Sbloccare automaticamente i dispositivi Apple
Per una maggiore praticità, durante l’utilizzo di più dispositivi Apple, alcuni dispositivi possono sbloccarne altri in determinate situazioni. Lo sblocco automatico può essere eseguito nei seguenti modi:
Apple Watch può essere sbloccato da iPhone.
Il Mac può essere sbloccato da Apple Watch.
iPhone può essere sbloccato da Apple Watch se l’utente viene rilevato con il naso e la bocca coperti.
iPhone può essere sbloccato da Apple Vision Pro.
iPhone può essere sbloccato e visualizzato su un Mac usando Duplica iPhone.
Tutti i casi si basano sugli stessi principi di base: un protocollo Station-to-Station (STS) reciprocamente autenticato, con chiavi a lungo termine scambiate nel momento in cui la funzionalità viene abilitata e chiavi di sessione effimere uniche negoziate per ciascuna richiesta. A prescindere dal canale di comunicazione sottostante, il tunnel STS viene negoziato direttamente tra i chip Secure Enclave in entrambi i dispositivi e tutto il materiale crittografico viene mantenuto all’interno del dominio sicuro (a eccezione dei Mac senza Secure Enclave, in cui il tunnel STS termina nel kernel).
Per sbloccare un dispositivo con un altro, su entrambi deve essere stato effettuato l’accesso allo stesso Apple Account usando l’autenticazione a due fattori e l’utente deve abilitare ciascuna specifica relazione di sblocco tra i due dispositivi.
Sblocco
Una sequenza di sblocco completa può essere suddivisa in due fasi.
Il dispositivo da sbloccare (chiamato destinazione) genera un apposito segreto crittografico e lo invia al dispositivo che esegue lo sblocco (chiamato iniziatore).
L’iniziatore esegue lo sblocco utilizzando il segreto generato precedentemente.
Per eseguire lo sblocco automatico, i dispositivi si preparano connettendosi tra loro via Bluetooth Low Energy (BLE). Quindi un segreto per lo sblocco di 32 byte generato in modo casuale dal dispositivo di destinazione viene inviato all’iniziatore tramite il tunnel STS. Durante prossimo sblocco tramite sensore biometrico o tramite codice, il dispositivo di destinazione cifra la propria chiave derivata dal codice con il segreto per lo sblocco ed elimina tale segreto dalla propria memoria.
Per eseguire lo sblocco, i dispositivi avviano una nuova connessione BLE, quindi utilizzano la connessione Wi‑Fi peer-to-peer per stimare in maniera sicura la loro distanza reciproca. Se i dispositivi si trovano entro la distanza specificata e le politiche di sicurezza richieste sono soddisfatte, l’iniziatore invia il segreto per lo sblocco alla destinazione tramite il tunnel STS. La destinazione quindi genera un nuovo segreto per lo sblocco di 32 byte e lo restituisce all’iniziatore. Se il segreto attuale inviato dall’iniziatore decrittografa correttamente il record per lo sblocco, il dispositivo di destinazione viene sbloccato e la chiave derivata dal codice viene nuovamente cifrata con un nuovo segreto. Infine, il nuovo segreto per lo sblocco e la chiave derivata dal codice vengono eliminati dalla memoria del dispositivo di destinazione.
Sblocco del Mac con Apple Watch
Il flusso di sblocco descritto sopra viene applicato quando si usa Apple Watch per sbloccare un Mac abbinato e può essere usato anche per approvare richieste delle app (come visualizzare password o scaricare un’app) senza dover inserire una password. Quando Apple Watch sblocca correttamente un iPhone abbinato, l’orologio mostra una notifica e produce un feedback aptico associato.
Per poter sbloccare un Mac abbinato da Apple Watch, è necessario che siano soddisfatti tutti i seguenti criteri:
Il Mac deve essere stato sbloccato tramite un altro metodo almeno una volta dopo che l’Apple Watch associato è stato indossato al polso ed è stato sbloccato.
La distanza misurata tra il Mac e Apple Watch deve essere inferiore a 2-3 metri.
Apple Watch deve essere sbloccato.
Apple Watch non può essere in modalità notturna.
Sblocco di iPhone con Apple Watch
Per lo sblocco di iPhone tramite Apple Watch vengono implementate delle politiche di sicurezza aggiuntive. Se l’utente tocca il pulsante “Blocca iPhone” nella notifica, l’orologio invia ad iPhone un comando di blocco tramite BLE. Quando iPhone riceve tale comando, si blocca e disabilita sia Face ID che lo sblocco tramite altri dispositivi. Il successivo sblocco di iPhone dovrà essere effettuato tramite il codice di iPhone. Apple Watch non può essere utilizzato al posto di Face ID su iPhone per altre operazioni, come l’acquisto con Apple Pay o le autorizzazioni nelle app. Quando Apple Watch sblocca correttamente un iPhone abbinato, l’orologio mostra una notifica e produce un feedback aptico associato.
Per poter sbloccare un iPhone abbinato da Apple Watch (quando l’opzione è abilitata), è necessario che siano soddisfatti tutti i seguenti criteri:
iPhone deve essere stato sbloccato:
Tramite un altro metodo almeno una volta dopo che l’Apple Watch associato è stato indossato al polso ed è stato sbloccato.
Almeno una volta nelle ultime 6,5 ore.
Apple Watch o iPhone devono essere stati sbloccati recentemente oppure Apple Watch deve aver rilevato del movimento fisico che indica che l’utente che lo indossa è attivo (ad esempio, non sta dormendo).
I sensori devono poter rilevare che il naso e la bocca sono coperti.
La distanza misurata tra iPhone e Apple Watch deve essere inferiore a 2-3 metri.
Apple Watch non può essere in modalità notturna.
iPhone deve essere in uno stato che consenta a Face ID di eseguire lo sblocco del dispositivo. (Per ulteriori informazioni, consulta Optic ID, Face ID, Touch ID, codici e password).
Sblocco di iPhone con Apple Vision Pro
Per lo sblocco di iPhone tramite Apple Vision Pro vengono implementate delle politiche di sicurezza simili. L’utente può abbinare Apple Vision Pro con iPhone per abilitare lo sblocco automatico di iPhone da parte di Apple Vision Pro e per l’autenticazione in-app tramite Apple Vision Pro nelle app per iPhone supportate. Quando Apple Vision Pro sblocca correttamente iPhone, Apple Vision Pro mostra una notifica. Se l’utente tocca il pulsante “Blocca iPhone” nella notifica, Apple Vision Pro invia ad iPhone un comando di blocco tramite BLE. Quando iPhone riceve tale comando, si blocca e disabilita sia Face ID che lo sblocco tramite altri dispositivi. Il successivo sblocco di iPhone dovrà essere effettuato tramite il codice di iPhone. Apple Vision Pro non può essere utilizzato al posto di Face ID su iPhone per l’uso di Apple Pay.
Per poter sbloccare un iPhone abbinato da Apple Vision Pro (quando l’opzione è abilitata), è necessario che siano soddisfatti tutti i seguenti criteri:
iPhone deve essere stato sbloccato tramite un altro metodo almeno una volta dal suo avvio.
Apple Vision Pro deve essere sbloccato e in uso.
Apple Vision Pro deve rilevare otticamente che iPhone si trova a circa un metro di distanza o meno dall’utente e che l’utente stia guardando tale iPhone.
La distanza misurata tra iPhone e Apple Vision Pro deve essere inferiore a circa 1 metro.
iPhone deve essere in uno stato che consenta a Face ID di eseguire lo sblocco del dispositivo. (Per ulteriori informazioni, consulta Optic ID, Face ID, Touch ID, codici e password).
Sblocco di Apple Watch con iPhone
Per una maggiore praticità, Apple Watch può essere sbloccato da iPhone direttamente dopo l’avvio iniziale, senza che l’utente debba inserire il codice sull’Apple Watch stesso. Perché ciò sia possibile, il segreto casuale per lo sblocco (generato durante la primissima sequenza di sblocco, quando viene abilitata la funzionalità) viene usato per creare un record di escrow a lungo termine, che viene archiviato nella keybag di Apple Watch. Il segreto del record di escrow viene archiviato nel portachiavi di iPhone e viene usato per avviare una nuova sessione dopo ogni riavvio di Apple Watch.
Sicurezza di Duplica iPhone
Duplica iPhone consente a un utente di utilizzare iPhone dal proprio Mac nelle vicinanze. Mentre viene usato da remoto sul Mac, iPhone rimane bloccato e sulla schermata di blocco viene mostrata una notifica costante. Al primo sblocco di iPhone dopo il termine di una sessione, viene mostrato un banner.
Inoltro delle notifiche
Duplica iPhone consente agli utenti di inoltrare le notifiche da iPhone su un Mac che utilizza lo stesso Apple Account. Gli utenti che hanno effettuato l’accesso sui dispositivi con lo stesso Apple Account scambiano identità crittografiche tramite un protocollo peer-to-peer locale, protetto crittograficamente da chiavi archiviate su iCloud con codifica end‑to‑end. Quando l’utente abilita Duplica iPhone e inserisce il codice su iPhone, l’identità crittografica attuale del Mac viene registrata. La chiave privata per tale identità è protetta in Secure Enclave. L’identità viene fissata, in modo che, se essa cambia, le notifiche non vengono inoltrate al Mac. Mentre sono in transito, le notifiche vengono protette tramite crittografia end‑to‑end.
Sblocco da remoto
Lo sblocco da remoto per Duplica iPhone utilizza lo stesso protocollo dello sblocco di iPhone con Apple Watch, ma viene attivato dall’utente avviando l’app Duplica iPhone sul Mac abbinato. Il ranging protetto non è richiesto per Duplica iPhone.
Quando gli utenti configurano Duplica iPhone per la prima volta, viene richiesto di scegliere tra l’autenticazione automatica o la visualizzazione di una richiesta a ogni occorrenza. Secure Enclave sul Mac impone l’applicazione di tale scelta e chiede all’utente di eseguire l’autenticazione tramite la password del Mac (o con Touch ID, se supportato). Una volta completata la politica di autenticazione, il Mac si connette ad iPhone tramite una connessione wireless peer-to-peer locale e sblocca la keybag di iPhone per consentire l’accesso remoto per la durata della sessione.