Automatisk opplåsing av Apple-enheter
For å gjøre det enklere å bruke flere Apple-enheter kan enkelte enheter automatisk låse opp andre enheter i enkelte situasjoner. Automatisk opplåsing kan gjøres på følgende måter:
En Apple Watch kan låses opp av en iPhone.
En Mac kan låses opp av en Apple Watch.
En iPhone kan låses opp av en Apple Watch når det registreres en bruker med maske over munn og nese.
En iPhone kan låses opp av en Apple Vision Pro.
En iPhone kan låses opp og vises på en Mac ved hjelp av iPhone-speiling.
Alle scenarioer er basert på det samme: en gjensidig autentisert STS-protokoll (Station-to-Station) med langvarige nøkler som utveksles når funksjonen aktiveres, og unike kortvarige øktnøkler som formidles ved hver forespørsel. Uavhengig av den underliggende kommunikasjonskanalen administreres STS-tunnelen direkte mellom Secure Enclave i de to enhetene, og alt kryptografisk materiale holdes i det sikre domenet (bortsett fra Macer uten Secure Enclave – da termineres STS-tunnelen i kjernen).
For at en enhet skal kunne låses opp med en annen, må begge enhetene være logget på samme Apple-konto ved hjelp av tofaktorautentisering, og brukeren må aktivere hvert enkelt opplåsingsforhold mellom de to enhetene.
Opplåsing
En fullstendig opplåsingssekvens kan deles inn i to faser.
Enheten som låses opp (målet) genererer en kryptografisk opplåsingshemmelighet og sender den til enheten som gjennomfører opplåsingen (igangsetteren).
Igangsetteren gjennomfører opplåsingen ved hjelp av hemmeligheten som ble generert tidligere.
For å forberede enheter på automatisk opplåsing må enhetene kobles sammen ved hjelp av en BLE-tilkobling (Bluetooth Low Energy). Deretter sendes en opplåsingsnøkkel på 32 byte fra målenheten til igangsetteren via STS-tunnelen. Under den neste biometriske eller kodebaserte opplåsingen vil målenheten pakke den kodeavledede nøkkelen (PDK) med opplåsingshemmeligheten og fjerne opplåsingshemmeligheten fra minnet.
For å gjennomføre opplåsingen oppretter enheten en ny BLE-tilkobling og bruker deretter peer-to-peer-Wi-Fi til å anslå avstanden mellom enhetene på en sikker måte. Hvis enhetene er innenfor angitt rekkevidde og sikkerhetsreglene er oppfylt, vil igangsetteren sende opplåsingshemmeligheten til målet via STS-tunnelen. Deretter genererer målet en ny opplåsingshemmelighet på 32 byte, og sender den tilbake til igangsetteren. Hvis opplåsingshemmeligheten som igangsetteren sender, dekrypterer opplåsingsoppføringen, låses målenheten opp, og PDK pakkes på nytt med en ny opplåsingshemmelighet. Til slutt fjernes den nye opplåsingshemmeligheten og PDK fra målets minne.
Opplåsing av Mac med Apple Watch
Opplåsingsprosedyren beskrevet ovenfor gjelder når det brukes en Apple Watch til å låse opp en sammenkoblet Mac, og kan også brukes til å godkjenne appforespørsler, som å vise passord eller laste ned en app, uten å måtte skrive inn et passord. Når Apple Watch har låst opp en sammenkoblet iPhone, viser Apple Watch en varsling kombinert med et følbart varsel.
For at en sammenkoblet Mac skal kunne låses opp fra Apple Watch, må følgende kriterier være oppfylt:
Macen må ha blitt låst opp på en annen måte minst én gang etter at Apple Watch som er tilknyttet, ble plassert på håndleddet og låst opp.
Avstanden mellom Macen og Apple Watch må være 2–3 meter eller mindre.
Apple Watch må være låst opp.
Apple Watch kan ikke være i Leggetid-modus.
Opplåsing av iPhone med Apple Watch
Det brukes ekstra sikkerhetsregler for opplåsing av iPhone med Apple Watch. Hvis brukeren trykker på knappen Lås iPhone i varslingen, sender Apple Watch en låsekommando til iPhone via BLE. Når iPhone mottar låsekommandoen, blir den låst og tillater verken Face ID eller opplåsing ved hjelp av andre enheter. Neste gang iPhone låses opp, må det gjøres med koden til iPhone. Apple Watch kan ikke brukes i stedet for Face ID på iPhone til andre oppgaver, for eksempel godkjenninger for Apple Pay eller andre apper. Når Apple Watch har låst opp en sammenkoblet iPhone, viser Apple Watch en varsling kombinert med et følbart varsel.
For at en sammenkoblet iPhone skal kunne låses opp fra Apple Watch (når funksjonen er aktivert), må alle følgende kriterier være oppfylt:
iPhone må ha blitt låst opp:
på en annen måte minst én gang etter at tilknyttet Apple Watch ble plassert på håndleddet og låst opp
minst én gang i løpet av de siste 6,5 timene
Apple Watch eller iPhone må ha blitt låst opp nylig, eller Apple Watch må ha registrert fysisk bevegelse som indikerer at brukeren er aktiv (for eksempel at brukeren ikke sover).
Sensorer må kunne registrere at nese og munn er tildekket.
Avstanden mellom iPhone og Apple Watch må være 2–3 meter eller mindre.
Apple Watch kan ikke være i Leggetid-modus.
iPhone må være i en tilstand der Face ID kan låse opp enheten. (Du finner mer informasjon om dette under Optic ID, Face ID, Touch ID, koder og passord.)
Opplåsing av iPhone med Apple Vision Pro
Det brukes lignende sikkerhetsregler for opplåsing av iPhone med Apple Vision Pro. Brukeren kan sammenkoble Apple Vision Pro og en iPhone for å aktivere automatisk opplåsing av iPhonen ved hjelp av Apple Vision Pro, og for autentisering i appen med Apple Vision Pro i støttede iPhone-apper. Når Apple Vision Pro låser opp en sammenkoblet iPhone, viser Apple Vision Pro en varsling. Hvis brukeren trykker på knappen Lås iPhone i varslingen, sender Apple Vision Pro en låsekommando til iPhone via BLE. Når iPhone mottar låsekommandoen, blir den låst og tillater verken Face ID eller opplåsing ved hjelp av andre enheter. Neste gang iPhone låses opp, må det gjøres med koden til iPhone. Apple Vision Pro kan ikke brukes i stedet for Face ID på iPhone til Apple Pay.
For at en sammenkoblet iPhone skal kunne låses opp fra Apple Vision Pro (når funksjonen er aktivert), må alle følgende kriterier være oppfylt:
iPhone må være låst opp med en annen metode minst én gang siden oppstarten.
Apple Vision Pro må være låst opp og i bruk.
Apple Vision Pro må kunne registrere iPhonen optisk innenfor én meters avstand eller mindre fra brukeren, og brukeren må se på den aktuelle iPhonen.
Avstanden mellom iPhone og Apple Vision Pro må være omtrent én meter eller mindre.
iPhone må være i en tilstand der Face ID kan låse opp enheten. (Du finner mer informasjon om dette under Optic ID, Face ID, Touch ID, koder og passord.)
Opplåsing av Apple Watch med iPhone
Apple Watch kan låses opp av en iPhone umiddelbart etter første oppstart uten at brukeren først må angi koden på Apple Watch. For å gjøre dette brukes den tilfeldige opplåsingshemmeligheten (som genereres etter den første opplåsingssekvensen etter at funksjonen aktiveres) til å opprette en langvarig depotoppføring, som lagres i Apple Watch-keybagen. Den deponerte hemmeligheten arkiveres i iPhone-nøkkelringen og brukes til å tilordne bootstrap til en ny økt hver gang Apple Watch har blitt startet på nytt.
Sikkerhet for iPhone-speiling
iPhone-speiling gjør at brukere kan bruke iPhonen sin fra en Mac i nærheten. Når den brukes eksternt på Macen, vil iPhonen være låst og en varsling vises konstant på den låste skjermen. Det vises et banner den første gangen iPhonen låses opp etter at en økt er avsluttet.
Videresending av varslinger
Med iPhone-speiling kan brukere videresende varslinger fra iPhonen til en Mac som bruker samme Apple-konto. Brukere som er logget på enheter med samme Apple-konto, utveksler kryptografiske identiteter ved hjelp av en lokal peer-to-peer-protokoll som krypteres ved hjelp av nøkler som er lagret i iCloud ved hjelp av gjennomgående kryptering. Når brukerne aktiverer iPhone-speiling og oppgir koden sin på iPhonen, registreres Macens gjeldende kryptografiske identitet. Den private nøkkelen for denne identiteten beskyttes i Secure Enclave. Identiteten festes, slik at hvis den endres, blir ikke varslinger videresendt til Macen. Varslinger krypteres ved hjelp av gjennomgående kryptering under overføringen.
Ekstern opplåsing
Ekstern opplåsing for iPhone-speiling bruker samme protokoll for ekstern opplåsing som iPhone bruker til å låse opp Apple Watch, men den startes av at brukeren starter iPhone-speiling-appen på en sammenkoblet Mac. Sikker rangering er ikke påkrevd for iPhone-speiling.
Når brukere konfigurerer iPhone-speiling for første gang, blir de bedt om å velge enten Autentiser automatisk eller Spør hver gang. Secure Enclave på Macen håndhever dette brukervalget og ber brukeren om å autentisere ved hjelp av Mac-passordet (eller Touch ID hvis det støttes). Når autentiseringsregelsettet er fullført, kobles Macen til iPhonen ved hjelp av en lokal trådløs peer-to-peer-tilkobling og låser opp iPhone-keybagen for å gi ekstern tilgang mens den eksterne økten er aktiv.