Keamanan kunci mobil di iOS

Pemasangan pemilik

Pemilik harus membuktikan kepemilikan kendaraan (metode ini tergantung pada pembuat mobil, sering kali mereka harus membawa satu atau dua kunci jarak jauh) dan dapat memulai proses pemasangan di app pembuat mobil menggunakan tautan email yang diterima dari pembuat mobil atau dari menu kendaraan. Dalam setiap kasus, pemilik harus menyediakan kata sandi pemasangan sekali pakai rahasia ke iPhone, yang digunakan untuk membuat saluran pemasangan aman menggunakan protokol SPAKE2+ dengan kurva NIST P-256 untuk membuat saluran aman Global Platform SCP03 guna mentransfer data antara perangkat dan kendaraan. Saat menggunakan app atau tautan email, kata sandi secara otomatis ditransfer ke iPhone, tempat kata sandi perlu dimasukkan secara manual saat pemasangan dimulai dari kendaraan.

Dalam proses pemasangan pemilik, kendaraan mengirimkan permintaan melalui saluran SCP03 yang menginstruksikan Elemen Aman perangkat untuk menghasilkan pasangan kunci Kriptografi Kurva Eliptis (ECC). Pengenal kendaraan dan kunci publik kendaraan kemudian diikat secara aman ke pasangan kunci ini. Kunci publik perangkat (device.PK) dikirim kembali ke kendaraan dalam format sertifikat X.509 bersama dengan rantai sertifikat yang dapat diverifikasi dengan kunci publik sertifikat akar pembuat mobil (root.PK), yang sudah ditanam di dalam kendaraan sejak tahap produksi. Ini memungkinkan verifikasi dan penerimaan kunci publik perangkat sebagai kunci pemilik.

Kunci pemilik di Elemen Aman perangkat juga mengikat root.PK pembuat mobil secara aman, yang disediakan oleh kendaraan melalui saluran SCP03, kepada device.PK untuk berbagi kunci.

Jika diperlukan untuk keperluan asuransi, setiap kunci pemilik perlu didaftarkan ke server pembuat mobil. Perangkat mengirimkan kunci sertifikat device.PK ke server pelacakan kunci (KTS) yang mengirimkan kembali tanda tangan untuk mengonfirmasi pendaftaran. Perangkat ini memberikan tanda tangan ke kendaraan di akhir proses pemasangan pemilik atau pada transaksi standar berikutnya dengan kendaraan (lihat di bawah), dan kendaraan mengaktifkan kunci pemilik jika tanda tangan KTS telah berhasil diverifikasi. Kunci tanda tangan KTS adalah hak milik eksklusif dari pembuat mobil tersebut.

Berbagi kunci

iPhone pengirim dapat membagikan kunci aktivasi ke perangkat yang memenuhi syarat dengan mengirimkan URL undangan kepada penerima melalui saluran komunikasi apa pun, misalnya email, iMessage, WhatsApp, WeChat, atau AirDrop. URL tersebut mengarahkan penerima ke kotak mail yang dilindungi privasi di server relai yang diimplementasikan berdasarkan spesifikasi IETF. Kunci enkripsi privasi dikirim sebagai fragmen di URL berbagi.

Selama proses ini, iPhone pengirim meminta pengesahan pengguna (Face ID, Touch ID, atau entri kode sandi) dan tujuan pengguna aman yang dijelaskan di Penggunaan Optic ID, Face ID, dan Face ID. Pengesahan pengirim disimpan sementara di Elemen Aman untuk digunakan nanti ketika perangkat penerima mengembalikan permintaan penandatanganan.

Untuk keamanan tambahan, untuk mengaktifkan kunci bersama, pengirim dapat meminta penerima untuk menggunakan salah satu pilihan aktivasi yang tersedia yang didukung oleh pembuat mobil mereka atau kode sandi yang dimasukkan di perangkat penerima.

Setelah undangan diterima, perangkat penerima mengambil data pembuatan kunci dari kotak mail server relai dan membuat kunci digital sesuai dengan Spesifikasi Kunci Digital CCC. Sebagai bagian dari proses pembuatan kunci, kunci tersebut ditandatangani oleh pengirim. Perangkat penerima mengirimkan kembali rantai sertifikat pembuatan kunci menggunakan server relai ke iPhone pengirim. iPhone pengirim selanjutnya menggunakan root.PK yang ditanam di Elemen Aman untuk memverifikasi bahwa kunci penerima dibuat menggunakan rantai sertifikat yang diharapkan. Jika berhasil, iPhone pengirim akan menandatangani kunci publik ECC dari perangkat penerima dan mengirimkan tanda tangan tersebut kembali ke penerima menggunakan server relai. Tanda tangan disahkan dengan menggunakan pengesahan pengirim yang sebelumnya disimpan di Elemen Aman.

Hak utama dan tanda tangan pengirim diberikan kepada kendaraan selama penggunaan pertama kunci bersama di kendaraan (lihat Transaksi standar). Hak tersebut menjelaskan hal berikut:

• Level akses: Misalnya, membuka kunci atau mengemudi.

• Kebijakan berbagi ulang: Misalnya, tidak ada pembagian ulang, pembagian ulang terbatas, atau pembagian ulang tidak terbatas (dalam hal panjang rantai pembagian).

Beberapa pembuat mobil mewajibkan setiap kunci bersama untuk didaftarkan ke server pembuat mobil tersebut. Jika diperlukan, perangkat penerima mengirimkan kunci sertifikat device.PK ke sistem KTS milik pembuat mobil yang kemudian mengembalikan tanda tangan untuk mengonfirmasi pendaftaran. Perangkat penerima menampilkan tanda tangan tersebut ke kendaraan dalam transaksi pertama dengan kendaraan (lihat Transaksi standar). Kendaraan tersebut memvalidasi tanda tangan dan—jika tanda tangan KTS telah berhasil diverifikasi—mengaktifkan kunci bersama. Kunci tanda tangan ini adalah hak milik eksklusif dari pembuat mobil tersebut.

Penghapusan kunci

Kunci dapat dihapus dengan cara berikut:

• Di perangkat pemegang kunci

• Dari perangkat pemilik

• Dari perangkat berbagi dengan pengesahan yang tepat

• Saat di dalam kendaraan

Penghapusan di iPhone pemegang kunci akan segera berlaku, bahkan jika pemegang kunci menggunakan kunci tersebut atau jika perangkat tidak tersambung ke internet.

Penghapusan kunci di kendaraan dapat dimungkinkan, tergantung pada kebijakan pembuat mobil:

• Kapan saja

• Hanya saat kendaraan online

• Hanya jika ada kunci jarak jauh (untuk menghindari terjebak tanpa kunci)

Dalam setiap kasus, penghapusan di perangkat pemegang kunci atau kendaraan dilaporkan ke KTS di pihak pembuat mobil, yang mendaftarkan kunci yang diterbitkan untuk kendaraan demi tujuan asuransi.

Pemilik dan pengguna yang memenuhi syarat dapat meminta penghapusan menggunakan permintaan penghentian jarak jauh yang ditandatangani oleh kunci pribadi pemohon (device.SK) dengan memilih pengguna di daftar akun pemegang kunci bersama di bagian belakang kartu kunci mobil mereka di Dompet Apple. Permintaan pertama-tama dikirimkan ke pembuat mobil untuk penghapusan kunci di kendaraan. Kondisi untuk menghapus kunci dari kendaraan ditetapkan oleh pembuat mobil (seperti yang tercantum di atas). Server pembuat mobil akan mengirimkan permintaan penghapusan jarak jauh yang ditandatangani ke perangkat pemegang kunci hanya saat kunci dihapus dari mobil.

Saat kunci dihapus di perangkat, applet yang mengelola kunci mobil digital membuat pengesahan penghapus yang ditandatangani secara kriptografis, yang digunakan sebagai bukti penghapusan oleh pembuat mobil dan digunakan untuk menghapus kunci dari KIS.

Privasi

KTS pembuat mobil tidak menyimpan ID, SEID, atau Akun Apple perangkat. Server hanya menyimpan pengenal yang dapat berubah, contohnya adalah pengenal CA. Pengenal ini tidak terikat ke data pribadi mana pun di perangkat atau di server, dan dihapus saat pengguna memulai Hapus Semua Konten dan Pengaturan.

Standar CCC juga mewajibkan agar informasi KTS dirahasiakan di pihak pembuat mobil dan hanya digunakan jika diperlukan untuk tujuan asuransi atau permintaan lain yang memenuhi syarat.

Data pendaftaran kunci (pengenal kunci, pengenal kendaraan, kunci publik kendaraan, rantai sertifikat kunci publik perangkat, hak kunci) yang dikirim oleh perangkat ke KTS dienkripsi terhadap kunci publik enkripsi privasi KTS. Server Apple yang mengirimkan data pendaftaran kunci dari perangkat ke server produsen mobil tidak mampu mendekripsi data ini. Apple tidak tahu dengan siapa pemilik kendaraan tersebut memberikan kunci kendaraannya.

Aksesori lain apa pun untuk iPhone atau Apple Watch yang tidak dapat melakukan pengesahan ke perangkat tidak dapat menerima pengenal yang stabil melalui transaksi standar atau cepat melalui NFC atau Bluetooth. Jika perangkat tidak mengenali pengenal kendaraan (misalnya, secara keliru mencoba mengakses kendaraan yang tampak mirip dengan kendaraan pemegang kunci), applet di Elemen Aman akan menggunakan kunci pengganti yang menghasilkan nilai acak, bukan kunci atau kriptogram yang bermakna.

Koneksi Bluetooth awal dilindungi dengan menggunakan kunci sementara yang diberikan saat berbagi kunci mobil atau oleh pembuat mobil sebagai respons terhadap permintaan pelacakan kunci.