ovat vaaditun etäisyyden sisällä toisistaan ja tietoturvakäytäntöjen vaatimukset täyttyvät, aloittaja lähettää avaussalaisuutensa kohteelle STS-tunnelissa. Sen jälkeen kohde muodostaa uuden 32-tavuisen avaussalaisuuden ja lähettää sen aloittajalle. Jos aloittajan lähettämä nykyinen avaussalaisuus purkaa onnistuneesti lukituksenavaustietueen salauksen, kohdelaitteen lukitus avataan ja PDK-avain salataan uudelleen uudella avaussalaisuudella. Lopuksi uusi avaussalaisuus ja PDK-avain hävitetään kohteen muistista.
Macin lukituksen avaaminen Apple Watchilla
Edellä kuvailtua avaamisprosessia käytetään, kun Apple Watchilla avataan pariksi liitetyn Macin lukitus, ja sitä voidaan myös käyttää appipyyntöjen hyväksymiseen, kuten salasanojen katseluun tai apin lataamiseen, ilman, että salasanaa tarvitsee syöttää. Kun Apple Watch on onnistuneesti avannut pariksi asetetun iPhonen lukituksen, kellossa näkyy ilmoitus ja se antaa avauksesta kertovan tuntopalautteen.
Pariksi asetetun Macin lukituksen avaaminen Apple Watchilla edellyttää kaikkien seuraavien vaatimusten täyttymistä:
Macin lukitus on pitänyt avata toisella tavalla ainakin kerran sen jälkeen, kun siihen liitetty Apple Watch on kiinnitetty ranteeseen ja sen lukitus on avattu.
Macin ja Apple Watchin välisen mitatun etäisyyden on oltava enintään 2–3 metriä.
Apple Watchin lukituksen täytyy olla avattu.
Apple Watch ei voi olla unitilassa.
iPhonen lukituksen avaaminen Apple Watchilla
iPhonen lukituksen avaamiseen Apple Watchilla sovelletaan tavallisten lisäksi ylimääräisiä tietoturvakäytäntöjä. Jos käyttäjä napauttaa ilmoituksessa Lukitse iPhone ‑painiketta, kello lähettää iPhonelle lukituskomennon BLE-yhteydellä. Kun iPhone vastaanottaa lukituskomennon, se lukittuu ja kieltää sekä Face ID:n että lukituksen avaamisen muilla laitteilla. Seuraavaan iPhonen lukituksen avaamiseen tarvitaan iPhonen pääsykoodi. Apple Watchia ei voida käyttää Face ID:n sijasta iPhonen muille toiminnoille, kuten Apple Paylle tai appien valtuuttamiselle. Kun Apple Watch on onnistuneesti avannut pariksi asetetun iPhonen lukituksen, kellossa näkyy ilmoitus ja se antaa avauksesta kertovan tuntopalautteen.
Pariksi asetetun iPhonen lukituksen avaaminen Apple Watchilla (kun toiminto on otettu käyttöön) edellyttää kaikkien seuraavien vaatimusten täyttymistä:
iPhonen lukitus on pitänyt avata:
toisella tavalla ainakin kerran sen jälkeen, kun siihen liitetty Apple Watch on kiinnitetty ranteeseen ja sen lukitus on avattu.
vähintään kerran viimeisen 6,5 tunnin aikana.
Apple Watchin tai iPhonen lukitus on pitänyt avata äskettäin tai Apple Watchin on pitänyt havaita fyysistä liikettä, joka kertoo käyttäjän olevan aktiivinen (eikä esimerkiksi nukkumassa).
Tunnistinten on pystyttävä havaitsemaan, että käyttäjän nenä ja suu on peitetty.
iPhonen ja Apple Watchin välisen mitatun etäisyyden on oltava enintään 2–3 metriä.
Apple Watch ei voi olla unitilassa.
iPhonen on oltava sellaisessa tilassa, jossa lukituksen avaaminen Face ID:llä on sallittu. (Jos haluat lisätietoja tästä, katso Optic ID, Face ID, Touch ID, pääsykoodit ja salasanat.)
iPhonen lukituksen avaaminen Apple Vision Prolla
iPhonen lukituksen avaamiseen Apple Vision Prolla sovelletaan samanlaisia tietoturvakäytäntöjä. Käyttäjä voi muodostaa parin Apple Vision Prosta ja iPhonesta, jotta voidaan ottaa käyttöön kyseisen iPhonen automaattinen lukituksen avaaminen Apple Vision Prolla ja apin sisäinen todennus Apple Vision Prolla tuetuissa iPhone-apeissa. Kun Apple Vision Pro on onnistunut avaamaan pariksi liitetyn iPhonen lukituksen, Apple Vision Pro näyttää ilmoituksen. Jos käyttäjä napauttaa ilmoituksessa Lukitse iPhone ‑painiketta, Apple Vision Pro lähettää iPhonelle lukituskomennon BLE-yhteydellä. Kun iPhone vastaanottaa lukituskomennon, se lukittuu ja kieltää sekä Face ID:n että lukituksen avaamisen muilla laitteilla. Seuraavaan iPhonen lukituksen avaamiseen tarvitaan iPhonen pääsykoodi. Apple Vision Prota ei voida käyttää Face ID:n sijasta iPhonen Apple Paylle.
Pariksi asetetun iPhonen lukituksen avaaminen Apple Vision Prolla (kun toiminto on otettu käyttöön) edellyttää kaikkien seuraavien vaatimusten täyttymistä:
iPhonen lukituksen täytyy olla avattu toisella menetelmällä vähintään kerran käynnistyksen jälkeen.
Apple Vision Pron lukituksen täytyy olla avattuna, ja sen on oltava käytössä.
Apple Vision Pron on havaittava optisesti, että iPhone on enintään noin metrin päässä käyttäjästä ja että käyttäjä katsoo kyseiseen iPhoneen.
iPhonen ja Apple Vision Pron välisen mitatun etäisyyden on oltava enintään noin metri.
iPhonen on oltava sellaisessa tilassa, jossa lukituksen avaaminen Face ID:llä on sallittu. (Jos haluat lisätietoja tästä, katso Optic ID, Face ID, Touch ID, pääsykoodit ja salasanat.)
Apple Watchin lukituksen avaaminen iPhonella
Jotta käyttö olisi vaivattomampaa, iPhone voi avata Apple Watchin suoraan alkukäynnistyksen jälkeen ilman että käyttäjän tarvitsee syöttää pääsykoodia itse Apple Watchissa. Kun lukitus avataan ensimmäisen kerran tämän ominaisuuden käyttöönottamisen jälkeen, muodostetaan satunnainen avaussalaisuus, jota käyttäen luodaan pitkäaikainen vara-avaintietue, joka tallennetaan Apple Watchin avainvarastoon. Vara-avaintietueen salaisuus tallennetaan iPhonen avainnippuun ja sitä käytetään uuden istunnon aloittamiseen aina Apple Watchin uudelleenkäynnistyksen jälkeen.
iPhone-peilauksen suojaus
iPhone-peilauksella käyttäjä voi käyttää iPhoneaan lähellä olevasta Macistaan. Kun iPhonea käytetään etänä Macissa, iPhone pysyy lukittuna, ja käyttäjille näkyy pysyvä ilmoitus iPhonen lukitulla näytöllä. Kun iPhonen lukitus avataan ensi kertaa istunnon päättymisen jälkeen, näkyviin tulee banneri.
Ilmoitusten välittäminen
iPhone-peilauksella käyttäjät voivat välittää ilmoituksia iPhonestaan Maciin, joka käyttää samaa Apple-tiliä. Samaa Apple-tiliä käyttäviin laitteisiin kirjautuneet käyttäjät vaihtavat kryptografisia identiteettejä käyttäen paikallista vertaisprotokollaa, joka on salattu käyttäen iCloudiin päästä-päähän-salauksella tallennettuja avaimia. Kun käyttäjä ottaa käyttöön iPhone-peilauksen ja syöttää pääsykoodinsa iPhonessa, Macin nykyinen kryptografinen identiteetti tallennetaan. Tämän identiteetin yksityistä avainta suojataan Secure Enclavessa. Tämä identiteetti on kiinnitetty, joten sen muuttuessa ilmoituksia ei välitetä Maciin. Ilmoitukset salataan siirron aikana käyttäen päästä-päähän-salausta.
Lukituksen avaaminen etäyhteydellä
iPhone-peilauksen lukituksen avaaminen etäyhteydellä käyttää samaa lukituksen etäyhteydellä avaamisen protokollaa kuin iPhonen lukituksen avaaminen Apple Watchilla, mutta se käynnistyy käyttäjän käynnistäessä iPhone-peilausapin laitepariksi muodostetussa Macissa. iPhone-peilaus ei edellytä etäisyyden tarkkaa vahvistamista.
Kun käyttäjät ottavat iPhone-peilauksen käyttöön ensimmäistä kertaa, heitä kehotetaan valitsemaan joko automaattinen todennus tai kysyminen joka kerta. Macin Secure Enclave noudattaa tätä käyttäjän valintaa ja kehottaa käyttäjää todentautumaan Mac-salasanallaan (tai Touch ID:llä, jos sitä tuetaan). Kun todennuskäytäntö on suoritettu, Mac muodostaa yhteyden iPhoneen käyttäen paikallista langatonta vertaisverkkoa ja avaa iPhonen avainvaraston lukituksen ottaakseen käyttöön etäkäytön etäistunnon ajaksi.